基于USBkey集中身份认证的应用分析
基于云计算的USBKey身份认证技术研究
刘 林 东 , : 于 云 计 算 的 US Ke 等 基 B y身 份认 证技 术 研 究
1 相 关技 术
1 1 云 计 算 .
云计算口 是一 种能 够 向各 种互 联 网应用 提供 硬件服 务 、 础架 构服 务 、 台服务 、 基 平 软件 服务 、 存储 服务 的 系统 , 给用户 提供 可靠 的 、 自定义 的 、 大化 资源 利用 的服 务 , 最 是一 种 崭新 的分 布 式计 算模 式 . 计算 包 括 三 云
关键 词 : B y 云计 算  ̄ KIC US Ke ; P ;A
中 图 分 类 号 : P3 9 文 献 标 识 码 : T 0 A 文 章 编 号 :0 78 5 (0 1 0— 0 80 10 — 7 4 2 1) 5 0 7— 7
引言
随着 计算 机技术 、 互联 网技 术 以及芯 片技术 的发展 , 上 网上银行 、 加 网络 社交 、 电子 商务 以及 电子政 务业
收 稿 日 期 : 0 10 -2 2 1 -9 1
基 金 项 目 : 东 第二 师 范 学 院 重 点课 题 (0 0 8 广 2 10 )
作 者 简 介 : 林 东 , , 南邵 阳人 , 东第 二 师 范 学院 计 算机 科 学 系讲 师 , 士 刘 男 湖 广 硕
21 年第 5 01 期
基于 云 计 算 的 U B y身份 认证 技术研 究 S Ke
刘 林 东 , 依 林 邬
( 广东 第二 师范 学 院 计算 机科 学系 , 广东 广 州 5 0 0 ) 1 3 3
摘要 i 别 阐述 云计 算和 US Ke 分 B y身份 认证 的基 本概 念 和框 架 , 分析 US Ke 身份认 证 中 B y在 存在 的 不足. 云计 算与 US Ke 将 B y紧密结合 起 来 , 立一种基 于云计算 的 US Ke 建 B y身份 认证 模 型. 该模 型 简单 、 实用 、 全 , 安 充分体 现 了云计 算的优 势 , 效地 解决 了 US Ke 有 B y身份 认 证 的安 全 问题.
中国石油USBKey管理员工具主要用于管理USBKey中证书和PIN口令
∙∙∙中国石油USBKey管理员工具主要用于管理USBKey 中证书和PIN口令∙USBKey是指什么?∙USBKey是一种智能存储设备,可用于存放数字证书,内有CPU芯片,可进行数字签名和签名验证的运算,安全性高,外形小巧,可插在电脑的USB接口中使用。
一、引言∙1、编写目的本手册针对中国石油USBKey管理员工具进行了介绍,以有助于使用者更加方便快捷而且正确地使用本工具。
该管理员手册适用于具有基本计算机操作能力且了解基本PKI概念的读者。
∙2、背景o中国石油USBKey管理员工具由北京握奇数据系统有限公司可信计算产品开发中心开发完成。
∙3、术语解释o PKI(Public Key Infrastructure):即"公开密钥体系",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。
PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。
PKI的基础技术包括加解密、数字签名、数据完整性机制、数字信封、双重数字签名等。
o认证中心(CA):CA是PKI 的核心,CA 负责管理PKI 结构下的所有用户。
CA(Certification Authority)是认证机构的国际通称,它是对数字证书的申请者发放、管理、取消数字证书的机构。
CA的作用是检查证书持有者身份的合法性,并签发证书(用数学方法在证书上签字),以防证书被伪造或篡改。
o数字证书:数字证书也被称作CA证书(简称证书),实际是一串很长的数学编码,包含有客户的基本信息及CA的签字,通常保存在电脑硬盘或IC 卡中。
数字证书一般是由CA签发的,证明证书主体("证书申请者"获得CA签发的证书后即成为"证书主体")与证书中所包含的公钥的唯一对应关系。
证书中包括证书申请者的名称及相关信息、申请者的公钥、签发证书的CA的数字签名及证书有效期等内容。
USB Key安全浅析
PIN码单向哈希散列
PIN码XOR处理
USB远程劫持
USB远程劫持定义
• 远程用户在不具有USBKEY硬 件环境的条件下通过软件破解 的方式达到通过服务器身份认 证的攻击方式。
USB远程劫持原理
• Hook CryptoSPI中的 CPAcquireContext,若CSP 为指定服务器的CSP,则通过 网络发送到攻击者设备上。之
• 一代/二代 (三代)
券系统的身份
凭证
USB 实现
RSA公司的PKCS#11标 准同样定义了一套密码 PC/SC接口是关于智 运算、密钥管理接口 ( Cryptoki),该接口 能卡应用的国际标准, 与平台无关。 PKCS#11 包括计算机操作系统 定义的接口与 CSP相比 的智能卡设备管理规 范、应用接口规范等, 更为灵活,而且方便开 它能实现智能卡设备 发者扩充自己的功能。 的可扩展性、通用性 考虑到灵活性、跨平台 和透明性,但它要 性、可扩展性等因素, 许多厂商会选择在 CSP 求智能卡设备的驱动 程序符合PC/SC的要 与驱动之间实现 求。 PKCS#11 的标准接口。 如FireFox浏览器即使用 此接口。
CSP(Cryptographic CryptoAPI(Crypt CryptoSPI( 系统编 ographic Service 程接口 ),将 Providers, Application 密码服务供应商 CryptoAPI 的调用 )是 Programming 传递给 CSP,可以 加密服务供应商为 理解为使用 Interface,加密 CSP。 了给用户提供方便, CryptoAPI 接口面向 应用程序接口 )是 针对应用层提供的 应用系统 ,而 标准接口函数。 微软公司提供的 CryptoSPI 面向加密 接口,通过调用 模块开发商,每个 CSP函数来实现 CSP都必须实现 供应商提供的密 CryptoSPI 的20多个 码运算。 函数接口
基于USBKEY的安全认证网关的设计
基于USBKEY的安全认证网关的设计作者:郭丽张亚利来源:《硅谷》2009年第14期[摘要]在分析SSL等认证网关不足的基础上,提出一个基于USB KEY的安全认证网关的设计方案,然后给出其身份认证协议,并对其安全性进行分析。
[关键词]USB KEY 认证网关 PKI SSL中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2009)0720048-02一、引言随着网络应用的普及,网络安全越来越受到人们的重视,网络身份认证作为网络安全的重要组成部分,一直是受关注的热点。
安全认证网关是一个认证服务器,对受保护网络提供身份认证支持,对于网络外的访问者进行统一的身份认证。
传统的基于用户名和口令的认证方式过于简单,极易被窃取,已经远远不能满足实际安全需求,为了提高认证的安全性,现在的认证网关一般采用PKI(公钥基础设施)体系,使用数字证书的方式对用户身份进行认证。
在PKI框架下,安全认证网关需要相应认证协议支持来完成用户的认证,现在比较常见的认证协议是SSL协议,但是SSL是一种基于端到端的安全协议,与具体应用绑定紧密,对于多种应用支持作得不好。
另外一种方式是采用IPSEC协议,在IP层做工作来完成对上层应用的支持,这种方式需要在操作系统内核层加入代码,实现复杂,容易造成系统不稳定。
本文提出了一种在应用层实现,在不与应用程序绑定的情况下,透明地实现对多应用地支持,并基于USB KEY进一步保障了用户身份的真实性。
二、USB KEY技术分析用户的数字证书和私钥等机密信息可以以文件的形式存储在磁盘上,但为了安全起见,证书和私钥一般存放于物理载体中,最常见的载体便是USB KEY。
一个典型的USB KEY的内部结构如图1所示:USB KEY内部主要分为两大部分:智能卡芯片和USB芯片。
智能卡芯片是USB KEY的核心,通过内置卡内操作系统来完成卡内资源的管理,其一方面实现了证书、密钥的安全存储,另一方面还实现了多种加解密算法。
基于硬件加密设备的身份认证协议的设计及安全性分析
( ) 机 认 证 客 户 端 4随 认证成功 后 , 服务器 可能会不定 时地 发送新的 “ 战” 挑 消息 给客户
端用户 , 重复步骤( ) ( ) 以便在通信过程 中随时验 证用户身份的合 1 ~ 3,
法性。
11 .符号说明 X ̄Y: 表示从 x向 Y发送信息 M M: l: l为连接操作 s: 代表认证服务器 u: 表客户端用户 代 W: 客 户 端 用 户 的 口令 为 R n : 作 “ 战 ” 息 的 随机 数 ad用 挑 消 H()对 I m : n进行 MD 5散列运算
1CH . AP认 证 协 议 原 理及 安应答 消息后 ,根据它存储的用户 u 的 口令 w和 R n ad计算 S( R n)并 与接收到的消息摘要 比较。如果 w l ad , l 两 者 相 等 , 给用 户 发 送 认 证 成 功 的 回执 AC 否 则 , 开 与用 户 的 连 则 K; 断
用 服
户
U
应答 挑 战 H( ta d wl n ) R
发送 认 证结 果
务
器
S
图 lC P认 证 协 议 图 HA
( S U: n 1)  ̄ Ra d
当系统 P P连接建立完成后 , P 服务器 s向客户端 用户 u发送 一个 随机数 R n , ad 作为“ 挑战” 消息 , 并保存该 R n 。 ad ( ) j sun( R n ) 2 u :, w l ad l 接下来 客户端用户 u接收 到 R n ad后 , 计算 Hw l n )然后将 (, ( Rad, l U
科技信 毒
博士 ・ 专家论 坛
基于硬件力 窑设备的身份认证砷议晌设计及安茔性 口 .
景 德镇 陶瓷 学院信 息工程 学院 叶君 耀 景德 镇 陶瓷 学 院机 电学 院 王 英连
基于USBkey的虚拟实验平台动态身份认证方案设计及实现
2 基 于 U k y动 态 身 份 认 证 方 案设 计 SB e
21 利用 E Ga l 字 签 名 方 案 生成 公 私 钥 对 . L ma 数
E Gm l L a a数字签名方案中公私钥的生成过程简述如下” :设 P 是一个大素数 ,g G ( 域的一个本原 为 F) p 元素 , 和 g P 公开。 签名者随机选择一个密钥 X 作为私钥, 这里 x 1 一 ) 且 gd , 1 l 公钥 yg o ∈(p 1 , , c(P ) , x一= =x d m
嗵 讯作 者 :周培 源 ( 9 5 ,男 ,副 教授 ,研究 方 向 :嵌入 式 系统 与信息 安全 16 一)
基 金项 目:国家 科技 支持 计划 项 目 ( 0 8 A 2 B 0) 20 B H 9 0 .
8 8
武
汉
纺
织
大
学 Βιβλιοθήκη 学 报 2 1 年 01
这些参 数 。服务器 A s也按 照类似方 法分 别生 成其公 钥 pA k S和 x S A ,将 x S安 全保存 并公 开 pA ,所 有 A kS
注册用 户均 可获 其公钥 p A 。 k S
2 . 申请 US Ke .2 2 B y
( )每一 个用 户 u 选择一 个 随机数 x i 为私钥 ,满 足 x i 1 一) 1 i U作 U ∈(, 1,且 gdx —)1 p c(P 1 ,从 C 的公 , = A 共 文件 中获得 P 和 ,计算 用户公 钥 p U=gi o ,计算 HU hUd并公 开 p U ,Ud为 用户身 份标识 。 、g k i xm dP =(i) ki i ( ) S K y计算 HU hUd,向服务器 A 2 UB e =(i) s提交 用 pA 加 密 的 E k S( kS pA HU, (w) p i hp i, w 为用 户 口令 。 ) A s建立 Ud序列 表 , i 存储 形式 如表 a 收 到 E k S(U, (w) , pA H hp i后用 解密 得到 HU, 添加 入 Ud序列 表 中 , ) 并 i 设 置对应 的 N值 为初始 值 nl ul ,N用来 建立 HU计数 器 , 计算 hUd的出现频率 。C (i) A将 f () k S k i 、pA 、pU 、 h
基于USBKEY的身份管理与认证系统的研究及实施
核对用户信息。通过梳理各应用 系统账户 ,删除错误和 闲置的账 户 ,核对 了用户信 息 ,为项 目 后 期的证 书制作 工作打好 了基础 。
7 4 信息系统工程 l 2 0 1 3 . 1 2 0
理与认证 项 目介 绍[ M】 , 2 0 1 1 .
[ 2 】 倪 亮, 韩 臻, 何 永忠 . 身份 管理技 术综述 U 1 . 信 息安 全与通信 保
从而为每一个U S B K E Y 标识。 3 . 2 . 3 证 书制作分工 。身份管理与认证涉及 的业务系
统多 ,用户数量庞大 ,单靠R A 站点管理员肯定不能按时
完成证书制作任务。实施过程 中通过配置多名录入员及制 证员,将制证任务分解到人 ,高效有序的完成制证工作。
( 身份管理与访 问控制 系统 )和P K I( 公共密钥体系基
随着应用系统的增加,建立账户和管理用户权限的工 作负荷越来越重 ,经常需要变更账户的权限 ,让管理工作 变得更加复杂。为解决此类愈见突出的安全问题 ,必须进 行有效 的身份管理与认证。
确权限分离 ,保证 了制证的有效安全。
3 . 2 . 2 标 签标识 。用户制作证 书的US B KE Y均使用 统一配置的物理硬件 ,在使用过程中如果不采取标签标
用户在平台 中提交 已有权限的应用系统的账户及密码并 经管理员审批 ,在平 台中生成账户数据。
统 ,即身份管理 与访问控制系统 。将各个应用 系统 的各
自认证功能模块集成升级为集中统一认证 ,从 而提高认 证整体的可信度 、可靠性和高效性 。
P KI 系统 。P u b l i c Ke y I n f r a s t r u c t u r e ( 公钥基 础设
施) ,是利用公 钥理论和技术建 立的提供安全 服务的在 线基础设施。它利用数据加密 、数字签名 、数字证 书来 保护应用 、通信或事务处理 的安全 。
USB KEY介绍
提供便利的二次开发
针对独立软件开发商(ISV)和系统集成商 (SI)的软件开发及技术服务需求,提供易于 使用的开发接口(SDK/API),用户可根据自 己的需求进行二次开发,具备适应多种主流开 发语言及运行环境的SDK开发组件;方式加密读写数据,易于开发和维护, 更简捷更全面地为用户提供身份认证、安全访 问和信息加密等服务;
集成性能高,适用范围广泛
4、提供基于Windows和Linux的个人身份认证和 安全加密管理开发接口,适用于独立软件开发 商、系统集成商等,可轻松地将身份认证、数 据加密、帐号管理、数字证书管理等工具无缝 集成入现有系统之中,最大限度提高产品对于 终端用户的使用价值和实用性 。 5、根据用户需求定制功能模块,提供增值服务, 改善终端用户的使用体验
方案特点——易用、移动
只需将USBKey插入计算机,通过PIN码验证后便可 使用集成的交易软件的各种功能。USBKey中保存的 数字证书自动导入浏览器,无需手动导入。 USBKey集成移动应用功能组件使得证券公司可将交 易软件固化在USBKey中,或由投资者将交易软件直 接安装在USBKey中,只需将USBKey插入计算机就 可以使用交易软件而无需安装。投资者可以在任何一 台计算机上使用这些数字证书和交易软件而不必局限 于某一台计算机,方便投资者可以随时随地进行查看 行情、交易等业务操作。
无驱 无需安装,使用便 捷,传输速度不可 改变。 有驱 需要安装,驱动自 主开发,传输速度 可提高。
USB Key——上层软件
USB Key的上层软件是通过CSP软件接口库实现的,使得USB Key可 以调用函数接口进行签名等操作。
自定义接 口
指令封装层
标准接口
CSP,由微软提 出的标准。
基于USBKey的身份认证机制的研究与实现
口令并且不能更改 , 同时文献 [ ] 3 还指 出文献[ ] 4 的方案同样是
不安全的 , 攻击者很容易假 冒合法用户进行攻击 。
20 , 0 5年 文献 [ ] LeC i 6 ( e.hu方案) 改进 了文献 [ ] 5 的方 案 ,
方案, 最后通过模拟环境对该认 证算法进行编程实现。该方案实现“ 一次 一密” 的双 向认证 , 能够抵御 重放 攻击 、 绝服务攻击 、 拒 选
择密文攻 击、 密钥猜测攻击、 中间人攻击、 冒服务器攻 击, 假 增强 了安全性。
关键 词 U B e 一次一密 S Ky 双 向认 证
RES EARCHI NG AND M PLEM ENTI I NG DENTI I TY AUTHENTI CATI oN M ECHANI SM BAS ED oN BKEY US
修改 , 方案将无任 何安全可言 , 同时该 方案的计算量非常大 , 实
0 引 言
U B e 作 为 网 络 用 户 身 份 识 别 和 数 据 保 护 的 “ 子 钥 S Ky 电
用性不大 。20 00年 , 文献[ ] 出了一种 基于离散 对数的智能 2提
卡远程认证方案 , [] 文献 3 指出文献 [ ] 2 中合法用户很容易伪造
其他用户的( .P ) 而 不用知 道系统 管理 中心 的私 有密钥 , ,, S 同时该方案还不允许用户 自由选择 口令 P , W。后来 , 文献 [ ] 4 提 出了一种改进的方案 , 然而用 户必须去记住 长的随机数作为
匙 ” 正 在 被 越 来越 多 的 用 户 所 认 识 和 使 用 。 U B e 有 双 重 , S K y具 验证 机 制 : 户 PN码 和 U B e 硬 件 标 识 , 户 一 旦 丢 失 U — 用 I SK y 用 S Be K y只要 PN码 没 有 被 攻 击 者 窃 取 , 时 注 销 即 可 ; 击 者 窃 I 及 攻 得 密钥 若 没 有 U B e 硬 件 也 无 法通 过 认 证 。 SK y 目前 , 多数 基 于 U B e S K y的身 份 认 证 方 式 是 与 P I 结 合 , K 相
基于USBKey技术实现电子钱包的安全应用解决方案
主要原 因是消 费者对 电子支 付安全的担忧 。 图表 1中对 电子支付所 面临的安全威 胁及 相应解 决技 术
做 了简要描述 。从 中不难 看 到 , 电子支 付 安全 的基 本要 求 包
括机密性 、 完整性、 验证 、 授权和担保 , 中重心 是数据 加密 和 其 身份验证 。U B e 技 术就 是 同时解 决 这两 大 问题 的最 佳 方 SK y
维普资讯
20 0 7年 2月
湖 北 教 育 学 院学 报
J u 1o b jI s t t fEd c to o ma fHu e n t u e o u ai. No 2 】24 .
第2 4卷第 2期
身份进行欺骗 来授权的用户 访问网络
和接 受人的身份
数字签名 防火墙
当一个可信任 的第三 方 角色 , 它将 个人 身份 和他 的公钥 绑定
到 一起 。C A颁 发含有用户 名称 、 公钥 以及其他 身份信 息的证
书。C A对之 签名后 , 这些证书就可 以存 储在公 开 的 目录 中以 供检索 , 并用来验 证签名 或者加 密文档 了。 ( )证 书( e i- 2 C rf t i
是 用来对持 U B e S K y者进 行身份认证 的。U B e S K y内部存储 的
数 字签名用来提供客户 身份验 证 。由此 PN码 和 U B e I S K y硬 件构成 了应 用过程 中的 “ 双因 子认证 ” 。即使用 户的 PN码 被 I
告表 明 : 电子商务 支付方 式 中 , 汇款 、 电子 支付 和货到 付款 的
案。
威 胁 安 全方 案 功能 对数 据进 行编 码 ,
以防 止篡 改数 据
USB-KEY原理说明
USB-KEY原理简要说明一、usbkey实现身份认证原理采用冲击响应的认证方法,登录时在服务器端和客户端同时进行计算,客户端计算前要先验证USER PIN,通过后在硬件中使用HMAC-MD5密钥进行计算,服务器端在服务器上使用软件进行计算,比较计算结果。
二、usbkey的优点1、兼容性好usbkey不仅对打印机、扫描仪等设备具有高度的透明性,特别是多个相同的usbkey也可以使用USB HUB并联在一起使用,相互之间不会干扰。
2、速度快对于使用usbkey加密后的软件,其运行速度同加密前区别不大,usbkey能够在很短的时间内处理完毕,保证用户程序的顺畅运行。
3、使用简便usbkey在API函数调用上从用户角度出发,最大限度简化使用接口。
用户能够在很短的时间内掌握usbkey的使用方法,节约开发上所投入的时间。
三、高加密强度和身份认证相结合usbkey是全新设计的高强度usbkey,有完整的用户管理。
(1)用户必须在超级用户状态下(SO PIN验证通过),通过自己设定的不超过51字节的种子生成PID,以后打开和关闭usbkey都需要通过PID来完成。
PID的生成算法是在usbkey内部完成的,而且是不可逆的,也就是说,只有生成者才知道什么样的种子能生成什么样的PID,别的人即使知道PID,同时也能够调用这个计算过程,但因为不知道种子是什么,是无法生成和您相同的PID 的硬件,保证了用户的usbkey的独特性。
(2)用户在对usbkey中的数据进行读写操作时需要进行USER PIN验证,又增加了一层对软件的保护性。
(3)用户可以在配置设备时设为只读,那么usbkey中的数据只可以读取,而不能被更改,密钥也不能被修改,从而保证了锁内数据不被篡改。
(4)使用usbkey硬件中的HMAC-MD5算法进行冲击响应身份认证。
HMAC-MD5密钥存在usbkey中,该密钥只用于计算,任何人获取不到密钥的内容,保证密钥的安全性。
一种基于USBKey的短波通信身份认证方案
h t t p : l l v  ̄/ w . c ・ s - a . o r g . c n
2 0 1 3年 第 2 2卷 第 4期
一
种基 于 US B Ke y的短波通 信身份认证方案①
闫宏 生,孟晓锋,李承泽
( 国防信 息学 院,武汉 4 3 0 0 1 0 )
me e t s t h e b nd a wi d h t r e q u i r e me n t s o f he t s h o r t wa v e n e wo t r k , nd a h a s h i g h s e c u r i y. t
较大且 不够稳定;基于智 能卡 的认证方 式是当前应用
最广 的认证 方式,该方式可 同动态 口令方式和 生物特 征方式 结合, 形成 基于双因子或 多因子 的身份 认证方
案 - 们 .
一
有 的基 于对称 算法和公钥算法 的认证方案 中,认证过 程 中的数据 开销较大,短波 网络 的窄带特 性很难满足 其要求 . 如何在对 短波 网络用户进 行身份认证并进可
差,对此种 方式 的研 究主要集 中在 动态 口令认证 ; 基
且 易受干扰 或截 获【 2 】 .因此,在短 波终 端用户接 入 网
络 的过程 中必须 对接入用 户 的身份进 行有 效的认证 , 防止 非法用户对 短波资源 的 占用和 干扰.但是,在 已
于生物特 征的认证方式具有最 高的安全 性, 但 是开销
a u he t n t i c a t i o n f a c t o r s b y us ng i HM AC a l g o r i t h m. Th e s c h e me r e d uc e s he t d a t a c o s t i n he t p r o c e s s o f t h e a u he t n t i c a t i o n ,
基于USB KEY的身份认证技术的相关研究
基于USB KEY的身份认证技术的相关研究摘要:首先介绍了USB接口技术相关的内容,包括USB的概念、USB的基本结构、USB的通信模型,为USBKey身份认证的实现提供了理论基础和技术支持。
而后着重分析了身份认证的相关内容,包括身份认证的概念、已有的身份认证方法和身份认证协议。
关键词:USBkey;身份认证;USBkey身份认证1 USB概述1.1 什么是USBUSB即通用串行总线(Universal Serial Bus),是一种支持即插即用的新型串行接口。
USB要比标准串行口快得多,其数据传输率可达每秒4Mb~12Mb (而老式的串行口最多是每秒115Kb)。
除了具有较高的传输率外,它还能给外围设备提供支持。
这不是一种新的总线标准,而是电脑系统连接外围设备(如键盘、鼠标、打印机等)的输入/输出接口标准。
到现在为止,电脑系统连接外围设备的接口还无统一的标准,如键盘的插口是圆的、连接打印机要用9针或25针的并行接口、鼠标则要用9针或25针的串行接口。
USB能把这些不同的接口统一起来,仅用一个4针插头作为标准插头。
通过这个标准插头,就可以把所有的外设连接起来,并且不会损失带宽。
USB正在取代当前PC上的串口和并口。
1.2 USB基本结构整个USB总线可以分为3个部分进行描述,USB连接、USB 设备、USB主机(如图1)。
1.3 USB通信框架结构USB设备被分为3个层次:功能层、USB逻辑设备和USB 总线接口。
它们分别和主机系统中的客户软件、USB系统软件以及USB主控制器进行了逻辑或物理的对应。
其中,功能层和客户软件之间的逻辑对应提供了用户操作USB设备的能力。
USB 逻辑设备与USB系统软件的逻辑对应提供了通用的USB操作,主要包括USB系统软件对USB设备的配置和管理工作。
而USB 总线接口与USB主控制器通过USB电缆实现物理连接。
主机与设备之间横向的联系辅以主机和设备各层次间纵向的通信,就构成了整个USB从逻辑到物理的分层的通信模型。
USB Key研究与应用
Usb Key 研究与应用1.引言随着互联网的快速发展,各种新的网络应用层出不穷,如电子商务、远程教育、网上购物、信息点播等,互联网已经由原来简单地提供公共信息服务转向全方位个性化服务.伴随着这些服务的出现,一个首先必须解决的问题就是:如何能够快速、准确、方便、可靠地识别用户的身份,并且尽可能地降低认证整体的成本.这是目前信息技术领域研究的一个热门课题. 目前在实际应用中,有3种常见的认证用户身份方法:用户账号+口令密码;银行卡或智能卡(IC 卡);虹膜或指纹.虽然这些方法都可以提供认证服务,但每种方法都有自己的局限性.第1种方法使用起来简单、方便,但可靠性最差,一旦盗用者通过某种方式获得了他人的账号、密码,则该用户的切身利益将无法得到保障;后2种方法可靠性较高,但需要配备专用设备,体系结构复杂,价格过于昂贵,影响推广使用.针对上述问题,我们利用计算机的标准接口—USB 接口,开发设计出了一种基于USBKey 用户的身份认证系统它具有简便易用、可靠性高、成本低廉等特点,易于推广应用.B Key 身份认证技术简介本文的设计方案是基于USB Key 技术,USB Key 技术结合了现代密码学技术、智能卡技术和USB 技术,是新一代身份认证产品,每一个USB Key 都具有硬件PIN 码保护,PIN 码和硬件构成了用户使用USB Key 的两个必要因素,即所谓"双因子认证"。
用户只有同时取得了USB Key 和用户PIN 码,才可以登录系统,USB Key 具有一定的安全数据存储空间,可以存储用户密钥等秘密数据,其中用户密钥是不可导出的,杜绝了复制用户数字证书或身份信息的可能性。
USB Key 内置CPU 或智能卡芯片,可以实现PKI 体系中使用的数据摘要、数据加解密和签名的各种算法,加解密运算在USB Key 内进行,保证了用户密钥不会出现在计算机内存中,从而杜绝了用户密钥被黑客截取的可能性。
基于USB-Key的强口令认证方案设计与分析
基于USB-Key的强口令认证方案设计与分析于江;苏锦海;张永福【期刊名称】《计算机应用》【年(卷),期】2011(31)2【摘要】Concerning that the OSPA protocol is vulnerable to the replay attack and the denial-of-service attack, in this paper, a USB-Key based strong password authentication scheme was proposed, which used USB-Key to verify the user's password and store the security parameter. In this scheme, user's identity can be protected by using the temporary identity and the authentication parameters computation by Hash function. This scheme can achieve mutual authentication between user and server by transferring the authentication parameters. The security analysis of the scheme proves that the scheme is resistant to replay attack, impersonation attack and Denial of Service (DoS) attack, and it has high security, and it can be used by users with limited computation ability.%针对0SPA强口令认证方案无法抵抗重放攻击、拒绝服务攻击的不足,提出了一种基于USB-Key的口令认证方案.该方案使用USB-Key进行用户口令的验证并存储认证的安全参数,能够有效地保护安全参数不被窃取.认证方案在认证过程中对用户的身份信息进行了保护,使用Hash运算计算认证参数,通过用户端和服务器端之间的认证参数的传递实现双向认证.方案的安全性分析表明,它能够防止口令猜测攻击、重放攻击、假冒攻击、拒绝服务攻击,方案系统开销小,适用于运算能力有限的终端用户.【总页数】3页(P511-513)【作者】于江;苏锦海;张永福【作者单位】信息工程大学,电子技术学院,郑州,450004;信息工程大学,电子技术学院,郑州,450004;信息工程大学,电子技术学院,郑州,450004【正文语种】中文【中图分类】TP309.2【相关文献】1.一种一次性口令身份认证方案的设计与分析 [J], 宋金秀;杨秋翔2.一种新型一次性口令身份认证方案的设计与分析 [J], 张宏;陈志刚3.B/S模式下一次性口令身份认证方案的设计与分析 [J], 王庆生;邱鹏飞4.基于Hash函数的强口令认证方案设计与分析 [J], 于江;苏锦海;张永福5.基于Hash函数的强口令认证方案设计与分析 [J], 于江;苏锦海;张永福因版权原因,仅展示原文概要,查看原文内容请购买。
USBKey在电子商务中应用与技术改进
一
、
概 述
随着 互联 网技术 和 电子 商务 的 发展 ,U BK y 在 网络安 全领 S e 域被越 来越 多的用 户所 熟 悉和 使用 。 目前 常见 的 U B K y 某种 S e 在 意义 上讲 是密 钥 的安 全存 储 介质 ,其 特殊 的 硬件 结 构导 致 了用户 必 须通 过 厂 家 的 特 定 接 口来访 问敏 感 数 据 ,这 就 确 保 了存 储 在 U B Ky中 的数字 证书 无法 被 导 出和拷 贝 。 由于 UB K y在 存储 S e S e 证 书 方面 良好 的 安全 性和 操控 性 ,越 来越 多 的 c 选择 U B K y A S e 作 为他 们 证书 的存 储介 质 ,认 识 和应 用数 字 证书 的用 户 也越 来越 多 。值 得期 待 的是 ,随着 电子 商务 的持 续发 展 和 U B Ky市 场 的 S e 不 断扩 大 ,更 多 的厂家 将会 涉 足 U B Ky市 场 ,更 多新 的应 用领 S e 域 将会 被发 现 和开 拓 。
能被 读 取 ,数 字证 书必 须通 过 厂家 特 定 的接 口进行 访 问,保证 了
所有 的 操作 在 U B e S y内部 完成 ,加上 操 作权 限收 到 了严格 控 制 , K 从而 确 保 了私密 信 息不 可被 复制 和篡 改 。
( )操作 系统 的 域登 录 二
如今 市 面上 很 多 U B Ky符合 W no sP /C标 准 ,可 以和 S e id w CS W n o s 能卡 模块 实现 平滑 链接 ,在 W n o sS idw 智 i dw C认证 体系 中 ,
改进 。
关键词 :身份认证;U BK Y;电子商务;P I S E K 中图分类号 :T 330 文献标识码 :A P9. 8 文章编号:10 — 59( 0 1 1 — 06 ( 07 99 2 1 ) 6 0 1一】 1
一、USBKey 实现身份认证原理
一、USBKey实现身份认证原理采用冲击/响应(挑战/应答)的认证方法,登录时在服务器端和客户端同时进行计算,客户端计算前要先验证USER PIN,通过后在硬件中使用HMAC-MD5密钥进行计算,服务器端在服务器上使用软件进行计算,比较计算结果。
二、USBKey的优点1、兼容性好USBKey不仅对打印机、扫描仪等设备具有高度的透明性,特别是多个相同的USBKey也可以使用USB HUB并联在一起使用,相互之间不会干扰。
2、速度快对于使用USBKey加密后的软件,其运行速度同加密前区别不大,USBKey能够在很短的时间内处理完毕,保证用户程序的顺畅运行。
3、使用简便USBKey在API函数调用上从用户角度出发,最大限度简化使用接口。
用户能够在很短的时间内掌握USBKey的使用方法,节约开发上所投入的时间。
三、高加密强度和身份认证相结合USBKey是全新设计的高强度USBKey,有完整的用户管理。
(1)用户必须在超级用户状态下(SO PIN验证通过),通过自己设定的不超过51字节的种子生成PID,以后打开和关闭USBKey都需要通过PID来完成。
PID的生成算法是在USBKey内部完成的,而且是不可逆的,也就是说,只有生成者才知道什么样的种子能生成什么样的PID,别的人即使知道PID,同时也能够调用这个计算过程,但因为不知道种子是什么,是无法生成和您相同的PID的硬件,保证了用户的USBKey的独特性。
(2)用户在对USBKey中的数据进行读写操作时需要进行USER PIN验证,又增加了一层对软件的保护性。
(3)用户可以在配置设备时设为只读,那么USBKey中的数据只可以读取,而不能被更改,密钥也不能被修改,从而保证了锁内数据不被篡改。
(4)使用USBKey硬件中的HMAC-MD5算法进行冲击响应身份认证。
HMAC-MD5密钥存在USBKey中,该密钥只用于计算,任何人获取不到密钥的内容,保证密钥的安全性。
usb key身份认证原理
USB Key 的身份认证原理基于冲击-响应的双因子认证方式。
当USBKey插入计算机的USB接口时,USBKey会与计算机建立通信连接并进行握手认证。
USBKey内部的安全芯片会生成一个随机数,并将其发送给计算机。
计算机收到随机数后,会通过事先约定好的密钥和算法对其进行加密运算,然后将结果发送给USBKey。
USBKey接收到计算机发送的加密结果后,会使用相同的密钥和算法对其进行解密运算。
如果解密结果与发送的随机数匹配,USBKey将认为计算机是合法的,并继续进行后续的身份认证和数据传输。
基于USB Key的远程身份认证系统的设计与实现
基于USB Key的远程身份认证系统的设计与实现
汪涛;陈和平;杨玲贤;祝俊峰;吕莹彬;李宇弘
【期刊名称】《工业控制计算机》
【年(卷),期】2012(25)9
【摘要】介绍了PKI技术和USB Key技术的基本原理和体系结构,设计并实现了一个CA认证系统和一个USB Key类库,在此基础之上完成了一套远程身份认证系统,该系统以USB Key中的数字证书为主要安全介质,数字证书的操作都在USB Key中进行,使应用系统的安全性大大增强.
【总页数】3页(P93-94,131)
【作者】汪涛;陈和平;杨玲贤;祝俊峰;吕莹彬;李宇弘
【作者单位】武汉科技大学信息科学与工程学院,湖北武汉430081;武汉科技大学信息科学与工程学院,湖北武汉430081;武汉科技大学信息科学与工程学院,湖北武汉430081;武汉科技大学信息科学与工程学院,湖北武汉430081;柳州钢铁集团经销公司,广西柳州545000;柳州钢铁集团经销公司,广西柳州545000
【正文语种】中文
【相关文献】
1.基于USB Key的身份认证系统设计与实现 [J], 王飞龙;尹青;郭玉东;庄宽
2.基于虹膜的远程身份认证系统的设计与实现 [J], 陈颖;刘云翔
BKey身份认证系统的设计与实现 [J], 汪国安;杨立身
4.基于FPGA数据采集的USBKey安全评估系统设计与实现 [J], 董攀;白长虹
5.基于USB Key认证的VPN网络自动连接的设计与实现 [J], 王华;饶传新;马思锐;汪军
因版权原因,仅展示原文概要,查看原文内容请购买。