QQ 安全令牌为什么离线的情况下(手机停机)能用,即安全令牌不需要连接网络就能与服务器同步?

比如我手机上安装了安全令牌,在飞行模式下,为什么能验证成功?
关注者
23
被浏览
11,594

7 个回答

首先,要知道什么是令牌:

令牌是一块具有一定运算能力和存储能力的硬件设备,用来产生一次性密码(也叫动态密码)。

其次,要了解令牌产生动态密码并进行认证的运作过程:

令牌与服务器保留一个相同的字符串与一套相同的哈希函数

认证的时候,首先令牌用哈希函数去计算字符串+当前时间,得到随时间变化的密码;服务器接到密码后,同样也是利用哈希函数去计算字符串+当前时间,用得到的值去比较接到的密码,以此来验证用户身份的真伪。

在整个过程中,字符串哈希函数均为不可被他人获得的信息。如果字符串哈希函数被别人掌握了,那么系统的安全性将会严重降低。

再来说一下TX的安全令牌。为了降低用户成本,TX将硬件令牌做到了手机上。手机有充足的运算能力与存储能力,使硬件令牌变成软件令牌成为可能。

安全性:之前谈到了,字符串哈希函数均为不可被他人获得的信息。真正的令牌,由于出厂的时候就已经把字符串哈希函数刻录到令牌当中了,因此不必关心硬件令牌字符串哈希函数的安全性。但是由于手机软件是可以被反编译,因此TX并不能解决哈希函数的安全性问题。

最后,回答你的问题:TX令牌的字符串是通过手机产生的随机数与TX服务器产生的服务器通过某种算法生成出来的,黑客不太容易同时拿到这两个随机数,那么保存在手机当中的字符串就是相对安全的。所以也不用每次都要通过网络了,也就可以在非联网的状态下使用了。

简单的说就是[时间+算法]。首次绑定的时候,安全令牌和服务器约定算法。登陆的时候,令牌和服务器按照时间各自计算动态密码。