USB KEY的认证原理.doc

【IT168 专稿】目前，网络上的身份认证手段主要有以下几种方法： 用户名/密码:简单易行,保护非关键性的系统，由于密码是静态的数据，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。是极不安全的身份认证方式； IC卡: 是一种内置集成电路的芯片，芯片中存有与用户身份相关的数据。IC卡由专门的设备生产，是不可复制的硬件。IC卡由合法用户随身携带，登录时必须将IC卡插入专用的读卡器读取其中的信息，以验证用户的身份。简单易行,但容易被留驻内存的木马或网络监听等黑客技术窃取。 动态口令：动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。由于每次使用的密码必须由动态令牌或动态密码卡来产生，只有合法用户才持有该硬件或卡，而认证服务器端也依照同样的规则动态产生相同的密码，所以只要通过密码验证就可以认为该用户的身份是可靠的。用户每次使用的密码都不相同，即使黑客截获了一次密码，但在用户退出登录后，它也无法利用这个密码来仿冒合法用户的身份，因为密码已经过期。动态口令技术采用一次一密的方法，有效保证了用户身份的安全性，是比较安全的认证手段。 生物特征：利用人的指纹、虹膜、掌纹、声纹等天然纹理作为认证识别手段，不同的人具有不同的生物特征，因此几乎不可能被仿冒。因此安全性最高，最可靠的身份认证方式，但各种相关识别技术还没有成熟，没有规模商品化，准确性和稳定性有待提高，特别是当生物特缺失时，就可能没法利用。 USB Key： 安全可靠，成本低廉 依赖硬件的安全性。下面详解。 USB Key简介 基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、可靠的身份认证技术。它采用一次一密的强双因子认证模式，很好地解决了身份认证的安全可靠，并提供USB接口与现今的电脑通用。USB Key是一种USB接口的小巧的硬件设备，形装与我们常见的U盘没有什么两样。但它的内部结构不简单，它内置了CPU、存储器、芯片操作系统（COS），可以存储用户的密钥或数字证书，利用USB Key内置的密码算法实现对用户身份的认证。（图1）图1 每一个USB Key都具有硬件PIN码保护，PIN码和硬件构成了用户使用USB Key的两个必要因素。用户只有同时取得了USB Key和用户PIN码，才可以登录系统。即使用户的PIN码被泄漏，只要用户持有的USB Key不被盗取，合法用户的身份就不会被仿冒；如果用户的USB Key遗失，拾到者由于不知道用户PIN码，也无法仿冒合法用户的身份。 USB Key具有安全数据存储空间，可以存储数字证书、密钥等秘密数据，对该存储空间的读写操作必须通过程序实现，用户无法直接读取，其中用户密钥是不可导出的，杜绝了复制用户数字证书或身份信息的可能性。 USB Key 内置CPU，可以实现加解密和签名的各种算法，加解密运算在USB Key内进行，保证了密钥不会出现在计算机内存中，从而杜绝了用户密钥被黑客截取的可能性。USB Key的两种应用模式 USB Key身份认证主要有如下两种应用模式： 一、基于冲击-响应认证模式 USB Key内置单向散列算法（MD5），预先在USB Key和服务器中存储一个证明用户身份的密钥，当需要在网络上验证用户身份时，先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数回传给客户端PC上插着的USB Key，此为“冲击”。USB Key使用该随机数与存储在USB Key中的密钥进行MD5运算得到一个运算结果作为认证证据传送给服务器，此为“响应”。与此同时，服务器使用该随机数与存储在服务器数据库中的该客户密钥进行MD5运算，如果服务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个合法用户。（图2）图2 图中“x”代表服务器提供的随机数，“Key”代表密钥，“y”代表随机数和密钥经过MD5运算后的结果。通过网络传输的只有随机数“x”和运算结果“y”，用户密钥“Key”既不在网络上传输也不在客户端电脑内存中出现，网络上的黑客和客户端电脑中的木马程序都无法得到用户的密钥。由于每次认证过程使用的随机数“x”和运算结果“y”都不一样，即使在网络传输的过程中认证数据被黑客截获，也无法逆推获得密钥。因此从根本上保证了用户身份无法被仿冒。 二、基于PKI的数字证书的认证模式 PKI（Public Key Infrastructure）即公共密钥体系，即利用一对互相匹配的密钥进行加密、解密。一个公共密钥（公钥，public key）和一个私有密钥（私钥，private key）。其基本原理是：由一个密钥进行加密的信息内容，只能由与之配对的另一个密钥才能进行解密。公钥可以广泛地发给与自己有关的通信者，私钥则需要十分安全地存放起来。 每个用户拥有一个仅为本人所掌握的私钥，用它进行解密和签名；同时拥有一个公钥用于文件发送时加密。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。 冲击响应模式可以保证用户身份不被仿冒，但无法保证认证过程中数据在网络传输过程中的安全。 而基于PKI的“数字证书认证方式”可以有效保证用户的身份安全和数据传输安全。数字证书是由可信任的第三方认证机构数字证书认证中心（CertficateAuthority,CA）颁发的一组包含用户身份信息（密钥）的数据结构，PKI体系通过采用加密算法构建了一套完善的流程，保证数字证书持有人的身份安全。而使用USB Key可以保障数字证书无法被复制，所有密钥运算在USB Key中实现，用户密钥不在计算机内存出现也不在网络中传播，只有USB Key的持有人才能够对数字证书进行操作，安全性有了保障。由于USB Key具有安全可靠，便于携带、使用方便、成本低廉的优点，加上PKI体系完善的数据保护机制，使用USB Key存储数字证书的认证方式已经成为目前主要的认证模式。 （图3）图3 总结： 如今网络上的木马盗号违法行为盛行，可以说，只要上互联网，几乎每一台电脑都可能遭受到攻击，而传统使用的静态密码（用户名+密码）是被认为是极度危险的身份认证手段，所以对重要而敏感的网上身份认证安全不得不引起我们非常的重视。在目前多种身份认证技术中，USB KEY 是被认为安全可靠的技术，在生物特征身份认证技术没有实用之前，它可以说是最安全的身份认证手段，在网上银行、电子商务、电子税务、电子政务、网络游戏、虚拟专网、内网安全等等众多领域都可以大显身手。从目前USB KEY网络身份认证的应用情况来看正在显现出越来越大的优越性，最大规模的应用是在国内各家商业银行的网上银行业务。这也是我们喜欢网上购物的网友们应高度注意的，若你的银行卡开有网上银行业务，最好选择USB KEY身份认证方式。前言：本文为USB Key的厂商SafeNet公司提供的宣传稿件，并不代表本博客作者的观点和看法。本文的技术解决方案使用的是SafeNet自身的产品，虽然这个产品支持数字签名和PKI体系，可生成并储存私钥和数字证书，是满足个人身份认证安全级别和存储数字证书的一种选择，不过国内也有相当多的其他品牌型号的USB Key产品可供使用，因此如果大家选择USB Key产品应用的话，应仔细对比各方不同的USB Key产品，方能找到物美价廉的身份认证产品。以下是稿件全文：银行应用USB Key身份认证方案企业概况某大国有银行始建于1908年，是中国早期四大银行之一，总行设在上海。目前，该银行拥有辐射全国、面向海外的机构体系和业务网络。在境内的分支机构有:27家省分行、7家直属分行、营业机构近3000个左右。在纽约、东京、香港、新加坡、汉城设有分行，在伦敦、法兰克福设有代表处。他们与全球100多个国家和地区的800家银行的总分支机构建立了代理行关系。现在，全行员工5.5万人。按总资产排名，该银行位列世界1000家大银行的前100位，已跻身全球银行百强行列。为了适应激烈的市场竞争，近年来该银行大力开展网上银行业务。在短短的三年中，该银行完成了网上银行的整体框架构建，形成了以特色信用卡、全国通、外汇宝、基金买卖等功能为支撑的网上银行服务体系和以普通版、大众版、专业版为特征的对公网上银行服务体系，并实现了网上银行的功能完善和业务量的快速增长。然而，随着钓鱼网站、专业偷盗银行账号和密码的木马程序“网银大盗”的泛滥，人们对网上银行的安全性越来越表示质疑。怎样才能加强系统应用的安全性，提升人们对网上银行的信任度，成为各家银行网上银行业务中最为亟待解决的问题。当然，该银行也面临同样的问题。挑战通常国内网上银行都会分为大众版和企业版两个版本，它们的本质区别在于安全级别不同。用户只要凭借身份证号码、账号和密码就可以在网上自助开通大众版网上银行，操作简便，手续极为简单，但运行后安全保密性较差，唯一的防护措施就是客户在开通时自行设置的登录密码和付款密码。而申请专业版网上银行就要复杂得多，首先需要用户本人到银行网点进行业务申请，通过安装应用数字证书和PKI体系实现网上账户资金的交易和转移。数字证书是网上银行业务中确认用户身份的唯一标志，具有不可复制性和不可替代性，所有网上交易必须要事先通过数字证书进行安全认证，它可以看作是用户的网上身份证。既然是网上身份认证的唯一标志，确保其安全性就至关重要。普通个人用户常把数字证书存储在电脑硬盘中，这种做法的危险性不言而喻。对于资金交易量较大的企业用户，为了确保其资金安全，该银行强制要求使用更加安全的存储介质以达到更加有效的资源访问控制。经过充分的测试和详细的比较后，他们选择SafeNet iKey2032作为其网上银行企业客户的身份验证工具。USB Key解决方案SafeNet iKey2032之所以在这样一家大型国有银行竞标中胜出的原因主要源于其突出的产品特性。iKey2032是一款基于USB接口的可移动身份认证设备, 专门针对银行业或其它数字证书用户。它支持数字签名和PKI体系，可生成并储存私钥和数字证书，是满足个人身份认证安全级别和存储数字证书的理想选择。 用双因素认证方式替代不可靠的口令iKey2032系列采用双因素认证机制，用户需要通过iKey硬件和相对应的PIN码两方面共同确认身份，其安全性、可靠性远远高于仅靠密码保护的传统口令认证方式。作为一种智能卡技术的延伸，用户在使用iKey2032产品时，无需购置昂贵的读卡器设备，只需要将它插入电脑USB口即可进行用户身份确认。 硬件实现加密算法确保系统安全性iKey2032系列支持公钥体系，可在iKey内部生成密钥对，存储密钥对和X.509数字证书，以及在iKey内部执行签名操作。iKey硬件内部生成密钥对，私钥从生成、管理到销毁始终在Key硬件内部完成，消除了密钥外流的危险性。目前，iKey2032系列通过了 FIPS 140-1, Level 2级认证，该认证为美国最权威的安全产品认证。 支持多个CA和PKI应用通过与众多软硬件供应商建立战略合作关系，SafeNet iKey2032具备了广泛的安全解决方案支持能力。ikey2032支持多种CA和Microsoft, Entrust, Computer Associates, VeriSign等公司提供的众多PKI应用。另外，由于iKey2032系列支持PKCS#11和Microsoft CryptoAPI，可以方便地与其他多种客户端应用相互集成。 应用简单，携带方便iKey2032外形小巧、携带方便，用户可以把iKey2032挂在钥匙串上随身携带，因而极大提高了使用的方便性和灵活性。另外，iKey2032支持热插拔，当拔出iKey2032后，系统对话自动关闭。应用成效为了更好地满足该银行对网上银行认证的需求，SafeNet专门定制设计了用户登陆界面和产品外观。从2004年1月正式启用，到目前为止，该银行总部及各分行已经共计采购iKey2032已超过2万只，各分行反映应用效果良好。现在，该银行正计划将iKey2032 USB Key从企业客户向个人客户推广。其银行电子银行部经理表示：2年来，使用USB Key的数亿笔往上支付交易没有发生过一笔盗窃事件。我们很欣慰地看到，SafeNet身份认证方案很好的提升了我们银行网上银行系统的认证安全性和竞争优势。对使用者而言，他们需要更加方便、快捷的应用，这一点SafeNet iKey2032也表现出色。建行网银盾，是建设银行近期新推出的高强度网上银行安全产品，是将预先制作好的电子证书在银行内部环节就直接写入USB Key中，即领即用。客户在网上银行操作时，如果签约并领取了预制证书即“建行网银盾”，其以后的网上银行操作将不再需要下载数字证书，改变了以往客户在取得空白USB Key后，使用网上银行之前还须手动下载证书的做法。操作流程更简单、快捷。目录不需下载更方便 预置证书更安全 友情提醒 编辑本段不需下载更方便采取预制证书USB Key后，下载证书的障碍将被清除，将会较大改善客户应用体验 “数字证书从哪下载？”“下载了如何使用？”初次接触网上银行的人经常会有这样的疑问。 根据建行95533客户服务中心对客户的来电咨询分析，此前建行客户来电中有较大比例的咨询与电子银行应用有关，而有关USB Key使用和证书下载又占电子银行应用的绝大部分。 从支付宝建行工作室等互联网论坛看，有关USB Key和证书下载的问题也是论坛中客户讨论的热点问题。 为了解决客户这方面的烦恼，“建行网银盾”面市了。 此后，建行客户签约并领取预制证书USB Key后，安装好USB Key管理工具，可直接登录并使用网上银行，不再需要下载数字证书，简化了操作流程。采取预制证书USB Key后，下载证书的障碍将被清除，将会较大改善客户应用体验。同时，配合USB Key“无驱无软”的特性，客户首次使用网上银行的流程也将得到更大改进。 另外，此前Windows操作系统的Vista版本不支持数字证书下载到USB Key中，客户签约领取空白USB Key的，下载数字证书时可能操作较为繁琐。 而“建行网银盾”，即预制证书USB Key推出后，由于不需要下载数字证书，可方便在Vista下使用。 建行福建省分行电子银行相关人士介绍，“建行网银盾”预置证书USB Key的签约流程与原空白USB Key签约流程完全一致，不会增加任何环节。 编辑本段预置证书更安全在网上银行客户签约之前，建行已经制作好，并将数字证书下载到USB Key中 “建行网银盾”不仅简化了网上银行客户的操作流程，降低网上银行客户使用门槛，在网上银行的安全方面，也更胜一筹。 数字证书，是指可证实网上银行客户与其发起的交易，如转账汇款交易等有联系的数据电文或者其他电子记录。 而USB Key，是指具备USB接口，具有一定的存储空间，用以存储用户数字证书，实现对用户身份认证和交易信息加密的硬件设备，跟大家使用的U盘样子相似。 目前，多数银行向客户发放的USB Key中，事先并没有保存数字证书。 “就是说，客户持有一个空的USB Key，使用前就必须下载数字证书。”建行福建省分行相关人士介绍说，这样，客户在签约网上银行，并领取空白USB Key后，还需要登录网上银行，先将数字证书下载到空白的USB Key中。 “相对于在领用USB Key时就已经通过银行内部环节安装好了数字证书，由客户自己通过国际互联网下载证书，无疑有一定的风险。”建行福建省分行电子银行部相关人士说。 而“建行网银盾”的创新之处，就是“预制证书”。 “在网上银行客户签约之前，建行已经制作好，并将数字证书下载到USB Key中了。” “建行网银盾”预制证书USB Key推出后，银行预先生成并将数字证书下载到USB Key内，在客户签约网上银行时，生成客户与USB Key的对应关系，并将USB Key交付给客户。 本来必须分两步走，现在一步搞定。虽然只是小小细节的变化，却大有妙处。 编辑本段友情提醒预制证书USB Key的业务规则 1.适用范围 预制证书USB Key目前暂适用于网上银行个人客户。 建行目前正在进行企业网上银行客户签约业务流程及签约系统的改造，改造完成后，预制证书USB Key也将在企业网上银行客户中广泛使用。 2.使用流程 预制证书USB Key的使用流程与原流程相比，登录后的交易页面由3个减少到了1个：首次登录后，仅需设置交易密码即可办理交易，无需再进行证书下载。 3.更换证书 预制证书USB Key的数字证书有效期5年，自数字证书生成之日起计算。数字证书到期后，客户可在建行网上银行登录页面，点击“证书到期换证”的链接自助换证。建行网银盾的初始密码为“12345678”，您可以通过证书管理工具修改密码。如您使用的是握奇或华大品牌的建行网银盾，则在您第一次使用建行网银盾时系统会提示您修改建行网银盾口令，请您详细回忆当时所设置的建行网银盾密码，建行网银盾密码的设置规则为：6-8(或15)位字符。如果您连续10次输错建行网银盾的密码，网银盾将被锁定。 建行网银网银盾用户口令丢失或锁定后，如何处理 如果您使用的是捷德品牌的建行网银盾，并且有附带的光盘，锁定后，请您先使用初始化工具将建行网银盾初始化，初始化后的建行网银盾密码为：12345678。初始化后建行网银盾中的证书将丢失，需要您带上本人有效身份证件、网银签约账户、建行网银盾、本人手机（小灵通），到网银盾购买分行任意建行网点办理建行网银盾的绑定业务，成功绑定后，需要您在七天之内登录网银下载证书。 初始化工具使用方法如下： 1、插入光盘，点击光盘“初始化工具”目录中的“CCB_InitTool.exe”图标，并插入建行网银盾。 2、点击“开始”按钮，并在弹出的对话框中选择“是”，确