互联网中记录用户身份负责身份识别的安全产品。当前应用较广的几种密保,包括基于
动态密码技术开发的OTP密保产品、基于PKI技术开发的
USB-KEY数字证书。
在互联网世界中,用户的各种信息都是以一组特定的数据来表示,各类型的
网络系统需要通过识别用户的数字身份,以确认开放对应的操作权限。在互联网行业发展初期,
密码即是网络系统识别网络中数字身份合法拥有者与操作者(即保证操作者的物理身份和数字身份相对应)的核心要素。
互联网行业发展达入新的高度后,由于
计算机系统的开放性和互联性,用户在网络中的数字身份很容易被不法分子利用
木马病毒、黑客
软件截获,从而导致用户的各种利益受到侵害。基于此,网络系统确保用户物理身份和数字身份统一,就需要有加强的密码方式或产品,因而,密保就产生了。
OTP全称是one time password,也称动态密码、动态口令,基于OTP研发的产品,即是OTP密保。最早的动态密码理论是由上个世纪80年代
美国科学家Leslie Lamport提出的,他利用散列函数产生一次性口令的思想阐释,如果用户进行网络
身份认证时使用的口令是动态变化的,就可以更好地加强用户对账号密码的安全管理。此后,世界各国都对这一理论进行了实践研究,形成动态密码(Dynamic Password)保护技术,在2004年,这种动态密码认证技术被美国权威杂志SC Magazine评选为当年最佳安全解决方案。
中国的中科院将该技术列入重点
实验室研究项目后,于1998年研制成功了具有我国知识产权的动态密码身份认证系统。其后,随着OTP技术的成熟以及速发展,很快在网络游戏、电子商务、金融证券,企业软件等领域到国防、
银行、金融、网游等行业领域得到广泛应用。
OTP从技术角度可分为三种类型:
时间同步、事件同步、挑战/应答,其中最安全的类型应该是时间同步,该类型的密保产品,根据专门的算法,基于时间同步生成不可预测的随机数字组合,一个密码使用一次有效。在网络游戏行业应用较广的产品包括易口令、盛大密保、网易将军令等,均是每60秒即可产生一组新的动态密码。
此外,基于事件同步的密保产品,即
矩阵卡,(也称密保卡)在网络游戏行业应用也较广泛。该产品以卡片形式呈现,卡片上一般都印制一个10×8的
数字矩阵,矩阵的每个坐标为1~3位的数字。用户使用时,根据随机坐标提示对应到矩阵的数字,即是通过密保卡获取的动态密码。密保卡功能是一种简单有效的安全功能,绑定密保卡并开启游戏密保服务后,每次登录游戏必须结合密保卡,而且每次登录时所需要输入的动态数字都不相同。
PKI的全称是Public Key Infrastructure,即“
公钥基础设施”。其是一种遵循既定标准的
密钥管理平台,它能够为所有网络应用提供加密和
数字签名等密码服务,以及所必需的密钥和证书管理体系。