WEB开发网
开发学院网络安全安全技术 双因素认证技术剖析 阅读

双因素认证技术剖析

 2007-07-26 13:05:55 来源:WEB开发网   
核心提示: RADIUS是RFC 2865"远程身份验证拨入用户服务 (RADIUS)"和 RFC 2866"RADIUS 记账"中描述的业界标准协议,RADIUS客户端(通常为拨号服务器、VPN 服务器或无线访问点)以RADIUS消息的形式向 RADIUS服务

RADIUS是RFC 2865"远程身份验证拨入用户服务 (RADIUS)"和 RFC 2866"RADIUS 记账"中描述的业界标准协议。RADIUS客户端(通常为拨号服务器、VPN 服务器或无线访问点)以RADIUS消息的形式向 RADIUS服务器发送用户凭据和连接参数信息。RADIUS初衷是用来管理使用串口和调制解调器的大量分散用户,但在今天更多的是和AAA配合使用。

AAA是验证授权和记账Authentication、Authorization、Accounting 的简称。它是运行于NAS上的客户端程序,它提供了一个用来对验证、授权和记账这三种安全功能进行配置的一致的框架。AAA的配置实际上是对网络安全的一种管理,这里的网络安全主要指访问控制,包括哪些用户可以访问网络服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记账。

验证(Authentication): 验证用户是否可以获得访问权

授权(Authorization) : 授权用户可以使用哪些服务

记账(Accounting) : 记录用户使用网络资源的情况

要真正实现双因素认证,就是让上述3个组件协同工作起来。管理服务器在选定的网络节点之间(通过签发代理主机证书) 建立一个保护的环境。每个受保护的网络节点都是一个客户端,必须运行认证代理软件。用户访问受保护网络节点时,客户端软件代理要求用户输入验证信息(用户名,PIN码和动态密码),并同时将客户端的节点密文传输到管理服务器。管理服务器在接受到验证信息后,首先根据节点密文确定客户端是否为可信节点。

然后根据用户名在用户信息数据库中取出用户的初始密钥,并在当前时间前后的一定时间段内生成一系列动态口令(注意:这个时间段设置上很有讲究,我在第一次设置的时候选择了30秒,但当时的拨号用户由于速度太慢,根本完成不了输入过程),如果用户提交的动态口令在这组口令中得以匹配,并且PIN码也相符,则可以认定该用户为合法用户,接受用户的验证请求。这就是动态口令和用户PIN码相结合的处理过过程,如下图所示:

上一页  1 2 3 

Tags:因素 认证 技术

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接