【IT168 专访 kaduo/文】随着互联网技术的发展,电子商务、企业办公、电子银行等互联网应用正在日益紧密的和我们的工作、生活相关联。在我们享受互联网带来便利的同时,却一直被互联网安全问题困扰着,有了杀毒软件来帮我们查杀病毒,有了防火墙来帮我们阻止可能的网络威胁等等,然而除了这些来自网络本身的安全威胁外,用户身份的认证(客户端终端安全问题)也成了互联网安全所面临的重要问题。为此,我们特地采访了飞天诚信OTP的产品总监陈达先生,他将和我们一起探讨身份认证技术的发展,并深入解析OTP在身份认证领域的重要作用和发展前景。
▲飞天诚信OTP产品总监陈达(点击查看采访视频)
陈达首先为我们介绍了OTP的相关概念,OTP全称One Time Password,意为一次性密码,又称为动态令牌,指的是用特定的算法而产生不同的口令作为一次性使用的密码,其特点主要是由算法产生的口令只能使用一次。由于动态令牌使用起来非常便捷,据统计,目前有85%以上的世界500强企业在运用它保护登录安全,并且广泛应用在VPN、网上银行、电子政务、电子商务等领域。
在谈到飞天诚信OTP产品,陈达表示,飞天诚信从2007年开始研发OTP产品,到目前为止,飞天诚信OTP产品已涵盖有时间型、事件型、挑战应答型、复合型等多种类型产品。各类产品依据内部算法因子的不同而应用于不同的场合。陈达具体谈到,如果应用是次数类型,则使用事件型OTP,如果应用是按时间来计算,则使用时间型OTP,如果是随机的挑战码,则使用挑战型OTP。陈达表示,从安全性的角度来讲,挑战型的OTP安全性是最高的,如果从易用性的角度来讲,则时间型的OTP最容易使用的。
对比其他身份认证技术,陈达介绍说:“动态令牌给用户带来的最大好处就是方便和安全,除了动态令牌,目前主流的身份认证技术还有静态口令和数字证书。静态口令非常的方便,但是安全性不高,数字证书非常安全,但其使用起来比较繁琐。”
在谈到OTP在行业用户中的应用方案时,陈达为我们介绍了三种类型的应用,一是单渠道应用,就是把OTP的产品和技术用在网银登陆和转账,如用户登陆网银时,需要输入OTP动态口令作为一次性的密码,在进入网银要进行转账时也需要输入OTP作为一次性的密码来进行转账的安全确认。二是多渠道应用,除了硬件令牌装置之外,还提供短信的令牌,由硬件令牌和短信令牌组成这种多渠道的设备选择,然后提供给用户。第三是组合应用,就是用OTP的产品和技术进行网银的登陆,同时结合USB Key和数字证书进行网银的交易和转账。
解析飞天诚信OTP产品的技术优势,陈达从三个方面进行了详细的介绍。在客户端方面,飞天诚信提供了多种多样的客户端设备供用户选择,如时间型、事件型、挑战应答型。从技术支持层面来讲,飞天诚信正在打造的OTP云计算认证中心,是借助于云计算的技术架构和优势,来为用户提供更加安全的身份认证技术。同时,还利用数据挖掘技术,对用户在使用OTP过程中的行为和风险进行监控和分析,从而为用户提供自适应的认证技术。
展望OTP未来的发展前景,陈达表示,2010年飞天诚信OTP的出货量已经达到了六百多万,目前为止是全球出货量最大的。在未来几年,国家计划在2015年要全面普及金融IC卡产品,这对于飞天诚信来说是个机遇,OTP将加大对IC卡的支持。下一步飞天诚信将增加对后台系统的建设和投入,利用云计算和数据挖掘技术来增强产品的安全性。