维维软件　UBS加密狗相关技术　维维软件采用自主核心的UBS硬件编码技术。完全抛弃原始的硬件编码方法和思路。

		返回首页		关闭此页面

	UBS加密狗相关知识
	本资料来自　北京飞天诚信科技有限公司　引用页面 http://www.ftsafe.com.cn/class/news_detail.php?id=21

　　基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、经济的身份认证技术，它采用软硬件相结合一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码学算法实现对用户身份的认证。基于USB Key身份认证系统主要有两种应用模式：一是基于冲击/相应的认证模式，二是基于PKI体系的认证模式。

　　下面以北京飞天公司的ePass1000为例，说明使用USB Key进行身份认证的过程。ePass1000内置单向散列算法（MD5），预先在ePass1000和服务器中存储中一个证明用户身份的密钥（共享秘密），当需要在网络上验证用户身份时，先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数并通过网络传输给客户端（此为冲击）。客户端将收到的随机数提供给插在客户端USB接口上的ePass1000，由ePass1000使用该随机数与存储在ePass1000中的密钥进行带密钥的单向散列运算（HMAC-MD5）并得到一个结果作为认证证据传给服务器（此为响应）。与此同时，服务器也使用该随机数与存储在服务器数据库中的该客户密钥进行HMAC-MD5运算，如果服务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个合法用户。如下图所示：

　　图中“R”代表服务器提供的随机数，“Key”代表密钥，“X”代表随机数和密钥经过HMAC-MD5运算后的结果。通过网络传输的只有随机数“R”和运算结果“X”，用户密钥“Key”既不在网络上传输也不在客户端电脑内存中出现，网络上的黑客和客户端电脑中的木马程序都无法得到用户的密钥。由于每次认证过程使用的随机数“R”和运算结果“X”都不一样，即使在网络传输的过程中认证数据黑客被截获，也无法逆推获得密钥。这就从根本上保证了用户身份无法被仿冒。

　　冲击响应模式可以保证用户身份不被仿冒，却无法保护用户数据在网络传输过程中的安全。而基于PKI（Public Key Infrastructure 公钥基础设施）构架的数字证书认证方式可以有效保证用户的身份安全和数据安全。数字证书是由可信任的第三方认证机构颁发的一组包含用户身份信息（密钥）的数据结构，PKI体系通过采用密码学算法构建了一套完善的流程和保证了只有数字证书的持有人的身份和数据安全。然而，数字证书本身也是一种数字身份，还是存在被复制的危险，于是，USB Key作为数字证书存储介质称为实现PKI体系安全的保障。使用USB Key可以保证用户数字证书无法被复制，所有密钥运算由USB Key实现，用户密钥不在计算机内存出现也不在网络中传播。只有USB Key的持有人才能够对数字证书进行操作。

　　由于USB Key具有安全可靠，便于携带、使用方便、成本低廉的优点，加上PKI体系完善的数据保护机制，使用USB Key存储数字证书的认证方式已经成为目前以及未来最具有前景的主要认证模式。

　　未来，身份认证技术将朝着更加安全、易用，多种技术手段相结合的方向发展。USB Key会成为身份认证硬件的主要发展方向，USB Key的运算能力及易用性也将不断提高。北京飞天诚信科技有限公司本月就推出了国内第一个内置32位智能卡芯片的无驱型USB Key——ePass3000就代表了这个方向。生成RSA密钥对运算的平均时间是USB Key性能的一项重要指标，目前市场上的8位USB Key生成RSA密钥对平均时间普遍在10-15秒左右，而ePass3000生成RSA密钥对平均时间仅为4秒左右。ePass3000的出现，标志着USB Key的运算能力提高到了一个新的量级。

　　每个USB Key硬件都具有用户PIN码保护，以实现双因子认证功能，未来，随着指纹识别技术的成熟和成本降低，USB Key 将会使用指纹识别来保证硬件本身的安全性。现在信息安全越来越受到人们的重视。建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作的人访问，所有未被授权的人无法访问到这些数据。这里说的是对“人”的权限的控制，即对操作者物理身份的权限控制。不论安全性要求多高的数据，它存在就必然要有相对应的授权人可以访问它，否则，保存一个任何人都无权访问的数据有什么意义？然而，如果没有有效的身份认证手段，这个有权访问者的身份就很容易被伪造，那么，不论投入再大的资金，建立的再坚固安全防范体系都形同虚设。就好像我们建造了一座非常结实的保险库，安装了非常坚固的大门，却没有安装门锁一样。所以身份认证是整个信息安全体系的基础，是信息安全的第一道关隘。

　　大家熟悉的如防火墙、入侵检测、VPN、安全网关、安全目录等，与身份认证系统有什么区别和联系呢？我们从这些安全产品实现的功能来分析就明白了：防火墙保证了未经授权的用户无法访问相应的端口或使用相应的协议；入侵检测系统能够发现未经授权用户攻击系统的企图；VPN在公共网络上建立一个经过加密的虚拟的专用通道供经过授权的用户使用；安全网关保证了用户无法进入未经授权的网段，安全目录保证了授权用户能够对存储在系统中的资源迅速定位和访问。这些安全产品实际上都是针对用户数字身份的权限管理，他们解决了哪个数字身份对应能干什么的问题。而身份认证解决了用户的物理身份和数字身份相对应的问题，给他们提供了权限管理的依据如果把信息安全体系看作一个木桶，那么这些安全产品就是组成木桶的一块块木板，则整个系统的安全性取决于最短的一块木板。这些模块在不同的层次上阻止了未经授权的用户访问系统，这些授权的对象都是用户的数字身份。而身份认证模块就相当于木桶的桶底，由它来保证物理身份和数字身份的统一，如果桶底是漏的，那桶壁上的木板再长也没有用。因此，身份认证是整个信息安全体系最基础的环节，身份安全是信息安全的基础。