除了你沒有人知道的密碼：種子密鑰更新技術

2011-8-18    作者：劉平   來源：TechTarget中國

導讀：RSA事件後，國內的認證市場有什麼變化？又有哪些新技術？近日本站記者採訪了多特蒙德中文科技的韓阿龍副總裁，爲你詳細介紹一種種子密鑰更新技術。

關鍵詞：種子密鑰更新技術 認證產品 令牌 多特蒙德中文科技

【TechTarget中國原創】每個人都希望自己的密碼保密的，且除了自己沒有人知道。但我們總是感到不安，任何我們輸入過密碼的系統，頁面，應用程序等似乎都記錄了我們的密碼。在網上交易，電子交易流行的今天，小小的令牌似乎給我們帶來了一些安慰。可是，它也出事了。

RSA事件的影響仍在繼續，在之前的採訪中，我們看到了一些國外廠商，如CA和SafeNet各自的解決方案，他們或是提到了軟件認證，或是講解了種子密鑰在客戶端生成。那麼，認證在國內的情況如何？國內認證廠商對RSA事件有什麼看法？是否有什麼創新的解決方案？還有，他們準備怎樣擁抱雲趨勢？針對以上問題，近日，本站記者採訪了上海多特蒙德中文實業有限公司的副總裁韓阿龍先生。

      RSA正在全球除中國以外的市場更換他們的令牌。更換令牌是一件費時費力的事情，是否有什麼方法可以省去召回舊令牌，再更換新令牌的這種方式？請跟隨我們的採訪，一起來探討這個問題。

什麼是種子密鑰更新技術

韓總表示，種子密鑰更新技術是他們在09年做的一個專利技術，該技術可以實現動態令牌的發行者或用戶根據需要安全地更新動態令牌的種子密鑰，即使動態令牌發行者的種子密鑰數據庫被黑客竊取，也能通過更新動態令牌的種子密鑰恢復已經發行的動態令牌的安全性，這樣就大大消除了因動態令牌初始密鑰外泄引起的安全風險。

這種更新是如何實現的？
韓總解釋道，“種子的環節有這麼幾個部分。種子一個是放在供應商這邊，一個是放在令牌裏邊，還有一個是用戶買了令牌，把種子放在他們的系統中去。種子泄露只會發生在兩個地方，一是供應商，二是用戶系統，令牌本身是不會泄露種子的。兩邊如果有一邊出了問題，都會導致種子不再相同，是可以複製了。種子密鑰更新，是動態更新，不同於產品出廠後在用戶手上變一次的一次性更新，動態更新可以進行多次更新。更新指的是現在的種子跟原來的種子不一樣。即使偷走了，偷走的是原來的種子，但不知道現在使用的種子是什麼。這樣一來，種子數據永遠是祕密的。”

更新的時間，頻繁度是由誰來決定的？
更新現在有幾種方式，一是把產品交付給客戶，在這個過程中可以更新一次，那麼客戶手中產品的種子就與廠商出廠時提供的不一樣了，這次更新杜絕了廠商泄露導致的危害。然後客戶這個令牌發給用戶（使用人員），用戶拿到產品後，爲了杜絕客戶泄露導致的危害，可以進行更新。如果用戶本身沒有保管好，那麼他們可以促使下一次更新，這是不限次數的。在被竊取後，很多情況下，人們不會馬上就知道，如果不知道的話，就沒有更新的意識，還是會造成損失。
韓總表示，更新是在發現問題後，立刻進行處理，從而避免帶來損失。用戶都會裝有一些安全應用，通過這些安全應用，一旦發現可疑事件，就可以進行更新。但頻繁更新也不適合，對用戶來說，更新一次就帶來一次動作，對於龐大的用戶羣來說，很不方便。

RSA事件在三月份就披露出來了，但最嚴重的時候是在五月份，洛克希德  馬丁軍方供應商被攻破，然後事態就嚴重了，如果RSA遇到這種事情，在開始解決時就把種子密鑰更新一下，後面也許就不會有洛克希德  馬丁這種事情了。RSA現在在做令牌召回，它之所以召回是因爲已經泄露了，如果用更新技術的話，不用召回，只需要客戶告訴用戶更新一下，更新完以後就不知道種子到底是哪個了。

“對用戶來講，他不關心種子是什麼，他只關心安不安全，他希望種子是相同的，且別人是不知道的。動態更新就能保證廠商不知道，客戶不知道，那麼用戶的種子就是一致的，這是我們技術的根本點，就是解決令牌種子的相同性，別人不可以複製，黑客不可以，用戶也不可以。”韓總補充道。

電子交易市場是重點

韓總表示，他們非常關注國內市場，因爲國內電子交易市場發展迅速，還有很多可以做的。種子密鑰更新技術主要面向的對象是在電子交易這方面，電子交易包含了很多領域，電子銀行，證券，互聯網的電子商城，電子商務，甚至還包括政府的一些網上的行爲，比如網上的報稅，網上報表的扭轉等等都是電子行爲，基於互聯網的。醫療方面還沒有。賬號存放的東西有幾種，包括錢，資金（股票等），虛擬貨幣（遊戲裝備之類），隱私，賬號的權利，這五類都是我們所對應的客戶。

目前種子密鑰更新技術的使用也在吸引着客戶的眼球，相信未來會被廣泛採用。

關於多特蒙德中文公司產品在市場上所佔的份額，韓總說道，“目前國內市場沒有第三方的調查，事實上，電子交易市場用戶真正開始使用也是從2010年，如果按分級的話，我相信我們是這個領域的第一梯隊，我們每年的交貨量是五百萬片左右。這在國內應該是第一的。”

圖爲多特蒙德中文科技使用了種子密鑰更新技術的認證產品

（上面三個黑色的是二代令牌挑戰應答型，白色的爲一代令牌）

客戶如何選擇最佳的認證產品 

現在產品那麼多，客戶在選擇的時候主要注重安全性，但各個廠商都在強調自己的安全，對一個不懂技術的人來說，感覺都差不多，客戶該如何選擇？
韓總說，“安全性是必須的。電子產品是功能產品，同安全產品不一樣。客戶在選擇產品前，一定會做大量的調研，同時還有大量的測試。這分爲很多方面，比如種子，從工廠出來到用戶手中會經過很多流程，包括物流等，要保證所有的環節都是安全的。這個是從交付角度來看。從產品本身來看，產品在工廠的生產情況也很重要。要保證生產環節的安全，人員技術管理的安全。自己有工廠的和代工廠的安全保證肯定是不一樣的。”

“二是根據廠商的經驗和管理體系來選擇。一個生產過30萬片的企業和一個生產過300萬片的企業肯定是不一樣的。生產量大的廠商出現過的問題，對於生產量小的廠商而言，可能還未出現，但這不等於不會出現，從10萬到100萬，這個差距挺大的，這期間所面臨的挑戰也是不一樣的。這個很關鍵，你做過什麼事情，你的管理體系是否成熟，都是不一樣。”

在選擇方面，用戶最關心的就是安不安全，還有一個就是質量，用戶體驗差不差，如果體驗不好可能用戶就不會再次選擇該產品了。

認證如何擁抱雲？

提到雲，韓總認爲一小片一小片的雲組成一大片雲，就是雲了。雲認證就是，你不知道在哪裏認證的，用什麼方式認證。你只需要帶着一個身份就可以進行認證了。比如現在新浪認證必須登錄新浪，搜狐認證必須登錄搜狐，以後的登錄可能就是統一的了，不需要在特定地方進行。

請談一談貴公司安全認證雲在天津落地的概念？
韓總說道，“是這樣的，天津有一個信息產業基地，市政府邀請我們去那邊談一些合作，合作主要是針對十二五的規劃和安全的發展。我們的概念就是認證雲提供雲認證，基於雲計算這裏面的一些概念。這個事情還在前期，我們也在推動這個事情。我們會有一些相應的技術和方案在裏面。”

“現在U盾是使用最多的一種，但有一個趨勢，原來可能只在電腦上用，現在可能在手機，iPad，以後還可能在電視上用，還有很多門口的自助終端，現在這種電子交易的渠道越來越多，出現了一種希望一個方案實現所有渠道的使用，而且是一個級別。在安全界，這個稱爲木桶原理，木桶的短板如果大了，那水就漏了，應該保證所有渠道的安全級別應該是一樣的。”

“用戶不能保證只用一個方式，既然有那麼多方式，用戶就覺得想用什麼方便就方便，希望所有的都安全。令牌就可以用在所有地方，跟電腦不接觸，只是代表一個密碼，安全級別是一樣的。這個東西很方便，我覺得甚至以後去營業網點辦業務的時候，可能也會用到這個。現在是有一個槽擋着，然後你輸入密碼，以後可能是直接拿着這個令牌，不怕別人看到，反正到下一秒就更換了”韓總解釋道。

未來認證的趨勢

關於未來認證趨勢，韓總談了自己的看法。他認爲，未來認證趨勢，從用戶端來看是各種方式的混合，比如令牌，Ukey，眼睛，視網膜等。從客戶端來看，是基於風險級別的認證，級別高的就用級別高的，用戶不一定要用統一的方式，這一定是一個逃不掉的認證趨勢。

風險級別認證中包含了風險監控，比如一個北京用戶兩分鐘前使用了認證產品，後來顯示兩分鐘後在上海又使用，這個就是可疑的，因爲北京到上海沒那麼快，檢測出來這個可疑情況後，就設難關，需要回答更多的問題進行認證，從而保證用戶的交易是安全的。

“簡單的事情簡單認證，複雜的事情複雜認證，這就是趨勢。”韓總說道。

方式上，肯定還是多種多樣的，不會統一成一種方式。現在是令牌，Ukey，以後可能是令牌和Ukey的組合。簡單易用可靠安全，是一個放之四海而皆準的話題，圍繞着這個思路，不斷創新技術，改進用戶體驗。

認證已經在國家策略裏，由國家密碼管理局來管理，企業在做這方面需要三證齊全，包括商用密碼銷售許可證，商用密碼產品型號證書認證，商用密碼產品定點生產單位。

以後可不可以把令牌都嵌入到手機裏，直接做硬件的，拿着手機就等於拿着令牌，這樣會更方便吧？
韓總：這個有可能。我們現在做的是軟件的。手機令牌這種可以有，但是有一個問題，手機的時間是可以改的。我們這個令牌是以時間爲準的，而如果是挑戰應答令牌的話級別沒那麼高。第二，嵌入到手機的話，手機的安全漏洞以後一定會很多，所以單獨一個令牌的話有好處，假設黑客把電腦攻了，單獨的令牌不會有問題。

您覺得認證產品以後會用於網絡實名制麼？
韓總：這個我覺得會。網絡的監控肯定是在實名制以後纔是最嚴的，因爲每個人都要對自己的網絡行爲負責人。但實名制不好做，現在只能做到在某些網點，比如網吧進行身份登記，如果要實現實名制，應該先做好認證。現在這個非常火，我們包括全世界現在也在談雲概念，認證雲，雲認證，這就是解決網絡網身份認證的一個問題。傳統的溝通也一樣，首先要互相介紹誰是誰，在網絡上也一樣。

網絡在發展，社會在發展。網絡可以做的事情越來越多，需要證明你是你，你做了什麼事情。傳統業務現在都需要認證，現在是將傳統業務的互聯網化。有專家認爲，未來十年將會實現所有業務的互聯網化。

“沒有百分之百的安全，安全就是要防患於未然。”最後用韓總這句話與所有安全界的朋友們共勉，希望有更多創新的安全技術可以爲我們鑄造一個更加安全的世界。

TechTarget中國原創內容，原文鏈接：http://www.searchsecurity.com.cn/showcontent_51892.htm#