Ukey是什么及用途
UKey,又叫智能密码钥匙,是一种通过USB (通用串行总线接口)直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备。ukey 是对现行的网络安全体系的一个极为有力的补充,基于可信计算机及智能卡技术把易用性,便携性和最高级别的安全性带给了使用浏览器进行Web访问(Web应用登录),在线交易(购物,付款),收发电子邮件,在线聊天交友及表单签名,文件数字签名等操作的用户,保证用户在ukey下的操作不可篡改,抵赖。Ukey最大的特点就是安全性高,技术规范一致性强,操作系统兼容性好,携带使用灵活。
等保和密评中的身份鉴别要求
在等保和密评中,其中“网络和通信安全”、“设备和计算安全”、“应用和数据安全”三部分都有对身份鉴别真实性的明确要求,需要采用密码技术对用户进行身份验证。采用国密认证的Ukey即可满足上述要求。
国密对Ukey要求
GM/T 0027是国家密码局颁发的关于Ukey智能密码钥匙的行业标准。其中关于密钥管理部分包括:
(1)密钥结构:智能密码钥匙必须至少支持三种密钥:设备认证密钥、用户密钥、会话密钥。设备认证密钥用于终端管理程序和设备之间的相互认证,以获得终端对设备上的应用进行管理的权限。用户密钥指用于签名和签名验证、加密和解密的非对称密钥对。会话密钥指临时从外部密文导入或内部临时生成的对称密钥,使用完毕或设备掉电后即消失。
(2)密钥管理功能:智能密码钥匙应具有对用户密钥和会话密钥的产生、存储、使用、导入、导出、协商等功能。
(3)密钥存储:必须至少能保存2对RSA密钥对、2对SM2密钥对和2个对称密钥(包含1个设备认证密钥和1个会话密钥的空间)。智能密码钥匙中密钥必须安全存储,所有私钥都不可导出,对称密钥不可以明文导出。
(4)随机数生成:随机数生成应当符合GM/T 0005,随机数应由多路噪声源产生。
应用场景
USBKey可以实现身份认证、电子签名/签章、安全邮件、文件加解密、数据加解密、传输加密、交易信任关系建立、交易信息加密等,可广泛应用于电子政务、电子商务及内网安全领域。
身份认证
通过Ukey来实现身份验证可以通过多种方式,读取KeyID,公私钥对签名验签或者通过CA证书都可以实现。
通过UKey签名可以实现身份认证,因为UKey中包含的私钥就只有指定身份才能持有,拿使用UKey数字签名登录后台为例,
○ 首先插入UKey设备,然后签名随机生成的验证码,得到签名数据,
○ 再输入用户名一起提交到后台,后台先做验证码正确性检查,
○ 然后再通过用户名查询定位数据库中的用户签名证书记录,
○ 使用用户的签名证书对用户传过来的签名数据进行验签,
○ 如果验证通过则证明是对应的用户,从而实现身份认证过程。
这种方式比传统的口令认证更安全,甚至可以不需要用户名就可以登录验证,用户名是可以保存在数字证书信息中的,并且证书的序列号在同个CA中也是唯一的。
UKEY是以国密安全芯片为基础,遵照国家密码管理局颁布的《智能IC卡及智能密码钥匙密码应用接口规范》要求设计的一款多功能、多应用 UKEY,支持 Windows、Linux等多种操作系统,并已适配国产操作系统,支持DES、AES、SM1、SM4对称加密算法,支持RSA、ECC(SM2)非对称算法,支持SHA(SM3)哈希算法。可广泛应用在PKI认证、数字签名、数据(实时)加解密等方面。同时我们提供了多种插件,方便用户进行对接使用。
1827
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
