使用一次性密码解决方案更安全地验证身份

核心提示： 那么，究竟应选择哪种方法呢？由于希望了解其工作原理，使用一次性密码解决方案更安全地验证身份(3)，因此我创建并测试了一个解决方案，接下来，请记住：在生产环境中，应通过在客户端和服务器之间配置信任关系以及限制无效的登录尝试等方法，我将介绍如何使用 IIS 7.0 和密钥哈希消息身份验证来创建

那么，究竟应选择哪种方法呢？由于希望了解其工作原理，因此我创建并测试了一个解决方案。接下来，我将介绍如何使用 IIS 7.0 和密钥哈希消息身份验证来创建与计数器同步的 OTP（如 RFC 2104 和 RFC 4426 标准所述。其中 RFC 2104 是“HMAC:键入-散列法用于信息身份验证”，网址是 go.microsoft.com/fwlink/?LinkID=112151；而 RFC 4226 是“HOTP:基于 HMAC 的一次性密码算法”，网址是 go.microsoft.com/fwlink/?LinkID=112153）。

因为是测试部署，我将使用简单的客户端应用程序来创建 OTP。如前所述，在实际情况中，您可能希望将其与防篡改硬件设备结合使用。我将大致介绍使用这种方法所需的基础知识，并提供一些入门资源。

完整的 OTP 解决方案

为构建 OTP 解决方案，我需要创建一个基于标准的 OTP 身份验证 Web 服务，该服务由 SQL Server® 提供支持且集成到 ASP.NET 中。我将创建一个 OTP 生成器，通过将其安装到每台客户端计算机上，用户就可运行它来生成新的 OTP。

当收到 Web 浏览器提示时，用户需要键入 OTP 值并单击“Submit”（提交）按钮进行身份验证。OTP 插件模块从 IIS 得到通知，并且随后调用 Web 服务来检验身份验证请求。Web 服务在 SQL Server 表中查找用户的密钥和计数器值、检验 OTP 计算，并响应身份验证为成功还是失败。

图 1 显示了示例解决方案的体系结构。请记住：在生产环境中，应通过在客户端和服务器之间配置信任关系以及限制无效的登录尝试等方法，进一步强化此体系结构来杜绝拒绝服务 (DoS) 攻击。