Dynamic Password技术的发展和运用
发布网友
发布时间:2024-08-16 14:43
共3个回答
热心网友
时间:2024-09-29 08:17
在1982年,贝尔实验室的一位研究人员在一篇论文中提出了一次性口令的设计方案,这样其他人即使破解了密码,也无法再次使用。这是第一次比较系统地提出了动态口令的问题及解决方案。随后,美国RSA公司发现了这项技术的价值,对动态口令进行了深入的研究和改进,提出了“时间同步技术”,1984年申请了专利,1986年开发出第一个动态指令产品SecurID,并且在香港的工厂里生产出了第一个动态口令产品。
但是,真正让这个产品成功的是在Security Dynamics Inc.收购RSA之后。他们认识到RSA本身品牌的巨大价值与商业机会,保留了RSA的品牌,并将过去主要与操作系统或系统软件进行*的销售方式转向应用领域,不久就在银行、*、军队、保险和企业内部安全等领域取得了巨大的成功,并最终成为一个年销售额2.8亿美元(2000年数字)的上市公司。
在美洲,RSA现在已经占据动态口令市场70%的份额,2001年已经生产出第1000万块SecurID。
RSA很早就想打开中国市场。随着国外一些知名企业进入中国,他们在内部管理中使用的动态口令技术也踏上中国的土地。RSA为了给这些外企提供服务,1995年在中国内地设置了第一个办事处,1996年在中国第一届国际通信展上,RSA将其全线产品介绍到中国。但是由于当时我国的网络市场还处于起步阶段,绝大多数人还不知道网络究竟能干什么,更不用说安全问题,所以,几乎没有人注意到这个东西。后来韩国的厂商也试图在国内推销类似的产品,同样无功而返。
但是市场反应的冷淡,并不说明中国人不关心这项技术。早在20世纪90年代中期,国内的电子工业部第15所、中科院研究生院、DCS中心 (中国数字安全技术研究中心) 、*机构和一些科研院所就在跟踪国外动态口令与密码技术的发展,并做出了一些样品。不过直到1997年,福建凯特才从国家DCS中心取得了这项技术,将其变成了一个产品,成为国内第一个吃螃蟹者。只是市场情况一直不乐观,到2001年底,我们可以找到的使用国内动态口令产品的用户不超过10家,而即使国内最早进入此领域的福建凯特,也是利用系统集成和软件开发的收入来补贴这一部分的亏损,其他的厂商就更不必说了。
与其他的网络安全产品相比,动态口令技术在国内的发展有点特殊。例如:防火墙技术在国外是20世纪90年代初出现的,而1995年、1996年国内很多核心部门就已大量采用;CA证书与数字签名在国外出现不久,国内的银行就开始筹建CA中心(CFCA);而防病毒技术更是与国外完全同步,甚至还有更先进的地方。动态口令技术的第一个产品出现在1986年,90年代初期开始在国外大量使用,但是直到2001年,我们才开始认识到它的重要性。在这个领域,我们整整落后了10多年!
这其中有很多因素:首先是由于国家密码委等安全机构对安全产品有着严格的*,只有指定的单位可以开发、生产、销售,同时国外的产品也很难进入中国非商业加密市场。其次,我国的网络市场基本都采取了“先开放、后安全”的策略,就是首先建立网络系统,采用全开放的策略,先产生应用,然后随着应用的丰富,认识到安全问题之后,再进行安全防护。特别是我国的电子商务尚处于起步阶段,商业加密市场的需求并不迫切,再加上国外产品的价格比较高,影响了其在中国的推广。
而从2000年开始,中国的网上交易得到了突飞猛进的发展,特别是网上交易与网上银行的用户更呈爆炸式增长。在高速增长的同时,出现很多与网络安全有关的问题,例如:信用卡仿制、股票盗卖等等,让大家认识到商业加密的重要性,所以,动态口令产品才获得了国内市场的青睐。
再说隐患
动态口令也不是绝对安全的,它是软件,也是硬件,所以其他软件、硬件有的毛病它也都会有。动态口令卡可能的隐患包括:
1. 发卡机构。例如:系统的开发商、使用机构等。每一个用户都需要一个生成动态密码的卡片,如同你的信用卡。如果用户丢失这个卡,挂失之后,发卡机构可以重新给你复制一个相同的卡。那么如果负责发卡的人真想盗用账号,就可以利用他所掌握的职权复制任何人的卡。
2. 系统管理员。现在多数动态口令卡都是通过时间同步来计算动态口令的,如果系统管理员不小心修改了系统时间(这是很容易产生的错误),则可能会对整个系统造成极大的混乱,使整个交易系统瘫痪。
3. 服务器。现在动态口令服务器采用的操作系统通常是Windows 2000或Unix平台,而这两种操作系统的本身存在着很多“漏洞”,很可能成为黑客或病毒的攻击目标,即使他们无法偷盗用户的账号信息,也可能会使整个交易系统瘫痪。
4. 加密方式。现在各个厂商使用的加密原理、认证方式都不完全相同,有的采用公开的加密方法,有的采用自己开发的加密方式。使用自己开发的加密方式的产品,没有人能够证明他的加密方式是安全的。特别是开发人员很可能为自己保留一些“后门”(这种事情在国外的很多银行系统中已经发生过),就会成为整个系统最大的隐患。
5. 动态口令系统本身的可靠性。由于现在国内的多数动态口令系统都是新出现的产品,其可靠性、安全性并没有经过实践检验,例如:处理并发的能力、灾难恢复的能力、对异常攻击的防范能力等。
针对以上可能的隐患,长沙华唐电子技术有限公司是这样做的:
在华唐认证系统中,口令卡是不可复制的,即使挂失,会重新分配一块不同的卡,原口令卡作废,
系统管理员做的任何管理事件都有可审计的详细日志。
加密方式采用公开的加密方法和自己开发的加密方式相结合的方式。
对于实时交易系统,可提供认证服务器多机冷热备份。
热心网友
时间:2024-09-29 08:17
热心网友
时间:2024-09-29 08:18
20世纪80年代初,针对静态口令认证的缺陷,美国科学家Leslie Lamport首次提出了利用散列函数产生一次性口令的思想,即用户每次登录系统时使用的口令是变化的。1991年贝尔通信研究中心用DES加密算法首次研制出了基于一次性口令思想的挑战/应答式动态密码身份认证系统S/KEY,之后,更安全的基于MD4和MD5散列算法的动态密码认证系统也开发出来。为了克服“挑战/应答式动态密码认证系统”使用过程烦琐、占用过多通信时间的缺点,美国著名加密算法研究实验室RSA研制成功了基于时间同步的动态密码认证系统RSA SecurID,RSA公司也由此获得了时间同步的专利。除RSA公司外,美国的ActivCard公司也是动态密码认证产品的供应商。
??? 动态密码身份认证系统有两个主要设备:一个是担负用户身份认证的服务器,另一个是用户持有的密码卡(令牌)。在服务器和密码卡中加载了相同的密码生成软件和代表用户身份的惟一的识别码。当给用户发卡时,用户的识别码不仅初始化在服务器数据库的用户信息表中,而且还加载在密码卡中,另一部分(PIN)由用户记忆在头脑中。当用户登录系统时,键入PIN码后,密码卡每一分钟都生成一个与该卡对应的惟一的、不可预测的密码。当账号和密码传输到服务器时,服务器能够从不可预测的密码组合中判别用户的合法性和真实性。
??? 动态密码的特点是:用户持有密码卡,且只有自己知道PIN码;密码卡每一分钟都产生一个新的密码,不可预测,并只能使用一次;密钥存放在服务器和密码卡中,不在网络中传输。所以,动态密码不怕被人偷看,不怕“黑客”的网络窃听,不怕“重放攻击”,不能猜测,不易破解,具有较高的安全性和使用方便性。近年来,动态密码身份认证越来越受到青睐。目前,全球已有超过1000万人使用名片大小的动态密码卡,用于企业员工、合作伙伴、客户访问企业内部网,股民进行网上证券委托交易以及网上银行交易、电子报关、电子报税、社区管理等。
选自《计算机世界》
