近日，国内网络安全的领导厂商——启明星辰信息技术有限公司针对静态口令存在的各种不足，推出了自主研制的天瑶动态口令系统。该系统依据一次性口令机制动态身份认证系统，可以解决网络环境中例如网络数据流窃听、认证信息截取/重放、字典攻击、穷举尝试、窥探、社交工程和垃圾搜索等用户身份认证问题，为远程/网络环境中的身份认证提供了一个极佳的解决方案。

天瑶动态口令系统的组成

    就该系统的组成而言，动态口令系统又称一次性口令或双因素认证系统，主要由客户端的动态口令卡和安全认证服务器，以及应用程序代理三部分组成。

    动态口令卡是发给每个用户的动态口令发生器，通过同步信任认证算法，以时间为参数，每隔16秒/32秒/64秒钟产生一个一次性使用的“动态口令”，而且口令无法预测和跟踪，这就使得用户口令既无法被窃取，而且又能解决常规口令频繁变换所带来的问题。

    安全认证服务器是整个系统的核心部分，与应用系统服务器通过网络相连，对所有远程用户对网络的访问进行认证。安全认证服务器拥有完善的自身数据安全保护功能，所有用户数据经加密后存储在数据库中，并具有安全、完备的数据库管理、备份功能；安全认证服务器拥有功能强大的图形化管理界面，提供用户管理、操作员管理、审计管理等全部系统管理功能。安全认证服务器由六部分组成：系统运行模块、用户管理模块、系统通讯模块、系统管理模块、动态口令卡测试模块。

    虽说，由安全认证服务器和动态口令卡已经组成了一套完整的认证系统，但认证系统的目的是有效保护某一应用系统的安全，所以动态口令系统必须提供与应用系统的接口。天瑶动态口令系统提供了丰富灵活的应用程序代理（agent），以满足Windows域认证、远程访问、通过VPN的远程访问、Lotus Domino（B/S结构）、各种Unix平台的系统用户管理，以及应用程序接口API等各种常用的应用系统的要求。

随机、灵活的解决方案

    该系统构建在安全可靠的数学算法基础之上，并综合考虑了市场、用户等多方面的因素，具有如下特点：
l 动态口令的随机性：对每个用户不同时间的口令，或不同用户在相同时间的口令，都是随机的，同一用户的相邻时间产生的口令字之间没有相关性，不可能从前一个口令推导出后一个口令。
l 使用方便灵活：在确保安全的前提下，采用8位密码，而且动态口令卡体积小巧，便于携带。
l 系统的可靠性：系统的关键数据在数据库中以加密形式存储，并通过完善、周密的密钥管理机制管理数据库主密钥和各级密钥。系统对每个用户的口令连续错误次数都有严格的限制，系统管理员可为每个用户设置一个口令连续错误次数的最大值，当用户连续输入错误口令的次数大于该最大值，系统自动将该用户的帐号锁定。
另外，该系统还具有一定的经济性，这主要表现在算法严谨简洁，对硬件要求低，大大降低了系统成本。并且，通过对各用户的时钟误差进行记录，在一定程度上弥补了对硬件的要求，延长了口令卡的使用期限。

(责任编辑：王志鹏)