基于USB_Key的PKI身份认证技术的分析与改进

第一篇：基于USB_Key的PKI身份认证技术的分析与改进基于USBKey的PKI身份认证技术的分析与改进摘要：在当今数字世界中，身份认证技术是各种安全技术的基础。USBKey技术是现在比较流行的基于PKI的强身份认证技术，特别是在网上银行等金融领域。研究了USBKey的典型使用流程，分析了这些流程中的安全威胁，最后着重提出了针对这些风险的安全解决方案，这些方案都是在具体项目得以实施应用，对目前的USBKey使用和开发具有很好的实用和借鉴意义。关键词：USB智能密码钥匙；公钥密码基础设施；身份认证；数字签名；网上银行中图分类号：TP393.08文献标识码：AAnalysisandimprovementofPKIidentityauthenticationtechnologybasedonUSBKeyAbstract:Nowindigitalworld,allofsecuritytechnologiesarebasedondigitalidentityauthenticationtechnology.AndtheUSBKeytechnologyisoneofthemostpopulartechnologies,whichisastrongauthenticationtechnologyandbasedonPKI,especiallyinInternetbankingfiled.Thetypicalusageflowsareresearched,thesecuritythreatsareanalyzed.Atthelast,thesolutionsareproposedcorrespondingtothesethreats,whichisappliedinpracticalprojectsandhavegreatpracticalandeconomicvalue.Keywords:USBKey;PKI;Identityauthentication;Digitalsignature;Internetbanking1引言随着互联网和电子商务的发展，USBKey作为网络用户身份识别和数据保护的“电子钥匙”，正在被越来越多的用户所认识和使用。USBKey[1,2,3]这个概念最早是由加密锁厂家提出来的，加密锁是用来防止软件盗版的硬件产品，用于识别用户身份。与此同时，随着PKI[45,6]应用的兴起，数字证书[45,6]作为确认用户身份和保护用户数据有效手段越来越被人们所接受。然而数字证书实质上表现为带有用户信息和密钥的一个数据文件，如何保护数字证书本身又成为PKI体系中最薄弱的环节，专门用于存储秘密信息的USBKey就很自然的成为数字证书的最佳载体。利用USBKey来保存数字证书和用户私钥。每一个USBKey都带有PIN码保护，这样USBKey的硬件和PIN码构成了可以使用证书的两个必要因子，也就是所谓的双因素认证[7]。随着智能卡[8]技术的发展，智能卡运算能力不断提高，带有智能卡芯片的USBKey可以通过内置的智能卡芯片在Key内部硬件实现DES/3DES、RSA加解密运算，并支持Key内生成RSA密钥对，杜绝了密钥在客户端内存中出现的可能性，大大提高了安全性。这样，基于智能卡技术和PKI技术的发展形成了目前广泛使用的USBKey身份认证产品。USBKey基本功能包括：高质量随机数生成，公/私密钥对产生，数字证书下载存储，哈希运算，数字签名/验证，对称加/解密，非对称加/解密等功能。USBKey是目前所有身份认证技术中认证强度最高的技术，但是使用过程中的漏洞会大大削弱这种优势，其安全形势也不用乐观。USBKey的使用流程网银[9]（InternetBanking，网上银行）等金融领域是目前USBKey应用最广泛最成熟的领域，下面主要以网银案例来介绍USBKey的使用流程，以时序图形式说明。2.1首次登录流程用户1.0插入USBKeyUSBKey客户端网银服务器1.1虚拟光盘自动运行1.2客户端启动并进入登录界面1.3与服务器建立单向SSL安全通道1.4与客户端建立单向SSL安全通道1.5提示用户输入相关信息进行用户绑定1.6用户输入身份证号和授权码1.7提取相关序号1.8设备序号和数字证书序号1.9发送用户信息到服务器1.10验证用户信息如果成功，则绑定用户身份证号、USBKey序号及数字证书序号1.11返回绑定结果1.12提示用户登录成功或失败图1首次登录流程图2.2普通登录流程用户2.0插入USBKeyUSBKey客户端网银服务器2.1虚拟光盘自动运行2.2客户端启动并进入登录界面2.3与服务器建立单向SSL安全通道2.4与客户端建立单向SSL安全通道2.5提示用户输入口令2.