可以的啊,我们公司用的就是rsa,是可以给每个令牌设定自己的前缀的
2008/9/23 54neteky <[EMAIL PROTECTED]> > 现在电信、银行包括很多企业内部已经在使用动态口令了,动态口令是对于账号安全的一个趋势,现在也有很多这方面的产品,如RSA > SecurlID、启明星辰的天瑶动态身份认证系统等等。从网络上找了些相关资料。动态口令技术主要分两种:同步口令技术和异步口令技术。同步口令技术又分为基于时间的口令同步和基于事件的同步口令。 > > > 时间同步:基于令牌和服务器的时间同步,通过运算来生成一致的动态口令,基于时间同步的令牌,一般更新率为60S,每60S产生一个新口令,但由于其同步的基础是国际标准时间,则要求其服务器能够十分精确的保持正确的时钟,同时对其令牌的晶振频率有严格的要求,从而降低系统失去同步的几率,从另一方面,基于时间同步的令牌在每次进行认证时,服务器端将会检测令牌的时钟偏移量,相应不断的微调自己的时间记录,从而保证了令牌和服务器的同步,确保日常的使用,但由于令牌的工作环境不同,在磁场,高温,高压,震荡,入水等情况下易发生时钟脉冲的不确定偏移和损坏。故对于时间同步的设备进行较好的保护是十分必要的,对于失去时间同步的令牌,目前可以通过增大偏移量的技术(前后10分钟)来进行远程同步,确保其能够继续使用,降低对应用的影响,但对于超出默认(共20分钟)的时间同步令牌,将无法继续使用或进行远程同步,必须返厂或送回服务器端另行处理。同样,对于基于时间同步的服务器,应较好地保护其系统时钟,不要随意更改,以免发生同步问题,从而影响全部基于此服务器进行认证的令牌。 > > > > 事件同步:基于事件同步的令牌,其原理是通过某一特定的事件次序及相同的种子值作为输入,在DES算法中运算出一致的密码,其运算机理决定了其整个工作流程同时钟无关,不受时钟的影响,令牌中不存在时间脉冲晶振,但由于其算法的一致性,其口令是预先可知的,通过令牌,你可以预先知道今后的多个密码,故当令牌遗失且没有使用PIN码对令牌进行保护时,存在非法登陆的风险,故使用事件同步的令牌,对PIN码的保护是十分必要的。同样,基于事件同步的令牌同样存在失去同步的风险,例如用户多次无目的的生成口令等,对于令牌的失步,事件同步的服务器使用增大偏移量的方式进行再同步,其服务器端会自动向后推算一定次数的密码,来同步令牌和服务器,当失步情况经非常严重,大范围超出正常范围时,通过连续输入两次令牌计算出的密码,服务器将在较大的范围内进行令牌同步,一般情况下,令牌同步所需的次数不会超过3次。但在极端情况下,不排出失去同步的可能性,例如电力耗尽,在更换电池时操作失误等。此时,令牌仍可通过手工输入由管理员生成的一组序列值来实现远程同步,而无需寄回服务器端重新同步。 > > > 异步口令技术: > > > > 而对于异步令牌,由于在令牌和服务器之间除相同的算法外没有需要进行同步的条件,故能够有效的解决令牌失步的问题,降低对应用的影响,其另外一个好处是,在网络传输过程中没有出现密码的传输,哪怕是动态密码。从另一个方面,极大的增加了系统的安全性。异步口令使用的缺点主要是在使用时,用户需多一个输入挑战值的步骤,对于操作人员,增加了复杂度,故在应用时,将根据用户应用的敏感程度和对安全的要求程度来选择密码的生成方式。 > > ----- Original Message ----- > From: "tom book" <[EMAIL PROTECTED]> > To: <[email protected]> > Sent: Tuesday, September 23, 2008 10:21 AM > Subject: [Ph4nt0m] Re: 关于动态口令认证 > > > > 电信内部就用这个方法的。有个USB的KEY生成器。 > > 我分析原理这样的, > > 比如 有张表里面有1000个KEY,有顺序的,循环。 > > 初始化是记录1,然后动态KEY,第2次用了记录15,第3次必须用记录15以后的KEY,就算你猜出记录2-14也没有用。 > > > > > > 2008/9/22 54neteky <[EMAIL PROTECTED]>: > >> hi,all: > >> > >> > >> > 由于安全方面的考虑,拟打算在公司的VPN和服务器身份认证过程中使用动态口令身份验证,了解了目前的一些动态口令认证的产品,但是基本都是直接依靠生成的动态口令来验证的,一旦用来生成动态口令的这个key丢失了还是一样会存在安全隐患,有没有一种传统的认证和动态口令认证相结合的方案?比如为每个用户设置一个不同的前缀(例如密码前5位固定,但不同用户的这5位是不同的),后面几位采用动态口令,不知是否可行?有用过这种认证的兄弟请指点一二。 > >> > > >> > > > > > > > > -- > > ToMBo0K > > > > > > > > > > --~--~---------~--~----~------------~-------~--~----~ 要向邮件组发送邮件,请发到 [email protected] 要退订此邮件,请发邮件至 [EMAIL PROTECTED] -~----------~----~----~----~------~----~------~--~---
