动态密码：自己的“锁”必须自己做

网络信息安全，事关重大。上海众人网络安全技术股份有限公司，开发出了中国首批采用国产算法的动态口令身份认证产品。回顾5年艰辛，总裁谈剑峰无怨无悔——

自己的“锁”必须自己做

文汇报记者 许琦敏 2012-08-17头版

　　密码，是守护信息安全的一道重要“门禁”。往大处说，它事关一个国家的信息安全。密码必须依靠本国研发。

　　谈剑峰曾是网游《魔兽世界》的玩家，在账号被盗的恼怒中，他意识到密码由本国研发的重大意义，也看到了相关国产产品潜在的巨大市场。他开发出了中国首批采用国产算法的动态口令身份认证产品，并推动制定了这一领域的国家标准。

　　一代比一代更先进、更安全可靠，动态口令认证产品不断从他成立不过5年的年轻公司不断涌现，走进中国的金融、网络运营、教育、医疗等关系到国计民生的重要部门；那个“小令牌”也随着网上银行、网络游戏等等走入千家万户。

　　

冲冠一怒为盗号

　　这位总裁年轻，还不足40岁，而他公司研发的产品，已足以媲美全球公认的动态口令技术翘楚美国RSA公司。

　　他曾是名震互联网的“绿色兵团”的创始人之一，当时才20出头。随后，他创办过生活网站51QQ，不久被一家美国公司收购。再后来，他去香港做投行。2006年回到上海，他给自己放了一年假，做起网游《魔兽世界》的玩家。

　　玩《魔兽世界》得组织团队，玩着玩着，谈剑峰的不少团队伙伴被盗号，价值上万的装备瞬间蒸发——他说那种心痛和无助感，就好像一个大力士突然变得手无缚鸡之力。

　　做技术出身的他，开始思考网游账号的安全问题：“账号+静态密码”的安全级别太低，随便一个木马就能轻松盗取。放眼当时的中国，绝大多数网站都和网游一样，存在被盗号的风险。

　　通过密码登录账户，密码可能被盗，那用U盘数字证书？木马也能窃取，而且用起来不够方便。用指纹、视网膜识别技术？万一放在服务器上的生物信息库被攻陷呢？看来也不靠谱。谈剑峰最终认定，用动态口令相对最安全。

　　“当时，国外银行已经大量使用动态口令技术。”他解释，所谓动态口令，就是用户手上有一个“小令牌”，小令牌根据特殊的密码算法，每过1分钟产生一个新密码，用户凭这个密码登录。1分钟更新一次密码，最大程度降低了安全风险，静态密码没法跟它比。

　　那时这个领域还没有中国产品，人们还津津乐道于数字证书的“万无一失”。谈剑峰决定开始又一次创业。

　　

密码非用国产的不可

　　此番创业，谈剑峰经历了好几次峰回路转——

　　找投资是第一件痛苦事。2007年9月众人科技成立时，100万元的注册资金是谈剑峰自掏的腰包，当时国内投资机构对“动态密码”几乎没有概念，不敢投钱。为了公司发展，他不断向朋友、朋友的朋友借钱，用公司股份来折价，“今年公司注册金已达到6000万元，全是私人投资。”谈剑峰说非常感激他的团队：2010年，公司资金曾经难以为继，一连3个月发不出工资，但没有一个员工因此离职。

　　“跑衙门”是第二件痛苦事。密码产品受国家严格管控，必须获得一系列国家资质，而当时中国在这一领域的标准是空白。为了获得国家相关机构认可，他带着团队经历了无数次技术论证、检验。终于在2009年初，众人科技拿到了国家密码管理局动态口令类产品资质企业的第一张许可证。

　　此后，众人科技作为组长单位参与了国标GM“动态口令认证密码应用技术规范”的制定；去年又被工信部遴选为全国基于安全可控软硬件产品云计算解决方案供应商，在首批入选的11家企业中，它是唯一一家做身份认证的。

　　“经历这些痛苦，都是因为我坚持用国产算法，但我坚持对了！”谈剑峰说，很多国内厂家为了快快来钱，都直接用国外算法和国外标准做产品。在他看来，这是对国家的信息安全不负责任。

　　“我们用的操作系统已经是国外的了，难道连密码技术也要用国外的？”他说，网上银行、网上购物、网上数据存储等，如同建在地基上的一座座房子，地基就是操作系统——地基里有多少暗道，我们无法控制，那就必须在房子通往地下室的门上“加一把自己的锁”。

　　“以色列的密码技术世界第一，可它不允许出口，也不允许进口密码技术；美国对密码技术出口有严格管控，进口则同样不允许；各大跨国公司无论在什么地方设立分公司，都一律用本国的密码技术产品。”他有点激动地说，中国能没有采用自己的国产算法的动态密码产品吗？！

　　他坚持用国产算法设计加密程序，坚持自己设计安全芯片、做密码令牌……在上海青浦，众人科技有3000多平方米的厂房，自行设计的全自动化生产线即将投产，而这个行业的全球老大美国RSA公司还只能半自动化生产。

　　

有键盘处就有市场

　　“这是未来的信用卡。”谈剑峰递给记者一张样子有点怪异的信用卡——除了卡号、磁条、IC芯片，卡上多了个电子墨水的小显示屏，显示的正是动态口令。

　　谈剑峰说，虽然做全线产品很辛苦，但能让研发团队的灵感和创造力发挥得淋漓尽致。“我们通过合作，采用独特的封装技术，把薄如纸张的电池、晶振（用来计算时间）、芯片、显示屏做在了一张信用卡上，而且卡片能满足弯曲45度、可用机器清洗的国际标准。”他告诉记者，把核心元件做到这样，就能把动态密码身份认证技术应用于工作卡、出入证、信用卡等各种载体，市场将更宽广。

　　同时，他们研发的超低功耗安全芯片还能装进手机、电脑等。

　　“我的目标是，有键盘的地方就有我们的密码产品。”谈剑峰对未来充满信心。更让他底气十足的，是他于2008年在全球首创的“挑战应答”技术。一般的动态口令技术，是用一个代表持有者身份的数值加上一个由时间赋值的函数来产生密码——这还不够安全，因为一旦密码被钓鱼网站截获，黑客很可能会在1分钟内登录账户……

　　谈剑峰带领团队设计出一种更安全的办法：再增加一个用户联络方的值。比如，A要通过网银转账给B，就在动态令牌上输入B的银行账号，如此产生密码。这样，银行根据解密信息，只可能把钱转到B的账户上，即使C截获密码，钱也不会转到C的账户。

　　他相信，在网络上，只有更安全，没有最安全。在未来的云计算、物联网、移动互联时代，他选择的保障信息安全的身份认证之路会越走越宽。