靜態賬戶是指一組由用戶名和固態密碼組成的賬戶。固態密碼是指與用戶名協同進行身份認證的密碼，在一段時間內保持不變，有較長的生命周期，只有在人工干預的情況下才可能發生變化，業界有時也稱之為靜態密碼。

二次身份認證是指用戶的靜態賬戶通過認證后，再對用戶的合法性進行一次有效性檢查。本文將靜態賬戶認證稱為第一次認證，后者稱之為二次認證。

第一次身份認證與第二次身份認證通過不同的網絡進行，稱為雙鏈路。比如登錄一個社區，使用靜態賬戶在PC端通過其門戶進行第一次認證，再通過移動終端進行第二次身份認證，這就是一個雙鏈路的認證過程。但是如果將移動終端生成的密碼在同一PC端通過社區的門戶進行二次認證，則是單鏈路的認證過程。

本文將口令、密碼統稱為密碼。OTP(One-Time Password)是一種具有時效性與使用一次性的密碼，通常情況下，由于其生命周期小于一分鐘，與固態密碼相對應，稱之為動態密碼，有時也稱為動態口令，本文統一為動態密碼或使用英文簡稱OTP。

手機密令(”Me”令)利用先進的雙鏈路登陸保護方案，對用戶登陸進行二次身份驗證，有效確保用戶身份的唯一性和合法性。

背景與現狀

20世紀末期，隨著信息技術的飛速發展，大量以手工方式處理的傳統業務被信息系統代替，工作方式的轉變也影響到以部門或崗位來確定工作內容和職責的物理世界。信息系統為了一一映射現實世界的責任和分工，便建立了一套以用戶、角色、權限為一體的完整的權限體系，靜態賬戶由此應運而生。

在一段時間內，靜態賬戶解決了信息系統孤立環境下的權限分配問題，有效的保護了虛擬環境下的業務操作和數據。但是，隨著互聯網的興起，以共享、分享為理念的互聯互通精神拆除了信息系統彼此之間的高墻籬笆，特別是一些社區(SNS)、電子商務、網絡游戲等互聯網應用。與此同時，開放環境下的信息共享與信息保護的沖突愈演愈烈，形形色色的黑客使用各種手段竊取或劫持用戶的身份認證信息，以獲得系統相關功能及數據的訪問權限，進行非法操作。

由于靜態賬戶的固態密碼通常使用諸如MD5、SHA-1等雜湊函數多次或組合生成，完全可以通過字典攻擊的密碼猜測等手段獲得固態密碼，如網站http://www.cmd5.com/可以將多種雜湊函數生成的密碼進行解密，獲得明文。因此，以靜態賬戶為手段的保護業務操作和數據的模式受到了極大的挑戰。

最近，始于CSDN的“泄密門”事件已經波及到數家從事互聯網應用的企業，包括人人網、天涯、多玩、7k7k等公司的靜態賬戶被泄露。因此，基于靜態賬戶的方式已不能滿足互聯網安全形式日益惡化的要求。

身份認證安全問題分析

為了確保信息系統中的數據不被泄露、篡改和非授權訪問，身份認證的安全問題至關重要。認證竊取和劫持是最常見的一種安全威脅。

認證竊取與劫持是指攻擊者通過各種手段竊取或劫持用戶的身份認證信息，并因此獲得系統的相應功能及數據的訪問權限。典型的認證竊取與劫持包括如下幾種。

(1)密碼猜測

字典攻擊是最常用的密碼猜測方法。字典攻擊的一種策略是在已知用戶名的前提下，基于字典內容按一定策略猜測密碼內容，直到猜測成功。對于擁有大量用戶的應用系統，另一種反向字典攻擊往往也會奏效，即假定系統中會有人使用某一簡單密碼，如“123456”，然后按字典序猜測用戶名。這類攻擊通常發生在需要認證的Web前端。

(2)會話劫持

會話劫持是指用戶在系統成功認證后所獲得的會話標識(SessionID)被攻擊者竊取或劫持利用，從而得以扮演該用戶身份與系統交互。應用層會話劫持實現的主要原因有：

Session猜測。若Web的Session生成算法被攻擊者獲知，則有可能通過Session猜測得到某登陸用戶的SessionID，從而劫持該會話。

Session不充分超時。若用戶沒有顯式點擊“退出登陸”而直接關閉瀏覽器，則用戶SessionID通常會被保留一段時間后超時刪除。若超時時間設置過長，則可能會在這段時間內被攻擊者利用。

會話Cookies信息竊取。很多情況下系統使用Cookie在瀏覽器端記錄用戶認證信息，因此在某些攻擊手段的支持下(如跨站腳本)Cookie會被攻擊者方便的竊取從而仿冒并劫持用戶認證會話信息。

(3)基于SQL注入的認證攻擊

考慮應用系統基于用戶填入的用戶名及密碼執行如下SQL查詢認證用戶身份信息：

如果用戶輸入用戶名為 ' OR ''='并且密碼為 ' OR ''='，則將最終產生如下的SQL查詢語句，旁路掉認證邏輯從而使認證失效。

(4)基于密碼恢復的密碼獲取

很多互聯網應用為用戶提供忘記密碼后的密碼恢復功能，比如通過輸入用戶郵件、電話號碼來恢復密碼，或通過Email恢復密碼。若密碼恢復方法或過程過于簡單，則很容易被攻擊者利用而成為重置密碼的途徑。該種方法多發生在Web前端。

基于二次身份認證的雙鏈路登錄保護方案

基于靜態賬戶的安全問題一般發生在單鏈路上，這里采用雙鏈路的方式通過二次身份驗證實現登錄保護，以保障用戶身份的合法性。當然，在單鏈路上也有一些行之有效的方法來解決很多登錄認證的問題。比如，淘寶在靜態賬戶一次認證的基礎上使用時代億寶(北京)科技有限公司的手機密令(”Me”令)產品進行二次認證，就是一種很好的解決方案。

要特別說明的是，僅僅依靠改進靜態賬戶的固態密碼生成算法進行一次認證實現登錄保護往往是不夠的，目前普遍的做法是安全等級不高的應用在靜態賬戶的基礎上輔助以圖形驗證碼的方式防止系統被DOS攻擊，但這實質上不是一種登錄保護的措施。

(1)基本原理

基于二次身份認證的雙鏈路登錄保護方案的基本原理是用戶通過PC端使用靜態賬戶進行第一次身份認證;認證通過后，業務系統向用戶手持設備(包括智能手機、iPad等移動終端)發起二次認證請求，用戶使用安裝在移動終端的上系統向業務系統啟動二次認證，認證通過后進入業務系統進行相關操作。認證示意圖如左圖所示。

雙鏈路二次身份認證的登錄保護完整序列圖如下所示。第一次認證使用業務系統自有的用戶權限管理機制，第二次認證使用獨立的認證系統(這樣做的原因后續會有說明)。整個認證過程大致分為11步：

Step1：用戶通過業務系統的客戶端(通常使用用戶PC機上的瀏覽器)發起使用靜態賬號第一次登錄請求;

Step2：業務系統客戶端將認證請求發給業務系統;

Step3：業務系統基于靜態賬戶進行初認證;

Step4：第一次認證通過后，業務系統將以下行短信或GPRS方式向用戶的移動客戶端推送二次認證請求;

Step5：用戶通過移動終端發起二次請求;

Step6：移動終端將二次請求發給業務系統;

Step7：業務系統檢測本次二次請求是否由第一次請求產生的。即檢查二次請求的合法性和有效性;

Step8：如果本次二次認證請求有效，業務系統則請求認證系統進行第二次驗證;

Step9：認證系統認證;

Step10：認證系統將認證結果返回系統;

Step11：如果業務系統檢查二次認證通過，自動進入登錄后的界面，用戶就可以進行相關操作了。

(2)認證密碼生成與分發原則

在二次身份認證的雙鏈路保護方案中有兩套密碼，一套是靜態賬戶的固態密碼，用于進行第一次身份認證;另一套是基于動態密碼技術的動態密碼，即OTP，用于進行第二次身份認證。

靜態賬戶由業務系統自身的權限體系產生，其固態密碼一般由2次MD5加密或1次MD5結合SHA-1算法的方式生成。因此，第一次登錄認證由業務系統完成。

二次認證使用的動態密碼由業界統一的算法AES或國家密碼局要求的SM3算法產生。動態密碼擁有雙因素特征，一般基于時間因子，長度為6位或8位(也可以客戶定制)，有效期小于60秒，只能使用一次。由認證系統分發，故第二次認證由認證系統完成。

(3)體系結構

基于二次身份認證的雙鏈路登錄保護方案的體系結構包括認證系統、被保護的業務系統、業務系統的客戶端、移動客戶端。各模塊的功能和作用概要說明如下：

認證系統：分發生成動態密碼(OTP)的種子(seed)，進行賬號綁定和解綁，實現OTP認證的功能。

業務系統：分發靜態賬號，實現第一次身份認證，請求第二次身份認證

移動客戶端：申請賬號初始化綁定，根據認證系統分發的種子并基于時間因子生成動態密碼，發起二次認證。

業務客戶端：發起第一次認證請求，并相應第二次認證結果

(4)解決問題

從前面所述的工作原理可以看出，基于二次身份認證的雙鏈路登錄保護方案完全可以解決靜態賬戶泄露后的應用系統安全問題，這是因為該方案采用兩套密碼，通過兩條不同的通信鏈路進行認證。

此外，該方案在一定程度上也可以解決釣魚和欺詐等安全隱患。

實踐

時代億寶(北京)科技有限公司www.timesafer.com是一家專業的安全身份認證產品供應商，公司生產的手機密令(”Me”令)產品(商標為Me Order)正是基于上述思想研發并擁有相關專利。該產品能夠運行在Android、iOS、WP7及能識別Kjava程序的各種主流手機操作系統上，目前為淘寶的多個應用場景身份認證提供深度的安全保護。