USB Key在PKI体系中应用研究.docVIP

USB Key在PKI体系中应用研究 　　摘 要：信用卡安全关系到民生国计，频繁发生的信用卡盗用事件，给人们的生活造成了很大的困扰。从信用卡信息安全出发，对当今信用卡安全技术在PKI中的应用现状进行了研究，介绍了PKI技术原理、PKI的密钥存储方案以及USB Key技术在实际PKI应用中的安全特性，提出了对当今USB Key使用算法的理论性改进方案。利用时钟机制和一次一密原理，对USB Key的加密算法进行了改进，从而实现了加快运算效率及增强信息保密的效果。 　　关键词：信用卡；USB Key；PKI；时钟机制；一次一密 　　中图分类号：TP302 文献标识码：A 文章编号2013）003003903 　　0 引言 　　近几年，我国信用卡安全事件频繁发生，出现了个人信息泄露、信用卡盗用、信用卡冒领等信息安全问题，信用卡信息安全领域警钟频敲。而随着电子商务的兴起，如何保证信用卡持有者的信息安全成为越来越重要的问题。目前，基于物理介质的身份认证已成为被广泛用来实现认证身份的手段，但其在使用过程中通常要结合其它技术。其中使用最为广泛的认证方式主要有5种：IC卡认证、用户名密码认证、动态口令卡认证、生物特征认证、USB Key认证。 　　PKI体系不只是一种简单的加密措施而是包含配套的软件及硬件、相关管理人员和协议的完整结构，PKI体系经典模型如图1所示。但现今仍无法建立一个可靠的信任体系，PKI实际上仍存在漏洞。 　　为了增进USB Key的安全性，保护持密钥者的财产安全。笔者在遵循PKI认证方式的基础上，分析了在PKI中被广泛使用的USB Key算法及其安全性，针对加密技术可能存在的缺陷，结合时钟机制和一次一密原理，提出了对当今USB Key算法的理论性改进方案。 　　1 PKI技术简介 　　1.1 PKI基础设施 　　PKI（Public Key Infrastructure）即公钥基础设施，是提供公钥加密和数字签名服务的系统，目的在于自动管理密钥和证书，保证网上数据信息传输的机密性、真实性、完整性和不可否认性。PKI采用证书进行公钥管理，通过第三方的可信任机构，把用户的公钥和用户的其它标识信息捆绑在一起，从而在网上验证用户的身份。一个PKI系统由证书认证机构（Certificate Authority）、注册机构（Registration Authority）、数字证书（Digital Certificate）、证书撤销列表（Certificate Revocation List）和公钥密码技术（Public Key Cryptography）组成。 　　1.2 PKI提供的安全服务功能 　　PKI提供的安全服务功能包括： 　　（1）身份认证。身份认证就是确认实体是自己所声明的实体，以鉴别身份的真伪。 　　（2）数据完整性。数据的完整性就是确认数据没有被修改，以确保收到的信息真实可信。 　　（3）数据机密性。数据机密性就是对数据进行加密，保证数据不被未授权的人获取。 　　（4）不可否认性。不可否认性是指发送方对数据来源的不可否认和接收方对接收后的不可否认。 　　（5）数据的公正性。公证服务即“数据认证”，就是认证中心CA的公证人证明数据是有效和正确的，这种公证取决于数据验证的方式。 　　除了上述PKI提供的核心服务外，PKI系统还提供一些附加服务如安全时间戳、特权管理等。这些服务虽然并不是任何PKI都具备的基本或本身固有的功能，但都建立在PKI核心服务基础之上。 　　1.3 密钥的存储方案 　　1.3.1 存储卡 　　存储卡只含有存储功能。由于不能确保发卡方的真实性和对持卡人的认证功能，因而使得这种卡不能被广泛使用。 　　1.3.2 智能卡 　　对于智能卡身份识别技术，最常见的是嵌有磁条的磁卡，但磁条上的记录容易被转录。因此，出现了内置芯片的智能卡，但这种智能卡通常要和配套的读卡器一起使用，成本高、携带不便，是这项技术的不足之处。 　　1.3.3 USB Key 　　USB Key又称电子钥匙，外形与普通的U盘类似。其将智能卡、读卡器的功能集于一身。但在使用时容易中病毒是该介质的一大缺陷。 　　2 USB Key技术在PKI应用中的安全特性 　　在PKI中客户端必须请求认证服务、询问证书和相关的撤销信息，并且高级的客户端还要完成密钥更新或者密钥恢复等操作。客户端不在服务网络体系内，它的任务是管理用户的证书以及与证书相对应的私钥，完成客户端功能。同时客户端通过标准的应用接口等和PKI体系中的各种服务器连接，完成各种实际操作。 　　图2中，USB Key通过RSA加密算法产生的密钥对分别作为独立文件在COS中存储，私钥不出硬件设备，公钥提交认证中心为其签发证书。持卡者的个人信息和公钥信息通过私钥进行签名运算，