这是认证方式的一些,终端从各方面来讲的基本的比较。这里面大家可以看到,硬件令牌是用途最广的,可以用在用户、企业、政府、合作伙伴。
下面,介绍一下动态密码的应用模式,我们分成了两部分,一部分是相对比较简单的应用,一个是用动态密码和应用系统结合起来,构成了应用系统仍然认证他的静态密码,引进动态密码的双因素。还有一种是动态令牌加上pin码,就是认证平台也可以同时完成两方面的认证。
还有另外一个是动态认证平台产生一个挑战,你把这个挑战输入到令牌当中,产生一个应答,这个应答就是你的动态密码。
下面,我们介绍一下它相对高级方式的应用。这种应用包括了两类,一类是主机双向认证。我们知道静态密码认证往往是服务器认证这个人,这个人没有办法认证服务器。这里面来讲,这是可以钓鱼的一个非常基础的东西。如果你动态密码之后,实际上你的服务器是能够计算你的动态密码的,它单靠这种能力,就可以证明他是一个正规的服务器,如果是钓鱼网站是没有办法计算出你的动态密码。那么,你在看目录的时候,他会给你提示下一个动态密码是什么,如果是对的,往往代表这系统是对的。
还有一类是用于防中间人攻击的签名认证,就是在动态密码的计算当中,它把相关的一些主要的交易因素,比如说你网银上的原帐号和公开帐号以及转帐金额转到你的令牌上,哪怕有中间人窃取了你的信息,在篡改你的信息的时候,我们的服务器可以认证出来你的信息是被篡改的,可以防止中间欺诈的交易。它即便是窃取你的信息,依然是没有办法来篡改的。
后面,简单介绍一下它主要的用途。动态密码在企业内部的应有,最常见的有几种,第一种是动态密码用于保护VPN和你的设备,特别是网络设备。因为这个设备往往是支持RADIUS,而我们的认证平台和RADIUS做一个很好的整合。如果你登陆我们的平台或者是登陆网络平台做应用的时候,必然要登陆我们的动态密码。
第二个部分是保护我们的服务器和我们的终端计算机。从萨班斯法来讲,它对于动态密码是有严格的规定的,要定期地换。这种需要在我们的计算机或者是服务器上装一个动态密码,把动态密码用来保护相关的服务器的资源。
第三个来讲,可能是最佳常有的,就是它的动态密码保护应用系统及帐号。这里常见的包括了BS的应用,以及CS的应用都可以,这是它基本的应用。
这张图表示在企业内部综合应用动态密码,来全面保护动态资产的产品。大家可以看到,靠动态令牌,包括它的应用系统、数据库系统、网络设备、终端计算机、服务器、远程访问,都可以同一个令牌来保护。像类似这样的系统,上海移动已经有了一些应用。
下面,我们对于企业外部,就是面向消费者的用法做一个简单的介绍。这是网上金融或者是我们的电信增值业务的应用场景。就是引用动态令牌进来,保护我们常见的网上银行、网上证券,以及我们的SP业务。这种客户往往需要在我们的柜台申请相关的动态令牌终端,申请完了之后在柜台上由柜员协助他们帐号的绑定,他们可以使用这个令牌访问网上的业务系统,也可以访问Web的业务系统。
这是我们在电子商务和网游这个领域里面的应用场景,它跟上一个应用场景不同的是,对于网游或者是电子商务,他们往往没有那么多的柜台。客户往往不能到柜台上,这个时候他需要一个分销的信息,去购买这个令牌,客户根据服务卡来实现帐号的自助管理,来实现网游或者是电子商务帐号的相关保护。
最后一个应用场景我认为是最复杂的应用场景,它是第三方独立的认证中心,可以作为一种独立的电信业务、服务提供的安全服务。我们的运营商或者是其他的企业可以建一个认证中心,这个认证中心可以为两类用户服务。一类是开放式的网络应用,包括互联网应用、移动互联网应用。任何一个大型的应用系统,完成对于这个应用的整合之后,都可以把相关的动态密码作为他帐户保护的方式。
第二方面,还有一类用户是企业应用,可以为很多企业提供这样的保护。这样对于一个用户来讲,他可以通过柜台或者是销售系统得到这个令牌,他要自助绑定,可以在柜台上由我们的营业员来实现,用户就可以使用了。
特别是对于用户来讲,他可以使用一个令牌,保护多个帐号。比如说这个用户既有淘宝的帐号,也有网游的帐号,也有E-Mail的帐号,他完全可以用一个令牌提供一个综合性的保护。特别是对于我们的运营商来讲,他们有很好的品牌的号召力,可以把互联网的应用纳入进来,使我们建立互联网的认证中心,使它成为一个网上应用的基础设施,同时也面临一个新的增值业务的业务增长点。
动态密码双因素认证的特点是动态变化,一次有效,形式多样。还有一个非常大的特点,它是没有驱动的,它不跟终端做任何的捆绑,是随处可用的,而且它使用非常简单,几乎无需辅导,你只要告诉他这个是动态密码,在这个框里面输入就可以了。还有它的应用兼容性很强,既可以保持网上的应用,也可以保护电话的应用等等。
我们上海动联希望在这个领域和我们的运营商和各友商合作,能够一块来保障我们的网络安全的水平,使我们的网络更安全。谢谢大家!
