📜  什么是网络安全中的身份验证令牌?

📅  最后修改于: 2021-08-29 11:33:38             🧑  作者: Mango

密码是最常见的身份验证方式。但是,它们并没有我们想象的便宜和简单,尤其是从组织的角度来看,因为它们必须为使用的每个资源提供一个ID和密码,还必须管理使用它们的许多人的密码门户网站。另外,用户记住他们登录的每个网站的密码也变得很麻烦。因此,我们可以使用密码的替代方法,即身份验证令牌。

身份验证令牌是密码的一种非常有用的替代方法。这是一种小型设备,每次使用都会生成一个新的随机值。该随机值用于验证用户。

认证令牌的组成

  • 处理器
  • 用于显示输出的液晶显示屏(液晶显示屏)
  • 电池
  • 一个用于输入信息的小键盘
  • 实时时钟

每个这样的设备(身份验证令牌)都使用称为随机种子或种子的唯一编号进行了预编程该种子可确保由身份验证令牌(设备)生成的输出是唯一的。身份验证令牌是2要素身份验证的示例,因为令牌本身受到某些PIN的保护。

身份验证令牌的工作

1.代币的创建

创建身份验证令牌后,身份验证服务器会为令牌生成相应的随机种子。该种子由身份验证令牌自动使用,因此用户不知道种子的值。该种子已在令牌中进行了预编程,并且针对该用户在用户数据库中的记录进行了输入。

2.令牌的使用

身份验证令牌会自动生成伪随机数,称为一次性密码或一次性密码(这些密码只能使用一次)。一旦使用它们,就无法重复使用。该一次性密码基本上是4位PIN码。以下是使用此一次性密码的一些要点。

  1. 被认证的用户将输入他/她的ID和一次性密码,该密码将被发送到服务器。
  2. 服务器使用种子检索程序从用户数据库接收与用户ID对应的种子
  3. 服务器将种子和一次性密码提供给密码验证程序。
  4. 该程序检查一次性密码和种子是否相互关联。

3.服务器响应

服务器最终根据上一步的输出(成功/失败)以适当的消息作为响应。

身份验证令牌的类型:

响应/挑战令牌

1.用户通过仅提供其用户ID而不提供一次性密码来发送登录请求。

2.服务器检查用户ID是否有效。如果无效,则返回一条错误消息,否则,服务器将创建一个随机质询。然后将随机质询发送给用户。

3.用户收到随机挑战。使用PIN和小键盘在随机询问中打开验证令牌。

4.令牌的种子对随机质询进行加密,然后用户在登录请求的密码部分中输入该质询。

5.服务器验证用户收到的加密随机质询,可以通过两种方式完成:

  • 服务器可以使用用户的种子值解密从用户接收的加密随机质询,该种子值可通过用户数据库供服务器使用。如果此解密与服务器上可用的原始随机质询匹配,则身份验证成功。
  • 服务器可以使用用户的种子来加密自己的随机质询版本,该版本已被更早发送给用户。如果此加密与从用户接收到的加密随机质询匹配,则身份验证成功。

基于时间的令牌

在基于时间的令牌中,服务器无需向用户发送任何随机质询。令牌无需输入键盘。实际上,它使用时间代替随机挑战。令牌每60秒自动生成一个密码,并在LCD输出上为用户显示最新密码。

为了生成密码,基于时间的令牌使用种子和当前系统时间。

  • 当用户想要登录时,他/她输入令牌的LCD上显示的密码,并使用该密码及其用户ID进行登录。
  • 服务器接收密码,并对用户的种子值和当前系统时间执行独立的加密函数,以生成其密码版本。如果两个值匹配,它将认为用户是有效的。
  • 最后,服务器根据上一步的结果将适当的消息发送回用户。

由于其自动化的性质(与质询/响应令牌相比),基于时间的令牌在现实生活中被更频繁地使用。