动态口令系统
随着互联网技术的迅速发展，能阻止可能的网络威胁的杀毒软件和防火墙应用更为广泛，重要程度日益剧增。然而，除了来自网络本身的安全威胁外，用户的身份认证（客户端--终端）也成了互联网安全所面临的重要问题。
 
什么是动态口令
动态口令（OTP，One-TimePassword）是一种一次性口令机制。用户无须记忆口令，也无须手工更改口令。口令通过用户持有的客户端器件生成，并基于一定的算法与服务端形成同步，从而作为证明用户身份的依据。
 
动态口令系统属于商用密码认证鉴别类产品，包括三部分：
动态令牌：用于生成动态口令；
认证系统：用于验证动态口令的正确性；
密钥管理系统：用于动态令牌的密钥管理。
 
动态口令机制可广泛用于身份鉴别场合，如Web系统登录、金融支付。
 
动态口令系统的认证原理

1. 认证双方共享密钥，也称种子密钥；
2. 每次认证时，用户端（拥有动态令牌）与认证服务提供端（认证系统）分别根据运算因子（共享的种子密钥、同一随机参数、相同的密码算法），生成用于认证的动态口令；
3. 认证服务提供端将对生成的动态口令进行比对，以完成整个认证过程。

图1 动态口令系统的认证原理
 
 
动态口令与静态口令

	动态口令	静态口令
原理	一次一密，用户无需记忆	一次性产生，使用过程不变，用户需记忆
优点	无需记忆 双重保险（双因素认证机制） 内外安全防范 简单易行	使用简单
不足	单向认证 单点故障 成本较大	口令容易泄露 易遭受穷举攻击、字典攻击、伪造服务器攻击、口令监听等
共同点	不能实现数据加密、保障数据完整、数字签名

表1 动态口令与静态口令的区别
 
因此，动态口令的出现很好地解决了静态口令存在的安全弱点。也从中可知，对于安全级别要求不高的系统，可以采用静态口令的方式来认证用户的身份，对于高安全性要求的系统，应选择动态口令的方式来认证用户的身份。
值得注意的是，无论是使用动态口令还是静态口令都不能实现数据加密、保障数据完整和数字签名等。若想解决这些问题，可采用更先进的安全机制，如数字证书。
 
 
动态口令应用
动态口令的使用在金融方面是比较常见的，比如中国银行专门为其网上银行进行支付、转账，研发了一套支付系统密码，这个系统生成动态口令，用来验证、防止被他人使用。中国银行动态口令器是针对个人用户的一种安全工具，外观如一个U盘。其显示为6位数字，且每隔几秒6位数字发生变化。
 

（1）用户在网上支付款项时， 选择动态口令支付时，需要输入动态口令器生成的6位数字（动态口令）和手机交易码；
（2）输入动态口令和手机交易码后，动态口令发送到认证服务端进行比对，比对成功后方可支付成功，极大程度上保证了使用者的资金财产安全。
 
 

 
图2 动态口令在中国银行网上支付的应用