基于USB Key的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全、可靠的身份認(rèn)證技術(shù)。它采用一次一密的強雙因子認(rèn)證模式,很好地解決了身份認(rèn)證的安全可靠,并提供USB接口與現(xiàn)今的電腦通用。USB Key是一種USB接口的小巧的硬件設(shè)備,形裝與我們常見的U盤沒有什么兩樣。但它的內(nèi)部結(jié)構(gòu)不簡單,它內(nèi)置了CPU、存儲器、芯片操作系統(tǒng)(COS),可以存儲用戶的密鑰或數(shù)字證書,利用USB Key內(nèi)置的密碼算法實現(xiàn)對用戶身份的認(rèn)證。 每一個USB Key都具有硬件PIN碼保護(hù),PIN碼和硬件構(gòu)成了用戶使用USB Key的兩個必要因素。用戶只有同時取得了USB Key和用戶PIN碼,才可以登錄系統(tǒng)。即使用戶的PIN碼被泄漏,只要用戶持有的USB Key不被盜取,合法用戶的身份就不會被仿冒;如果用戶的USB Key遺失,拾到者由于不知道用戶PIN碼,也無法仿冒合法用戶的身份。 USB Key具有安全數(shù)據(jù)存儲空間,可以存儲數(shù)字證書、密鑰等秘密數(shù)據(jù),對該存儲空間的讀寫操作必須通過程序?qū)崿F(xiàn),用戶無法直接讀取,其中用戶密鑰是不可導(dǎo)出的,杜絕了復(fù)制用戶數(shù)字證書或身份信息的可能性。 USB Key 內(nèi)置CPU,可以實現(xiàn)加解密和簽名的各種算法,加解密運算在USB Key內(nèi)進(jìn)行,保證了密鑰不會出現(xiàn)在計算機內(nèi)存中,從而杜絕了用戶密鑰被黑客截取的可能性。USB Key的兩種應(yīng)用模式 USB Key身份認(rèn)證主要有如下兩種應(yīng)用模式: 一、基于沖擊-響應(yīng)認(rèn)證模式 USB Key內(nèi)置單向散列算法(MD5),預(yù)先在USB Key和服務(wù)器中存儲一個證明用戶身份的密鑰,當(dāng)需要在網(wǎng)絡(luò)上驗證用戶身份時,先由客戶端向服務(wù)器發(fā)出一個驗證請求。服務(wù)器接到此請求后生成一個隨機數(shù)回傳給客戶端PC上插著的USB Key,此為“沖擊”。USB Key使用該隨機數(shù)與存儲在USB Key中的密鑰進(jìn)行MD5運算得到一個運算結(jié)果作為認(rèn)證證據(jù)傳送給服務(wù)器,此為“響應(yīng)”。與此同時,服務(wù)器使用該隨機數(shù)與存儲在服務(wù)器數(shù)據(jù)庫中的該客戶密鑰進(jìn)行MD5運算,如果服務(wù)器的運算結(jié)果與客戶端傳回的響應(yīng)結(jié)果相同,則認(rèn)為客戶端是一個合法用戶。 圖中“x”代表服務(wù)器提供的隨機數(shù),“Key”代表密鑰,“y”代表隨機數(shù)和密鑰經(jīng)過MD5運算后的結(jié)果。通過網(wǎng)絡(luò)傳輸?shù)闹挥须S機數(shù)“x”和運算結(jié)果“y”,用戶密鑰“Key”既不在網(wǎng)絡(luò)上傳輸也不在客戶端電腦內(nèi)存中出現(xiàn),網(wǎng)絡(luò)上的黑客和客戶端電腦中的木馬程序都無法得到用戶的密鑰。由于每次認(rèn)證過程使用的隨機數(shù)“x”和運算結(jié)果“y”都不一樣,即使在網(wǎng)絡(luò)傳輸?shù)倪^程中認(rèn)證數(shù)據(jù)被黑客截獲,也無法逆推獲得密鑰。因此從根本上保證了用戶身份無法被仿冒。
關(guān)鍵詞:
usbke