基于ActiveX的USBKEY网络身份认证.pdfVIP

基于ActiveX 的USBKEY 网络身份认证 章奕 北京邮电大学信息工程学院，北京（100876 ） E-mail ：zhangyibupt@ 摘 要：USBKEY 是以USB 插卡的形式安装在用户计算机外USB 口上，提供数据加/解密、 数据完整性、数字签名、访问控制等功能。本文使用 ActiveX Control 技术，读取和校验 USBKEY 加密数据区数据，进行网络身份认证和网络设备数据的加/解密。 关键词：USBKEY ，ActiveX ，CAB 1. 引言 随着互联网和电子商务的发展，USBKEY 作为网络用户身份识别和数据保护的“ 电子钥 匙”，正在被越来越多的用户所认识和使用。USBKEY 是一种智能存储设备，它是基于USB 接口的身份认证产品，内有CPU 芯片，可用于存放加密数据，与钥匙相似，也被称为智能 钥匙。内含安全文件系统，可以用来存储密钥和其他机密信息，能够用有效的、简化的配置， 提供给商业、电子供应商和最终用户以进行安全的、便携的用户鉴定。它支持热拔插，轻巧 便于携带，具有内置 PIN 码保护，多次误操作锁定，带有软件控制状态指示灯，方便监控 等功能。正是基于USB 的热拔插等智能卡和读卡器的特点，同时提供众多的API 接口，为 二次开发提供了便利，逐渐地被各个行业所采用。 2. 关于USBKEY USBKEY 是结合了现代密码学技术，智能卡技术和USB 技术的新一代身份认证产品， 是一种加密数据存储设备。对于受保护的软件，通过 USBKEY ，可以保护该软件不被非法 复制和非授权访问或使用。当使用USBKEY 加密保护软件后，启动锁加密保护的程序，此 时若USBKEY 不在或对某个应用模块的访问已超出预先设定的次数，程序会发出错误信息， 从而达到加密保护软件的目的。 USBKEY 还可以应用在各种安全系统身份认证领域，包括网站系统，OA 办公系统， 信息查询系统等。通过USBKEY 的使用替换传统的用户名和密码，保证系统的登录安全。 2.1 USBKEY 硬件特性 （1） 双因子认证 每一个USBKEY都具有硬件PIN码保护，PIN码和硬件构成了USBKEY 的两个必要因素， 即所谓“双因子认证” 。用户只有同时取得USBKEY和用户PIN码，才可以登录系统。即使用 户的PIN码被泄漏，只要用户持有USBKEY不被盗窃，合法用户的身份就不会被仿冒；如果 用户的USBKEY遗失，由于无法知道用户PIN码，也无法仿冒合法用户的身份。USBKEY 的 PIN码为图2所示。 （2 ） 带有安全存储空间 内部划分成数据存储区（1000字节）和密钥存储区（8个32字节密钥），将软件的一些 重要信息 (如序列号等)保存在多功能锁中的数据存储区中，或者将进行HMAC-MD5密钥写 在多功能锁中的密钥存储区中，如图1所示。 - 1 - （3 ） 加密算法 内置CPU或智能卡芯片，可以实现PKI体系中使用的数据摘要，数据加解密和签名的各 种算法，加解密算法在USBKEY 内进行，保证用户密钥不会出现在计算机内存中，从而杜绝 了用户密钥被黑客截取的可能性。支持RSA ，DES ，SSF33和3DES算法。 （4 ） 便于携带，安全可靠 如拇指般大的USBKEY非常方便随身携带，并且密钥和证书不可导出，KEY 的硬件不可 复制，更显安全可靠。 密钥区 存储区 图1 USBKEY 内部结构 图2 USBKEY 的PIN 码保护体系 2.2 USBKEY 公钥密码体制