原因在于 OTP (One Time Password)令牌 每隔固定时间产生一次口令,每个口令有且仅有一次验证机会,一旦验证,立即失效。每个令牌和认证服务器通过令牌序列号、账号名绑定。令牌种子分别存储于令牌和认证服务器的安全区,令牌种子与设备的当前时间通过密码杂凑算法(SM3)每隔固定时间产生一次动态口令。
认证服务器和动态令牌产生的动态口令都是成对存在,因此认证过程中动态令牌和认证服务器没有直接通讯。用户验证时,在账号密码的基础上输入动态令牌对应的动态密码进行二次校验。需要注意的是,账号密码由设备原本的账号源进行校验,动态密码由认证服务器进行校验。只有在账号密码和动态密码全部校验成功的情况下才可验证成功。
Portal服务器也就是接收Portal客户端认证请求的服务器端系统,其主要作用是提供免费的门户服务和基于Web认证的界面,以及接入设备交互认证客户端的认证信息。其中的Web认证方案首先需要给用户分配一个地址,用于访问门户网站。
PORTAL 基于浏览器,采用的是B/S构架, 对不同权限的用户下发不同的VLAN 访问不同的服务器资源,当通过认证后才能访问internet资源,Portal认证方式不需要安装认证客户端, 减少了客户端的维护工作量,便于运营。
可以在Portal页面上开展业务拓展,如展示商家广告, 联系方式等基本信息。Portal广泛应用于运营商、学校等网络。
扩展资料:
Portal认证的设备要素
Portal服务器可分为内置Portal服务器和外置Portal服务器两种。通常交换机/AC会内置Portal服务器,帐号和密码保存在交换机/AC。受限于接入设备存储空间、功能和性能,内置Portal服务器只适合功能简单、接入人数少的场景。例如小型餐馆提供的连接Internet服务。
如果需要实现微信接入、短信接入等复杂的功能,考虑到接入设备性能和认证体验,内置Portal服务器恐怕难以胜任,需要具有独立于接入设备之外的硬件服务器来承载Portal认证业务。
认证客户端:运行HTTP协议的浏览器或运行Portal客户端软件的主机。
接入设备:交换机、路由器或AC(Access Controller)等宽带接入设备的统称。如果把网络看成一栋高楼,那接入设备就是门卫,要进屋必须由门卫放行。
接入设备主要有三方面的作用: 在认证之前,将认证网段内用户的所有HTTP请求都重定向到Portal服务器。 在认证过程中,与Portal服务器、AAA服务器交互,完成身份认证/授权的功能。 在认证通过后,允许用户访问被管理员授权的互联网资源。
Portal服务器:接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。
Portal作为网关服务于因特网的一种WEB站点。Portal是链路、内容和为用户可能找到的感兴趣的信息(如新闻、天气、娱乐、商业站点、聊天室等)的指南服务的集合。Yahoo、Excite、MSN.com和Netscape NetCenter都是Portal。
参考资料:百度百科——Portal
动态口令(Dynamic Password),又叫"一次性口令(OTP:One Time Password)",是由电子令牌(Token)等手持终端设备生成的,根据某种加密算法,产生的随某一个不断变化的参数(例如时间,事件等)不停地、没有重复变化的一种口令。是为了解决传统静态的、固定的口令和密码存在的无法解决的缺陷,而设计的一种密码体制,以保护用户的关键数据资源。动态口令,也就是一次性口令的主要思路是:在登录过程中加入不确定因素,使每次登录过程中传送的信息都不相同,以提高登录过程安全性。例如,登录密码=MD5(用户名+密码+时间),系统接收到登录口令后做一个验算即可验证用户的合法性。
用以产生动态口令的因素选择方式大致有以下几种:
口令序列 口令为一个单向的前后相关的序列,系统只用记录第 N个口令。用户用第N-1个口令登录时,系统用单向算法算出第N个口令与自己保存的第N个口令匹配,以判断用户的合法性。由于N是有限的,用户登录N次后必须重新初始化口令序列。
挑战/回答用户要求登录时,系统产生一个随机数发送给用户。用户用某种单向算法将自己的秘密口令和随机数混合起来发送给系统,系统用同样的方法做验算即可验证用户身份。
时间同步以用户登录时间作为随机因素。这种方式对双方的时间准确度要求较高,一般采取以分钟为时间单位的折中办法。
事件同步这种方法以挑战/回答方式为基础,将单向的前后相关序列作为系统的挑战信息,以节省用户每次输入挑战信息的麻烦。但当用户的挑战序列与服务器产生偏差后,需要重新同步。
动态口令的生成设备有以下几种:
Token Card(令牌卡) 用类似计算器的小卡片计算一次性口令。对于挑战/回答方式,该卡片配备有数字按键,便于输入挑战值;对于时间/事件同步方式,该卡片每隔一段时间就会重新计算口令;有时还会将卡片作成钥匙链式的形状,某些卡片还带有PIN保护装置。
Soft Token(软件令牌) 用软件代替硬件,某些软件还能够限定用户登录的地点。
IC卡 在IC卡上存储用户的秘密信息,这样用户在登录时就不用记忆自己的秘密口令了
动态口令的认证方法和原理
当令牌或其他终端设备持有者将令牌中计算出来的某一时刻的口令输入计算机的登录窗口时,在计算机(网络)另一端的认证服务器软件会根据相同的算法和同样的要素计算出这一时刻对应于该令牌的认证口令,这个口令用来与令牌产生的口令比对,进行身份认证,对比相同,则通过认证;对比不同,则不能通过认证。
于是由动态口令令牌和计算机(网络)上的认证服务器软件就构成了一个用户身份鉴别的认证系统,这是一种基于时间同步的认证系统。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)