一、?網絡安全認證的需求背景
?網絡釣魚、欺詐等網絡犯罪現象已經達到非常嚴峻的情況，用戶如果只依賴個人密碼進行帳戶登錄或網上交易，是非常危險和不可靠的認證方法。針對這些問題，北京中科恒倫科技有限公司推出基于動態令牌的雙因素身份認證服務，對象是那些為企業×××安全登錄、IDC遠程訪問管理、消費者提供網上交易和服務的網上商戶。他們只要安裝了中科恒倫的雙因素認證系統，便能為其客戶提供身份認證服務，使其消費者日后能以簡單輕松的方法，隨時隨地享受網上服務。IT管理員或者終端消費者也不用再終日提心吊膽，網上商戶因此能與其客戶建立更親密和信任的關系。?
二、???現存主要的身份認證技術分析?
目前，計算機及網絡系統中常用的身份認證方式主要有以下幾種：
?1．用戶名/密碼方式?
用戶名/密碼是最簡單也是最常用的身份認證方法，是基于“what?you?know”的驗證手段。每個用戶的密碼是由用戶自己設定的，只要能夠正確輸入密碼，計算機就認為操作者就是合法用戶。出于對安全的要求，要求用戶定期更改密碼，且不能重復，而實際上，由于許多用戶為防止忘記密碼，經常采用諸如生日、電話號碼等容易被猜測的字符串作為密碼，或者把密碼抄在紙上放在一個自認為安全的地方，這樣就容易造成密碼泄漏。即使能保證用戶密碼不被泄漏，由于密碼是靜態的數據，很容易被駐留在計算機內存中的×××程序或網絡中的監聽設備截獲。因此，從安全性上講，用戶名/密碼方式是一種極不安全的身份認證方式。
?2．智能卡認證?
智能卡是一種內置集成電路的芯片，芯片中存有與用戶身份相關的數據，智能卡由專門的廠商通過專門的設備生產，是不可復制的硬件。智能卡由合法用戶隨身攜帶，登錄時必須將智能卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。智能卡認證是基于“what?you?have”的手段，能過智能卡硬件不可復制來保證用戶身份不會被仿冒。然而由于每次從智能卡中讀取的數據是靜態的，通過內存掃描或網絡監聽等技術還是很容易截取到用戶的身份驗證信息，因此還是存在安全隱患。
?3．動態密碼認證?
動態密碼認證是一種基讓用戶密碼按照時間或使用次數不斷變化、每個密碼只能使用一次的技術。其技術是基于動態令牌的，密碼生成芯片運行專門的密碼算法，根據當前時間生成當前密碼并顯示在顯示屏上。認證服務器采用相同的算法計算當前的有效密碼。用戶使用時只需要將動態令牌上顯示的當前密碼輸入客戶端計算機，即可實現身份認證。由于每次使用的密碼必須由動態令牌來產生，只有合法用戶才持有該硬件，所以只要通過密碼驗證就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同，即使×××截獲了一次密碼，也無法利用這個密碼來仿冒合法用戶的身份?。?
4．生物識別技術?
生物識別技術主要是指通過可測量的身體或行為等生物特征進行身份認證的一種技術。生物特征是指唯一的可以測量或可自動驗證的生理特征或行為方式。生物特征分為身份特征和行為特征兩類。身體特征包括：指紋、掌型、視網膜、虹膜、DNA等；行為特征包括：簽名、語音、行走步態等。基于生物特征的身份認證機制容易受外界因素影響(如噪聲、位置、方向以及光照的變化或主體本身的特征改變)，使得在提取生物特征或進行匹配時產生困難。此外，所有基于生物特征的識別技術是利用提取的生物特征數據作為識別碼，因而在傳送中易被非法截獲，而且生物特征識別技術的成本較高。??
三．北京中科恒倫科技有限公司的基于動態令牌的雙因素身份認證解決方案?
北京中科恒倫科技有限公司?是一家提供消費者身份認證解決方案的公司，專為網上商戶如網上銀行、IDC服務器和交換機管理、×××安全登錄認證、電子商務、網游公司等服務，向其客戶提供雙因素身份認證服務，讓消費者能隨時、隨地享受安全和方便的網上交易服務。
?1．CKEY令牌?
CKEY消費者身份認證服務采用業界知名的硬件令牌和技術，CKEY令牌?采用時間同步技術，實現?每?60?秒時間變動一次密碼。每一令牌有一個唯一的種子，根據行業標準?運算法則每?60?秒時間就產生一次新的密碼。因為產生的密碼是不可預測、動態的，使×××很難在任一時間內測出正確的密碼。這項技術把身份認證設備和服務器相聯系匹配，從而保證了其高度的安全性。只要你考慮到重要的信息資源暴露的風險性，你就會認為這種保護是必不可少的。?
CKEY硬件令牌?的使用就如同輸入個人密碼一樣簡單，但是要安全得多。每一個最終使用者都會被發到一個令牌，這個令牌每?60?秒產生一個一次性密碼。在登陸時，用戶輸入個人的原有密碼（靜態密碼）后，再輸入令牌上顯示的動態密碼，實現安全的雙因素身份認證保護。??
動態令牌的特點：
?使用直觀、簡易及一次性口令；?
令牌內電路不可讀，無法破解、篡改和復制；?類似信用卡大小，容易攜帶；?清晰可讀的LCD顯示屏；?
每60秒鐘自動產生無法預測的單次使用存取密碼；?
每張卡自帶唯一128位種子號，并且和認證服務器時間同步；?無須其他讀取設備；?防水性強；?防靜電性強；?防震性強。?
2．認證服務器?
認證服務器可以實現以下功能：?
企業認證：保證登錄的用戶確實為授權的個體，大大降低×××和非法訪問的風險??訪問控制：自定義訪問權限，保護對專用網絡系統、文件及應用的訪問??規避×××：識別非法用戶接入網絡，并有效防范。?
用戶責任：訪問歷史日志保證用戶不會被任何非法訪問事件所牽連??
3．代理軟件?
實現這種強大的認證功能的中間代理軟件的功能類似于保安人員，用來實施SAE/Server系統建立的安全策略。SAE/API是一種設備專用代理軟件，已經內置在大多數業內主流的網絡設備和瀏覽器以及Web服務器軟件系統中，允許安全管理員通過鼠標點擊，而不是編寫代碼，為用戶和保護的資源選擇和應用相應的設置。?中間代理軟件的特點是:?
●提供天衣無縫的集成，不需要安裝客戶端軟件?
●現有的主流網絡設備已預裝。CKEY擁有最廣泛的全球身份認證合作伙伴,?共有170家236種產品支持CKEY?SecurID,?如Cisco，3Com,?華為A8010，Alcatel等等。?
●支持現有的大多數主流平臺。CKEY支持Sun?Solaris,?IBM?AIX,?HP-UX?，SunOS，IRIX.BSDi,Free,BSD,Redhat?LINUX,?OS/390,?OS/400,?Dec?Unix,?Unisys,?SGI,?MAC?OS,?DG/UX,?Netware,?Palm?OS,?Rocket?z/OS等操作系統的認證保護.??
●支持Mircrosoft?RAS遠程訪問認證。?
●CKEY支持Microsoft?IIS,?iPlanet,?Apache,?Lotus?Domino?Web?Server等Web服務器.?
●易于配置、運行。?
4．中科恒倫雙因素身份認證解決方案的優勢?
與UCT時間同步?：令牌時鐘和認證服務器系統時鐘同步化為UCT（格林威治標準時間?）?有效令牌窗口和時鐘漂移調整?：適用于認證令牌中的時鐘略為偏離認證服務器的時間相位的情況?。?
與認證服務器（SAE/Server）進行散列通信?
認證服務器的災難恢復能力?：通過網絡連接恢復必要的數據到從認證服務器??
動聯并發動態令牌認證引擎：單臺認證服務器并發認證數達到1000以上，需大量并發認，可采用集群方式，進行自動的認證服務器負載.