网络安全

Question

令牌卡显示一个周期性变化的数字，可能每分钟变化一次。每个这样的设备都有一个唯一的密钥。人类可以通过将所显示的数字输入到计算机系统中来证明拥有特定的这种设备。计算机系统知道每个授权设备的秘密密钥。你会如何设计这样的设备？

Answer 1

我相信这种身份验证方案是"two-factor authentication"的一部分。在许多流行的2FA解决方案中，用户拥有一个具有预先配置的PIN键的计算器大小的小型设备。在输入PIN时，将生成一次性密码(OTP)。

通过输入与他的用户名相关联的生成的密码，用户“证明”他拥有该设备并知道PIN码。Aladdin's safeword就是这样一种设备，在企业/VPN/WifiPEAP环境中很流行。

它现在也是集中化的，OTP现在经常通过SMS发送。

如果您在谷歌上搜索“如何实现双因素身份验证”，您会找到许多很好的文章。这个主题很复杂，涉及许多不同的技术。

例如，您可以尝试使用this article。

Answer 2

在令牌设备中：

• 一个稳定的时钟，最大偏差为10秒/年(可以使用石英晶体振荡器完成)，与协调世界时同步。
• 每个设备单独存储的公钥
• 某些随机代码，它也用作用户标识值，因此它应该具有合理的长度
• 散列函数

<代码>F29

令牌显示的数字是通过将saltID与当前时间组合在一起，对值进行哈希处理并使用公钥对其进行加密而生成的。

在登录时，认证系统重新执行认证令牌的步骤，减去公钥加密(即，它只计算散列)。对加密的散列进行解密，并与计算出的散列进行比较。如果两者都匹配，则该令牌被接受为有效。

较好的身份验证令牌具有一些数字输入，用户可以在其中输入其PIN码，以防止丢失或被盗。