银行动态令牌工作原理 - CSDN博客
银行动态令牌工作原理
相信您在办理银行卡的时候最关心就是安全的问题，这时银行会给您一个令牌，俗称动态令牌，当您在支付的时候输入自己的密码和动态令牌上的动态密码，就能完成支付，这样既能防止密码被盗，也能让银行相信您是本人操作，下面我们来给您简述一下这个动态令牌的工作原理。
动态令牌是根据专门的算法每隔60秒生成一个与时间相关的、不可预测的随机数字组合，每个口令只能使用一次，用户进行认证时候，除输入账号和静态密码之外，必须要求输入动态密码，只有通过系统验证，才可以正常登录或者交易，从而有效保证用户身份的合法性和唯一性。动态口令最大的优点在于，用户每次使用的口令都不相同，使得不法分子无法仿冒合法用户的身份。动态口令认证技术被认为是目前能够最有效解决用户的身份认证方式之一，可以有效防范黑客木马盗窃用户账户口令、假网站等多种网络问题，导致用户的财产或者资料的损失。
CKEY &DAS D-100
如图的CKEY &DAS D-100是当前市面上流行使用的动态口令令牌，在笔者准备资料的过程中发现国内描写动态令牌的博客有不少谬误，其中大多是对银行这一套认证机制结构的不了解，所以首先要强调的是：
在大众用户手中的动态令牌，并不使用任何对称或者非对称加密的算法，在整个银行的认证体系中，动态令牌只是一个一次性口令的产生器，它是基于时间同步方式，每隔60秒产生一个随机6位动态密码在其中运行的主要计算仅包括时间因子的计算和散列值的计算。
动态令牌算法又叫一次性口令算法，英文写作OTP(One-Time Password Algorithm),动态令牌使用的算法是OTP中的一类，TOTP(Time-Based One-Time Password Algorithm) — 时间同步型动态口令。
时间同步型动态口令产生口令的时候和时间有关系，我们可以通过其工作的原理图来看一下：&&
图示给出了动态口令的工作原理，突出了整个认证机制中的动态口令部分，我们可以清楚看到在最左边和最右边有完全相同的两个流程，这里分别代表了用户的令牌卡和银行服务器的验证机器做的工作。本文的重点就在这两个完全相同的流程上。
在用户从银行手中拿到动态口令令牌卡的时候，在令牌卡的内部已经存储了一份种子文件（即图中钥匙所代表的seed），这份种子文件在银行的服务器里保存的完全一样的一份，所以对于动态口令令牌来说，这种方式是share secret的。另外在令牌硬件上的设置中，假使有人打开了这个令牌卡，种子文件将会从令牌卡的内存上擦除（待考证）。
令牌卡中有了种子文件，并实现了TOTP算法，在预先设置的间隔时间里它就能不断产生不同的动态口令，并显示到屏幕上，而银行服务器上跟随时间做同样的计算，也会得到和令牌卡同样的口令，用作认证。
那么TOTP算法具体做了什么操作呢？在RFC6238中有详细的算法描述，这里也会做简单的叙述。
TOTP是来自 HOTP [RFC4226] 的变形，从统筹上看，他们都是将数据文件进行散列计算，只是HOTP的因子是事件因子，TOTP将因子换成了时间因子，具体的TOTP计算公式(其中的HMAC-SHA-256也可能是 HMAC-SHA-512)：
TOTP = Truncate(HMAC-SHA-256(K,T))
其中：&K 为这里的种子文件内容； T 为计算出来的时间因子
公式中的&HMAC是密钥相关的哈希运算消息认证码(Hash-based Message Authentication Code)，HMAC运算利用哈希算法，以一个密钥和一个消息为输入，生成一个消息摘要作为输出。而公式中给出的哈希算法是 SHA-256，这种哈希算法目前并没有好的破解办法。
令牌卡中预先设置了要显示的口令长度，TOTP 中的 Truncate 操作剪切获得口令。
以上就是动态口令令牌卡的内部原理。
几点补充：
1、时间同步型动态口令对令牌卡和服务器的时间同步要求很高，时间误差会造成整个令牌的失灵，所以每一次用户成功使用令牌认证，服务器都会做相应的时间误差矫正。
2、种子文件的产生使用了一种AES-128 变形而来的算法， AES-128 也是目前顶尖级的对称加密技术。
3、目前从加密技术上以及数学理论上整个银行机制的认证系统基本无解。
4、欢迎勘误。
参考链接：
&&&&&&&&&&&&.cn&
本文已收录于以下专栏：
相关文章推荐
RSA SecurID SID700是当前市面上流行使用的动态口令令牌。
用户从银行获取的动态口令令牌卡，其内部存储着一份与银行服务器完全一致的种子文件（即图中钥匙所代表的seed），种子文...
OTP动态令牌是一种新型的强身份认证的信息安全产品，由于其具有使用简单，携带方便，安全性高，美观时尚等优点，已经广泛应用在网银系统，电子办公系统，网络游戏，网络支付等众多领域。
QoS的一个重要作用就是对端口流量进行监管，也就是限制端口流量。但QoS是如何做到这点的呢？那就是QoS的令牌桶机制了。下面是在笔者刚刚出版的《Cisco/H3C交换机高级配置与管理技术手册》一书中，...
QoS的一个重要作用就是对端口流量进行监管，也就是限制端口流量。但QoS是如何做到这点的呢？那就是QoS的令牌桶机制了。下面是在笔者刚刚出版的《Cisco/H3C交换机高级配置与管理技术手册》一书中，...
QoS的一个重要作用就是对端口流量进行监管，也就是限制端口流量。但QoS是如何做到这点的呢？那就是QoS的令牌桶机制了。
  6.3.3 QoS令牌桶工作原理
        QoS中的流量监管（...
QoS的一个重要作用就是对端口流量进行监管，也就是限制端口流量。但QoS是如何做到这点的呢？那就是QoS的令牌桶机制了。下面是在笔者刚刚出版的《Cisco/H3C交换机高级配置与管理技术手册》一书中，...
何谓数字证书？　　
数字证书是一个经证书认证中心（CA）数字签名的包含公开密钥拥有者信息以及公开密钥的数据文件。认证中心的数字签名可以确保证书信息的真实性，用户公钥信息可以保证数字信息传输的完...
转载地址：http://blog.csdn.net/woshinia/article/details/7919281#comments
&动态链接&这几字指明了DLLs是如何工作的。对于常规的函...
Linux动态库的工作原理详解
转自：/blog//how-shared-library-works.html
关于动态库的原理...
他的最新文章
讲师：何宇健
讲师：董岩
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)&&桂林银行手机银行怎么注册？如何认证？动态令牌怎么使用？比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
银行柜员系统动态令牌 动态口令身份认证方案
关键字：飞天诚信 新闻
　　飞天动态口令身份认证解决作为银行综合业务系统的子系统，可以为银行内部管理和银行业务管理系统提供可靠的身份认证支撑。
　　银行业务系统把各种业务分为普通业务和特殊业务两大类。普通业务是指普通的操作人员日常处理的金融业务，如储蓄开户，存取款等等。
　　特殊业务则是要求有较高权限的操作人员(以下简称授权人员)进行授权才能处理的金融业务，如冻结账户、资金转账等。也有些银行的业务系统将两大类业务再次细分，以区别不同的业务范围。因此，现有银行业务系统把系统操作人员按不同级别进行划分，以完成相应的级别和管理范围不同的业务。
　　目前，大多数的银行业务系统仍然采用基于固定的静态口令的身份认证机制，但这种机制在实际使用过程中存在不同程度的安全隐患。在很多情况下，口令泄露后，持有人并不能及时发现。而针对采用这种机制的系统，有多种手段与方式(如窃听，截取重放，字典攻击，穷举尝试等等)可导致身份认证控制失败。
　　在现实中，由于安全意识不足，在普通操作人员之间，个人在银行业务系统中的登录代码和口令都是相互透明的，很难保证不被某些别有用心的操作人员恶意盗用。由于口令没有载体，密码被盗用的事情就不能及时被发现并进行有效防范和处理。
　　现有银行业务系统要求一个授权人员管理一个或数个营业网点，并负责对属于这些营业网点的特殊业务进行授权。在实际工作中，授权人员同时要负责其他业务和管理工作，而特殊业务发生的时间和地点不确定，授权人员往往很难及时到达现场进行授权，因而往往将其授权代码和口令告知要求授权的普通操作人员。久而久之，这些授权代码和口令都成为不是秘密的秘密。显然，这种情况更是加令被恶意盗用的危险。
　　在某些银行业务系统中，普通操作人员需要在数个营业网点之间进行轮岗，为管理方便，轮岗人员在其轮岗网点内均有有效的授权身份(代码+口令)。显而易见，当该操作人员轮岗到一个网点时，轮岗的其他网点中的授权身份存在被恶意盗用的可能性。
　　针对固定口令机制的安全隐患，银行为此配合了相应的严格管理制度，例如，要求定期更换密码;规定“章随人走，卡不离身”;成立稽查部门对柜员遵守制度的情况进行检查;对违反制度的柜员进行处罚等。这些管理制度虽然可以在一定程度上提高了系统的安全性，但并不能从根本上解决问题。柜员内控管理上的问题依然存在，如柜员临时离柜、业务授权人员临时有事离岗，节假日值班等情况，都可能在主观和客观上造成安全隐患，口令泄露引发的系统安全问题数不胜数;口令泄露后，对系统的侵入和攻击也不容易分清肇事者的责任。近年来，银行内部工作人员盗用他人密码，伪装身份访问超过自身权限的系统，非法窃取和挪用储户资金的案件时有发生，是每个银行都迫切需要解决的问题。
　　根据上述分析，金融业务系统需要更为完善的技术手段进行身份认证，以保障其安全性。
　　飞天动态口令身份认证解决方案作为银行综合业务系统的内部管理子系统，可以为银行内部管理和银行业务管理系统提供安全可靠的身份认证支撑。
　　飞天动态令牌 动态口令身份认证解决方案，采用在现有的银行业务系统中应用动态口令令牌的方式，很好地解决现在固定口令机制的安全隐患。有一套完整的解决方案来为银行业务系统的柜员登录提供安全保障。例如：令牌产生的口令本身有PIN 码保护;令牌持有人在令牌丢失后能立即挂失;他人不能同时得到令牌及PIN 码，也就不能冒用令牌持有人的身份进入银行业务系统;令牌产生的密码一次性有效，也不用担心被人盗用密码。
　　在现有银行业务系统中应用动态口令身份认证解决方案，需要在操作人员的系统登录和业务授权两个阶段实施静态口令和动态口令双因素身份认证控制。同时，动态口令身份认证解决方案可以很好地解决操作人员轮岗时的安全问题，并能向所有的普通操作员和授权人员提供安全的保护机制。
　　 系统登录
　　在操作人员的系统登录过程中，通过在登录窗口同时实施静态口令和动态口令两项认证。
　　首先，前台操作员必须要在登录窗口输入用户名，并且输入正确的静态口令。同时，还必须要知道所持有令牌的生成的动态口令，把动态口令正确输入到登录窗口的动态口令提示窗口后，系统确认。才能接受操作人员的登录请求，通过业务系统的身份认证。(图1所示)。
　　(1)营业员登录业务系统时，输入帐号、PIN和OTP;
　　(2)系统首先判断输入的帐号是否存在，如果不存在，直接返回认证失败，如果存在，则继续进行认证。
　　(3)银行业务系统首先验证静态密码是否正确，如果不正确，直接返回认证失败，如果静态密码正确，则继续进行认证。
　　(4)飞天动态口令认证服务器验证OTP是否正确，如果不正确，直接返回认证失败，如果正确，营业员登录银行业务系统成功。
　　通过实施上述认证过程，银行业务系统确保了操作人员使用系统的合法性，安全性，并能正确确定操作人员的身份。
　　 业务授权
　　在操作人员使用系统和处理业务的过程中，当其权限不足以完成某项业务功能时，可向相应授权人员申请对此项业务该笔交易的权限，例如当普通操作人员需要处理冻结业务时。
　　在实施完动态口令身份认证解决方案之后，业务授权流程如下：
　　A、前台操作人员用相应授权人员的授权代码和静态口令向业务系统申请该笔业务的授权;
　　B、若系统通过授权人员的授权代码和静态口令后，系统出现该业务所示界面，并提示输入授权人员的动态口令
　　C、前台操作人员向授权人员申请授权所需要的动态口令。
　　D、授权人员用自己所持有的令牌生成动态口令，并把动态口令数字告知前台操作员。
　　前台操作员在输入业务数据的同时，输入授权人员告知的动态密码。若动态密码正确，则系统提示业务完成;否则，系统提示授权不足或授权失败，退出业务处理流程。(图2所示)。
　　(1)当营业员需要进行特殊业务(比如大额取款或转账)时，需要经理授权才能进行。
　　(2)营业员向经理请求授权码。
　　(3)经理通过飞天动态口令令牌生成授权码(即OTP)，并告诉营业员授权码，然后由营业员输入授权码，或者由经理直接到营业员柜台输入授权码。
　　(4)系统验证授权码是否正确，如果不正确，要求重新输入认证码，如果正确，营业员可以继续处理业务。
　　上述认证流程，严格限定了业务授权的一次有效性，前台操作员在未取得授权的情况下，无法越权进行业务操作。授权人员的授权动态密码通过令牌产生，并且能够通过电话等远程方式把动态密码告知前台操作人员，前台操作人员在当次操作时密码有效，该笔业务操作完成后，动态密码即告失效。在保证操作便捷性的同时，也能满足授权业务安全性的要求。
　　 轮岗管理
　　在实施动态口令身份认证的银行业务系统中，操作人员的授权身份与令牌是分开管理的，当某一操作员使用某一令牌时，只需要将授权身份所对应的用户名与相应的令牌做一个关联操作(即绑定令牌)即可,系统根据授权用户身份对应的令牌来计算认证当时的动态口令，并以此来做身份验证。因此，当需要轮岗操作的时候，该类操作人员所持有的令牌对于其所有的授权身份都有效。
　　通过部署动态口令身份认证系统，大大加强了银行柜员系统的安全性和可靠性，杜绝大部分内部管理安全漏洞。但是，仅仅有技术措施是远远不够的，为了便于银行更好的使用动态口令身份认证系统，银行还应制定相关的管理规章制度，包括身份管理，令牌管理，授权管理，应急管理，档案管理等等，这些管理制度的有效执行，才能与动态口令身份认证系统无缝融合，使银行能够更快捷，地部署和实施动态口令身份认证系统。
[ 责任编辑：刘军 ]
去年，手机江湖里的竞争格局还是…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte您现在的位置：
平安银行网银令牌如何使用 平安网银令牌的使用方法
　　平安银行网银令牌如何使用？平安网银令牌的使用方法。下面由南方财富小编为大家介绍。
　　首先要开通企业网上银行，就能有一个记帐号令牌与一个授权人令牌。
　　登录平安银行官网，右侧&企业网银交易区& 点击令牌用户登录。输入您的平安银行网银令牌帐号、密码以及 令牌码即可登录。
　　南方财富网微信号：southmoney
南方财富网声明：资讯来源于合作媒体及机构，属作者个人观点，仅供投资者参考，并不构成投资建议。投资者据此操作，风险自担。
网上银行专区
48小时排行