动态令牌(动态令牌是什么意思)

投稿用户 • 2022年11月10日 07:44:11 • 阿里云主机 • 阅读 400

动态令牌是大家进行网银转账时常用的工具，那么小小的令牌是如何保障我们使用安全的呢？今天，就跟着小编来一探究竟。

时间型动态令牌

（时间型动态令牌）

时间型动态令牌是将时间作为加密引子的一种令牌，其在令牌段和服务端独立运行产生动态变化的结果，通过比对两端的计算结果来确认身份的一种工作方式，这种工作方式我们也叫作OTP（One time password）。

OTP是一种在客户端和服务端共享密钥，俗称密钥种子，并使用该密钥种子对某一事件、时间或其它类型的事务进行加密的方式，由于加密因子是动态变化的，因此每一次产生的结果都不一样。

在OTP加密算法选择方面，理论上对称算法、单向散列算法均是可选项。但为了确保令牌的安全性，通常选用的是单向散列算法如HASH、HMAC，就是要利用其单向不可逆的特诊保护密钥不被攻破。

依赖时钟的技术方案通常都面临一个难题，如何保障两端的时钟同步，这一点有两方面的工作，一方面是采用可靠性较高的硬件级时针，另一方面是在动态口令产生的机制上适当拉长步长，例如每60秒发生一次变化（即60秒内的动态口令保持一致），这样就增大了两端比较的重叠度。当然，这是一个需要权衡的值，太大意味着动态度下降，安全性也就随之下降。目前业界主流基本都在30秒以内，算是一个行业经验值。

（otp架构示意图）

挑战型动态令牌

（挑战型动态令牌）

时间型令牌使用便捷，但如果遗失则可能带来风险，于是，又出现了一种新的令牌就是挑战型令牌，其实就是在时间令牌使用的基础上再增加一层密码保护，只有当输入正确的挑战密码，才会进行基于OTP的运算给出动态口令。

审视使用安全

有了上面的基础，让我们再来审视一下我们整个网银使用环境的安全性。

（网银运行环境安全性示意图）

可以看到，网银转账场景下，银行给出了四个层次的安全防护，依次是运行环境的安全保证、网银登录认证、支付密码认证、动态口令认证，应该说还是非常安全的。

那么这些安全保障中，个人认为账号等个人信息是安全性最弱的一环，因为这些信息我们几乎随时都在暴露给外界；其次是支付密码，因为这在不同的渠道都在频繁使用；最安全也就是最难被外界所获取的是登录认证和动态口令，因为登录密码一般有较强的复杂性要求，且连续错误会临时锁定账户，没有被强攻的可能；动态口令只此一份且随时变化，也几乎没有外泄可能。

使用无须实名的阿里云国际版，添加微信：ksuyun 备注：快速云！

本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容，请发送邮件至 cloud@ksuyun.com 举报，一经查实，本站将立刻删除。
如若转载，请注明出处：https://www.hanjifoods.com/19865.html

动态令牌(动态令牌是什么意思)

时间型动态令牌

挑战型动态令牌

审视使用安全

相关推荐