Dynamic Password技术的发展和运用
发布网友
发布时间:2024-08-16 14:43
我来回答
共3个回答
热心网友
时间:2024-09-29 08:17
先说历史
在1982年,贝尔实验室的一位研究人员在一篇论文中提出了一次性口令的设计方案,这样其他人即使破解了密码,也无法再次使用。这是第一次比较系统地提出了动态口令的问题及解决方案。随后,美国RSA公司发现了这项技术的价值,对动态口令进行了深入的研究和改进,提出了“时间同步技术”,1984年申请了专利,1986年开发出第一个动态指令产品SecurID,并且在香港的工厂里生产出了第一个动态口令产品。
但是,真正让这个产品成功的是在Security Dynamics Inc.收购RSA之后。他们认识到RSA本身品牌的巨大价值与商业机会,保留了RSA的品牌,并将过去主要与操作系统或系统软件进行*的销售方式转向应用领域,不久就在银行、*、军队、保险和企业内部安全等领域取得了巨大的成功,并最终成为一个年销售额2.8亿美元(2000年数字)的上市公司。
在美洲,RSA现在已经占据动态口令市场70%的份额,2001年已经生产出第1000万块SecurID。
RSA很早就想打开中国市场。随着国外一些知名企业进入中国,他们在内部管理中使用的动态口令技术也踏上中国的土地。RSA为了给这些外企提供服务,1995年在中国内地设置了第一个办事处,1996年在中国第一届国际通信展上,RSA将其全线产品介绍到中国。但是由于当时我国的网络市场还处于起步阶段,绝大多数人还不知道网络究竟能干什么,更不用说安全问题,所以,几乎没有人注意到这个东西。后来韩国的厂商也试图在国内推销类似的产品,同样无功而返。
但是市场反应的冷淡,并不说明中国人不关心这项技术。早在20世纪90年代中期,国内的电子工业部第15所、中科院研究生院、DCS中心 (中国数字安全技术研究中心) 、*机构和一些科研院所就在跟踪国外动态口令与密码技术的发展,并做出了一些样品。不过直到1997年,福建凯特才从国家DCS中心取得了这项技术,将其变成了一个产品,成为国内第一个吃螃蟹者。只是市场情况一直不乐观,到2001年底,我们可以找到的使用国内动态口令产品的用户不超过10家,而即使国内最早进入此领域的福建凯特,也是利用系统集成和软件开发的收入来补贴这一部分的亏损,其他的厂商就更不必说了。
与其他的网络安全产品相比,动态口令技术在国内的发展有点特殊。例如:防火墙技术在国外是20世纪90年代初出现的,而1995年、1996年国内很多核心部门就已大量采用;CA证书与数字签名在国外出现不久,国内的银行就开始筹建CA中心(CFCA);而防病毒技术更是与国外完全同步,甚至还有更先进的地方。动态口令技术的第一个产品出现在1986年,90年代初期开始在国外大量使用,但是直到2001年,我们才开始认识到它的重要性。在这个领域,我们整整落后了10多年!
这其中有很多因素:首先是由于国家密码委等安全机构对安全产品有着严格的*,只有指定的单位可以开发、生产、销售,同时国外的产品也很难进入中国非商业加密市场。其次,我国的网络市场基本都采取了“先开放、后安全”的策略,就是首先建立网络系统,采用全开放的策略,先产生应用,然后随着应用的丰富,认识到安全问题之后,再进行安全防护。特别是我国的电子商务尚处于起步阶段,商业加密市场的需求并不迫切,再加上国外产品的价格比较高,影响了其在中国的推广。
而从2000年开始,中国的网上交易得到了突飞猛进的发展,特别是网上交易与网上银行的用户更呈爆炸式增长。在高速增长的同时,出现很多与网络安全有关的问题,例如:信用卡仿制、股票盗卖等等,让大家认识到商业加密的重要性,所以,动态口令产品才获得了国内市场的青睐。
再说隐患
动态口令也不是绝对安全的,它是软件,也是硬件,所以其他软件、硬件有的毛病它也都会有。动态口令卡可能的隐患包括:
1. 发卡机构。例如:系统的开发商、使用机构等。每一个用户都需要一个生成动态密码的卡片,如同你的信用卡。如果用户丢失这个卡,挂失之后,发卡机构可以重新给你复制一个相同的卡。那么如果负责发卡的人真想盗用账号,就可以利用他所掌握的职权复制任何人的卡。
2. 系统管理员。现在多数动态口令卡都是通过时间同步来计算动态口令的,如果系统管理员不小心修改了系统时间(这是很容易产生的错误),则可能会对整个系统造成极大的混乱,使整个交易系统瘫痪。
3. 服务器。现在动态口令服务器采用的操作系统通常是Windows 2000或Unix平台,而这两种操作系统的本身存在着很多“漏洞”,很可能成为黑客或病毒的攻击目标,即使他们无法偷盗用户的账号信息,也可能会使整个交易系统瘫痪。
4. 加密方式。现在各个厂商使用的加密原理、认证方式都不完全相同,有的采用公开的加密方法,有的采用自己开发的加密方式。使用自己开发的加密方式的产品,没有人能够证明他的加密方式是安全的。特别是开发人员很可能为自己保留一些“后门”(这种事情在国外的很多银行系统中已经发生过),就会成为整个系统最大的隐患。
5. 动态口令系统本身的可靠性。由于现在国内的多数动态口令系统都是新出现的产品,其可靠性、安全性并没有经过实践检验,例如:处理并发的能力、灾难恢复的能力、对异常攻击的防范能力等。
针对以上可能的隐患,长沙华唐电子技术有限公司是这样做的:
在华唐认证系统中,口令卡是不可复制的,即使挂失,会重新分配一块不同的卡,原口令卡作废,
系统管理员做的任何管理事件都有可审计的详细日志。
加密方式采用公开的加密方法和自己开发的加密方式相结合的方式。
对于实时交易系统,可提供认证服务器多机冷热备份。
热心网友
时间:2024-09-29 08:17
不太清楚。。
热心网友
时间:2024-09-29 08:18
动态口令身份认证的起源和应用
20世纪80年代初,针对静态口令认证的缺陷,美国科学家Leslie Lamport首次提出了利用散列函数产生一次性口令的思想,即用户每次登录系统时使用的口令是变化的。1991年贝尔通信研究中心用DES加密算法首次研制出了基于一次性口令思想的挑战/应答式动态密码身份认证系统S/KEY,之后,更安全的基于MD4和MD5散列算法的动态密码认证系统也开发出来。为了克服“挑战/应答式动态密码认证系统”使用过程烦琐、占用过多通信时间的缺点,美国著名加密算法研究实验室RSA研制成功了基于时间同步的动态密码认证系统RSA SecurID,RSA公司也由此获得了时间同步的专利。除RSA公司外,美国的ActivCard公司也是动态密码认证产品的供应商。
??? 动态密码身份认证系统有两个主要设备:一个是担负用户身份认证的服务器,另一个是用户持有的密码卡(令牌)。在服务器和密码卡中加载了相同的密码生成软件和代表用户身份的惟一的识别码。当给用户发卡时,用户的识别码不仅初始化在服务器数据库的用户信息表中,而且还加载在密码卡中,另一部分(PIN)由用户记忆在头脑中。当用户登录系统时,键入PIN码后,密码卡每一分钟都生成一个与该卡对应的惟一的、不可预测的密码。当账号和密码传输到服务器时,服务器能够从不可预测的密码组合中判别用户的合法性和真实性。
??? 动态密码的特点是:用户持有密码卡,且只有自己知道PIN码;密码卡每一分钟都产生一个新的密码,不可预测,并只能使用一次;密钥存放在服务器和密码卡中,不在网络中传输。所以,动态密码不怕被人偷看,不怕“黑客”的网络窃听,不怕“重放攻击”,不能猜测,不易破解,具有较高的安全性和使用方便性。近年来,动态密码身份认证越来越受到青睐。目前,全球已有超过1000万人使用名片大小的动态密码卡,用于企业员工、合作伙伴、客户访问企业内部网,股民进行网上证券委托交易以及网上银行交易、电子报关、电子报税、社区管理等。
选自《计算机世界》
动态口令是什么意思
通俗的说就是一种口令验证技术,通过携带显示口令的设备,然后进行安全身份验证,广泛被应用于游戏令牌和银行U盾等 动态口令作为最安全的身份认证技术之一,目前已经被越来越多的行业所应用。由于它使用便捷,且与平台无关性,随着移动互联网的发展,动态口令技术已成为身份认证技术的主流,被广泛应用于企业、...
中国银行的网上支付动态口令是什么
动态口令(Dynamic Password)是根据专门的算法生成一个不可预测的随机数字组合,每个密码只能使用一次,目前被广泛运用在网银、网游、电信运营商、电子商务、企业等应用领域。动态口令作为最安全的身份认证技术之一,目前已经被越来越多的行业所应用。由于它使用便捷,且与平台无关性,随着移动互联网的发展,...
动态口令是什么意思,手机交易码是什么意思
动态口令的含义是动态口令(Dynamic Password)是根据专门的算法生成一个不可预测的随机数字组合,每个密码只能使用一次,且被广泛运用在网银、网游、电信运营商、电子商务、企业等应用领域。手机交易码的含义是手机交易码是客户在网上银行向他人转账、网络支付等交易的确认过程中,用手机短信进行验证的一种交易...
动态口令是什么?
动态口令(Dynamic Password),又叫"一次性口令(OTP:One Time Password)",是由电子令牌(Token)等手持终端设备生成的,根据某种加密算法,产生的随某一个不断变化的参数(例如时间,事件等)不停地、没有重复变化的一种口令。是为了解决传统静态的、固定的口令和密码存在的无法解决的缺陷,而设计的一种...
什么是动态密码?
动态密码(Dynamic Password)也称一次性密码(0ne-time Password)。动态密码是变动的密码,其变动来源于产生密码的运算因子是变化的。动态密码的产生因子一般都采用双运算因子(Two Factor):其一,为用户的私有密码。它代表用户身份的识别码,是固定不变的。其二,为变动因子。正是变动因子的不断变化,才产生...
手机交易码和动态口令是什么
手机交易码和动态口令如下:1、动态口令的含义是动态口令(DynamicPassword)是根据专门的算法生成一个不可预测的随机数字组合,每个密码只能使用一次,且被广泛运用在网银、网游、电信运营商、电子商务、企业等应用领域。2、手机交易码的含义是手机交易码是客户在网上银行向他人转账、网络支付等交易的确认过程...
动态口令的基本概况
安全工具的使用受到人为因素的影响。 系统的后门是传统安全工具难于考虑到的地方。 黑客的攻击手段在不断地更新。 动态口令(Dynamic Password)是根据专门的算法生成一个不可预测的随机数字组合,每个密码只能使用一次,目前被广泛运用在网银、网游、电信运营商、电子商务、企业等应用领域。
动态口令是什么意思,手机交易码是什么意思
1、动态口令的含义:“动态口令”(Dynamic Password)是根据专门的算法生成一个不可预测的随机数字组合,每个密码只能使用一次,且被广泛运用在网银、网游、电信运营商、电子商务、企业等应用领域。动态口令的优势在于与各种业务系统快速无缝互操作,其完全自主研发的号令动态口令身份认证软件系统稳定、高效、...
请问:什么叫做动态密码
借下别人的答案 动态密码(Dynamic Password)也称一次性密码,它指用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。动态密码采用一种称之为动态令牌的专用硬件,内置电源、密码生成芯片和显示屏.其中数字键用于输入用户PIN码,显示屏用于显示一次性密码。每次输入正确的PIN码,都可以得到一个...
手机银行动态口令怎么获取
首先需要本人携带银行和银行卡去营业网点办理开通网上银行业务,在办理开通网上银行后,会给一个动态口令牌,在进行网银转账操作的时候,转账页面会出现进行手机验证,验证完成后,会发送一个验证码到手机上,然后将验证码输入到动态口令牌上,就可以获取动态口令密码。【...