簡介
動態口令是一種安全便捷的帳號防盜技術,可以有效保護交易和登錄的認證安全,採用動態口令就無需定期更換密碼,安全省心,這是這項技術的一個額外價值,對企事業內部套用尤其有用。
動態令牌即是用來生成動態口令終端。
類型
OTP從技術來分有三種形式,時間同步、事件同步、挑戰/應答。
(1)時間同步
原理是基於動態令牌和動態口令驗證伺服器的時間比對,基於時間同步的令牌,一般每60秒產生一個新口令,要求伺服器能夠十分精確的保持正確的時鐘,同時對其令牌的晶振頻率有嚴格的要求,這種技術對應的終端是硬體令牌。
(2)事件同步
基於事件同步的令牌,其原理是通過某一特定的事件次序及相同的種子值作為輸入,通過HASH算法中運算出一致的密碼。
(3)挑戰/應答
常用於的網上業務,在網站/應答上輸入服務端下發的挑戰碼,動態令牌輸入該挑戰碼,通過內置的算法上生成一個6/8位的隨機數字,口令一次有效,這種技術目前套用最為普遍,包括刮刮卡、簡訊密碼、動態令牌也有挑戰/應答形式。
主流的動態令牌技術是時間同步和挑戰/應答兩種形式。
OTP生成終端主流的有簡訊密碼、動態令牌從終端來分類包含硬體令牌和手機令牌兩種,手機令牌是安裝在手機上的客戶端軟體。
缺點
相比較動態口令認證方式,靜態口令認證缺點如下:
(1) 為了便於記憶,用戶多選擇有特徵作為密碼,所有靜態口令相比動態口令而言,容易被猜測和破解;
(2) 黑客可以從網上或電話線上截獲靜態密碼,如果是非加密方式傳輸,用戶認證信息可被輕易獲取;
(3) 內部工作人員可通過合法授權取得用戶密碼而非法使用;
靜態口令根本上不能確定用戶的身份,其結果是,個人可以輕鬆地偽造一個假身份或者盜用一個已有使用者的身份,給企業造成巨大的經濟和聲譽損失。
系統
動態口令認證系統由動態口令認證伺服器集群、動態口令令牌以及動態口令管理服務站點組成。
動態口令認證伺服器群
包含動態口令認證伺服器與備份動態口令認證伺服器,其是動態口令認證系統的核心部分,安裝在機房內,與業務系統伺服器通過區域網路相連,為內外部用戶提供強身份認證,根據業務系統的授權,訪問系統資源。動態口令認證伺服器具有自身數據安全保護功能,所用戶數據經加密後存儲在資料庫中,動態口令認證伺服器與動態口令管理工作站的數據交換也是將數額變換後,以加密方式在網上傳輸。備份認證伺服器是動態口令認證伺服器的完全備份,它能夠在動態口令認證伺服器發生故障或檢修時及時接管認證工作。
動態口令管理服務站點
包括管理員服務以及用戶自助服務。
管理員服務:網路管理員可以進行網路配置、動態口令令牌的綁定、激活、用戶信息修改、服務統計和用戶查詢等操作。
用戶自助服務:終端用戶可以對動態口令令牌的狀態進行修改,包括掛失、停用等。
動態口令令牌
軟體令牌:
動態口令軟體令牌是一種基於挑戰/應答方式的手機客戶端軟體,在該軟體上輸入服務端下發的挑戰碼,客戶端上生成一個6位的隨機數字,這個口令只能使用一次,可以保證登錄認證的安全,作為一個單機版的動態口令生成軟體,在生成口令的過程中,不產生任何通信,保證口令不會在網路傳輸中被截取。
硬體令牌:
動態口令硬體令牌是基於時間同步的硬體令牌,它每60秒變換一次OTP口令,口令一次有效,可以支持HMAC-SHA1算法,它產生6位/8位動態數字進行一次一密的方式認證,採用加密算法基於OATH標準算法(TOTP) ,採用大LCD顯示屏、顯示清晰,與其它相比較時間偏移量小,具有超大容量電池,可以保證產品防水、防拆、防摔,適應在特殊場合使用。
手機令牌:
動態口令手機令牌是推出了最新的身份認證終端,DKEY動態口令手機令牌是一種基於挑戰/應答方式的手機客戶端軟體,在該軟體上輸入服務端下發的挑戰碼,手機軟體上生成一個6位的隨機數字,這個口令只能使用一次,可以充分的保證登錄認證的安全,在生成口令的過程中,不會產生任何通信,保證密碼不會在通信信道中被截取,也不會產生任何通信費用,手機作為動態口令生成的載體,欠費和無信號對其不產生任何影響,目前可以支持大部分主流的手機,如Symbian、Windows Phone、iPhone、Android等。
MobilePass 是Safenet推出的手機認證客戶端,目前支持Windows, IOS, Android,WP,Blackbery 平台。MobilePass通過在伺服器註冊激活,使用標準算法達到跟伺服器端同步。通過定義不同的策略串,可以設定MobilePass 是時間同步(TOTP) 還是事件同步(HOTP) 或是挑戰應答(OCRA)方式。
簡訊令牌:
Safenet MobilePass Messaging 可以由伺服器產生認證碼傳送到用戶的手機或者信箱。這種由簡訊網關傳送到用戶手機進行驗證的方式,目前被很多電商和網銀所採用。
特點
(1)無需記憶
密碼遺忘是令許多人頭疼的問題。隨著網路套用的普及,需要人們記憶的密碼越來越多。動態口令卡使用戶無需記憶多個密碼。
(3)雙重保險
動態口令認證系統採用雙因素認證機制。用戶即使將動態口令卡、賬戶同時丟失,也不會造成損失。
(4)迅速知情
在傳統的認證機制下,用戶密碼往往是在不知情時丟失、被盜,危害發生後才有所察覺,只能亡羊補牢。動態口令令牌一旦丟失,用戶會馬上發現並及時掛失,防患未然。
(5)內外兼“固”
在信息系統的入侵者中,內部入侵者占80%以上。就電子商務站點而論,信息安全最薄弱環節是對內防範,如網管人員也能通過正常授權獲得用戶保密資料,對用戶信息安全無疑是一種威脅。而動態口令認證系統把密鑰生成和管理完全交給系統自動完成,最大限度地減少了人為因素,有效地防止了內部人員作案,使系統安全防範對內對外同樣堅固。
(6)簡單易行
IC卡認證、CA認證、指紋認證都需要專用終端認證設備的配合,套用範圍受到很大限制,目前較多使用的USB KEY,也需要插入到電腦上,目前擁有大量使用者的電話交易就無法使用。動態口令令牌凡是在可以輸入十進制數碼的設備上都可以實現,簡單使用。
(7) 無縫兼容
該系統相對獨立,接口簡單,易與現有的電子商務站點認證系統對接,採用專用動態口令認證伺服器進行認證,保障現有套用系統的完整性,保護系統資源。
晶片
OTP(One Time Programmable)是MCU的一種存儲器類型,意思是一次性可程式:程式燒入IC後,將不可再次更改;因此OTP語音晶片就是指一次性燒錄的語音IC。
從OTP定義上來看,即只能一次性燒錄的語音晶片,同時大家都知道OTP沒有最小數量的限制,只要客戶提供聲音,語音IC環芯公司把聲音處理和編程後通過燒錄工具燒入OTP晶片中.這種方式是最常見的OTP燒錄方式,一般一次只能燒錄1片或者5-10片,燒錄工具不同決定的.燒錄效率比較低下,人力成本高,同時只能對封裝晶片進行燒錄(裸片很小,是不能直接燒錄的),這樣成本上又多出了一個封裝費用.
而OTP裸片帶燒則是OTP語音晶片(如AC9010)在IC製作過程中,就將處理好的聲音和程式直接一次製作到IC裡面(跟掩膜晶片流程相似,但是OTP客戶交貨時間一般只需10天,掩膜則要30天左右,因為OTP本來是一種改進過的掩膜晶片),省去了人工燒錄和一些其它環節,價格相對要低不少.
MCU按其存儲器類型可分為MASK(掩模)ROM、OTP(一次性可程式)ROM、FLASH ROM等類型。MASK ROM的MCU價格便宜,但程式在出廠時已經固化,適合程式固定不變的套用場合;FLASH ROM的MCU程式可以反覆擦寫,靈活性很強,但價格較高,適合對價格不敏感的套用場合或做開發用途;OTP ROM的MCU價格介於前兩者之間,同時又擁有一次性可程式能力,適合既要求一定靈活性,又要求低成本的套用場合,尤其是功能不斷翻新、需要迅速量產的電子產品。
密碼
簡訊密碼以手機簡訊形式請求包含6位隨機數的 OTP,身份認證系統以簡訊形式傳送隨機的6位密碼到客戶的手機上。客戶在登錄或者交易認證時候輸入此動態密碼,從而確保系統身份認證的安全性。它利用what you have方法。
具有以下優點:
(1)安全性
由於手機與客戶綁定比較緊密,簡訊密碼生成與使用場景是物理隔絕的,因此密碼在通路上被截取幾率降至最低。
(2)普及性
只要會接收簡訊即可使用,大大降低簡訊密碼技術的使用門檻,學習成本幾乎為0,所以在市場接受度上面不會存在阻力。
(3)易收費
由於移動網際網路用戶天然養成了付費的習慣,這和PC時代網際網路截然不同的理念,而且收費通道非常的發達,如果是網銀、第三方支付、電子商務可將簡訊密碼作為一項增值業務,每月通過SP收費不會有阻力,因此也可增加收益。
(4)易維護 由於簡訊網關技術非常成熟,大大降低簡訊密碼系統上馬的複雜度和風險,簡訊密碼業務後期客服成本低,穩定的系統在提升安全同時也營造良好的口碑效應,這也是目前銀行也大量採納這項技術很重要的原因。
手機令牌從技術角度來分有時間同步和挑戰/應答兩種形式。
時間同步
其功能與硬體令牌相同。
挑戰應答
從下面令牌中可以看出,用戶輸入挑戰碼至手機令牌上,用戶輸完之後,單擊 生成動態密碼 按鈕,即可得到下面的OTP口令。
過溫保護
OTP:還有過溫保護的意思:over temperature protect
OTP(One Time Programable)一次性可程式,是一種存儲器類型
複製搜尋
一次性可程式(One Time Programmable,OTP)
在這裡,一次性可程式產品指的是內部的程式記憶體採用一次性可程式唯讀存儲器(One Time Programmable Read Only Memory,OTPROM,簡稱OTP)的單片機。OTPROM之資料寫入原理同EPROM,可利用編程燒錄工具的高電壓將資料編程寫入。OTP產品為一次性可程式器件,標準產品的程式記憶體及代碼選項區為全空,客戶將應用程式代碼燒錄到晶片中,就能按用戶的功能正常工作。這為用戶的開發驗證和量產提供了極大的方便和靈活性。但是為了節省成本,編程寫入之後的資料就不再提供抹除或改寫功能。