质询-响应

哪些技术能够取代传统的静态密码（用户名+密码），有效的防止账号盗用，从而保护玩家的利益呢？与动态口令和指纹等生物特征识别相比，基于USB Key的网上身份识别更加方便和安全。

目前，大部分网游玩家的身份识别还是仅仅通过用户名和密码进行验证，所有这些信息在输入时都可能被木马病毒截取，网页的历史记录中也能发现用户名和密码信息。任何人只要知道了该玩家的用户名和密码，就可以操作他的账户，买卖他的虚拟资产。如果采用了USB Key，则在玩家登录和买卖装备时都会进行基于加密算法的身份识别。USB Key采用随机“质询-响应”机制，网络服务器所要求回传的认证信息代码（MAC）是木马病毒无法模拟的，因此它无法通过合法身份认证，从而无法登录到网络服务器上。

随机“质询-响应”机制
如图1所示，USB Key通过随机“质询-响应”机制实现网络服务器对网游玩家的身份合法性认证。USB Key内置MD5（信息摘要算法5）或SHA-1（安全散列算法1）等加密算法，预先在USB Key和网络服务器中存储一个证明用户身份的密钥。登录时，先由用户向网络服务器发出一个验证请求，服务器接到此请求后生成一个随机数回传给用户PC上插的USB Key，称为“质询”。USB Key使用该随机数与存储在USB Key中的密钥进行加密运算，得到的结果MAC作为认证证据传送给服务器，称为“响应”。同时，网络服务器使用该随机数与存储在数据库中的客户密钥进行加密运算，如运算结果与用户传回的响应结果相同，则认为该用户是合法的。

图1  随机“质询-响应”机制认证流程

采用这一机制，由于能够证明用户身份的密钥既不在网络上传输也不在客户端电脑内存中出现，所以网络上的黑客和用户PC中的木马程序都无法得到这一密钥。此外，由于每次认证过程使用的随机数和运算结果MAC也都不一样，所以，即使网络传输的过程中这些数据被截获，也没有再利用的价值。

不过，能不能通过这些数据逆推出用户的密钥呢？在身份识别的过程中，所采用的加密算法均为不可逆运算，即无法从随机数和MAC推出隐含的密码。这就从根本上保证了网上身份识别的安全性。

MD5和SHA-1算法
MD5和SHA-1是目前应用最广泛的单项散列函数加密算法，这两种算法的结构和强度等特性有很多相似之处。

如图2所示，以SHA-1算法为例，其输入数据共512位，包括64位密码和共448位的输入信息（由变量、随机数和常数组成）。SHA-1算法由32位不带进位的加法、逻辑运算和循环移位等组成。循环计算80次后，得到的运算结果MAC为160位。

图2 SHA-1算法计算模型

除了不可逆性，SHA-1算法还有以下两个特点。

● 抗冲突性：对于特定MAC，难以找到两个不同的输入信息。

● 高雪崩效应：输入的任何变化都会使MAC产生巨大的变化。

MD5算法与SHA-1算法最大的区别在于：其MAC为128位，循环次数为64次。相对而言，SHA-1对抗强行攻击的强度更大，而MD5的运行速度较快，可以根据信息安全要求的不同级别灵活的选择这两种算法。

图3 基于SHA-1算法的USB Key结构图

基于加密算法的USB Key
如果以达到更高的安全性为目的，可以设计采用SHA-1算法的USB Key进行网游玩家的身份识别。图3是基于SHA-1算法设计的USB Key电路示例。其中CP2101是USB转UART的单芯片桥接器，DS28E01-100是Maxim公司的SHA-1器件，内置512位SHA-1引擎，1024位受SHA-1保护的EEPROM存储器。每个SHA-1器件具有唯一的64位ROM ID，使得每个器件加载唯一的密码成为可能，实现了系统的安全性不依赖于单个器件