动态口令双因素认证及其应用_动态口令认证失败

　　摘要：身份认证是信息安全技术领域的一个重要部分，文章阐述了身份认证的主要因素和动态口令双因素认证的机制，并详细分析了动态密码双因素认证技术在各种信息系统中的应用。 　　关键词：双因素认证；动态口令；一次性口令；信息安全技术
　　
　　0　引言
　　
　　目前最普遍采用的身份认证机制是结合用户ID和密码的身份认证方案，它已经被广泛的应用于各种网络和系统中。用户的密码过于简单或容易被猜中，用户使用密码存在不良习惯，都可能造成密码的失窃。许多企事业单位开始意识到密码已经不能满足他们对关键信息资源保护的需求，开始着手实施更可靠的身份认证方案来保护他们的信息资源。目前主要采用的强认证方案是动态口令双因素认证方案。
　　
　　1　双因素身份认证
　　
　　在信息安全领域，对共享信息资源保护的第一步就是实施一种用户身份认证服务。通常这―服务基于指定的用户ID，系统或者网络通过某种方式识别出使用者，这个过程就是身份认证(Authentication)。身份认证是最重要的安全服务，也是其他安全控制的基础，比如访问控制机制基于用户ID来分配信息资源，日志记录机制基于用户ID控制用户的访问和使用信息”。
　　身份认证过程是基于“某种信息片段”如密码、指纹等进行的，这些信息片段被称为认证因素(Authentication factor)。认证因素通常可以分为以下三类：
　　第一类因素是指“你所具备的特征(something you are)”，通常是使用者本身拥有的惟一生物特征，例如指纹、瞳孔、声音等。
　　第二类因素是指“你所知道的事物(something you know)”，通常是需要使用者记忆的身份认证内容，例如密码和身份证号码等。
　　第三类因素是指“你所拥有的事物(Something you have)”，通常是使用者拥有的特殊认证加强机制，例如动态密码卡，IC卡，磁卡等。
　　采用以上三类因素中任意两类因素的身份认证称为双因素认证(Two-factor authentication)。双因素认证并不是新鲜事物，在日常生活中我们经常用到，例如我们通过银行ATM机提款的身份认证就是双因素认证，插入的银行卡是“你所拥有的”因素，输入的密码是“你所知道的”因素。
　　单独来看，这三个要素中的任何一个都有问题。“所拥有的物品”可以被盗走；“所知道的内容”可以被猜出、被分享，复杂的内容可能会忘记；“所具备的特征”最为强大，但是代价昂贵且拥有者本身易受攻击，一般用在顶级安全需求中。
　　双因素身份认证机制，通常是在静态密码的基础上，增加一个物理因素，构成一个他人无法复制和识破的安全密码。最常见的物理因素有：生物特征和智能卡。生物特征因技术及设备的复杂性而只在某些特殊的领域中使用。静态密码加智能卡是目前应用最广泛的双因素身份认证机制，又称为动态口令认证机制或一次性口令认证机制。动态口令认证机制主要思路是：在登录过程中加入不确定的变化因素用以生成随机用户口令，以一次性动态口令登录，使得每次登录的认证信息都不相同，从而提高登录过程的安全性。
　　
　　2　动态口令认证机制
　　
　　动态口令是变动的口令，其变动来源于产生口令的运算因子是变化的。动态口令一般都使用两个运算因子生成：其一，为用户的私有密钥，它是代表用户身份的识别码，是固定不变的。其二，为变动因子，正是变动因子的不断变化，才产生了不断变动的动态口令。采用不同的变动因子形成了不同的动态口令认证技术：基于时间同步(Time Synchronous)认证技术、基于事件同步(Event Synchronous)认证技术和挑战，应答方式的异步(Challenge／Response Asynchronous)认证技术。
　　基于时间同步认证技术。这是基于令牌和服务器的时间同步，通过运算来生成一致的动态口令的认证技术。基于时间同步的令牌，一般更新率为60s，每60s产生一个新口令。由于其同步的参照物是国际标准时间，因此要求服务器能够保持十分精确的时钟，同时对其令牌的晶振频率也有严格的要求。另一方面，基于时间同步的令牌在每次进行认证时，服务器端将会检测令牌的时钟偏移量，相应地不断微调自己的时间记录，从而保证了令牌和服务器的同步。由此可知，对于时间同步的设备，利用系统时钟进行保护是十分必要的，特别是对于软件令牌，由于其依赖的是用户终端PC机或移动电脑的系统时钟，当令牌数量分散，且终端属于多个不可控网络系统时，保证众多的终端同认证服务器的时钟同步十分重要。同样，对于基于时间同步的一台或多台服务器，应严格地保护其系统时钟，不得随意更改，以免发生同步差错。对于失去时间同步的令牌，目前可以通过增大偏移量的技术(前后10分钟)来进行远程同步，确保其能够继续使用，降低对应用的影响；但对于超出默认值(共20分钟)的时间同步令牌，将无法继续使用或进行远程同步的，必须由系统管理员在服务器端另行处理。
　　基于事件同步认证技术。其原理是将某一特定的事件次序及相同的种子值作为输入，利用特定算法运算出一致的密码，其运算机理决定了整个工作流程与时钟无关，不受时钟的影响。令牌中不存在时间脉冲晶振，但由于其算法的一致性，其口令是预先可知的，通过令牌，可以预先知道多个密码，故当令牌遗失且没有使用PIN码对令牌进行保护时，存在非法登录的风险，故使用事件同步的令牌，对PIN码的保护是十分必要的。同样，基于事件同步的令牌也存在失去同步的风险，例如用户多次无目的地生成口令等。对于令牌的失去同步的情况，事件同步的服务器使用增大偏移量的方式进行再同步，服务器端自动向后推算一定次数的密码，来同步令牌和服务器；当失去同步的情况非常严重，大范围超出正常范围时，通过连续输入两次令牌计算出的密码，服务器将在较大的范围内进行令牌同步。一般情况下，令牌同步所需的次数不会超过3次，但在极端情况下，不排除失去同步的可能性，例如电力耗尽，在更换电池时操作失误等，此时，令牌仍可通过手工输入由管理员生成的一组序列值来实现远程同步，而无需返回服务器端重新同步。
　　挑战／应答方式的异步认证技术。对于异步令牌，由于在令牌和服务器之间除相同的算法外没有需要进行同步，故能够有效地解决令牌失去同步的问题，极大地增加了系统的可靠性。异步口令的缺点主要是在使用时，用户需多―个输入挑战值的步骤，对于操作人员，增加了复杂度，故在应用时，要根据用户应用的敏感程度和对安全的要求程度来选择密码的生成方式。
　　
　　3　应用案例
　　
　　近年来，随着网络安全事件的大幅度上升，动态口令身份认证系统越来越受到青睐。目前，动态口令已经在各种网络上得到了广泛应用：通过动态口令，企业员工可安全地访问企业内部网，股民可放心地进行证券网上委托交易，银行用户可方便地进行网上银行交易，玩家可以有效地保护虚拟财产，其他 如电子报关、电子报税、电子政务等等也都采用了动态口令身份认证技术。下面将进一步分析一些具体应用案例。
　　网上银行案例：
　　随着电子商务的不断发展，越来越多的银行开展网上银行业务，无论是国际的银行巨头还是国内的四大银行都陆续推出了网上银行业务。为保证网上银行交易的安全性，应用了动态口令认证。
　　中国银行使用的动态口令牌是一种内置电源、密码生成芯片和显示屏的专用硬件，它根据专门的算法每隔一定时间自动更新动态口令。其使用十分简单，实现了与电脑的完全物理隔离，无需安装驱动和记忆密码，动态口令牌采取一次一密的方式，每60秒随机更新一次，使得不法分子难以仿冒合法用户的身份，大大提升了网上银行的安全性。具体使用要点如下：用户首先到中国银行营业点办理网上银行业务，注册开通相关帐号，申请动态口令牌并进行银行卡或银行存折的关联。用户登录网上银行时，除了使用用户名、密码之外，还需要输入动态口令牌显示的当前口令；对于高风险的业务操作，如向他人转账、密码找回等，均需要再输入动态口令牌显示的当前口令。
　　网络游戏案例：
　　网络游戏也是动态口令双因素认证技术应用的热门行业。网游盗号问题的存在，直接威胁玩家的虚拟财产(如装备、道具)安全，一旦玩家虚拟财产受损，会导致玩家的投诉或离开游戏，对游戏运营带来负面影响。因此国内主要的网络游戏运营商，包括盛大、网易、九城、腾讯等，都先后推出了各自的动态口令产品，包括一体化令牌(盛大密宝、网易将军令等)和矩阵式动态口令卡(密保卡)，这些动态口令产品正在为越来越多的网游玩家提供账户和虚拟资产保护。
　　上海盛大网络发展有限公司推出了其自主研发的“盛大密宝”，它采用基于时间同步的动态密码认证技术，每分钟能够生成―个新的、且不能重复使用的动态密码。该产品在第二届中国网络游戏年会评选中获得了“2004年度最佳网络游戏帐号安全方案奖”。“盛大密宝”可以绑定各类互联网应用。目前盛大旗下传奇世界、起点中文网、泡泡堂、梦幻国度等不同产品均可使用，同时盛大公司还将其应用推广到了同花顺、金银岛、中商网、51Piao和智买道等等其他电子商务的网站上。
　　企业内部应用案例：
　　在企业内部应用领域，动态口令认证技术主要用于远程用户访问的身份认证、操作授权、技术人员进行系统和网络维护登录等。如当企业员工通过VPN远程接入到内部系统时，由于VPN接入使用静态密码帐号，黑客们可能通过木马、病毒等键盘窃听程序或者暴力破解程序从VPN使用者主机中获得VPN Client的帐号密码，冒充授权用户登录内部网；身份认证作为安全的第一道关口，如果密码被窃取，那么所有的保护措施都会失效。
　　从安全控制的角度看，上海超级计算中心网络系统，由网络、服务器、应用三个层次构成，每一层次又由若干部件构成。对于网管人员来说，为了记住众多服务器及网络设备的密码，常会使用重复并且简单的密码，而对于使用主机服务的用户来说，密码被破解将致使他们的重要数据被窃取，所以认证和密码管理是重要的安全问题。因此上海超级计算中心在高风险高价值的身份认证处理过程中采用了双因素身份认证技术。
　　
　　4　结束语
　　
　　动态口令认证不改变用户现有的使用习惯，通常不需要客户服务支持即可完成各种应用的登录，用户使用非常简单，有效地体现了安全性和可用性的平衡。动态口令认证可以非常方便地嵌入到已有应用系统，易与现有的应用系统连接，对正在运行的应用系统仅需做极小改动。采用专用认证服务器进行认证，可保障现有应用系统的完整性，保护系统资源。专用认证服务器通常具有非常强的可扩展性与升级能力，能够提供足够的扩展空间以适应不断发展的应用需求。
　　基于时间同步认证技术的口令只在一分钟内有效，较好地体现了技术的安全性，规避了大部分安全隐患。而基于事件同步认证技术存在着密码可能长时间被人偷窥的问题，有较大的安全隐患。当前，市场上使用最多的是时间同步认证技术。