交互型智能密碼鑰匙指的是帶有輸入輸出部件,除了顺利获得USB口與主機通信之外,還能與使用者進行交互的智能密碼鑰匙。现在,智能密碼鑰匙只能以被動方式響應主機下發的指令,對主機下發的數據進行操作,而主機下發的數據對智能密碼鑰匙來說是透明的,無法判斷它的有效性。因此,一旦主機被攻擊者控制,一般的智能密碼鑰匙就容易被攻擊者冒用。與一般的智能密碼鑰匙相比,交互型智能密碼鑰匙一方面增加了輸入/輸出功能,另一方面增加了判斷邏輯,在執行關鍵操作或處理關鍵數據時強制轉入交互流程,直到交互完成後才執行相應的操作,能有效地避免攻擊者用遠程控制的方式冒用智能密碼鑰匙,也使得用戶能夠及時發覺冒用的情況並進行處理。

與一般的智能密碼鑰匙相同的是,现在的交互型智能密碼鑰匙仍用PIN碼來驗證使用者的身份。PIN碼從本質上說是位數有限的靜態密碼,其脆弱程度早已被證明。

動態口令也叫一次性口令,動態口令的基本原理是客戶端和驗證端分別用預先共享的密鑰和同步變化的非重複動態因子進行單向變換,將變換結果映射為口令字符,作為一次性的身份驗證憑證。通常在客戶端用內置算法的脫機設備存儲共享密鑰與動態因子,生成動態口令,稱為動態口令令牌。動態口令卡是動態口令令牌的另外一種形式。動態口令卡通常印有以矩陣方式排列的一系列口令,這些口令是以所在坐標及卡序列號作非重複因子進行變換得到的。

動態口令可以有效地抵禦大量靜態口令的攻擊,提高安全強度的同時與傳統的驗證機制的使用流程兼容,適合用於替代傳統的靜態口令驗證。把動態口令應用在交互型智能密碼鑰匙的用戶身份驗證,可有效地改善交互型智能密碼鑰匙的安全短板,提高整體安全性。

某型號交互型智能密碼鑰匙帶有液晶螢幕和確認按鍵,能根據內置的預定義過濾器檢查操作數據,顯示敏感數據並要求用戶按鍵確認。以該型號交互型智能密碼鑰匙為基礎,引進動態口令卡,設計一種改進的型驗證機制。具體方案如下：

在生產階段,將動態口令生成算法固化在設備內部,並寫入生成密鑰和以及一張已有的動態口令卡的序列號,生成密鑰的訪問權限設為不可從外部訪問。設動態口令卡的矩陣大小為M×M,則設備預設的坐標範圍為(M+n)×M,n>0。序列號寫入後,設備枚舉範圍內的坐標值,利用生成密鑰和序列號生成(M+n)×M個口令,其中M×M個口令與動態口令卡上的口令相同。至此,設備與動態口令卡完成綁定,動態口令卡隨設備一同出廠。

在使用過程中,當設備接收到驗證PN碼的指令時,在MM的範圍內隨機選擇一個坐標,顺利获得液晶螢幕顯示給用戶。用戶由坐標值刮開動態口令卡的對應位置,獲取口令,作為本次驗證的PIN碼。設備接收用戶輸入的PIN碼,與內部生成的口令比對,完成用戶驗證。驗證成功後,本次用的口令在設備內部銷毀,不再使用,下次驗證PIN碼時不再選擇該坐標。

設備可與別的動態口令卡重新綁定。重新綁定分為兩種情況,一種是設備內部存在可用的口令,另一種是設備內部的M×M個口令均被銷毀或設備進入鎖定狀態。為使表述更清晰,將在後一種情況下的重新綁定稱為解鎖。

如果設備內部存在可用的口令,設備接到重新綁定的指令後,第一时间在M×M的坐標範圍內隨機選擇一個可用的坐標,顺利获得液晶螢幕顯示給用戶,用戶用原有的動態口令卡驗證。驗證顺利获得後,設備在M×M的坐標範圍內再選擇一個坐標值,顺利获得液晶螢幕顯示給用戶,用戶根據新坐標值刮開新口令卡的相應位置,獲取口令,把新卡的序列號與口令發給設備。設備根據新卡的序列號與新坐標值生成口令,和用戶下發的口令比對。若比對結果一致,則保存新卡的序列號,並在(M+m)×M,n>0的坐標範圍內枚舉坐標值,生成新的口令矩陣,將此前驗證過的口令銷毀,完成重新綁定。

如果設備內部的M×M個口令均被銷毀或者設備進入鎖定狀態,則設備接到重新綁定的指令後進入解鎖流程。此時,設備在n×M的坐標範圍內隨機選擇一個坐標,顺利获得液晶螢幕顯示給用戶。該坐標不在動態口令卡坐標範圍之內,因此對應的口令對用戶來說是未知的。用戶將該坐標值和原動態口令卡的序列號提交給設備銷售管理方,查詢對應的綁定口令。管理方根據序列號和坐標值計算出口令,發給用戶。這一過程可顺利获得電話、郵件、網絡等方式遠程進行。管理方也可在此過程中對用戶實行進一步的身份驗證。取得綁定口令後,用戶將綁定口令發給設備。設備驗證綁定口令後進入重新綁定流程,結束後進入正常使用狀態。