【正文】 費(fèi)更少的時(shí)間RSA Ace 服務(wù)器需要附加的用戶(hù)管理6）Activcard有直觀和快速的管理RSA 使用 Unix 圖形方式，用戶(hù)界面不好、效率較低7）Activcard易實(shí)現(xiàn)多領(lǐng)域的管理RSA 不支持所有的領(lǐng)域管理更優(yōu)的性?xún)r(jià)比 1）ActivCard 提供的解決方案，滿(mǎn)足每個(gè)客戶(hù)對(duì)價(jià)格和價(jià)值的要求。2）設(shè)備銷(xiāo)售給客戶(hù)。而RSA租借設(shè)備!3）我們提供比RSA更優(yōu)惠的價(jià)格!4）保護(hù)客戶(hù)的投資5）同樣的價(jià)格，客戶(hù)能選擇在PKI，SKI和靜態(tài)密碼認(rèn)證方式中選擇最好的解決方案更優(yōu)性?xún)r(jià)比的優(yōu)勢(shì)1）Activcard設(shè)備具有永久的許可對(duì)于RSA：當(dāng)租期過(guò)期時(shí)，客戶(hù)必須再次租借設(shè)備2）對(duì)于ActivCard：設(shè)備銷(xiāo)售給客戶(hù)，電池可替換 3）設(shè)備只需一半價(jià)格RSA 設(shè)備比Activcard設(shè)備貴的多4）ActivCard的質(zhì)量/功能/價(jià)值更好RSA的價(jià)格更高，而提供的功能更少5）Activcard降低工作時(shí)的額外花費(fèi)RSA同步時(shí)占有全部的帶寬6）Activcard減少設(shè)備丟失的費(fèi)用當(dāng)你丟失一個(gè)還有2年許可的RSA 令牌，你必須重新?lián)Q一個(gè)新的3年許可的令牌：丟失了2年的許可費(fèi)用。Activcard具有更低的整體花費(fèi)（TCO）1）投資的價(jià)格2）操作/管理花費(fèi)3）對(duì)所有認(rèn)證辦法，統(tǒng)一的設(shè)備管理4）一臺(tái)服務(wù)器支持所有的PSDs6）升級(jí)到PKI時(shí)，客戶(hù)端無(wú)需額外的投資7）一臺(tái) LDAP 服務(wù)器可實(shí)現(xiàn)AAA, PKI, SSO, Applet 和 卡的管理,…3．1 ActivCard系統(tǒng)本身安全特性3．1．1 ActivCard 動(dòng)態(tài)密碼的安全性：1． 算法不可逆保證動(dòng)態(tài)密碼的安全：動(dòng)態(tài)密碼的認(rèn)證和授權(quán)流程如上圖所示，1） 用戶(hù)使用令牌的密鑰（Key1）和時(shí)間、事件計(jì)算出Password1（6位），然后再加上時(shí)間、事件變量的最后一位生成動(dòng)態(tài)密碼1（8位），最后遞交動(dòng)態(tài)密碼給RADIUS Client；2） RADIUS Client遞交動(dòng)態(tài)密碼給RADIUS Server（ActivPack Server）請(qǐng)求認(rèn)證；3） 根據(jù)RADIUS Client的認(rèn)證請(qǐng)求，觸發(fā)RADIUS Server上的API對(duì)RADIUS Client認(rèn)證請(qǐng)求進(jìn)行響應(yīng)；4） RADIUS Server根據(jù)遞交的用戶(hù)名找到對(duì)應(yīng)的密鑰（Key2），用密鑰（Key2）和時(shí)間、事件計(jì)算出Password2（6位，是不可見(jiàn)的），然后再加上時(shí)間、事件變量的最后一位生成動(dòng)態(tài)密碼2（8位）。將算出的動(dòng)態(tài)密碼2和RADIUS Client遞交來(lái)的動(dòng)態(tài)密碼1進(jìn)行比較，最后將比較結(jié)果（1/0）返回給RADIUS Client；5） RADIUS Client根據(jù)RADIUS 認(rèn)證服務(wù)器的返回結(jié)果（1/0）對(duì)用戶(hù)進(jìn)行授權(quán)或拒絕；根據(jù)以上所述，ActivPack算法的不可逆性保證了動(dòng)態(tài)密碼的安全。即使攻擊者設(shè)法獲取了密鑰，因?yàn)锳ctivPack服務(wù)器上無(wú)RADIUS Client認(rèn)證請(qǐng)求的觸發(fā)動(dòng)作，不會(huì)進(jìn)行動(dòng)態(tài)密碼的計(jì)算。同時(shí)，ActivPack服務(wù)器算出的Password2 也是不可見(jiàn)的，用戶(hù)只能得到兩個(gè)動(dòng)態(tài)密碼比較的結(jié)果（1/0）。這樣，就保證了動(dòng)態(tài)密碼的安全性。2． 密鑰采用3DES加密：ActivCard 使用ANSI DES密鑰導(dǎo)出/管理標(biāo)準(zhǔn)，當(dāng)你導(dǎo)出ActivCard 密鑰時(shí)，ActivPack服務(wù)器要求你必須設(shè)置16位密碼用于對(duì)ActivCard 密鑰進(jìn)行加密。這樣，當(dāng)你導(dǎo)入ActivCard 密鑰時(shí)，ActivPack服務(wù)器要求你輸入16位密碼解密。這樣，可保證ActivCard 密鑰的安全性。3． 時(shí)間和事件的變化 ActivCard公司開(kāi)發(fā)出動(dòng)態(tài)口令安全認(rèn)證技術(shù)。它采用了基于時(shí)間、事件和密鑰三變量來(lái)產(chǎn)生一次性口令。每個(gè)令牌都有一個(gè)唯一的密鑰，該密鑰同時(shí)存放在服務(wù)器端，每次認(rèn)證時(shí)令牌與服務(wù)器分別根據(jù)同樣的密鑰，同樣的隨機(jī)參數(shù)（時(shí)間、事件或挑戰(zhàn)）和同樣的算法計(jì)算了認(rèn)證的動(dòng)態(tài)口令，從而確?？诹畹囊恢潞驼J(rèn)證的成功，因每次認(rèn)證時(shí)的隨機(jī)參數(shù)不同，所以每次產(chǎn)生的動(dòng)態(tài)口令也不同。即使攻擊者獲取了密鑰，由于每次計(jì)算時(shí)其它參數(shù)（時(shí)間、事件）的隨機(jī)性保證了每次口令的不可預(yù)測(cè)性，從而在最基本的口令認(rèn)證這一環(huán)節(jié)保證了系統(tǒng)的安全性。4． 令牌卡和用戶(hù)的對(duì)應(yīng)關(guān)系： 令牌和用戶(hù)有對(duì)應(yīng)關(guān)系，即每塊令牌卡對(duì)應(yīng)一個(gè)確定的用戶(hù)。即使攻擊者獲取了密鑰，因不知道令牌和用戶(hù)的對(duì)應(yīng)關(guān)系，破解一次性口令幾乎不可能。5． 限制導(dǎo)出密鑰的操作：必須在ActivPack操作臺(tái)才能進(jìn)行導(dǎo)出密鑰的操作。這樣，我們可以用防火墻或物理隔離的辦法，降低攻擊者進(jìn)行這種操作的可能性。3．1．2 有效防范蠻力攻擊蠻力攻擊攻擊較慢，幾乎是不可能的。蠻力攻擊是指他人用人工或使用工具來(lái)猜測(cè)密碼，一次一條，直到能夠獲得訪問(wèn)權(quán)。根據(jù)一般密碼8位，密碼可使用10個(gè)數(shù)字符號(hào)來(lái)計(jì)算。即使攻擊者在知道用戶(hù)名的情況下，一次猜中的概率是10的8次方分之一（千萬(wàn)分之一），而我們?cè)贏ctivPack認(rèn)證服務(wù)器上設(shè)定輸入錯(cuò)誤的密碼幾次后該用戶(hù)被鎖定。因此，ActivPack可有效的對(duì)付蠻力攻擊。3．1．3 ActivPack系統(tǒng)的安全ActivPack系統(tǒng)的安全使用加密技術(shù)來(lái)保證。在默認(rèn)情況下，所有關(guān)鍵性的信息（靜態(tài)密碼和用于產(chǎn)生密鑰）都是用3DES加密后存儲(chǔ)在數(shù)據(jù)庫(kù)中。在正常工作情況下使用加密模式，只有我們?cè)谡{(diào)試時(shí)才使用未加密模式，保證數(shù)據(jù)的安全。ActivCard的認(rèn)證通訊，是基于RADIUS或Tacas＋安全協(xié)議，可保證數(shù)據(jù)傳輸中的安全。3．1．4 ActivPack服務(wù)器的性能指標(biāo)對(duì)于20000個(gè)用戶(hù)的認(rèn)證，Activcard推薦的ActivPack服務(wù)器的配置如下：1. CPU Pentium IV 1。5G2.1GB RAM3. SQL Database4. 2040GB HDD (depending on the log size)ActivCard 一臺(tái)認(rèn)證服務(wù)器每秒能夠支持60個(gè)并發(fā)認(rèn)證會(huì)話。你們可使用Microsoft Clustering來(lái)實(shí)現(xiàn)兩臺(tái)服務(wù)器負(fù)載均衡，這樣就可以支持更多的并發(fā)會(huì)話?，F(xiàn)在我們的一個(gè)客戶(hù)有1百萬(wàn)的用戶(hù)數(shù)，他們最大的并發(fā)會(huì)話是大約30－40個(gè)。因此，出現(xiàn)每秒鐘有200個(gè)并發(fā)會(huì)話的情況是極少的。3．2 ActivCard身份認(rèn)證系統(tǒng)的安全性3．2．1 ActivPack AAA 認(rèn)證機(jī)制流程 ActivPack 作為AAA 服務(wù)器，支持遠(yuǎn)程接入和VPN接入，支持應(yīng)用程序服務(wù)，為它們提供用戶(hù)身份驗(yàn)證、授權(quán)和統(tǒng)計(jì)功能。1 ActivPack V5 同步身份認(rèn)證機(jī)制流程ActivPack進(jìn)行同步身份認(rèn)證時(shí)，系統(tǒng)各部分的組成及工作過(guò)程如下圖所示：(1)、遠(yuǎn)程用戶(hù)想要訪問(wèn)內(nèi)部應(yīng)用程序服務(wù)器，應(yīng)用程序服務(wù)器要求AAA服務(wù)器對(duì)用戶(hù)進(jìn)行身份驗(yàn)證。(2)、AAA服務(wù)器向遠(yuǎn)程用戶(hù)發(fā)出請(qǐng)求身份驗(yàn)證的通知。(3)、用戶(hù)在令牌中輸入PIN碼后產(chǎn)生一個(gè)動(dòng)態(tài)的密碼，然后在應(yīng)用程序身份認(rèn)證窗口輸入用戶(hù)名和密碼。(4)、AAA服務(wù)器向LDAP服務(wù)器發(fā)出詢(xún)問(wèn)請(qǐng)求，詢(xún)問(wèn)與該用戶(hù)匹配的令牌號(hào)碼。(5)、LDAP服務(wù)器回應(yīng)AAA服務(wù)器該用戶(hù)的令牌號(hào)及有關(guān)的授權(quán)與審計(jì)等屬性信息。(6)、AAA服務(wù)器對(duì)用戶(hù)進(jìn)行身份識(shí)別后，向應(yīng)用程序服務(wù)器發(fā)出指令。(7)、用戶(hù)獲得訪問(wèn)授權(quán)。2 ActivPack 異步挑戰(zhàn)碼身份認(rèn)證工作流程ActivPack進(jìn)行異步挑戰(zhàn)碼身份認(rèn)證時(shí)，系統(tǒng)各部分的組成及工作過(guò)程如下圖所示：34 /