动态口令(OTP)认证技术概览
动态口令(OTP,One-Time Password)又称一次性密码,是使用密码技术实现的在客户端和服务器之间通过共享秘密的一种认证技术,是一种强认证技术,是增强目前静态口令认证的一种非常方便技术手段,是一种重要的双因素认证技术,动态口令认证技术包括客户端用于生成口令产生器的,动态令牌,是一个硬件设备,和用于管理令牌及口令认证的后台动态口令认证系统组成。
一、OTP历史溯源
动态口令(OTP)有一个同名确不同翻译的前辈,一次性密码(OTP, One-Time Pad),也叫密电本,是一种应用于军事领域的谍报技术,即对通信信息使用预先约定的一次性密电本进行加密和解密,使用后的密电本部分丢弃不再使用,能够做到一次一密。如果看过一些国内的谍战电视剧可能会对在二战时期,日本轰炸重庆中的一个号称“独臂大盗”的日本间谍有印象的话,他同日军通电使用的就是一次性密码技术,使用诺贝尔获奖的小说《The Good Earth》进行谍报编码,最后是被称为美国密码之父的赫伯特·亚德利破获。而目前在安全强认证领域使用的OTP动态密码技术,源于最早由RSA公司于1986年开发的RSA SecureID产品,动态密码并不是一次性密码技术,而是动态一次性口令技术。目前,国际上动态口令OTP有2大主流算法,一个是RSA SecurID ,一个是OATH组织的OTP算法。如果在国内来说的话,另一个是国密的OTP密码算法。RSA SecurID使用AES对称算法,OATH使用HMAC算法,国密算法使用的国密SM1(对称)和SM3(HASH)算法。
二、OTP认证原理与同步方法
动态口令的基本认证原理是在认证双方共享密钥,也称种子密钥,并使用的同一个种子密钥对某一个事件计数、或时间值、或者是异步挑战数进行密码算法计算,使用的算法有对称算法、HASH、HMAC,之后比较计算值是否一致进行认证。可以做到一次一个动态口令,使用后作废,口令长度通常为6-8个数字,使用方便,与通常的静态口令认证方式类似,使用方便与系统集成好,因此OTP动态口令技术的应用非常普遍,可以应用于多种系统渠道使用,如:Web应用、手机应用、电话应用、ATM自助终端等。
动态口令的同步机制有3种,即时间型、事件型和挑战与应答型,目前应用最多的是时间型动态口令,挑战与应答型动态口令的应用也逐渐增多,并且动态口令逐渐变为多种同步类型复合的机制发展,如时间+挑战与应答型。
三、OTP与常用认证技术比较
目前在信息系统中使用的增强型认证技术包括:
1 USBKey: 申请PKI证书。
2 动态口令卡:打印好的密码刮刮卡。
3 动态短信:使用电信通道下发口令。
4 IC卡/SIM卡:内置与用户身份相关的信息。
5 生物特征:采用独一无二的生物特征来验证身份,如指纹。
6 动态令牌:动态口令生成器和认证系统。
不同方案比较如下:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
由上面的比较可以非常直观的看出,动态口令认证技术有着一定优势。
四、动态口令认证技术不足
动态口令认证技术没有第3方权威机构认证,如果业务应用系统安全策略不完善的情况下,可能会受到中间人攻击。如某某银行使用时间型动态令牌受到网络钓鱼攻击。建议在应用中完善安全使用策略,划清口令使用权限,加强交易系统流程控制,用以提高系统安全性。
附:OATH算法Java源代码:http://download.csdn.net/detail/goldboar/3932212
动态口令(OTP)认证技术概览相关推荐
- 动态口令身份认证技术的应用与发展
内容提要:本文概要地论述了动态口令(动态口令)的基本概念.工作原理和基本技术.详细地介绍了动态口令在银行.证券.办公自动化等系统中的应用.重点说明了动态口令地几中新的应用方式和技术.本文对从事信息安全 ...
- WatchGuard Firebox配置动态口令(OTP)认证
本文旨在为了进一步提升WatchGuard上访问安全性,通过采用一次性口令形式,本文以动态密码厂商宁盾DKEY系列动态口令牌配置为例,逐步阐述配置过程. STEP 1 : 在Firebox管理程序中打 ...
- Linux/AIX/Freebsd配置宁盾DKEY动态口令登录认证
1. 方案简介 领先的动态密码解决方案提供商上海宁盾信息科技有限公司发布其<DKEY服务器动态口令认证解决方案>,网络管理员只需输入令牌上显示的每隔30/60秒变化一 ...
- 【转】动态口令(OTP)认证技术
动态口令(OTP,One-Time Password)又称一次性密码,是使用密码技术实现的在客户端和服务器之间通过共享秘密的一种认证技术,是一种强认证技术,是增强目前静态口令认证的一种非常方便技术手段 ...
- OTP 动态口令验证
OTP 动态口令验证. 简介 动态口令(OTP,One-Time Password)又称一次性密码,是使用密码技术实现的在客户端和服务器之间通过共享秘密的一种认证技术,是一种强认证技术,是增强目前静态 ...
- C#毕业设计——基于C#+asp.net+SQL Server的动态口令认证网上选课系统设计与实现(毕业论文+程序源码)——网上选课系统
基于C#+asp.net+SQL Server的动态口令认证网上选课系统设计与实现(毕业论文+程序源码) 大家好,今天给大家介绍基于C#+asp.net+SQL Server的动态口令认证网上选课系统 ...
- 企业自研业务系统的登录如何添加动态口令,实施MFA双因子认证?
一.背景需求 不少企业因业务需要会自己研发业务系统,为保护业务数据安全,首先要确保能访问到业务数据的人员"身份"安全可信. 企业自研业务系统的账号密码基本是 IT 管理员单独管理维 ...
- 宁盾动态口令技术案例 - 运用动态令牌dKey T6加强ERP登录安全
一.方案背景 ERP 系统就像企业的 " 黑匣子 " ,内部涵盖了应用企业最关键和最敏感的信息资源. ERP 的特点是大而全,使用者可以从中寻找出一个企业的组织架构.管理理念.客户 ...
- 动态口令设计系列一:基于共享密钥的动态口令方案
2019独角兽企业重金招聘Python工程师标准>>> 由于传统的静态口令存在容易泄露(输入型泄密.传输型泄密.共享型泄密.记录型泄密.时间越长泄密危险性越高)且一旦泄露全线崩溃.不 ...
最新文章
- 报表性能优化方案之报表服务器优化基础讲解
- 【错误记录】Windows 系统 bat 脚本报错 ( 使用 pause 拦截窗口自动关闭 | 方便查看错误 )
- HTTP 状态码常用对照表
- 我妈在深圳的这些日子
- php读取模板生成静态功能,php 生成静态页面的办法与实现代码详细版
- 什么工作经常出差_商旅人群洞察:什么样的人经常坐飞机出差?
- 大公司的资深工程师和小公司的Leader如何决择?
- Windows Server上用命令来起停IIS站点
- 突然决定要记笔记,于是就来到了博客园,希望自己能够坚持下去
- PADS VX2.8 AD封装库转换PADS封装的方法
- 今天才发现!通过微信左下角,还可以快速找到未读消息
- 【长尾理论】的简单阐述
- 网易数据运河系统 NDC 设计与应用
- 从Foxmail向Thunderbird(TB)导出邮件
- 购房从银行贷了一笔款d,准备每月还款额为p,月利率为r,计算多少月能还清。设d为300 000元,p为6000元,r为1%。对求得的月份取小数点后一位,对第2位按四舍五人处理。
- java 鱼眼照片的矫正_使用OpenCV校准鱼眼镜头
- vue VantUI组件初探 使用
- 思科光传输功率查询_查看华为光模块功率详细信息
- 什么是SRM系统?有什么作用?如何应用SRM系统?
- 小猫爪:S32K3学习笔记18-S32K3之Safety外设总结