互联网金融信息安全 口令机制 动态口令.pptxVIP

;;;;;一个现实的例子是银行发给客户的口令卡，口令卡上以矩阵的形式印有数十个密码，所有密码都覆盖了刮刮膜保护。客户在进行支付交易时，电子银行系统就会随机给出一组口令卡坐标，客户根据坐标从卡片中找到口令组合并输入电子银行系统。只有当口令组合输入正确时，客户才能完成相关交易。;2.时间同步机制 时间同步机制就是以时间作为变量。一种可能的认证形式是，用户有一个带有键盘和显示屏的个人认证器件。一个秘密的特定器件值dsv被存储在这个物理防窜扰的器件中。通过使用时间同步的安全标志符，该器件和使用该器件的一个或多个验证系统保持时钟同步。 如图3-2所示，当器件拥有者对一个验证者进行认证时，他将静态口令P’输入器件，得到关于口令p、dsv和当前时间戳的一个函数值。函数运算可实现为以dsv为对称密钥的密码运算，运算结果是一个具有一定分组长度的密文。随后，截取一定位数的密文作为动态口令，显示在器件的液晶屏上。器件拥有者将该函数值发送到验证服务器进行验证。认证服务器使用同样的对称密钥、口令和时间进行相同的运算，并将处理结果与它收到的动态口令进行比较，如果相同，则通过认证。;3.事件同步技术 事件同步机制以事件(次数/序列数)作为变量，它通过同步认证算法产生“动态口令”。事件同步认证技术的代表是S/Key系统，它使用用户输人的种子，基于单向散列的n次操作，产生一个有n个口令的表，所使用的口令依次是第n,n-1,…，1次散列的结果。用户保存这一口令表，验证服务器保存用于下一次提供的口令的序号i，和上一次用户所提交的正确口令的十六进制表示。在认证时，验证服务器要求用户提供口令Pi，如果与数据库中的口令表匹配，即Pi=H(Pi-1)，那么认证成功。在现实中，可使用口令机制和基于密码技术的结合:首先使用口令向IC卡认证自己，然后器件使用密码技术产生动态密码，向最终的验证者认证自己。 由于生成的口令具有时间无关性，无法预测、跟踪截取和破译，因此事件同步机制是比较安全的一次性动态口令，同时，也不用担心网络或者操作延时会对密码的认证产生影响。 目前已有基于事件???步认证技术的密码编码器，其大小仿佛U盘，靠右侧的按键触发，每次触发产生一个不同的密码，该密码由一个随机数发生器产生，验证双方共同使用这样的随机序列生成器，并在该序列生成器的初态保持同步。其安全弱点是，产生动态密码的算法都掌握在生产厂家，对用户存在一定风险，如果厂家泄密或被攻破，其灾难将是全局性的。;目前已有基于事件同步认证技术的密码编码器，其大小仿佛U盘，靠右侧的按键触发，每次触发产生一个不同的密码，该密码由一个随机数发生器产生，验证双方共同使用这样的随机序列生成器，并在该序列生成器的初态保持同步。其安全弱点是，产生动态密码的算法都掌握在生产厂家，对用户存在一定风险，如果厂家泄密或被攻破，其灾难将是全局性的。