USBKey身份认证系统的设计与实现
- 格式:pdf
- 大小:204.01 KB
- 文档页数:3
下载文档原格式
合集下载
基于usbkey的支付系统的研究与实现
基于USBKey的支付系统的研究与实现张帆1,张晓良1,郑思远1,胡博2(1.华北电力大学控制与计算机工程学院,北京:102206;2.国网辽宁省电力有限公司鞍山供电公司,鞍山:114000)摘要:本文就USBKey在支付系统中的非对称加密算法、USBKey技术、CA证书、加密服务提供程序等关键技术进行了研究。
建立了USBKey支付系统的总体设计模型,设计并实现了客户端和后台管理模块。
最后,对USBKey在不同领域支付系统中的实际应用做出了展望。
关键词:USBKey;加密;支付系统RESEARCHING AND IMPLEMENTING ONLINE PAYMENT SYSTEM BASED ON USBKEY Zhang Fan1,Zhang Xiaoliang1,Zheng Siyuan1,Hu bo2(1.School of Control and Computer Engineering, North China Electric PowerUniversity,China,102206;2.State Grid Anshan Electric Power Supply Company,China,114000)Abstract:In this article, the key technologies of asymmetric encryption algorithm, USBKey technology, CA certificate and cryptographic-service-support-program as USBKey used in payment system are studied. We establish the overall designing module of USB payment system, design and implement client and backend management module. At last, we propose the practical application of USBKey in different fileds' payment system.Keywords:USBKey;encryption;payment system0 引言随着社会经济的不断发展,互联网交易在经济活动中占有越来越多的比重。
基于云计算的USBKey身份认证技术研究
刘 林 东 , : 于 云 计 算 的 US Ke 等 基 B y身 份认 证技 术 研 究
1 相 关技 术
1 1 云 计 算 .
云计算口 是一 种能 够 向各 种互 联 网应用 提供 硬件服 务 、 础架 构服 务 、 台服务 、 基 平 软件 服务 、 存储 服务 的 系统 , 给用户 提供 可靠 的 、 自定义 的 、 大化 资源 利用 的服 务 , 最 是一 种 崭新 的分 布 式计 算模 式 . 计算 包 括 三 云
关键 词 : B y 云计 算  ̄ KIC US Ke ; P ;A
中 图 分 类 号 : P3 9 文 献 标 识 码 : T 0 A 文 章 编 号 :0 78 5 (0 1 0— 0 80 10 — 7 4 2 1) 5 0 7— 7
引言
随着 计算 机技术 、 互联 网技 术 以及芯 片技术 的发展 , 上 网上银行 、 加 网络 社交 、 电子 商务 以及 电子政 务业
收 稿 日 期 : 0 10 -2 2 1 -9 1
基 金 项 目 : 东 第二 师 范 学 院 重 点课 题 (0 0 8 广 2 10 )
作 者 简 介 : 林 东 , , 南邵 阳人 , 东第 二 师 范 学院 计 算机 科 学 系讲 师 , 士 刘 男 湖 广 硕
21 年第 5 01 期
基于 云 计 算 的 U B y身份 认证 技术研 究 S Ke
刘 林 东 , 依 林 邬
( 广东 第二 师范 学 院 计算 机科 学系 , 广东 广 州 5 0 0 ) 1 3 3
摘要 i 别 阐述 云计 算和 US Ke 分 B y身份 认证 的基 本概 念 和框 架 , 分析 US Ke 身份认 证 中 B y在 存在 的 不足. 云计 算与 US Ke 将 B y紧密结合 起 来 , 立一种基 于云计算 的 US Ke 建 B y身份 认证 模 型. 该模 型 简单 、 实用 、 全 , 安 充分体 现 了云计 算的优 势 , 效地 解决 了 US Ke 有 B y身份 认 证 的安 全 问题.
使用USBKey(加密狗)实现身份认证(ET99加密狗)
使用USB Key(加密狗)实现身份认证(ET99加密狗)(2012-04-21 10:29:39)标签:分类:首先你需要去买一个设备,加密狗是外形酷似U盘的一种硬件设备! 这里我使用的坚石诚信公司的公司项目需要实现一个功能,就是客户使用加密狗登录,客户不想输入任何密码之类的东西,只需要插上类似U盘的加密狗就验证身份登录! (当然如果U盘掉了,也就不安全了哦), 当时这个分配给我的时候,就给了我个ET99设备(类似于U盘那东西),和官方网站! 去官方下载资料(API & DEMO & DOC ),当时我自己心里也没有底,只有先试试吧! 正好今天“试”出来了,和大家分享一下!ET99的安全性:1.登录用户必须先输入自己的USER PIN进行验证后才有权限完成计算。
ER PIN有最大重试次数限制,连续输入错误会锁死。
从而防止硬件丢失后,被不合法的用户反复重试。
3.存储在ET99多功能锁中的密钥不能被任何人获取。
4.用户登录时必须具备硬件和保护硬件的USER PIN双重因子时才能登录。
有硬件,不知道USER PIN或者知道USER PIN,没有硬件,都是没有办法登录的。
比传统的用户名和密码方式大大增加的登录用户的安全性。
(类似于银行的U盾)5.保障了系统开发商的利益。
使用硬件登录,不存在用户名密码共享的问题ET99的认证方式在整个认证过程中,ET99采用冲击响应的认证方式。
当需要在网络上验证用户身份时,先由客户端向服务器发出一个验证请求。
服务器接到此请求后生成一个随机数并通过网络传输给客户端(此为冲击)。
客户端将收到的随机数提供给ET99,由ET99使用该随机数与存储在ET99中的密钥进行HMAC-MD5运算并得到一个结果作为认证证据传给服务器(此为响应)。
与此同时,服务器也使用该随机数与存储在服务器数据库中的该客户密钥进行HMAC-MD5运算,如果服务器的运算结果与客户端传回的响应结果相同,则认为客户端是一个合法用户。
基于USBkey的虚拟实验平台动态身份认证方案设计及实现
其代 价 一般较 高 。
2 基 于 U k y动 态 身 份 认 证 方 案设 计 SB e
21 利用 E Ga l 字 签 名 方 案 生成 公 私 钥 对 . L ma 数
E Gm l L a a数字签名方案中公私钥的生成过程简述如下” :设 P 是一个大素数 ,g G ( 域的一个本原 为 F) p 元素 , 和 g P 公开。 签名者随机选择一个密钥 X 作为私钥, 这里 x 1 一 ) 且 gd , 1 l 公钥 yg o ∈(p 1 , , c(P ) , x一= =x d m
嗵 讯作 者 :周培 源 ( 9 5 ,男 ,副 教授 ,研究 方 向 :嵌入 式 系统 与信息 安全 16 一)
基 金项 目:国家 科技 支持 计划 项 目 ( 0 8 A 2 B 0) 20 B H 9 0 .
8 8
武
汉
纺
织
大
学 Βιβλιοθήκη 学 报 2 1 年 01
这些参 数 。服务器 A s也按 照类似方 法分 别生 成其公 钥 pA k S和 x S A ,将 x S安 全保存 并公 开 pA ,所 有 A kS
注册用 户均 可获 其公钥 p A 。 k S
2 . 申请 US Ke .2 2 B y
( )每一 个用 户 u 选择一 个 随机数 x i 为私钥 ,满 足 x i 1 一) 1 i U作 U ∈(, 1,且 gdx —)1 p c(P 1 ,从 C 的公 , = A 共 文件 中获得 P 和 ,计算 用户公 钥 p U=gi o ,计算 HU hUd并公 开 p U ,Ud为 用户身 份标识 。 、g k i xm dP =(i) ki i ( ) S K y计算 HU hUd,向服务器 A 2 UB e =(i) s提交 用 pA 加 密 的 E k S( kS pA HU, (w) p i hp i, w 为用 户 口令 。 ) A s建立 Ud序列 表 , i 存储 形式 如表 a 收 到 E k S(U, (w) , pA H hp i后用 解密 得到 HU, 添加 入 Ud序列 表 中 , ) 并 i 设 置对应 的 N值 为初始 值 nl ul ,N用来 建立 HU计数 器 , 计算 hUd的出现频率 。C (i) A将 f () k S k i 、pA 、pU 、 h
2 基 于 U k y动 态 身 份 认 证 方 案设 计 SB e
21 利用 E Ga l 字 签 名 方 案 生成 公 私 钥 对 . L ma 数
E Gm l L a a数字签名方案中公私钥的生成过程简述如下” :设 P 是一个大素数 ,g G ( 域的一个本原 为 F) p 元素 , 和 g P 公开。 签名者随机选择一个密钥 X 作为私钥, 这里 x 1 一 ) 且 gd , 1 l 公钥 yg o ∈(p 1 , , c(P ) , x一= =x d m
嗵 讯作 者 :周培 源 ( 9 5 ,男 ,副 教授 ,研究 方 向 :嵌入 式 系统 与信息 安全 16 一)
基 金项 目:国家 科技 支持 计划 项 目 ( 0 8 A 2 B 0) 20 B H 9 0 .
8 8
武
汉
纺
织
大
学 Βιβλιοθήκη 学 报 2 1 年 01
这些参 数 。服务器 A s也按 照类似方 法分 别生 成其公 钥 pA k S和 x S A ,将 x S安 全保存 并公 开 pA ,所 有 A kS
注册用 户均 可获 其公钥 p A 。 k S
2 . 申请 US Ke .2 2 B y
( )每一 个用 户 u 选择一 个 随机数 x i 为私钥 ,满 足 x i 1 一) 1 i U作 U ∈(, 1,且 gdx —)1 p c(P 1 ,从 C 的公 , = A 共 文件 中获得 P 和 ,计算 用户公 钥 p U=gi o ,计算 HU hUd并公 开 p U ,Ud为 用户身 份标识 。 、g k i xm dP =(i) ki i ( ) S K y计算 HU hUd,向服务器 A 2 UB e =(i) s提交 用 pA 加 密 的 E k S( kS pA HU, (w) p i hp i, w 为用 户 口令 。 ) A s建立 Ud序列 表 , i 存储 形式 如表 a 收 到 E k S(U, (w) , pA H hp i后用 解密 得到 HU, 添加 入 Ud序列 表 中 , ) 并 i 设 置对应 的 N值 为初始 值 nl ul ,N用来 建立 HU计数 器 , 计算 hUd的出现频率 。C (i) A将 f () k S k i 、pA 、pU 、 h
基于USBKEY的身份管理与认证系统的研究及实施
核对用户信息。通过梳理各应用 系统账户 ,删除错误和 闲置的账 户 ,核对 了用户信 息 ,为项 目 后 期的证 书制作 工作打好 了基础 。
7 4 信息系统工程 l 2 0 1 3 . 1 2 0
理与认证 项 目介 绍[ M】 , 2 0 1 1 .
[ 2 】 倪 亮, 韩 臻, 何 永忠 . 身份 管理技 术综述 U 1 . 信 息安 全与通信 保
从而为每一个U S B K E Y 标识。 3 . 2 . 3 证 书制作分工 。身份管理与认证涉及 的业务系
统多 ,用户数量庞大 ,单靠R A 站点管理员肯定不能按时
完成证书制作任务。实施过程 中通过配置多名录入员及制 证员,将制证任务分解到人 ,高效有序的完成制证工作。
( 身份管理与访 问控制 系统 )和P K I( 公共密钥体系基
随着应用系统的增加,建立账户和管理用户权限的工 作负荷越来越重 ,经常需要变更账户的权限 ,让管理工作 变得更加复杂。为解决此类愈见突出的安全问题 ,必须进 行有效 的身份管理与认证。
确权限分离 ,保证 了制证的有效安全。
3 . 2 . 2 标 签标识 。用户制作证 书的US B KE Y均使用 统一配置的物理硬件 ,在使用过程中如果不采取标签标
用户在平台 中提交 已有权限的应用系统的账户及密码并 经管理员审批 ,在平 台中生成账户数据。
统 ,即身份管理 与访问控制系统 。将各个应用 系统 的各
自认证功能模块集成升级为集中统一认证 ,从 而提高认 证整体的可信度 、可靠性和高效性 。
P KI 系统 。P u b l i c Ke y I n f r a s t r u c t u r e ( 公钥基 础设
施) ,是利用公 钥理论和技术建 立的提供安全 服务的在 线基础设施。它利用数据加密 、数字签名 、数字证 书来 保护应用 、通信或事务处理 的安全 。
基于USBKey的身份认证机制的研究与实现
口令并且不能更改 , 同时文献 [ ] 3 还指 出文献[ ] 4 的方案同样是
不安全的 , 攻击者很容易假 冒合法用户进行攻击 。
20 , 0 5年 文献 [ ] LeC i 6 ( e.hu方案) 改进 了文献 [ ] 5 的方 案 ,
方案, 最后通过模拟环境对该认 证算法进行编程实现。该方案实现“ 一次 一密” 的双 向认证 , 能够抵御 重放 攻击 、 绝服务攻击 、 拒 选
择密文攻 击、 密钥猜测攻击、 中间人攻击、 冒服务器攻 击, 假 增强 了安全性。
关键 词 U B e 一次一密 S Ky 双 向认 证
RES EARCHI NG AND M PLEM ENTI I NG DENTI I TY AUTHENTI CATI oN M ECHANI SM BAS ED oN BKEY US
修改 , 方案将无任 何安全可言 , 同时该 方案的计算量非常大 , 实
0 引 言
U B e 作 为 网 络 用 户 身 份 识 别 和 数 据 保 护 的 “ 子 钥 S Ky 电
用性不大 。20 00年 , 文献[ ] 出了一种 基于离散 对数的智能 2提
卡远程认证方案 , [] 文献 3 指出文献 [ ] 2 中合法用户很容易伪造
其他用户的( .P ) 而 不用知 道系统 管理 中心 的私 有密钥 , ,, S 同时该方案还不允许用户 自由选择 口令 P , W。后来 , 文献 [ ] 4 提 出了一种改进的方案 , 然而用 户必须去记住 长的随机数作为
匙 ” 正 在 被 越 来越 多 的 用 户 所 认 识 和 使 用 。 U B e 有 双 重 , S K y具 验证 机 制 : 户 PN码 和 U B e 硬 件 标 识 , 户 一 旦 丢 失 U — 用 I SK y 用 S Be K y只要 PN码 没 有 被 攻 击 者 窃 取 , 时 注 销 即 可 ; 击 者 窃 I 及 攻 得 密钥 若 没 有 U B e 硬 件 也 无 法通 过 认 证 。 SK y 目前 , 多数 基 于 U B e S K y的身 份 认 证 方 式 是 与 P I 结 合 , K 相
龙脉科技USBKEY电子签章应用
龙脉科技USBKEY电子签章应用一、概述互联网为电子政务和电子商务的开展提供了舞台,对于电子政务来说,无纸化是必然的趁势。
电子签章系统利用图像处理技术将电子签名操作转化为与纸质文件盖章操作相同的可视效果,同时利用电子签名技术保障电子商务和电子政务公文的真实性和完整性以及签名人的不可否认性。
而电子签章的数据文件保护、私钥存储、图片公章存储安全等等,都是电子签章系统必须考虑的安全因素。
北京世纪龙脉科技有限公司秉承“提供符合市场和用户需要的优质产品以及同步于现代信息技术应用的最新发展”的理念,精心研发打造出“龙脉mToken GM3000”产品为电子签章系统上“安全带”。
二、总体设计本方案采用龙脉科技自主设计研发智能卡芯片核心的mToken GM3000身份认证锁,其通过非对称密钥技术实现可靠的身份认证、数据加密、签名/验签等功能,GM3000硬件芯片支持RSA DES AES SHA 等多种加密算法,密钥对生成速度快,同时符合最新版国密2012版本规范,支持国密算法,硬件芯片内置随机数发生器,标准版支持64KB安全数据区加200KB falsh存储区用于存放证书、密钥及电子签章图片或二进制数据文件,并可根据需求提供最大数据区,同时自带2M CD-ROM可用于存放中间件方便最终用户使用,增强电子签章系统的健壮性。
三、系统架构龙脉mToken电子签章应用架构图如下:K3pro GM3000GM3000龙脉mToken电子签章应用架构图GM3000➢电子签章管理中心:(安装于印章发放机构)A、从第三方CA机构申请数字证书,并存储于受PIN码保护的龙脉mToken GM3000身份认证锁中。
B、配置与印章实体相对应的电子图章于电子签章令牌中。
C、mToken电子签章图章制作D、分发电子签章令牌给最终用户。
➢电子签章应用端:(安装于终端用户电脑)1.加盖印章:为当前打开的Word格式的公文添加电子签章,生成盖章公文。
USB-KEY原理说明
USB-KEY原理简要说明一、usbkey实现身份认证原理采用冲击响应的认证方法,登录时在服务器端和客户端同时进行计算,客户端计算前要先验证USER PIN,通过后在硬件中使用HMAC-MD5密钥进行计算,服务器端在服务器上使用软件进行计算,比较计算结果。
二、usbkey的优点1、兼容性好usbkey不仅对打印机、扫描仪等设备具有高度的透明性,特别是多个相同的usbkey也可以使用USB HUB并联在一起使用,相互之间不会干扰。
2、速度快对于使用usbkey加密后的软件,其运行速度同加密前区别不大,usbkey能够在很短的时间内处理完毕,保证用户程序的顺畅运行。
3、使用简便usbkey在API函数调用上从用户角度出发,最大限度简化使用接口。
用户能够在很短的时间内掌握usbkey的使用方法,节约开发上所投入的时间。
三、高加密强度和身份认证相结合usbkey是全新设计的高强度usbkey,有完整的用户管理。
(1)用户必须在超级用户状态下(SO PIN验证通过),通过自己设定的不超过51字节的种子生成PID,以后打开和关闭usbkey都需要通过PID来完成。
PID的生成算法是在usbkey内部完成的,而且是不可逆的,也就是说,只有生成者才知道什么样的种子能生成什么样的PID,别的人即使知道PID,同时也能够调用这个计算过程,但因为不知道种子是什么,是无法生成和您相同的PID 的硬件,保证了用户的usbkey的独特性。
(2)用户在对usbkey中的数据进行读写操作时需要进行USER PIN验证,又增加了一层对软件的保护性。
(3)用户可以在配置设备时设为只读,那么usbkey中的数据只可以读取,而不能被更改,密钥也不能被修改,从而保证了锁内数据不被篡改。
(4)使用usbkey硬件中的HMAC-MD5算法进行冲击响应身份认证。
HMAC-MD5密钥存在usbkey中,该密钥只用于计算,任何人获取不到密钥的内容,保证密钥的安全性。
基于USB KEY的身份认证技术的相关研究
基于USB KEY的身份认证技术的相关研究摘要:首先介绍了USB接口技术相关的内容,包括USB的概念、USB的基本结构、USB的通信模型,为USBKey身份认证的实现提供了理论基础和技术支持。
而后着重分析了身份认证的相关内容,包括身份认证的概念、已有的身份认证方法和身份认证协议。
关键词:USBkey;身份认证;USBkey身份认证1 USB概述1.1 什么是USBUSB即通用串行总线(Universal Serial Bus),是一种支持即插即用的新型串行接口。
USB要比标准串行口快得多,其数据传输率可达每秒4Mb~12Mb (而老式的串行口最多是每秒115Kb)。
除了具有较高的传输率外,它还能给外围设备提供支持。
这不是一种新的总线标准,而是电脑系统连接外围设备(如键盘、鼠标、打印机等)的输入/输出接口标准。
到现在为止,电脑系统连接外围设备的接口还无统一的标准,如键盘的插口是圆的、连接打印机要用9针或25针的并行接口、鼠标则要用9针或25针的串行接口。
USB能把这些不同的接口统一起来,仅用一个4针插头作为标准插头。
通过这个标准插头,就可以把所有的外设连接起来,并且不会损失带宽。
USB正在取代当前PC上的串口和并口。
1.2 USB基本结构整个USB总线可以分为3个部分进行描述,USB连接、USB 设备、USB主机(如图1)。
1.3 USB通信框架结构USB设备被分为3个层次:功能层、USB逻辑设备和USB 总线接口。
它们分别和主机系统中的客户软件、USB系统软件以及USB主控制器进行了逻辑或物理的对应。
其中,功能层和客户软件之间的逻辑对应提供了用户操作USB设备的能力。
USB 逻辑设备与USB系统软件的逻辑对应提供了通用的USB操作,主要包括USB系统软件对USB设备的配置和管理工作。
而USB 总线接口与USB主控制器通过USB电缆实现物理连接。
主机与设备之间横向的联系辅以主机和设备各层次间纵向的通信,就构成了整个USB从逻辑到物理的分层的通信模型。
usbkey认证过程
usbkey认证过程
USB密钥(也称为USB安全密钥或USB安全令牌)是一种用于
身份验证和访问控制的物理设备。
USB密钥的认证过程通常包括以
下步骤:
1. 插入USB密钥,用户将USB密钥插入计算机的USB端口。
2. 识别设备,计算机系统会识别USB密钥并检测其存在。
3. 输入PIN码,在某些情况下,用户可能需要在计算机屏幕上
输入PIN码以解锁USB密钥。
这是为了增加安全性,确保只有授权
用户可以使用USB密钥。
4. 身份验证,一旦USB密钥被识别并解锁,计算机系统将使用
其中存储的加密密钥进行身份验证。
这通常涉及与服务器或其他身
份验证系统的通信,以验证用户的身份和授权级别。
5. 访问控制,一旦用户的身份得到验证,USB密钥可以被用来
解锁加密文件、登录到受保护的系统或网络,或执行其他授权操作。
需要注意的是,不同的USB密钥产品可能会有不同的认证过程。
有些产品可能还提供额外的安全功能,如指纹识别或生物特征识别,以进一步增强认证过程的安全性。
总的来说,USB密钥的认证过程
旨在确保只有授权用户可以访问受保护的资源,并提供了一种方便
而安全的身份验证方式。
一种应用于麦当劳门店的USBKEY网络身份认证管理设计方法
方 法 .它 的特 点 是 经 济 实 惠 且 安 全 系 数 较 高 ,因此 麦 当 劳 结合 在 中 国上 海 门店 的 实 际 网 络 安 全 管 理情 况采 用 了 U S B K E Y 进 行 网络 身份 认证 安全 管理 方 法 。 U S B K E Y 是一种 基于U S B 接 口与P C 相连接 的小巧硬件 设 备 ,它 结合 了智 能卡 技术 、 密码学 技术 、US B 技术 能够 对 网络 身份登录 用户 提供 良好安全 的身份识别和 数据安全载 体 ,U S BK E Y / J \ 巧 方便 .易于 携带 .即 插即用 ,还 具有 一 定的存储 能力 ,它要 比智能 读卡器在 串 口通信 方面更快速便
受到 的攻 击 和威 胁 .如 麦 当劳在 世界 各地 的规 模 在不 断扩
大 的 同 时。 也 发现 到 各 个 区域 门店 的 网络 身份 认 证 安 全 管 理 需要 进 一 步 加强 ,而 目前 USB KE Y 是 作 为世 界 上 解决
操 作 时 , 由麦 当 劳部 门 向航 天 信 息5 1 发 票平 台运 营 部 门
发 票平 台 。
( 三) 证书灌装
Hale Waihona Puke 二 、U S B KE Y身份认证 管理设计技 术方案
本 设 计 技 术 方 案 的 USBKEY的 管 理 共 涉 及 到 U SBK EY 初始 化 发 行 、证 书 灌 装 、 电子 发票 系统 发 行 、 U S BK E Y 部署 安 装 、U SB K E Y 使用 ,U S B KE Y 维 护 等环
信息 化研 究
有 固 定地 点 .无论 大 家在 什 么地 方 出差 ,都 希 望能 够像 在 办 公 室一 样进 行 电子 办公 。旧有 的移 动 办公 解 决方 案 已经 无 法 有效 满足 目前 需 求。 基 于 虚 拟技 术 的移 动 办 公 应 用 系统 .从 根 本 上 颠 覆 了旧 有的 移动 办 公解 决方 案 ,在 各类 型 终端 上 ( 如 笔记 本 电脑 、平 板 电 脑 、 P DA、手 机 等 )实现 安全 、快 速 ,方
受到 的攻 击 和威 胁 .如 麦 当劳在 世界 各地 的规 模 在不 断扩
大 的 同 时。 也 发现 到 各 个 区域 门店 的 网络 身份 认 证 安 全 管 理 需要 进 一 步 加强 ,而 目前 USB KE Y 是 作 为世 界 上 解决
操 作 时 , 由麦 当 劳部 门 向航 天 信 息5 1 发 票平 台运 营 部 门
发 票平 台 。
( 三) 证书灌装
Hale Waihona Puke 二 、U S B KE Y身份认证 管理设计技 术方案
本 设 计 技 术 方 案 的 USBKEY的 管 理 共 涉 及 到 U SBK EY 初始 化 发 行 、证 书 灌 装 、 电子 发票 系统 发 行 、 U S BK E Y 部署 安 装 、U SB K E Y 使用 ,U S B KE Y 维 护 等环
信息 化研 究
有 固 定地 点 .无论 大 家在 什 么地 方 出差 ,都 希 望能 够像 在 办 公 室一 样进 行 电子 办公 。旧有 的移 动 办公 解 决方 案 已经 无 法 有效 满足 目前 需 求。 基 于 虚 拟技 术 的移 动 办 公 应 用 系统 .从 根 本 上 颠 覆 了旧 有的 移动 办 公解 决方 案 ,在 各类 型 终端 上 ( 如 笔记 本 电脑 、平 板 电 脑 、 P DA、手 机 等 )实现 安全 、快 速 ,方
usbkey概述(算法及中间件)
我在USB Key行业待了有5年之久。
先后接触包括软件、硬件、COS、中间件以及测试、甚至各项资质的获取等等工作,为了将这些个人经验更好的与大家分享,我会陆续的撰写一些该方面的技术文章。
我将之命名为《usbkey概述》。
其中,我将分享USB Key的里里外外,设计、分析,测试等等一些粗略的经验。
如果您对之有兴趣,欢迎与我沟通讨论。
一、概述USB Key(以下简称UKey)是一种以USB为接口标准的硬件设备。
该设备内置可信计算模块(或芯片,简称TCM),具备密码运算功能,有一定容量的私密存储空间,可以保证存储在该区域的数据不被读出。
UKey内置对称和非对称算法,这些算法及其运算功能是UKey的核心功能。
由于具备对称和非对称算法,所以UKey具备了数据加解密的功能。
在CA的支持下,UKey还具有网络身份认证的功能。
CA是Certificate Authority的简称,它是一类组织机构。
CA的功能用于颁发和管理证书。
这里所指的证书,并非我们通常意义上的证明个人所获技能学历的哪些证书,这里的证书更像是用来证明某人的真实身份。
真实身份的意思是某人与某证书存在绑定关系,在法律上,这个绑定关系具备法律效率。
为了赋予CA以及CA所颁发的证书能在现实生活中有效通行,中国乃至大部分世界上的国家和地区,都先后出台了一些法律,对CA及其颁发的证书赋予法律效率。
在中国,类似的法律为《中华人民共和国电子签名法》(《中华人民共和国电子签名法》已由中华人民共和国第十届全国人民代表大会常务委员会第十一次会议于2004年8月28日通过,自2005年4月1日起施行)。
所以当我们在网络上使用UKey进行网络身份认证的时候,你所执行的操作是具备法律效率的。
我们通常使用UKey的情形,一般是在进行网络支付,好像UKey就是为了支付而使用的,而实际情形是你使用UKey里面的个人证书在网络上完成了一个数字签名,并且您通过网络将该数字签名的数据发送到银行的服务器,一旦银行对你的数字签名验证通过了,银行就将你账户中的指定的金额转账到指定的某账户中去。
基于A980芯片的USBKEY硬件系统设计
复位控制器 ;
宝” 等, 是一种通过 U S B( 通用串行总线接 口)
直接 与计 算机相连 、具有密码验证功能 、可靠 高 速的小型存储设备。它是对现行的 网络安全
中断控制器 ( 支持 单步中断 , 断点调试) ;
芯片安全组件 ( 包括频率检测 、电压检测 、
防S P A / D F A攻击、存储保护等 );
组 装 好 的 Uk e y ,需 要 通 过 严 {
信计 算机 及智能卡技术 ,把易用性 、便携性和
最高级别 的安全性 带给 了使 用 Mi c r o s o t f I E或 Ne t s c a p eNa v i g a t o r 进行 We b 访 问、 在 线交易( 购 物付 款转账 )、收发电子邮件 、在 线聊 天交友 、 表单签名及文件数字签名等操作 的用户 ,保证 用户在 Uk e y下的操作不 可篡改和抵赖 。Uk e y 最大的特点就是安全性高 ,技 术规范 ,一致性
1 系 统 组 成
本 文 设 计 的U k e y 硬 件 系 统,主要 由 协议 。 A 9 8 0 加密算法芯片 、 U S B接 口、 L C D显示器 、 S P I F L AS H,用于存储应 用系统 B o o t l o a d S P I 接 口F L A S H存 储器及 少量 操作 按键 等组 程 序 ,包括 U S B驱 动程序 、 自动 弹 出的个性
成。
选 ,一旦纳入管理体系 ,就要实行J
4结束语
本 设计 提供 的 US BKe y硬 件 : 带有E 2 P R OM ( F L AS H)的专用 ( 芯 片级操 作系统,所有 读写和加密: 片内部 完成 ,能有效地防止被非法
基于USB-Key的强口令认证方案设计与分析
基于USB-Key的强口令认证方案设计与分析于江;苏锦海;张永福【期刊名称】《计算机应用》【年(卷),期】2011(31)2【摘要】Concerning that the OSPA protocol is vulnerable to the replay attack and the denial-of-service attack, in this paper, a USB-Key based strong password authentication scheme was proposed, which used USB-Key to verify the user's password and store the security parameter. In this scheme, user's identity can be protected by using the temporary identity and the authentication parameters computation by Hash function. This scheme can achieve mutual authentication between user and server by transferring the authentication parameters. The security analysis of the scheme proves that the scheme is resistant to replay attack, impersonation attack and Denial of Service (DoS) attack, and it has high security, and it can be used by users with limited computation ability.%针对0SPA强口令认证方案无法抵抗重放攻击、拒绝服务攻击的不足,提出了一种基于USB-Key的口令认证方案.该方案使用USB-Key进行用户口令的验证并存储认证的安全参数,能够有效地保护安全参数不被窃取.认证方案在认证过程中对用户的身份信息进行了保护,使用Hash运算计算认证参数,通过用户端和服务器端之间的认证参数的传递实现双向认证.方案的安全性分析表明,它能够防止口令猜测攻击、重放攻击、假冒攻击、拒绝服务攻击,方案系统开销小,适用于运算能力有限的终端用户.【总页数】3页(P511-513)【作者】于江;苏锦海;张永福【作者单位】信息工程大学,电子技术学院,郑州,450004;信息工程大学,电子技术学院,郑州,450004;信息工程大学,电子技术学院,郑州,450004【正文语种】中文【中图分类】TP309.2【相关文献】1.一种一次性口令身份认证方案的设计与分析 [J], 宋金秀;杨秋翔2.一种新型一次性口令身份认证方案的设计与分析 [J], 张宏;陈志刚3.B/S模式下一次性口令身份认证方案的设计与分析 [J], 王庆生;邱鹏飞4.基于Hash函数的强口令认证方案设计与分析 [J], 于江;苏锦海;张永福5.基于Hash函数的强口令认证方案设计与分析 [J], 于江;苏锦海;张永福因版权原因,仅展示原文概要,查看原文内容请购买。
统一身份认证设计方案(最终版)
统一身份认证设计方案(最终版)统一身份认证设计方案日期:2016年2月目录1.1 系统总体设计1.1.1 总体设计思想本文介绍的是一个统一身份认证系统的设计方案。
该系统的总体设计思想是将用户的身份信息集中管理,实现用户在不同应用系统中的一次认证即可访问多个应用系统。
1.1.2 平台总体介绍该系统采用分布式架构,包括认证服务器、授权服务器和应用系统。
认证服务器负责用户身份认证,授权服务器负责用户权限管理,应用系统通过接入认证和授权服务器实现用户身份认证和权限控制。
1.1.3 平台总体逻辑结构该系统的逻辑结构包括用户管理、证书管理、授权管理和认证管理四个模块。
用户管理模块负责集中管理用户信息,证书管理模块负责集中管理数字证书,授权管理模块负责集中管理用户权限,认证管理模块负责实现用户身份认证。
1.1.4 平台总体部署该系统的部署包括认证服务器、授权服务器和应用系统的部署。
认证服务器和授权服务器部署在专用服务器上,应用系统可以通过接入认证和授权服务器实现用户身份认证和权限控制。
1.2 平台功能说明该系统的功能包括用户管理、证书管理、授权管理和认证管理四个方面。
用户管理模块负责集中管理用户信息,证书管理模块负责集中管理数字证书,授权管理模块负责集中管理用户权限,认证管理模块负责实现用户身份认证。
1.3 集中用户管理1.3.1 管理服务对象该模块管理的服务对象是系统中的用户信息。
1.3.2 用户身份信息设计1.3.2.1 用户类型该系统支持内部用户和外部用户两种类型。
内部用户是指公司内部员工,外部用户是指公司外部合作伙伴。
1.3.2.2 身份信息模型该系统的身份信息模型包括用户基本信息、用户账号信息、用户角色信息和用户权限信息。
1.3.2.3 身份信息的存储该系统的身份信息存储在认证服务器的数据库中。
1.3.3 用户生命周期管理该系统支持用户的新增、修改、删除和禁用等操作,实现用户的生命周期管理。
1.3.4 用户身份信息的维护该系统支持用户身份信息的维护,包括密码修改、账号解锁等操作。
基于PKI身份认证系统研究与实现
基于PKI的身份认证系统的研究与实现摘要:网络技术和信息技术的日新月异使人类社会已经全面进入了信息时代,也将大量的应用系统暴露在了所有人面前,使得通过身份认证技术实现安全的用户单点登陆、保障系统应用级的数据安全和访问安全成为了未来应用系统继续发展的安全首选。
本文提出一种基于pki技术的身份认证系统建设方法,利用标准的双证书、双密钥方式加解密,采用双因子认证方式的usbkey,实现一种在现阶段较为安全可行、性价比较高、可以实现单点登陆的安全认证手段。
关键词:pki技术;身份;认证;单点登陆中图分类号:tp393.081 引言随着计算机网络和信息技术的快速发展,使得企业信息化程度不断提高,人员管理、业务管理、档案管理和办公自动化等应用系统得到广泛应用,应用系统的数量也在不断地增加,分而治之的各个应用系统之间缺乏最基本的信任和沟通,系统间用户名和密码得不到统一,彼此之间的信息完整性得不到保障,信息传递双方缺乏不可抵赖性依据,应用系统间的安全协作成为空想,种类繁多的用户名和密码不仅不能提高整个应用系统群的安全性,极大地拉低了应用系统群的工作效率,也容易导致用户名和密码遗忘,登录界面过多、安全薄弱点过多等问题的出现。
如何建立一套既可以在各应用系统中统一登录使用,又能够为这些应用系统提供高强度身份认证保障、授权控制保障和不可抵赖性保障等应用级安全保护措施的安全保障体系,成为影响当下应用系统进一步发展的关键问题。
2 主要研究对象身份认证系统建设是一项十分复杂而严谨的工作,使用技术的先进性、系统设计的科学性和系统运行的可靠性是身份认证系统建设成败的关键。
身份认证系统的建设可以从以下几个角度去研究。
2.1 pki技术。
pki是英文publickeyinfrastructure的简写,是以公开密钥技术为基础,以数据保密性、完整性、安全性和不可抵赖性为目的,提供安全服务的普遍适用的安全基础设施,是硬件、软件、人员、策略和操作规程的总和。
身份管理与认证系统2.0的设计与实现
/CHINA MANAGEMENT INFORMATIONIZATION身份管理与认证系统2.0的设计与实现张红梅(大庆炼化公司信息中心,黑龙江大庆163411)[摘要]本文介绍了身份管理与认证系统2.0概况以及主要功能模块,实现多系统之间的数据共享,提供集中的用户身份管理功能,在提高系统访问安全性的同时,也提高了系统访问效率,有助于提升企业信息化水平。
[关键词]身份管理;认证系统;USBKeydoi:10.3969/j.issn.1673-0194.2020.05.079[中图分类号]TP315[文献标识码]A [文章编号]1673-0194(2020)05-0184-02[收稿日期]2019-11-121引言身份管理与认证项目是《中国石油天然气集团公司“十一五”信息技术总体规划》与《中国石油天然气集团公司“十二五”信息技术总体规划》中的“信息安全体系建设项目(F8)”子项目,实现了单点登录功能,在提高系统访问的安全性的同时,也提高了系统访问效率。
与企业主数据进行集成,实现多系统之间的数据共享,提供集中的用户身份管理功能,实现了用户账号的实名制管理及审计等功能,大大降低了用户账号管理的复杂性与成本。
2身份管理与认证系统概况身份管理与认证系统是多系统集成登陆的一个系统。
系统提供用户管理、组织机构管理、系统管理、管理员权限管理、认证策略配置、应用管理、安全审计功能。
以统一、安全、可靠、合规的方式对企业信息资产的系统访问者进行访问授权,让合适的人在恰当的时间采用正确的方式和可信的身份从统一的入口访问已授权的信息资产。
从而保护企业免受内部和外部的攻击威胁,确保企业信息资产的完整性,并且提供可信的审计和报告。
身份管理与认证系统由IAM(身份管理与访问控制)和PKI(公共密钥体系基础设施)两个子系统构成。
身份管理与认证系统(1.0)实现了信息系统的统一账号管理和单点登录,有效解决了应用系统用户物理身份和数字身份的一致性问题,实现了用户账号的实名制管理及审计;身份管理与认证系统(2.0)建设,将在身份管理与认证系统(1.0)的基础上,根据国家要求,结合中国石油的实际情况和应用需求,完成商用密码算法升级工作,新建符合国家政策的密码技术应用支撑平台,并扩展与完善身份管理与认证系统功能,逐步实现自主可控。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
U SB Key 身份认证系统的设计与实现汪国安1,杨立身2(1.河南大学网络中心,河南开封 475001; 2.河南理工大学网络中心,河南焦作 454000)Ξ摘要:系统地介绍了在研制开发利用计算机的标准USB 接口及实现一种低成本、高可靠、简便易用、基于硬件(USB K ey )的身份认证系统的过程中所攻克的关键技术及实现方法,包括用于实现实时监测用户是否在线的心跳机制、USB K ey ID 的惟一性方案、加密方案、用户的公钥、用户的私钥以及扰码的加密算法及记录方法、读码、写码、通信时的安全机制等.关 键 词:互连网;身份认证;数字签名中图分类号:TP 309 文献标识码:A 文章编号:1007Ο7332(2005)03Ο0311Ο030 引 言随着互联网的快速发展,各种新的网络应用层出不穷,如电子商务、远程教育、网上购物、信息点播等,互联网已经由原来简单地提供公共信息服务转向全方位个性化服务.伴随着这些服务的出现,一个首先必须解决的问题就是:如何能够快速、准确、方便、可靠地识别用户的身份,并且尽可能地降低认证整体的成本.这是目前信息技术领域研究的一个热门课题.目前在实际应用中,有3种常见的认证用户身份方法:用户账号+口令密码;银行卡或智能卡(IC 卡);虹膜或指纹.虽然这些方法都可以提供认证服务,但每种方法都有自己的局限性.第1种方法使用起来简单、方便,但可靠性最差,一旦盗用者通过某种方式获得了他人的账号、密码,则该用户的切身利益将无法得到保障;后2种方法可靠性较高,但需要配备专用设备,体系结构复杂,价格过于昂贵,影响推广使用.针对上述问题,我们利用计算机的标准接口—USB 接口,开发设计出了一种基于USB K ey用户的身份认证系统(图1),它具有简便易用、可靠性高、成本低廉等特点,易于推广应用.1 系统结构USB K ey 通过USB 接口与计算机相连,用户的个人信息存放在存储芯片中,可由系统进行读写.当需要对用户进行身份认证时,系统提请用户插入USB K ey 并读取上面记录的信息,信息经加密处理送往认证服务器,在服务器端完成解密和认证工作,结果返回给用户所请求的应用服务.2 关键技术为确保身份认证系统可靠运行,需要重点解决一些关键性的技术问题.第24卷第4期2005年8月 河南理工大学学报JOURNAL OF HENAN POL YTECHN IC UN IV ERSIT Y Vol.24 No.4Aug.2005Ξ收稿日期:2005Ο07Ο11基金项目:河南省教育厅自然科学基金资助项目(2003520257)作者简介:汪国安(1957Ο),男,河南新蔡人,副教授,主要从事计算机网络及应用方面的研究.心跳机制:用于实时监测用户是否在线,一旦失去心跳连接,立即中断服务.它包括两种类型,一是认证服务器与计算机之间的连接,二是计算机与USB K ey 之间的连接.为保证监测结果的可靠性,需采用多种心跳监测机制.惟一性:每个USB K ey 都具有一个惟一的ID 号,该号码存在于USB K ey 芯片中,不可更改,以防止不法者假冒.用户信息:由用户的个人编码、用户的公钥、用户的私钥以及扰码按照一定的加密方式生成、记录在存储芯片中.除了用于表明用户的身份,还可以用于安全通信、数字签名等.读码:对USB K ey 内用户信息的读取需要获得授权,无授权者不能读取信息.写码:对USB K ey 内用户信息的改写需要获得授权,无授权者不能改写信息.安全通信:认证服务器与计算机之间采用安全的通信机制,防止认证信息被黑客监听.认证:用户信息被完整地发送到服务器端,由服务器端软件负责解密并对用户身份进行认证,确保认证结果安全、可信.3 加密方案即使有了USB K ey ,但如果没有对加密方案进行良好的设计,在解密高手面前它还是不堪一击的.所以,设计加密方案的时候,要充分考虑到可能出现的各种问题.此外,加密方案还应当满足灵活的配置要求.USB K ey 的基本操作:所有的软件加密原理都是生成一些信息,然后设法使这些信息不被别人复制.USB K ey 信息包括内部存储器信息及算法信息.读写这些信息的操作,可抽象归纳为以下3个基本操作.Ⅰ X =QU ER Y (Y ),以Y 为因子返回算法计算结果XⅡ X =READ (Y ),读存储器Y 地址的数值Ⅲ WRITE (X ,Y ),将X 保存在存储器Y 地址限制软件运行:限制软件运行的含义是同一时刻只允许一个软件运行.设计这种加密方案的关键是在软件的全部运行周期不断地要去验证加密硬件的存在,而不是仅仅在软件启动时才去验证一次.可以使用QU ER Y 和READ 基本操作来达到这种验证.黑客常用的解除软件运行限制的手法有两种:一是修改可执行文件的映象文件,二是通过软件对硬件进行仿真.修改可执行文件的映象文件的依据是反汇编文件,由于访问加密硬件子程序的痕迹是很明显的,所以能通过逆推法找到软件判断验证的决策点,通过修改决策点的汇编指令达到解密的目的.防范这种行为的加密方案要注意:要设置很多决策点,不能把决策点放在某个单独的子程序里;把基本操作和验证编程设计成时间和空间相隔很远的不同事件;用QU ER Y 或READ 的数据去初始化软件的重要变量.对硬件进行仿真的依据是对软件和加密硬件数据往来接口的数据流的观察结果.防范这种行为的加密方案要注意:选择动态和随机数据作为QU ER Y 因子;使用大尺寸的加密数据包,如64bits 以上;使用输入输出关系非常不明显的变换算法.USB K ey 运行许可:USB K ey 需要经管理部门发放许可之后才能投入使用.第1步,在管理部门,使用工具软件将模块许可信息用基本操作写到加密硬件里,与此同时,该信息被记录到认证服务器的数据库中;第2步,用户运行认证服务程序,相应模块读出数据,判断自己是否得到许可.防止未经授权修改加密锁数据:假设有人知道基本操作的接口,就有可能手动修改加密硬件中存储的数据.所以,将要保存的数据做一个校验和(CRC ),再加密后保存.加密的效果使得原始数据即使改动1bit ,输出数据也会有很大的变化,很难看得出规律.解密后的数据如果检验CRC 不匹配,则认为加密硬件保存的数据经非法改动过,是无效数据.4 结 论身份认证是目前信息技术领域研究的一个热门问题,这个问题解决的成功与否,直接关系到各种213 河南理工大学学报(自然科学版) 2005年第24卷网上应用服务能否顺利开展,关系到计算机网络系统能否安全、可靠的运行.本文在对该问题的现状进行了介绍和分析后,提出了一种比较理想的解决方法,并对该方法进行了较为详尽的描述.参考文献:[1] [美]Jan B 大全[M ].陈逸,译.北京:中国电力出版社,2001.[2] 李亚杰,吴秋峰,袁 萌.PKI :构建安全电子商务的基石[J ].计算机工程与应用,2001,37(10):45-47.[3] [美]Bruce Schneier.应用密码学[M ].吴世忠,祝世雄,张文政,等译.北京:机械工业出版社,2000.[4] 伍云霞,孙继平.安全认证系统中嵌入USB 接口技术[J ].电子技术应用,2002,28(3):13-15.[5] 廖传书,韩 屏.基于USB 的无源身份认证的实现[J ].微机发展,2004,14(11):62-64.[6] 孟丽荣,赵华伟,张海波.微型PKI 客户端设计方案[J ].计算机应用,2003,23(9):20-21.The Design and Implementation of an IdentityAuthentication System Based on an U SB KeyWAN G Guo Οan 1,YAN G Li Οshen 2( work Center ,Henan U niversity ,Kaif eng 475001,Chi na ; work Center ,Henan Polytechnic U niversity ,Jiaoz uo 454000,Chi na )Abstract :This paper will discuss the research and development of an identity authentication system ,which utilizes a standard USB interface to implement a based hardware system in a low cost ,reliable and convenient manner.Furthermore ,this paper will present an implementation method of this system.This technology includes :a Heart J umping system which can monitor whether customers are online in real Οtime ;a USB K ey ID uniqueness scheme ;an encryption scheme ;an encryption algorithm and recording method for the public key of a user ;private key and scrambling ;a security system for reading code ;writing code and communication.K ey w ords :Internet ;Identity Authentication ;Digital Signature(责任编校 杨玉东)科技论文前言的写法(1)突出重点.在回顾前人所作的研究工作时,不宜面面俱到,应找具有代表性的、与本研究关系最密切的资料来阐述,避免写成文献综述.(2)注意深度.在论述本人所作研究时,一些普及的、为公众所熟知的原理和知识,不必一一赘述.如教科书中早已有的公式,众所周知的基础理论等等.(3)审慎评价.在介绍自己的研究成果时,切忌拔高或降低.比如一些词汇:“国内首创”、“从未见报道”、“国际水平”、“国内领先”、“填补空白”等,都属拔高的评价;而诸如“不足之处敬请原谅”、“限于时间和水平”、“请读者批评指正”等语言,则属大可不必客气的俗语,均应避免使用.只要如实报道自己的成果就行了,质量高低读者自会评价.(4)不列图表.因为前言只是简要地阐述论文的研究情况,故一些详细的研究数据和资料如图、表、公式、照片等不宜列入.313第4期 汪国安等:USB K ey 身份认证系统的设计与实现。