動態口令的歷史和發展--新聞動態---海博智慧--打造互聯網+時代的身份、信任和貨幣安全載體

首頁 > 新聞動態 > 行業概況

	公司新聞

	行業動態

	行業概況

動態口令的歷史和發展

         （1） 動態口令的淵源與發展
（轉載）現在，口令已經進入了每個人的生活：銀行賬號密碼、證券交易密碼、信箱密碼、辦公室的進入密碼。但是絕大多數人的警惕性和習慣還不如2000年前的我國古人，從來不改變自己的密碼。密碼被盜導致損失的故事已經不新鮮了——資金被盜、股票被偷、領導的權限被盜用。
《三國演義》第七十二回“諸葛亮智取漢中曹阿瞞兵退斜穀”寫到：
操屯兵日久，欲要進兵，又被馬超拒守；欲收兵回，又恐被蜀兵恥笑，心中猶豫不决。适庖官进鸡汤。操见碗中有鸡肋，因而有感于怀。正沉吟间，夏侯蔼入帐，禀请夜间口号。操随口曰：“鸡肋！鸡肋！”蔼传令众官，都称“鸡肋”。行军主簿杨修，见传“鸡肋”二字，便教随行军士，各收拾行装，准备归程。
“鸡肋”的故事原本是衬托杨修的小聪明，但也告诉今天的人们古人就意识到变化的口令方式来识别身份才是最安全的。
    在1982年，贝尔实验室的一位研究人员在一篇论文中提出了一次性口令的设计方案，这样其他人即使破解了密码，也无法再次使用。这是第一次比较系统地提出了动态口令的问题及解决方案。随后，美国RSA公司发现了这项技术的价值，对动态口令进行了深入的研究和改进，提出了“时间同步技术”，1984年申请了专利，1986年开发出第一个动态指令产品SecurID，并且在香港的工厂里生产出了第一个动态口令产品。但是，真正让这个产品成功的是在Security Dynamics Inc.收购RSA之后。他们认识到RSA本身品牌的巨大价值与商业机会，保留了RSA的品牌，并将过去主要与操作系统或系统软件进行捆绑的销售方式转向应用领域，不久就在银行、政府、军队、保险和企业内部安全等领域取得了巨大的成功，并最终成为一个年销售额2.8亿美元（2000年数字）的上市公司。在美洲，RSA现在已经占据动态口令市场70%的份额，2001年已经生产出第1000万块SecurID。RSA很早就想打开中国市场。随着国外一些知名企业进入中国，他们在内部管理中使用的动态口令技术也踏上中国的土地。RSA为了给这些外企提供服务， 1995年在中国内地设置了第一个办事处，1996年在中国第一届国际通信展上，RSA将其全线产品介绍到中国。但是由于当时我国的网络市场还处于起步阶段，绝大多数人还不知道网络究竟能干什么，更不用说安全问题，所以，几乎没有人注意到这个东西。后来韩国的厂商也试图在国内推销类似的产品，同样无功而返。
    但是市场反应的冷淡，并不说明中国人不关心这项技术。早在20世纪90年代中期，国内的电子工业部第15所、中科院研究生院、DCS中心（中国数字安全技术研究中心）、国家安全机构和一些科研院所就在跟踪国外动态口令与密码技术的发展，并做出了一些样品。不过市场情况一直不乐观，到2001年底，我们可以找到的国内生产动态口令的企业不超过5家。
   与其他的网络安全产品相比，动态口令技术在国内的发展有点特殊。例如：防火墙技术在国外是20世纪90年代初出现的，而1995年、1996年国内很多核心部门就已大量采用；CA证书与数字签名在国外出现不久，国内的银行就开始筹建CA中心（CFCA）；而防病毒技术更是与国外完全同步，甚至还有更先进的地方。动态口令技术的第一个产品出现在1986年，90年代初期开始在国外大量使用，但是直到2001年，我们才开始认识到它的重要性。在这个领域，我们整整落后了10多年！
    这其中有很多因素：首先是由于国家密码委等安全机构对安全产品有着严格的限制，只有指定的单位可以开发、生产、销售，同时国外的产品也很难进入中国非商业加密市场。其次，我国的网络市场基本都采取了“先开放、后安全”的策略，就是首先建立网络系统，采用全开放的策略，先产生应用，然后随着应用的丰富，认识到安全问题之后，再进行安全防护。特别是我国的电子商务尚处于起步阶段，商业加密市场的需求并不迫切，再加上国外产品的价格比较高，影响了其在中国的推广。
    而从2000年开始，中国的网上交易得到了突飞猛进的发展，特别是网上交易与网上银行的用户更呈爆炸式增长。在高速增长的同时，出现很多与网络安全有关的问题，例如：信用卡仿制、股票盗卖等等，让大家认识到商业加密的重要性，所以，动态口令产品才获得了国内市场的青睐。
    在动态口令技术中，最常提到的一个词就是“双因素”，实际上这是密码学中的一个概念。从理论上讲，身份认证有三个要素：
        1. 你所知道的：例如密码、身份证号码；
        2. 你拥有什么东西：例如一个动态口令卡、一个IC卡或磁卡；
        3. 你拥有什么特征：例如指纹、瞳孔等等。
    普通的用户名与密码只实现了第一个要素，而动态口令实现了第二个要素。与信用卡或IC卡这类静态设备相比，动态口令卡提供的信息是可变的，进一步提高了安全性。
    所以，通常所说的双因素就是指这两个方面，并将静态认证变成了动态认证。当然，不同的厂家对双因素的解释也不完全相同。按照RSA的说法，在用户输入口令时，首先输入你的PIN码（PIN是Personal Identified Number的缩写，即个人识别码，通常是动态口令卡的开机密码或其他身份识别码），然后再输入你的动态口令，这就是双因素。另外一种说法就是你首先要输入一个密码（PIN）打开你的动态口令卡，然后才能得到这个动态口令。所以对于动态口令来说，单独掌握PIN码或者动态口令卡，没有丝毫的意义。现在还有的厂商说自己的产品是三因素、四因素，但从本质上来说，都是双因素法。现在大家都非常关注动态口令在网上交易与网上银行的应用，但是，动态口令的市场非常广阔，金融行业只是它的应用领域之一。根据国外的经验，我们可以将动态口令的市场进行划分：
    一是高端市场，例如：政府、军队、国家机要部门，他们采用这种技术不考虑成本，安全是第一位的，非常强调产品的安全性、可控性、稳定性。因此，这类产品的价格通常会很高。
    二是大企业内部管理。一个员工可以采用动态口令技术进入公司的内部网络，进行合法操作。此外，对于金融或证券机构的内部人员，他们通过动态口令来确认用户的身份与访问权限，这样就可以防止内部用户盗用其他人的密码，以其他人的身份进行非法操作。这类产品通常需要与权限管理、核心业务系统结合，例如：动态口令需要与Directory Server, Microsoft Active Directory结合，并加上传输加密、CA证书。
    三是低端市场。主要是指金融、证券对外服务，例如：银行可以给其储户提供动态口令卡，提高网上银行、网上证券、电子商务的安全性。这一类产品的价格通常比较低。
    进入2004年，信息系统的安全问题已经摆上了很多公司的议事日程，证券行业、金融行业的很多公司已经进入了相关系统的调研实施阶段。深圳的国信证券和金牛期货经纪公司都已经开始使用这项技术。一个巨大的市场已经逐渐展现在人们面前。RSA的成功像旗帜一样召唤着后来者。现在国内很多厂商都在试图进入这个领域，而且投入了大量的财力、物力。动态口令的生产厂商已从一家，变成了20多家。
    在动态口令卡的市场中，国外产品由于受到国家政策的限制，特别是1999年10月7日第273号国务院令《商用密码管理条例》公布之后，进入国内市场的难度加大。于是有的就采用打擦边球的方式，有的则将市场主要定位于外企内部管理领域。而国内的动态口令开发商并不能因此而感到轻松。目前，他们的产品绝大部分都集中于第三类市场，技术差异很小，只能在价格上展开竞争。可以预见，几年以后，价格战将不可避免，而价格战必然导致服务质量的下降。而动态口令卡恰恰是一项需要持续售后服务的产品。特别是网上交易与网上银行用户遍布全国，就需要一个同样遍布全国的网络为客户提供服务，例如动态口令卡的电池更换、挂失、维修等。如果大家都去为了占领市场而进行价格战，后续的服务无法跟上，肯定会影响这个产品的进一步推广。
    同时，国内动态口令的开发商大多采用了RSA的“时间同步”技术，也都在宣传自己的产品如何好、价格如何低，但是都在回避一个问题，就是1984年RSA 为“时间同步”及相关技术申请了专利，而我国加入了世界知识产权保护组织，RSA公司的此项专利也受到我国法律的保护，这会不会出问题呢？
    比利时有家公司叫做VASCO Data Security International, Inc.（现在已经被美国一家公司收购），他们采用时间同步技术开发了动态口令产品，并在欧洲市场取得了很好的效益。但好景不长，RSA一纸诉状将其告上法庭，后来Vasco不得不花费大量金钱与RSA在庭下和解。随着动态口令在国内的不断普及，类似的情况也很可能会出现。国内厂商应该早一点认识到这个问题，充分利用专利保护期及相关法律保护自己，做到未雨绸缪，避免不必要的麻烦。
    从本质上看，动态口令并不是一项高深的技术，实现起来也不复杂。正因如此，它的商品化过程是比较复杂的，例如客户端的产品设计、操作的易用性、服务器的安全控制等等，都会花费很长时间。此外，还要投入大量的宣传费用，让市场、客户了解这项产品，认识到它的价值。据业内人士分析，这项产品的开发与商品化之间的费用比为1：10，也就是说如果花1元钱用于技术开发，商品化的过程就要花费10元。同时，一个产品是否成功与许多因素有关，例如：进入市场的时间、客户对产品的认知程度、产品的性能与价格、政策法律社会环境、偶然因素等等。这正说明为什么国外曾经有上百家动态口令的开发商，现在成功的却只有几个。我国的动态口令卡市场，现在也正在踏上同样的道路。
    动态口令也不是绝对安全的，它是软件，也是硬件，所以其他软件、硬件有的毛病它也都会有。动态口令卡可能的隐患包括：
    1. 发卡机构。例如：系统的开发商、使用机构等。每一个用户都需要一个生成动态密码的卡片，如同你的信用卡。如果用户丢失这个卡，挂失之后，发卡机构可以重新给你复制一个相同的卡。那么如果负责发卡的人真想盗用账号，就可以利用他所掌握的职权复制任何人的卡。
    2. 系统管理员。现在多数动态口令卡都是通过时间同步来计算动态口令的，如果系统管理员不小心修改了系统时间（这是很容易产生的错误），则可能会对整个系统造成极大的混乱，使整个交易系统瘫痪。
    3. 服务器。现在动态口令服务器采用的操作系统通常是Windows 2003或Unix平台，而这两种操作系统的本身存在着很多“漏洞”，很可能成为黑客或病毒的攻击目标，即使他们无法偷盗用户的账号信息，也可能会使整个交易系统瘫痪。
    4. 加密方式。现在各个厂商使用的加密原理、认证方式都不完全相同，有的采用公开的加密方法，有的采用自己开发的加密方式。使用自己开发的加密方式的产品，没有人能够证明他的加密方式是安全的。特别是开发人员很可能为自己保留一些“后门”（这种事情在国外的很多银行系统中已经发生过），就会成为整个系统最大的隐患。
    5. 动态口令系统本身的可靠性。由于现在国内的多数动态口令系统都是新出现的产品，其可靠性、安全性并没有经过实践检验，例如：处理并发的能力、灾难恢复的能力、对异常攻击的防范能力等。针对这些问题，各个动态口令企业正积极解决这些危害及后患。海博智能在数据加密、企业内部多重保密机制、系统自动时间矫正、认证系统性能的提升、问答式令牌的设计等方面做出多项改进与提高，保护网络安全的有效实施。
                                      该信息摘自——《IT经理世界》2002年第92期
（2）动态口令身份认证技术的应用
（转载）动态口令的概念
　　身份认证是信息安全体系的重要组成部分，它是保护信息系统安全的第一道防护门。它的工作任务是检验信息系统上登入的用户身份的合法性和有效性，并按系统授予的权限访问系统资源，将非法访问者拒之门外。
　　身份认证技术分为：常规的“静态口令”代码认证、动态口令（One Time Password）认证、生物技术（指纹、虹膜、面容等）认证、通过第三方发放的数字证书（CA）认证等。其中常规的“静态口令”代码认证是计算机系统的早期身份认证产品，因其“口令”的静态特性和重复使用性，存在易窃取、易猜测、易破解等安全缺陷，是一种弱身份认证原理，只能用于安全等级要求较低的信息系统。动态口令认证、生物技术认证和数字证书认证是强身份认证原理，可用于政府、金融、企业等重要信息系统的安全认证，目前随着互联网的发展也被更多的用于个人业务中如：网络游戏、个人网上银行、校园一卡通等。
　　针对静态口令认证的缺陷，80年代初，美国科学家Leslie Lamport首次提出了利用散列函数产生一次性口令的思想，即用户每次登录系统时所使用的口令是不同的，且一次有效。1991年贝尔通信研究中心（Bell core）用DES加密算法首次研制出了基于一次性口令思想的挑战/应答式动态口令身份认证系统S/KEY。之后，更安全的基于MD4和MD5散列算法的动态口令认证系统也开发出来。为了克服挑战/应答式动态口令认证系统使用过程烦琐，占用过多通信时间资源的缺点，美国著名的加密算法研究实验室RSA研制成功了基于时间同步的动态口令认证系统RSA SecureID。RSA公司也由此获得了时间同步的专利技术。除RSA公司外，美国的Secure Computing公司和 AXENT（Symantec）公司也是动态口令认证产品的供应商。
　　我国的中科院信息安全国家重点实验室（DCS中心）于1998年研制成功具有我国知识产权的动态口令身份认证系统。之后，福建凯特公司、北京捷安世纪科技有限公司、北京集联公司等开发出了不同型号的动态口令身份认证系统。与此同时，四川安盟公司与美国RSA公司合作，把RSA产品引进了我国。以上产品推动了动态口令在我国的应用。

發佈時間：2012/05/08 11:27:11 流覽次數：3001