除了你没有人知道的密码：种子密钥更新技术

2011-8-18    作者：刘平   来源：TechTarget中国

导读：RSA事件后，国内的认证市场有什么变化？又有哪些新技术？近日本站记者采访了林果科技的韩阿龙副总裁，为你详细介绍一种种子密钥更新技术。

关键词：种子密钥更新技术 认证产品 令牌 林果科技

【TechTarget中国原创】每个人都希望自己的密码保密的，且除了自己没有人知道。但我们总是感到不安，任何我们输入过密码的系统，页面，应用程序等似乎都记录了我们的密码。在网上交易，电子交易流行的今天，小小的令牌似乎给我们带来了一些安慰。可是，它也出事了。

RSA事件的影响仍在继续，在之前的采访中，我们看到了一些国外厂商，如CA和SafeNet各自的解决方案，他们或是提到了软件认证，或是讲解了种子密钥在客户端生成。那么，认证在国内的情况如何？国内认证厂商对RSA事件有什么看法？是否有什么创新的解决方案？还有，他们准备怎样拥抱云趋势？针对以上问题，近日，本站记者采访了上海林果实业有限公司的副总裁韩阿龙先生。

      RSA正在全球除中国以外的市场更换他们的令牌。更换令牌是一件费时费力的事情，是否有什么方法可以省去召回旧令牌，再更换新令牌的这种方式？请跟随我们的采访，一起来探讨这个问题。

什么是种子密钥更新技术

韩总表示，种子密钥更新技术是他们在09年做的一个专利技术，该技术可以实现动态令牌的发行者或用户根据需要安全地更新动态令牌的种子密钥，即使动态令牌发行者的种子密钥数据库被黑客窃取，也能通过更新动态令牌的种子密钥恢复已经发行的动态令牌的安全性，这样就大大消除了因动态令牌初始密钥外泄引起的安全风险。

这种更新是如何实现的？
韩总解释道，“种子的环节有这么几个部分。种子一个是放在供应商这边，一个是放在令牌里边，还有一个是用户买了令牌，把种子放在他们的系统中去。种子泄露只会发生在两个地方，一是供应商，二是用户系统，令牌本身是不会泄露种子的。两边如果有一边出了问题，都会导致种子不再相同，是可以复制了。种子密钥更新，是动态更新，不同于产品出厂后在用户手上变一次的一次性更新，动态更新可以进行多次更新。更新指的是现在的种子跟原来的种子不一样。即使偷走了，偷走的是原来的种子，但不知道现在使用的种子是什么。这样一来，种子数据永远是秘密的。”

更新的时间，频繁度是由谁来决定的？
更新现在有几种方式，一是把产品交付给客户，在这个过程中可以更新一次，那么客户手中产品的种子就与厂商出厂时提供的不一样了，这次更新杜绝了厂商泄露导致的危害。然后客户这个令牌发给用户（使用人员），用户拿到产品后，为了杜绝客户泄露导致的危害，可以进行更新。如果用户本身没有保管好，那么他们可以促使下一次更新，这是不限次数的。在被窃取后，很多情况下，人们不会马上就知道，如果不知道的话，就没有更新的意识，还是会造成损失。
韩总表示，更新是在发现问题后，立刻进行处理，从而避免带来损失。用户都会装有一些安全应用，通过这些安全应用，一旦发现可疑事件，就可以进行更新。但频繁更新也不适合，对用户来说，更新一次就带来一次动作，对于庞大的用户群来说，很不方便。

RSA事件在三月份就披露出来了，但最严重的时候是在五月份，洛克希德  马丁军方供应商被攻破，然后事态就严重了，如果RSA遇到这种事情，在开始解决时就把种子密钥更新一下，后面也许就不会有洛克希德  马丁这种事情了。RSA现在在做令牌召回，它之所以召回是因为已经泄露了，如果用更新技术的话，不用召回，只需要客户告诉用户更新一下，更新完以后就不知道种子到底是哪个了。

“对用户来讲，他不关心种子是什么，他只关心安不安全，他希望种子是相同的，且别人是不知道的。动态更新就能保证厂商不知道，客户不知道，那么用户的种子就是一致的，这是我们技术的根本点，就是解决令牌种子的相同性，别人不可以复制，黑客不可以，用户也不可以。”韩总补充道。

电子交易市场是重点

韩总表示，他们非常关注国内市场，因为国内电子交易市场发展迅速，还有很多可以做的。种子密钥更新技术主要面向的对象是在电子交易这方面，电子交易包含了很多领域，电子银行，证券，互联网的电子商城，电子商务，甚至还包括政府的一些网上的行为，比如网上的报税，网上报表的扭转等等都是电子行为，基于互联网的。医疗方面还没有。账号存放的东西有几种，包括钱，资金（股票等），虚拟货币（游戏装备之类），隐私，账号的权利，这五类都是我们所对应的客户。

目前种子密钥更新技术的使用也在吸引着客户的眼球，相信未来会被广泛采用。

关于林果公司产品在市场上所占的份额，韩总说道，“目前国内市场没有第三方的调查，事实上，电子交易市场用户真正开始使用也是从2010年，如果按分级的话，我相信我们是这个领域的第一梯队，我们每年的交货量是五百万片左右。这在国内应该是第一的。”

图为林果科技使用了种子密钥更新技术的认证产品

（上面三个黑色的是二代令牌挑战应答型，白色的为一代令牌）

客户如何选择最佳的认证产品 

现在产品那么多，客户在选择的时候主要注重安全性，但各个厂商都在强调自己的安全，对一个不懂技术的人来说，感觉都差不多，客户该如何选择？
韩总说，“安全性是必须的。电子产品是功能产品，同安全产品不一样。客户在选择产品前，一定会做大量的调研，同时还有大量的测试。这分为很多方面，比如种子，从工厂出来到用户手中会经过很多流程，包括物流等，要保证所有的环节都是安全的。这个是从交付角度来看。从产品本身来看，产品在工厂的生产情况也很重要。要保证生产环节的安全，人员技术管理的安全。自己有工厂的和代工厂的安全保证肯定是不一样的。”

“二是根据厂商的经验和管理体系来选择。一个生产过30万片的企业和一个生产过300万片的企业肯定是不一样的。生产量大的厂商出现过的问题，对于生产量小的厂商而言，可能还未出现，但这不等于不会出现，从10万到100万，这个差距挺大的，这期间所面临的挑战也是不一样的。这个很关键，你做过什么事情，你的管理体系是否成熟，都是不一样。”

在选择方面，用户最关心的就是安不安全，还有一个就是质量，用户体验差不差，如果体验不好可能用户就不会再次选择该产品了。

认证如何拥抱云？

提到云，韩总认为一小片一小片的云组成一大片云，就是云了。云认证就是，你不知道在哪里认证的，用什么方式认证。你只需要带着一个身份就可以进行认证了。比如现在新浪认证必须登录新浪，搜狐认证必须登录搜狐，以后的登录可能就是统一的了，不需要在特定地方进行。

请谈一谈贵公司安全认证云在天津落地的概念？
韩总说道，“是这样的，天津有一个信息产业基地，市政府邀请我们去那边谈一些合作，合作主要是针对十二五的规划和安全的发展。我们的概念就是认证云提供云认证，基于云计算这里面的一些概念。这个事情还在前期，我们也在推动这个事情。我们会有一些相应的技术和方案在里面。”

“现在U盾是使用最多的一种，但有一个趋势，原来可能只在电脑上用，现在可能在手机，iPad，以后还可能在电视上用，还有很多门口的自助终端，现在这种电子交易的渠道越来越多，出现了一种希望一个方案实现所有渠道的使用，而且是一个级别。在安全界，这个称为木桶原理，木桶的短板如果大了，那水就漏了，应该保证所有渠道的安全级别应该是一样的。”

“用户不能保证只用一个方式，既然有那么多方式，用户就觉得想用什么方便就方便，希望所有的都安全。令牌就可以用在所有地方，跟电脑不接触，只是代表一个密码，安全级别是一样的。这个东西很方便，我觉得甚至以后去营业网点办业务的时候，可能也会用到这个。现在是有一个槽挡着，然后你输入密码，以后可能是直接拿着这个令牌，不怕别人看到，反正到下一秒就更换了”韩总解释道。

未来认证的趋势

关于未来认证趋势，韩总谈了自己的看法。他认为，未来认证趋势，从用户端来看是各种方式的混合，比如令牌，Ukey，眼睛，视网膜等。从客户端来看，是基于风险级别的认证，级别高的就用级别高的，用户不一定要用统一的方式，这一定是一个逃不掉的认证趋势。

风险级别认证中包含了风险监控，比如一个北京用户两分钟前使用了认证产品，后来显示两分钟后在上海又使用，这个就是可疑的，因为北京到上海没那么快，检测出来这个可疑情况后，就设难关，需要回答更多的问题进行认证，从而保证用户的交易是安全的。

“简单的事情简单认证，复杂的事情复杂认证，这就是趋势。”韩总说道。

方式上，肯定还是多种多样的，不会统一成一种方式。现在是令牌，Ukey，以后可能是令牌和Ukey的组合。简单易用可靠安全，是一个放之四海而皆准的话题，围绕着这个思路，不断创新技术，改进用户体验。

认证已经在国家策略里，由国家密码管理局来管理，企业在做这方面需要三证齐全，包括商用密码销售许可证，商用密码产品型号证书认证，商用密码产品定点生产单位。

以后可不可以把令牌都嵌入到手机里，直接做硬件的，拿着手机就等于拿着令牌，这样会更方便吧？
韩总：这个有可能。我们现在做的是软件的。手机令牌这种可以有，但是有一个问题，手机的时间是可以改的。我们这个令牌是以时间为准的，而如果是挑战应答令牌的话级别没那么高。第二，嵌入到手机的话，手机的安全漏洞以后一定会很多，所以单独一个令牌的话有好处，假设黑客把电脑攻了，单独的令牌不会有问题。

您觉得认证产品以后会用于网络实名制么？
韩总：这个我觉得会。网络的监控肯定是在实名制以后才是最严的，因为每个人都要对自己的网络行为负责人。但实名制不好做，现在只能做到在某些网点，比如网吧进行身份登记，如果要实现实名制，应该先做好认证。现在这个非常火，我们包括全世界现在也在谈云概念，认证云，云认证，这就是解决网络网身份认证的一个问题。传统的沟通也一样，首先要互相介绍谁是谁，在网络上也一样。

网络在发展，社会在发展。网络可以做的事情越来越多，需要证明你是你，你做了什么事情。传统业务现在都需要认证，现在是将传统业务的互联网化。有专家认为，未来十年将会实现所有业务的互联网化。

“没有百分之百的安全，安全就是要防患于未然。”最后用韩总这句话与所有安全界的朋友们共勉，希望有更多创新的安全技术可以为我们铸造一个更加安全的世界。

TechTarget中国原创内容，原文链接：http://www.searchsecurity.com.cn/showcontent_51892.htm#