介绍

质询-响应是一种常见的身份验证技术，通过该技术可以根据给定质询的响应验证某些私有信息。大多数安全系统都依赖于某种形式的挑战响应。询问-响应场景的一个简单示例是“密码是什么?”用户必须提供正确的密码或“响应”。这种挑战-回应方法的问题是，有人可能会听到私人信息。因此需要更先进的方法。其中一种方法是身份证，它有特定的信息要通过。通过复制身份证上的信息，可以挫败这种方法。另一种方法为ID卡提供密码。然而，如果这个人必须输入密码，那么有人可以观察他们输入密码。

最安全的方法是让挑战者每次发送不同的挑战，最好是随机挑战。远程设备接受随机质询并计算响应。主机接受随机挑战并计算正确的响应。将主机响应与接收到的响应进行比较。如果两者都匹配，则远程设备有效。这种形式的质询-响应更安全，因为私有信息永远不会被泄露，并且每个随机质询的响应都是不同的。图1是一个简单的挑战和响应图。

最后一种方法描述了1-Wire SHA设备的挑战-响应算法的功能。主机向设备发送挑战报文。该设备接受挑战并计算其响应。它发送回响应和唯一信息，然后由主机进行验证。

在许多应用中，挑战和响应方法可以被有效地使用:

1. 用户身份验证

2. 软件授权(将软件绑定到硬件令牌)

3. Web访问控制

4. eCash

5. 物理访问控制

SHA设备设计规范

定义

主机使用协处理器。它创建一个随机质询，发送到远程设备进行验证。协处理器计算有效响应(它应该接收到的响应)来验证设备。

用户即远端设备。它接受随机挑战并计算响应。

设置

协处理器是为验证用户令牌作为系统成员而初始化的DS1963S。初始化协处理器包括两个步骤:

• 安装系统认证密钥，该密钥是为认证用户设备安装的密钥。

• 将系统配置数据写入设备。

用户令牌是DS1963S、DS1961S或DS2432，用于向系统标识用户。初始化用户令牌只需要一个步骤:

• 安装主身份验证密钥并将其绑定到设备，以便为用户创建唯一的密钥。

使用SHA设备的挑战和响应

为了验证用户SHA设备，主机将要求协处理器计算一个随机的3字节质询，并将其发送给用户设备。它还要求协处理器计算响应，这是一个20字节的SHA-1 MAC。用户设备接受挑战、帐户数据、自己的序列号和身份验证秘密来计算响应。然后，主机读取响应，以便稍后与自己的计算进行比较。为了验证响应，主机要求协处理器首先使用用户设备的序列号和系统身份验证密钥重新计算用户的唯一设备身份验证密钥。然后，主机要求协处理器使用重新计算的设备身份验证密钥和它发送给用户的质询码来计算响应。然后将这个协处理器计算的响应与从用户读取的响应进行比较，以确定用户设备是否有效。这个两步过程是必要的，因为主机不能读取用户设备的密钥，而且用户设备的身份验证密钥与系统身份验证密钥不同。注意，设备认证只要求用户设备携带正确的认证密钥，不检查帐号数据内容。图2显示了SHA设备的传输挑战和响应方法。

例子演示

Java 套件的1-Wire API中提供的“RemoteAuth”示例演示了跨网络的挑战和响应。这个工具包可以在网上找到我按钮的页面．

图3显示了“RemoteAuth”示例的布局和示例数据流。

结论

挑战-响应是一种安全的保护访问任何特权材料的方式。提出了许多挑战-响应访问的选项。最安全的方法是只有主机可以解释的响应，并且每次都有不同的随机挑战。1线SHA设备被证明是用于实现挑战响应的设备的优秀示例。

链接到有用的数据表和应用说明

1. DS1963S数据表

2. DS2432数据表

3. DS1961S数据表

4. 申请说明114，“1线文件结构”

5. 申请说明151，“美信数码货币证书”

6. 应用说明156，“DS1963S SHA - 1-Wire API用户指南”