网上银行动态口令多系统集成解决方案网上银行（以下简称“网银”）作为近年来推出的一种全新的银行业务，由于其给用户带来极大的方便性和成本效益，受到广大用户的欢迎，越来越多的用户开始使用网银服务。银行作为网银服务的提供者，也从网银业务得到两个方面的好处，以低廉的成本提供了高效的服务，从而实现了良好的经济效益。网银的快速发展主要得益于两个方面的原因，其一是技术原因，计算机技术、网络技术以及相关安全技术的发展和成熟，为网银的发展奠定了基础；其二是需求原因，人们在越来越频繁的经济活动中希望能够安全、方便并具有成本效益地使用银行服务。由于网银建立在普通计算机和公共网络平台上，其安全性相当程度上依赖于计算机和网络的安全。近年来，受到利益的驱动，利用计算机和网络的安全漏洞进行的犯罪活动频繁发生。网银在提供方便性的同时，其安全性也引起了银行以及广大网银用户的极大关注。银行方面，积极采取有效措施，提供高安全性的解决方案，并积极引导网银用户使用新的安全技术来保障其网银的安全。为此，各种安全技术纷纷推出，其中之一就是动态口令技术，该技术结合网银原有静态口令认证技术，提供双因素强身份认证，为网银的安全提供了保障。动态口令身份认证技术的出现，弥补了静态口令身份认证技术的不足，再加上其本身具有使用方便、操作简单的特点，所以得到广泛的应用。动态口令也称一次性口令，动态口令是变动的口令，其变动来源于产生口令的运算因子是变化的。动态口令的产生因子一般都采用双运算因子：其一，为用户的私有密钥。它是代表用户身份的识别码，是固定不变的。其二，为变动因子。正是变动因子的不断变化，才产生了不断变动的动态口令。采用不同的变动因子，形成了不同的动态口令认证技术：基于时间同步认证技术、基于事件同步认证技术和挑战/应答方式的非同认证技术。图1动态口令身份认证系统工作过程①客户请求接入应用服务器；②应用服务器请求认证服务器对客户的身份的合法性和真实性进行认证；③客户终端弹出身份认证对话框；④客户激活动态口令令牌，生产动态口令；⑤客户将帐号和口令键入终端的身份认证对话框；⑥客户终端将帐号和口令通过网络传输给认证服务器；⑦认证服务器调用客户信息，产生与客户信息和时间相关的随机序列，并与客户输入的口令进行比对，判别客户身份的合法性和真实性；⑧认证服务器将认证结果报告给应用服务器；⑨应用服务器根据客户身份的合法性和真实性反馈给客户终端，并决定可以提供服务或拒绝服务。动态口令身份认证技术之所以能够提高系统的安全性并得到广泛的应用，主要是其具有以下特点：■动态性：动态口令卡产生的口令每分钟变化（针对时间同步技术的动态口令卡而言）一次，不同时刻使用不同口令登录，每个口令都只在其产生的时间范围内有效。■随机性：动态口令每次都是随机产生的，不可预测。■一次性：每个动态口令使用过一次后，不能再连续重复使用。■抗偷看窃听性：由于动态性和一次性的特点，即使某一个动态口令被人偷看或窃听了，也无法使用。■不可复制性：动态口令与口令卡是紧密相关的，不同的口令卡产生不同的动态口令。而且口令卡是密封的，卡内密钥数据一旦断电就会丢失。因此也就保证只有拥有口令卡的用户才能使用动态口令，其他用户无法获得，也无法共享。■方便性：口令卡随身携带，动态口令显示在卡上，无需再为记忆复杂的、定期更改的口令而烦恼。■危险及时发现：口令卡随身携带，一旦遗失或失窃，就会及时发现、及时挂失，把损失降到最小。■抗穷举攻击性：由于动态性的特点，如果一分钟内穷举不到，那么下一分钟就需要重新穷举，因此新的动态口令可能就在已经穷举过的口令中。另外还可以通过系统设置，限制一分钟内用户登录尝试的次数，从而进一步降低穷举攻击的风险。多系统集成方案是指将多家供应商提供的动态口令身份认证解决方案集成为一个完整的解决方案，各个系统互相协作完成整个身份认证功能。可能的集成包括相同技术方案集成（比如时间同步认证技术方案和时间同步认证技术方案）和不同技术方案集成（比如事件同步认证技术方案和挑战应答非同步认证技术方案）。下面以飞天诚信科技有限公司推出的事件同步认证技术方案EPASSOTP为例，说明其与其它供应商提供的动态口令身份认证方案进行集成的思路和方法。EPASSOTP身份认证系统在多系统集成方案中提供三种架构供选择，具体选择哪一种需要根据具体环境以及具体需求来进行选择。这四种方式分别是EPASSOTP混用模式、EPASSOTP前置模式、EPASSOTP后置模式以及EPASSOTP并行模式。下面以EPASSOTP前置模式为例说明EPASSOTP在多系统集成方案中的基本要求、模式特点和具体方案实施过程以及认证流程