S动态令牌身份认证系统产品白皮书.docVIP

一、产品概述 S2动态令牌身份认证系统是一款我中心拥有自主知识产权的产品，具有安全可靠、简单易用的特点，该系统基于动态令牌技术，采用双因素认证机制。客户通过在用户的应用系统中集成该系统的动态令牌认证接口，用户在登录系统或操作安全要求较高的数据时，对用户输入的动态口令进行验证，确保用户的帐号不被盗用，保障信息系统和业务系统的安全。 二、身份认证技术 1静态口令认证 在身份认证中，最传统以及最普遍的方法是采用“用户名＋静态口令”的方式来进行用户身份的认证。对于这种传统的静态口令，如果用户不去修改它，那么这个口令就是固定不变和长期有效的，因此它是一种静态的认证。正因为这种认证的静态性，导致传统口令在很多情况下都有着发生口令泄密的危险。 举例来说，现在网上银行有许多钓鱼网站，其伪造与银行比较相似的主页和域名，如果用户不小心进入了他们的网页，就有可能利用他们的主页输入自己的银行帐号和口令进行网上银行操作，这时用户的帐户口令就被非法窃取，其帐户内的资金被转移，可能造成巨大的经济损失。因此，使用静态口令认证具有以下缺陷：　　(1) 输入泄密：在输入口令时可能被偷看，或被远程摄像机录像，还可能被键盘记录木马程序所记录。　　(2) 传输泄密：在网上交易时口令会在网络上传输时被截取分析；在电话委托时口令会在电话上被窃听。　　(3) 特征性泄密：为了方便记忆，用户的静态口令往往会与日期、姓名、电