客服熱線:400-615-8698
除了你沒有人知道的密碼:種子密鑰更新技術(shù)
2011-8-18??? 作者:劉平?? 來源:TechTarget中國
?
導(dǎo)讀:RSA事件后,國內(nèi)的認證市場有什么變化?又有哪些新技術(shù)?近日本站記者采訪了林果科技的韓阿龍副總裁,為你詳細介紹一種種子密鑰更新技術(shù)。
關(guān)鍵詞:種子密鑰更新技術(shù) 認證產(chǎn)品 令牌 林果科技
?
【TechTarget中國原創(chuàng)】每個人都希望自己的密碼保密的,且除了自己沒有人知道。但我們總是感到不安,任何我們輸入過密碼的系統(tǒng),頁面,應(yīng)用程序等似乎都記錄了我們的密碼。在網(wǎng)上交易,電子交易流行的今天,小小的令牌似乎給我們帶來了一些安慰。可是,它也出事了。
RSA事件的影響仍在繼續(xù),在之前的采訪中,我們看到了一些國外廠商,如CA和SafeNet各自的解決方案,他們或是提到了軟件認證,或是講解了種子密鑰在客戶端生成。那么,認證在國內(nèi)的情況如何?國內(nèi)認證廠商對RSA事件有什么看法?是否有什么創(chuàng)新的解決方案?還有,他們準備怎樣擁抱云趨勢?針對以上問題,近日,本站記者采訪了上海林果實業(yè)有限公司的副總裁韓阿龍先生。
??????
????? RSA正在全球除中國以外的市場更換他們的令牌。更換令牌是一件費時費力的事情,是否有什么方法可以省去召回舊令牌,再更換新令牌的這種方式?請跟隨我們的采訪,一起來探討這個問題。
什么是種子密鑰更新技術(shù)
韓總表示,種子密鑰更新技術(shù)是他們在09年做的一個專利技術(shù),該技術(shù)可以實現(xiàn)動態(tài)令牌的發(fā)行者或用戶根據(jù)需要安全地更新動態(tài)令牌的種子密鑰,即使動態(tài)令牌發(fā)行者的種子密鑰數(shù)據(jù)庫被黑客竊取,也能通過更新動態(tài)令牌的種子密鑰恢復(fù)已經(jīng)發(fā)行的動態(tài)令牌的安全性,這樣就大大消除了因動態(tài)令牌初始密鑰外泄引起的安全風(fēng)險。
這種更新是如何實現(xiàn)的?
韓總解釋道,“種子的環(huán)節(jié)有這么幾個部分。種子一個是放在供應(yīng)商這邊,一個是放在令牌里邊,還有一個是用戶買了令牌,把種子放在他們的系統(tǒng)中去。種子泄露只會發(fā)生在兩個地方,一是供應(yīng)商,二是用戶系統(tǒng),令牌本身是不會泄露種子的。兩邊如果有一邊出了問題,都會導(dǎo)致種子不再相同,是可以復(fù)制了。種子密鑰更新,是動態(tài)更新,不同于產(chǎn)品出廠后在用戶手上變一次的一次性更新,動態(tài)更新可以進行多次更新。更新指的是現(xiàn)在的種子跟原來的種子不一樣。即使偷走了,偷走的是原來的種子,但不知道現(xiàn)在使用的種子是什么。這樣一來,種子數(shù)據(jù)永遠是秘密的。”
更新的時間,頻繁度是由誰來決定的?
更新現(xiàn)在有幾種方式,一是把產(chǎn)品交付給客戶,在這個過程中可以更新一次,那么客戶手中產(chǎn)品的種子就與廠商出廠時提供的不一樣了,這次更新杜絕了廠商泄露導(dǎo)致的危害。然后客戶這個令牌發(fā)給用戶(使用人員),用戶拿到產(chǎn)品后,為了杜絕客戶泄露導(dǎo)致的危害,可以進行更新。如果用戶本身沒有保管好,那么他們可以促使下一次更新,這是不限次數(shù)的。在被竊取后,很多情況下,人們不會馬上就知道,如果不知道的話,就沒有更新的意識,還是會造成損失。
韓總表示,更新是在發(fā)現(xiàn)問題后,立刻進行處理,從而避免帶來損失。用戶都會裝有一些安全應(yīng)用,通過這些安全應(yīng)用,一旦發(fā)現(xiàn)可疑事件,就可以進行更新。但頻繁更新也不適合,對用戶來說,更新一次就帶來一次動作,對于龐大的用戶群來說,很不方便。
RSA事件在三月份就披露出來了,但最嚴重的時候是在五月份,洛克希德? 馬丁軍方供應(yīng)商被攻破,然后事態(tài)就嚴重了,如果RSA遇到這種事情,在開始解決時就把種子密鑰更新一下,后面也許就不會有洛克希德? 馬丁這種事情了。RSA現(xiàn)在在做令牌召回,它之所以召回是因為已經(jīng)泄露了,如果用更新技術(shù)的話,不用召回,只需要客戶告訴用戶更新一下,更新完以后就不知道種子到底是哪個了。
“對用戶來講,他不關(guān)心種子是什么,他只關(guān)心安不安全,他希望種子是相同的,且別人是不知道的。動態(tài)更新就能保證廠商不知道,客戶不知道,那么用戶的種子就是一致的,這是我們技術(shù)的根本點,就是解決令牌種子的相同性,別人不可以復(fù)制,黑客不可以,用戶也不可以。”韓總補充道。
電子交易市場是重點
韓總表示,他們非常關(guān)注國內(nèi)市場,因為國內(nèi)電子交易市場發(fā)展迅速,還有很多可以做的。種子密鑰更新技術(shù)主要面向的對象是在電子交易這方面,電子交易包含了很多領(lǐng)域,電子銀行,證券,互聯(lián)網(wǎng)的電子商城,電子商務(wù),甚至還包括政府的一些網(wǎng)上的行為,比如網(wǎng)上的報稅,網(wǎng)上報表的扭轉(zhuǎn)等等都是電子行為,基于互聯(lián)網(wǎng)的。醫(yī)療方面還沒有。賬號存放的東西有幾種,包括錢,資金(股票等),虛擬貨幣(游戲裝備之類),隱私,賬號的權(quán)利,這五類都是我們所對應(yīng)的客戶。
目前種子密鑰更新技術(shù)的使用也在吸引著客戶的眼球,相信未來會被廣泛采用。
關(guān)于林果公司產(chǎn)品在市場上所占的份額,韓總說道,“目前國內(nèi)市場沒有第三方的調(diào)查,事實上,電子交易市場用戶真正開始使用也是從2010年,如果按分級的話,我相信我們是這個領(lǐng)域的第一梯隊,我們每年的交貨量是五百萬片左右。這在國內(nèi)應(yīng)該是靠前的。”
圖為林果科技使用了種子密鑰更新技術(shù)的認證產(chǎn)品
(上面三個黑色的是二代令牌挑戰(zhàn)應(yīng)答型,白色的為一代令牌)
?
客戶如何選擇最佳的認證產(chǎn)品?
現(xiàn)在產(chǎn)品那么多,客戶在選擇的時候主要注重安全性,但各個廠商都在強調(diào)自己的安全,對一個不懂技術(shù)的人來說,感覺都差不多,客戶該如何選擇?
韓總說,“安全性是必須的。電子產(chǎn)品是功能產(chǎn)品,同安全產(chǎn)品不一樣。客戶在選擇產(chǎn)品前,一定會做大量的調(diào)研,同時還有大量的測試。這分為很多方面,比如種子,從工廠出來到用戶手中會經(jīng)過很多流程,包括物流等,要保證所有的環(huán)節(jié)都是安全的。這個是從交付角度來看。從產(chǎn)品本身來看,產(chǎn)品在工廠的生產(chǎn)情況也很重要。要保證生產(chǎn)環(huán)節(jié)的安全,人員技術(shù)管理的安全。自己有工廠的和代工廠的安全保證肯定是不一樣的。”
“二是根據(jù)廠商的經(jīng)驗和管理體系來選擇。一個生產(chǎn)過30萬片的企業(yè)和一個生產(chǎn)過300萬片的企業(yè)肯定是不一樣的。生產(chǎn)量大的廠商出現(xiàn)過的問題,對于生產(chǎn)量小的廠商而言,可能還未出現(xiàn),但這不等于不會出現(xiàn),從10萬到100萬,這個差距挺大的,這期間所面臨的挑戰(zhàn)也是不一樣的。這個很關(guān)鍵,你做過什么事情,你的管理體系是否成熟,都是不一樣。”
在選擇方面,用戶最關(guān)心的就是安不安全,還有一個就是質(zhì)量,用戶體驗差不差,如果體驗不好可能用戶就不會再次選擇該產(chǎn)品了。
認證如何擁抱云?
提到云,韓總認為一小片一小片的云組成一大片云,就是云了。云認證就是,你不知道在哪里認證的,用什么方式認證。你只需要帶著一個身份就可以進行認證了。比如現(xiàn)在新浪認證必須登錄新浪,搜狐認證必須登錄搜狐,以后的登錄可能就是統(tǒng)一的了,不需要在特定地方進行。
請談一談貴公司安全認證云在天津落地的概念?
韓總說道,“是這樣的,天津有一個信息產(chǎn)業(yè)基地,市政府邀請我們?nèi)ツ沁呎勔恍┖献鳎献髦饕轻槍κ宓囊?guī)劃和安全的發(fā)展。我們的概念就是認證云提供云認證,基于云計算這里面的一些概念。這個事情還在前期,我們也在推動這個事情。我們會有一些相應(yīng)的技術(shù)和方案在里面。”
“現(xiàn)在U盾是使用最多的一種,但有一個趨勢,原來可能只在電腦上用,現(xiàn)在可能在手機,iPad,以后還可能在電視上用,還有很多門口的自助終端,現(xiàn)在這種電子交易的渠道越來越多,出現(xiàn)了一種希望一個方案實現(xiàn)所有渠道的使用,而且是一個級別。在安全界,這個稱為木桶原理,木桶的短板如果大了,那水就漏了,應(yīng)該保證所有渠道的安全級別應(yīng)該是一樣的。”
“用戶不能保證只用一個方式,既然有那么多方式,用戶就覺得想用什么方便就方便,希望所有的都安全。令牌就可以用在所有地方,跟電腦不接觸,只是代表一個密碼,安全級別是一樣的。這個東西很方便,我覺得甚至以后去營業(yè)網(wǎng)點辦業(yè)務(wù)的時候,可能也會用到這個。現(xiàn)在是有一個槽擋著,然后你輸入密碼,以后可能是直接拿著這個令牌,不怕別人看到,反正到下一秒就更換了”韓總解釋道。
未來認證的趨勢
關(guān)于未來認證趨勢,韓總談了自己的看法。他認為,未來認證趨勢,從用戶端來看是各種方式的混合,比如令牌,Ukey,眼睛,視網(wǎng)膜等。從客戶端來看,是基于風(fēng)險級別的認證,級別高的就用級別高的,用戶不一定要用統(tǒng)一的方式,這一定是一個逃不掉的認證趨勢。
風(fēng)險級別認證中包含了風(fēng)險監(jiān)控,比如一個北京用戶兩分鐘前使用了認證產(chǎn)品,后來顯示兩分鐘后在上海又使用,這個就是可疑的,因為北京到上海沒那么快,檢測出來這個可疑情況后,就設(shè)難關(guān),需要回答更多的問題進行認證,從而保證用戶的交易是安全的。
“簡單的事情簡單認證,復(fù)雜的事情復(fù)雜認證,這就是趨勢。”韓總說道。
方式上,肯定還是多種多樣的,不會統(tǒng)一成一種方式。現(xiàn)在是令牌,Ukey,以后可能是令牌和Ukey的組合。簡單易用可靠安全,是一個放之四海而皆準的話題,圍繞著這個思路,不斷創(chuàng)新技術(shù),改進用戶體驗。
認證已經(jīng)在國家策略里,由國家密碼管理局來管理,企業(yè)在做這方面需要三證齊全,包括商用密碼銷售許可證,商用密碼產(chǎn)品型號證書認證,商用密碼產(chǎn)品定點生產(chǎn)單位。
以后可不可以把令牌都嵌入到手機里,直接做硬件的,拿著手機就等于拿著令牌,這樣會更方便吧?
韓總:這個有可能。我們現(xiàn)在做的是軟件的。手機令牌這種可以有,但是有一個問題,手機的時間是可以改的。我們這個令牌是以時間為準的,而如果是挑戰(zhàn)應(yīng)答令牌的話級別沒那么高。第二,嵌入到手機的話,手機的安全漏洞以后一定會很多,所以單獨一個令牌的話有好處,假設(shè)黑客把電腦攻了,單獨的令牌不會有問題。
您覺得認證產(chǎn)品以后會用于網(wǎng)絡(luò)實名制么?
韓總:這個我覺得會。網(wǎng)絡(luò)的監(jiān)控肯定是在實名制以后才是最嚴的,因為每個人都要對自己的網(wǎng)絡(luò)行為負責(zé)人。但實名制不好做,現(xiàn)在只能做到在某些網(wǎng)點,比如網(wǎng)吧進行身份登記,如果要實現(xiàn)實名制,應(yīng)該先做好認證。現(xiàn)在這個非常火,我們包括全世界現(xiàn)在也在談云概念,認證云,云認證,這就是解決網(wǎng)絡(luò)網(wǎng)身份認證的一個問題。傳統(tǒng)的溝通也一樣,首先要互相介紹誰是誰,在網(wǎng)絡(luò)上也一樣。
網(wǎng)絡(luò)在發(fā)展,社會在發(fā)展。網(wǎng)絡(luò)可以做的事情越來越多,需要證明你是你,你做了什么事情。傳統(tǒng)業(yè)務(wù)現(xiàn)在都需要認證,現(xiàn)在是將傳統(tǒng)業(yè)務(wù)的互聯(lián)網(wǎng)化。有專家認為,未來十年將會實現(xiàn)所有業(yè)務(wù)的互聯(lián)網(wǎng)化。
“沒有百分之百的安全,安全就是要防患于未然。”最后用韓總這句話與所有安全界的朋友們共勉,希望有更多創(chuàng)新的安全技術(shù)可以為我們鑄造一個更加安全的世界。
?
TechTarget中國原創(chuàng)內(nèi)容,原文鏈接:http://www.searchsecurity.com.cn/showcontent_51892.htm#
?
