2023年12月25日发(作者：微生飞)

SafeToken手机令牌介绍

SafeToken手机令牌介绍

(一) 需求的来源：

随着网络技术的飞速发展和广泛应用，网络安全问题愈加突出。据统计，网络系统中75%以上的攻击都是由于系统帐号的不正当使用或被盗用等原因造成的，当前网络系统广泛使用的身份验证方式是用户密码验证。但是传统的用户密码是静态的，选择容易记忆的密码，容易被破译；选择复杂的密码，固然比较安全，但是难于记忆。而且，静态的密码容易泄漏，难于保管。

动态口令是根据专门的算法生成一个不可预测的随机数字组合，每个密码只能使用一次。动态口令作为最安全的身份认证技术之一，目前已成为身份认证技术的主流，被广泛应用在网银、网游、电信运营商、电子商务、企业等领域。随着移动互联网的飞速发展，针对网络游戏、互联网、银行证券交易、电信运营商等用户基数大的移动互联网应用发展最快、市场潜力最大。作为移动互联网时代的动态口令认证方式需要具有动态密码服务管理及运营成本低，无需额外携带、无需更换，方便广大用户使用的特点。

手机令牌是用来生成动态口令的手机客户端软件，手机令牌是由运行在手机上的程序产生动态口令，动态口令与手机绑定进行身份认证。在生成动态口令的过程中，不会产生任何通信及流量费用，不存在通信信道中被截取的可能性，手机作为动态口令生成的载体，欠费和无信号对其不产生任何影响，由于其在具有高安全性、低成本、无需携带、获取以及无物流等优势，相比其他强认证方式更符合互联网的精神，由于以上优势，手机令牌将成为3G时代动态密码身份认证令牌的主流形式。

目前SafeToken手机令牌有Kjava、IOS、Andriod版本，支持各种手机操作系统如iPhone、Symbian、Andriod等。

(二) 产品的原理：

与SafeToken动态令牌的硬件令牌形式一样，SafeToken手机令牌支持基于时间同步、事件同步及挑战应答三种形式。

1. 基于时间同步的SafeToken手机令牌

基于令牌和服务器之间的时间同步，通过运算来生成一致的动态口令，一般口令更新率为30或60秒，即每30或60秒产生一个新口令，但由于其同步的因素一般是服务器时间，则要求其服务器能够十分精确的保持正确的时钟，同时对其手机的时间有严格的要求，以降低系统失去同步的几率。从另一方面，时间同步的SafeToken手机令牌在每次进行认证时，服务器端将会检测令牌的时钟偏移量，相应的不断微调自己的时间记录，从而保证了SafeToken手机令牌和服务器的同步，确保日常的使用。因此，对于时北京普安思科技有限公司

- 1 -

SafeToken手机令牌介绍

间同步设备的系统时钟进行保护是十分必要的，由于绝大多数手机终端默认时间设置项均为使用网络提供时间，手机终端的时间可与GSM网络或3G网络的时钟进行精确的自动同步，可很好的避免手机终端的时钟失步。对于极个别失去时间同步的手机令牌，目前可以通过增大偏移量的技术(前后10分钟)来进行远程同步，确保其能够继续使用，降低对应用的影响。但对于超出默认值(前后20分钟)的时间同步令牌，将无法继续使用或进行远程同步，必须由系统管理员在服务器端另行处理。

2. 基于事件同步的SafeToken手机令牌

基于事件同步的SafeToken手机令牌，其原理是通过某一特定的事件次序及相同的种子值作为输入，在加密算法中运算出一致的密码，其运算机理决定了其整个工作流程同时钟无关，不受时钟的影响，令牌中不存在时间脉冲晶振。但是，基于事件同步的手机令牌同样存在失去同步的风险，例如用户多次无目的的生成口令等。对于手机令牌的失步，事件同步的服务器使用增大偏移量的方式进行再同步，其服务器端会自动向后推算一定次数的密码(例如16次)，来同步手机令牌和服务器，当失步情况非常严重，大量超出正常范围时，通过连续输入两次令牌计算出的密码，服务器将自动进行令牌同步。一般情况下，手机令牌自动同步所需的输入密码次数不会超过3次，对使用者来说几乎是透明操作。

3. 基于挑战-应答口令的SafeToken手机令牌

挑战-应答手机令牌在手机令牌和服务器之间除了相同的算法外，没有需要进行同步的因素，能够有效的解决令牌失步的问题，降低对应用的影响。其另外一个好处是，在网络传输过程中没有出现密码的传输，哪怕是动态口令，因此极大的增加了系统的安全性。挑战-应答口令使用的缺点主要是在使用过程中，增加了一个用户输入挑战值的步骤，对于操作人员略显复杂。因此，在设计动态口令方案时，需要根据用户应用的敏感程度和对安全的要求程度来选择使用不同安全级别的动态口令技术。

SafeToken手机令牌支持以上所有的动态口令方式，能够按照被保护资源的不同敏感程度、重要等级，灵活的配置不同的认证技术，从而在系统安全性和操作简便性中找到平衡点，满足各种需求。

(三) 功能特点：

产品性质：手机令牌是一种手机客户端软件

便捷体现：使用简单、安全性高、低成本、无需携带额外设备、易获取

应用范围：可以广泛应用在网上银行、网上证券、电子商务、电信、移动等用户基数大的领域。

北京普安思科技有限公司

- 2 -

SafeToken手机令牌介绍

使用寿命：终生

成本体现：动态密码服务管理及运营成本低，边界成本几乎为零

(四) 认证使用过程：

手机令牌用户可自行下载安装和注册手机令牌，安装过程无需管理员的任何协助。

手机令牌用户在安装手机令牌时需设置PIN码，只有手机持有者输入正确的PIN码才能使用手机令牌产生动态口令登陆成功。

一旦用户手机丢失或自设的PIN码忘记可通知管理员，再自行进行手机令牌安装和重新注册。

（1）手机令牌注册：

苹果手机用户从苹果软件商店下载基于苹果IOS的手机令牌，android和Kjava系统用户通过移动办公系统分发或下载基于Android和Kjava系统的软件令牌，手机令牌用户通过基于https的SafeToken用户中心的手机令牌注册功能，自行注册手机令牌。如图：

输入手机令牌上产生的初始码进行注册。手机截图如下（支持android、苹果IOS、kjava平台，以下只以苹果IOS与Android为例）：

北京普安思科技有限公司

- 3 -

SafeToken手机令牌介绍

（2）手机令牌的使用:

当用户认证的时候，点击手机令牌的图标，输入自己安装时设置的PIN码，只有输入正确的PIN码才能使用手机令牌产生动态口令，如图（左图为苹果手机、右图为android手机）：

（3）手机令牌认证过程:

北京普安思科技有限公司

- 4 -

SafeToken手机令牌介绍

(五) 应用场景

手机令牌运用在客户群体大、客户群体相当年轻的行业，可以广泛应用在网上银行、网上证券、电子商务、电信、移动等用户基数大的领域。

行业 主要应用场景

邮件、财务、ERP、CRM系统登陆认证、VPN接入认证、AD域登陆等多个需要高强度认证的应用场景

涉及网银登陆、证券期货交易系统登陆、支付转账交易认证等应用场景

企业应用

银行、证券、第三方支付

网络游戏、电子商务、云计算

虚拟物品交易、信息资产管理登陆、桌面云登陆

4A、BOSS、BASS、OA、邮件、桌面云等各类应用的登陆电信运营商

认证；VPN接入认证；

各类主机及网络设备登陆认证

(六) 应用模式

SafeToken手机令牌可以用于应用于保护以下系统进行动态口令身份认证与访问控制：

 Solaris, HP-UX, AIX, Redhat Linux, SUSE Linux登陆

北京普安思科技有限公司

- 5 -

SafeToken手机令牌介绍















(七)

MS Windows全系列操作系统登陆

MS Windows 2000/2003/2008域登陆

Terminal Service登陆

各类应用系统的认证

VPN系统及拨号接入

路由器、交换机、防火墙登陆

基于RADIUS协议的兼容设备认证

集成方案

集成步骤

（1）确定系统的应用类型，从下表选择合适的集成方式

（2）部署SafeToken （身份认证与访问控制系统），确保与各系统能够通信

（3）根据手机操作系统，用户选择下载合适的手机令牌并进行自注册。

应用类型 集成方式 部分支持厂商

Juniper、Cisco、Huawei、Array、CheckPoint、RADIUS认证 F5、SonicWall、Microsoft ISA、OpenVPN、联想网御、深信服等。

支持采用C/C++、JAVA等语言编写的C/S及B/S应用系统

IPSEC/SSL

VPN

应用程序 认证API

SID2 Agent

Linux/UNIX

PAM Agent

MS Windows及AD域

网络设备、安全设备

(八) 典型案例

- 6 -

支持Linux/Saloris/AIX/HP-UX等

Terminal

Service Agent

支持MS Windows全系列操作系统及AD域登陆

RADIUS认证

支持Juniper、Cisco、Huawei、Array、F5等与RADIUS协议兼容的网络设备

北京普安思科技有限公司

SafeToken手机令牌介绍

主要客户 案例应用

采用认证API集成方式应用于4A、NGBOSS、BASS等应用系统登陆认证；

广东移动

采用Agent部署方式应用于主机登陆认证；

采用Radius认证应用于网络设备登陆认证；

采用Radius认证应用于VPN接入认证和网络设备登陆；

福建移动

采用Agent部署方式应用于主机登陆认证；

采用认证API集成方式应用于管理信息支撑等应用系统登陆认证；

采用Agent部署方式应用于主机登陆认证；

采用Radius认证应用于VPN接入认证和网络设备登陆；

采用认证API集成方式应用于公司邮件系统登陆认证；

富士康

采用Agent部署方式应用于主机登陆认证；

宇通客车

采用Radius认证应用于VPN接入认证；

内蒙古移动

中国农业银行北京数据中心

北京普安思科技有限公司

- 7 -

2023年12月25日发(作者：微生飞)

SafeToken手机令牌介绍

SafeToken手机令牌介绍

(一) 需求的来源：

随着网络技术的飞速发展和广泛应用，网络安全问题愈加突出。据统计，网络系统中75%以上的攻击都是由于系统帐号的不正当使用或被盗用等原因造成的，当前网络系统广泛使用的身份验证方式是用户密码验证。但是传统的用户密码是静态的，选择容易记忆的密码，容易被破译；选择复杂的密码，固然比较安全，但是难于记忆。而且，静态的密码容易泄漏，难于保管。

动态口令是根据专门的算法生成一个不可预测的随机数字组合，每个密码只能使用一次。动态口令作为最安全的身份认证技术之一，目前已成为身份认证技术的主流，被广泛应用在网银、网游、电信运营商、电子商务、企业等领域。随着移动互联网的飞速发展，针对网络游戏、互联网、银行证券交易、电信运营商等用户基数大的移动互联网应用发展最快、市场潜力最大。作为移动互联网时代的动态口令认证方式需要具有动态密码服务管理及运营成本低，无需额外携带、无需更换，方便广大用户使用的特点。

手机令牌是用来生成动态口令的手机客户端软件，手机令牌是由运行在手机上的程序产生动态口令，动态口令与手机绑定进行身份认证。在生成动态口令的过程中，不会产生任何通信及流量费用，不存在通信信道中被截取的可能性，手机作为动态口令生成的载体，欠费和无信号对其不产生任何影响，由于其在具有高安全性、低成本、无需携带、获取以及无物流等优势，相比其他强认证方式更符合互联网的精神，由于以上优势，手机令牌将成为3G时代动态密码身份认证令牌的主流形式。

目前SafeToken手机令牌有Kjava、IOS、Andriod版本，支持各种手机操作系统如iPhone、Symbian、Andriod等。

(二) 产品的原理：

与SafeToken动态令牌的硬件令牌形式一样，SafeToken手机令牌支持基于时间同步、事件同步及挑战应答三种形式。

1. 基于时间同步的SafeToken手机令牌

基于令牌和服务器之间的时间同步，通过运算来生成一致的动态口令，一般口令更新率为30或60秒，即每30或60秒产生一个新口令，但由于其同步的因素一般是服务器时间，则要求其服务器能够十分精确的保持正确的时钟，同时对其手机的时间有严格的要求，以降低系统失去同步的几率。从另一方面，时间同步的SafeToken手机令牌在每次进行认证时，服务器端将会检测令牌的时钟偏移量，相应的不断微调自己的时间记录，从而保证了SafeToken手机令牌和服务器的同步，确保日常的使用。因此，对于时北京普安思科技有限公司

- 1 -

SafeToken手机令牌介绍

间同步设备的系统时钟进行保护是十分必要的，由于绝大多数手机终端默认时间设置项均为使用网络提供时间，手机终端的时间可与GSM网络或3G网络的时钟进行精确的自动同步，可很好的避免手机终端的时钟失步。对于极个别失去时间同步的手机令牌，目前可以通过增大偏移量的技术(前后10分钟)来进行远程同步，确保其能够继续使用，降低对应用的影响。但对于超出默认值(前后20分钟)的时间同步令牌，将无法继续使用或进行远程同步，必须由系统管理员在服务器端另行处理。

2. 基于事件同步的SafeToken手机令牌

基于事件同步的SafeToken手机令牌，其原理是通过某一特定的事件次序及相同的种子值作为输入，在加密算法中运算出一致的密码，其运算机理决定了其整个工作流程同时钟无关，不受时钟的影响，令牌中不存在时间脉冲晶振。但是，基于事件同步的手机令牌同样存在失去同步的风险，例如用户多次无目的的生成口令等。对于手机令牌的失步，事件同步的服务器使用增大偏移量的方式进行再同步，其服务器端会自动向后推算一定次数的密码(例如16次)，来同步手机令牌和服务器，当失步情况非常严重，大量超出正常范围时，通过连续输入两次令牌计算出的密码，服务器将自动进行令牌同步。一般情况下，手机令牌自动同步所需的输入密码次数不会超过3次，对使用者来说几乎是透明操作。

3. 基于挑战-应答口令的SafeToken手机令牌

挑战-应答手机令牌在手机令牌和服务器之间除了相同的算法外，没有需要进行同步的因素，能够有效的解决令牌失步的问题，降低对应用的影响。其另外一个好处是，在网络传输过程中没有出现密码的传输，哪怕是动态口令，因此极大的增加了系统的安全性。挑战-应答口令使用的缺点主要是在使用过程中，增加了一个用户输入挑战值的步骤，对于操作人员略显复杂。因此，在设计动态口令方案时，需要根据用户应用的敏感程度和对安全的要求程度来选择使用不同安全级别的动态口令技术。

SafeToken手机令牌支持以上所有的动态口令方式，能够按照被保护资源的不同敏感程度、重要等级，灵活的配置不同的认证技术，从而在系统安全性和操作简便性中找到平衡点，满足各种需求。

(三) 功能特点：

产品性质：手机令牌是一种手机客户端软件

便捷体现：使用简单、安全性高、低成本、无需携带额外设备、易获取

应用范围：可以广泛应用在网上银行、网上证券、电子商务、电信、移动等用户基数大的领域。

北京普安思科技有限公司

- 2 -

SafeToken手机令牌介绍

使用寿命：终生

成本体现：动态密码服务管理及运营成本低，边界成本几乎为零

(四) 认证使用过程：

手机令牌用户可自行下载安装和注册手机令牌，安装过程无需管理员的任何协助。

手机令牌用户在安装手机令牌时需设置PIN码，只有手机持有者输入正确的PIN码才能使用手机令牌产生动态口令登陆成功。

一旦用户手机丢失或自设的PIN码忘记可通知管理员，再自行进行手机令牌安装和重新注册。

（1）手机令牌注册：

苹果手机用户从苹果软件商店下载基于苹果IOS的手机令牌，android和Kjava系统用户通过移动办公系统分发或下载基于Android和Kjava系统的软件令牌，手机令牌用户通过基于https的SafeToken用户中心的手机令牌注册功能，自行注册手机令牌。如图：

输入手机令牌上产生的初始码进行注册。手机截图如下（支持android、苹果IOS、kjava平台，以下只以苹果IOS与Android为例）：

北京普安思科技有限公司

- 3 -

SafeToken手机令牌介绍

（2）手机令牌的使用:

当用户认证的时候，点击手机令牌的图标，输入自己安装时设置的PIN码，只有输入正确的PIN码才能使用手机令牌产生动态口令，如图（左图为苹果手机、右图为android手机）：

（3）手机令牌认证过程:

北京普安思科技有限公司

- 4 -

SafeToken手机令牌介绍

(五) 应用场景

手机令牌运用在客户群体大、客户群体相当年轻的行业，可以广泛应用在网上银行、网上证券、电子商务、电信、移动等用户基数大的领域。

行业 主要应用场景

邮件、财务、ERP、CRM系统登陆认证、VPN接入认证、AD域登陆等多个需要高强度认证的应用场景

涉及网银登陆、证券期货交易系统登陆、支付转账交易认证等应用场景

企业应用

银行、证券、第三方支付

网络游戏、电子商务、云计算

虚拟物品交易、信息资产管理登陆、桌面云登陆

4A、BOSS、BASS、OA、邮件、桌面云等各类应用的登陆电信运营商

认证；VPN接入认证；

各类主机及网络设备登陆认证

(六) 应用模式

SafeToken手机令牌可以用于应用于保护以下系统进行动态口令身份认证与访问控制：

 Solaris, HP-UX, AIX, Redhat Linux, SUSE Linux登陆

北京普安思科技有限公司

- 5 -

SafeToken手机令牌介绍















(七)

MS Windows全系列操作系统登陆

MS Windows 2000/2003/2008域登陆

Terminal Service登陆

各类应用系统的认证

VPN系统及拨号接入

路由器、交换机、防火墙登陆

基于RADIUS协议的兼容设备认证

集成方案

集成步骤

（1）确定系统的应用类型，从下表选择合适的集成方式

（2）部署SafeToken （身份认证与访问控制系统），确保与各系统能够通信

（3）根据手机操作系统，用户选择下载合适的手机令牌并进行自注册。

应用类型 集成方式 部分支持厂商

Juniper、Cisco、Huawei、Array、CheckPoint、RADIUS认证 F5、SonicWall、Microsoft ISA、OpenVPN、联想网御、深信服等。

支持采用C/C++、JAVA等语言编写的C/S及B/S应用系统

IPSEC/SSL

VPN

应用程序 认证API

SID2 Agent

Linux/UNIX

PAM Agent

MS Windows及AD域

网络设备、安全设备

(八) 典型案例

- 6 -

支持Linux/Saloris/AIX/HP-UX等

Terminal

Service Agent

支持MS Windows全系列操作系统及AD域登陆

RADIUS认证

支持Juniper、Cisco、Huawei、Array、F5等与RADIUS协议兼容的网络设备

北京普安思科技有限公司

SafeToken手机令牌介绍

主要客户 案例应用

采用认证API集成方式应用于4A、NGBOSS、BASS等应用系统登陆认证；

广东移动

采用Agent部署方式应用于主机登陆认证；

采用Radius认证应用于网络设备登陆认证；

采用Radius认证应用于VPN接入认证和网络设备登陆；

福建移动

采用Agent部署方式应用于主机登陆认证；

采用认证API集成方式应用于管理信息支撑等应用系统登陆认证；

采用Agent部署方式应用于主机登陆认证；

采用Radius认证应用于VPN接入认证和网络设备登陆；

采用认证API集成方式应用于公司邮件系统登陆认证；

富士康

采用Agent部署方式应用于主机登陆认证；

宇通客车

采用Radius认证应用于VPN接入认证；

内蒙古移动

中国农业银行北京数据中心

北京普安思科技有限公司

- 7 -