資訊安全期末報告一、usbkey是什麼其應用在中國二代身分證.docVIP

資訊安全期末報告 一、 USB Key 是什麼？其應用在中國二代身分證扮演的角色是什麼？請與美國HSPD 12 ( FIPS 201 ) 作比較，指出雙方規劃及應用之周詳性及差異點。 USB KEY： ? USB Key是一種USB介面的硬體設備，它內置單片機或智慧卡晶片，可以存儲用戶的私鑰以及數字證書，利用USB Key內置的公鑰演算法實現對用戶身份的認證。由於用戶私鑰保存在口令鎖中，理論上使用任何方式都無法讀取，因此保證了用戶認證的安全性，是一種目前網上銀行應用較廣泛的身份認證產品，一些銀行的U盾、優KEY等都是這種產品。 ????它的使用方法是，用戶登錄時在電腦上插入USB Key，然後輸入PIN碼，如果驗證通過，則可以進行相關交易。 ????USB Key的硬體和PIN碼構成了可以使用證書的兩個必要因素。如果用戶PIN碼被泄漏，只要USB Key本身不被盜用即安全。但USB Key在實際使用中也有一定風險，由於PIN碼是在用戶電腦上輸入的，如果用戶不及時取走USB Key，那麼駭客可以通過截獲的PIN碼來取得虛假認證，仍然存在安全隱患。? 目前USBKey身份認證通常採用的認證方式有： ? 1.基於衝擊-響應的雙因子認證方式 當需要在網路上驗證用戶身份時，先由客戶端向服務器發出一個驗證請求。服務器接到此請求後生成一個隨機數並通過網路傳輸給客戶端（此為衝擊）。客戶端將收到的隨機數通過USB接口提供給ePass，由ePass使用該隨機數與存儲在ePass中的密鑰進行MD5-HMAC運算並得到一個結果作為認證證據傳給服務器（此為響應）。與此同時，服務器也使用該隨機數與存儲在服務器數據庫中的該客戶密鑰進行MD5-HMAC運算，如果服務器的運算結果與客戶端傳回的響應結果相同，則認為客戶端是一個合法用戶。 密鑰運算分別在ePass硬件和服務器中運行，不出現在客戶端內存中，也不在網路上傳輸，由於MD5-HMAC算法是一個不可逆的算法，就是說知道密鑰和運算用隨機數就可以得到運算結果，而知道隨機數和運算結果卻無法計算出密鑰，從而保護了密鑰的安全，也就保護了用戶身份的安全。 ? 2、基於數字證書的認證方式 隨著PKI技術日趨成熟，許多應用中開始使用數字證書進行身份認證與數字加密。數字證書是由權威公正的第三方機構即CA中心簽發的，以數字證書為核心的加密技術，可以對網路上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性，以及交易實體身份的真實性，簽名信息的不可否認性，從而保障網路應用的安全性 USBKey作為數字證書的存儲介質，可以保證數字證書不被複製，並可以實現所有數字證書的功能。 身份認證技術將朝著更加安全、易用、多種技術手段相結合的方向發展。由於USBKey具有安全可靠，便於攜帶、使用方便、成本低廉的優點，被認為將會成為身份認證的主要發展方向。我國的一些CA中心也把與USBKey結合看成一個重要的發展趨勢，如北京CA認證中心和國內的部分USBKEY廠商進行密切的技術合作，又如上海市CA中心（SHECA）與高校以及開發商合作，將基於SHECA數字證書開發的數字印章無縫嵌入到了USBKEY當中。隨著CA應用的增多和復雜，較大容量的USBKEY會更能滿足要求。從市場前景來看，伴隨證書應用的不斷深入以及單位成本的降低，支持RSA算法的高端USBKEY將更加符合發展的趨勢。 在美國，政府安全性的需求是受到美國聯邦資訊處理標準 (FIPS) 出版品的規範，這些出版品是由美國國家技術標準協會 (NIST) 所開發，適用於所有政府部門。當聯邦政府對安全性和互通性有迫切需求，並且沒有可接受的業界標準或解決方案時，NIST 便會開發 FIPS。 考慮到政府中的安全性基準，FIPS 驗證能向使用者保證，特定技術已由具公信力的協力廠商實驗室進行測試，並已通過嚴格的 CAVP (密碼編譯演算法驗證程式) 或 CMVP (密碼編譯模組驗證程式) 測試，可用來保護機密資訊的安全。 到目前為止，對政府市場而言最重要的是 FIPS 140-2，因為要銷售給美國聯邦政府實作密碼編譯的產品，需要有 FIPS 140-2 驗證。如果您的產品沒有 FIPS 140-2 驗證，並且沒辦法證明即將取得此驗證，那麼您無法將產品推入政府部門的市場。 FIPS 140-2 可識別保護資訊之安全系統中，所使用之密碼編譯模組的十一種區域： 密碼編譯模組規格 密碼編譯模組連接埠和介面 角色、服務和驗證 有限的州模式 實體安全性 作業環境 密碼編譯金鑰管理 電磁干擾/電磁相容性 (EMI/EMC) 自我測試 設計保證 減緩其他攻擊 此標準也針對這十一個區域提供四種漸增的定性安全性層級，範圍從 1 到 4 (1 是最低