ePass-网游安全新方案简介

2019-11-04 21:54:24

字体：大中小

来源：转载

供稿：网友

    网络游戏安全背景

    游戏日益盛行，随着网络精品游戏不断推出，更多的玩家进入到网络虚幻世界。一个修炼了许久的帐号不仅仅是玩家时间精力的堆积，同时也是大笔资金的投入。尤其有许多人用现实社会中的货币去购买网络世界中的装备与物品，获得一个高等级的帐号。或者用自己游戏中的物品或者高等级帐号去换现实社会的货币。这更增加了人们对游戏的重视。现在许多游戏玩家最关心的是其帐号的安全性的问题。例如：密码位数太少，轻易被猜测、或通过专门软件在短时间内穷举出来；而位数多又不轻易记忆易被遗忘。或者多个帐号为了便于记忆用一个密码等等……

    据相关报告显示，我国有61%的玩家经历过装备和虚拟物品被盗，被盗号的占33%，被黑客攻击的占6%。各种木马更是无孔不入，如通过QQ、ICQ、电子邮件、网站主页、部分插件等，随时都有可能侵入玩家的电脑，93%被盗玩家都是受到了木马程序的攻击。

    帐号密码被盗，根源在哪里？除了个人的警惕心不强外，主要还是由于游戏帐号的密码设定不够科学和认证手段不够安全导致的。游戏业内的安全专家也在积极的探索一个行之有效的解决方案。

    浅析目前几种主要认证方式

    静态密码认证

    我们现在常用的密码认证方式，就是静态密码认证，作为一种低成本、方便的使用形式，此种方式在网络应用中很普遍。但是由于"密码"和"用户名（或者帐号）"作为软性标识，在网络中明文传输，存在许多弊端和安全漏洞，如用户名和密码轻易忘记或者被他人有意或无意获取、认证信息可被窃听、多人共用一个帐号带来安全隐患、名目繁多的 "专业"密码破译工具以及冒名顶替等等。因此只是适合一些安全性要求不高，即使丢失被他人使用或盗用也不会产生巨大损失的应用中。

    动态密码认证

    这是一种新型的密码认证的改进型。是为了弥补静态密码认证中，静态口令设置复杂不轻易记忆以及轻易被别人获取的缺陷。认证中用户口令是动态改变的，一般会发给用户一个令牌，上面显示的数字是随时间变化的。这串变化的数字就是用户进入系统的口令。该系统由用户端的密码卡和应用系统端的认证服务器组成。用户登录应用系统时，依据安全算法，认证系统会在密码卡的专用芯片和认证服务器上同时生成动态密码，经过比较，若双方密码相同，则为合法用户，否则为非法用户。动态口令卡解决了服务器端认证用户端的身份认证，但是不能反向认证即用户端认证服务器端身份。同时有一个时间同步的问题，假如用户端与服务器端之间时差很大或者网络速度较慢，客户就会因为网络延迟而无法登录到服务器。

    USB Key认证

    ePass网游防盗锁采用的是国际先进的USB技术和算法加密认证技术，其硬件构成是一个由CPU、安全存储器及运行在其上的智能微系统组成，只要把游戏玩家的帐户和密码信息以密钥形式存入防盗锁中，在使用过程中密钥信息永不出锁，实现真正意义上的保护。这是因为，用于身份认证的帐户信息和密钥是设定为不可直接读取，外部应用只能送入计算所用的输入因子，而整个计算过程完全在ePass网游防盗锁内的CPU完成，只将计算的结果传到外部应用。这样密钥就绝对不可能被外部的黑客程序侦听到，并且密钥计算的是不可逆算法，也无法通过计算结果倒推出密钥的值，而传到ePass网游防盗锁外部的计算结果也会随着每次输入数据的不同而变化，即使记录每次认证计算的值也无法达到冒用身份的目的。

    ePass功能特点

    1、双因子认证

    每一个ePass防盗锁都具有硬件PIN码保护，PIN码和硬件构成了用户使用防盗锁的两个必要因素，即所谓"双因子认证"。用户只有同时取得了锁和用户PIN码，才可以登陆游戏平台系统。即使用户的PIN码被泄漏，只要用户持有的防盗锁不被盗取，合法用户的身份就不会被仿冒；假如用户的锁遗失，拾到者由于不知道用户PIN码，也无法仿冒合法用户的身份，假如非法使用者输错PIN码次数超过规定的限制，则防盗锁便会处于锁定，此后即便输入正确的PIN码也无法正常使用。。

    2、带有安全存储空间

    ePass防盗锁具有的安全数据存储空间，可以存储游戏玩家帐户信息和密钥等秘密数据，外部应用对其上的存储器所存的数据访问都要通过智能微系统的判定，只有权限相符才答应访问。这样就能实现真正意义上的保护，杜绝了复制客户身份信息的可能性。

    3、硬件实现加密算法

    ePass防盗锁内置CPU或智能卡芯片，可以实现PKI体系中使用的数据摘要、数据加解密和签名的各种算法，加解密运算在锁内进行，保证了用户密钥不会出现在计算机内存中，从而杜绝了用户密钥被黑客截取的可能性。

    4、便于携带，安全可靠

    如拇指般大的ePass防盗锁非常方便随身携带，可直接穿到钥匙链上，迎合了追求时尚玩家的心里。锁的硬件不可复制，存于ePass网游防盗锁存储器上的数据与对应的硬件进行了绑定加密，即便拆换两只同型号的ePass网游防盗锁存储器也不能正常工作，使拆片破解的方法也无法复制ePass网游防盗锁内的信息，因此更显安全可靠。

    ePass认证过程

    应用ePass防盗锁进行认证的全过程可简单由以下关系式来表示

    ePass( X , K ) = Server ( X , K)

    其中 X 代表由服务器提供的随机数，而 K 则代表密钥，ePass (X, K) 代表是插在客户端的 ePass 防盗锁所进行的运算，Server ( X , K) 代表是服务器程序的运算。而等式两端的 K 并不在客户端计算机中出现，也未直接在网上发送，这就是认证方案安全的根本。

    验证流程如下图所示：

    认证流程分步示意图：

    客户端接插ePass防盗锁硬件，服务端使用ePass防盗锁体系软件

    1. 客户机首先向认证服务器发出登录请求。认证服务器则通过用户名（或者用户ID）便可从用户数据库中取出相应用户的密钥。

    2. 当认证服务器收到客户的登录请求后，便向客户机发送一个随机字符串，此串最终送入客户机的ePass防盗锁中用于计算。与此同时，认证服务器则根据用户名取出对应的密钥并利用发送给客户机的随机串X，在服务器上用加密引擎进行运算，得到运算结果Rh。

    3. 客户机将此随机串X传入ePass锁，ePass锁则利用此串与内置在其中的密钥文件通过硬件加密引擎进行运算，也得到一个运算结果，将此运算结果可直接在网络中发送给认证服务器。

    4. 认证服务器比较两运算结果Rh(服务器) 与Rc（客户机）是否相同，便可确定一个网络用户的合法性。

ePass-网游安全新方案简介

    运营模式分析

通过以上对ePass防盗锁的功能以及技术描述，表明了防盗锁在游戏行业应用是可行并且必要的，它不仅让游戏玩家有了保护自己财富的工具以及身份认证的利器，而且对于游戏运营商来说，减少了客户的投诉，增加了利润增长点，也体现了运营商对高端客户的细致关怀，提高了服务质量。结合游戏行业的现行模式，我们提出以下推广的运营模式：(身份认证+点卡功能)运营流程：

    游戏运营商：

    1. 初始化防盗锁,修改SO PIN，以此来区分用户使用的防盗锁是该游戏运营商颁发的。

    2. 创建UserID和密码，并存于防盗锁中。

    3. 把UserID和密码存入Server数据库中,以备验证和恢复使用。

    游戏用户：

    1．通过游戏运营商客户治理部门或点卡销售渠道，购买防盗锁。

    2．登陆到游戏运营商的游戏治理平台，申请游戏帐号GameID，设置游戏密码,并把GameID和密码存入防盗锁中，Server也留存以供用户登陆和充值使用。有多个游戏，就申请多个GameID和密码。

    充值流程：

    1. 用户端购买回来充值卡，登陆游戏治理平台，选择充值选项，选择要充值的GameID。

    2. 用户端填入充值卡卡号信息，与用户的UserID一起发送给服务器端，服务器端发出随机数R1，请求验证。

    3. 用户端把随机数R1和用户密钥文件哈希形成摘要，传给服务器端。

    4. 服务器端也用随机数R1和保存的用户密钥文件进行哈希，对比得到的摘要，相同就把充值卡的点数信息存入UserID的GameID名下。

上一篇：VPN技术方案篇--30篇（一定有你要的方案）

下一篇：福禄克公司的 OptiView 网络分析解决方案