u盾的工作原理

你的数字证书有一对，一份在 U 盾里的私钥，一份在银行的公钥( 其实两份银行都有) U 盾的原理很类似于双向认证的 TLS(SSL)或者其它用到 RSA 的双向证书验证手段，以下步骤可能和 U 盾实际执行的有所区别，但本质 相同： -银行先给你一个“冲击 “，它包含了随机数，以及该随机数 HASH，它们都由公钥加密，这样就可以保证只有你能解密这个 “冲击“ -你计算该随机数的 HASH，并和用私钥解出的 HASH，两者相同后，便可确认银行的身份 -接下来，以一个只有你和银行知道的算法，利这个随机数和一些其它信息，生成“响应“和相应的 HASH，再用私钥加密后发回银行。 (此时银行也以相同的算法计算该“响应“) -银行用公钥解密，并验证 HASH 正确，接下来银行比较两个“ 相应“是否相同，相同的话客户的身份也确认了 至于私钥的保密性由 U 盾来完成。U 盾的控制芯片被设计为只能写入证书，不能读取证书，并且所有利用证书进行的运算都在 U 盾中进 行。所以，只能从 U 盾读出运算结果。 ps: 和平常登录 HTTPS 网站不一样的是，一般 HTTPS 在 TLS 握手时，只要验证服务器身份成功便可完成握手。 接下来以前面的“随机数“ 导出对称加密算法的密钥，开始加密链接 网络的发展，出现了电子商务，并且迅速地发展。电子商务有着无比的优越性：方便，高效，快速，经济等，被人们推崇。但涉及到钱的问题，所以对安全很 明感，必须要有一整套的安全措施来保障交易的安全。 传 统的安全保障措施就是用户名和密码，显而易见，这是很不安全的。IC 卡：是一种内置集成电路的芯片，芯片中存有与用户身份相关的数据。IC 卡由专门 的设 备生产，是不可复制的硬件。IC 卡由合法用户随身携带，登录时必须将 IC 卡插入专用的读卡器读取其中的信息，以验证用户的身份。简单易行, 但容易 被留驻内 存的木马或网络监听等黑客技术窃取。 现在的网络支付中存在着很多缺陷：(1) 网络数据流的：在用户和银行交易的过程中，被第三方通过各种方法截获数据流，分析数据中的信息从而得到用户的 信息。(2) 木马的窃听：用户电脑中了病毒或者木马之后，电脑被监听，用户和银行交易的信息被木马记录，用户的信息就这样被盗了。 (3) 穷举攻击：击者 使用有意义的数字作为密码来不断尝试持卡人的密码。如果持卡人的密码是未经过改动的初始密码或一个特殊、容易被分析的数字，则密码很容易被 攻击者 穷举出来。(4) 网络钓鱼：第三方利用银行的身份给用户发信息，要求用户提供账号和密码，如果用户提供了的话就泄露了自己的信息了。或者是第三方假冒 银行或者交易的网站， 对没有认真辨别的情况下，用户很容易上当从而泄露自己的信息。网络的安全隐患不仅仅是这些。 U 盾的出现就是解决上面所说的安全问题。U 盾，即工 行 2003 年推出的客户证书 USBkey，是工商银行为客户提供的办理网上银行业务的高级别安全工 具。它是一个带智能芯片、形状类似于闪存的实物硬件，时刻保护着您的网上银行资金安全。从技术角度看，U 盾是用于网上银行电子签名和数字认证的工具， 它内 置微型智能卡处理器，基于 PKI 技术，采用 1024 位非对称密钥算法对网上数据进行加密、解密和数字签名，确保网上交易的保密性、真实性、完整性 和不可否 认性。它设备虽然小巧，但技术含量极高。该产品采用了目前国际领先的信息安全技术，核心硬件模块采用智能卡 CPU 芯片，内部结构由 CPU 及 加密逻辑、 RAM、ROM、EEPROM 和 I/O 五部分组成，是一个具有安全体系的小型计算机。除了硬件，安全实现完全取决于技术含量极高的智能卡芯片操作 系统 (COS)，该操作系统就象 DOS、WINDOWS 等操作系统一样，管理着与信息安全密切相关的各种数据、密钥和文件，并控制各种安全服务。USBKey 具 有硬件真随机数发生器，密钥完全在硬件内生成，并存储在硬件中，能够保证密钥不出硬件，硬件提供的加解密算法完全在加密硬件内运行。 U 盾的安全措施 1.硬件 PIN 码保护 U 盾采用了使用以物理介质为基础的个人客户证书，建立基于公钥 PKI 技术的个人证书认证体系(PIN 码)。黑客需要同时取得用户的 U 盾硬件以及用户的 PIN 码，才可以登录系统。即使用户的 PIN 码泄露，U 盾没有丢失，合法用户的身份就不会被仿冒，如果用户 U 盾丢失，其他人不知道用户的 PIN 码，这也是 无 法假冒合法用户的身份。 2.安全的密钥存放 U 盾的密钥存储于内部的智能芯片中，用户无法从外部直接读取，对密钥文件的读写和修改都必须由 U 盾内部的 CPU 调用相应的程序文件执行，从而 U 盾接 口的外面，没有任何一条指令能对密钥区的内容进行读取、修改、更新和删除，这样可以保证黑客无法利用非法程序修改密钥。 3.双密钥密码体制 为 了提高交易的安全，U 盾采用了双钥密码体制保证安全性，在 U 盾初始化的时候，先将密码算法程序烧制在 ROM 中，然后通过产生公私密钥对的程序生 成一对公 私密钥，公私密钥产生后，密钥可以导出到 U 盾外，而私钥则存储于密钥区，不允许外部访问。进行数字签名时以及非对称解密运算时，凡是有私 参与的密码运算只 在芯片内部即可完成，全程私钥可以不出 U 盾介质，从而来保证以 U 盾为存储介质的数字证书认证在安全上无懈可击。 4.硬件实现加密算法 U 盾内置 CPU 或智能卡芯片，可以实现数据摘要、数据加解密和签名的各种算法，加解密运算在 U 盾内进行，保证了用户密钥不会出现在计算机内存中。 (二)U 盾进行银行和客户身份的双向认证 1、基于冲击-响应认证模式 USB Key 内置单向散列算法（RSA），预先在 USB Key 和服务器中存储一个证明用户身份的密钥，当需要在网络上验证用户身份时，先由客户端向服务器发 出一个验证请求。服务器接到此请求后生成一个随机数回 传给客户端 PC 上插着的 USB Key，此为“冲击”。USB Key 使用该随机数与存储在 USB Key 中的密 钥进行 RSA 运算得到一个运算结果作为认证证据传送给服务器，此为 “响应”。与此同时，服务器使用该随机数与存储在服务器数据库中的该客户密 钥进行 RSA 运算，如果服务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个合法用户。 2.基于 PKI 的数字证书的认证模式 PKI（Public Key Infrastructure）即公共密钥体系，即利用一对互相匹配的密钥进行加密、解密。一个公共密钥（公钥，public key）和一个私有密钥（私 钥，private key）。其基本原理是：由一个密钥进行加密的信息内容，只能由与之配对的另一个密钥才能进行解密。公钥可以广泛地发给与自己有关的通信 者，私钥则需要十 分安全地存放起来。 每个用户拥有一个仅为本人所掌握的私钥，用它进行解密和签名；同时拥有一个公钥用于文件发送时加密。当发送一份保密文件时，发送方使用接收方的公 钥对数据 加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。 冲 击响应模式可以保证用户身份不被仿冒，但无法保证认证过程中数据在网络传输过程中的安全。 而基于 PKI 的“数字证书认证方式”可以有效保证用户的 身份安全和数据传输安全。数字证书是由可信任的第三方认证机构数字证书认证中心 （Certficate Authority,CA）颁发的一组包含用户身份信息（密钥） 的数据结构，PKI 体系通过采用加密算法构建了一套完善的流程，保证数字证书持有人的身份 安全。而使用 USB Key 可以保障数字证书无法被复制，所有密 钥运算在 USB Key 中实现，用户密钥不在计算机内存出现也不在网络中传播，只有 USB Key 的持有人才能够对数字证书进行操作，安全性有了保障。由于 USB Key 具有安全可靠，便于携带、使用方便、成本低廉的优点，加上 PKI 体系完善的数据保护机制，使用 USB Key 存储数字证书的认证方式已经成为目前 主要的认证模式。 (三)U 盾的交易过程 使用 U 盾前，一般都要安装驱动，使 U 盾能正常工作。另 外安装数字证书认证身份。当用户需要交易向银行提交订单要支付的时候，这时要验证用户的身份， 系统提 示用户插入 U 盾，并输入 U 盾的密码，系统会在后台验证，用户看不到过程，一经验证通过，用户就可以使用继续输入网上支付密码和验证码，验证 都正确后交易就 完成 。有了 U 盾，交易就是很安全的，可以说是无懈可击。 随着电子商务的迅速发展，信息安全已成为焦点问题之一，尤其是网上支 付和网络银行对信息安全的要求显得更为突出。为了能在因特网上开展安全的 电子商务活 动，公开密钥基础设施（ PKI, Public Key Infrastructure ）逐 步在国内外得到广泛应用。我们是否真的需 要 PKI ， PKI 究竟有什么用？下 面通过一个案例一步步地来剖析这个问题 : 甲想将一份合同文件通过 Internet 发给远在国外的乙，此 合同文件对双方非常重要，不能有丝毫差错， 而且此文件绝对不能被其他人得知其内容。如何才能实现这个合同的安全发送？ 问题 1: 最自然的想法是，甲必须对文件加密才能保证不被其他人查看其内容， 那么 , 到底应该用什么加密技术，才能使合同传送既安全又快速呢 ? 可以采用一些成熟的对称加密算法 , 如 DES 、 3DES 、 RC5 等对文件加 密。对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同 的密钥，即加密密钥也可以用做解密密钥，这种方法在密码学中叫做对称加密 算法， 问题 2: 如果黑客截获此文件，是否用同一算法就可以解密此文件呢 ? 不可以 , 因为加密和解密均需要两个组件 : 加密算法和对称密钥 , 加密 算法需要用一个对称密钥来解密 , 黑客并不知道此密钥。 问题 3: 既然黑客不知密钥，那么乙怎样才能安全地得到其密钥呢？用电话通 知，若电话被窃听，通过 Internet 发此密钥给乙，可能被黑客截获，怎么办 ? 方 法是用非对称密钥算法加密对称密钥后进行传送。与对称加密算法不同， 非对称加密算法需要两个密钥：公开密钥（ Public Key ）和私有 密钥 （ Private Key ）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行 加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进 行加密，只 有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所 以这种算法叫做非对称加密算法 ( 公 / 私钥可由专门软件生 成 ) 。甲乙双 方各有一对公 / 私钥，公钥可在 Internet 上传送，私钥自己保存。这样甲就 可以用乙的公钥加密问题 1 中提到的对称加密算 法中的对称密钥。即使黑客 截获到此密钥，也会因为黑客不知乙的私钥，而解不开对称密钥，因此也解不 开密文，只有乙才能解开密文。 问题 4 ：既然甲可以用乙的公钥加密其对称密钥，为什么不直接用乙的公钥加 密其文件呢？这样不仅简单，而且省去了用对称加密算法加密文件的步骤？ 不 可以这么做。因为非对称密码算法有两个缺点 : 加密速度慢 , 比对称 加密算法慢 10 100 倍 , 因此只可用其加密小数 据 ( 如对称密钥 ) ，另 外加密后会导致得到的密文变长。因此一般采用对称加密算法加密其文件 , 然 后用非对称算法加密对称算法所用到的对称密 钥。 问题 5 ： 如果黑客截获到密文，同样也截获到用公钥加密的对称密钥，由于 黑客无乙的私钥，因此他解不开对称密钥，但如果 他用对称加密算法加密一份 假文 件 , 并用乙的公钥加密一份假文件的对称密钥，并发给乙，乙会以为收 到的是甲发送的文件，会用其私钥解密假文件 , 并很高兴地阅读其内容，但却 不知已 经被替换。换句话说，乙并不知道这不是甲发给他的，怎么办 ? 答案是用数字签名证明其身份。数字签名是通过散列算 法 , 如 MD5 、 SHA-1 等算法从大块的数据中提取一个摘要。而从这个摘要中不能 通 过散列算法恢复出任何一点原文，即得到的摘要不会透露出任何最初明文的信 息，但如果原信息受到任何改动，得到的摘要却肯定会有所不同。因此甲可以 对文件 进行散列算法得到摘要，并用自己的私钥加密 ( 因为非对称算法可逆， 即用私钥可解开公钥加密的文件，反之亦然 ) ，这样即使黑客截获也无用。因 为黑客 不会从摘要内获得任何信息，但乙却不一样，他可用甲的公钥解密，得 到其摘要 ( 如果用甲的公钥能够解开此摘要，说明此摘要肯定是甲发的，因为 只有甲的公 钥才能解开用甲的私钥加密的信息 , 而甲的私钥只有甲自己知道 ) ， 并对收到的文件 ( 解密后的合同文件 ) 也进行同样的散列算法，通过比较其 摘 要是否一样 , 就可得知此文件是否被篡改过 ( 因为若摘要相同，则肯定 信息未被改动，这是散列算法的特点 ) 。这样不仅解决了证明发送人身份的问 题，同时还解决了文件是否被篡改问题。 问题 6 ： 通过对称加密算法加密其文件，再通过非对称算法加密其对称密钥 , 又通过散列算法证明其发送者身份和其信息的正确性，这样是否就万无一失了 ? 回答是否定的。问题在于乙并不能肯定他所用的所谓甲的公钥一定是甲的 , 解决办法是用数字证书来绑定公钥和公钥所属人。 数 字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及 公开密钥的文件 , 是网络通信中标识通信各方身份信息的一系列数据，它提供 了一种在 Internet 上验证身份的方式，其作用类似于司机的驾驶执照或日常 生活中的身份证，人们可以在交往中用它来识别对方的身份。 最 简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一 般情况下证书中还包括密钥的有效时间、发证机关 ( 证书授权中心 ) 名 称、 该证书的序列号等信息。它是由一个权威机构 CA 机构，又称为证书授权 (Certificate Authority) 中心发放 的。 CA 机构作为电子商务交易中受信 任的第三方，承担公钥体系中公钥的合法性检验的责任。 CA 中心为每个使用 公开密钥的用户发放一个数字证书，数 字证书的作用是证明证书中列出的用户 合法拥有证书中列出的公开密钥。 CA 机构的数字签名使得攻击者不能伪造和 篡改证书， CA 是 PKI 的核心， 负责管理 PKI 结构下的所有用户（包括各种 应用程序）的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证 用户的身份。 因 为数字证书是公开的，就像公开的电话簿一样，在实践中，发送者（即 甲）会将一份自己的数字证书的拷贝连同密文、摘要等放在一起发送给接收者 （即 乙），而乙则通过验证证书上权威机构的签名来检查此证书的有效性（只 需用那个可信的权威机构的公钥来验证该证书上的签名就可以了），如果证书 检查一切正 常，那么就可以相信包含在该证书中的公钥的确属于列在证书中的 那个人（即甲）。 问题 7 ： 至此似乎很安全了。但仍存在安全漏洞，例如：甲虽将合同文件发 给乙 , 但甲拒不承认在签名所显示的那一时刻签署过此文件 ( 数字签名就相 当于书面合同的文字签名 ) ，并将此过错归咎于电脑，进而不履行合同，怎么 办 ? 解 决办法是采用可信的时钟服务 ( 由权威机构提供 ) ，即由可信的时间 源和文件的签名者对文件进行联合签名。在书面合同中，文件签署的日期和 签 名一样均是十分重要的防止文件被伪造和篡改的关键性内容 ( 例如合同中一般 规定在文件签署之日起生效 ) 。在电子文件中，由于用户桌面时间很容易改 变 ( 不准确或可人为改变 ) ，由该时间产生的时间戳不可信赖，因此需要一 个第三方来提供时间戳服务（数字时间戳服务（ DTS ）是网上安全服务项 目， 由专门的机构提供）。此服务能提供电子文件发表时间的安全保护。 时间戳产生的过程为 : 用户首先将需要加时间戳的文件用哈希编 码加密 形成摘要，然后将该摘要发送到 DTS ， DTS 在加入了收到文件摘要 的日期和 时间信息后再对该文件加密（数字签名），然后送回用户。因此时间戳 (time- stamp) 是一个经加密后形成的凭证文档，它包括三个部分： 需加时间戳的文 件的摘要， DTS 收到文件的日期和时间， DTS 的数字签名。由于可信的时间 源和文件的签名者对文件进行了联合签名 , 进而阻止了 文档签名的那一方 ( 即甲方 ) 在时间上欺诈的可能性 , 因此具有不可否认性。 问题 8: 有了数字证书将公 / 私钥和身份绑 定 , 又有权威机构提供时钟服务 使其具有不可否认性 , 是不是就万无一失了 ? 不 , 仍然有问 题。乙还是不 能证明对方就是甲，因为完全有可能是别人盗用了甲的私钥 ( 如别人趁甲不在 使用甲的电脑 ), 然后以甲的身份来和乙传送信息 , 这怎么 解决呢 ? 解决办法是使用强口令、认证令牌、智能卡和生物特征等技术对使用私钥 的用户进行认证，以确定其是私钥的合法使用者。 解 决这个问题之前我们先来看看目前实现的基于 PKI 的认证通常是如何 工作的。以浏览器或者其他登记申请证书的应用程序为例说明，在第一次生成 密钥的时候会创建一个密钥存储，浏览器用户会被提示输入一个口令，该口令 将被用于构造保护该密钥存储所需的加密密钥。如果密钥存储只有脆弱的口令 保护或根 本没有口令保护，那么任何一个能够访问该电脑浏览器的用户都可以 访问那些私钥和证书。在这种场景下 , 又怎么可能信任用 PKI 创建的身份呢 ? 正 因为如此，一个强有力的 PKI 系统必须建立在对私钥拥有者进行强认证的 基础之上，现在主要的认证技术有：强口令、认证令牌、智能卡和生物特征 （如指 纹，眼膜等认证）。 以认证令牌举例 : 假设用户的私钥被保存在后台服务器的加密容器里，要 访问私钥，用户必须先使用认证令牌认证（如用户输入账户名、令牌上显示的 通行码和 PIN 等），如果认证成功，该用户的加密容器就下载到用户系统并解 密。 通过以上问题的解决，就基本满足了安全发送文件的需求。下面总结一下这个 过程 , 对甲而言整个发送过程如下 : 1. 创建对称密钥 ( 相应软件生成，并且是一次性的 ) ，用其加密合同，并用 乙的公钥打包对称密钥。 2. 创建数字签名，对合同进行散列算法 ( 如 MD5 算法 ) 并产生原始摘要， 甲用自己的私钥加密该摘要 ( 公 / 私钥既可自己创建也可由 CA 提供 ) 。 3. 最后 , 甲将加密后的合同、打包后的密钥、加密后的摘要 , 以及甲的数字 证书 ( 由权威机构 CA 签发 ) 一起发给乙。 而乙接收加密文件后，需要完成以下动作 : 1. 接收后，用乙的私钥解密得到对称密钥 , 并用对称密钥解开加密的合同 , 得到合同明文。 2. 通过甲的数字证书获得属于甲的公钥 , 并用其解开摘要 ( 称做摘要 1) 。 3. 对解密后的合同使用和发送者同样的散列算法