rsa是一種國際上通用的非對稱演算法,主要是提供雙因素認證功能。即把密碼拆分成兩部分,一部分是使用者設定的固定密碼,另外一部分來自每個使用者發放的可顯示數字的硬體。該硬體基於時間、裝置號和種子數計算出乙個動態密碼。固定密碼加動態密碼才構成整個認證密碼。
關於動態口令生成方式的簡要說明
為解決靜態口令安全性的問題,在90年代出現了動態口令技術,到目前為止,該技術的應用成果和大體情況如下:
動態口令技術主要分兩種: 同步口令技術→非同步口令技術→挑戰應答
同步口令技術中又分為: 基於時間的同步口令 基於事件的同步口令
其主要的技術比較如下:
時間同步:基於令牌和伺服器的時間同步,通過運算來生成一致的動態口令,基於時間同步的令牌,一般更新率為60s,每60s產生乙個新口令,但由於其同步的基礎是國際標準時間,則要求其伺服器能夠十分精確的保持正確的時鐘,同時對其令牌的晶振頻率有嚴格的要求,從而降低系統失去同步的機率,從另一方面,基於時間同步的令牌在每次進行認證時,伺服器端將會檢測令牌的時鐘偏移量,相應不斷的微調自己的時間記錄,從而保證了令牌和伺服器的同步,確保日常的使用,但由於令牌的工作環境不同,在磁場,高溫,高壓,**,入水等情況下易發生時鐘脈衝的不確定偏移和損壞。故對於時間同步的裝置進行較好的保護是十分必要的,對於失去時間同步的令牌,目前可以通過增大偏移量的技術(前後10分鐘)來進行遠端同步,確保其能夠繼續使用,降低對應用的影響,但對於超出預設(共20分鐘)的時間同步令牌,將無法繼續使用或進行遠端同步,必須返廠或送回伺服器端另行處理。同樣,對於基於時間同步的伺服器,應較好地保護其系統時鐘,不要隨意更改,以免發生同步問題,從而影響全部基於此伺服器進行認證的令牌。
事件同步:基於事件同步的令牌,其原理是通過某一特定的事件次序及相同的種子值作為輸入,在des演算法中運算出一致的密碼,其運算機理決定了其整個工作流程同時鐘無關,不受時鐘的影響,令牌中不存在時間脈衝晶振,但由於其演算法的一致性,其口令是預先可知的,通過令牌,你可以預先知道今後的多個密碼,故當令牌遺失且沒有使用pin碼對令牌進行保護時,存在非法登陸的風險,故使用事件同步的令牌,對pin碼的保護是十分必要的。同樣,基於事件同步的令牌同樣存在失去同步的風險,例如使用者多次無目的的生成口令等,對於令牌的失步,事件同步的伺服器使用增大偏移量的方式進行再同步,其伺服器端會自動向後推算一定次數的密碼,來同步令牌和伺服器,當失步情況經非常嚴重,大範圍超出正常範圍時,通過連續輸入兩次令牌計算出的密碼,伺服器將在較大的範圍內進行令牌同步,一般情況下,令牌同步所需的次數不會超過3次。但在極端情況下,不排出失去同步的可能性,例如電力耗盡,在更換電池時操作失誤等。此時,令牌仍可通過手工輸入由管理員生成的一組序列值來實現遠端同步,而無需寄回伺服器端重新同步。
非同步口令技術:
而對於非同步令牌,由於在令牌和伺服器之間除相同的演算法外沒有需要進行同步的條件,故能夠有效的解決令牌失步的問題,降低對應用的影響,其另外乙個好處是,在網路傳輸過程中沒有出現密碼的傳輸,哪怕是動態密碼。從另乙個方面,極大的增加了系統的安全性。非同步口令使用的缺點主要是在使用時,使用者需多乙個輸入挑戰值的步驟,對於操作人員,增加了複雜度,故在應用時,將根據使用者應用的敏感程度和對安全的要求程度來選擇密碼的生成方式。
銀行的動態口令令牌是什麼原理
有網銀的少年們一般都收到過銀行給的這樣乙個令牌,俗稱動態口令,在支付的時候輸入自己的密碼和動態口令上的動態密碼,就能完成驗證,銀行就相信你不是壞人了,今天我們來簡述一下這個動態口令令牌是個什麼原理。如圖的rsa securid sid700是當前市面上流行使用的動態口令令牌,在筆者準備資料的過程中發...
銀行動態令牌工作原理
相信您在辦理銀行卡的時候最關心就是安全的問題,這時銀行會給您乙個令牌,俗稱動態令牌,當您在支付的時候輸入自己的密碼和動態令牌上的動態密碼,就能完成支付,這樣既能防止密碼被盜,也能讓銀行相信您是本人操作,下面我們來給您簡述一下這個動態令牌的工作原理。動態令牌 是根據專門的演算法每隔60秒生成乙個與時間...
poptest老李談動態口令原理
動態口令,又叫動態令牌 動態密碼。它的主要原理是 使用者登入前,依據使用者私人身份資訊,並引入隨機數產生隨機變化的口令,使每次登入過程中傳送的口令資訊都不同,以提高登入過程中使用者身份認證的安全性。銀行通常提供給使用者兩種動態口令 一種是固定數量的動態口令,最常見的就是刮刮卡。使用者每次根據銀行提示...