USBkey幻灯片.pptVIP

USB Key是一种USB接口的硬件设备。 内置单片机或智能卡芯片 有一定的存储空间，可以存储用户的私钥以及数字证书 利用USB Key内置的公钥算法实现对用户身份的认证。 注意 由于用户私钥保存在密码锁中，理论上使用任何方式都无法读取，因此保证了用户认证的安全性。 USBkey原理 USB Key存放代表用户唯一身份数字证书和用户私钥。 基于PKI体系的整体解决方案中，用户的私钥是在高安全度的USB Key内产生，并且终身不可导出到USB Key外部。 在网上银行应用中，对交易数据的数字签名都是在USB Key内部完成的，并受到USB Key的PIN码保护。 USBkey身份认证 采用冲击响应的认证方式，主要过程如下： 1、登陆时在服务器和客户端同时进行 运算 2、客户端计算前验证USER PIN 3、在硬件中使用MD5算法进行计算， 服务器同时计算，比较计算结果即可实现验证 流程图 USBkey的优点 USBkey安全性 （1）用户必须在超级用户状态下（SO PIN 验证通过)，通过自己设定的不 超过 51 字节的种子生成 PID，以后打开和关闭 usbkey 都需要通过 PID 来完成。 PID 的生成算法是在 usbkey 内部完成的，而且是不可逆的，也就是说，只有生 成者才知道什么样的种子能生成什么样的 PID，别的人即使知道 PID，同时也能 够调用这个计算过程，但因为不知道种子是什么，是无法生成和您相同的 PID 的硬件，保证了用户的 usbkey 的独特性 USBkey安全性 （1）用户必须在超级用户状态下（SO PIN 验证通过)，通过自己设定的不 超过 51 字节的种子生成 PID，以后打开和关闭 usbkey 都需要通过 PID 来完成。 （2）用户在对 usbkey 中的数据进行读写操作时需要进行 USER PIN 验证， 又增加了一层对软件的保护性。 （3）用户可以在配置设备时设为只读，那么 usbkey 中的数据只可以读取， 而不能被更改，密钥也不能被修改，从而保证了锁内数据不被篡改。 （4） 使用 usbkey 硬件中的 HMAC-MD5 算法进行冲击响应身份认证。HMAC-MD5 密钥存在 usbkey 中，该密钥只用于计算，任何人获取不到密钥的内容，保证密 钥的安全性。 （5）提供了安全方便的外壳加密工具，使加密工作非常简单。 USBkey发展及应用前景 USB Key产品最早是由加密锁厂商提出来的，原先 的USB加密锁主要用于防止软件破解和复制，保 护软件不被盗版； USB Key的目的不同，USB Key主要用于网络认证，锁内主要保存数字证书和用户私钥。 现在也有人简称USB Key为 Ukey。 目前工行的USB Key产品为“U盾”，招行的USB Key产品为“优Key”等 U盾 U盾是工行推出并获得国家专利的客户证书USBkey。 主要功能及实现： （1）内置微型智能卡处理器； （2）采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名； （3）可以有效防范支付风险，确保客户网上支付资金安全； （4）外形酷似U盘，像一面盾牌，时刻保护着您的网上银行资金安全。 U盾的工作原理 U盾中存放着你个人的数字证书，并不可读取。同样，银行也记录着你的数字证书。 当你尝试进行网上交易时，银行会向你发送由时间字串，地址字串，交易信息字串，防重放攻击字串组合在一起进行加密后得到的字串A，你的U盾将跟据你的个人证书对字串A进行不可逆运算得到字串B，并将字串B发送给银行，银行端也同时进行该不可逆运算，如果银行运算结果和你的运算结果一致便认为你合法，交易便可以完成，如果不一致便认为你不合法，交易便会失败。 U盾的安全措施 1、硬件PIN码保护 黑客需要同时取得用户的USB Key硬件以及用户的PIN码，才可以登录系统。即使用户的PIN码被泄漏，只要用户持有的USB Key不被盗取，合法用户的身份就不会被仿冒；如果用户的USB Key遗失，拾到者由于不知道用户PIN码，也无法仿冒合法用户的身份。 2、安全的存储介质 　 USB Key的密钥存储于安全的介质之中，外部用户无法直接读取，对密钥文件的读写和修改都必须由USB Key内的程序调用。从USB Key接口的外面，没有任何一条命令能够对密钥区的内容进行读出、修改、更新和删除。