三、智能卡概论

  1、USB-Key技术

USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法实现对用户身份的认证。

  2、USB Key 身份认证的特点

  1）双因子认证

每一个USB Key都具有硬件PIN码保护，PIN码和硬件构成了用户使用USB Key的两个必要因素，即所谓“双因子认证”。

  2）带有安全存储空间

USB Key具有8K-128K的安全数据存储空间，可以存储数字证书、用户密钥等秘密数据。

  3）硬件实现加密算法

USB Key内置CPU或智能卡芯片，可以实现PKI体系中使用的数据摘要、数据加解密和签名的各种算法，加解密运算在USB Key内进行，保证了用户密钥不会出现在计算机内存中，从而杜绝了用户密钥被黑客截取的可能性。支持RSA，DES，SSF33和3DES算法。

3、身份证认证模式

    USB Key的认证模式主要有2种我：基于冲击/响应的认证模式和基于PKI体系的认证模式。

    （1）基于冲击—响应的双因子认证方式

    当需要在网络上验证用户身份时，先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数并通过网络传输给客户端（此为冲击）。客户端将收到随机数通过USB接口提供给ePass，由ePass使用该随机数与存储在ePass中的密钥进行MD5-HMAC运算并得到一个结果作为认证证据传给服务器（此为响应）。与此同时，服务器也使用该随机数与存储在服务器数据库中的该客户密钥进行MD5-HMAC运算，如果服务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个合法用户。

    （2）基于数字证书的认证方式

    PKI即公共密钥体系，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一个仅为本人所掌握的私有密钥（私钥），用它进行解密和签名；同时拥有一个公开密钥（公钥）用于文件发送者加密和接收者验证签名。

    USB Key目前来说并不是绝对安全的，当前广泛应用的USB Key实际存在两大安全漏洞：

    ①交互操作存在漏洞。

    ②无法防止数据被篡改。

四、电力工控系统安全应采用的对策

    （1）加强制度建设和人员管理

       ①加强制度法规建设。

       ②加强人员管理教育。

    （2）加强技术防范

      ①采用访问控制策略。

      ②采用加密技术。

      ③错误反病毒技术。

    （3）加强整体防护

      ① 把好系统设计安全关。

      ② 把好产品研发与设备采购关。

      ③ 把好系统安全管理关。

      ④ 把好系统风险评估关。

      ⑤ 把好系统威胁监测和应急响应关。