基于PKI的USBKey身份认证机制研究.doc

基于PKI的USBKey身份认证机制研究 杨涛 200820203340 摘要：电子商务如火如荼的今天，网上支付的安全性问题被提到了锋尖浪口。如何对用户身份，金融信息进行安全传输？系统介绍了国内各银行大力推广的USBKey 技术。然后对USBKey 上主要认真模式PKI信息安全基础设施做了深入介绍。最后探讨了USBKey 实现的bois层本地访问控制和远程访问控制技术。 关键词：USBKey；PKI；对称密码技术；非对称密码技术； 全球经济一体化的迅速发展对商务活动形式提出了新的需求，二十世纪末展开的如火如荼的信息化建设为这一可能提出了基础支持，电子商务作为新商务活动形式，在整个经济活动中所占的地位越来越重要。但是在电子商务中安全支付一直是一个关键问题。目前在我国的电子商务活动中，尤其是B to C形式的电子商务中，银行普遍提供网上银行业务作为支付手段。在实际应用中，有3种常见的认证用户身份方法：1.用户账号+口令密码；2.银行卡或智能卡（IC卡）；3.虹膜或指纹；虽然这些方法都可以提供认证服务，但每种方法都有自己的局限性。第1种方法使用起来简单、方便，但可靠性最差，一旦盗用者通过某种方式获得了他人的账号、密码，则该用户的切身利益将无法得到保障；后2种方法可靠性较高，但需要配备专用设备，体系结构复杂，价格过于昂贵，影响推广使用。于是今年来人们提出了USBKey的安全保障方法。 USBKey相关技术： 1.1 USBKey 简介[1] USBKEY是一个运行在具有USB接口的工作站上的令牌产品。它带有一个微型计算机系统，其工作原理相当于智能卡和读卡器的联合体。USBKEY提供了和智能卡相同的可靠性，安全性和简易性，同时还免去了使用加密密钥的复杂。基于USBKEY的身份认证方式是近几年发展起来的一种方便、安全、可靠的身份认证技术。它采用一次一密的强双因子认证模式，用户只有同时取得了USBKEY和用户PIN码，才可以置录系统，很好地解决了身份认证的安全可靠问题。USBKEY外形同普通u盘并无两样，但它的内部结构并不简单，它内置了CPU、存储器、芯片操作系统(cos)。USBKEY具有安全数据存储空间，可以存储数字证书、密钥等秘密数据，对该存储空间的读写操作必须通过程序实现，用户无法直接读取，其中用户密钥是不可导的，杜绝了复制用户数字证书或身份信息的可能性。USBKEY内置了CPU，可以实现加解密和签名的各种算法，并且加解密运算足在USBKEY内进行的，保证了密钥不会出现在计算机内存中，从而杜绝了用户密钥被黑客截取的可能性。 1.2 USBKey 的认证方式 基于USBKey的认证方式主要有本地身份认证和远程身份认证两种。 1.2.1 基于USBKey的本地身份认证 在这种应用环境下，认证过程是USBKEY和主机之间认证信息的交互。利用USBKEY进行本地身份认证时，USBKEY中除保存了用户的私钥和证书外，还可以包括CA(certificate authority)的证书[2]主机可以用CA的证书验证对方证书的真实性，再用对方的证书验证签名的真实性。这种身份认证过程是在本地环境下完成的，因此USBKEY中的证书很难具有时效性。例如USBKEY中的用户证书甚至是CA证书已经过期或者已经被撤消，而用户却没有得到通知，这样就导致了认证过程中主机和USBKEY持有者的信任关系不成立，这是难以避免的问题。 1.2.2 基于USBKey的远程身份认证 和基于USBKEY的本地身份认证相比，基于USBKEY的远程身份认证是远端的服务器和USBKEY之间的信息交互。由于远端服务器与主机相比更容易进行管理和维护，因此具有更高的可靠性。目前基于USBKEY的远程身份认证有两种应用模式：基于冲击．响应的认证模式和基于PKI的数字证书认证模式。 基于冲击-响应认证模式 在这种模式中，USBKEY内置单向散列算法，预先在USBKEY和服务器中存储一个证明用户身份的密钥，当需要在网络上验证用户身份时，先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数回传给客户端PC上插着的USBKEY，此为“冲击”。USBKEY使用该随机数与存储在USBKEY中的密钥进行单向散列运算得到一个运算结果作为认证证据传送给服务器，此为“响应”。与此同时，服务器使用该随机数与存储在服务器数据库中的该客户密钥进行单向散列运算，由于单向散列运算具有不可逆性，如果服务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个合法用户。 如图1所示。注：图1中“R”代表服务器提供的随机数，“Key”代表密钥，“X”代表随机数和密钥经过MD5运算之后的结果。 基于PKI的数字证书的认证模式 PKl(public key infrastructure)利用一对互相匹配的密