2023年6月30日发(作者：)

⼀次性密码的原理和典型应⽤为了解决固定⼝令的诸多问题，安全专家提出了⼀次性⼝令（OTP：OneTimePassword）的密码体制，以保护关键的计算机资源。OTP的主要思路是：在登录过程中加⼊不确定因素，使每次登录过程中传送的信息都不相同，以提⾼登录过程安全性。例如：登录密码=MD5（⽤户名+密码+时间），系统接收到登录⼝令后做⼀个验算即可验证⽤户的合法性。1）不确定因⼦选择与⼝令⽣成这些不确定因⼦选择⽅式⼤致有以下⼏种：（1）⼝令序列（SKEY）。⼝令为⼀个单向的前后相关的序列，系统只⽤记录第N个⼝令。⽤户⽤第N-1个⼝令登录时，系统⽤单向算法算出第N个⼝令与⾃⼰保存的第N个⼝令匹配，以判断⽤户的合法性。由于N是有限的，⽤户登录N次后必须重新初始化⼝令序列。（2）挑战回答（CRYPTOCard）⽤户要求登录时，系统产⽣⼀个随机数发送给⽤户。⽤户⽤某种单向算法将⾃⼰的秘密⼝令和随机数混合起来发送给系统，系统⽤同样的⽅法做验算即可验证⽤户⾝份。（3）时间同步（SecureID）以⽤户登录时间作为随机因素。这种⽅式对双⽅的时间准确度要求较⾼，⼀般采取以分钟为时间单位的折中办法。在SecureID产品中，对时间误差的容忍可达±1分钟。（4）事件同步（SafeWord）这种⽅法以挑战回答⽅式为基础，将单向的前后相关序列作为系统的挑战信息，以节省⽤户每次输⼊挑战信息的⿇烦。但当⽤户的挑战序列与服务器产⽣偏差后，需要重新同步。2）⼀次性⼝令的⽣成⽅式（1）TokenCard（硬件卡）⽤类似计算器的⼩卡⽚计算⼀次性⼝令。对于挑战回答⽅式，该卡⽚配备有数字按键，便于输⼊挑战值；对于时间同步⽅式，该卡⽚每隔⼀段时间就会重新计算⼝令；有时还会将卡⽚作成钥匙链式的形状，某些卡⽚还带有PIN保护装置。（2）SoftToken（软件）⽤软件代替硬件，某些软件还能够限定⽤户登录的地点。（3）IC卡在IC卡上存储⽤户的秘密信息，这样⽤户在登录时就不⽤记忆⾃⼰的秘密⼝令了。⼀次性⼝令的最有代表性的产品，就是美国的RSA公司的SecureID，每⼀套SecureID系统都配备有⼀个液晶显⽰令牌（Token），令牌每60秒便能产⽣⼀组全新的6位数字密码。当⽤户在登录本公司系统时，除输⼊其私⼈代号及密码外，还需输⼊当时显⽰在令牌上的六位数字。SecueID双重认证技术，只容许能提供两种或两种以上×××明的⽤户存取特定的资源。这⼀⽅式与银⾏ATM⾃动提款机的运作类似，即要求⽤户提供双重认证，包括提款卡及个⼈密码。窃取者如要擅⼊账户，则必须同时取得该提款卡及个⼈密码。SecueID特别采⽤令牌形式的双重认证技术，即⼀个密码配合⼀种认证设备，能有效防⽌未经授权⼈⼠登录⽹站，从⽽确保系统及⽹络资源的安全。