双因素认证技术剖析

核心提示： 所以，让用户可以接受的双因素身份认证机制还是第一种与物理因素的结合，双因素认证技术剖析(2)，现在比较成熟的产品一般是在静态密码的基础上，增加一个物理因素，根据这个中心数据库来认证用户，通常管理服务模块会采用RADIUS（Remote Authentication Dial In User

所以，让用户可以接受的双因素身份认证机制还是第一种与物理因素的结合。现在比较成熟的产品一般是在静态密码的基础上，增加一个物理因素，从而构成一个他人无法复制和识破的安全密码，又称动态口令验证机制。其主要思路是：在登录过程中加入不确定的变化的因素用以生成用户口令，以一次性动态口令登录，使得每次登录的认证信息都不相同。验证系统接收到登录口令后，进行验算即可确认用户的合法性，从而提高登录过程的安全性。

2．认证代理

认证代理是实现认证功能的中间组件，它部署在应用服务器上，用来实施动态口令的安全策略。常用的应用服务包括活动目录服务器、Web Services、远程访问服务器、VPN集中器等。主要功能是将具体应用的身份认证请求通过安全的通道传输给身份管理服务器，并通知用户验证结果。

当企业中的这些服务器安装了认证代理客户端软件后，就成为被保护的服务器。访问的用户无论是通过本地还是远程访问该服务器时，在得到访问授权之前，都将被截取。通过安全的通道向身份管理服务器证明身份之后，用户才会得到访问资源的权限，而这些服务的访问权限也是分别保护的，所以即使用户得到了一台服务器的访问权限也不会出现权限滥用的情况。

3．身份管理服务器

管理服务器是双因素认证系统的核心。其主要作用为：验证用户口令的有效性、向用户签发口令令牌、签发可信代理主机证书、实时监控，创建日志信息等。

管理服务器模块通常是在UNIX或NT机器上运行的监控程序。客户端软件负责把用户信息传递给指定的管理服务器，然后对返回的响应进行操作。管理服务器负责接收用户连接请求。在管理服务器中设立一个中心数据库，这个中心数据库包括用户身份认证信息(比如用户名，口令)，根据这个中心数据库来认证用户。通常管理服务模块会采用RADIUS（Remote Authentication Dial In User Service，远程身份验证拨入用户服务）服务器。