OTP简介:
OTP全称叫One-time Password,也称动态口令,是根据专门的算法每隔60秒生成一个与时间相关的、不可预测的随机数字组合,每个口令只能使用一次,每天可以产生43200个密码。
动态口令是一种安全便捷的帐号防盗技术,可以有效保护交易和登录的认证安全,采用动态口令就无需定期更换密码,安全省心,这是这项技术的一个额外价值,对企事业内部应用尤其有用。 动态令牌即是用来生成动态口令终端。
OTP技术分类:
otp从技术来分有三种形式,时间同步、事件同步、挑战/应答。
(1)时间同步
原理是基于动态令牌和动态口令验证服务器的时间比对,基于时间同步的令牌,一般每60秒产生一个新口令,要求服务器能够十分精确的保持正确的时钟,同时对其令牌的晶振频率有严格的要求,这种技术对应的终端是硬件令牌。
(2)事件同步
基于事件同步的令牌,其原理是通过某一特定的事件次序及相同的种子值作为输入,通过HASH算法中运算出一致的密码。
(3)挑战/应答
常用于的网上业务,在网站/应答上输入服务端下发的挑战码,动态令牌输入该挑战码,通过内置的算法上生成一个6/8位的随机数字,口令一次有效,这种技术目前应用最为普遍,包括刮刮卡、短信密码、动态令牌也有挑战/应答形式。
主流的动态令牌技术是时间同步和挑战/应答两种形式。
OTP生成终端主流的有短信密码、动态令牌从终端来分类包含硬件令牌和手机令牌两种,手机令牌是安装在手机上的客户端软件。
在OTP技术看来静态口令的不足:
相比较动态口令认证方式,静态口令认证缺点如下:
(1) 为了便于记忆,用户多选择有特征作为密码,所有静态口令相比动态口令而言,容易被猜测和破解;
(2) 黑客可以从网上或电话线上截获静态密码,如果是非加密方式传输,用户认证信息可被轻易获取;
(3) 内部工作人员可通过合法授权取得用户密码而非法使用;
静态口令根本上不能确定用户的身份,其结果是,个人可以轻松地伪造一个假身份或者盗用一个已有使用者的身份,给企业造成巨大的经济和声誉损失。
OTP系统的构架过程:
动态口令认证系统由动态口令认证服务器集群、动态口令令牌以及动态口令管理服务站点组成。
动态口令认证服务器群
包含动态口令认证服务器与备份动态口令认证服务器,其是动态口令认证系统的核心部分,安装在机房内,与业务系统服务器通过局域网相连,为内外部用户提供强身份认证,根据业务系统的授权,访问 系统资源。动态口令认证服务器具有自身数据安全保护功能,所用户数据经加密后存储在数据库中,动态口令认证服务器与动态口令 管理工作站的数据交换也是将数额变换后,以加密方式在网上传输。备份认证服务器是动态口令认证服务器的 完全备份,它能够在动态口令认证服务器发生故障或检修时及时接管认证工作。
动态密码认证服务器
动态口令管理服务站点
包括管理员服务以及用户自助服务。
管理员服务:网络管理员可以进行网络配置、动态口令令牌的绑定、激活、用户信息修改、服务统计和用户查询等操作。
用户自助服务:终端用户可以对 动态口令令牌的状态进行修改,包括挂失、停用等。
动态口令令牌
软件令牌(中国工商银行):
动态口令软件令牌是一种基于挑战/应答方式的手机客户端软件,在该软件上输入服务端下发的挑战码,客户端上生成一个6位的随机数字,这个口令只能使用一次,可以保证登录认证的安全,作为一个单机版的动态口令生成软件,在生成口令的过程中,不产生任何通信,保证口令不会在网络传输中被截取。
硬件令牌(中国银行):
动态口令硬件令牌是基于 时间同步的硬件令牌,它每60秒变换一次OTP口令,口令一次有效,可以支持HMAC-SHA1算法,它产生6位/8位动态数字进行一次一密的方式认证,采用 加密算法基于OATH标准算法(TOTP) ,采用大LCD显示屏、显示清晰,与其它相比较时间偏移量小,具有超大容量电池,可以保证产品防水、防拆、防摔,适应在特殊场合使用。
手机令牌(手机银行):
动态口令 手机令牌是推出了最新的 身份认证终端,DKEY动态口令手机令牌是一种基于
挑战/应答方式的手机 客户端软件,在该软件上输入服务端下发的 挑战码, 手机软件上生成一个6位的随机数字,这个口令只能使用一次,可以充分的保证登录认证的安全,在生成口令的过程中,不会产生任何通信,保证密码不会在通信信道中被截取,也不会产生任何通信费用,手机作为动态口令生成的载体,欠费和无信号对其不产生任何影响,目前可以支持大部分主流的手机,如symbian、WM、IPHONE、ANDROID等。
手机令牌产品介绍
MobilePass 是Safenet推出的手机认证客户端,目前支持windows, IOS, android,WP,blackbery 平台。MobilePass通过在服务器注册激活,使用标准算法达到跟服务器端同步。通过定义不同的策略串,可以设定MobilePass 是时间同步(TOTP) 还是事件同步(HOTP) 或是挑战应答(OCRA)方式。
短信令牌(用户账号与手机绑定):
Safenet MobilePass Messaging 可以由服务器产生认证码发送到用户的手机或者邮箱。这种由短信网关发送到用户手机进行验证的方式,目前被很多电商和网银所采用。
密码遗忘是令许多人头疼的问题。随着网络应用的普及,需要人们记忆的密码越来越多。 动态口令卡使用户无需记忆多个密码。
(1)无需记忆
(2)双重保险
动态口令认证系统采用 双因素认证机制。用户即使将 动态口令卡、账户同时丢失,也不会造成损失。
(3)迅速知情
在传统的认证机制下,用户密码往往是在不知情时丢失、被盗,危害发生后才有所察觉,只能亡羊补牢。 动态口令令牌一旦丢失,用户会马上发现并及时挂失,防患未然。
(4)内外兼“固”
在信息系统的入侵者中,内部入侵者占80%以上。就电子商务站点而论,信息安全最薄弱环节是对内防范,如网管人员也能通过正常授权获得用户保密资料,对用户信息安全无疑是一种威胁。而动态口令认证系统把 密钥生成和管理完全交给系统自动完成,最大限度地减少了人为因素,有效地防止了内部人员作案,使系统安全防范对内对外同样坚固。
(5)简单易行
IC卡认证、CA认证、 指纹认证都需要专用终端认证设备的配合,应用范围受到很大限制,目前较多使用的 USK KEY,也需要插入到电脑上,目前拥有大量使用者的 电话交易就无法使用。 动态口令令牌凡是在可以输入十进制数码的设备上都可以实现,简单使用。
(6) 无缝兼容
该系统相对独立,接口简单,易与现有的电子商务 站点认证系统对接,采用专用 动态口令认证服务器进行认证,保障现有应用系统的完整性,保护 系统资源。
时间同步
其功能与硬件令牌相同。
手机令牌
挑战应答
从下面令牌中可以看出,用户输入挑战码至手机令牌上,用户输完之后,单击 生成动态密码 按钮,即可得到下面的OTP口令。
手机令牌