2010年出纳实习周记02唐婉演员月03日
当前,现在很多人都在使用网上银行进行方便的购物,交费等各项业务,本人对中国银行网上银行--动态口令牌觉得新奇,先作介绍:
自从在当地中国银行开了网上银行后,收到了1个特别的小玩意--动态口令牌,我也办过别家银行的网上银行,浦发银行有手机密码验证,招商银行可以手机信用卡支付,工商银行有U盾,但这个小玩意以前还没看到过。
这个东西依靠自带干电池驱动,没有任何按钮,也不能关闭。只有1个液晶屏幕预示着六位的动态密码,每隔60秒钟变换一次,感觉很像大旱007内里的控制卫星的密码设备。E-token是用的128位密码加密,在反面有1个9位数码的编号。在开通的时候,柜员将每个口令牌和账户绑定,这样办事器端和口令牌的密码就能保持同步,看起来这玩意科技含量不小啊。
首年免年费,第二年起可能是20元年费。在网上搜索了一下资料,到了这样一篇介绍的动态密码口令成长历史的文章(原文仿佛打不开了)。
在1982年,贝尔实验室的一位研究人员在一篇论文中提出了一次性口令的预设方案,这样其他人即使破解了密码,也无法再次施用。这是第一次比较体系地提出了动态口令的问题及解决方案。随后,美国RSA公司发现了这项技能的价值,对动态口令进行了深入的研究和改进,提出了"时间同步技能",1984年声请了专利,1986年开拍发第1个动态指令产品SecurID,并且在香港的工厂里生产出了第1个动态口令产品。
可是,真正让这个产品成功的是在Security Dynamics Inc.从各处买进RSA之后。他们熟悉到RSA本身品牌的巨大价值与商业时机,保留了RSA的品牌,并将过去首要与操作体系或体系软件进行捆绑的销售方式转向应用领域,不久就在银行、政府、军队、保险和企业内部安全等领域取患了巨大的成功,并最终成为1个年销售额2.8亿美元(2000年数码)的上市公司。
RSA柳真个人资料很久已想打开中国市场。随着外洋一些知名企业步入中国,他们在内部办理中施用的动态口令技能也踏上中国的地盘。RSA为了给这些个外企提供办事, 1995年在中国内地配置了第1个办事处,1996年在中国第一届国际通信展上,RSA将其全线产品介绍到中国。可是因为其时我国的网络市场还处于起步阶段,绝大多数人还不懂得网络究竟能干什么,更不消说安全问题,以是,险些没有人注重到这个东西。后来韩国的厂商也试图在国内倾销类是的产品,同样无功而返。
可是市场反应的冷淡,并不申明中国人不关心这项技能。早在20世纪90年代中期,国内的电子工业部第15所、中科院研究生院、DCS中间(中国数码安全技能研究中间)、国家安全机谈判一些科研院所就在跟踪外洋动态口令与密码技能的成长,并做出了一些样品。不过直到1997年,福建凯特才从国家DCS 中间取患了这项技能,将其变成为了1个产品,成为国内第1个吃螃蟹者。只是市场环境一直不乐观,到2001年底,咱们可以到的施用国内动态口令产品的用户不超过10家,而即使国内最早步入此领域的福建凯特,也是利用体系集成和软件开发的收入来补贴这一部分的亏损,其他的厂商就更不必说了。
与其他的网络安全产品相比,动态口令技能在国内的成长有点特殊。例如:防火墙技能在
外洋是20世纪90年代初呈现的,而1995年、1996年国内很多核心部门就已大量采用;CA证书与数码署名在外洋呈现不久,国内的银行就开始筹建CA中间(CFCA);而防病毒技能更是与外洋完全同步,甚或还有更先进之处。动态口令技能的第1个产品呈现在1986年,90年代初期开始在外洋大量施用,可是直到2001年,咱们才开始熟悉到它的重要性。在这个领域,咱们整整落后了10多年!
这此中有很多因素:首先是因为国家密码委等安全机构对安全产品有着严格的限制,只有指定的单元可以开发、生产、销售,同时外洋的产品也很难步入中国非商业加密市场。其次,我国的网络市场基本都采取了"先开放、后安全"的策略,就是首先建立网络体系,采用整张纸放的策略,先产生应用,然后随着应用的丰富,熟悉到安全问题之后,再进行安全防护。特别是我国的电子商业上的事务尚处于起步阶段,商业加密市场的需求并不火急,再加上外洋产品的价格比较高,影响了其在中国的推广。
而从2000年开始,中国的网上买卖业务得到了突飞猛进的成长,特别是网上买卖业务与网上银行的用户更呈爆炸式增长。在高速增长的同时,呈现很多与网络安全有关的问题,例如:信用卡仿造、股票盗卖等等,让各人熟悉到商业加密的重要性,以是,动态口令产品才获患了国内市场的青睐。
[b]技能[/b]
在动态口令技能中,最常提到的1个词就是"双因素",实际上这是密码学中的1个概念。从意见上讲,身份认证有三个要素:
[quote]
1. 你所懂得的:例如密码、身份证号码;
2. 你拥有什么东西:例如1个动态口令卡、1个IC卡或磁卡;
3. 你拥有什么特性:例如指纹、瞳孔等等。
[/quote]
普通的用户名与密码只实现了第1个要素,而动态口令实现了第二个要素。与信用卡或IC卡这类静态设备相比,动态口令卡提供的信息是可变的,进一步提高了安全性。
以是,凡是所说的双因素就是指这两个方面,并将静态认证变成为了动态认证。当然,不
同的厂家对双因素的解释也不完全相同。按照RSA的讲法,在用户输入口令时,首先输入你的PIN码(PIN是Personal Identified Number的减写,即个人识别码,凡是是动态口令卡的开机密码或其他身份识别码),然后再输入你的动态口令,这就是双因素。另外一种讲法就是你首先要输入1个密码(PIN)打开你的动态口令卡,然后才能得到这个动态口令。以是对动态口令来说,单独掌握PIN码或者动态口令卡,没有丝毫的意义。
现在还有的厂商说自己的产品是三因素、四因素,但从本质上来说,都是双因素法。
现在各人都非常存眷动态口令在网上买卖业务与网上银
行的应用,可是,动态口令的市场非常广漠,金融行业只是它的应用领域之一。按照外洋的经验,咱们可以将动态口令的市场进行区分清楚:
一是高端市场,例如:政府、军队、国家机要部门,他们采用这种技能不考虑成本,安全是第一位的,非常夸大产品的安全性、可控性、不变性。因此,这类产品的价格凡是会很高。
二是大企业内部办理。1个员工可以采用动态口令技能步入公司的内部网络,进行合法操
作。此外,对金融或证券机构的内部人员,他们通过动态口令来确认用户的身份与访问职权范围,这样就可以防止内部用户盗用其他人的密码,以其他人的身份进行不法操作。这类产品凡是需要与职权范围办理、核心业务体系联合,例如:动态口令需要与Directory Server, Microsoft Active Directory联合,并加上传道输送加密、CA证书。
三是低端市场。首要是指金融、证券对外办事,例如:银行可以给其储户提供动态口卡,提高网上银行、网上证券、电子商业上的事务的安全性。这一类产品的价格凡是比较低。
步入2004年,信息体系的安全问题已摆上了很多公司的议事日程,证券行业、金融行业的很多公司已步入了相关体系的调查研究实施阶段。深圳的国信证券和金牛期货掮客公司都已开始施用这项技能。1个巨大的市场已逐渐揭示在人们面前。
RSA的成功像旗帜同样理睬 呼唤着后来者。现在国内很多厂商都在试图步入这个领域,而且投入了大量的财力、物力。动态口令的生产厂商已从一家,变成为了20多家。
在动态口令卡的市场中,外洋产品因为受到国家政策的限制,特别是1999年10月7日第273号国务院令《商用密码办理条例》公布之后,步入国内市场的困难程度加大。于是有
的就采用打擦边球的方式,有的则将市场首要定位于外企内部办理领域。而国内的动态口令开发商并不能因此而感应轻松。目前,他们的产品绝大部分都集中于第三类市场,技能差异很小,只能在价格上展开竞争。可以预见,几年以后,价格战将不可制止,而价格战必然导致办事质量的下降。
而动态口令卡恰正是一项需要持续售后办事的产品。特别是网上买卖业务与网上银行用户遍布全国,就需要1个同样遍布全国的网络为客户提供办事,例如动态口令卡的干电池更换、挂失、维修等。如果各人都去为了占领市场而进行价格战,后续的办事无法跟上,肯定会影响这个产品的进一步推广。
同时,国内动态口令的开发商大多采用了RSA的"时间同步"技能,也都在宣传自己的产品如何好、价格如何低,可是都在回避1个问题,就是1984年 RSA 为"时间同步"及相关技能声请了专利,而我国插手了世界知识产权保护组织,RSA公司的此项专利也受到我国法律的保护,这会不会出问题呢?
关于牛的成语 比利时有家公司叫做Vasco(现在已被美国一家公司从各处买进),他们采历时间同步技能开发了动态口令产品,并在欧罗巴洲市场取患了很好的效益。但好景不长, RSA一纸诉
状将其告上法庭,后来Vasco不得不花费大量金钱与RSA在庭下息争。随着动态口令在国内的不停普及,类是的环境也很可能会呈现。国内厂商应该早一点熟悉到这个问题,充实利用专利保护期及相关法律保护自己,做到有备无患,制止不必要的贫苦。
从本质上看,动态口令并非一项高深的技能,实现起来也不复杂。正因如此,它的商品化历程是比较复杂的,例如客户端的产品预设、操作的易用性、办事器的安全控制等等,都会花费很长时间。此外,还要投入大量的宣传费用,让市场、客户了解这项产品,熟悉到它的价值。据业内子士分析,这项产品的开发与商品化之间的费用比为1:10,也就是说如果花1元钱用于技能开发,商品化的历程就要花费10元。同时,1个产品是否成功与很多因素有关,例如:步入市场的时间、客户对产品的认知水平、产品的机能与价格、政策法律社会环境、偶然因素等等。这正申明为什么外洋曾有上百家动态口令的开发商,现在成功的却只有几个。我国的动态口令卡市场,现在也正在踏上同样的门路。
动态口令也不是绝对安全的,它是软件,也是硬件,以是其他软件、硬件有的毛病它也都会有。动态口令卡可能的隐患包括:
1. 发卡机构。例如:体系的开发商、施用机构等。每个用户都需要1个生成动态密码的卡
片,犹如你的信用卡。如果用户丢失这个卡,挂失之后,发卡机构可以重新给你复制1个相同的卡。那末如果卖力发卡的人真想盗用账号,就可以利用他所掌握的职权复制任何人的卡。
发布评论