一次性密码(OTP)的主要思路是:加入不确定因素,使得每回登录时传送中的信息均不一样,从而提高了安全性。一次性密码系统通过时间、事件与密钥3个变量得到的动态密码替换传统的静态密码。一次性密码系统通常由用户手中的动态密码卡与认证用户身份的服务器端组成。每个动态密码卡均有一个且仅有一个密钥,该密钥同一时间放在服务器端,每回认证时,动态密码卡和服务器分别借助相同的密钥、随机参数与算法计算待认证的动态密码,从而在双边保证密码的一致性,完成用户的身份认证。由于每一次认证的随机参数不一样,因此得到的动态密码也不一样,而参数的随机性确保了每回密码的不可预测性,从而在最基本、最重要的密码认证阶段确保了系统的安全性。
一次性密码的实现机制主要有两种:
·挑战/应答机制。认证时,服务器端向客户端发送1个不一样的“挑战”字串,客户端程序收到该字串后,进行相应的“应答”。
·时间同步机制。即将用户登录时间做随机因素,与用户的密码一起产生一个密码字,此方式对双方时间精确度有较高的要求,通常用以分钟为单位的折中方法,容忍时间误差可到1分钟。
一个一次性密码认证过程如下:
1)客户对认证服务器给出请求,说明要身份认证。
2)认证服务器查询用户的数据库,辨认该用户是否为合法用户。若不是,则没有进一步处理。
3)认证服务器内部得到一个随机数,当做“挑战”发给客户。
4)客户合并用户名字与随机数,用单向散列函数。
5)认证服务器将计算结果和应答串进行对比,若二者相同,则通过认证,否则,失败。
6)认证服务器通知客户认证成功或失败。
与传统密码体制相比,OTP有如下优点:
·有效处理使用者密码记忆和保存的困难。
·因密码只可用一次,且密码一分钟随机变化一次,因此不能预测,也仅有1次的使用有效性,从而大大提升了安全程度。
