ePass-網游安全新方案簡介

2019-11-04 21:54:24

字體：大中小

來源：轉載

供稿：網友

    網絡游戲安全背景

    游戲日益盛行，隨著網絡精品游戲不斷推出，更多的玩家進入到網絡虛幻世界。一個修煉了許久的帳號不僅僅是玩家時間精力的堆積，同時也是大筆資金的投入。尤其有許多人用現實社會中的貨幣去購買網絡世界中的裝備與物品，獲得一個高等級的帳號。或者用自己游戲中的物品或者高等級帳號去換現實社會的貨幣。這更增加了人們對游戲的重視。現在許多游戲玩家最關心的是其帳號的安全性的問題。例如：密碼位數太少，輕易被猜測、或通過專門軟件在短時間內窮舉出來；而位數多又不輕易記憶易被遺忘。或者多個帳號為了便于記憶用一個密碼等等……

    據相關報告顯示，我國有61%的玩家經歷過裝備和虛擬物品被盜，被盜號的占33%，被黑客攻擊的占6%。各種木馬更是無孔不入，如通過QQ、ICQ、電子郵件、網站主頁、部分插件等，隨時都有可能侵入玩家的電腦，93%被盜玩家都是受到了木馬程序的攻擊。

    帳號密碼被盜，根源在哪里？除了個人的警惕心不強外，主要還是由于游戲帳號的密碼設定不夠科學和認證手段不夠安全導致的。游戲業內的安全專家也在積極的探索一個行之有效的解決方案。

    淺析目前幾種主要認證方式

    靜態密碼認證

    我們現在常用的密碼認證方式，就是靜態密碼認證，作為一種低成本、方便的使用形式，此種方式在網絡應用中很普遍。但是由于"密碼"和"用戶名（或者帳號）"作為軟性標識，在網絡中明文傳輸，存在許多弊端和安全漏洞，如用戶名和密碼輕易忘記或者被他人有意或無意獲取、認證信息可被竊聽、多人共用一個帳號帶來安全隱患、名目繁多的 "專業"密碼破譯工具以及冒名頂替等等。因此只是適合一些安全性要求不高，即使丟失被他人使用或盜用也不會產生巨大損失的應用中。

    動態密碼認證

    這是一種新型的密碼認證的改進型。是為了彌補靜態密碼認證中，靜態口令設置復雜不輕易記憶以及輕易被別人獲取的缺陷。認證中用戶口令是動態改變的，一般會發給用戶一個令牌，上面顯示的數字是隨時間變化的。這串變化的數字就是用戶進入系統的口令。該系統由用戶端的密碼卡和應用系統端的認證服務器組成。用戶登錄應用系統時，依據安全算法，認證系統會在密碼卡的專用芯片和認證服務器上同時生成動態密碼，經過比較，若雙方密碼相同，則為合法用戶，否則為非法用戶。動態口令卡解決了服務器端認證用戶端的身份認證，但是不能反向認證即用戶端認證服務器端身份。同時有一個時間同步的問題，假如用戶端與服務器端之間時差很大或者網絡速度較慢，客戶就會因為網絡延遲而無法登錄到服務器。

    USB Key認證

    ePass網游防盜鎖采用的是國際先進的USB技術和算法加密認證技術，其硬件構成是一個由CPU、安全存儲器及運行在其上的智能微系統組成，只要把游戲玩家的帳戶和密碼信息以密鑰形式存入防盜鎖中，在使用過程中密鑰信息永不出鎖，實現真正意義上的保護。這是因為，用于身份認證的帳戶信息和密鑰是設定為不可直接讀取，外部應用只能送入計算所用的輸入因子，而整個計算過程完全在ePass網游防盜鎖內的CPU完成，只將計算的結果傳到外部應用。這樣密鑰就絕對不可能被外部的黑客程序偵聽到，并且密鑰計算的是不可逆算法，也無法通過計算結果倒推出密鑰的值，而傳到ePass網游防盜鎖外部的計算結果也會隨著每次輸入數據的不同而變化，即使記錄每次認證計算的值也無法達到冒用身份的目的。

    ePass功能特點

    1、雙因子認證

    每一個ePass防盜鎖都具有硬件PIN碼保護，PIN碼和硬件構成了用戶使用防盜鎖的兩個必要因素，即所謂"雙因子認證"。用戶只有同時取得了鎖和用戶PIN碼，才可以登陸游戲平臺系統。即使用戶的PIN碼被泄漏，只要用戶持有的防盜鎖不被盜取，合法用戶的身份就不會被仿冒；假如用戶的鎖遺失，拾到者由于不知道用戶PIN碼，也無法仿冒合法用戶的身份，假如非法使用者輸錯PIN碼次數超過規定的限制，則防盜鎖便會處于鎖定，此后即便輸入正確的PIN碼也無法正常使用。。

    2、帶有安全存儲空間

    ePass防盜鎖具有的安全數據存儲空間，可以存儲游戲玩家帳戶信息和密鑰等秘密數據，外部應用對其上的存儲器所存的數據訪問都要通過智能微系統的判定，只有權限相符才答應訪問。這樣就能實現真正意義上的保護，杜絕了復制客戶身份信息的可能性。

    3、硬件實現加密算法

    ePass防盜鎖內置CPU或智能卡芯片，可以實現PKI體系中使用的數據摘要、數據加解密和簽名的各種算法，加解密運算在鎖內進行，保證了用戶密鑰不會出現在計算機內存中，從而杜絕了用戶密鑰被黑客截取的可能性。

    4、便于攜帶，安全可靠

    如拇指般大的ePass防盜鎖非常方便隨身攜帶，可直接穿到鑰匙鏈上，迎合了追求時尚玩家的心里。鎖的硬件不可復制，存于ePass網游防盜鎖存儲器上的數據與對應的硬件進行了綁定加密，即便拆換兩只同型號的ePass網游防盜鎖存儲器也不能正常工作，使拆片破解的方法也無法復制ePass網游防盜鎖內的信息，因此更顯安全可靠。

    ePass認證過程

    應用ePass防盜鎖進行認證的全過程可簡單由以下關系式來表示

    ePass( X , K ) = Server ( X , K)

    其中 X 代表由服務器提供的隨機數，而 K 則代表密鑰，ePass (X, K) 代表是插在客戶端的 ePass 防盜鎖所進行的運算，Server ( X , K) 代表是服務器程序的運算。而等式兩端的 K 并不在客戶端計算機中出現，也未直接在網上發送，這就是認證方案安全的根本。

    驗證流程如下圖所示：

    認證流程分步示意圖：

    客戶端接插ePass防盜鎖硬件，服務端使用ePass防盜鎖體系軟件

    1. 客戶機首先向認證服務器發出登錄請求。認證服務器則通過用戶名（或者用戶ID）便可從用戶數據庫中取出相應用戶的密鑰。

    2. 當認證服務器收到客戶的登錄請求后，便向客戶機發送一個隨機字符串，此串最終送入客戶機的ePass防盜鎖中用于計算。與此同時，認證服務器則根據用戶名取出對應的密鑰并利用發送給客戶機的隨機串X，在服務器上用加密引擎進行運算，得到運算結果Rh。

    3. 客戶機將此隨機串X傳入ePass鎖，ePass鎖則利用此串與內置在其中的密鑰文件通過硬件加密引擎進行運算，也得到一個運算結果，將此運算結果可直接在網絡中發送給認證服務器。

    4. 認證服務器比較兩運算結果Rh(服務器) 與Rc（客戶機）是否相同，便可確定一個網絡用戶的合法性。

ePass-網游安全新方案簡介

    運營模式分析

通過以上對ePass防盜鎖的功能以及技術描述，表明了防盜鎖在游戲行業應用是可行并且必要的，它不僅讓游戲玩家有了保護自己財富的工具以及身份認證的利器，而且對于游戲運營商來說，減少了客戶的投訴，增加了利潤增長點，也體現了運營商對高端客戶的細致關懷，提高了服務質量。結合游戲行業的現行模式，我們提出以下推廣的運營模式：(身份認證+點卡功能)運營流程：

    游戲運營商：

    1. 初始化防盜鎖,修改SO PIN，以此來區分用戶使用的防盜鎖是該游戲運營商頒發的。

    2. 創建UserID和密碼，并存于防盜鎖中。

    3. 把UserID和密碼存入Server數據庫中,以備驗證和恢復使用。

    游戲用戶：

    1．通過游戲運營商客戶治理部門或點卡銷售渠道，購買防盜鎖。

    2．登陸到游戲運營商的游戲治理平臺，申請游戲帳號GameID，設置游戲密碼,并把GameID和密碼存入防盜鎖中，Server也留存以供用戶登陸和充值使用。有多個游戲，就申請多個GameID和密碼。

    充值流程：

    1. 用戶端購買回來充值卡，登陸游戲治理平臺，選擇充值選項，選擇要充值的GameID。

    2. 用戶端填入充值卡卡號信息，與用戶的UserID一起發送給服務器端，服務器端發出隨機數R1，請求驗證。

    3. 用戶端把隨機數R1和用戶密鑰文件哈希形成摘要，傳給服務器端。

    4. 服務器端也用隨機數R1和保存的用戶密鑰文件進行哈希，對比得到的摘要，相同就把充值卡的點數信息存入UserID的GameID名下。

上一篇：VPN技術方案篇--30篇（一定有你要的方案）

下一篇：福祿克公司的 OptiView 網絡分析解決方案