動態口令(Dynamic Password)也稱一次性口令(One-time Password)。動態口令是變動的口令，其變動來源於産生口令的運算因數是變化的。動態口令的産生因數一般都採用雙運算因數(two factor)：其一，爲用戶的私有密鑰。它是代表用戶身份的識別碼，是固定不變的。其二，爲變動因數。正是變動因數的不斷變化，才産生了不斷變動的動態口令。採用不同的變動因數，形成了不同的動態口令認證技術：基於時間同步（Time Synchronous）认证技术、基于事件同步（Event Synchronous）认证技术和挑战/应答方式的非同（Challenge/Response Asynchronous）认证技术。

　　基于时间同步认证技术是把流逝中的时间作为变动因子，一般以60秒、30秒作为变化单位。所谓“同步”是指用户口令卡和认证服务器所产生的口令在时间上必须同步。这里的时间同步方法不是用“时统”技术，而是用“滑动窗口”技术。

 

　　①：客户请求接入应用服务器；

　　②：应用服务器请求认证服务器对客户的身份的合法性和真实性进行认证；

　　③：客户终端弹出身份认证对话框；

　　④：客户在持有的口令卡上键入PIN码（或开机码），激活口令卡；

　　⑤：客户将帐号和口令键入终端的身份认证对话框；

　　⑥：客户终端将帐号和口令通过网络传输给认证服务器；

　　⑦：认证服务器调用客户信息，产生与客户信息和时间相关的随机序列，并与客户输入的口令进行比对，判别客户身份的合法性和真实性；

　　⑧：认证服务器将认证结果报告给应用服务器；

　　⑨：应用服务器根据客户身份的合法性和真实性反馈给客户终端，并决定可以提供服务或拒绝服务。

　　基于事件同步认证技术是把变动的数字序列（事件序列）作为口令产生器的一个运算因子，与用户的私有密钥共同产生动态口令。这里的同步是指每次认证时，认证服务器与口令卡保持相同的事件序列。如果用户使用时，因操作失误多产生了几组口令出现不同步，服务器会自动同步到目前使用的口令，一旦一个口令被使用过后，在口令序列中所有这个口令之前的口令都会失效。其认证过程与时间同步认证相同。

　　挑战/应答（Challenge/Response）方式的变动因子是由认证服务器产生的随机数字序列（Challenge），它也是口令卡的口令生成的变动因子：

　　①：客户请求接入应用服务器；

　　②：应用服务器请求认证服务器对客户的身份的合法性和真实性进行认证；

　　③：认证服务器先传送一个随机动态的数字序列（Challenge）给客户终端；

　　④：客户将Challenge数字序列键入口令卡，口令卡产生动态口令；

　　⑤：客户将帐号和口令键入终端的身份认证对话框；

　　⑥：客户终端通过网络将动态口令传输给认证服务器；

　　⑦：认证服务器调用客户信息，产生与客户信息和Challenge数字序列相关的动态口令，并与客户输入的口令进行比对，判别客户身份的合法性和真实性；

　　⑧：认证服务器将认证结果报告给应用服务器；

　　⑨：应用服务器根据客户身份的合法性和真实性反馈给客户终端，并决定可以提供服务或拒绝服务。

由于每一个Challenge都是唯一的、不会重覆使用，并且Challenge是在同一个地方产生，所以，不存在同步问题。

　　上述三种动态口令身份认证方式的性能比较见下表。

认证方式	优点	缺点	应用环境
时间同步认证	简单、易用、易管理、占用网络时间资源少。	安全性低于挑战/应答方式	集中管理的系统
事件同步认证	简单、易用、易管理；	安全性低于挑战/应答方式； 口令卡丢失存在安全隐患。	需要批次作业的系统
挑战/应答认证	安全性高、一卡多用。	操作烦琐、占用网络时间多	安全性要求高的小系统

　　当前，市场上使用最多的是时间同步认证技术，它既能在大型电子商务系统中应用，也能在内部网中应用。为了保证认证服务器 “时钟”的稳定、可靠，不被人恶意修改，保证动态口令算法的安全，各家公司为认证服务器专门开发了“时钟/口令卡”。

　　由于用户持有口令卡，且只有自己知道的PIN码；由于口令卡产生的新口令，不可预测，并只能使用一次；由于密钥加密存放在服务器和口令卡中，且不在网络中传输，所以，动态口令不怕被人偷看，不怕网络“黑客”的网络窃听，不怕“重放攻击”，不能猜测，不易破解，具有强身份认证的特征，具有较高的安全性和使用的方便性。近年来，随着网络安全事件的大幅度上升，动态口令身份认证系统越来越受到青睐。目前，已有超过一千万人使用名片大小的动态口令卡：企业员工、合作伙伴、客户安全地访问企业内部网；股民放心地进行证券网上委托交易；银行用户方便地进行网上银行交易；电子政务、电子报关、电子报税、社区管理等等。