静态与动态与挑战响应

Question

我要上保安课。幻灯片显示智能卡通常使用三种身份验证协议之一:静态、动态和挑战响应。这两者有什么区别呢？

Answer 1

警告:术语有点模糊，所以不可能有一个完全权威和明确的答案。

静态身份验证协议意味着执行身份验证的设备不计算任何内容。如果嵌入了一些秘密价值，但充其量只能显示出来。当人类用户在登录页面或界面中输入密码时，他是一个静态身份验证设备。最小、最笨、最便宜的智能卡也是如此:当用户输入他的PIN密码后，密码就会一直保持不变。

动态身份验证协议正好相反:设备计算事物。动态身份验证协议有多种类型和子类型：

• 该协议可以是一个挑战-响应:运行认证的系统提交一个挑战，例如一个随机的字节序列，设备通过计算一个加密函数来响应该挑战，该加密函数使用设备中包含的询问和秘密数据。例如，加密函数可以是设备在挑战上计算的MAC，其中以密钥作为密钥；身份验证系统将验证MAC (此场景假设智能卡和身份验证系统都知道秘密值)。另一种挑战-响应是基于数字签名的:这需要更多的计算(因此成本较低的智能卡)，但意味着身份验证服务器不需要知道嵌入在智能卡中的秘密值。
• 一些卡片产生一次性密码。这可以看作是一种挑战响应协议，在该协议中，挑战不是由服务器发送的，而是一个众所周知的不断变化的值(例如，计数器，如HOTP，或当前时间，如TOTP)。RSA安全牌令牌就是那种类型的。使用这种协议的设备必须保持某种防止重置的永久状态(例如，电池供电的内部时钟，或存储在EEPROM中的计数器值)；但它们更容易集成到现有系统中(就像RSA SecurID令牌一样，用户只需键入他的令牌上显示的内容；他就不必将令牌插入桌面计算机中)。

Answer 2

NIST出版物.800-12解释

智能令牌可以使用许多可能的协议进行身份验证。一般来说，它们可以分为三类:静态密码交换、动态密码生成器和挑战响应。静态令牌的工作方式类似于内存令牌，只不过用户对令牌进行身份验证，然后令牌对用户进行计算机身份验证。使用动态密码生成器协议的令牌创建一个唯一值，例如，一个8位数的数字，该值会周期性地变化(例如，每分钟一次)。如果令牌具有手动接口，则用户只需读取当前值，然后将其输入计算机系统进行身份验证。如果令牌具有电子接口，则自动完成传输。如果提供正确的值，则允许登录，并授予用户对系统的访问权限。使用挑战响应协议的令牌是通过让计算机生成一个挑战来工作的，例如随机的数字串。然后，智能令牌根据挑战生成响应。这将被发送回计算机，计算机根据响应对用户进行身份验证。挑战响应协议是基于密码学的。质询-响应令牌可以使用电子或手动接口。

Answer 3

挑战响应密码令牌的一个很好的例子显示在下面的图上，该图表摘自Gemalto的黄金OTP认证页面：