基于USBKey的应用安全解决方案

基于USBKey的应用安全解决方案

北京东方通科技公司金融方案中心

2004-06

目录

1项目背景 (3)

2方案介绍 (3)

2.1 B/S应用USBKey安全解决 (4)

2.2 C/S应用USBKey安全解决 (6)

2.3 USBKey管理系统 (7)

3应用USBKey安全改造 (7)

3.1 新增应用的USBKey改造 (8)

3.2 原有应用的USBKey改造 (8)

4方案特点 (9)

5方案总结 (10)

1项目背景

随着计算机网络通信技术和信息加密技术的快速发展，人们迫切需要一种具有高度安全性、小巧、灵活、易用及便携等特点的硬件设备来存储密钥等需要保密的安全信息。USBKey 正是为了满足这种需求而设计的一种安全产品，其安全核心是智能卡技术。

USBKey又称电子钥匙，是基于USB接口的信息安全产品。采用了国际上先进的智能卡技术，具有内部的操作系统和安全核心管理。USBKey主要由微处理器、微型操作系统、USB通讯接口三部分组成，是将智能卡与智能卡读写器集成一体的便携式安全设备。它体积小巧，式样美观高档，可以由用户随身携带。USBKey作为用户身份认证时的核心凭证使用，由于借助了硬件（智能卡）的安全特性，所以极大地提高了身份认证安全强度，保障了应用安全性。

USBKey也能够和当今信息安全领域最尖端的PKI以及CA认证技术紧密结合，利用USBKey内极为安全的智能芯片来存储和使用用户的私有密钥和第三方认证机构所颁发的数字证书。虽然现在有很多应用都把私有密钥和数字证书存储在计算机的硬盘或软盘当中，但出于安全性考虑，使用自动生成私有密钥和安全存储数字证书的USBKey则会更好、更安全。这样可以防止黑客通过植入病毒程序盗取合法用户的私有密钥，伪装成为合法用户的身份在网络上数字签名，进行诈骗和非法交易。

北京东方通科技公司为应用系统提供了一整套基于USBKey的安全解决方案，充分考虑到应用安全性的各个环节，从安全性和易用性出发，为多种应用系统（基于互联网的新兴B/S结构应用系统和传统基于C/S结构的应用系统）均搭建起强大的USBKey底层安全支撑平台。

2方案介绍

本安全解决方案采用了东方通科技公司的TongSEC系列安全产品，结合USBKey、数字证书、SSL协议、互联网https安全通道等相关安全技术，为用户实现以下需求：

①完全支持B/S和C/S两种应用模式下的强安全保护。

②使用USBKey作为用户唯一身份证明。

③提供双向的强双因素身份认证机制。

④ 为通信数据提供机密性、完整性、抗抵赖性保护。

⑤ 提供浏览器/WEB 服务器访问模式（即B/S 模式）下使用USBKey 的安全通道，执

行双向认证的SSL 安全协议，建立互联网上的https 安全连接，从标准安全协议的角度确保通信数据安全性。

⑥ 提供客户端/服务器访问模式（即C/S 模式）下使用USBKey 的安全通道，安全保

护功能包括双向身份认证、协商会话密钥、数据加解密、数据签名验证等。

下图是USBKey 安全应用系统的物理结构图：

TongCA

TongRA

加密机 应用服务器 Web 服务器 数据服务器 C/S 前置机 核心局域网

（数据区）

内部网络 外部网络 Internet/Intranet 证书库 IE 浏览器访问 客户程序访问

USBKey 管理系统

HTTPS 安全通道

C/S 安全通道

文件服务器 备份服务器 客户端 安全代理 颁发USBKey

图： 系统物理结构图

2.1 B/S 应用USBKey 安全解决

互联网应用中目前最为流行的安全解决方案是使用基于SSL 安全协议的HTTPS 通道。SSL 协议分两种认证模式，分别是：单向身份认证（仅认证服务器端）和双向身份认证（同时认证服务器端和浏览器端）。目前应用中最为普遍，安全性也最高的是使用双向身份认证

的SSL安全通道。SSL协议的安全保护包括：认证互联网连接双方的身份；协商随机的会话密钥；对互联网传输数据使用会话密钥进行加密，保证机密性；对互联网传输数据使用MAC验证完整性，防止数据被篡改和破坏。

使用SSL协议的好处在于，对于上层的WEB应用来说，添加的安全机制完全是对应用透明的。WEB应用不需要为采用了SSL安全机制作任何修改，安全性的保护完全在HTTPS 互联网通道层进行。当数据通过HTTPS通道提交给WEB应用时，就已经作好了机密性和完整性验证，数据的真实和有效均得到了保障。

互联网B/S应用中USBKey安全解决的逻辑图如下：

图：互联网B/S应用中安全保护逻辑图

当建立双向认证的SSL连接时，客户端需要使用自己的数字证书和密钥，而保存这些客户敏感信息的最佳安全介质就是USBKey。USBKey具有自身的操作系统，极高安全性的存储空间和优良的运算性能，至今为止还未发生过一例因为USBKey而导致的信息安全事故。而且USBKey具有便携、美观、高档的特点，很好地成为了客户身份的代表。

当互联网B/S应用系统中的客户需要办理安全业务时，只需要将装有客户证书和私钥的USBKey插入计算机的USB插口，就可以使用IE浏览器进行网上交易了。该互联网安全通道保证了：

1.只有持有管理系统所颁发USBKey的客户才能够连接到互联网业务系统中，执行

相关操作。客户的身份认证过程使用了基于数字证书和USBKey硬件的高强度认

证机制。

2.在互联网中传输的互联网业务系统应用数据都经过了加密保护，有效地防止了敏感

信息被非法人员窃取。

3.在互联网中传输的互联网业务系统应用数据都经过了MAC的数据完整性保护，有

效防止了数据被非法人员篡改。

2.2C/S应用USBKey安全解决

对于C/S应用而言，虽然其运行环境和业务流程与互联网上的B/S应用相比有很大区别，但对于信息安全方面的基本需求却是一致的。比如都需要进行较高安全性的身份认证，需要确保通信数据的机密性，需要确保通信数据的完整性，防止数据被窃取和篡改等。

在以往传统C/S应用中，对于用户身份的识别一般是依靠用户名和口令，但这样的认证方式由于过于简单，所以也无法提供类似双向认证等较高安全性的身份认证手段。随着USBKey等硬件技术的发展，传统C/S应用也逐渐采用了硬件作为客户身份的标识，利用USBKey极高的安全性来保证应用的安全强度。而且由于USBKey的美观高档，也容易被用户所喜欢和接受，成为用户的唯一身份标识。

当用户与应用的服务端建立安全连接时，用户需要将自己的USBKey插入到客户端计算机中，并按照提示输入USBKey的PIN码。客户端的安全模块会自动操作USBKey，进行和服务端的双向身份认证，并协商会话密钥。在后续的通信过程中，所有通信数据都将被加密和进行数字签名，有戏的保障了数据的机密性和完整性，防止了信息被窃取和被篡改。

传统C/S应用中USBKey安全解决的逻辑图如下：