如何通过 Web 使用智能卡和智能卡读卡器实现双因素身份验证

Posted 2023-02-22

【中文标题】如何通过 Web 使用智能卡和智能卡读卡器实现双因素身份验证

【英文标题】：How to implement a two factor authentication using smart cards and smart card readers via web

【发布时间】：2016-10-12 09:20:30

【问题描述】：

首先，请原谅我对这个话题的无知。 (related)

实现这样的流程究竟需要什么：

客户访问登录站点 (example.com/login)。

要登录，客户端输入其客户端 ID。此外，随机（？）代码是 向访问者显示：251 221 555。

客户拿起他的智能卡阅读器，将他的智能卡放入其中并点击“登录”按钮，输入代码251 221 555

然后客户输入他的 PIN 码（在智能卡读卡器中） 然后返回一个令牌：922 444 113 客户端使用返回的令牌登录网站。

我猜需要：

智能卡（有 PIN 码） 智能卡读卡器（see picture 1、2）

我想知道如何在网站中验证返回的令牌，以及如何在智能卡读卡器中返回令牌？ 实施上述流程的确切（或最简单）步骤是什么？

【问题讨论】：

您是否考虑过使用存储在智能卡上的客户端证书？即使使用安全的 pin 输入设备也应该是可能的，并且可能更容易实现（但需要将阅读器连接到计算机，安装一些驱动程序/中间件等 - 取决于您的用例和使用的实际组件）。对于质询-响应方法，不清楚（对我而言）您是否要实际使用 CAP（因为获得独立/即不连接 PC/支持其他协议的阅读器可能非常困难）

【参考方案1】：

最简单的实现是将密钥存储在智能卡中，然后对输入的数字触发加密或 MAC 计算。为此，PIN 输入应在输入数字之前。

命令将是

验证（使用 PIN 码） 内部验证（使用输入编号） 或在 Compute Cryptographic Checksum 模式下执行安全操作。

有关更多详细信息，您应该详细了解 ISO 7816 第 4 部分（验证和内部认证）和 7816 第 8 部分（执行安全操作）。这假定一个所谓的本机卡（与 JavaCard 相对）。

【讨论】：

如果我理解正确，我需要一个智能卡 (EMV) 读卡器和类似的卡，如 SLE4442 智能卡。例如，所有 EMV 阅读器都在使用 Arduino 吗？您会为 Arduino 推荐哪种智能卡读卡器？

@Kilise：对不起，我没有在嵌入式环境中使用智能卡读卡器的经验；拿一个，在那里你可以找到合适的司机。 SLE4442 作为（同步）存储卡太笨了，无法支持上述命令。您需要一个异步处理器卡。