飞天诚信:网络游戏身份认证解决方案-身份认证解决方案.doc
飞天诚信:网络游戏身份认证解决方案 -身份认证解决方案 网络游戏安全背景 目前网络游戏日益盛行,随着网络精品游戏不断推出,更多的玩家进入到网络虚幻世界。一个修炼了许久的帐号不仅仅是玩家时间精力的堆积,同时也是大笔资金的投入。尤其有许多人用现实社会中的货币去购买网络世界中的装备与物品,获得一个高等级的帐号。或者用自己游戏中的物品或者高等级帐号去换现实社会的货币。这更增加了人们对游戏的重视。现在许多游戏玩家最关心的是其帐号的安全性的问题。例如:密码位数太少,容易被猜测、或通过专门软件在短时间内穷举出来;而位数多又不容易记忆易被遗忘。或者多个帐号为了便于记忆用一个密码等等…… 据相关报告显示,我国有 61%的玩家经历过装备和虚拟物品被盗,被盗号的占 33%,被黑客攻击的占 6%。各种木马更是无孔不入,如通过 QQ、 ICQ、电子邮件、网站主页、部分插件等,随时都有可能侵入玩家的电脑, 93%被盗玩家都是受到了木马程序的攻击。 而帐号密码被盗,根源在哪里?除了个人的警惕心不强外,主要还是由于游戏帐号的密码设定不够科学和认证手段不够安全导致的。游戏业内的安全专家也在积极的探索一个行之有效的解决方案。 浅析目前几种主要认证方式 【静态密码认证】 我们现在常用的密码认证方式,就 是静态密码认证,作为一种低成本、方便的使用形式,此种方式在网络应用中很普遍。但是由于“密码”和“用户名(或者帐号)”作为软性标识,在网络中明文传输,存在许多弊端和安全漏洞,如用户名和密码容易忘记或者被他人有意或无意获取、认证信息可被窃听、多人共用一个帐号带来安全隐患、名目繁多的 “专业”密码破译工具以及冒名顶替等等。因此只是适合一些安全性要求不高,即使丢失被他人使用或盗用也不会产生巨大损失的应用中。 【动态密码认证】 这是一种新型的密码认证的改进型。是为了弥补静态密码认证中,静态口令设置复杂不容 易记忆以及容易被别人获取的缺陷。认证中用户口令是动态改变的,一般会发给用户一个令牌,上面显示的数字是随时间变化的。这串变化的数字就是用户进入系统的口令。该系统由用户端的密码卡和应用系统端的认证服务器组成。用户登录应用系统时,依据安全算法,认证系统会在密码卡的专用芯片和认证服务器上同时生成动态密码,经过比较,若双方密码相同,则为合法用户,否则为非法用户。动态口令卡解决了服务器端认证用户端的身份认证,但是不能反向认证