认识USB-Key技术

　　对于身份认证，我们已经学习了很多种有效且较为安全的技术，比如生物特征识别技术等，在这里，我们再来学习一个身份认证技术——USB-Key技术。

　　USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中，理论上使用任何方式都无法读取，因此保证了用户认证的安全性。

　　USB Key身份认证原理

      每个USB Key硬件都具有用户PIN码，以实现双因子认证功能。USB Key内置单向散列算法(MD5)，预先在USB Key和服务器中存储一个证明用户身份的密钥，当需要在网络上验证用户身份时先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数并通过网络传输给客户端(此为冲击〉。客户端将收到的随机数提供给插在客户端上的USB Key，由USB Key使用该随机数与存储在USB Key中的密钥进行带密钥的单向散列运算(HMACMD5)并得到一个结果作为认证证据传送给服务器(此为响应)。与此向时，服务器使用该随机数与存储在服务器数据库中的该客户密钥进行HMAC-MD5运算，如果服务器的运算结果与客户端传固的响应结果相同，则认为客户端是一个合法用户，原理如图1所示。

图1 USB Key身份认证原理

　　USB Key身份认证的特点

　　1.双因子认证

　　每一个USB Key都具有硬件PIN 码保护， PIN码和硬件构成了用户使用USB Key的两个必要因素，即所谓"双因子认证"。

　　2. 带有安全存储空间

　　USB Key具有8K-128K的安全数据存储空间，可以存储数字证书、用户密钥等秘密数据，对该存储空间的读写操作必须通过程序实现，用户无法直接读取，其中用户私钥是不可导出的，杜绝了复制用户数字证书或身份信息的可能性。

　　3. 硬件实现加密算法

　　USB Key内置CPU或智能卡芯片，可以实现PK.I体系中使用的数据摘要、数据加解密和签名的各种算法，加解密运算在USBKey内进行，保证了用户密钥不会出现在计算机内存中，从而杜绝了用户密钥被黑客截取的可能性。支持RSA，DES,SSF33和3DES算法。

　　4. 便于携带，安全可靠

　　如拇指般大的USB Key非常方便随身携带，并且密钥和证书不可导出， Key的硬件不可复制，更显安全可靠。

　　5.身份认证模式

　　USB key的认证模式主要有2种:基于冲击/响应的认证模式和基于PK.I体系的认证模式。

　　USB key的应用

　　如今最广泛应用的就是银行，很多银行都会用在客户端上解决方案，使用USB Key存放代表用户唯一身份数字证书和用户私钥。在这个基于PKI体系的整体解决方案中，用户的私钥是在高安全度的USB Key内产生，并且终身不可导出到USB Key外部。

　　在网上银行应用中，对交易数据的数字签名都是在USB Key内部完成的，并受到USB Key的PIN码保护。采用USB Key方式的优点在于代表用户身份的私钥在USB Key产生，安全强度高。

　　USB Key网银的便捷与风险在今天这样一个互联网驱动的社会中，网上银行也称在线银行，已经成为金融机构整体发展策略中不可或缺的一部分。

　　近年来使用网上银行的用户数量巨大增长，并且每年保持了稳定的发展势头。网上银行在给它的用户带来诸多便捷服务、给银行节省费用支出和带来更多利润增长点的同时，也承受着很多安全风险。很多银行意识到了这一点，纷纷采取行动，包括不断教育用户提高自身安全意识，安装杀毒软件，防木马软件;采用硬件USB Key或者动态口令牌方式进行身份认证等。

　　除了以上在银行的使用，USB key的应用范围非常广泛，可用于web互联网登录/网站身份认证/访问安全站点/应用系统认证/业务系统认证/企业内网认证/企业OA认证/行业专网认证/邮件加密/数字签名/数字证书/数据签名/文件、硬盘等数据加密。

　　USB key的安全问题

　　相对来说，USB Key比较安全，但是USBKey并非绝对安全，当前广泛应用的USB Key实际存在两大安全漏洞:

　　①交互操作存在漏洞。黑客可以远程控制，冒用客户的USB Key进行身份认证，而客户无法知晓。

　　②无法防止数据被篡改。客户的一笔交易在送入USB Key加密前，可能会被黑客拦截屏篡改为另外一笔交易，这样可以在用户不知情的情况下篡改交易而认证通过。解决这些漏洞的方法是通过在USB设备上增加新的硬件，革新认证策略。目前这些方法都在研究当中。

　　USB Key的优点为安全可靠，便于携带、使用方便、成本低廉，这些优点使得USB Key存储数字证书的认证方式己经成为目前主要的认证模式，根据这种趋势，USBKey 将会成为身份认证的主要发展方向。

      USB Key已经广泛应用于我们的网络生活，USB Key的应用关乎我们的利益是否受损，所以我们需要从基本上了解它，对它的原理也应该有一定的掌握，这样我们才会能更好地将它应用起来。