首页>> 业界聚焦

动态口令应用现状与SIM卡动态口令的发展

2008-09-0908:47来源:中国信息产业网-人民邮电报

□中国电信股份有限公司上海研究院 罗毅 张明杰 刘向辉

动态口令身份认证应用的发展现状

背景

随着信息技术的发展,互联网以其开放性、方便性和普及性正在日渐改变人们的工作和生活方式。从政府部门到企业,从电信运营商到互联网SP,都纷纷利用这一平台构建应用系统,以加快信息沟通交流、提高工作效率、降低服务成本、改进服务水平,网上银行、网上证券、电子商务、网络游戏、电子政务等各种与互联网相关的网络应用蓬勃发展,呈现一派欣欣向荣的景象。

但是,互联网的开放、普及、不受时空限制的特点,使得它在方便大众的同时也成为不怀好意者的乐园,偷窥、键盘记录、木马、钓鱼、中间人、程序攻击,各种网上攻击形式层出不穷,网银盗窃、网游盗号等案件频频发生。因此,网络系统安全保护成为互联网时代一个不可或缺的重要话题,持续增长的需求也正带来巨大的市场机会。据国外权威咨询机构Frost&Sollivan的保守预测,安全认证市场2005年~2012年年复合增长率将为25.1%,到2012年将达到14.078亿美元的规模。

在互联网应用中,身份认证、访问控制、数据加密、防篡改、防抵赖是安全保护的几个基本要素。其中身份认证是第一道防线,也是最重要的一道防线。近年来,基于身份认证的安全技术发展很快,其中比较成熟的是基于PKI数字证书和动态口令的技术。

动态口令(Dynamic Password)又称“一次性口令(OTP:One Time Password)”,是由独立手持终端设备生成的,根据加密算法,随某一个动态参数(例如时间,事件等)计算产生的一次一变的一种口令,该口令每次都不同,使用后就作废,不怕被偷看,也不用担心记不住。一个动态口令身份认证系统一般由后台认证服务器和客户手持终端设备(包括动态口令刮刮卡片、一体化令牌、智能卡+读卡器、手机SIM卡/MIDP/SMS等形式)两部分组成。在实际应用中,动态口令可方便地与静态PIN码、SSL加密传输等安全技术结合,具有经济、安全的特点,因而被广泛应用于远程身份认证和安全交易支付中。

动态口令在国外的应用情况

在国外,动态口令技术与基于PKI数字证书的认证技术相比,因具有使用方便、基本无需维护、应用面广、总体成本低等特点而广受青睐。从上世纪90年代初期开始,在金融、企业内部安全、政府、制造业和医疗卫生等领域大量成功应用,其中金融行业特别是银行占有将近三分之一的市场份额。由于国外银行大量采用网上银行服务,对安全的身份认证有很高的要求,主要的银行如花旗、汇丰、荷兰银行、德意志银行等都采用了动态口令的认证方式。同时由于主要发达国家均已基本完成了银行卡向EMV智能卡的迁移,符合EMV标准的银行卡中均已包含了动态口令程序,仅需配备一个小型读卡器就能产生动态口令。因而,在国外银行中,基于EMV卡的动态口令身份认证也非常普遍。

从地域来看,北美和欧洲地区的使用率居于领先,这是因为在这些地区,互联网普及率高,受到的网络攻击也多,因而企业和用户对动态口令的接受度较高,相关的法律也强制要求采用安全的身份认证手段。

动态口令在我国的应用情况

动态口令技术从上世纪90年代中期开始进入我国,最初是由一些外企在内部管理中使用。其后直到2001年,随着中国网上交易的突飞猛进发展,特别是网上交易与网上银行的用户爆炸式增长所带来的安全问题日益突出,动态口令安全、简便、维护量小、用途广泛等优点才开始受到越来越多人的青睐。

目前,我国动态口令的应用领域主要有:

1)银行

2004年,中国建设银行在其柜台操作员身份认证中开始采用动态口令技术,并从2005年开始在其网上银行中采用动态口令刮刮卡为个人客户提供安全保护。中国工商银行、中国农业银行于2006年也先后开始向其客户提供安全性介于动态口令和静态口令之间的矩阵式准动态口令卡用于个人网上银行服务。中国银行于2007年开始推出网上银行动态口令令牌。除以上四大国有银行外,到目前为止,华夏银行、深圳发展银行、渤海银行、北京银行等多家银行在其内部操作员管理或网上银行中采用了动态口令认证,而交通银行、民生银行、上海浦发银行等则采用了短信方式的动态口令用于其网上银行服务。

由于我国大多数银行都将网上银行作为其业务发展的重点,近年来各银行的网上银行发展很快。根据iResearch的预测,近几年将以年均超过2位数的增幅快速增长,到2010年用户数将达到2.17亿。庞大的客户群体将会带来对身份认证产品的巨大需求,动态口令技术也将迎来一个前所未有的市场机遇期。

2)网络游戏

从2004年起,国内主要的网络游戏运营商,包括盛大、网易、九城、腾讯,都先后推出了各自的动态口令产品,包括矩阵式动态口令卡(密保卡)和一体化令牌(盛大密宝、网易将军令、九城安全令牌等),这些动态口令产品将为越来越多的网游玩家提供账户和虚拟资产保护。

3)企业内部管理

主要用于远程用户访问身份认证、操作授权、技术人员进行系统和网络维护登录等。在这一领域,动态口令技术的应用已经相对成熟,国内外安全厂商均有成熟的解决方案。

可以看出,我国动态口令身份认证技术应用尽管起步较晚,但已经进入市场上升期,已有越来越多的客户认识和接受了这一安全手段。

SIM卡动态口令的特点与商业模式分析

技术的发展总是以给人们带来更多的便捷为目标。目前的身份认证产品,无论是USBKey形式,还是动态口令(刮刮卡、一体化令牌、IC卡+读卡器等)形式,都需要客户携带一张卡片或小型终端设备,这给客户增加了额外的成本和携带负担,也给服务商的终端发放和部署增加了成本、人力和物流支出。特别是如今网银、网游、网上支付等业务大规模发展的情况下,如何在保证安全性的前提下,利用一种使用成本低、普及率高、分发快捷的终端来快速支撑大规模身份认证需求,已经成为安全认证领域的一个新课题。

由于动态口令技术大多是基于智能卡技术来实现的,而手机SIM卡也是一种智能卡,可以将动态口令令牌的口令运算功能移植到SIM卡上,并利用手机已有的交互和显示功能,通过STK菜单直接生成动态口令,将手机变为动态口令的终端设备。

基于SIM卡的动态口令与刮刮卡、一体化令牌相比,有如下的优势:

1)方便携带:手机已成为大多数人随身携带的生活必需品,使用手机产生动态口令,无需额外携带动态口令终端,减轻了客户的负担,更容易为客户所接受。

2)终端成本低:直接使用已有手机的屏幕、按键和电池,只需更换一张内置动态口令的SIM卡,降低了动态口令终端的成本。

3)使用成本低:由于动态口令直接在手机上产生,不占用网络资源,也不需要频繁更换终端,因而不产生使用费用。

4)功能强大:可充分利用手机强大的交互能力,实现和扩展丰富的动态口令形式,例如:普通动态口令、带PIN保护的动态口令、挑战/应答式动态口令、交易签名等。

5)支持多业务认证:由于SIM卡内可为不同业务的认证数据划分不同的空间,同一手机可以支持不同服务商的不同业务的认证要求。

6)远程管理:可以使用“空中下载”(OTA)方式下载用户数据,部署和开通服务非常方便。

SIM卡动态口令在手机SIM卡中植入动态口令程序,只需占用少量的空间,开通使用后几乎不占用网络资源,对运营商而言是一种成本极低的新型增值业务。这种业务一方面可以吸引行业客户,保持手机用户的忠诚度;另一方面,也可为运营商带来可观的增值业务收益。

SIM卡动态口令应用的发展前景

随着网上业务的发展和网络攻击案件的不断出现,市场呼唤更方便安全的身份认证手段。在这种情况下,2005年前后,多家智能卡商和身份认证专业厂商相继推出了基于SIM卡的动态口令解决方案,经过近3年的发展,技术已相对成熟,目前国内外已有一些应用案例,但尚未形成大规模应用局面。

2005年世界知名的认证服务商VeriSign与智能卡商Gemplus合作建立了可支持SIM卡动态口令认证服务的平台,可向企业用户提供附加身份认证外包服务。2006年2月,Telenor、Sun、Lucent、IBM等多家厂商联合提出SIM卡身份认证服务体系,并在3GSM World Congress上演示。

目前已知正在尝试SIM卡动态口令服务的行业用户是波兰的一家银行,该银行和一家移动运营商同属于一个集团,因而能够整合运营商和银行两方面的资源,为其共同的客户提供服务。

在中国,随着动态口令在网银、网游等方面的应用范围不断扩大,客户群体不断增加,越来越多的服务商对SIM卡动态口令表现出浓厚的兴趣。而电信运营商也开始积极地进行技术和业务准备。国内某固网运营商已在其互联网业务中试点了基于刮刮卡、一体化令牌和PHSSIM卡的动态口令认证服务,而某移动运营商已与一家认证技术提供商合作,制定了SIM卡动态口令的企业标准,并计划在金融行业率先进行商用。

随着互联网应用和动态口令身份认证在我国的进一步发展,SIM卡动态口令的优势将会得到越来越多的行业客户的认同。如同EMV组织为银行卡建立统一的动态口令身份认证标准一样,建立统一的SIM卡动态口令标准将是大势所趋。面对巨大的市场机会,勇于在技术融合和商业模式上创新的运营商和技术提供商必然取得更多的话语权,从激烈的市场竞争中占得先机。

【相关栏目】

业界聚焦

相关文章

更多>> 论坛精华

更多>> 精彩博文

信息化趋势

产业圈动态

运营业要闻