USBKEY用户认证平台的研究和实现

最新推荐文章于 2024-08-14 11:07:29 发布

jun2ran

最新推荐文章于 2024-08-14 11:07:29 发布

阅读量1.1w

点赞数

文章标签：平台服务器 parameters 存储 string 解密

本文链接：https://blog.csdn.net/jun2ran/article/details/6496662

版权

本文探讨了企业信息化中用户认证的安全问题，指出传统的用户名+密码方式的不足。USB KEY作为更安全的认证方式，因其双因子认证、安全存储和硬件加密算法等特点，成为理想选择。文章介绍了USB KEY认证的两种模式，即冲击-响应模式和基于PKI的数字证书模式，并详细阐述了USB KEY认证的设计和实现过程，包括签名控件和服务器验证的开发。最后，文中提到该认证平台已在实际环境中成功应用，提高了系统安全性。

摘要由CSDN通过智能技术生成

0      引言
        近几年来，随着信息化的快速发展，越来越多的企业认识到信息化对企业生产和管理的重要性，开始在信息化上展开工作并加大投入。一些大型企业实施了MIS、OA、MES、ERP等管理系统，逐步实现企业的生产、管理、电子商务等诸多业务电子化、无纸化。企业都期望借助信息化的平台，提供新的管理手段与模式，提高企业的管理效率，加快企业的发展。
企业中的这些应用系统采用不同的技术开发，虽然实现的功能千差万别，但是出于安全考虑，每个系统都要鉴别使用者的身份，都要求用户输入用户名和密码。
        用户在日常工作中，要记住每个系统的用户名和密码，在系统日益增多的情况下，很多用户会把不同的系统的帐号和密码搞混淆或忘记了密码。另一方面，每个单独的系统都会有自己的安全体系和身份认证系统，要求各用户密码必须有足够长度而且不能单纯为字母或数字，用户记住密码存在难度。
        在实际使用中由于一些原因，例如将用户名和密码记在本子上，长期不修改密码，恶意将用户名和密码信息告诉其他人，还有个别人暴力破解等，容易出现泄露事件，造成信息损失。而且一旦发生用户密码密码信息泄露，还不能确认其泄露行为。
        如今网络上的木马盗号违法行为盛行，可以说，只要上互联网，几乎每一台电脑都可能遭受到攻击，而传统使用的静态密码(用户名+密码)是被认为是极度危险的身份认证手段，所以对重要而敏感的网上身份认证安全不得不引起我们非常的重视。[1]
        综上所述，在今天企业信息化的发展形势下，简单的用户密码验证方式已经暴露出很多问题，给管理和安全上带来很大隐患。所以需要一种安全性更高的而且人为影响因素小的用户认证方式来替代原有方式。
1主要的身份认证技术及优势比较
        目前，计算机及网络系统中常用的身份认证方式主要有以下几种：
        (1)用户名+密码方式
        (2)智能卡认证
        (3)动态口令
        (4)USB KEY认证
        (5)生物识别技术
        几种认证技术比较见表1。
       上述几种技术，安全性最高的是动态口令、USB KEY和生物特征识别，但生物识别技术还有待提高，而且根据现实使用情况适用于企业做身份认证的，只有动态口令和USB KEY，相比较USB KEY 成本较低，性价比较高，而且USB接口又有通用性，因此USB KEY认证技术最适合应用推广。由于USB KEY具有安全可靠，便于携带、使用方便、成本低廉的优点，加上PKI体系完善的数据保护机制，使用USB KEY存储数字证书的认证方式已经成为目前主要的认证模式。[2]
2 USB KEY认证概述
2.1 USB KEY认证
       USB KEY认证最早是由软件保护厂家提出来的，它结合了现代密码学技术、智能卡技术和USB技术，是新一代身份认证产品。它具有以下特点：
       (1) 双因子认证
        每一个USB KEY都具有硬件PIN码保护，PIN码和硬件构成了用户使用USB KEY的两个必要因素，即所谓"双因子认证"。用户只有同时取得了USB KEY和用户PIN码，才可以登录系统。即使用户的PIN码被泄漏，只要用户持有的USB KEY不被盗取，合法用户的身份就不会被仿冒；如果用户的USB KEY遗失，拾到者由于不知道用户PIN码，也无法仿冒合法用户的身份。
       (2) 带有安全存储空间
        USB KEY具有8K-128K的安全数据存储空间，可以存储数字证书、用户密钥等秘密数据，对该存储空间的读写操作必须通过程序实现，用户无法直接读取，其中用户私钥是不可导出的，杜绝了复制用户数字证书或身份信息的可能性。
        (3) 硬件实现加密算法
        USB KEY 内置CPU或智能卡芯片，可以实现PKI体系中使用的数据摘要、数据加解密和签名的各种算法，加解密运算在USB KEY内进行，保证了用户密钥不会出现在计算机内存中，从而杜绝了用户密钥被黑客截取的可能性。一般支持RSA，DES ，SSF33和3DES算法。
       (4) 使用方便，安全可靠
USB接口已经广泛应用，而且如拇指般大的USB KEY非常方便随身携带，并且密钥和证书不可导出，KEY的硬件不可复制，保证了使用的安全可靠。[3]
2.2 USB KEY认证的两种应用模式
        USB KEY身份认证主要有两种应用模式：
       (1)基于冲击-响应的认证模式
       USB KEY内置单向散列算法(MD5)，预先在USB KEY和服务器中存储一个证明用户身份的密钥，当需要在网络上验证用户身份时，先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数回传给客户端设备上插着的USB KEY，此为“冲击”。USB KEY使用该随机数与存储在USB KEY中的密钥进行MD5运算得到一个运算结果作为认证证据传送给服务器，此为“响应”。与此同时，服务器使用该随机数与存储在服务器数据库中的该客户密钥进行MD5运算，如果服务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个合法用户。