关于“将军令”工作原理与算法思想的研究的论文.doc

关于“将军令”工作原理与算法思想的研究的论文.doc关于“将军令”工作原理与算法思想的研究的论文摘要: “将军令”是每隔 1min 产生一个全新的、不能重复使用的密码(6位) ,用来保护网易通行证( 游戏账号) 、直销商账号的密码。文章根据作者的研究,阐述了几种可行的“将军令”的工作原理与算法思想。关键词:将军令;动态密码;原理;算法“将军令”是广州网易互动娱乐有限公司自主研发的、具有完全知识产权的高科技身份认证产品,专门用来保护网易通行证( 游戏账号) 、直销商账号的密码。“将军令”是每隔 1min(60s) 产生一个全新的、不能重复使用的密码(6位) ,俗称“动态密码”。采用“将军令”后,网易以“账号+ 密码+ 动态密码”的形式对游戏 id 进行保护,大大提高了账号的安全性。对于将军令的工作原理,很多人提出自己的设想,笔者也就自己的研究,进行如下阐述。“将军令”的实际工作流程很简单:即用户端(“将军令”本身) 产生一个动态密码,然后将这个动态密码和服务器端进行匹配。由于用户端在出厂之后,同服务器端就再没有物理上直接的联系,因而,如何与服务器端保持逻辑上的同步是最大的问题,即如何保证用户端产生的动态密码与服务器端验证的动态密码是一个密码。 1 第一种设想在“将军令”内置微型芯片,里面保存大量“以6 位数字为一组”的预定数组(6 位数字动态码) ,每 60s 自动读取下一组新数组, 数组的排列顺序无规律并无一相同,但全部已经预先存放好,利用循环模式,当读完最后一组数后便从头再开始读取第一组数组。主机服务器端也同样预先存放好同样的数组列,启用“将军令”时以序列号来识别该取用哪一条数组列。. 这种方法是一种最易实现的方法,但这也是一种最易被破解的方法,安全性较低。 2 第二种设想这种设想是利用算法来实现动态密码的产生。算法思想 1 :用户端在出厂时就植入一个算法,这个算法同样会被保存在服务器端。这个算法不一定要很复杂,比如 f(x)=ax+b , x 最好是一些独特的,各个“将军令”都不重复的数字,比如“将军令”的序列号等。 a 可以是一个固定的数字,而 b 可以是一个动态变化的数字,如第 1 次产生动态密码, b 就为“ 1”;第 2 次产生动态密码, b 就为“2 ”……算法思想 2 :用户端产生的动态密码是一个与时间有关的动态密码,即密码 m 与时间 t 之间存在着关系: m=rand(tx) , rand() 为随机函数, tx 为随机函数的种子, x 为另一因素,比如“将军令”的序列号等。这里, x 是一个服务器端已知的变量,出厂时就已经设定了, 最大的可能是“将军令”的序列号所对应的一个因子,在生产“将军令”写入初始数据的时候,同时被植入用户端和服务器端,由于每个“将军令”的序列号是唯一的,因而,拿不到“将军令”就无法知道 x ,也就无法知道动态密码 m。显然,只有因子 x 是不够的, m=rand(x) 是可以产生一个密码 m ,但这个密码 m 显然无法动态变化,也就失去了意义,因而时间因子 t 也同样不可缺少。但是,引入时间因子 t 之后,又将产生一个问题:就是用户端和服务器端时间同步的问题。时间同步的同题,笔者认为可以这样解决:服务器端固定 t0, 引入因子△ t ,服务器端植入△ t,△ t 为用户端时钟同服务器端时钟之差,即△ t=t3-t1 这样,用户端的密码 m=rand(t3x