-
動態密碼
(計算機術語)
鎖定
- 中文名
- 動態密碼
- 外文名
- dynamic cipher
- 類 型
- 隨機數字組合
- 相關領域
- 電子政務等
- 特 色
- 提高安全性
- 學 科
- 信息科學
動態密碼基本定義
動態密碼作為最安全的身份認證技術之一,已經被越來越多的行業所應用。由於它使用便捷,且與平台無關性,隨着移動互聯網的發展,動態口令技術已成為身份認證技術的主流,被廣泛應用於企業、網遊、金融等領域,國內外從事動態口令相關研發和生產的企業也越來越多,其優勢在於與各種業務系統快速無縫互操作,其完全自主研發的號令動態口令身份認證軟件系統穩定、高效、支持多種認證模式,其解決方案可以服務不同規模企業
[2]
。
動態密碼簡介
動態密碼是隨時變化的密碼,由於每次輸入的密碼都不固定,所以即使一次密碼被盜也不會帶來損失。
1.動態口令卡
動態口令卡又稱刮刮卡,外形類似於銀行卡,以矩陣形式印有若干字符串。客户在使用電子銀行進行對外轉賬、B2C購物和繳費等支付交易時,電子銀行系統會隨機給出一組口令卡座標,客户根據座標從卡片中找到口令組合並輸入電子銀行系統,只有口令組合輸入正確的客户才能完成相關交易,該口令組合一次有效,交易結束後即失效
[1]
。
2.動態口令牌
動態口令牌外觀如U盤大小,是一種內置電源、密碼生成芯片和顯示屏,根據專門的算法每隔一定時間自動更新動態口令的專用硬件。動態口令每60s變動一次,只需根據系統提示,輸入當前口令牌顯示的密碼即可。中國銀行使用此種方式,稱為中銀e令
[1]
。
3.手機動態口令
動態密碼安全隱患
隨着信息化進程的深入和計算機技術的發展,網絡化已經成為企業信息化的發展大趨勢。人們在享受信息化帶來的眾多好處的同時,網絡安全問題已成為信息時代人類共同面臨的挑戰,網絡信息安全問題成為當務之急。
這些安全隱患主要可以歸結為以下幾點:
(1)每一種安全機制都有一定的應用範圍和應用環境。
(2)安全工具的使用受到人為因素的影響。
(3)系統的後門是傳統安全工具難於考慮到的地方。
動態密碼主流技術
動態密碼短信密碼
短信密碼以手機短信形式請求包含6位隨機數的動態密碼,身份認證系統以短信形式發送隨機的6/8位密碼到客户的手機上,客户在登錄或者交易認證時候輸入此動態密碼,從而確保系統身份認證的安全性,短信動態密碼認證技術被認為是能夠最有效解決用户的身份認證方式之一,可以有效防範黑客木馬盜竊用户賬户密碼、假網站等多種網絡問題,導致用户的財產或者資料的損失
[3]
。
動態密碼硬件令牌
動態密碼卡/動態口令牌--KingKey1000是一種基於雙因素動態密碼生成的手持終端,該終端根據硬件密碼種子、時間和事件,每分鐘隨機生成一個新密碼,具有很強的隨機性,不可猜測性。KingKey1000需要和相應的服務器軟件配合使用,廣泛應用於 網絡遊戲、財務軟件系統、ERP軟件系統、政府電子政務系統、軍隊系統、VPN虛擬專網系統、金融系統等對密碼安全要求較高的軟件系統
[3]
。
動態密碼手機令牌
手機令牌也稱手機口令牌,是用來生成動態口令的手機客户端軟件,在生成動態口令的過程中,不會產生任何通信及費用,不存在通信信道中被截取的可能性,手機作為動態口令生成的載體,欠費和無信號對其不產生任何影響,由於其在具有高安全性、0成本、無需攜帶、獲取以及無物流等優勢,相比硬件令牌其更符合互聯網的精神,由於以上優勢,手機令牌可能會成為3G時代動態密碼身份認證令牌的主流形式
[3]
。
手機令牌的實質就是把動態密碼技術用手機軟件的方式實現,軟件啓動後,通過手機運算並在手機液晶屏幕每分鐘顯示一個不可猜測的動態密碼。手機動態密碼可在Windows Mobile、iPhone、android、symbian等手機操作系統運行。可做到密鑰與手機捆綁。 和動態令牌的硬件令牌形式一樣,以海月通信手機令牌為例,從技術角度來説主流的有基於時間同步、挑戰\應答兩種形式
[3]
。
動態密碼認證技術
通常具有整合整個動態密碼認證技術的防火牆有下列兩種方式:
(1)防火牆內建動態密碼認證服務器;
動態密碼特點
(1)無需記憶
(2)雙重保險
(3)迅速知情
(4)內外兼“固”
在信息系統的入侵者中,內部入侵者佔80%以上。就電子商務站點而論,信息安全最薄弱環節是對內防範,如網管人員也能通過正常授權獲得用户保密資料,對用户信息安全無疑是一種威脅。而動態密碼認證系統把密鑰生成和管理完全交給系統自動完成,最大限度地減少了人為因素,有效地防止了內部人員作案,使系統安全防範對內對外同樣堅固
[2]
。
(5)簡單易行
IC卡認證、CA認證、指紋認證都需要專用終端認證設備的配合,應用範圍受到很大限制,較多使用的USKKEY,也需要插入到電腦上,擁有大量使用者的電話交易就無法使用。動態密碼令牌凡是在可以輸入十進制數碼的設備上都可以實現,簡單使用
[2]
。
動態密碼口令分類
為解決靜態密碼安全性的問題,在90年代出現了動態密碼技術,應用成果和大體情況如下:
動態密碼技術主要分兩種:同步口令技術、異步口令技術 (挑戰-應答方式);
動態密碼時間同步
基於令牌和服務器的時間同步,通過運算來生成一致的動態口令,基於時間同步的令牌,一般更新率為60秒,每60秒產生一個新口令,但由於其同步的基礎是國際標準時間,則要求其服務器能夠十分精確的保持正確的時鐘,同時對其令牌的晶振頻率有嚴格的要求,從而降低系統失去同步的幾率,從另一方面,基於時間同步的令牌在每次進行認證時,服務器端將會檢測令牌的時鐘偏移量,相應不斷的微調自己的時間記錄,從而保證了令牌和服務器的同步,確保日常的使用,但由於令牌的工作環境不同,在磁場,高温,高壓,震盪,浸水等情況下易發生時鐘脈衝的不確定偏移和損壞。故對於時間同步的設備進行較好的保護是十分必要的,對於失去時間同步的令牌,可以通過增大偏移量的技術(前後10分鐘)來進行遠程同步,確保其能夠繼續使用,降低對應用的影響,但對於超出默認(共20分鐘)的時間同步令牌,將無法繼續使用或進行遠程同步,必須送回服務器端另行處理。同樣,對於基於時間同步的服務器,應較好地保護其系統時鐘,不要隨意更改,以免發生同步問題,從而影響全部基於此服務器進行認證的令牌
[3]
。
動態密碼事件同步
基於事件同步的令牌,其原理是通過某一特定的事件次序及相同的種子值作為輸入,在算法中運算出一致的密碼,其運算機理決定了其整個工作流程同時鍾無關,不受時鐘的影響,令牌中不存在時間脈衝晶振,但由於其算法的一致性,其口令是預先可知的,通過令牌,你可以預先知道今後的多個密碼,故當令牌遺失且沒有使用PIN碼對令牌進行保護時,存在非法登陸的風險,故使用事件同步的令牌,對PIN碼的保護是十分必要的。同樣,基於事件同步的令牌同樣存在失去同步的風險,例如用户多次無目的的生成口令等,對於令牌的失步,事件同步的服務器使用增大偏移量的方式進行再同步,其服務器端會自動向後推算一定次數的密碼,來同步令牌和服務器,當失步情況經非常嚴重,大範圍超出正常範圍時,通過連續輸入兩次令牌計算出的密碼,服務器將在較大的範圍內進行令牌同步,一般情況下,令牌同步所需的次數不會超過3次。但在極端情況下,不排出失去同步的可能性,例如電力耗盡,在更換電池時操作失誤等。此時,令牌仍可通過手工輸入由管理員生成的一組序列值來實現遠程同步,而無需返回服務器端重新同步
[3]
。
動態密碼異步令牌
(挑戰—應答)