您好,欢迎访问山东渔翁信息技术股份有限公司官方网站
渔翁信息

专注密码硬件研发生产定制

咨询热线: 400-6686-188

产品中心

热门产品

联系我们

咨询热线:400-6686-188

市场合作:孙经理:13806311977

售后服务:房经理:0631-5651692

邮箱:support@fisherman-it.com

地址:济南市高新区齐鲁软件园F座

新闻中心 您的位置:首页 > 新闻中心 >

什么是otp?

文章出处:渔翁信息作者:渔翁信息人气:发表时间:2019-03-15 09:13


OTP是一次性口令的缩写,又叫动态口令。

OTP机制的工作原理是:基于密码算法和密钥,处理同步因子后,得到口令;随时变化的同步因子,确保了每次产生的口令均不一样,从而可有效防止口令被攻击或被窃取等安全风险。

OTP机制的具体流程描述如下:

①用户和服务器事先协商好密码算法与密钥。

②用户获取当前同步因子(在本地或从服务器获取),用已协商的密钥和算法对其进行处理,生成OTP码。

③用户将OTP码发送给服务器。

④服务器获取当前用户的同步因子,用已协商的密钥和算法处理它,生成新的OTP码。

⑤服务器比较新OTP码和接收到的OTP码,若一样,则确信该用户身份合法;若不同,则认为该用户身份非法。

OTP机制中的密码算法可用对称算法、非对称算法或摘要算法,现今比较常用的是对称算法。用户端产生OTP码的系统包括:客户端软件、硬件令牌、手机等。

OTP机制采用的同步因子主要有以下几类:

1.时间同步

先确保用户端与服务器端的时间同步,然后基于用户端或服务器端的本地时间来计算动态口令。该方法对服务器端和用户端的时间精度要求很高;用户端常通过硬件令牌实现,内嵌高精度的时钟芯片。通常每30秒或60秒得到一个新的动态口令。

2.事件同步

先确保用户端与服务器端的事件计数器同步,然后基于用户端或服务器端的本地事件来计算动态口令。每次计算动态口令后,用户端与服务器端的事件计数器都要更新。

3.挑战/应答

先由服务器端得到有随机性的挑战码,通过网络传递给用户(短信、网站等),用户端基于挑战码计算出应答码,即动态口令;然后服务器端再验证该应答码是否正确。

目前关于OTP的国际规范主要有:RFC 1760。

OTP机制的优点包括:

①用户再也不可以选脆弱的静态密码。

②用户不用记繁多的口令,只需保护好OTP产生终端(如令牌、手机等)即可。

③用户无需担心口令被窃取,因为口令被用后即失效。

④能有效阻止网络上针对口令的各种攻击手段。

⑤便于管理,撤销时仅需收回令牌或删除认证服务器上的对应用户即可。

⑥避免各种暴力的口令破解工具很有效。

  1. 一键分享到

相关文章推荐

返回顶部