USB key特点
基于usb key的身份认证方式是近几年发展起来的一种方便、安全、可靠的身份认证技术,并提供usb接口与现今的电脑通用,usb key是一种usb接口的小巧的硬件设备,形状与常见的u盘没有什么两样,但它的内部结构不简单,它内置cpu、存储器、芯片操作系统(cos),可以储存用户的密钥或数字证书,利用usb key内置的密码算法实现对用户身份的认证,
(1)双因子认证
每个USB key都有一个硬件PIN码,PIN码可以理解为使用USB key所需的密码,只有知道PIN码的人才有权使用USB key。双因子认证是指只有用户同时拥有USB key和PIN码,才能通过身份认证。USER PIN有最大重试次数限制,连续输入错误会锁死。从而防止硬件丢失后,被不合法的用户反复重试。
如果用户key(硬件)丢失,由于其他人不知道PIN码,也无法伪造用户身份;如果其他人知道了PIN码,但是无法获取到key,同样也无法伪造身份。因此使用USB key进行身份认证是一种非常安全的方式。
(2)带有安全存储空间
USB key中有一块安全的存储空间,专门用来存储数字证书、用户密钥等秘密信息。之所以说这块存储空间是安全的,是因为只有通过程序才能对该存储空间进行读写,用户无法直接读取,并且用户私钥是不能导出的,这也就防止了其他人复制数字证书或用户身份信息进行身份伪造。
(3)硬件实现密码算法
USB key内置了CPU或智能卡芯片,芯片中集成了数据加解密、签名验签、消息摘要等各种密码算法。硬件实现密码算法相比于软件实现密码算法,最大的好处是密码运算在key中进行,保证了密钥永不出key,不会出现在计算机的内存中,这也就防止了黑客获取密钥,保证了密钥的安全性。
(4)便于携带,安全可靠
USB key类似于U盘,非常的小巧,便于携带。并且key中的证书和密钥不可导出,key的硬件不可复制,更加安全可靠。
身份认证
USB key中存储着用户的证书,证书是由CA签发的,唯一的代表一个用户的身份。与证书相对应的是一个公私钥对,公钥在证书中,私钥由用户自己保存。
数字证书写入到UKey中怎么用?一般UKey设备厂商会提供API,另外还需要有相应的驱动程序,可以让系统识别到UKey移动设备,提供相应的加解密签名接口,如读取UKey序列号、读取加密签名证书、签名等,禁止直接读取私钥,并有相应安全策略保护。
通过UKey签名可以实现身份认证,因为UKey中包含的私钥就只有指定身份才能持有,拿使用UKey数字签名登录后台为例,首先插入UKey设备,然后签名随机生成的验证码,得到签名数据,再输入用户名一起提交到后台,后台先做验证码正确性检查,然后再通过用户名查询定位数据库中的用户签名证书记录,使用用户的签名证书对用户传过来的签名数据进行验签,如果验证通过则证明是对应的用户,从而实现身份认证过程。这种方式比传统的口令认证更安全,甚至可以不需要用户名就可以登录验证,用户名是可以保存在数字证书信息中的,并且证书的序列号在同个CA中也是唯一的。身份认证实现的基本流程如下。
USBKEY(ET99)的认证方式
