令牌

令牌分为&＃xff1a;质询/响应令牌和时间令牌&＃xff1b;

     令牌有点像一个小计算器&＃xff0c;粗略一看也有点像汽车的遥控器&＃xff0c;所有的令牌差不多都有一个处理器&＃xff0c;一个液晶屏和一个电池&＃xff0c;有些令牌还有供用户输入信息的小键盘和一个时钟。每个牌都有一个唯一的种子数&＃xff0c;种子可确保令牌输出唯一的代码集。令牌产生的伪随机数称为一次性口令或者一次通行码。

     用户在访问受保护的资源时&＃xff0c;输入用户名&＃xff0c;令牌上显示的通行码和PIN&＃xff0c;而不是口令。每个通行码用一次后就不再使用&＃xff0c;大多数系统中&＃xff0c;认证系统不直接检验通行码&＃xff0c;而是让所信任的认证服务器去做这个事情。

     认证服务器必须知道每个令牌的编程种子数&＃xff0c;因为认证系统知道每个特定令牌的种子数后&＃xff0c;才能检查访问用户提供的伪随机数是否正确。

     令牌认证是双因素认证或者称2-因素认证&＃xff0c;要使用令牌认证必须拥有令牌和PIN&＃xff0c;两者缺一不可

1.质询/响应令牌

       使用令牌时&＃xff0c;令牌和认证服务器需要有相同的种子数。种子数是一个适当长度的随机数&＃xff0c;不同令牌的种子数不同&＃xff0c;令牌中的种子数是不向外公开的&＃xff0c;由于令牌没有接口接收质询&＃xff0c;所以用户需要看到认证服务器返回的质询后&＃xff0c;将其输入到令牌中

操作过程如&＃xff1a;

使用散列算法而不是加密算法主要以下几个方面的考虑&＃xff0c;散列算法容易实现而且需要的CPU资源比加密运算少&＃xff0c;这对低当的令牌处理器极为有利&＃xff0c;即节省成本又延长电池寿命。

2时间令牌

 

在服务器端认证的时侯&＃xff0c;如果服务器发现通行码不匹配&＃xff0c;这时服务器会向前或者向后调一下时间再一次做散列处理后&＃xff0c;进行匹配; 如果还不匹配的话&＃xff0c;服务器还会扩大向前或向后调整时间的范围&＃xff0c;再做散列处理&＃xff0c;进行匹配。如果匹配成功后&＃xff0c;服务器记录下令牌与服务器时间的偏移量。向前或者向后调整超过一定范围后就被认为失败.

 

 

从令牌安全角度来讲&＃xff0c;在用户使用令牌的时候需要输入一个PIN,如果输入正确的PIN后会产生一个正确的种子数&＃xff1b;输入错的话也不会提示失败&＃xff0c;而是给出一个错误的种子数&＃xff0c;继续使用。每个令牌都有一种特定的错误种子数&＃xff0c;以便服务器跟踪