手机令牌介绍

首先下载QQ手机令牌，下载下来是两个文件Mobile_Token.jar和Mobile_Token.jad。

2、接下来，把Mobile_Token.jar用WinRAR解压到Mobile_Token文件夹。

3、打开Mobile_Token文件夹，找到META-INF目录下的MANIFEST.MF文件。

4、用记事本打开MANIFEST.MF，修改安装文件名(在手机里安装后显示的名字)，有两处需要修改：MIDlet-1: 手机令牌MIDlet-Name: 手机令牌将以上两处的“手机令牌”四个字，替换成你要修改的名字，例如：MIDlet-1: 手机令牌1MIDlet-Name: 手机令牌1本教程的目的是修改APK程序中的程序名称，并不是修改APK的文件名，而是修改安装到手机之后，在手机上显示的程序名，主要是把程序菜单中的一些英文名称改为中文或简称。

需要用到的软件和步骤有三个：一、JA V A运行库和.net 2.0（如果电脑中已经安装，可省去此步骤）因为文件比较大，所以就不上传了，可自行在网上下载。

二、ArscEditor（ARSC文件编辑器）1.首先将下载的APK安装包用WINRAR打开。

APK也是一种压缩文件，可以用WINRAR打开，但一般没有进行关联，我们可以先运行WINRAR，再打开APK文件，或在APK文件上右键，点打开方式，从程序中选择WINRAR，打开后将根目录下的resources.arsc解压到任意目录。

2.运行ArscEditor如图，依次点文件/打开，找到解压的resources.arsc。

点string/app_name，在“区域值”文本框中修改成你想要的名称，点击保存当前值，然后在依次点击文件/保存文件，输入相应的文件名即可。

需要注意的是：很多软件是多语种的，“键”右边那个没有标题的列是程序默认的，有些软件只有这一列，有的软件在无标题列的右边还会有其它语种，“zhCN”是简体中文，我们可以只修改没有标题的那一列，因为一般zhCN列中都已经是中文了，当然也是可以修改的。

双重认证（2FA）登录说明
1、概述
通过手机端的动态口令应用扫描ATP交易端的二维码，绑定ATP账户获取密码令牌，点击令牌查看动态密码，同时输入账户密码及动态密码完成双重认证的登录。

推荐使用的动态口令应用为FreeOTP、Google Authenticator，可直接在应用商店下载。

2、绑定账户的设置
2.1登录ATP交易客户端，输入用户名和密码，点击登录
2.2自动弹出双重认证的设置页面，按提示的两个步骤获取动态密码并输入。

以FreeOTP为例，打开FreeOTP，点击右上角的二维码，扫描交易端弹出的双重认证设置上的二维码，即可绑定账户生成密码令牌
2.3点击密码令牌，查看动态密码并将其输入客户端，完成账户绑定及首次认证。

2、双重认证（2FA）登录交易平台
用户完成绑定及首次认证后，后续登录都需要双重认证。

2.1交易客户端：输入用户名、密码、查看并输入已绑定手机APP中的动态密码。

2.2交易移动端：输入用户名、密码、查看并输入已绑定手机APP中的动态密码。

2.3交易网页版：输入用户名、密码、查看并输入已绑定手机APP中的动态密码。

密码管理的几个建议最近的密码泄露风波让大家对密码安全有了更深一层的认识。

不仅如此，密码安全更是全世界人们都必须重视的东西。

根据英国卫报消息，美国战略预测公司网站遭到黑客攻击，85万注册用户信息遭泄密。

其中221名英国国防部军官和242名北约官员邮件地址遭泄露，密码均可轻易破解。

更多美国军方人士个人信息也遭泄密。

美国前副总统丹-奎尔以及前国务卿基辛格的个人信息竟然也在其中。

密码安全好似相处已久的恋人，平时虽无特别的感受，但等到不得不分手时才感到追悔莫及。

通常来说，密码安全性受个人技术能力，社会工程学知识，管理习惯等因素影响。

不过好的密码管理习惯可以有效的增强密码安全性强度，甚至在密码发生泄露之后最大程度的减少损失。

这里我们就来谈谈如何养成好的密码管理习惯。

密码创建密码的创建非常重要，他是有效保护账户安全的第一步。

强密码应该使用由数字和大小写英文字符组成，长度应该至少在 8 位以上，如此一来，该密码的可能组合至少为 10^6×24^2×7×8 种，使用暴力破解的方式代价极大。

除此之外，密码字符应该尽可能多，甚至参杂标点符号。

同时密码中不能出现有意义的单词，与个人生日、姓名有关的字符或者各类电话号码，总之不能是其他人能够轻易获取到的任何个人信息，密码应该只对你自己有意义。

遗憾的是，通过分析 CSDN 泄露出的密码数据库，使用 123456789 作为密码的用户居然有 23 万之多，可见的密码安全在很多人心中的地位并不重要。

创建了强密码之后是否就意味着一劳永逸呢？当然不是的，你密码不应该是唯一的，理想情况下，每个账户都应该使用不同的密码。

不过遗憾的是人类的大脑并不如电子记忆体一般，能够一次保存，永久读写，因此建议采取分级密码管理的方式为重要程度不同的账户创建不同的密码。

比如，普通论坛账户对于安全性的需求较低，对于黑客来说也不会有特别大的价值，因此可以采用较为简单密码。

而银行账户、电子支付账户和重要联系工具，比如电子邮箱、即时通讯账户则应该使用强度非常高的密码进行保护。

基于手机令牌的身份认证技术在电子商务活动中的应用本文分析了当前电子商务活动存在的安全隐患，简单说明了动态口令技术的原理，并阐述了基于手机令牌技术的电子商务身份认证系统的设计方案。

该身份认证方案的应用可有效的解决静态密码易泄露和易被攻破的问题，从而提高了电子商务活动的安全性。

标签：电子商务手机令牌身份认证网络安全动态口令随着电子商务迅速的发展，网上交易成为一个新兴的购物方式，使得传统的商店与行销环境受到冲击。

网上交易有着快捷，方便和足不出户等优点，但即使在网络技术日新月异和飞速发展的今天，网络安全仍然是制约电子商务发展的一个主要瓶颈。

一、电子商务的安全隐患由于电子商务活动的买卖双方大都不谋面地进行各种商贸活动，因此电子商务特别是其网上支付领域有着各种各样的交易风险。

由于所有的个人和交易信息进行传输和交换的载体是一个开放的网络（如Internet），故在交易之前我们必须验证交易双方的真实身份。

目前大部分网站使用的是基于静态密码的身份验证技术，由于大多数用户没有定期改变静态密码的习惯，而且往往采用一些常用词组或者生日等简单数字作为静态密码，故静态密码方案不能抵御字典攻击和重放攻击，且密码容易忘记，所以其安全性是很低的，不能很好满足当前电子商务中身份验证的需求。

二、各种身份认证技术的对比身份认证的原理是验证用户拥有什么（如U盾和口令牌等），用户知道什么（如用户名和静态密码），用户具有什么特征（如脑电波，虹膜和指纹等）。

国内外常见身份验证技术包括：传统的用户名/静态密码方式、USB Key认证、生物特征认证和IC卡认证等。

大量的研究表明，用户名/静态密码方式认证是不安全的。

目前国内外的一些较成熟的身份验证技术，大多是用硬件来实现的（如U盾技术和IC卡认证技术等）。

动态口令又称为一次性口令，其特点是每个登录口令只使用一次，窃听者即使窃听成功，但也无法用窃听到的口令来做下一次登录。

三、基于手机令牌的动态口令身份认证技术与动态口令技术比较相似的是短信密码技术。

令牌访问控制工作原理(一)令牌访问控制工作什么是令牌访问控制•令牌访问控制(Token-based Access Control)是一种在计算机系统中控制访问权限的方法。

•它通过使用令牌来进行身份验证和授权，确保只有具备有效令牌的用户才能访问受保护的资源。

令牌访问控制的原理1.用户身份验证–用户首先提供用户名和密码等凭据进行身份验证。

–一旦身份验证成功，系统将为该用户颁发一个令牌。

2.令牌生成和管理–系统会为每个登录用户生成一个唯一的令牌，并将其与用户的身份信息相关联。

–令牌通常包含一些关键信息，如用户标识、访问权限等。

3.令牌传递和验证–用户在后续的请求中需要携带有效的令牌。

–服务器根据令牌对用户进行身份验证和授权，判断是否允许用户访问资源。

令牌访问控制的优势•无状态性(Stateless)：服务器不需要存储用户的身份和会话信息，简化了服务器端的开发和维护。

•分布式支持：令牌可以在多个服务器之间共享，方便构建分布式系统。

•灵活性：可以根据需求灵活配置令牌的过期时间、访问权限等。

令牌访问控制的实践1.生成令牌–用户成功登录后，服务器为其生成一个令牌，并返回给用户。

–令牌可以是随机生成的字符串，也可以是加密后的字符串，以确保安全性。

2.传递令牌–用户在后续的请求中需要在请求头或参数中携带令牌信息，以向服务器证明其身份。

–通常使用标准的HTTP头部信息，在请求头部中的”Authorization”字段传递令牌。

3.验证令牌–服务器在接收到请求后，会对令牌进行验证。

–验证可以通过检查令牌的签名、过期时间等信息，确保令牌的合法性和有效性。

4.授权访问–一旦令牌验证通过，服务器会根据令牌中的权限信息进行授权访问。

–根据用户的角色和权限，判断用户是否有权访问请求资源。

令牌访问控制的安全性考虑•令牌的安全性：令牌需要保证其不被伪造或篡改，一般使用加密算法和数字签名来确保安全性。

•令牌的传递安全性：在传递令牌过程中，需要采用安全的传输协议，如HTTPS，避免令牌被截获和窃取。

中国邮政储蓄银行手机银行电子令牌相关问题详解
1、中国邮政储蓄银行手机银行电子令牌解挂、补办是否有期限限制，挂失后再到中国邮政储蓄银行网点补办时是否收费
电子令牌挂失后，若不在中国邮政储蓄银行柜台办理解挂失或补办业务，则电子令牌始终处于挂失状态。

电子令牌补发需收20元工本费（具体资费标准以当地中国邮政储蓄银行公告为准）。

2、中国邮政储蓄银行手机银行电子令牌是否有工本费
申请电子令牌需支付工本费20元（具体资费标准以当地中国邮政储蓄银行公告为准）。

3、如中国邮政储蓄银行手机银行电子令牌与其他电子渠道共用，令牌挂失成功后，其他渠道均为挂失状态吗？
如果电子令牌与其他电子渠道（如中国邮政储蓄银行个人网银）共用则挂失成功后，其他渠道均为挂失状态。

课程论文()数字证书与令牌身份认证的比较研究院系：软件学院专业：软件工程姓名：完成日期：2012年12月18日目录一、引言 (2)二、简介及认证原理 (3)（一）数据证书认证方式简介 (3)（二）令牌认证方式简介 (3)三、比较分析 (4)（一）适用范围方面 (4)（二）可靠性方面 (5)（三）易用性方面 (5)（四）标准化程度 (5)（五）管理和维护难度 (6)四、总结 (6)参考文献 (6)一、引言随着计算机技术、网络技术以及信息技术的发展，各种应用系统也随之快速发展，从小到个人计算机系统，大到银行、证券、保险、电力、石油、医疗、税务、公安等大型的应用系统。

为了保护应用系统的所有者和用户的合法权益，这些应用系统一般都提供了身份认证功能，以确保只有合法的用户才能够访问应用系统，应用系统中的用户信息不会被泄露。

在应用系统的早期阶段中，普遍采用静态密码作为身份认证技术，由于当时技术环境和应用环境的简单化，使用静态密码作为身份认证技术已经完全能够保护应用系统的安全。

但是随着技术环境和应用环境的改变，特别是熟悉相关技术的人越来越多，各种攻击技术、破解技术以及攻击工具和破解工具通过互联网广泛传播的情况下，静态密码的安全性和弱点就显露出来。

此时非常需要有新的身份认证技术来提高系统的身份认证安全。

目前常见的身份认证有：数字证书认证、令牌认证、短信认证、生物特征认证，本文将重点研究比较数字证书认证和令牌认证，从原理、认证机制、优缺点等方面进行介绍。

二、简介及认证原理（一）数据证书认证方式简介PKI是Public Key Infrastructure的缩写，就是基于公钥理论和技术为网络提供安全服务的基础设施。

公钥体制是目前应用最广泛的一种加密体制，在这一体制中，加密密钥与解密密钥各不相同。

公钥加密、私钥解密可以实现对数据的加密保护，私钥签名、公钥验证可以实现对数据的数字签名。

这种方式既保证了信息的机密性，又能保证信息具有不可抵赖性。