USB Key安全认证技术及改进.doc

训练场USB Key安全认证技术及改进 摘要 随着电子商务的迅速发展，信息安全已成为焦点问题之一，尤其是网上支付和网络银行对信息安全的要求显得更为突出。网上支付的安全问题一直是限制网银发展的一个重要因素。 usb key作为近年新出现的身份认证工具，极大的提高了网上支付的安全性。然而，usb key技术也存在着一些安全缺陷。本文主要阐述usb key技术的原理及应用，并对存在的缺陷提出解决思路。 关键词：usb key ,网银支付 , 改进 Abstract with the rapid development of electronic commerce, information security has become one of focus problems, especially the online payment and online bank requirements for information security appears more prominent. Online payment security problem has always been a limit is an important factor in the development of online banking. Usb key as in recent years, the new identity authentication tool, greatly improves the security of online payment. Usb key technology, however, there are also some security flaws. Usb key purpose of this article is the principle and application of technology, and put forward solution to defects. Key words: usb key, E-currency payment, improve 一、引言 网银支付由于成本低廉、资金周转方便、不受时空的约束等一系优势，迅速在电子商务活动中得以广泛应用。目前，usb key作为网络用户的身份识别和数据保护的“电子钥匙”，正在被越来越多的网上用户所认可和使用。下面将论述usb key技术的原理及分析其实际应用时的安全性，并为进一步提高usb key的安全性，在此基础上做相应的改进。 二、usb key的基本情况 usb key基本简介 usb key外形与盘类似，内置cpu、智能卡芯片以及储存器，数字证书以密钥存放在存储器中，并且不可导出。由数据传输转换模块实现芯片与计算机之间的数据交换与传输，遵循iso7816 标准和usb 协议 (二)usb key的主要特点 1.使用方便：外观与普通的u盘类似, 便于随身携带，具有热插功能（即插即用）。 2.功能强大：同时具有数据加密和数据存储两大功能。 3.安全性好：usb key具有硬件pin码保护功能。只有知道密码pin 码的人才能打开它, 取得存在里面的电子数据。所以只有同时取得usb key 和用户pin 码才可以登录系统。如果用户pin码泄漏，只要usb key设备本身不被盗用即能保证安全。 usb key使用了公钥加密算法，用户的私钥和数字证书存放在usb key内部，对usb key的读写操作必须通过必要的程序完成，用户无法直接读取，私钥等信息不能被导出到usb key外部，从而杜绝用户数字证书和身份信息被复制的可能性。 4.价格便宜：usb key实际上就是一个带有usb接口的微控制器，这种微控制器制作简单成本低廉，有利于大规模普及应用。 三、usb key的工作原理 usb key 身份认证主要有如下两种应用模式 基于冲击响应认证模式 (1) (2) (3) （S收到y与自己计算的相较） ”代表用MD5算法加密随机数，“y”代表随机数和密钥经过md5运算后的结果。预先在usb key和服务器中存储一个证明用户身份的密钥，当需要在网络上验证用户身份时，先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数回传给客户端pc上插着的usb key，此为“冲击”。usb key 使用该随机数与存储在usb key中的密钥进行MD5 运算得到一个运算结果作为认证证据传送给服务器，此为“响应”。与此同时，服务器使用该随机数与存储在服务器数据库中的该客户密钥进行md5运算，如果服务器的运算结果与客户端传回的响应结果相同