USBKEY技术性

中国银行企业USBKEY操作指南BKEY简介USBKEY是中国银行针对企业客户推出的一种安全设备，它结合了数字证书技术和USB接口的便捷性，可以用于企业客户在进行网银业务和电子支付时进行身份验证和交易授权。

BKEY的申领和激活企业客户可以到中国银行网点办理USBKEY的申领和激活。

具体步骤如下：(2)完成身份验证后，银行工作人员将为您办理USBKEY的制作和激活，制作完成后，您需要设置USBKEY的PIN码（个人识别号码）；(3)银行工作人员将为您进行初次登录网银并设定超级管理员账户；(4)激活完成后，您可以将USBKEY带回企业，并安装相应的驱动程序和安全控件。

BKEY的使用USBKEY在网银业务和电子支付中起到重要的作用，下面将详细介绍其使用方法：(1)登录网银：插入USBKEY并打开电脑，进入中国银行企业客户网银登录页面，输入登录名、密码和验证码，然后点击“登录”；(2)输入USBKEY密码：在弹出的登录页面中，选择USBKEY登录方式，并按照要求输入USBKEY的PIN码；(3)获取动态口令：登录成功后，系统将自动生成动态口令，并通过USBKEY显示在屏幕上，您可以在这里复制或记录下来；(4)进行交易操作：在网银页面上，根据需要进行转账、查询余额、查看交易明细等各种操作，使用动态口令进行交易授权；BKEY的注意事项在使用USBKEY过程中，请注意以下事项，以确保安全可靠：(1)不要将USBKEY暴露在潮湿、高温、磁场或静电环境中；(2)请妥善保存USBKEY密码，不要将其泄漏给他人，更不要将USBKEY和密码放在一起；(3)使用USBKEY进行网银操作时，请确保操作环境安全，避免被他人偷窥或偷取信息；总结：。

usbkeyUSBKEY图片USB Key是一种USB接口的硬件设备。

它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法实现对用户身份的认证。

由于用户私钥保存在密码锁中，理论上使用任何方式都无法读取，因此保证了用户认证的安全性。

USB Key产品最早是由加密锁厂商提出来的，原先的USB加密锁主要用于防止软件破解和复制，保护软件不被盗版，而USB Key的目的不同，USB Key主要用于网络认证，锁内主要保存数字证书和用户私钥。

目前工行的USB Key产品为“U盾”，招行的USB Key产品为“友Key”，两者的主要供应商都是USB Key的专业厂商捷德公司。

卡通圆形USBkey相对来说，USB Key比较安全，但是USBKey并非绝对安全，也存在被破解的可能，详细的技术分析请参见下面两篇文章：中国网银安全分析：USB Key /archives/753.html USB Key的安全漏洞/archives/927.htmlUSB Key网银的便捷与风险在今天这样一个互联网驱动的社会中，网上银行也称在线银行，已经成为金融机构整体发展策略中不可或缺的一部分。

近年来使用网上银行的用户数量巨大增长，并且每年保持了稳定的发展势头。

网上银行在给它的用户带来诸多便捷服务、给银行节省费用支出和带来更多利润增长点的同时，也承受着很多安全风险。

很多银行意识到了这一点，纷纷采取行动，包括不断教育用户提高自身安全意识，安装杀毒软件，防木马软件；采用硬件USB Key或者动态口令牌方式进行身份认证等。

现行网银客户端的安全保障动态口令牌(OTP，One time password)采用动态口令的认证方式就是在每次用户登录时除了输入常规的静态口令外，还要再输入一个每次都会变化的动态口令。

这个动态口令的获得方式有很多种，如刮刮卡式、二维矩阵卡式和电子令牌式，其中电子令牌就是我们所说的动态口令牌,如VeriSign的动态令牌VIP服务。

上海交通大学硕士学位论文文件加密解密算法研究与实现——基于USBKEY的文件加密解密方案姓名：丁晨骊申请学位级别：硕士专业：计算机技术指导教师：邱卫东;沈亦路20091201文件加密解密算法研究与实现——基于USBKEY的文件加密解密方案摘 要随着信息社会的到来，人们在享受信息资源所带来的巨大便利的同时，也面临着信息安全问题的严峻考验。

如何实现对企业重要信息的加密，防止企业机密信息的泄漏，提高内部机要文件存放的安全性，是当前信息安全领域的一个重要课题。

本文的主要研究内容是文件加密系统的解决方案中文件的加密算法和密钥管理。

首先，论文对现有四种加密方式进行了深入研究，详细分析了这四种加密方式在使用技术、密钥管理及安全强度方面的优缺点及其具体适用环境。

对现有文件加密系统方案的合理性进行了评估、分析和比较。

其次，本文提出了一种安全有效的文件加密方案，其中主要工作有两大部分：１．针对原使用加密算法单一，加密强度不高进行了改进，并基于混合型加密原理作为本文提出文件加密方案的主要手段。

与改进前相比，新方案在文件加密强度上有了较大的提高，消除了原加密体制存在的诸多安全威胁。

２．设计了独立的密钥管理系统，将密钥管理和密码钥匙盘（USBKEY）相结合，在抗模拟接口、抗跟踪软件能力上有很大的提高，将密钥和密文彻底分离，大大提高了密钥的安全性。

最后本文对所提出的加密系统的内存加密数据速度以及文件加密速度进行了测试。

分别将一个文件631KB和3MB的文件进行了加解密的测试，测试结果表明本文提出的文件加密系统具有较好的性能，具有较大的实用性。

关键词：密码体制；DES；RSA；USB；加密；ABSTRACTWith the advent of the information society, people enjoying the tremendous information resources to facilitate the same time, also faces a severe test of information security issues. How to achieve business critical information on encryption, to prevent enterprises from the leakage of confidential information to improve the security of internal confidential document repository, and is the current information security is an important issue.The main research contents of this file encryption system, the solution file encryption algorithm and key management. First, the papers on the existing four kinds of encryption methods conducted in-depth research, detailed analysis of these four kinds of encryption methods in the use of technology, key management and security strength of the strengths and weaknesses and their practical application in the environment. On the existing file encryption system, the rationality of the program were assessed, analysis and comparison.Secondly, this paper presents a safe and effective file encryption program, which has two main parts: 1. For the original use of a single encryption algorithm, encryption is not high intensity has been improved, and is based on principles of hybrid encryption file encryption program, as proposed in this paper the principal means. And improved compared to before the new package file encryption intensity has been greatly improved, eliminating many of the original encryption system, there is a security threat. 2. Designed to separate key management system, key management and cryptographic keys, disk (USBKEY) combined in the anti-analog interface, the ability of anti-tracking software have greatly improved, would be key and cyphertext complete separation, greatly increased of the key security.Finally, the paper for the proposed encryption system to encrypt data rate memory, as well as file encryption speed tested. , Respectively, a 631KB file, and 3MB of file encryption and decryption of the test, the test results show that the file encryption system proposed in this paper has good performance, with great practicality.Keywords: cryptography; DES; RSA; USB; encryption第一章 绪 论1.1立题的意义由于公司经常有一些商业电子文档，要对这些商业文档进行保密。

USBKey使用说明书首先感谢您使用北京中认环宇技术开发有限公司（CQCCA）颁发的数字证书，为了安全保存您的数字证书，数字证书通过USBKey保存，USBKey里的数字证书不可复制和导出。

为了您更加了解和使用我公司的USBKey，我们将从以下五个方面对USBKey做一些简单介绍。

一、 USBKey与数字证书数字证书是个人或企业在互联网上的身份标识，由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。

USBKey是数字证书的存储介质，您需要妥善保管。

USBKey设置有保护密码，使用USBKey时需要输入该口令进行验证。

二、 如何安装USBKey驱动程序第一步，请您登陆中认环宇数字中心网站。

第二步，请在左侧导项栏“USBKey管理”中选择“USBKey驱动下载”。

第三步，请您单击选择“USBKey驱动程序下载”。

第四步，请您保存驱动程序文件，单击“保存”。

第五步，保存在您所使用的电脑上。

第六步，文件下载完成后，点击“打开文件夹”。

第七步，双击压缩文件ePass2001-CQCCA，解压缩。

第八步，默认释放到本地文件夹中。

“ePass2001-CQCCA” 驱动安装程序。

第十步，点击“安装”。

第十一步，点击“完成”。

此时驱动程序安装完成。

三、 如何使用USBKey管理程序修改密码第一步，在“开始”中选择“所有程序”,选择“EnterSafe”,选择“ePass2001-CQCCA”,选择“管理工具”。

第二步，选择“令牌名”，点击“登录”。

第三步，输入您的USBKey密码，我们设置的初始密码是“cqcca”。

第四步，为了防止他人使用您的USBKey，建议您修改密码。

点击“修改用户PIN码”。

第五步，请您设置您的密码，并“确认”。

usbkey身份鉴别流程以USB Key身份鉴别流程为标题一、引言在当今信息化时代，数据安全问题备受关注。

为了保护个人或机构的数据安全，身份鉴别技术被广泛应用。

USB Key作为一种常见的身份鉴别工具，具有便携性和安全性高的优点，被广泛应用于各个领域。

本文将介绍USB Key身份鉴别流程，以帮助读者更好地理解和运用该技术。

二、USB Key身份鉴别流程1. USB Key生成USB Key需要在制造商处生成。

制造商会为每个USB Key分配一个唯一的身份标识码，并将其存储在USB Key的芯片中。

这个身份标识码可以是数字、字母或符号的组合，用于唯一地识别USB Key。

2. 用户注册在使用USB Key之前，用户需要进行注册。

用户需要提供个人信息，并将其与USB Key的身份标识码进行绑定。

这可以通过软件或在线平台完成。

注册时，用户需要设置一个安全密码，用于保护USB Key的使用。

3. USB Key插入当用户需要进行身份鉴别时，将USB Key插入电脑的USB接口。

USB Key与电脑建立连接后，电脑会自动识别并读取USB Key的身份标识码。

4. 身份验证一旦USB Key的身份标识码被读取，电脑会发送一个身份验证请求给USB Key。

USB Key会通过内部的算法和加密机制，对身份验证请求进行处理，并生成一个临时的身份验证码。

5. 身份验证结果返回USB Key会将生成的临时身份验证码返回给电脑。

电脑将该身份验证码与用户注册时设置的安全密码进行比对。

如果两者一致，身份验证成功；如果不一致，身份验证失败。

6. 身份鉴别结果处理根据身份验证的结果，电脑会执行相应的操作。

如果身份验证成功，用户将获得权限访问特定的资源或进行特定的操作；如果身份验证失败，用户将被限制或拒绝访问。

7. 安全措施为了提高USB Key身份鉴别的安全性，可以采取一些安全措施。

例如，可以设置身份验证的次数限制，超过限制次数后USB Key将被锁定；还可以采用双因素认证，除了USB Key身份鉴别外，还需要输入另一个形式的身份验证信息。

银行密码和身份鉴别技术银行业是国民经济的重要领域，银行信息安全是国家安全的重要组成部分，保障银行业信息安全的方式有很多，密码和身份鉴别技术无疑是非常重要的一种。

本章对密码技术的基本概念、身份验证的技术及在银行中的应用进行了介绍。

18.1密码技术概述密码技术理论性较强，在全面介绍密码技术的使用前，先对密码技术的基础知识做一个简单的介绍。

密码的发展由来已久，大体分为以下4个阶段：第一个阶段是从古代到19世纪末——古典密码（Classical Cryptography）。

第二个阶段从20世纪初到1949年——近代密码。

第三个阶段从1949年 C.E.Shannon（香农）发表的划时代论文“The Communica-tion Theoryof SecretSystems”开始——现代密码。

第四个阶段从1976年W.Diffie和M.Hellman发表的论文“New Directions in Cryp-tography”开始——公钥密码。

1.古典密码古典密码是非常古老的密码体系，其大部分加密算法都是使用代替密码或置换密码，有时则是两者的混合。

古典密码的使用历史悠久，但现代已经很少使用，在银行业几乎不再使用。

古典密码体制的安全性在于保持算法本身的保密性，受到算法限制，不适合大规模生产，不适合较大的或者人员变动较大的组织。

著名的古典密码有恺撒密码和斯巴达人天书密码，分别如图18-1、图18-2所示。

2.近代密码近代密码从算法来说与古典密码并没有本质差别，其标志为机械密码/机电密码的产生，用机电代替手工，这可以让其算法变得非常繁复，增加破译的难度，但又不影响加密、解密的速度，在战争中被大量使用。

图18-2 斯巴达人天书密码图18-3是著名的转轮密码机ENIGMA，由Arthur Scherbius于1919年发明。

在二次世界大战期间，ENIGMA曾是德国陆、海、空三军的最高级密码机。

图18-3 转轮密码机ENIGMA近代密码主要用于以前的军事通讯，目前在银行业中也几乎不使用。

hasphl加密狗USBKey软件保护技术深度分析加密狗是一种硬件设备，通常以USBKey的形式提供，用于保护软件免受盗版和非授权访问的威胁。

Hasphl加密狗USBKey是目前广泛使用的软件保护技术之一。

本文将深入分析Hasphl加密狗USBKey的工作原理、使用方法以及其在软件保护方面的优势和局限性。

一、Hasphl加密狗USBKey的工作原理Hasphl加密狗USBKey通过硬件加密技术来保护软件的安全性。

它与软件开发商的应用程序关联，以确保软件只能在具备合法授权的设备上运行。

Hasphl加密狗USBKey通过分配加密密钥和进行加密操作来实现软件保护。

二、Hasphl加密狗USBKey的使用方法Hasphl加密狗USBKey的使用过程相对简单。

首先，用户需要将Hasphl加密狗USBKey插入计算机的USB接口，并安装相应的驱动程序。

接下来，用户需要通过Hasphl加密狗USBKey管理软件提供的接口，设置加密操作和密钥。

此后，用户在运行受保护的软件时，软件将不可避免地使用Hasphl加密狗USBKey来确认软件的合法性。

三、Hasphl加密狗USBKey的优势Hasphl加密狗USBKey在软件保护方面有许多优势。

首先，Hasphl 加密狗USBKey可以提供强大的硬件防护，确保软件不会在未经授权的设备上运行。

其次，Hasphl加密狗USBKey可以防止盗版行为，因为只有具备正版加密狗的设备才能使用受保护的软件。

此外，Hasphl加密狗USBKey还可以提供许可证管理功能，软件开发商可以通过Hasphl加密狗USBKey来控制软件的授权数量和有效期。

四、Hasphl加密狗USBKey的局限性尽管Hasphl加密狗USBKey在软件保护方面具有一定优势，但也存在一些局限性。

首先，Hasphl加密狗USBKey需要额外的硬件设备，并要求用户插拔设备。

这对于用户来说有一定的不便。

其次，Hasphl加密狗USBKey也可能存在被仿制或破解的风险。

ePass系列USB Key（或USB Token）。

主要是用作基于公钥体系（PKI）的数字证书和私钥的安全载体。

大小如同房间钥匙，形状和市面上的U盘相像，可以穿在钥匙环上随身携带。

RSA 密钥对是在USB key内生成的，私钥永远不能导出，确保证书持有人的信息安全。

同时采用“key+ PIN码”的双因子认证，保证数字证书和私钥的合法使用。

所谓“key+PIN码”的双因子认证是指：有USB key插入计算机，且验证其PIN码后才能使用key里的私钥进行签名。

ePass USB Key系列∙ePass1000系列采用高性能安全CPU芯片，内置安全文件系统，32K存储空间∙ePass2000系列提供CSP和PKCS#11接口，硬件实现数字签名，私钥永不出Key∙ePass3000系列全球首款国产8/32位高性能大容量智能卡型USB Key∙BioPass结合指纹验证技术的32位高强度的USB Key∙InterPass系列专为网上银行设计的可复核交易信息的用户交互型USB key∙StorePass系列内置高性能智能卡芯片和大容量可移动磁盘控制器动态令牌（OTP Token）是一种便携的手持式动态密码计算和产生的电子产品。

脱机使用，或与计算机相连。

免除静态密码被截取、猜测、攻击和破解的隐患。

可根据时间（Time），事件（Event），挑战/应答（Challenge/Response）等因素产生动态密码。

谁是动态令牌最大的收益者?∙网银(e-banking)及其用户∙网游商户及其用户∙公司局域网及其员工……OTP动态令牌系列∙OTP c100 (事件型)一种基于事件计数同步的动态令牌身份认证设备∙OTP c200 (时间型)基于时间变化的动态令牌，加密算法符合OATH(TOTP)标准加密锁（Dongle）是一款智能型的软件和数据保护产品，它包含一个安装在计算机USB 口或并口上的硬件，及一套内容丰富的SDK开发包，包含多种编程语言的API接口库、示例、用户手册及工具软件等。

基于USB KEY的身份认证技术的相关研究摘要：首先介绍了USB接口技术相关的内容，包括USB的概念、USB的基本结构、USB的通信模型，为USBKey身份认证的实现提供了理论基础和技术支持。

而后着重分析了身份认证的相关内容，包括身份认证的概念、已有的身份认证方法和身份认证协议。

关键词：USBkey;身份认证;USBkey身份认证1 USB概述1.1 什么是USBUSB即通用串行总线(Universal Serial Bus)，是一种支持即插即用的新型串行接口。

USB要比标准串行口快得多，其数据传输率可达每秒4Mb～12Mb (而老式的串行口最多是每秒115Kb)。

除了具有较高的传输率外，它还能给外围设备提供支持。

这不是一种新的总线标准，而是电脑系统连接外围设备(如键盘、鼠标、打印机等)的输入/输出接口标准。

到现在为止，电脑系统连接外围设备的接口还无统一的标准，如键盘的插口是圆的、连接打印机要用9针或25针的并行接口、鼠标则要用9针或25针的串行接口。

USB能把这些不同的接口统一起来，仅用一个4针插头作为标准插头。

通过这个标准插头，就可以把所有的外设连接起来，并且不会损失带宽。

USB正在取代当前PC上的串口和并口。

1.2 USB基本结构整个USB总线可以分为3个部分进行描述，USB连接、USB 设备、USB主机(如图1)。

1.3 USB通信框架结构USB设备被分为3个层次：功能层、USB逻辑设备和USB 总线接口。

它们分别和主机系统中的客户软件、USB系统软件以及USB主控制器进行了逻辑或物理的对应。

其中，功能层和客户软件之间的逻辑对应提供了用户操作USB设备的能力。

USB 逻辑设备与USB系统软件的逻辑对应提供了通用的USB操作,主要包括USB系统软件对USB设备的配置和管理工作。

而USB 总线接口与USB主控制器通过USB电缆实现物理连接。

主机与设备之间横向的联系辅以主机和设备各层次间纵向的通信，就构成了整个USB从逻辑到物理的分层的通信模型。

中国农业银行通用K宝产品需求说明书1引言通用K宝是农业银行二代K宝的升级产品，具备二代K宝的所有功能和关键配件（显示屏、按键等），支持PC端的个人/企业网上银行使用，并支持主流手机终端的个人/企业掌银应用。

根据与手机设备接入方式的不同，分为通用K宝（音频版）和通用K宝（蓝牙版）。

通用K宝（音频版，以下简称音频K宝）通过手机音频口方式与手机连接、通信与传输数据，也是我行当前主推的K宝产品；通用K 宝（蓝牙版，以下简称蓝牙K宝）通过蓝牙协议和手机连接、通信并传输数据。

通用K宝（蓝牙版）是通用K宝（音频版）的升级产品，在性能、功耗等方面均比音频K宝有较大改进：一是，蓝牙通信速率及稳定性的极大提升，不仅能够提升K宝在移动设备的兼容性，而且能够在移动端充分发挥因K宝自身技术标准进步而带来的性能优势；二是，蓝牙K宝后续将考虑跨行业扩展创新，通过动态加载行业应用创新K宝业务场景，因此K宝各项技术参数需要考虑对K宝业务扩展的支持。

2参考规范标准本次选型产品须参考以下规范标准：（1）ISO/IEC 7816规范（2）USB 技术规范（3）PKCS#1、PKCS#7、PKCS#11标准（4）Microsoft CSP(Cryptographic Service Provider)标准接口（5）SM2椭圆曲线公钥密码算法规范（6）SM2密码算法使用规范（7）SM3密码杂凑算法规范（8）智能IC卡及智能密码钥匙密码检测规范（9）网银系统USBKey技术规范（10）网上银行系统信息安全通用规范3术语和定义4通用K宝（音频版）技术需求通用K宝（音频版）由将音码模块内置于二代K宝中，同时USB连接线缆也集成在K宝壳体中。

相对而言，降低了产品订购、管理成本，以及提升客户体验。

4.1产品外观需求4.2产品功能需求4.3产品非功能需求4.4产品软件使用需求4.4.1软件兼容性4.4.2PC端软件需求4.4.3手机端软件需求4.4.4应用功能使用需求5通用K宝（蓝牙版）技术需求5.1产品外观需求5.2产品蓝牙需求5.3产品功能需求5.4产品非功能需求5.5产品软件使用需求5.5.1PC端软件需求5.5.2手机端软件需求5.5.3应用功能使用需求5.6产品兼容性及适配性需求5.6.1硬件适配性要求5.6.2软件兼容性。

USBKEY原理基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、可靠的身份认证技术。

它采用一次一密的强双因子认证模式，很好地解决了身份认证的安全可靠，并提供USB接口与现今的电脑通用。

USB Key是一种USB接口的小巧的硬件设备，形装与我们常见的U 盘没有什么两样。

但它的内部结构不简单，它内置了CPU、存储器、芯片操作系统（COS），可以存储用户的密钥或数字证书，利用USB Key内置的密码算法实现对用户身份的认证。

每一个USB Key都具有硬件PIN码保护，PIN码和硬件构成了用户使用USB Key的两个必要因素。

用户只有同时取得了USB Key和用户PIN码，才可以登录系统。

即使用户的PIN 码被泄漏，只要用户持有的USB Key不被盗取，合法用户的身份就不会被仿冒；如果用户的USB Key遗失，拾到者由于不知道用户PIN码，也无法仿冒合法用户的身份。

USB Key具有安全数据存储空间，可以存储数字证书、密钥等秘密数据，对该存储空间的读写操作必须通过程序实现，用户无法直接读取，其中用户密钥是不可导出的，杜绝了复制用户数字证书或身份信息的可能性。

USB Key 内置CPU，可以实现加解密和签名的各种算法，加解密运算在USB Key内进行，保证了密钥不会出现在计算机内存中，从而杜绝了用户密钥被黑客截取的可能性。

USB Key 的两种应用模式USB Key身份认证主要有如下两种应用模式：一、基于冲击-响应认证模式USB Key内置单向散列算法（MD5），预先在USB Key和服务器中存储一个证明用户身份的密钥，当需要在网络上验证用户身份时，先由客户端向服务器发出一个验证请求。

服务器接到此请求后生成一个随机数回传给客户端PC上插着的USB Key，此为“冲击”。

USB Key 使用该随机数与存储在USB Key中的密钥进行MD5运算得到一个运算结果作为认证证据传送给服务器，此为“响应”。

你的数字证书有一对，一份在U盾里的私钥，一份在银行的公钥(其实两份银行都有)U盾的原理很类似于双向认证的TLS(SSL)或者其它用到RSA的双向证书验证手段，以下步骤可能和U盾实际执行的有所区别，但本质相同：--银行先给你一个"冲击"，它包含了随机数，以及该随机数HASH，它们都由公钥加密，这样就可以保证只有你能解密这个"冲击"--你计算该随机数的HASH，并和用私钥解出的HASH，两者相同后，便可确认银行的身份--接下来，以一个只有你和银行知道的算法，利这个随机数和一些其它信息，生成"响应"和相应的HASH，再用私钥加密后发回银行。

(此时银行也以相同的算法计算该"响应")--银行用公钥解密，并验证HASH正确，接下来银行比较两个"相应"是否相同，相同的话客户的身份也确认了至于私钥的保密性由U盾来完成。

U盾的控制芯片被设计为只能写入证书，不能读取证书，并且所有利用证书进行的运算都在U盾中进行。

所以，只能从U盾读出运算结果。

ps:和平常登录HTTPS网站不一样的是，一般HTTPS在TLS握手时，只要验证服务器身份成功便可完成握手。

接下来以前面的"随机数"导出对称加密算法的密钥，开始加密链接网络的发展，出现了电子商务，并且迅速地发展。

电子商务有着无比的优越性：方便，高效，快速，经济等，被人们推崇。

但涉及到钱的问题，所以对安全很明感，必须要有一整套的安全措施来保障交易的安全。

传统的安全保障措施就是用户名和密码，显而易见，这是很不安全的。

IC卡：是一种内置集成电路的芯片，芯片中存有与用户身份相关的数据。

IC卡由专门的设备生产，是不可复制的硬件。

IC卡由合法用户随身携带，登录时必须将IC卡插入专用的读卡器读取其中的信息，以验证用户的身份。

简单易行,但容易被留驻内存的木马或网络监听等黑客技术窃取。

∙∙∙中国石油USBKey管理员工具主要用于管理USBKey中证书和PIN口令∙USBKey是指什么？∙USBKey是一种智能存储设备，可用于存放数字证书，内有CPU芯片，可进行数字签名和签名验证的运算，安全性高，外形小巧，可插在电脑的USB接口中使用。

一、引言∙1、编写目的本手册针对中国石油USBKey管理员工具进行了介绍，以有助于使用者更加方便快捷而且正确地使用本工具。

该管理员手册适用于具有基本计算机操作能力且了解基本PKI概念的读者。

∙2、背景o中国石油USBKey管理员工具由北京握奇数据系统有限公司可信计算产品开发中心开发完成。

∙3、术语解释o PKI（Public Key Infrastructure）：即"公开密钥体系"，是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。

PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。

PKI的基础技术包括加解密、数字签名、数据完整性机制、数字信封、双重数字签名等。

o认证中心（CA）：CA是PKI 的核心，CA 负责管理PKI 结构下的所有用户。

CA（Certification Authority）是认证机构的国际通称，它是对数字证书的申请者发放、管理、取消数字证书的机构。

CA的作用是检查证书持有者身份的合法性，并签发证书（用数学方法在证书上签字），以防证书被伪造或篡改。

o数字证书：数字证书也被称作CA证书（简称证书），实际是一串很长的数学编码，包含有客户的基本信息及CA的签字，通常保存在电脑硬盘或IC卡中。

数字证书一般是由CA签发的，证明证书主体（"证书申请者"获得CA签发的证书后即成为"证书主体"）与证书中所包含的公钥的唯一对应关系。

证书中包括证书申请者的名称及相关信息、申请者的公钥、签发证书的CA的数字签名及证书有效期等内容。

关于医疗电⼦签名的⼀些观点电⼦签名基于密码技术体系建设，相对于其他信息系统⽐较复杂且偏门，故这块业务直⾄⽬前还相当的鲜为⼈知，不仅很多医疗机构的信息⼈员搞不明⽩，甚⾄很多医疗信息平台的⼚商对其也知之甚少。

在这种情况下，经常道听途说难免会有些错误的观念产⽣，本⼈基于多年密码⾏业从业经验和医疗⾏业的实操体会，分享⼀下⼏个观点，还望同⾏朋友批评指正。

1、USBKEY证书者鸡肋也！医疗电⼦签名的⽬的有⼆，其⼀证明登陆者⾝份可信，其⼆证明电⼦⽂件的法律效⼒。

CA证书基于PKI体系通过收集证书申请单，为⽤户颁发⼀枚USBKEY证书，通过USBKEY中的私钥对接⾝份认证设备来证明登陆者的⾝份可信，通过USBKEY中的私钥加密⽂件，然后再对接签名验证设备解密⽂件所谓⾮对称算法，来体现出签名的法律效⼒。

这种模式在理论上是很安全完美的，但是在实际应⽤中却存在很多问题。

1. 医务⼈员不可能随⾝携带USBKEY，故使⽤极其不便；2. USBKEY的⼝令通常都是简单的四个1或六个8，很容易拿别⼈的USBKEY伪造签名；3. USBKEY的⼚商不是CA机构，是第三⽅⼚商，⽽这些⼚商都会提供USBKEY的管理⼯具，任何⼈只要拿到这个管理⼯具，可以随意的拷贝替换USBKEY中的私钥，也是可以伪装签名；4. ⼤部分医疗⽤的USBKEY没有可交互的液晶屏，故插在电脑上的USBKEY很容易被系统中的⽊马软件远程遥控，进⾏伪造签名。

综上所述，我们说USBKEY证书者鸡肋已经很给⾯⼦，其实在医疗电⼦签名中USBKEY证书不但不安全，基本乃⼀⽆是处也！、医疗电⼦签名的核⼼设施是电⼦签名设备，⾮⾮CA机构或其CA证书！2、医疗电⼦签名的核⼼设施是电⼦签名设备，前⾯我们提到过医疗电⼦签名的⽬的，其⼀证明登陆者⾝份可信，其⼆证明电⼦⽂件的法律效⼒。

即使某些医院还是某些CA机构颁发的不合时宜的USBKEY的CA证书，在使⽤过程中也要依赖电⼦签名设备⽀撑。