信息安全技術(shù)概述

1、1 基本概念1.1 信息安全的要素l 保密性：指網(wǎng)絡(luò)中的信息不被非授權(quán)實體獲取與使用。保密的信息包括：1 存儲在計算機(jī)系統(tǒng)中的信息：使用訪問控制機(jī)制，也可以進(jìn)行加密增加安全性。2 網(wǎng)絡(luò)中傳輸?shù)男畔ⅲ簯?yīng)用加密機(jī)制。l 完整性：指數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性，還要求數(shù)據(jù)的來源具有正確性和可信性，數(shù)據(jù)是真實可信的。解決手段：數(shù)據(jù)完整性機(jī)制。l 真實性：保證以數(shù)字身份進(jìn)行操作的操作者就是這個數(shù)字身份合法擁有者，也就是說保證操作者的物理身份與數(shù)字身份相對應(yīng)。解決手段：身份認(rèn)證機(jī)制。l 不可否認(rèn)性：或不可抵賴性。發(fā)送信息方不能否認(rèn)發(fā)送過信息，信

2、息的接收方不能否認(rèn)接收過信息。解決手段：數(shù)字簽名機(jī)制。1.2 信息保密技術(shù)l 明文（Message）：指待加密的信息，用M或P表示。l 密文（Ciphertext）：指明文經(jīng)過加密處理后的形式，用C表示。l 密鑰（Key）：指用于加密或解密的參數(shù)，用K表示。l 加密（Encryption）：指用某種方法偽裝消息以隱藏它的內(nèi)容的過程。l 加密算法（EncryptionAlgorithm）：指將明文變換為密文的變換函數(shù)，用E表示。l 解密（Decryption）：指把密文轉(zhuǎn)換成明文的過程。l 解密算法（DecryptionAlgorithm）：指將密文變換為明文的變換函數(shù)，用D表示。l 密碼分析（

3、Cryptanalysis）：指截獲密文者試圖通過分析截獲的密文從而推斷出原來的明文或密鑰的過程。l 密碼分析員（Crytanalyst）：指從事密碼分析的人。l 被動攻擊（PassiveAttack）：指對一個保密系統(tǒng)采取截獲密文并對其進(jìn)行分析和攻擊，這種攻擊對密文沒有破壞作用。l 主動攻擊（ActiveAttack）：指攻擊者非法入侵一個密碼系統(tǒng)，采用偽造、修改、刪除等手段向系統(tǒng)注入假消息進(jìn)行欺騙，這種攻擊對密文具有破壞作用。l 密碼體制（密碼方案）：由明文空間、密文空間、密鑰空間、加密算法、解密算法構(gòu)成的五元組。分類：1 對稱密碼體制：單鑰密碼體制，加密密鑰和解密密鑰相同。2 非對稱密碼

4、體制：雙鑰密碼體制、公開密碼體制，加密密鑰和解密密鑰不同。l 密碼系統(tǒng)（Cryptosystem）：指用于加密和解密的系統(tǒng)，通常應(yīng)當(dāng)是一個包含軟、硬件的系統(tǒng)。l 柯克霍夫原則：密碼系統(tǒng)的安全性取決于密鑰，而不是密碼算法，即密碼算法要公開。1.3 摘要算法1.3.1 概念摘要算法，又叫作Hash算法或散列算法，是一種將任意長度的輸入濃縮成固定長度的字符串的算法，注意是“濃縮”而不是“壓縮”，因為這個過程是不可逆的。常見的摘要算法：MD5，SHA-1。1.3.2 特點1. 過程不可逆。2. 不同內(nèi)容的文件生成的散列值一定不同；相同內(nèi)容的文件生成的散列值一定相同。由于這個特性，摘要算法又被形象地稱為

5、文件的“數(shù)字指紋”。3. 不管文件多小（例如只有一個字節(jié)）或多大（例如幾百GB），生成的散列值的長度都相同，而且一般都只有幾十個字符。1.3.3 應(yīng)用這個神奇的算法被廣泛應(yīng)用于比較兩個文件的內(nèi)容是否相同散列值相同，文件內(nèi)容必然相同；散列值不同，文件內(nèi)容必然不同。2 對稱密碼體制2.1 概念單鑰密碼體制，加密密鑰和解密密鑰相同。目前最為流行的對稱加密算法是DES（DataEncryptionStandard，數(shù)據(jù)加密標(biāo)準(zhǔn)）和AES，此外，對稱加密算法還有IDEA、FEAL、LOKI、Lucifer、RC2、RC4、RC5、Blow fish、GOST、CAST、SAFER、SEAL等。WinRA

6、R的文件加密功能就是使用的AES加密算法。2.2 舉例加密過程：明文：good good study, day day up.密鑰：google加密算法：將明文中的所有的字母“d”替換成密鑰。密文：將“good good study, day day up.”中的所有字母“d”替換成“google”，就得到密文“googoogle googoogle stugoogley, googleay googleay up.”。解密過程：密文：googoogle googoogle stugoogley, googleay googleay up.密鑰：google解密算法：將密文中所有與密鑰相同的字

7、符串替換成“d”。明文：將“googoogle googoogle stugoogley, googleay googleay up.”中的所有“google”替換成“d”，就得到了明文“good good study, day day up.”。2.3 對稱密碼體制的不足如果是已經(jīng)保存在自己硬盤上的文件，使用對稱加密技術(shù)進(jìn)行加密是沒有問題的；如果是兩個人通過網(wǎng)絡(luò)傳輸文件，使用對稱加密就很危險因為在傳送密文的同時，還必須傳送解密密鑰。3 非對稱密碼體制3.1 概念雙鑰密碼體制、公開密碼體制、公鑰密碼體制。加密密鑰和解密密鑰不同，一個公開，稱為公鑰；一個保密，稱為私鑰。常見的算法：RSA密碼算法

8、，Diffie-Hellman密鑰交換算法，ElGamal加密算法。3.2 非對稱加密算法的特點如果用密鑰K1進(jìn)行加密，則有且僅有密鑰K2能進(jìn)行解密；反之，如果使用密鑰K2進(jìn)行了加密，則有且僅有密鑰K1能進(jìn)行解密。注意：“有且僅有”的意思如果用密鑰K1進(jìn)行了加密，是不能用密鑰K1進(jìn)行解密的；同樣，如果用密鑰K2進(jìn)行了加密，也無法用密鑰K2進(jìn)行解密。3.3 基本思路首先，生成一對滿足非對稱加密要求的密鑰對（密鑰K1和密鑰K2）。然后，將密鑰K1公布在網(wǎng)上，任何人都可以下載它，我們稱這個已經(jīng)公開的密鑰K1為公鑰；密鑰K2自己留著，不讓任何人知道，我們稱這個只有自己知道的密鑰K2為私鑰。當(dāng)我想給Cl

9、ark傳送小電影時，我可以用Clark的公鑰對小電影進(jìn)行加密，之后這個密文就連我也無法解密了。這個世界上只有一個人能將密文解密，這個人就是擁有私鑰的Clark。3.4 非對稱密碼體制的不足非對稱加密算法有一個重大缺點加密速度慢，編碼率比較低。例如在上一篇里我給Clark傳的那個1GB的小電影，進(jìn)行非對稱加密足足用了66小時。那個借條小一些吧，也用了將近2分鐘。所以在實際使用非對稱加密的時候，往往不直接對文件進(jìn)行加密，而是使用摘要算法與非對稱算法相結(jié)合（適用于數(shù)字簽名）或?qū)ΨQ加密和非對稱加密相結(jié)合（適用于加密傳輸文件）的辦法來解決或者說繞過非對稱加密算法速度慢的問題。3.5 應(yīng)用一：加密3.5.

10、1 基本原理使用接收者的“公開密鑰”加密，接收方用自己的“私有密鑰”解密。【舉例】流程是這樣的：首先，登錄當(dāng)?shù)氐臄?shù)字證書認(rèn)證中心網(wǎng)站，填表-出示個人有效證件原件和復(fù)印件-繳費-等待數(shù)字證書認(rèn)證中心制作數(shù)字證書-領(lǐng)取數(shù)字證書。如果您的公司需要申請大量的數(shù)字證書，還可以與認(rèn)證中心的銷售人員商量，先領(lǐng)取免費的試用版的數(shù)字證書供技術(shù)人員試用。我先在數(shù)字證書認(rèn)證中心下載了Clark的公鑰證書(就是一個含有公鑰信息的文件)，使用非對稱加密算法對不良漫畫進(jìn)行加密，再將密文通過QQ傳送給Clark。然后，我興沖沖地?fù)艽駽lark的手機(jī)：“喂？Clark么？好久不見，呵呵.我給你發(fā)了個好東東呦，在QQ上，收到?jīng)]

11、？.已經(jīng)用你的公鑰加密了。用你的私鑰解密就行了”Clark興沖沖地插入他的私鑰（忘了說了，私鑰并不是一個文件，而是一個USB設(shè)備，外形就跟U盤一樣），解密，然后開始看漫畫。3.5.2 加密的優(yōu)化：對稱加密和非對稱加密相結(jié)合我們可以用對稱加密與非對稱加密相結(jié)合的方式來解決這個問題。對稱加密速度快，但是必須在傳送密文的同時傳送解密密鑰；非對稱加密速度慢，但是不需要傳送解密密鑰。把兩個技術(shù)一起使用，各取優(yōu)點，就OK了。方法是，先把小電影用對稱加密算法加密，然后把解密密鑰用非對稱加密算法加密。再將小電影的密文與解密密鑰的密文同時傳送給Clark。Clark收到這兩樣?xùn)|西后，先用自己的私鑰將解密密鑰的密

12、文解密，得到解密密鑰，再用解密密鑰將小電影的密文解密，就得到了小電影的明文。Clark收到的這兩樣?xùn)|西小電影的密文和解密密鑰的密文加在一起就叫作數(shù)字信封。如下圖：3.6 應(yīng)用二：數(shù)字簽名3.6.1 基本原理使用發(fā)送方/簽名人的“私有密鑰”加密/簽名，接收方/驗證方收到簽名時使用發(fā)送方的公開密鑰驗證?！九e例】唉，這個月買了太多的書，到月底揭不開鍋了。正巧在QQ上遇到了Clark：1-2-3：“Clark，我需要200兩紋銀，能否借給我？”Clark：“沒問題。我這就給你轉(zhuǎn)賬。請給我一張借條?！?-2-3：“太謝謝了，我這就用Word寫一個借條給你。”然后，我新建一個Word文檔，寫好借條，存盤。

13、然后，然后怎么辦呢？我不能直接把借條發(fā)送給Clark，原因有：1. 我無法保證Clark不會在收到借條后將“紋銀200兩”改為“紋銀2000兩”。2. 如果我賴賬，Clark無法證明這個借條就是我寫的。3. 普通的Word文檔不能作為打官司的證據(jù)。好在我早就申請了數(shù)字證書。我先用我的私鑰對借條進(jìn)行加密，然后將加密后的密文用QQ發(fā)送給Clark。Clark收到了借條的密文后，在數(shù)字證書認(rèn)證中心的網(wǎng)站上下載我的公鑰，然后使用我的公鑰將密文解密，發(fā)現(xiàn)確實寫的是“借紋銀200兩”，Clark就可以把銀子放心的借給我了，我也不會擔(dān)心Clark會篡改我的借條，原因是：1. 由于我發(fā)給Clark的是密文，C

14、lark無法進(jìn)行修改。Clark倒是可以修改解密后的借條，但是Clark沒有我的私鑰，沒法模仿我對借條進(jìn)行加密。這就叫防篡改。2. 由于用我的私鑰進(jìn)行加密的借條，有且只有我的公鑰可以解密。反過來講，能用我的公鑰解密的借條，一定是使用我的私鑰加密的，而只有我才擁有我的私鑰，這樣Clark就可以證明這個借條就是我寫的。這就叫防抵賴。3. 如果我一直賴著不還錢，Clark把我告上了法庭，這個用我的私鑰加密過的Word文檔就可以當(dāng)作程堂證供。因為我國已經(jīng)出臺了中華人民共和國電子簽名法，使數(shù)字簽名具有了法律效力。您一定已經(jīng)注意到了，這個使用我的私鑰進(jìn)行了加密的借條，具有了防篡改、防抵賴的特性，并且可以作

15、為程堂證供，就跟我對這個借條進(jìn)行了“簽名”的效果是一樣的。對了，“使用我的私鑰對借條進(jìn)行加密”的過程就叫做數(shù)字簽名。3.6.2 數(shù)字簽名的優(yōu)化：摘要算法與非對稱算法相結(jié)合用Word寫給Clark的借條進(jìn)行簽名，總是先生成這個借條的散列值，然后用我的私鑰對這個散列值進(jìn)行非對稱加密，然后把加密后的散列值（我們就叫它“散列值密文”吧）和借條一同發(fā)送到Clark那里。Clark在收到借條和散列值密文后，用從網(wǎng)上下載的我的公鑰將散列值解密，然后Clark自己再生成一次借條的散列值，比對這兩個散列值是否相同，如果相同，就叫作驗證簽名成功。由于散列值只有幾十個字節(jié)，所以簽名的速度還可以忍受。如下圖：3.6.

16、3 電子簽章3.6.3.1 電子簽章簽名過程下面就演示一下用電子簽章程序?qū)ξ业慕钘l進(jìn)行簽名的過程。1. 安裝了電子簽章程序后，Word和Excel中就會多出一個簽名用的工具條。如下圖：2. 寫好借條，存盤。然后用鼠標(biāo)點擊“添加電子簽章”按鈕。然后在需要顯示印章圖片的位置上再按一次鼠標(biāo)左鍵。3. 電子簽章程序會彈出一個對話框，注意在這步一定要勾選“簽章后鎖定文件”復(fù)選框，至于為什么要這樣，稍后再講。然后點擊確定按鈕。4. 在上一步按確定按鈕后，電子簽章程序還會提示要求我輸入存放私鑰的USB-Key的使用密碼，然后Word中就會出現(xiàn)一個印章了。這個印章圖片是我提供給數(shù)字證書中心，在制作USB-Ke

17、y的時候就燒錄在USB-Key之中的。5. 之后我把借條發(fā)送給Clark。Clark想驗證簽名的話只要按“驗證所有印章”就可以了。電子簽章會彈出如左圖所示的對話框?！吧⒘兄怠薄ⅰ肮€證書”都被電子簽章程序插入到Word文檔中的某個特定的地方了，如果你熟悉Word文檔的結(jié)構(gòu)，是不難找到它們的。3.6.3.2 電子簽章Bug1. 在上面的第3步不勾選“簽章后鎖定文件”復(fù)選框，這樣在進(jìn)行了數(shù)字簽名之后，仍然可以更改Word文檔的內(nèi)容。當(dāng)然如果在進(jìn)行了數(shù)字簽名之后又更改了Word文檔的內(nèi)容，驗證簽名操作就會失敗。這時需要再次進(jìn)行簽名操作。2. 在上面的第3步勾選“簽章后鎖定文件”復(fù)選框，這樣在進(jìn)行了簽

18、名操作后，Word文檔的內(nèi)容就再也無法更改了。但是，電子簽章程序有一個大Bug在進(jìn)行了簽名操作后，如果只是更改了文字的顏色，驗證簽名操作仍然會成功。這就意味著，如果我在Word中寫到“向公司借款2000元”，然后把“2000”的最后一個0的顏色改為白色，在領(lǐng)導(dǎo)看來就是“向公司借款200 元”。領(lǐng)導(dǎo)欣然簽章，然后我再把那最后一個0的顏色改為黑色，就又變成了“向公司借款2000元”，而且驗證簽名居然會成功。這也是為什么我在上面的第3步要強(qiáng)調(diào)一定要勾選“簽章后鎖定文件”復(fù)選框了。我猜測造成這個Bug的原因很可能是因為電子簽章程序僅僅對文檔中的純文本生成散列值，而不是對文本+全部格式信息一同生成散列值

19、。大家在購買電子簽章程序前一定要作這方面的測試。3.7 應(yīng)用三：身份驗證3.7.1 基本原理【舉例】正如您已經(jīng)知道的，Clark的老婆是一名超級黑客就是傳說中能用計算機(jī)作任何事的人。這不，不久前她就輕松入侵了QQ數(shù)據(jù)庫，下載了Clark的所有好友的ID和密碼以及聊天記錄。然后，時不時地偽裝成Clark的好友跟Clark聊天，搞得Clark最近總是神經(jīng)兮兮、疑神疑鬼的。這不，昨天我在QQ上遇到了Clark：1-2-3：“Clark，最近還好吧？我又搞到一個好東東呦，要不要？”Clark：“48475bbt556”Clark并不是瘋掉了，那個“48475bbt556”也不是我跟Clark之間的什么

20、通關(guān)暗語。這個“48475bbt556”就是Clark在鍵盤上胡亂敲上去的，不過，我卻知道Clark是什么意思。我立刻把“48475bbt556”粘貼到Word里，然后用我的私鑰對這個Word文檔加密，再將這個Word文檔發(fā)送給Clark。Clark在那邊用我的公鑰將Word文檔解密，打開，發(fā)現(xiàn)里面寫的就是“48475bbt556”，就知道QQ這邊的確就是真正的我本人了。因為擁有我的私鑰的人在這個世界上就只有我一人而已，Clark的老婆大人就是再神通廣大也模仿不了，這就是數(shù)字簽名的驗證功能。3.7.2 使用數(shù)字簽名驗證（沖擊-響應(yīng)應(yīng)用模式）登錄認(rèn)證流程：1. 用戶訪問登錄頁面，加載客戶端證書列

21、表；2. 服務(wù)器端產(chǎn)生隨機(jī)數(shù)，并使用服務(wù)器私鑰對其進(jìn)行簽名，然后將隨機(jī)數(shù)、簽名值和服務(wù)器證書返回到登錄頁面，供客戶端驗證；3. 用戶輸入證書密碼，客戶端私鑰對隨機(jī)數(shù)進(jìn)行簽名，并將客戶端證書和簽名值發(fā)送給服務(wù)器端；4. 服務(wù)器端驗證客戶端簽名值和證書，驗證通過后解析證書，獲取B2B平臺的用戶名和數(shù)據(jù)庫做匹配；5. 登錄成功。3.8 公鑰/私鑰存在形式3.8.1 文件形式數(shù)字證書里不但要包含Clark的公鑰，還要包含Clark的自然信息（姓名、單位等），并且最重要的，要有證書頒發(fā)部門對這些信息的數(shù)字簽名（每個證書頒發(fā)部門也都有自己的數(shù)字證書稱之為根證書和與之配對使用的私鑰）。這樣我就可以驗證數(shù)字證

22、書的真?zhèn)瘟?。所以，讓我們重新定義數(shù)字證書，數(shù)字證書是由一個權(quán)威機(jī)構(gòu)發(fā)行的，至少包含一個公開密鑰、證書持有人（或單位）的名稱以及證書授權(quán)中心對這些信息的數(shù)字簽名的文件。一般情況下證書中還包括密鑰的有效時間，發(fā)證機(jī)關(guān)(證書授權(quán)中心)的名稱，該證書的序列號等信息，證書的格式遵循ITUT X.509國際標(biāo)準(zhǔn)。如下圖：使用IE的菜單“工具 | Internet 選項. - 內(nèi)容 - 證書. - 受信任的根證書頒發(fā)機(jī)構(gòu)”來查看IE中已經(jīng)安裝的根證書。點擊“導(dǎo)入.”按鈕可以導(dǎo)入新的根證書。3.8.2 USB Key3.8.2.1 概念與原理私鑰保存在硬盤或者U盤中容易被人拷貝，我們需要的是無論如何也不可能被

23、別人復(fù)制的私鑰保存方案，USB Key應(yīng)運而生。1 USB Key是一種USB設(shè)備，外形就跟U盤一樣，只不過無法用它來存取文件。2 證書發(fā)行單位會使用特殊的設(shè)備將你的數(shù)字證書、私鑰和電子簽章程序所要使用的印章圖片燒錄到USB Key中。3 USB Key本身還有一個簡短的使用密碼，每次加密前使用者必須輸入正確的使用密碼方能使用，這樣即使USB Key不慎丟失，也不用擔(dān)心了。你無法使用資源管理器或木馬程序取得USB Key中的私鑰，當(dāng)需要用私鑰進(jìn)行簽名時，直接通過USB Key的驅(qū)動程序提供的API將明文傳輸?shù)経SB Key中，由USB Key中的加密芯片對明文進(jìn)行加密，加密結(jié)果會以API函數(shù)的

24、返回值的形式返回，這樣就可以有效解決私鑰被壞蛋復(fù)制的問題了。3.8.2.2 缺點USB Key有一個不大不小的缺點速度有點慢。例如我手里正在試用的這款USB Key，連續(xù)簽10個像“1234”這樣的數(shù)據(jù)需要約13秒。這意味著如果你的信息系統(tǒng)只提供一次一條數(shù)據(jù)的簽名方式，那么這1秒鐘的延遲用戶根本感覺不到；但是也有很多領(lǐng)導(dǎo)喜歡一次批量簽名100條數(shù)據(jù)，那么就需要用2分鐘來完成這項工作。經(jīng)我本人測試以及向數(shù)字證書認(rèn)證單位技術(shù)人員確認(rèn)，速度的瓶頸主要在于數(shù)據(jù)往返于信息系統(tǒng)程序與USB Key之間所消耗的時間較長。所以很難通過優(yōu)化信息系統(tǒng)程序或使用具有更快芯片的USB Key的方法來提高速度。如下圖：

25、4 身份認(rèn)證機(jī)制4.1 定義計算機(jī)網(wǎng)絡(luò)世界中一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的，計算機(jī)只能識別用戶的數(shù)字身份，所有對用戶的授權(quán)也是針對用戶數(shù)字身份的授權(quán)。如何保證以數(shù)字身份進(jìn)行操作的操作者就是這個數(shù)字身份合法擁有者，也就是說保證操作者的物理身份與數(shù)字身份相對應(yīng)，身份認(rèn)證就是為了解決這個問題，作為防護(hù)網(wǎng)絡(luò)資產(chǎn)的第一道關(guān)口，身份認(rèn)證有著舉足輕重的作用。4.2 身份認(rèn)證方法的分類在真實世界，對用戶的身份認(rèn)證基本方法可以分為這三種：(1) 根據(jù)你所知道的信息來證明你的身份 (what you know ，你知道什么 ) ；(2) 根據(jù)你所擁有的東西來證明你的身份 (what you

26、 have ，你有什么 ) ；(3) 直接根據(jù)獨一無二的身體特征來證明你的身份 (who you are ，你是誰 ) ，比如指紋、面貌等。在網(wǎng)絡(luò)世界中手段與真實世界中一致，為了達(dá)到更高的身份認(rèn)證安全性，某些場景會將上面3種挑選2中混合使用，即所謂的雙因素認(rèn)證。4.3 What you know4.3.1 靜態(tài)密碼用戶的密碼是由用戶自己設(shè)定的。在網(wǎng)絡(luò)登錄時輸入正確的密碼，計算機(jī)就認(rèn)為操作者就是合法用戶。實際上，由于許多用戶為了防止忘記密碼，經(jīng)常采用諸如生日、電話號碼等容易被猜測的字符串作為密碼，或者把密碼抄在紙上放在一個自認(rèn)為安全的地方，這樣很容易造成密碼泄漏。如果密碼是靜態(tài)的數(shù)據(jù)，在驗證過程

27、中 需要在計算機(jī)內(nèi)存中和傳輸過程可能會被木馬程序或網(wǎng)絡(luò)中截獲。因此，靜態(tài)密碼機(jī)制無論是使用還是部署都非常簡單，但從安全性上講，用戶名/密碼方式一種是不安全的身份認(rèn)證方式。4.4 What you have4.4.1 智能卡（IC卡）一種內(nèi)置集成電路的芯片，芯片中存有與用戶身份相關(guān)的數(shù)據(jù)， 智能卡由專門的廠商通過專門的設(shè)備生產(chǎn)，是不可復(fù)制的硬件。智能卡由合法用戶隨身攜帶，登錄時必須將智能卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。智能卡認(rèn)證是通過智能卡硬件不可復(fù)制來保證用戶身份不會被仿冒。然而由于每次從智能卡中讀取的數(shù)據(jù)是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易截取到用戶的身份驗證

28、信息，因此還是存在安全隱患。4.4.2 短信密碼短信密碼以手機(jī)短信形式請求包含6位隨機(jī)數(shù)的動態(tài)密碼，身份認(rèn)證系統(tǒng)以短信形式發(fā)送隨機(jī)的6位密碼到客戶的手機(jī)上?？蛻粼诘卿浕蛘呓灰渍J(rèn)證時候輸入此動態(tài)密碼，從而確保系統(tǒng)身份認(rèn)證的安全性。具有以下優(yōu)點：（1） 安全性由于手機(jī)與客戶綁定比較緊密，短信密碼生成與使用場景是物理隔絕的，因此密碼在通路上被截取幾率降至最低。（2） 普及性只要會接收短信即可使用，大大降低短信密碼技術(shù)的使用門檻，學(xué)習(xí)成本幾乎為0，所以在市場接受度上面不會存在阻力。（3） 易收費由于移動互聯(lián)網(wǎng)用戶天然養(yǎng)成了付費的習(xí)慣，這和PC時代互聯(lián)網(wǎng)截然不同的理念，而且收費通道非常的發(fā)達(dá)，如果是網(wǎng)銀

29、、第三方支付、電子商務(wù)可將短信密碼作為一項增值業(yè)務(wù)，每月通過SP收費不會有阻力，因此也可增加收益。（4） 易維護(hù)由于短信網(wǎng)關(guān)技術(shù)非常成熟，大大降低短信密碼系統(tǒng)上馬的復(fù)雜度和風(fēng)險，短信密碼業(yè)務(wù)后期客服成本低，穩(wěn)定的系統(tǒng)在提升安全同時也營造良好的口碑效應(yīng)，這也是目前銀行也大量采納這項技術(shù)很重要的原因。4.4.3 動態(tài)口令牌目前最為安全的身份認(rèn)證方式，也利用what you have方法，也是一種動態(tài)密碼。動態(tài)口令牌是客戶手持用來生成動態(tài)密碼的終端，主流的是基于時間同步方式的，每60秒變換一次動態(tài)口令，口令一次有效，它產(chǎn)生6位動態(tài)數(shù)字進(jìn)行一次一密的方式認(rèn)證。由于它使用起來非常便捷，85%以上的世界500強(qiáng)企業(yè)運用它保護(hù)登錄安全，廣泛應(yīng)用在VPN、網(wǎng)上銀行、電子政務(wù)、電子商務(wù)等領(lǐng)域。動態(tài)口令是應(yīng)用最廣的一種身份識別方式，一般是長度為58的字符串，由數(shù)字、字母、特殊字符、控制字符等組成。用戶名和口令的方法幾十年來一直用于提供所屬權(quán)和準(zhǔn)安全的認(rèn)證來對服務(wù)器提供一定程度的保護(hù)。當(dāng)你每天訪問自己的電子郵件服務(wù)器、服務(wù)器要采用用戶名與動態(tài)口令對用戶進(jìn)行認(rèn)證的，一般還要提供動態(tài)口令更改工具。現(xiàn)在系統(tǒng)（尤其是互聯(lián)網(wǎng)上新興的系統(tǒng)）通常還提供用戶提醒工具以防忘記口令?，F(xiàn)行網(wǎng)銀客戶端的安全保障動態(tài)口令牌(OTP，One time password)：采用動態(tài)口令的認(rèn)證方式就是在每次用戶登錄時除了輸入