USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。
每一个USB Key都具有硬件PIN码保护,PIN码和硬件构成了用户使用USB Key的两个必要因素,即所谓“双因子认证”。
USB Key具有8K-128K的安全数据存储空间,可以存储数字证书、用户密钥等秘密数据。
USB Key内置CPU或智能卡芯片,可以实现PKI体系中使用的数据摘要、数据加解密和签名的各种算法,加解密运算在USB Key内进行,保证了用户密钥不会出现在计算机内存中,从而杜绝了用户密钥被黑客截取的可能性。支持RSA,DES,SSF33和3DES算法。
USB Key的认证模式主要有2种我:基于冲击/响应的认证模式和基于PKI体系的认证模式。
当需要在网络上验证用户身份时,先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数并通过网络传输给客户端(此为冲击)。客户端将收到随机数通过USB接口提供给ePass,由ePass使用该随机数与存储在ePass中的密钥进行MD5-HMAC运算并得到一个结果作为认证证据传给服务器(此为响应)。与此同时,服务器也使用该随机数与存储在服务器数据库中的该客户密钥进行MD5-HMAC运算,如果服务器的运算结果与客户端传回的响应结果相同,则认为客户端是一个合法用户。
PKI即公共密钥体系,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一个仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一个公开密钥(公钥)用于文件发送者加密和接收者验证签名。
USB Key目前来说并不是绝对安全的,当前广泛应用的USB Key实际存在两大安全漏洞:
①交互操作存在漏洞。
②无法防止数据被篡改。
(1)加强制度建设和人员管理
①加强制度法规建设。
②加强人员管理教育。
(2)加强技术防范
①采用访问控制策略。
②采用加密技术。
③错误反病毒技术。
(3)加强整体防护
① 把好系统设计安全关。
② 把好产品研发与设备采购关。
③ 把好系统安全管理关。
④ 把好系统风险评估关。
⑤ 把好系统威胁监测和应急响应关。
各省软考办 | ||||||||||