2.     硬件形

超越密码的时代——我们需要更强的安全认证（三）

肖裕平

2005年７月

          3.硬件形式的身份令牌

      硬件形式的令牌是目前最受欢迎的两元验证方式。传统的令牌突破了一次性密码的概念，把它和第二种验证因素相捆绑，达到了一个新的安全级别。而现在更新的硬件令牌技术则完全跳过了密码，趋向于一对不同类型的令牌。

     尽管软件形式的令牌在客户端也能起到作用，但绝大多数令牌还是以一个很小的硬件形式面世——钥匙链上的小挂件，信用卡大小的PIN卡或者一个USB投备。举例来说，这张图片（右图）展示了一个传统的RSA Security（http://www.rsasecurity.com/）的 SecurID挂件和SecurID PIN卡。我们可以发现，这两个令牌上都显示了一串数字——这正是一次性密码。但是，和用一个运算法则（如S/KEY）所静态生成的密码不同，新的密码是每60秒被动态随机生成的，下一个一次性密码不可能再被预测或猜到，除非你使用验证服务器再次去初始化你的令牌。

      在初始化完成之后，用户再试图去进行身份验证时，就会被提示输入一个通行代码——这个代码通常显示在令牌上的用户身份号（PIN）后面。这个互动的过程与一般的密码验证很相像，事实上它也很许多协议与应用程序相互匹配。如果用户达到了60称的间隔周期，他就会被提示输入另一个通行代码。如果用户把信息令牌丢在了家里，毫无疑问，他就不能够被验证。尽管更换一个遗失的令牌并不像重新设置一个密码那样简单，但许多公司仍然认为和硬件令牌所提供的强有力的二元验证功能相比，这一点不方便是次要的。

   （1）USB令牌

      最近，USB硬件令牌有了令人瞩目的发展。一些USB令牌能够以两种有点相近的方式提供强有力的验证。比如说，Verisign标准的USB验证器（如右图所示）展示了两种形式——一种是支持令牌号码显示的USB令牌，而另一种则完成没有显示。

      USB硬件令牌各种功样的功能不少，在功能方面基本上都更加的自动化并支持多种验证方式，包括数字证书，举例来说，ActivCard生产的USB钥匙存储了用户登录所需要的一个私钥，密码和相关信息。当你把USB钥匙插入你电脑的USB端口并输入一串PIN后，你就可以通过使用存储在钥匙中的任何一种证书通过身份验证，如动态的一次性密码或证书。USB钥匙和安装在用户电脑上的客户端软件一起工作，ActivCard Gold就是这样一种软件。

      许多商家都出售各式各样的身份验证令牌，包括挂件形式的，USB钥匙的和将两者结合的。一些商家也出售通行代码生成软件以将一种类似PDA或Smartphone这样的设备转化为一个令牌。在硬件令牌的市场领域中较为资深的一些商家有：

• Authenex                                           （http://www.authenex.com/）
• ActivCard                                           （http://www.activcard.com/）
• Aladdin Knowledge Systems             （http://www.aladdin.com/）
• RSA Security                               （http://www.rsasecurity.com/）
• SafeNet                                      （http://www.safenet-inc.com/）
• SecuriKey                                   （http://www.securikey.com/）
• Vasco                                         （http://www.vasco.com/）
• Verisign                                      （http://www.verisign.com/）

      分发令牌，替换损坏或丢失的令牌以及购买与之相关的验证软件都与你的成本有很大关系。一份2004年的关于架构软件和系统管理的调查表明RSA Security公司在全年的四分之三时间内都以平均40$每个令牌的价格出售。当然，商家在这个领域的竞争也相当激烈，各家给出的折扣也很吸引人，RSA Security公司仅仅是个例子，你也许可以买到便宜得多的硬件令牌。