OTP动态密码认证系统

身份认证/访问控制

一、格尔动态密码身设计软件

份认证系统服务端模块组成：

l  认证代理模块认证代理模块主要是为应用系统提供认证服务接入接口，应用系统通过本模块可以方便的集成动态口令服务。认证代理模块能够支持TCP、UDP、HTTP、SOAP、Radius等多种协议认证请求，同时具有良好的可扩展性，可以根据应用的需要平滑的增加对新协议的支持。

l  OTP核心服务模块

OTP核心服务模块主要负责为计算动态口令并进行验证。计算动态口令时模块会根据令牌对应的计算策略，生成该令牌独有的一个动态口令，并进行验证。

l  计算策略管理模块

计算策略管理模块主要用于设置不同动态口令计算策略脚本，以供OTP核心服务模块调用。计算策略主要包括以下因素：OTP认证模式（时间同步认证、事件同步认证、挑战/应答认证）、计算算法、种子选择等。

l  时间同步模块

时间同步模块主要负责：格尔动态口令认证系统与标准时间的同步；格尔动态口令令牌与认证系统的时间同步。

l  算法支撑模块

算法支持模块主要功能是对加密硬件的API接口进行封装，为OTP核心服务模块和KMS管理模块提供统一的算法接口。

l  KMS管理模块

KMS管理模块（即密钥管理系统）主要为负责管理格尔动态口令令牌的密钥，是令牌及其个人化安全的保障。

l  令牌管理模块

令牌管理模块主要负责格尔令牌的个人化、挂失、注销、重新初始化等操作。

l  日志模块

日志模块负责记录系统运行日志以及操作员的操作日志。

l  短信发送模块

短信发送模块主要负责对系统预警短信的发送和基于短信的一次性口令。

l  后台运行管理模块

后台运行管理模块是格尔动态口令后台系统的管理统一入口，主要完成系统运行参数配置、计算策略设置、动态口令令牌的个人化、动态口令令牌的管理和系统操作员的管理。后台运行管理通过USB-Key来控制操作员的登录以及操作。

l  数据库服务

数据库服务主要为系统了提供了统一的数据服务。能够支持Oracle、MS SQL Server、MySQL等多种关系数据库。

二、系统特点
l  系统采用了国家密码局授权使用的国产密码算法和基于国产安全芯片实现，具有较高的安全性。

l  完善的动态口令认证机制：短信一次性口令认证、时间同步认证、事件同步认证和挑战/应答认证等多种动态口令认证方式的集成。

l  灵活的动态口令认证方式，可以同时为不同的行业提供定制的动态口令认证，以满足其需要。

l  多样化的动态口令令牌产品，以满足不同用户的需求。

l  使用KMS技术来保障动态口令令牌的个人化的安全。

l  使用USB-Key来控制操作员的访问，且不同的操作员有不同的权限。普通操作员由超级管理员来创建。

l  错误登录控制、账户锁定机制：当非法用户进行了多次的错误登录尝试后账户将被锁定一段时间，防止黑客穷举攻击。

l  标准的安全审计日志：符合日志标准，可以导出成各种标准日志文件供分析和报表。

l  易集成性：仅仅接管原来应用系统的用户身份认证环节，不影响原应用系统的具体业务运行。

l  高可靠性：系统采用负载均衡机制，建议用户至少安装两台认证服务器，一台为主服务器，另一台为备份服务器，这样任何一台服务器的死机不会影响整个认证过程。

l  多应用、多行业、多平台：支持网络接入认证、服务器登录、WEB登录、MIS和ERP系统等各种应用；适用于政府军队、金融证券、电信交通、网站、连锁店等行业；支持Windows、各种Unix、Linux等平台。