Sunday, October 22, 2017

各种密码保护方案的安全性及其原理浅析

随着互联网的全民普及,网络帐号的安全性早已备受关注,虽然各大网站均采取了这样或者那样的帐号保护措施,但被盗号的情况仍时有发生。

本文就市场上常见的几种密保方法的安全性及其原理做一浅析,纯粹个人观点,如果不妥,敬请指出。

一、密保卡
密保卡就是密码保护卡,这是一种最常见的密保方案,分为实物卡和虚拟卡,优点是成本极低。密保卡(也称矩阵卡)是基于事件同步的密保产品,在网络游戏行业应用也较广泛。该产品以卡片形式呈现,卡片上一般都印制一个10×8的数字矩阵,矩阵的每个坐标为1~3位的数字。其原理是在服务器端储存着同样的密保卡数据,当你使用密保卡登录服务器时,根据随机坐标提示对应到矩阵的数字,即通过密保卡获取的动态密码,才能登录服务器。
从理论上说,除非黑客能得到你的密保卡或者能获得服务器端的数据,否则暂时还无法破解。因为服务器端的安全措施一般都会比较强,所以使用密保卡后仍被盗号的情况常见于客户端电脑被木马控制,从而使黑客能获得你的密保卡信息,而发生被盗号。比如你在电脑上使用虚拟卡时被木马截屏软件获得,或者反复输入实物卡的数据而被记录等等。

二、基于硬件介质的密保产品
当前应用较广的几种密保,包括基于动态密码技术开发的OTP密保产品、基于PKI技术开发的USB-Key密保。
1.OTP密保产品
OTP全称是one time password,也称动态密码、动态口令,基于OTP研发的产品,即是OTP密保。
最早的动态密码理论是由上个世纪80年代美国科学家Leslie Lamport提出的,他利用散列函数产生一次性口令的思想阐释,如果用户进行网络身份认证时使用的口令是动态变化的,就可以更好地加强用户对账号密码的安全管理。此后,世界各国都对这一理论进行了实践研究,形成动态密码(Dynamic Password)保护技术,在2004年,这种动态密码认证技术被美国权威杂志SC Magazine评选为当年最佳安全解决方案。
中国的中科院将该技术列入重点实验室研究项目后,于1998年研制成功了具有我国知识产权的动态密码身份认证系统。其后,随着OTP技术的成熟,以优逸科技为代表的OTP密保产品开发商和运营商,便迅速发展起来,并在网络游戏、电子商务、金融证券,企业软件等领域到国防、银行、金融、网游等行业领域得到广泛应用。
目前,OTP从技术角度可分为三种类型:时间同步、事件同步、挑战/应答,其中最安全的类型应该是时间同步,该类型的密保产品,根据专门的算法,基于时间同步生成不可预测的随机数字组合,一个密码使用一次有效。
目前,在网络游戏行业应用较广的产品包括优逸密宝、盛大密保、网易将军令、魔兽世界(WOW)安全令牌等,均是每60秒即可产生一组新的动态密码。
其原理是每个密保的时钟都不一致,且有一个唯一的序列号(SN),只需在服务器端储存了这个密保的时钟、序列号和专用算法,在用户登录的时候,服务器端使用其专用的算法计算得到一个不可预测的数字组合,这时用户使用密保同样可以得到一个相同的数字组合(其时钟必须与服务器一致,否则需要调整),输入正确后才能登录系统。
  
2.PKI密保产品(USB-Key密保)
PKI的全称是Public Key Infrastructure,即“公钥基础设施”。其是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务,以及所必需的密钥和证书管理体系。
目前,最常见的PKI密保产品,主要是应用于网上银行的USB-Key,也称为U盾。这种方法应该是安全性最高的密码保护方案。
原理是“U盾”特别采用了使用有物理介质的个人客户证书,建立基于公钥(PKI)技术的个人证书认证体系。在技术方面,客户证书通过个人证书认证和数字签名技术,它内置微型智能卡处理器,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,对客户的网上交易实施身份认证,并且可以签署各种业务服务协议,确保了交易和协议的唯一、完整和不可否认。

6 comments

  1. 密保卡的问题是不能防猜测

  2. 可惜xen现在没货了,我也准备买一个

  3. 博主用的LIGHTWAVE NETWORKING LLC这家公司, 7美元的方案?

  4. 是USA的XEN VPS。对于联通(网通)来说,速度还可以。电信速度不知。

  5. 你好,你用的是vps吗?那个型号的?我觉得你网站速度非常不错

Leave a Reply

Your email address will not be published. Required fields are marked *