双因素身份认证动态口令技术原理及优势.docxVIP

双因素身份认证动态口令技术原理及优势双因素身份认证技术原理及优势 双因素认证技术如今已经广泛应用于C端用户和B端用户，双因素认证类型 包含动态口令、生物识别、U盘证书等，由于动态口令的全场景兼容性和使 用的便捷性，应用最为广泛，最常见的就是短信验证码，短信验证码就是动 态口令的一种。 动态口令除了有短信验证码，还有硬件令牌、软件令牌（APP令牌、微信/ 企微小程序令牌、钉钉小程序令牌、飞书小程序令牌、H5令牌）等，其中硬 件令牌和软件令牌技术原理一样，短信验证码属于消息令牌，消息令牌的技 术原理会有所不同，接下来就详细剖析下这两类令牌的技术原理。 硬件令牌和软件令牌这类令牌通常每60s自动变换1次，令牌端根据加密算法、唯一识别号和当 前时间三种要素自动生成6位随机数字（也可以是4位），在服务端，也有 同样的加密算法、唯一识别号和时间，以此生成同样的动态口令，验证通过；消息令牌 同样的加密算法、唯一识别号和时间，以此生成同样的动态口令，验证通过； 因为消息令牌需要短信网关，认证逻辑和原理有所不同，需要借助做过的实 际案例描述（详细案例可有哪些信誉好的足球投注网站“中科恒伦双因素认证助力青岛双瑞云桌面登录 保护”）部署架构 注：CKEY SERVER指中科恒伦双因素认证系统；Netscaler Netscaler Netscaler外网DMZ内网 Netscaler 外网 DMZ 内网 l.Netscaler通过Radius协议访问CKEY 1812端口完成对接； .Netscaler通过LDAP协议访问AD同步账号；.CKEY通过LDAP协议访问AD 389端口同步账号和对应的手机号； .CKEY调用短信网关接口发送短信；访问流程 Netscaler外网I1、输入用户茗密码餐录1——6、输入前态码9、根据认后结果 允许/禁山黄录4、波送短信指令8、返回动态码和第蕊码认证结果2、转发至CKEY7、转发至CKE丫 Netscaler 外网 I 1、输入用户茗密码餐录 1—— 6、输入前态码 9、根据认后结果 允许/禁山黄录 4、波送短信指令 8、返回动态码和第蕊码认证结果 2、转发至CKEY 7、转发至CKE丫 I 3、转发至4D I EY SERVER I 4、返回认证后果 I AD SERVER DMZ 内网 .Netscaler将用户名、静态密码转发至CKEY做认证；.CKEY将用户名、静态密码转发至AD做认证； .AD返回认证结果，同时CKEY生成动态码并向短信网关发送一条指令：请 将该动态码发送至指定手机号（此处指定手机号是指该账号对应的手机号， AD同步获得）；.短信网关收到指令并执行发送； 6,用户的手机号收到短信验证码，输入登录；.Netscaler将短信验证码转发至CKEY ; .CKEY验证动态码正确与否，然后将验证结果和AD的验证结果反应至Netscaler ; .Netscaler根据反应结果允许/禁止用户登录，当且仅当静态密码和动态口令都验证正确的情况下才允许用户登录，否那么登录失败； 稍微总结下： 消息令牌是先向服务端申请动态口令，然后服务端生成后通过第三方服务发 给用户端，最后再发给服务端申请认证！ 而硬件/软件令牌是用户端自己生成动态口令，直接发给服务端认证，这是两 者核心认证逻辑的区别；动态口令本身的优势点是非常多的 1、通常情况下动态口令是6位数，每1位由“0-9”10个数字组成，所以每个动态口令有100万种变化可能； 2、中科恒伦双因素身份认证系统后台可以设置错误尝试次数，比方3次， 当错误超过3次，就会锁定当前账号（默认3分钟后自动解锁），此时服务 端拒绝验证动态口令，此时被暴力破解的几率是3/100万；3、正常动态码1分钟变换1次，所以等3分钟自动解锁后，动态口令已经 变成了新的，前面的3次尝试无效，需要从头开始尝试，所以整体被暴力破 解几率维持在3/100万； 4、另外默认情况下同一个动态口令只能使用1次，再次使用是无效的，比 如我要登录一个系统，拿出或收到动态口令输入系统登录，此时却不小心被 其他人看到了动态口令，他拿着我的动态口令去登录我的账号是无法登录 的，这就有效杜绝被偷窥风险；硬件令牌、软件令牌、消息令牌优劣各有千秋 硬件令牌优劣: 1、完全独立存在，平安性最高；2、防爆防拆防破解，结实耐用； 3、可随身携带，适用于任何场景（局部严格的机房不让带手机，也没有信 号，只有硬件令牌适合）；唯一的缺点就是贵一些！ 软件令牌优劣: 下一 口令将更换于32s后 CHELEN CHELEN 中科恒伦 1、移动端软件，随身携带； 2、动态码实时离线生成，不受网络信号限制，随时用随时看； 3、纯软件，性价比高！ 劣势有二： 1、受手机本身的影响，如果没电就无法使用； 2、局部不让带手机的场合无法使用；消息令牌