OTP与加密狗应用系统的集成方法
提起动态令牌,大家都会想到认证服务器,而这个认证服务器又怎么应用到实际的应用系统中呢?在这里做一个分析和说明,帮助广大用户能够更好的使用OTP动态令牌这种身份认证产品。
服务器端是在一个范围内计算出多个OTP,然后检验客户端硬件产生的OTP口令是否在这个范围内。那么服务器端只要能够完成这样的验证就可以了。实际上所有厂家的OTP认证服务器都是建立在这个认证基础上的。即认证接口是服务器的本质和核心。
而OTP厂商提供的服务器软件无非就是在这个认证接口上增加其他的功能,如:数据库表定义、令牌管理工具、Radius支持、各种认证代理插件等,但最终都会归到这个认证接口完成最终的认证。另外,在某些情况下,OTP厂商也会将认证服务器软件安装到硬件服务器上,将硬件设备一同销售给客户。
从上面的分析可以看出,可以有3种模式将OTP系统集成到应用系统中,即:核心接口开发模式、服务器接口开发模式和服务器代理模式。下面就来说明一下它们的特点。
服务器接口开发模式
这种模式下,需要安装OTP厂商提供的服务器软件,安装OTP服务器软件的机器就是OTP认证服务器。可以在服务器端调用服务器接口,或者在web服务器机器上调用代理接口将OTP集成到应用系统中。
服务器接口是指应用系统直接调用这个接口,接口直接调用数据库取得需要的数据,完成认证,如下所示:
OTP传给 读/写认证信息
客户端―――――>应用系统后台认证模块―>调用服务器接口 <―――――――>数据库
代理接口是指通过认证代理,认证代理再将认证信息传给服务器进行认证,如下所示:
OTP传给 读/写认证信息
客户端―――――>认证代理接口->认证服务器 <―――――――>数据库
综上,可以认为认证服务器是在服务器接口基础上封装好的有图形操作界面的软件。代理接口是在使用到负载均衡时会采用的手段,一个代理会根据优先级设置查找多个认证服务器,一个服务器也可以按照优先级设置接收多个认证代理的请求。坚石诚信的OTP认证服务器软件采用了多种优化措施,以及多进程/多线程的高效处理,每秒钟能够完成3300次以上的认证。就目前实际情况而言,不超过千万级别的用户,都是没有必要做负载均衡的。
在这种模式下,需要数据库中按照OTP厂商定义的表结构创建数据库表,在调用接口中的API函数前,都需要先与数据库进行连接。集成过程如下:
(1)安装OTP认证服务器软件,包括OTP认证服务和OTP管理工具。
(2)在OTP管理工具中创建数据库及符合OTP厂商定义的数据库表。
(3)在应用系统中调用服务器接口API或者代理接口API完成认证。
服务器代理模式
该模式主要是针对一些具体应用而设计,不需要进行API接口开发就可以完成集成。由于其关联的东西较多,且软件界面都会有OTP厂商的标识,相对而言灵活性较差。这些具体应用一般包括:IIS/Apache网站保护、VPN Radius登录保护、Windows登录保护、Linux登录保护、Citrix远程登录保护、OWA登录保护等。集成过程如下:
(1) 安装OTP认证服务器软件,包括OTP认证服务和OTP管理工具。
(2)根据不同的应用,安装对应的认证代理安装包。
(3) 在应用中配置OTP认证保护。
下面我们用一个表格来对比一下上述三种集成的特点:
核心接口开发 服务器接口开发 服务器代理
集成工作量 1-2天 1周 1周
API接口调用 2个接口 服务器:70个接口 代理:20个接口
手机/短信令牌 支持 支持 支持
认证级别 千万级用户 千万级用户 千万级用户
灵活性 根据实际情况全 根据实际情况全
部灵活调整 部灵活调整 调整需订制
费用 免费 有偿使用 有偿使用
C,Java等各种支 C,Java等各种支
支持语言 持DLL/SO调用的 持DLL/SO调用的 无开发
开发语言 开发语言
Windows全系列 Windows全系列 Windows全系列
支持系统 Linux全系列、Unix Linux全系列、Unix Linux全系列、Unix
Solaris、FreeBSD Solaris、FreeBSD Solaris、FreeBSD
OTP动态令牌是一种新型的强身份认证的信息安全产品,由于其具有使用简单,携带方便,安全性高,美观时尚等优点,已经广泛应用在网银系统,电子办公系统,网络游戏,网络支付等众多领域。充气水滑梯
OTP原理:
OTP动态密码的产生主要是通过内置在硬件中不可导出的密钥与一个变化因子通过安全算法进行计算完成的。即:
算法{密钥(也称为种子),动态因子(时间,事件,冲击响应……)}=OTP口令
算法
可以看到算法有两个输入因子:密钥和动态因子。算法的好坏也决定了OTP的安全程序,一般算法应该考虑几点因素:
l
权威性:一个算法是需要经过长时间的研发积累,经过长期广泛的市场验证才能够走向成熟。真正成熟算法的研究需要几年,甚至十几年的时间。坚石诚信ET系列动态令牌采用OTP领域中公认的最具权威的OATH国际组织的安全算法。算法的安全性得到了有效保障。自定义算法未被广泛验证和认可,安全性是一个未知数。
l
安全性:OTP的算法一般不采用对称加解密算法,如:3DES,AES等。而采用单向散列算法。原因是这样的,拿时间型令牌说明,密钥+时间(动态因子)=OTP,时间是知道的,每分钟产生的动态口令能通过硬件知道,3DES算法也是公开的,这样就有反推出密钥的可能性。而单向散列算法,即使知道通算法计算的结果OTP,由于算法保证单向,那么从根本上就断绝了反推密钥的途径。
l
效率/耗电:OATH算法是国际OTP领域中公认的安全算法。坚石诚信ET系列动态令牌的OATH算法单次运行时间<1ms,用时极短,耗电极少。保证电池能够正常使用3年以上。按键开关显示OTP设计,更能保证电池寿命可长达5年以上。
密钥
l
唯一性:每个动态令牌中的密钥都是唯一且不相同的,每个动态令牌与不同的用户绑定,那么该令牌中的密钥就代表这个用户的身份。坚石诚信ET系列OTP动态令牌产品的密钥符合OATH组织规定的160位(20字节)长度。
l
不可复制:动态令牌硬件保证密钥不可导出,断电即毁。动态口令的计算在硬件内部完成。保证了密钥的安全。
l
产生/生产:两种模式保证了OTP密钥的唯一性:软实现(符合FIPS140-2标准),硬实现(使用国密办认证的硬件加密卡)。生产时密钥以密文的方式烧入到智能卡中(智能卡由专门的授权的人员负责,读卡器、通讯协议、COS都是自主研发,不公开),使用工控机烧入动态令牌密钥时,智能卡的COS会将烧入成功的密钥删除,所有的密钥烧录成功完成后,智能卡中就没有密钥了。
动态因子
动态因子可以有多种选择,目前较多使用的有如下3种:
时间型:以时间为变化因子
事件型:以每次触发计算动态口令的计算事件行为为变化因子
冲击响应:以服务器产生的随机数为变化因子
目前国内以时间型最为流行。
l
精确性:动态令牌硬件中的时钟芯片的精确性保证OTP计算的准确性。当时钟芯片中的时间与计算机服务器的时间都符合标准时间,才能保证OTP认证系统的流畅运行。坚石诚信ET系列动态令牌对每只出厂的动态令牌中的时钟芯片及晶振都做了精确调整,保证每年内时间误差不超过2分钟。
l
认证窗口:认证窗口是用于调整硬件中时钟芯片的时间与计算机服务器时间偏差的一种手段。一般都是在计算机服务器中按照窗口范围计算多个动态口令,硬件产生的动态口令在这个范围内就视为认证通过。