越来越多地，世界正在转向具有加密功能的便携式电子设备，以执行非常安全的网络认证，虚拟专用网络，自动售货系统管理，票价收取以及员工或公民身份识别。这种便携式设备(或令牌)的设计需要仔细研究密码学家验证和保护敏感数据和货币信息的方法。当然，电子现金或标识令牌必须是便携、耐用和安全的，但很快就会发现，安全令牌必须满足一些额外的加密、电子和物理要求。

真正安全令牌的最关键功能是身份验证。令牌必须能够证明它是由发行者(服务提供者)授权的，并且它是真实的。令牌可以证明它是经过授权的，因为它包含只有颁发机构才能创建的加密信息。然而，安全身份验证是一个困难得多的问题。设备必须能够证明它不是假的或复制的，这需要一些非常特殊的硬件功能。如果一个设备的设计不能被自由地检查，那么它就不会被信任，所以设计或功能上的秘密几乎是不可能保守的。如果我们假设设备的内部工作原理是公开的并且广为人知，那么我们还必须假设任何具有足够技能的人都可以构建设备的仿真，并绕过设备硬件施加的一些特殊控制。任何基于模糊安全性的令牌设计都注定要失败。

在密码学领域，真正安全的身份验证是通过一种称为“询问-响应”的方法来处理的。该方法涉及一个只有有效令牌和主机知道的秘密，以及令牌可以证明它们知道这个秘密的方法，这证明了它们是真实的。当然，秘密绝对不能在这个过程中泄露，这就是所谓的零知识证明的密码学概念发挥作用的地方。令牌必须支持一种机制，在这种机制下，它可以证明它知道一个秘密，而不会泄露任何有关它的信息。乍一看，这似乎是不可能的，但这是安全加密系统中常见的练习。这个计划是这样运作的:

当可疑令牌到达时，主机系统完全随机地创建一个非常大的数字，称为挑战，并将其发送给令牌。令牌接受了这一挑战，并与内部存储的秘密一起对其执行复杂的数学运算。然后，它将操作的结果返回给主机(参见图1)。主机也知道相同的秘密，在内部执行相同的特殊数学操作，然后比较结果。如果来自令牌的响应与主机中计算的响应相匹配，那么令牌已经证明它知道秘密，而不会泄露它(零知识证明的本质)。窃听这个对话对于不知道这个秘密的攻击者来说是没有用的。这是因为每次挑战都不一样;它是随机生成的。下一个挑战永远无法预测。秘密仍然安全地隐藏在令牌中，主机知道令牌是真实的(因为只有真实的令牌知道秘密)。

当然，关键是所使用的复杂数学算法是不可逆转的，因为攻击者可以反向运行操作并获得秘密。事实上，算法的选择可能是判断挑战和响应方案安全性的最重要因素。过去已经创建了电子令牌，这些令牌使用自酿算法、流密码、滚动代码或加密算法，这些算法已经为此目的进行了削减或减少，但它们尚未被广泛接受。问题是，如果没有广泛的同行评审，就无法保证这些算法是安全的，不会受到攻击。而且，也不能保证这些算法没有“后门”(有意或无意)，只有设备制造商才知道。

要制作真正安全的加密令牌，所选择的算法必须是在全球加密社区中众所周知、可信、经过时间考验并广泛同行评审的算法。接受输入数据并不可逆地创建该数据摘要的算法称为单向哈希函数。SHA-1(安全哈希算法)是研究最多、最受信任的单向哈希函数之一。这个政府批准的(FIPS 180-1)算法是现代数字签名和文件保护方案的基础。它在密码学社区有着悠久的历史，经过同行评审，并且受到广泛信任。

然而，SHA-1是一个复杂的算法，涉及多个32位5路加法、复杂的逻辑函数、数据移动和大量重复。在硅中实现SHA-1算法通常需要较大的芯片面积，因此制作了相当昂贵的令牌。已经设计了一种新方法以序列化的方式执行该算法，将模具面积减少10倍或更多，并使价格合理的基于sha -1的令牌成为可能。

真正安全令牌的另一个关键特征是全局唯一且不可更改的身份。将唯一令牌序列号作为身份验证算法的附加输入，将物理令牌和内容绑定在一起，从而不可能在令牌之间复制货币价值或凭证。

当在货币应用程序中使用安全令牌时，它所包含的数据(假定是帐户余额)被认为是动态的，因为每次使用设备时都会读取、借记和重写临界值。这种使用模型引入了一种被密码学家称为重放攻击的攻击类型。也就是说，攻击者可以记录令牌的价值数据，然后耗尽令牌进行合法购买。然后，他可以恢复(或重放)原始数据，从而恢复可重复使用的令牌的货币价值。只有当令牌提供使其包含的每个数据实例惟一的机制时，才能防止这种重播。因此，真正安全的货币代币提供了一个特殊的计数器。该计数器在每次写入设备时递增，并且不能进行包装、重置、递减或重新加载。然后，通过将该计数器值包含在身份验证算法的输入中，货币数据、设备标识和货币实例都被绑定在一起。如果从设备中取出数据并稍后写入，则会发现它无效，因为计数器已经更改。它是相同的值，但不是该值的相同实例。

质询-响应身份验证过程的一个有趣特性是，数据在从令牌到主机的途中也受到保护。由于数据、令牌标识和实例计数器都包含在SHA-1算法输入中，因此任何更改或将数据位注入令牌和主机之间的通信路径的尝试也会使事务无效。这意味着任何数量的不受信任的中介都可以处理这种挑战-响应数据交换，并且该过程仍然是安全的。Internet上的远程服务器可以通过无数的路由器、桥接器、集线器和窃听的器材对家庭计算机上的用户的令牌进行身份验证，并且安全性不会受到丝毫损害。

安全身份验证令牌的另一个重要要求是它能够保护它所持有的秘密。嵌入硅芯片的塑料卡很难抵御物理攻击，而且典型的存储设备没有专门规定可以保存秘密的安全存储区域。安全令牌必须提供高水平的物理安全性来保护其包含的秘密。

密码学还提供方法，使每个设备中的秘密可以从未存储在设备中的另一个主秘密与唯一设备标识结合派生。这为每个设备提供了唯一的密钥，并防止在任何一个设备中的密钥泄露时发生系统范围的泄漏(称为类泄漏)。通常，货币系统还使用一个秘密(存储在令牌中)进行令牌身份验证，并使用另一个秘密(不存储在令牌中)验证存储在令牌中的货币值。这将对令牌的物理攻击范围限制为仅能够模仿该令牌，且仅模仿该令牌。这严重限制了物理攻击的盈利能力。

一个经常被忽视的攻击途径发生在服务提供商的设施中，无良的员工获得了关键的秘密，而该计划通过这些秘密来确保真实性。为了克服这个问题，密码学家提供了一种叫做“秘密共享”的方法。实际的秘密实际上并不存在，而是将两个或多个部分秘密组合在一起的计算结果。服务提供者在不同的系统、不同的位置维护这些部分机密，并且不允许任何人访问其中一个。如果没有按适当的顺序应用所有的部分秘密，则无法计算实际的秘密。一个真正有效、安全的令牌必须提供一种方法，将部分秘密完全组合在令牌内，这样最终的秘密就永远不会存在于任何人可以观察到的地方。当令牌在服务提供者的初始化过程中移动时，它被注入到每个后续的部分秘密中，并且实际的秘密完全在每个设备中计算。作为最后一步，唯一的设备标识也被注入到这个过程中，因此得到的设备秘密对它来说是唯一的，并且主秘密永远不会存在于可能被泄露的地方。

可以进行强认证的安全电子令牌也为门锁、访问控制系统和设备控制锁提供了非常安全的钥匙。使用质疑和回应的电子密钥不得复制或更改;窃听攻击是无用的。在这个应用程序中，数据被认为是静态的，因为与电子现金应用程序不同，它不会随着每次使用而改变。让令牌对提交它的人进行身份验证的能力，甚至增加了系统的安全性;即使在没有提供PIN或密码保护的系统中也是如此。

点对点身份验证应用程序允许联网设备相互进行身份验证。这保护了他们不受外人的操纵。快速执行身份验证并保护令牌内部的秘密的令牌大大降低了设备周围所需的物理安全性。令牌还可以用于快速生成唯一的会话密钥，用于对控制命令或敏感数据进行加密。

达拉斯半导体公司的DS1963S我按钮是一种安全的电子令牌，满足所有这些要求。每个令牌都有一个全球唯一的工厂激光64位标识，512字节的锂支持NV RAM数据存储区域和8个受保护的64位秘密。所有这些都被安置在一个小的，坚固的不锈钢容器。与设备的双向通信在单个数据导体上以高达140kbps的速度进行，SHA-1在内部执行时间不到500微秒。64位的秘密大小将需要大约9,223,000,000,000,000,000次尝试通过暴力破解方法，使得暴力攻击不现实。的我纽扣可以像珠宝一样佩戴，可以附在身份证或徽章上，也可以像钥匙一样随身携带。它可以连接到一个容器或垃圾箱，产品或运输纸箱。它也可以嵌入到元件或电路板中。

达拉斯半导体DS1961S我按钮是DS1963S的EEPROM版本。它有128字节的内存，并提供写保护方案，其中主机系统必须满足SHA认证才能更改设备。

DS1963S还具有在自动售货和收费系统中充当协处理器的能力，在这些系统中，主机端的处理能力和速度通常是有限的。作为协处理器，DS1963S可以安全地存储和保护系统机密，非常快速地执行SHA-1算法，安全地存储收集的资金，并提供全球唯一的序列号来识别车费箱或自动售货机。作为协处理器，DS1963S我按钮还可以保存主机使用的关键配置和定价数据。主机电子设备被简化为简单地在两者之间移动数据我按钮。电子现金系统已被证明使用了本文所描述的所有安全特性，并在50毫秒内完成整个货币交易。

DS1961S也有芯片形式，也可以简单地嵌入到网络设备中(仅使用单个端口引脚进行通信)。这在联网设备之间提供了强大的加密身份验证，为使用互联网查询和控制它们开辟了新的可能性。网络设备可以快速可靠地相互验证，并为数据加密生成基于随机数的会话密钥，所有这些都在一次消息交换中完成。系统秘密安全地存储在受保护的EEPROM中，并且几乎没有开销来为网络设备增加强大的加密安全性。