中国银行E-TOKEN动态口令卡(口令牌)原理解读[转]

国银行的网上银行从2009年6月中旬开始使用E-TOKEN俗称(动态口令牌),这个小玩意极大的提高网银交易密码的安全性!

    该装置有一颗内置小芯片和一个可以显示多达6位阿拉伯数字的长方形LCD窗口,其体积很小,可以系在钥匙环上。
    中国银行在柜台发售这种装置时,与网银用户绑定建立一对一对应关系,使用唯一的128位种子将其初始化;其内部芯片每分钟都会使用一种算法,组合该种子与当前时间,生成一个随机的数字。而在我行网银认证服务器则采取和这个动态密码器同一种算法产生该随机数字,保证动态密码器和我行网银服务器的单一认证,就像每个客户都有了世界上独一无二的身份认证,保证客户使用网银的安全性。
    服务器端和每个对应的“动态口令牌”都使用同样的一套算法,可以自定义计算数组的时间间隔。每批次“动态口令牌”都拥有唯一的序列号,然后服务器端和“动态口令牌”执行相同的计算程序,在设定好的相同的更新时间计算出新的数组.


    其实上网输入密码服务器验证时跟这个E-Token的动态口令牌没有有直接物理联系,唯一有联系就是2者根据唯一的序列号,利用公式,你算你的,我算我的。但同一时间算出的数字都是一样的,要不就会验证不能通过,这个6位阿拉伯数字的计算过程中时间是一个很重要的参数,使用时间参数时2者的时间必须要保持一致,要不就会时间不同步导致动态口令牌失效!


    对于失去时间同步的令牌,目前可以通过增大偏移量的技术(前后10分钟)来进行远程同步,确保其能够继续使用,降低对应用的影响,但对于超出默认(共20分钟)的时间同步令牌,将无法继续使用或进行远程同步,必须返厂或送回服务器端另行处理。

   
    发明出这种口令计算算法的人,简直不是人,那得定义出一个多么复杂的规则啊?难就难在要高效运行的同时数字显示还不能重复!不过有了这个东东现在方便多了,不需要手机短信,不用插拔U-KEY……简单了操作流程同时保证了安全性。