密碼安全保護
密保溯源
在網際網路世界中,用戶的各種信息都是以一組特定的數據來表示,各類型的網路系統需要通過識別用戶的數字身份,以確認開放對應的操作許可權。在網際網路行業發展初期,密碼即是網路系統識別網路中數字身份合法擁有者與操作者(即保證操作者的物理身份和數字身份相對應)的核心要素。
網際網路行業發展達入新的高度後,由於計算機系統的開放性和互聯性,用戶在網路中的數字身份很容易被不法分子利用木馬病毒、黑客軟體截獲,從而導致用戶的各種利益受到侵害。基於此,網路系統確保用戶物理身份和數字身份統一,就需要有加強的密碼方式或產品,因而,密保就產生了。
密保釋義
在網際網路行業中,套用於賬號密碼安全保護的產品及方式,均可稱為密保,(也可稱之為密寶)而通常意義上的密保,主要指賬號密碼保護的相關產品,比如:盛大密保、易口令等。
密保產品
OTP密保產品
OTP全稱是one time password,也稱動態密碼、動態口令,基於OTP研發的產品,即是OTP密保。
最早的動態密碼理論是由上個世紀80年代美國科學家Leslie Lamport提出的,他利用散列函式產生一次性口令的思想闡釋,如果用戶進行網路身份認證時使用的口令是動態變化的,就可以更好地加強用戶對賬號密碼的安全管理。此後,世界各國都對這一理論進行了實踐研究,形成動態密碼(Dynamic Password)保護技術,在2004年,這種動態密碼認證技術被美國權威雜誌SC Magazine評選為當年最佳安全解決方案。
中國的中科院將該技術列入重點實驗室研究項目後,於1998年研製成功了具有我國智慧財產權的動態密碼身份認證系統。其後,隨著OTP技術的成熟以及速發展,很快在網路遊戲、電子商務、金融證券,企業軟體等領域到國防、銀行、金融、網遊等行業領域得到廣泛套用。
目前,OTP從技術角度可分為三種類型:時間同步、事件同步、挑戰/應答,其中最安全的類型應該是時間同步,該類型的密保產品,根據專門的算法,基於時間同步生成不可預測的隨機數字組合,一個密碼使用一次有效。目前,在網路遊戲行業套用較廣的產品包括易口令、盛大密保、網易將軍令等,均是每60秒即可產生一組新的動態密碼。
此外,基於事件同步的密保產品,即矩陣卡,(也稱密保卡)在網路遊戲行業套用也較廣泛。該產品以卡片形式呈現,卡片上一般都印製一個10×8的數字矩陣,矩陣的每個坐標為1~3位的數字。用戶使用時,根據隨機坐標提示對應到矩陣的數字,即是通過密保卡獲取的動態密碼。密保卡功能是一種簡單有效的安全功能,綁定密保卡並開啟遊戲密保服務後,每次登錄遊戲必須結合密保卡,而且每次登錄時所需要輸入的動態數字都不相同。
PKI密保產品
PKI的全稱是Public Key Infrastructure,即“公鑰基礎設施”。其是一種遵循既定標準的密鑰管理平台,它能夠為所有網路套用提供加密和數字簽名等密碼服務,以及所必需的密鑰和證書管理體系。
目前,最常見的PKI密保產品,主要是套用於網上銀行的USB-Key,也稱為U盾。
官員制度
在中國清代的制度中,京外大臣推薦特殊人才任職,或敘錄有功官員加以某項榮典,向朝廷奏報後交與吏部審議,稱明保。如有特殊才能請求破格錄用,將會先存記于軍機處,在適當時候提請任命,則稱密保。