USB KEY 身份認(rèn)證簡介
目前常見的身份認(rèn)證方式主要有三種,最常見的是使用用戶名加口令的方式,但這也是最原始、最不安全的身份確認(rèn)方式,非常容易由于外部泄漏等原因或通過口令猜測(cè)、線路竊聽、重放攻擊等手段導(dǎo)致合法用戶身份被偽造;第二種是生物特征識(shí)別技術(shù)(包括指紋、聲音、手跡、虹膜等),該技術(shù)以人體唯一的生物特征為依據(jù),具有很好的安全性和有效性,但實(shí)現(xiàn)的技術(shù)復(fù)雜,技術(shù)不成熟,實(shí)施成本昂貴,在應(yīng)用推廣中不具有現(xiàn)實(shí)意義;第三種也是現(xiàn)在電子政務(wù)和電子商務(wù)領(lǐng)域最流行的身份認(rèn)證方式--基于USB Key的身份認(rèn)證。
USB KEY結(jié)合了現(xiàn)代密碼學(xué)技術(shù)、智能卡技術(shù)和USB技術(shù),是新一代身份認(rèn)證產(chǎn)品,它具有以下特點(diǎn):
1、 雙因子認(rèn)證
每一個(gè)USB Key都具有硬件PIN碼保護(hù),PIN碼和硬件構(gòu)成了用戶使用USB Key的兩個(gè)必要因素,即所謂"雙因子認(rèn)證"。用戶只有同時(shí)取得了USB Key和用戶PIN碼,才可以登錄系統(tǒng)。即使用戶的PIN碼被泄漏,只要用戶持有的USB Key不被盜取,合法用戶的身份就不會(huì)被仿冒;如果用戶的USB Key遺失,拾到者由于不知道用戶PIN碼,也無法仿冒合法用戶的身份。
2、 帶有安全存儲(chǔ)空間
USB Key具有8K-128K的安全數(shù)據(jù)存儲(chǔ)空間,可以存儲(chǔ)數(shù)字證書、用戶密鑰等秘密數(shù)據(jù),對(duì)該存儲(chǔ)空間的讀寫操作必須通過程序?qū)崿F(xiàn),用戶無法直接讀取,其中用戶私鑰是不可導(dǎo)出的,杜絕了復(fù)制用戶數(shù)字證書或身份信息的可能性。
3、 硬件實(shí)現(xiàn)加密算法
USB Key 內(nèi)置CPU或智能卡芯片,可以實(shí)現(xiàn)PKI體系中使用的數(shù)據(jù)摘要、數(shù)據(jù)加解密和簽名的各種算法,加解密運(yùn)算在USB Key內(nèi)進(jìn)行,保證了用戶密鑰不會(huì)出現(xiàn)在計(jì)算機(jī)內(nèi)存中,從而杜絕了用戶密鑰被黑客截取的可能性。支持RSA,DES ,SSF33和3DES算法。
4、便于攜帶,安全可靠
如拇指般大的USB Key非常方便隨身攜帶,并且密鑰和證書不可導(dǎo)出,Key的硬件不可復(fù)制,更顯安全可靠。
USB Key身份認(rèn)證系統(tǒng)的應(yīng)用方式:
1、基于沖擊-響應(yīng)的雙因子認(rèn)證方式
當(dāng)需要在網(wǎng)絡(luò)上驗(yàn)證用戶身份時(shí),先由客戶端向服務(wù)器發(fā)出一個(gè)驗(yàn)證請(qǐng)求。服務(wù)器接到此請(qǐng)求后生成一個(gè)隨機(jī)數(shù)并通過網(wǎng)絡(luò)傳輸給客戶端(此為沖擊)。客戶端將收到的隨機(jī)數(shù)通過USB接口提供給ePass,由ePass使用該隨機(jī)數(shù)與存儲(chǔ)在ePass中的密鑰進(jìn)行MD5-HMAC運(yùn)算并得到一個(gè)結(jié)果作為認(rèn)證證據(jù)傳給服務(wù)器(此為響應(yīng))。與此同時(shí),服務(wù)器也使用該隨機(jī)數(shù)與存儲(chǔ)在服務(wù)器數(shù)據(jù)庫中的該客戶密鑰進(jìn)行MD5-HMAC運(yùn)算,如果服務(wù)器的運(yùn)算結(jié)果與客戶端傳回的響應(yīng)結(jié)果相同,則認(rèn)為客戶端是一個(gè)合法用戶。
密鑰運(yùn)算分別在ePass硬件和服務(wù)器中運(yùn)行,不出現(xiàn)在客戶端內(nèi)存中,也不在網(wǎng)絡(luò)上傳輸,由于MD5-HMAC算法是一個(gè)不可逆的算法,就是說知道密鑰和運(yùn)算用隨機(jī)數(shù)就可以得到運(yùn)算結(jié)果,而知道隨機(jī)數(shù)和運(yùn)算結(jié)果卻無法計(jì)算出密鑰,從而保護(hù)了密鑰的安全,也就保護(hù)了用戶身份的安全。
2、基于數(shù)字證書的認(rèn)證方式
隨著PKI技術(shù)日趨成熟,許多應(yīng)用中開始使用數(shù)字證書進(jìn)行身份認(rèn)證與數(shù)字加密。數(shù)字證書是由權(quán)威公正的第三方機(jī)構(gòu)即CA中心簽發(fā)的,以數(shù)字證書為核心的加密技術(shù),可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證,確保網(wǎng)上傳遞信息的機(jī)密性、完整性,以及交易實(shí)體身份的真實(shí)性,簽名信息的不可否認(rèn)性,從而保障網(wǎng)絡(luò)應(yīng)用的安全性。
PKI即公共密鑰體系,即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶擁有一個(gè)僅為本人所掌握的私有密鑰(私鑰),用它進(jìn)行解密和簽名;同時(shí)擁有一個(gè)公開密鑰(公鑰)用于文件發(fā)送者加密和接收者驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí),發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密,而接收方則使用自己的私鑰解密,這樣,信息就可以安全無誤地到達(dá)目的地了,即使被第三方截獲,由于沒有相應(yīng)的私鑰,也無法進(jìn)行解密。
用戶也可以采用自己的私鑰對(duì)信息進(jìn)行加密,接收者用發(fā)送者的公鑰解密,由于私鑰僅為用戶本人所有,所以就能夠確認(rèn)該信息確實(shí)是由該用戶發(fā)送的,此過程稱之為數(shù)字簽名。
USB Key作為數(shù)字證書的存儲(chǔ)介質(zhì),可以保證數(shù)字證書不被復(fù)制,并可以實(shí)現(xiàn)所有數(shù)字證書的功能。
USB Key在電力行業(yè)的應(yīng)用
電力行業(yè)是國民經(jīng)濟(jì)的基礎(chǔ)產(chǎn)業(yè),是關(guān)系到國計(jì)民生的行業(yè)。電力行業(yè)的信息化從 60-70年代開始的電廠自動(dòng)化監(jiān)控開始,到現(xiàn)在已經(jīng)有30多年。隨著電力行業(yè)的不斷發(fā)展,電力的關(guān)鍵業(yè)務(wù)不斷增長,因此信息化應(yīng)用也不斷增強(qiáng),網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用越來越多。同時(shí),隨著Internet技術(shù)的發(fā)展,建立在Internet架構(gòu)上的跨地區(qū)、全行業(yè)系統(tǒng)內(nèi)部信息網(wǎng)開始逐步建立,網(wǎng)上應(yīng)用著各種電力業(yè)務(wù)及辦公系統(tǒng)。顯而易見,電力信息網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全問題愈來愈顯得重要。
隨著電力行業(yè)全面的信息化,信息安全也成為了當(dāng)今不可忽視的課題。為了保證信息安全,決策者在網(wǎng)絡(luò)建設(shè)之初,常常就會(huì)不惜重金花在購買防火墻,防病毒軟件,等相關(guān)的軟硬件設(shè)施。這一切措施旨在保護(hù)電力信息系統(tǒng)的數(shù)據(jù)安全,所謂安全,就是指有相應(yīng)權(quán)限的人員可以接觸和操作相應(yīng)的數(shù)據(jù),任何人無法接觸到未被授權(quán)給他的數(shù)據(jù)。然而,信息系統(tǒng)中的數(shù)據(jù)終歸要為人所用,如果有人偽造了相應(yīng)權(quán)限人的身份,那么投入再多的安全防護(hù)體系一樣形同虛設(shè)。因此用戶身份認(rèn)證系統(tǒng)是信息安全體系的第一道關(guān)。
USB KEY在電力企業(yè)實(shí)現(xiàn)的功能分析:
1. 企業(yè)內(nèi)網(wǎng)
☆ Windows智能卡登陸
☆ 企業(yè)OA
☆ 文件、硬盤等數(shù)據(jù)加密
☆ 郵件加密
☆ 數(shù)字簽名
2. 電力專網(wǎng)
☆ SSL VPN(虛擬專用網(wǎng))
☆ 電子印章
☆ 數(shù)字證書
☆ 數(shù)據(jù)簽名
3. 互聯(lián)網(wǎng)
☆ 網(wǎng)上身份認(rèn)證
☆ 訪問安全站點(diǎn)
☆ 郵件安全與簽名
身份認(rèn)證技術(shù)能夠廣泛應(yīng)用于電力企業(yè)的多種應(yīng)用系統(tǒng),如電力OA系統(tǒng)、電力營銷業(yè)務(wù)系統(tǒng)、電力客戶服務(wù)系統(tǒng)、電力銀行聯(lián)網(wǎng)系統(tǒng)、電力網(wǎng)上營業(yè)廳系統(tǒng)等。通過使用身份認(rèn)證技術(shù)不僅使得企業(yè)的安全認(rèn)證得到有效保障,而且極大的提升了企業(yè)的管理效率。