OTP

OTP全称叫One-time Password,也称动态口令，是根据专门的算法每隔60秒生成一个与时间相关的、不可预测的随机数字组合，每个口令只能使用一次。

动态口令是一种安全便捷的帐号防盗技术，可以有效保护交易和登录的认证安全，采用动态口令就无需定期更换密码，安全省心，这是这项技术的一个额外价值，对企事业内部应用尤其有用。动态令牌即是用来生成动态口令终端。

otp从技术来分有三种形式，时间同步、事件同步、挑战/应答。

 

　　（1）时间同步

 

　　原理是基于动态令牌和动态口令验证服务器的时间比对，基于时间同步的令牌，一般每60秒产生一个新口令，要求服务器能够十分精确的保持正确的时钟，同时对其令牌的晶振频率有严格的要求，这种技术对应的终端是硬件令牌。

 

　　（2）事件同步

 

　　基于事件同步的令牌，其原理是通过某一特定的事件次序及相同的种子值作为输入，通过HASH算法中运算出一致的密码。

 

　　（3）挑战/应答

 

　　常用于的网上业务，在网站/应答上输入服务端下发的挑战码，动态令牌输入该挑战码，通过内置的算法上生成一个6/8位的随机数字，口令一次有效，这种技术目前应用最为普遍，包括刮刮卡、短信密码、动态令牌也有挑战/应答形式。

 

　　主流的动态令牌技术是时间同步和挑战/应答两种形式。

 

　　OTP生成终端主流的有短信密码、动态令牌从终端来分类包含硬件令牌和手机令牌两种，手机令牌是安装在手机上的客户端软件。

 

动态口令身份认证系统组成

　　动态口令认证系统由动态口令认证服务器集群、动态口令令牌以及动态口令管理服务站点组成。

动态口令认证服务器群

　　包含动态口令认证服务器与备份动态口令认证服务器，其是动态口令认证系统的核心部分，安装在机房内，与业务系统服务器通过局域网相连，为内外部用户提供强身份认证，根据业务系统的授权，访问系统资源。动态口令认证服务器具有自身数据安全保护功能，所用户数据经加密后存储在数据库中，动态口令认证服务器与动态口令管理工作站的数据交换也是将数额变换后，以加密方式在网上传输。备份认证服务器是动态口令认证服务器的完全备份，它能够在动态口令认证服务器发生故障或检修时及时接管认证工作。

动态口令管理服务站点

　　包括管理员服务以及用户自助服务。

 

　　管理员服务：网络管理员可以进行网络配置、动态口令令牌的绑定、激活、用户信息修改、服务统计和用户查询等操作。　

 

　　用户自助服务：终端用户可以对动态口令令牌的状态进行修改，包括挂失、停用等。

动态口令令牌

　　软件令牌：

 

　　DKEY动态口令软件令牌是一种基于挑战/应答方式的手机客户端软件，在该软件上输入服务端下发的挑战码，客户端上生成一个6位的随机数字，这个口令只能使用一次，可以充分的保证登录认证的安全，作为一个单机版的动态口令生成软件，在生成口令的过程中，不会产生任何通信，保证口令不会在网络传输中被截取，目前支持最主流的WINDOWS系统.

 

　　 硬件令牌：

 

　　DKEY动态口令硬件令牌是基于时间同步的硬件令牌，它每60秒变换一次OTP口令，口令一次有效，可以支持HMAC-SHA1算法，它产生6位/8位动态数字进行一次一密的方式认证，采用加密算法基于OATH标准算法(TOTP) ，采用大LCD显示屏、显示清晰，与其它相比较时间偏移量小，具有超大容量电池，可以保证产品防水、防拆、防摔，适应在特殊场合使用。

 

　　 手机令牌：

 

　　宁盾DKEY动态口令手机令牌是推出了最新的身份认证终端，DKEY动态口令手机令牌是一种基于挑战/应答方式的手机客户端软件，在该软件上输入服务端下发的挑战码，手机软件上生成一个6位的随机数字，这个口令只能使用一次，可以充分的保证登录认证的安全，在生成口令的过程中，不会产生任何通信，保证密码不会在通信信道中被截取，也不会产生任何通信费用，手机作为动态口令生成的载体，欠费和无信号对其不产生任何影响，目前可以支持大部分主流的手机，如symbian、WM、IPHONE等。

 

动态口令认证系统特点

　　（1）无需记忆

 

　　密码遗忘是令许多人头疼的问题。随着网络应用的普及，需要人们记忆的密码越来越多。动态口令卡使用户无需记忆多个密码。

 

　　（3）双重保险

 

　　宁盾DKEY动态口令认证系统采用双因素认证机制。用户即使将动态口令卡、账户同时丢失，也不会造成损失。

 

　　（4）迅速知情

 

　　在传统的认证机制下，用户密码往往是在不知情时丢失、被盗，危害发生后才有所察觉，只能亡羊补牢。动态口令令牌一旦丢失，用户会马上发现并及时挂失，防患未然。

 

　　（5）内外兼“固”

 

　　在信息系统的入侵者中，内部入侵者占80%以上。就电子商务站点而论，信息安全最薄弱环节是对内防范，如网管人员也能通过正常授权获得用户保密资料，对用户信息安全无疑是一种威胁。而动态口令认证系统把密钥生成和管理完全交给系统自动完成，最大限度地减少了人为因素，有效地防止了内部人员作案，使系统安全防范对内对外同样坚固。

 

　　（6）简单易行

 

　　IC卡认证、CA认证、指纹认证都需要专用终端认证设备的配合，应用范围受到很大限制，目前较多使用的USK KEY，也需要插入到电脑上，目前拥有大量使用者的电话交易就无法使用。动态口令令牌凡是在可以输入十进制数码的设备上都可以实现，简单使用。

 

　　(7) 无缝兼容

 

　　该系统相对独立，接口简单，易与现有的电子商务站点认证系统对接，采用专用动态口令认证服务器进行认证，保障现有应用系统的完整性，保护系统资源。