最近经历些事情,心情不免波动。毕竟是整理以前的思绪,整理中多多少少会受到现在的事情影响。有这么一个词,公民意识,我以前闻所未闻,现在开始想了解了。慈善事业的黑幕不是现在才有,只不过我们还是用很单纯的心去想这批肩负着众多人希望和关心的善款能真的用于慈善,其实我们都像鸵鸟一样,遇到了事情之后并没有深究,这次的导火线只不过是一个姿色美女的炫富带动的仇富情绪。我们生活在一个很孤独的空间,因为来往行人匆匆,竟没有可信的。政府逐渐失去公信力,每一次的法律法规背后都是淋漓的鲜血,媒体也失去了公信力,每次出现危机,人们总是反其道而行之,如果没有南都,人们会彻底不相信这些媒体,食物出现的危机,仅仅是那些不法商人的不道德的血液吗?记得有个挚友在我很得意的时候和我聊老子的无为,在我很失落的时候和我聊那有为的儒学,当我很平静的时候,我忽然发现两个的迥异,朋友只是笑笑说,在不同的时候取你需要的就可以。记得前几年在新周刊上看到说阶层固化,财富的纵向流动大量减少,不同阶层的人纵向流动也在减少,不知道这是否也迎合了老郎说的美国人有美国梦,而中国人没有梦。有钱人想增值财富是不难的,而底层人却是很难的。回到狂想曲正题,此番的idea在08年诞生,idea是不会凭空产生的,毕竟我是个常人。看到一朋友手中的RSA tokenID,好奇的折腾了一段时间,发现似乎每隔一段时间,上面的6位数字会更新一次,后来经过了解,这个是RSA主推的双认证安全解决方案。其中的难点有2,一个方面是需要有同步的机制,一个独立的客户端的1分钟和服务器的1分钟是一致的,另一方面是要产生的相对随机的随机数。国内大部分的一次性密码解决方案以及很多公司用的双认证也是这个解决方案,包括那年我和TC面试人员谈到这里的时候,他们也用这个东西,一开始狡辩说这个是自己做的,后来出示给我之后发现了那个醒目的RSA的注册商标,当年的那个面试的人多少有点诧异。其实国外据我了解也只有几家公司有独立的算法,能保证同步与随机数的质量。而他们的基本算法都是基于数论中大质数分解的以及对应的哈希算法。如果我能做一个完全相似,但是核心算法不一样的产品是不是可行?对于双认证的这个想法,2000年左右的时候已经有人在paper中提出,后来RSA将其做成了自己的产品,并借助RSA这个良好的品牌做了自己的推广,获得了市场的强烈认可。进入中国,距我查的资料最早是和西北工大的一个实验室做的国产化的,专业一点应该叫做本地化的工作,直接的使用程序接口二次编程开发,并一直没有做原发性创新。据我了解,当时包括中国联通,中国银行等公司正在做这样的产品。这个双认证的产品策略拥用了多个安全产品的优点,一方面是有效性短另一方面使用了流密码的序列产生机制,并在实际的应用中有相对简单的操作,就相当于一个随机密码,简单的一个部件在很大程度上增大了安全的系数。在安全领域当中,无论多么繁杂的设计,都会有致命的漏洞,更加致命的是由于人的加入,会在很大曾度上削弱了安全工程的安全性,繁琐的操作往往会使得人像飞线那样直接跳过屏蔽掉安全部件。这个tokenID一个好像50还是100刀,不知道现在是不是降价了,无独有偶的是其实我认为我学的专业,刚刚好可以用一种特殊的算法来实现数论的大质数理论加繁琐的哈希操作,从而简化客户端电子元件,与服务端的计算强度。RSA是很注重保密的一家公司,当然他们没有公布他们的tokenID的算法,只是用简简单单的几句话来描述他们的原理,“使用非对称密码以及相关的hash算法”。可能说到这里大家依然一头雾水,我简单的介绍一下这个双认证的简单原理。第一,为何叫双认证,就是使用一个预置密码加上一个随机密码来进入系统,和我们在网上登录论坛的时候输入密码的同时输入下面图片的随机数一样,只不过那个随机数只有你知道,网络上的图片随机数是为了防止那些多线程的暴力破解或者机器注册或者登陆搞破坏,并非是随机密码,因为万一你的密码被人知道了,你还有一个随机密码,这个有效期是一分钟,但是暴力破解一分钟内是否能完成密码的破解是一方面的问题,另一方面有机制防止暴力破解。如果这么巧猜5次,能猜中的话,下一次再猜中的可能性有多大?而且这个客户端是有内置电源的,因此有一定的寿命。上天很眷顾我,让我学习混沌密码学,主要研究的是流密码方向。从理论上来说,一个混沌系统,进入混沌状态的时候,产生的序列本身就是随机,而且随机性很强,这种系统的计算能力不需要很高,但是需要对精度各方面一定要有一个统一的标准,使用JAVA可以有效的屏蔽因为平台带来的精度的缺失已经对基础数据的格式的不一致带来的问题。因为混沌系统以迭代作为自己的计算周期,完全能够保证同步的周期问题,迭代系统在客户端的实现就是一个反馈电路,能耗已经极其低。而且进口的密码系统,会不会有一个保护的机制,比如在两国对抗的时候出现密码失效的可能?如果这个系统能够研发成功,其成本可能只有进口的1/10,而且加密的算法可以让企业去定制,这种加密的算法的理论已经证明了是周期无限,而且具有奇怪吸引子,能够在某一个范围内无限的取值,但是这要求只有自然界能够做到,但是可以用有限精度,选取一个可以接受的精度来构建这个核心系统,把周期放得相当大,同样可以获得这种无限随机数的能力。这个系统研发,靠我一个人的力量已经是不可能的了,原因有几个,人少,技术力量单薄,没有买家,缺乏国家的安全机构的认证。现如今,这个tokenID已经广泛的应用于金融领域,游戏登陆等方面,只有短短的3年多的时间。——————Canghai.yu Billing Product Department Guangdong Eshore