[USBkey.ppt

Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. USB Key是一种USB接口的硬件设备。 内置单片机或智能卡芯片 有一定的存储空间，可以存储用户的私钥以及数字证书 利用USB Key内置的公钥算法实现对用户身份的认证。 注意 由于用户私钥保存在密码锁中，理论上使用任何方式都无法读取，因此保证了用户认证的安全性。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. USBkey原理 USB Key存放代表用户唯一身份数字证书和用户私钥。 基于PKI体系的整体解决方案中，用户的私钥是在高安全度的USB Key内产生，并且终身不可导出到USB Key外部。 在网上银行应用中，对交易数据的数字签名都是在USB Key内部完成的，并受到USB Key的PIN码保护。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. USBkey身份认证 采用冲击响应的认证方式，主要过程如下： 1、登陆时在服务器和客户端同时进行 运算 2、客户端计算前验证USER PIN 3、在硬件中使用MD5算法进行计算， 服务器同时计算，比较计算结果即可实现验证 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 流程图 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. USBkey的优点 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. USBkey安全性 （1）用户必须在超级用户状态下（SO PIN 验证通过)，通过自己设定的不 超过 51 字节的种子生成 PID，以后打开和关闭 usbkey 都需要通过 PID 来完成。 PID 的生成算法是在 usbkey 内部完成的，而且是不可逆的，也就是说，只有生 成者才知道什么样的种子能生成什么样的 PID，别的人即使知道 PID，同时也能 够调用这个计算过程，但因为不知道种子是什么，是无法生成和您相同的 PID 的硬件，保证了用户的 usbkey 的独特性 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. USBkey安全性 （1）用户必须在超级用户状态下（SO PIN 验证通过)，通过自己设定的不 超过 51 字节的种子生成 PID，以后打开和关闭 usbkey 都需要通过 PID 来完成。 （2）用户在对 usbkey 中的数据进行读写操作时需要进行 USER PIN 验证， 又增加了一层对软件的保护性。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. （3）用户可以在配置设备时设为只读，那么 usbkey 中的数据只可以读取， 而不能被更改，密钥也不能被修改，从而保证了锁内数据不被篡改。 （4） 使用 usbkey 硬件中的 HMAC-MD5 算法进行冲击响应身份认证。HMAC-MD5 密钥存在 usbkey 中，该密钥只用于计算，任何人获取不到密钥的内容，保证密 钥的安