本文由第三方AI基于17173文章http://news.17173.com/content/2004-9-14/n335_251839.html提炼总结而成,可能与原文真实意图存在偏差。不代表网站观点和立场。推荐点击链接阅读原文细致比对和校验。
北京飞天诚信经理徐远航:构筑安全的网络游戏身份认证体系
2004-09-14 12:00:08
神评论
中国第二届网络游戏年会于2004年9月8日在北京新世纪饭店举行,相关部门领导及行业领头人在年会上分别发表了精彩演讲。以下是北京飞天诚信科技有限公司经理徐远航发表的主题演讲――构筑安全的网络游戏身份认证体系:
各位朋友、各位来宾,大家好。我是飞天诚信公司的信息安全产品部的经理,今天主要给大家介绍的内容有以下几点,一个主要介绍的是网游中的身份安全问题,这也是大家比较关注的问题。介绍的是我们的一个解决方案,就是USB KEY和它如何在网络游戏中使用,最后给大家介绍一下我们公司的背景。
身份认证困扰着网络游戏,61%的玩家有过装备或者物品被盗的经历,还有是帐号被人盗取了,也有33%的玩家有过游戏帐号被盗的经历。对于游戏运营商朋友来说,还存在着一个游戏的私服泛滥,私服的话钱就收不到运营商的手上了。几乎所有的游戏运营商都会遭遇私服的困扰。我们说这些问题的根源在哪里呢?为什么会产生这个问题?主要是因为身份认证手段的缺失,没有办法来保证游戏用户和身份认证,能够保证身份识别。现在我们常用的大家熟悉的身份识别的几种方式,一个是用户名和密码。现在游戏大部分是使用用户名和密码这种方式,还有是使用动态令牌,可能有些游戏运营商像盛大也做过一些使用动态令牌,就是一个小设备根据时间不同会显示动态的密码。还有一种识别方式是我们说的生物特征识别,像指纹识别等等。这些识别方式都存在一定的问题,用户名和密码大家很熟悉了,密码肯定非常容易泄露,一切的问题都是出现这里的。动态令牌安全还是可以的,但是整个系统实施的成本比较高,使用起来玩家在使用时必须根据动态令牌上产生的密码输入电脑,如果输入错的话还要再重新输入,动态令牌和服务器可能会产生对应时间不一致,使用非常不方便。生物识别还不是很成熟,使用成本比较高,一般是用在比较高级的安防系统上的,每个网络游戏玩家花几千块钱买一个指纹识别器这也不太现实。在现在电子商务、电子政务上最流行、最常用的识别方式就是USB KEY,对于客户端来说经济方便,使用单个成本比较低,安全强度是基于现代密码学的,安全强度也比较高。
下面介绍一下什么是USB KEY?USB KEY是USB接口的电子钥匙,大家看这张图,很像U盘,其实不是U盘,它有哪些特点呢?第一个有PIN码的保护,要有卡,还要有密码才能取钱,如果只有卡没有密码或者是只有密码没有卡也是不能取钱的。USB KEY具有安全的存储空间,可以把用户的机要存储进去,不会被黑客或者是其他软件盗取。第三是基于硬件的密码算法,它带有CPU可以进行运算,这里跟大家介绍的是MD5-HAC,是一个不可逆的数据指纹算法,这里有一张图,比如有一段数据和密要,经过MD5-HAC算之后会产生一个数据摘要,这就相当于这个密要和数据的指纹。我们来看一个变化,如果说这个数据有一位产生改变的话,这个数据摘要所有的位数都会产生变化。如果数据里的一两位对调或者是位子变化了,数据摘要也是完全变化的。如果说数据长度增加或者是减少了,数据摘要也是完全变化的。数据是这样的,同样对于加密数据的密要也是这样的,如果密要任何一位发生改变,整个数据摘要也会全部发生改变的。并且这个算法是不可逆的,如果有一个数据摘要需要得到原始的数据和密要就什么也得不到了。
USB KEY认证的流程是怎么样的呢?首先看它是一个基于冲击响应的强双因子认证,有服务器和玩家的电脑。一般来说玩家的帐号信息等等是存在认证服务器的数据库里的,这里我们用一个USERID、USER KEY,玩家登录是插入USB KEY,客户端会向服务器端发出这个请求我要登陆,就传到认证服务器了,认证服务器得到请求以后就会产生一个随机数,之后通过网络再传输到玩家电脑这一边,这个随机数是传到USB KEY。第三步是服务器和USB KEY分别进行密要的运算。服务器的数据库里是安全的,随机数是由服务器产生的,服务器进行随机数和用户密要形成的摘要叫RH,如果玩家进入电脑的话这个运算是在USB KEY进行的,最后声称的结果叫RC,第四步就比较这两个的结果,中间运算的结果通过网络传送到服务器,服务器比较这两个结果是否相等。在认证的流程过程中用户的密要是不出现在网络上,也不出现在客户端玩家电脑内存当中,这样所有的****或者是木马软件都无法截取用户的密要,每次运算都是由服务器产生的随机数验证的,所以每次运算的结果都不一样。下一次即使截取到中间认证的结果,截取到随机数,但是下一次随机数不一样了,就不能模拟真实用户的身份,这就是我们所说的USB KEY认证的流程。
USB KEY如何运用到网络游戏运营模式中呢?通过USB KEY可以实行双向认证,拒绝私服,这一点也是游戏运营商非常关心的问题。游戏运营商在使用的过程中,对每个用户有一个用户名,现在一般是一个用户名、一个密码,在这个体系中我们希望增加一个Server KEY,就是游戏服务器的一段特征密码,我们把这三个信息写入到USB KEY里去以后,把这三个信息都存到USB KEY里。这时玩家通过游戏的销售渠道买到USB KEY,这时玩家如果要登陆这个游戏的话就把USB KEY插入电脑里,先验证服务器是不是玩家的服务器,ServerKEY是否有效,如果ServerKEY有效时再从数据库里取出USERID和USER KEY是不是有效。因为私服没有运营商的特征,客户端就不能登陆到服务器上。
基于USB KEY游戏的运营,现在游戏运营的模式像这张图一样,运营商是一边,所有的玩家大部门是通过用户名和密码的方式登陆的,这是一个单向的登陆方式。这时运营商可以使用USB KEY,在USB KEY里存入游戏的信息。这个KEY可以登陆哪个游戏,但是并不指定那个玩家的帐号。这样玩家在通过销售渠道买到USB KEY时,可以通过游戏客户端或者是在网络上,这时USB KEY是存有游戏的特征,这时玩家可以把他的帐号、用户名、密码转化为USB KEY里任何的USERID、USERKEY,原来单向的登陆模式就转变成双向的登陆模式了。可能我们的游戏刚刚发布时大家都是用用户名、密码,很多人来使用,在这个过程当中有一部分用户、玩家会投入大量的精力、时间购买或者是得到网络上的虚拟财富,这时就需要一个产品来保护他的帐号和装备。这样可以通过后期加入USB KEY来保证这一部分玩家的利益。其他普通的玩家或者是新手还可以通过用户名、密码的方式进入,你可以用硬件来登陆或者是直接用用户名、密码登陆。这样还会产生一个问题,刚才说的情况是一个游戏运营商他手上的游戏可以使用这种方法。但是如果一个玩家使用好几种游戏,他要玩的话需要带一大把的KEY,这时就需要有一个**的管理机构或者是游戏的中间机构由它来管理USB KEY,跟每一个游戏厂家的每一个游戏分配游戏的ID,这样在一个KEY里就有多个游戏的ID。这样玩家买到这样一个KEY可以通过跟不同的游戏绑定,一个KEY可以绑定盛大的游戏,也可以绑定九城的游戏。这些是USB KEY跟网络游戏运营的一些模式。我们飞天诚信公司主要是做信息安全的,对咱们游戏这个行业不是非常熟悉,所以我提到的这些具体的运营方式可能还有待于跟大家一起探讨。
下面简单介绍一下我们的飞天公司,我们是技术研发主导型民营高科技企业,主要是在做自己的产品。一个我们有强大的软硬件的研发实力,我们是国内从99年开始推出USB KEY,这是在电子商务、电子政务领域应用非常广泛的。我们有从硬件、从操作系统到驱动程序和中间件完整的产品技术,从软到硬的技术都是我们自己设计的。而且我们全线产品的驱动程序是获得了WindowsXP的认证,这也是通过微软的测试。还有一个比较有特点的,所有的硬件产品都支持Windows和Linux、***各种不同的客户端,这在国内主要还是Windows平台,如果是国外的话Linux和***的平台终端用户也非常多,我们的软硬件都支持各种平台。飞天立足国内建立了放眼世界的营销策略,我们公司很早就开始进行国际化的运营。一方面紧随国际的产业政策,研发了具有自主知识产权的产品,第二这些产品都是根据国际上最新的技术标准研制的。并且我们非常早就建立了全球的营销体系,我们的产品现在出口全世界30多个国家和地区。下一页是我们产品销售的分布图,现在国外的销售额占到我们的25%,飞天公司是做安全产品的,主要是有一些安全产品的资质,第一个是上海电子商务认证中心产品测试的证书,第二个是CFCA,中国金融认证中心的产品认证测试证书,这是招行和工行的网上银行使用我们的产品。第三个是这个产品通过中国金融IC卡认证的证书,这也是银行领域使用的。第四个是军用产品安全认证证书,我们这个产品可以在军队行业使用。接下来是在电子政务领域商用密码产品我们是生产定点单位,还有一个是销售许可单位,这些都是行业里要用的证书。我们是微软的合作伙伴,去年微软2003发布会使用演示的唯一一家第三方产品使用的就是我们USB KEY卡登陆的。这就说明飞天公司产品的技术。介绍一下飞天USB KEY家族,有一个EPASS2000,这个产品主要是基于高强度智能卡的,这主要是银行和军队应用的。还有一个是EPASS1000,这个成本非常低,最终通过渠道商发到用户手上最终玩家只需要50块钱左右的成本。还有一个EPASSND这是无驱型的产品,特别使用于网吧使用。它也支持我们刚才说的冲击响应认证,里面有多级的文件系统可以对不同的游戏建立不同的目录,支持多个游戏。有1.2K的存储空间。一般的游戏认证存储只需要上百个字节,USB KEY可以支持多个密要的存储。这个产品怎么使用呢?我们提供简便的集成方式,通过EPASS SDK这里面包含USB KEY可以使用的样品,欢迎大家向我们索取。这个样品可以用于开发和测试。还有包里有全套的安全产品的文档,包括产品的技术细节、编程函数的说明,还完善的开发共聚合示例,服务器端的代码是免费提供的,第二还提供驱动和函数库,编程上用的。还有可以通过ACTIVIX在浏览器上实现认证,还提供各种编程语言的示例代码。并且对于运营商还提供批量的初始化工具。我介绍的内容主要就是这些,非常希望能够与游戏各个行业达成协作,一起探讨在USB KEY游戏身份识别领域的应用,谢谢大家。(赛迪网提供)
各位朋友、各位来宾,大家好。我是飞天诚信公司的信息安全产品部的经理,今天主要给大家介绍的内容有以下几点,一个主要介绍的是网游中的身份安全问题,这也是大家比较关注的问题。介绍的是我们的一个解决方案,就是USB KEY和它如何在网络游戏中使用,最后给大家介绍一下我们公司的背景。
身份认证困扰着网络游戏,61%的玩家有过装备或者物品被盗的经历,还有是帐号被人盗取了,也有33%的玩家有过游戏帐号被盗的经历。对于游戏运营商朋友来说,还存在着一个游戏的私服泛滥,私服的话钱就收不到运营商的手上了。几乎所有的游戏运营商都会遭遇私服的困扰。我们说这些问题的根源在哪里呢?为什么会产生这个问题?主要是因为身份认证手段的缺失,没有办法来保证游戏用户和身份认证,能够保证身份识别。现在我们常用的大家熟悉的身份识别的几种方式,一个是用户名和密码。现在游戏大部分是使用用户名和密码这种方式,还有是使用动态令牌,可能有些游戏运营商像盛大也做过一些使用动态令牌,就是一个小设备根据时间不同会显示动态的密码。还有一种识别方式是我们说的生物特征识别,像指纹识别等等。这些识别方式都存在一定的问题,用户名和密码大家很熟悉了,密码肯定非常容易泄露,一切的问题都是出现这里的。动态令牌安全还是可以的,但是整个系统实施的成本比较高,使用起来玩家在使用时必须根据动态令牌上产生的密码输入电脑,如果输入错的话还要再重新输入,动态令牌和服务器可能会产生对应时间不一致,使用非常不方便。生物识别还不是很成熟,使用成本比较高,一般是用在比较高级的安防系统上的,每个网络游戏玩家花几千块钱买一个指纹识别器这也不太现实。在现在电子商务、电子政务上最流行、最常用的识别方式就是USB KEY,对于客户端来说经济方便,使用单个成本比较低,安全强度是基于现代密码学的,安全强度也比较高。
下面介绍一下什么是USB KEY?USB KEY是USB接口的电子钥匙,大家看这张图,很像U盘,其实不是U盘,它有哪些特点呢?第一个有PIN码的保护,要有卡,还要有密码才能取钱,如果只有卡没有密码或者是只有密码没有卡也是不能取钱的。USB KEY具有安全的存储空间,可以把用户的机要存储进去,不会被黑客或者是其他软件盗取。第三是基于硬件的密码算法,它带有CPU可以进行运算,这里跟大家介绍的是MD5-HAC,是一个不可逆的数据指纹算法,这里有一张图,比如有一段数据和密要,经过MD5-HAC算之后会产生一个数据摘要,这就相当于这个密要和数据的指纹。我们来看一个变化,如果说这个数据有一位产生改变的话,这个数据摘要所有的位数都会产生变化。如果数据里的一两位对调或者是位子变化了,数据摘要也是完全变化的。如果说数据长度增加或者是减少了,数据摘要也是完全变化的。数据是这样的,同样对于加密数据的密要也是这样的,如果密要任何一位发生改变,整个数据摘要也会全部发生改变的。并且这个算法是不可逆的,如果有一个数据摘要需要得到原始的数据和密要就什么也得不到了。
USB KEY认证的流程是怎么样的呢?首先看它是一个基于冲击响应的强双因子认证,有服务器和玩家的电脑。一般来说玩家的帐号信息等等是存在认证服务器的数据库里的,这里我们用一个USERID、USER KEY,玩家登录是插入USB KEY,客户端会向服务器端发出这个请求我要登陆,就传到认证服务器了,认证服务器得到请求以后就会产生一个随机数,之后通过网络再传输到玩家电脑这一边,这个随机数是传到USB KEY。第三步是服务器和USB KEY分别进行密要的运算。服务器的数据库里是安全的,随机数是由服务器产生的,服务器进行随机数和用户密要形成的摘要叫RH,如果玩家进入电脑的话这个运算是在USB KEY进行的,最后声称的结果叫RC,第四步就比较这两个的结果,中间运算的结果通过网络传送到服务器,服务器比较这两个结果是否相等。在认证的流程过程中用户的密要是不出现在网络上,也不出现在客户端玩家电脑内存当中,这样所有的****或者是木马软件都无法截取用户的密要,每次运算都是由服务器产生的随机数验证的,所以每次运算的结果都不一样。下一次即使截取到中间认证的结果,截取到随机数,但是下一次随机数不一样了,就不能模拟真实用户的身份,这就是我们所说的USB KEY认证的流程。
USB KEY如何运用到网络游戏运营模式中呢?通过USB KEY可以实行双向认证,拒绝私服,这一点也是游戏运营商非常关心的问题。游戏运营商在使用的过程中,对每个用户有一个用户名,现在一般是一个用户名、一个密码,在这个体系中我们希望增加一个Server KEY,就是游戏服务器的一段特征密码,我们把这三个信息写入到USB KEY里去以后,把这三个信息都存到USB KEY里。这时玩家通过游戏的销售渠道买到USB KEY,这时玩家如果要登陆这个游戏的话就把USB KEY插入电脑里,先验证服务器是不是玩家的服务器,ServerKEY是否有效,如果ServerKEY有效时再从数据库里取出USERID和USER KEY是不是有效。因为私服没有运营商的特征,客户端就不能登陆到服务器上。
基于USB KEY游戏的运营,现在游戏运营的模式像这张图一样,运营商是一边,所有的玩家大部门是通过用户名和密码的方式登陆的,这是一个单向的登陆方式。这时运营商可以使用USB KEY,在USB KEY里存入游戏的信息。这个KEY可以登陆哪个游戏,但是并不指定那个玩家的帐号。这样玩家在通过销售渠道买到USB KEY时,可以通过游戏客户端或者是在网络上,这时USB KEY是存有游戏的特征,这时玩家可以把他的帐号、用户名、密码转化为USB KEY里任何的USERID、USERKEY,原来单向的登陆模式就转变成双向的登陆模式了。可能我们的游戏刚刚发布时大家都是用用户名、密码,很多人来使用,在这个过程当中有一部分用户、玩家会投入大量的精力、时间购买或者是得到网络上的虚拟财富,这时就需要一个产品来保护他的帐号和装备。这样可以通过后期加入USB KEY来保证这一部分玩家的利益。其他普通的玩家或者是新手还可以通过用户名、密码的方式进入,你可以用硬件来登陆或者是直接用用户名、密码登陆。这样还会产生一个问题,刚才说的情况是一个游戏运营商他手上的游戏可以使用这种方法。但是如果一个玩家使用好几种游戏,他要玩的话需要带一大把的KEY,这时就需要有一个**的管理机构或者是游戏的中间机构由它来管理USB KEY,跟每一个游戏厂家的每一个游戏分配游戏的ID,这样在一个KEY里就有多个游戏的ID。这样玩家买到这样一个KEY可以通过跟不同的游戏绑定,一个KEY可以绑定盛大的游戏,也可以绑定九城的游戏。这些是USB KEY跟网络游戏运营的一些模式。我们飞天诚信公司主要是做信息安全的,对咱们游戏这个行业不是非常熟悉,所以我提到的这些具体的运营方式可能还有待于跟大家一起探讨。
下面简单介绍一下我们的飞天公司,我们是技术研发主导型民营高科技企业,主要是在做自己的产品。一个我们有强大的软硬件的研发实力,我们是国内从99年开始推出USB KEY,这是在电子商务、电子政务领域应用非常广泛的。我们有从硬件、从操作系统到驱动程序和中间件完整的产品技术,从软到硬的技术都是我们自己设计的。而且我们全线产品的驱动程序是获得了WindowsXP的认证,这也是通过微软的测试。还有一个比较有特点的,所有的硬件产品都支持Windows和Linux、***各种不同的客户端,这在国内主要还是Windows平台,如果是国外的话Linux和***的平台终端用户也非常多,我们的软硬件都支持各种平台。飞天立足国内建立了放眼世界的营销策略,我们公司很早就开始进行国际化的运营。一方面紧随国际的产业政策,研发了具有自主知识产权的产品,第二这些产品都是根据国际上最新的技术标准研制的。并且我们非常早就建立了全球的营销体系,我们的产品现在出口全世界30多个国家和地区。下一页是我们产品销售的分布图,现在国外的销售额占到我们的25%,飞天公司是做安全产品的,主要是有一些安全产品的资质,第一个是上海电子商务认证中心产品测试的证书,第二个是CFCA,中国金融认证中心的产品认证测试证书,这是招行和工行的网上银行使用我们的产品。第三个是这个产品通过中国金融IC卡认证的证书,这也是银行领域使用的。第四个是军用产品安全认证证书,我们这个产品可以在军队行业使用。接下来是在电子政务领域商用密码产品我们是生产定点单位,还有一个是销售许可单位,这些都是行业里要用的证书。我们是微软的合作伙伴,去年微软2003发布会使用演示的唯一一家第三方产品使用的就是我们USB KEY卡登陆的。这就说明飞天公司产品的技术。介绍一下飞天USB KEY家族,有一个EPASS2000,这个产品主要是基于高强度智能卡的,这主要是银行和军队应用的。还有一个是EPASS1000,这个成本非常低,最终通过渠道商发到用户手上最终玩家只需要50块钱左右的成本。还有一个EPASSND这是无驱型的产品,特别使用于网吧使用。它也支持我们刚才说的冲击响应认证,里面有多级的文件系统可以对不同的游戏建立不同的目录,支持多个游戏。有1.2K的存储空间。一般的游戏认证存储只需要上百个字节,USB KEY可以支持多个密要的存储。这个产品怎么使用呢?我们提供简便的集成方式,通过EPASS SDK这里面包含USB KEY可以使用的样品,欢迎大家向我们索取。这个样品可以用于开发和测试。还有包里有全套的安全产品的文档,包括产品的技术细节、编程函数的说明,还完善的开发共聚合示例,服务器端的代码是免费提供的,第二还提供驱动和函数库,编程上用的。还有可以通过ACTIVIX在浏览器上实现认证,还提供各种编程语言的示例代码。并且对于运营商还提供批量的初始化工具。我介绍的内容主要就是这些,非常希望能够与游戏各个行业达成协作,一起探讨在USB KEY游戏身份识别领域的应用,谢谢大家。(赛迪网提供)
【来源:】
关于年会的新闻
- (2026-05-30) 第二届中国游戏与电竞研究年会在京召开
- (2026-05-29) 冯骥与网友互动:透露了《黑神话:钟馗》的最新进展
- (2026-02-18) 年会停了,但没人怀念它
- (2026-02-17) 这个春节,机器人疯狂打工
- (2026-02-16) 18岁CEO爆火后现状 想回母校看看把年会推迟到3月
