双因素认证解决方案

文章编号!007-757X（2020）02-0126-04基于FIDO协议双因素elD实名认证方案吴淼，严则明，黄俊（公安部第三研究所网络身份技术事业部，上海201204）摘要：为解决当前传统在线认证方案的缺陷，提出一种基于FIDO协议的双因素elD（公民网络电子身份标识）实名认证方案$对当前传统认证方案进行分析，结合移动终端特点，设计了一种基于移动终端的高效可靠的elD双因素实名认证方案，研究FIDO协议特点，设计了一种改进的FIDO U2F协议,将FIDO协议与公民网络电子身份标识elD相结合，实现本地生物特征和elD双因素认证。

实验结果表明，该认证方案更加安全便捷，同时能有效保护用户隐X$关键词：公民网络电子身份标识；FIDO协议；在线实名认证；双因素认证中图分类号：TP3O9文献标志码：ATwo-Factor Real-name Authentication Solution of elD Based on FIDO ProtocolWU Miao,YAN Zeming,HUANG Jun(EID Department!3rdResearch Institute!Ministry of Public Security!Shanghai201204)Abstract:In order to resolve the problems of traditional online authentication,a two-factor real-name authentication solution of eIDbasedonFIDOprotocolisproposed Thetraditionalauthenticationsolutionisanalyzed Ane f ectiveandreliabletwo-factor real-nameauthenticationsolutionbasedoneIDandFIDOisdesigned FIDO protocol is researched and an improved FIDO U2F protocolisdesigned A solution which is integrated FIDO protocol and eID is proposed by using the two-factor real-name au­thentication,biometric technique and elD.The results show that the solution is safer and more convenient than the traditional sys=em.Theuserprivacycanbepro=ec=edbyusing=hesoluion.Keywords：EID；FIDO；Online real-name authentication；Two-factor authentication0引言近几年随着我国互联网产业的飞速发展，电子商务、电子政务已经日益成为人们日常生活中必不可少的部分&在线身份认证作为网络空间安全的基石，同样需要与时俱进,提供用户更安全、更快捷的在线身份认证方案&在线身份认证是验证用户身份的真实性、防止身份伪造的重要手段，也是网络安全体系的基础，无论是数据加密、访问控制，还是其他网络安全技术都必须基于有效的在线身份认证'1（最为传统的在线身份认证基于用户名和密码，其缺点不言而喻，用户名和密码及易伪造、丢失和被暴力破解，并且用户名和密码数据存放于云端，很容易发生数据泄露的安全事故&近期很多撞库攻击、酒店、电商的用户数据泄露充分说明了这种在线认证方式已经无法满足公民对在线认证及公民个人隐私的安全需求。

华为云桌面双因素认证方案一、面临挑战1、安全威胁华为云桌面是由华为云提供的虚拟Windows桌面与应用服务，帮助企业将办公桌面快速、集中部署在云平台上，方便进行管理维护且节省企业成本，能让员工随时随地登录到自己的桌面环境中，实现移动办公。

但单一的静态密码登录验证机制下，不少员工仍采用初始密码或者过于简单的静态密码，非法入侵者若窃听到云桌面登录账号的用户名及密码，即可得到合法访问权限，并可通过合法访问权限访问内部系统，企业信息安全面临挑战。

2、管理成本为防止云桌面账号信息泄露，企业通常强制要求员工定期更换登录密码，给员工及IT运维人员带来许多不必要的麻烦；如没有及时收回账号，离职员工仍然有云桌面的合法访问权限，因此额外增加了IT部门的账号回收管理成本。

二、解决方案1.华为云桌面双因素认证解决方案概述静态密码只能对云桌面用户身份的真实性进行低级认证。

宁盾双因素认证在企业云桌面原有静态密码认证基础上增加第二重保护，通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式，实现双因素认证，提升账号安全，加强用户登录认证审计。

宁盾双因素认证服务器负责动态密码生成及验证，可同时无缝支持AD/LDAP/ACS等帐号源，接管云桌面帐号的静态密码认证工作。

通过在华为云桌面配置第三方RADIUS认证，指向宁盾双因素认证服务器（内置RADIUS SERVER）。

员工打开华为云桌面进行用户名+静态密码认证，认证通过之后获取动态密码（令牌产生/短信接收方式），从而进行动态密码验证，通过之后方可放行。

2.宁盾动态密码形式短信令牌基于短信发送动态密码的形式。

在用户完成华为云桌面帐号密码认证之后，宁盾双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上，用户输入该短信密码并提交验证通过后才能完成登录认证。

密码是一次性使用的，他人即使盗用了，也无法再次使用，从而能保证账号和信息的安全。

手机令牌基于时间的动态密码，由手机APP生成。

云主机双因素认证解决方案一、面临挑战由于云计算技术的兴起，越来越多企业已经搭建自己的公有云服务器，将数据托管于云服务商的数据中心。

企业上云是时代发展的大势所趋。

而公有云的公有性，导致云主机的安全问题也受到前所未有的考验。

企业对公有云数据的掌控力度减弱，一旦出现重要数据泄露、丢失或损坏将会对企业造成巨大危害。

公有云服务商的数据安全服务和数据备份措施是为保证整个数据中心的数据安全而进行的，并没有针对某个企业或某些数据的特别举措。

因此企业有必要加强自有云主机登录保护，为保障云数据安全设置第一道防线，通过双因素认证，防止密码共享、密码泄露现象，避免非法越权操作。

二、解决方案1.云主机双因素认证解决方案概述静态密码只能对云主机用户身份的真实性进行低级认证。

宁盾双因素认证在企业云主机原有静态密码认证基础上增加第二重保护，通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式，实现双因素认证，提升账号安全，加强用户登录认证审计。

宁盾一体化认证平台负责动态密码生成及验证，可同时无缝支持AD/LDAP/ACS等帐号源，接管云主机帐号的静态密码认证工作。

通过在云主机配置第三方RADIUS认证，指向宁盾一体化认证平台（内置RADIUS SERVER）。

用户接入云主机进行静态密码认证，认证通过之后获取动态密码（令牌产生/短信接收方式），从而进行动态密码验证，验证通过之后方可放行。

2.宁盾动态密码形式短信令牌基于短信发送动态密码的形式。

在用户完成云主机静态密码认证之后，宁盾双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上，用户输入该短信密码并提交验证通过后才能完成登录认证。

密码是一次性使用的，他人即使盗用了，也无法再次使用，从而能保证账号和信息的安全。

手机令牌基于时间的动态密码，由手机APP生成。

基于时间同步技术，宁盾令牌APP 每60秒随机生成一个独一无二的动态验证码，宁盾一体化认证平台能够验证这个变化的密码是否有效。

堡垒机双因素认证要求依据（实用版）目录1.堡垒机的概念和作用2.双因素认证的含义和优势3.堡垒机双因素认证的要求4.实施双因素认证的挑战与解决方案5.结论：堡垒机双因素认证的重要性正文1.堡垒机的概念和作用堡垒机（Bastion Host），又称跳板机，是一种安全设备，主要用于保护企业内部网络与互联网之间的通信。

它的作用是在内部网络和外部网络之间建立一个隔离区，提供安全的远程访问服务，避免外部攻击者直接接触内部网络，确保网络数据的安全。

2.双因素认证的含义和优势双因素认证（Two-Factor Authentication，简称 2FA）是一种安全认证方式，要求用户在登录时同时提供两种不同类型的认证信息。

第一类认证信息通常是用户知道的信息，如用户名和密码；第二类认证信息通常是用户拥有的物品，如手机短信验证码、硬件令牌等。

双因素认证的优势在于，即使攻击者窃取了用户的用户名和密码，也无法成功登录，从而提高了系统的安全性。

3.堡垒机双因素认证的要求在实施堡垒机双因素认证时，需要满足以下要求：（1）用户身份验证：用户需要提供用户名和密码进行第一因素认证。

（2）第二因素认证：用户需要提供手机短信验证码、硬件令牌等第二类认证信息。

（3）认证策略：根据用户角色和权限，制定不同的认证策略。

（4）认证日志：记录用户的认证过程和结果，以供审计和追溯。

4.实施双因素认证的挑战与解决方案实施双因素认证过程中可能会遇到以下挑战：（1）用户接受度低：部分用户可能认为双因素认证过于繁琐，影响使用体验。

（2）设备和维护成本：部署双因素认证设备和维护费用可能较高。

（3）安全性与便捷性的平衡：在保证安全的前提下，如何提高用户登录的便捷性。

针对以上挑战，可以采取以下解决方案：（1）加强宣传和培训：提高用户对双因素认证的认识，让用户理解其重要性。

（2）选择适合的认证方式：根据用户需求和场景，选择适当的双因素认证方式，如短信验证码、硬件令牌等。

网络安全中的多因素认证方法随着互联网的快速发展，网络安全问题日益突出，如何保障用户信息的安全成为一个亟需解决的难题。

在传统的用户名和密码认证方式面临越来越多的安全风险的同时，多因素认证方法应运而生。

本文将重点介绍网络安全中的多因素认证方法，并探讨其应用及优势。

一、多因素认证的定义与原理多因素认证，即通过多个独立的因素对用户进行身份验证，将用户名和密码两个因素扩展为多个因素，大大提高了系统的安全性。

多因素认证方法通常分为三类：知识因素、拥有因素和特征因素。

知识因素包括密码、口令等，拥有因素包括智能卡、USB密钥、动态口令卡等，特征因素则包括指纹、虹膜、声纹等生物特征。

二、常见的多因素认证方法1. 双因素认证双因素认证是最常见的多因素认证方法，它结合了知识因素和拥有因素。

用户需要提供正确的用户名和密码（知识因素），同时还需要通过硬件设备如USB密钥（拥有因素）进行验证。

这种方法可以有效减少密码泄露的风险，提高系统的安全性。

2. 三因素认证三因素认证在双因素认证的基础上增加了特征因素。

用户在提供正确的用户名和密码的同时，还需要进行指纹或虹膜识别等特征因素的验证。

这种方法更加复杂，但也更加安全可靠。

3. 动态密码认证动态密码认证是一种基于时间同步技术的认证方式。

用户在登录时需要输入由安全令牌生成的短期密码，这个密码在每个人的令牌上都是唯一的，并且随着时间的推移而变化。

这种方法有效地防止了密码的盗取和重放攻击。

三、多因素认证的优势与应用1. 提高安全性多因素认证不仅仅通过增加认证因素来提高安全性，更重要的是增加了破解和盗取的难度。

即使一个因素被攻破，其他因素仍然可以保护用户的信息。

2. 适用广泛多因素认证方法可应用于各种场景，如个人账户登录、企业内部网络访问以及金融交易等。

无论是手机、电脑还是智能设备，都可以使用多因素认证来保护用户的信息安全。

3. 用户友好性相比于传统的用户名和密码认证方式，多因素认证在一定程度上提高了用户的友好性。

双因素认证方案一、网络安全认证的需求背景网络钓鱼、欺诈等网络犯罪现象已经达到非常严峻的情况，用户如果只依赖个人密码进行帐户登录或网上交易，是非常危险和不可靠的认证方法。

针对这些问题，北京中科恒伦科技有限公司推出基于动态令牌的双因素身份认证服务，对象是那些为企业VPN安全登录、IDC 远程访问管理、消费者提供网上交易和服务的网上商户。

他们只要安装了中科恒伦的双因素认证系统，便能为其客户提供身份认证服务，使其消费者日后能以简单轻松的方法，随时随地享受网上服务。

IT管理员或者终端消费者也不用再终日提心吊胆，网上商户因此能与其客户建立更亲密和信任的关系。

二、现存主要的身份认证技术分析目前，计算机及网络系统中常用的身份认证方式主要有以下几种：1．用户名/密码方式用户名/密码是最简单也是最常用的身份认证方法，是基于“what you know”的验证手段。

每个用户的密码是由用户自己设定的，只要能够正确输入密码，计算机就认为操作者就是合法用户。

出于对安全的要求，要求用户定期更改密码，且不能重复，而实际上，由于许多用户为防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这样就容易造成密码泄漏。

即使能保证用户密码不被泄漏，由于密码是静态的数据，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。

因此，从安全性上讲，用户名/密码方式是一种极不安全的身份认证方式。

2．智能卡认证智能卡是一种内置集成电路的芯片，芯片中存有与用户身份相关的数据，智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。

智能卡由合法用户随身携带，登录时必须将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。

智能卡认证是基于“what you have”的手段，能过智能卡硬件不可复制来保证用户身份不会被仿冒。

然而由于每次从智能卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息，因此还是存在安全隐患。

iKEY 双因素动态密码身份认证系统企业安全解决方案上海众人网络安全技术有限公司2009年5月TM目录一、产品概述 (3)二、企业应用网络拓扑图 (4)三、认证原理 (5)四、产品优势 (6)五、产品技术参数 (7)六、关于众人 (9)1.公司简介 (9)2.专家顾问 (10)3.资质与荣誉 (10)一、产品概述“iKEY双因素动态密码身份认证系统”是一种采用时间同步技术的双因素认证系统。

“iKEY双因素动态密码身份认证系统”采用动态的用户认证系统替代基本的口令安全机制，帮助消除因口令欺诈而导致的损失，防止恶意入侵者或人为破坏，解决由口令泄密导致的入侵问题。

“iKEY双因素动态密码身份认证系统”采用国家商用密码管理局授权的国密算法，也可采用ECC国际通用标准算法。

产品构成“iKEY双因素动态密码身份认证系统”主要由iKEY认证服务器、iKEY 令牌中心、应用接口（API）和iKEY动态密码令牌四部分组成：●iKEY认证服务器：控制所有上网用户对网络的访问，提供严格的身份认证，保证上网用户根据业务系统的授权来访问系统资源。

●应用接口API：应用编程接口。

●iKEY令牌中心：认证服务器授权以及令牌信息导出。

●iKEY动态密码令牌：以硬件形式向用户提供，可确认用户的合法身份。

二、 企业应用网络拓扑图iKEY 管理系统OA 客户端Email 客户端单机登录iKEY 令牌防火墙移动客户端三、认证原理步骤1：客户请求接入应用服务器;步骤2：应用服务器请求认证服务器对客户的身份的合法性和真实性进行认证;步骤3：客户终端弹出身份认证对话框;步骤4：客户将账号和iKEY动态令牌显示的动态口令键入终端的身份认证对话框;步骤5：客户终端将账号和口令通过网络传输给iKEY认证服务器;步骤6：iKEY认证服务器调用客户信息，产生与客户信息和时间相关的随机序列，并与客户输入的口令进行比对，判别客户身份的合法性和真实性;步骤7：iKEY认证服务器将认证结果报告给应用服务器;步骤8：应用服务器根据客户身份的合法性和真实性反馈给客户终端，并决定可以提供服务或拒绝服务。

1. 面临挑战●安全挑战：随着移动化办公场景的增多，企业员工登录移动化办公工具已经是日常操作，但仅使用传统的静态密码验证，存在这账号，密码泄露或被盗取的风险，企业内部网络的安全以及信息防火都面临这挑战。

●运维挑战：如仅使用普通弱密码，对于IT人员定期修改密码的工作量巨大，并且回收，修改账号等信息也存在一定的工作代价。

●身份管理挑战：随着企业员工的更替，以及岗位的变更。

需要去实现统一的身份管理。

●合规挑战：部分行业（如：银行，金融，政企等）为达到红头文件或者等保的要求，需要在登录网络设备时进行双重密码认证。

2. 华为云桌面与宁盾双因素认证解决方案宁盾双因素认证在华为云桌面原有静态密码认证基础上增加第二重保护，通过提供手机令牌、短信令牌、硬件令牌、企业微信/钉钉H5令牌等多种动态密码形式，实现双因素认证，提升账号安全，加强用户登录认证审计。

宁盾双因素认证服务器负责动态密码生成及验证，可同时无缝支持AD/LDAP/ACS等帐号源，接管VPN帐号的静态密码认证工作。

通过在华为云桌面服务器配置第三方RADIUS认证，指向宁盾双因素认证服务器（内置RADIUS SERVER）。

员工登录时先使用用户名、静态密码+动态密码认证的方式，实现双因素认证登录保护。

华为云桌面动态密码登录界面3.方案价值①账号双重保护：宁盾双因素认证在云桌面原有账号密码认证基础之上增加一层动态密码认证，以此提升VPN用户接入认证安全，解决弱身份鉴别可能引发的内网信息泄漏隐患；②多种认证方式：短信令牌、手机令牌、硬件令牌，三种动态密码形式各有优势，客户根据需求自由选择，也可以多种组合；③与现有系统无缝集成：内置Radius认证模块，可与AD、LDAP 等标准账号源结合，同时也支持与企业本地应用、私有云应用以及SAAS等的对接，并为其提供双因素认证服务；④简化管理：减少企业因静态密码定期强制更改，给员工及IT 运维人员带来的麻烦，同时节约账号管理成本；⑤实名追溯：详尽的登录日志，发生安全事件时可定位到个人，做到用户认证可审计，满足了等保要求；⑥体验优化：通过简化移动安全接入，优化用户体验，在为用户登录云桌面提供安全认证的同时，提升了使用的便捷性，助力企业移动化转型。

一、项目背景面向数据中心运维：数据中心动辄上千台设备，海量设备由不同运维人员负责不同领域的数百台设备，这就造成了设备分区、运维操作难以统一审计的现象。

因此企业需要一份网络设备异构兼容且运维人员统一认证、授权及审计的解决方案。

另为解决数据中心基础设施“弱密码”、“僵尸账号”等情况，解决定期账号修改的重复性劳动，需使用双因子认证解决方案。

面向移动化网络的员工、访客、合作伙伴/供应商及分支下属公司办公/来访的网络使用需求，需要一套分场景认证解决方案替换当前的WPA2认证。

综上几点，为其提供“双因素认证”、“网络设备AAA”及“无线身份认证”一体化解决方案。

二、解决方案双因素认证面向数据中心基础设施、网络层、应用层提供全场景一体化认证解决方案，在账号密码的基础上增加动态密码，实现账号密码动态加固。

令牌提供手机令牌、硬件令牌、短信令牌、企业微信/钉钉H5令牌及“扫一扫”认证、推送认证等认证方式，同时兼容RSA、Google等第三方验证器。

网络设备AAA管理集认证、授权、审计于一体的网络设备综合运维管理平台。

面向企业运维人员提供双因素身份验证、细力度授权用户可操作权限及业务场景，并实时审计操作行为。

具有良好的可扩展性，可兼容cisco、华为、H3C等不同品牌网络设备，实现对所有异构交换机、路由器等不同类型网络设备进行统一集中运维。

大型数据中心，网络设备AAA是堡垒机的强有力的补充。

无线网络身份认证兼容华为、H3C、Cisco、锐捷、Aruba、信锐等无线网络设备，为不同用户角色提供多种认证方式（用户名密码+动态密码、短信认证、协助扫码、邮件审批等）以满足不同不同角色认证的需求。

前期准备：双因素认证方案、无线认证方案及网络设备AAA共用一套认证平台（DKEY AM）1、统一AD账号源；2、统一派发手机令牌，确保身份的唯一性；3、分场景对接。

三、应用化方案1、Citrix 双因素认证将Citrix 虚拟化与一体化认证平台（DKEY AM）对接，用户在账号密码的基础上增加动态密码，实现Citrix 虚拟化的账号密码动态加固。