◆郭旭
USBkey身份认证产品的产生与发展
◆郭旭
(大庆油田有限责任公司第三采油厂 黑龙江 163000)
USBkey是一项重要的身份识别以及数据保护的网络安全技术,逐步被用户认可和使用,本课题研究由此出发,基于我国USBkey技术应用现状对该技术的发展趋势进行探讨分析。目前我国常用的USBkey种类较多,但根据芯片类型主要可以分为智能卡芯片和非智能卡芯片两个大类。根绝内置cpu是否支持加密算法也可以分为带算法和不带算法两种。
USBkey;起源;发展趋势
USBkey技术已经问世多年,但最早该技术主要应用于加密锁的生产领域,用来对盗版软件进行控制。在早期阶段计算机硬件公司,为了抵制盗版硬件的流通,在硬件内部安装加密所限制盗版硬件的软件运行,达到保护正版的目的。伴随互联网技术的不断发展和进步,计算机硬件和软件产品种类不断增加,销售模式也逐步发生了改变,用户不再需要购买软件在本地安装运行,许多软件可以通过服务器以及相关的数据网络进行云端的运行使用,达成各项软件功能,软件开发企业通过软件内部收费的方式实现盈利,在该模式下加密锁技术则不再适用,软件厂商不再需要防止硬件盗版,或防止软件本地复制,而是需要对用户的身份、权限进行识别和认证,并确保用户的个人信息以及数据安全,基于加密锁技术的USBkey技术应运而生,我国北京飞天诚信科技有限公司与2000年推出了全国首款USBkey产品Epsaa1000。该产品是我国初代USBkey产品,虽然各项性能与国外差产品仍存在较大的差异,但自该产品问世以后,USBkey产品在我国全面流通。
在USBkey技术认证全面推广之间,用户名+密码是最最普及的身份验证方式,几乎所有对身份认证有需求的行业都采用的是该认证方式。但用户名+密码的认证方式虽然简单、方便、技术需求低,但缺乏可靠性,非常容易被不法分子盗取,直接对用户造成风险和损失,安全价值较低。
卡式身份认证的方式在一定程度上解决了用户名密码容易被盗取的弊端,通过磁条卡和内置芯片卡实现物理的身份识别。但卡式身份仍没有从根本上解决用户名密码认证存在的问题,磁卡本身容易被复制,仍存在极大的安全隐患。虽然后期阶段出现的智能卡具有一定的加密功能,但智能卡需要和读卡器进行配套使用,成本高昂携带也较为不便。
生物特征识别技术是目前最为高新的身份识别技术,利用人体的各项特征进行身份的识别确认,如声音识别、指纹识别、虹膜识别等等。该技术从根本上解决了用户名密码以及卡式身份识别容易被复制信息的弊端,具有很好的安全性,从技术角度讲,生物识别技术是目前最好的识别技术,它的识别信息具有个体的唯一性。但就目前为止,该技术仍不够成熟和完善,不足以满足全面推广条件。
USBkey技术是近年来发展起来的,可以通过存储用户的私钥以及数字证书来实现身份识别,内置的智能芯片可以进行多种加密和解密运算,其自身的硬件接口决定了用户只能通过厂商提供的编程接口访问数据。USBkey内置CPU,它将要加密的数据传入到Key内部进行运算,通过硬件的隔离从根本上保证了加密的数据不被人篡改。在公/私钥密码体制中,USBkey的私钥由硬件产生并保存在Key内部,只能使用而不能导出。该设备体积较小,与常规U盘大小接近,可以多平台使用,同时十分低廉的价格决定其成为目前最为主流的安装认证方式。
受功能以及结构特点决定,USBkey硬件主要有两条发展主线,其一是增强USBkey中内置智能芯片的运算能力以及运算速度,提高其对加密算法的兼容度以及大批量文件处理的速度。伴随加密算法的不断升级,USBkey的运算能力无法适应算法的发展需求,因此在未来的发展中,提高USBkey的运算速度,仍是主要的发展方向。
USBkey的安全性能也是其主要的硬件发展方向之一,如将生物识别技术与USBkey技术相结合,形成更为安全的身份识别解决方案。有人认为 USBKey 应该带有键盘和显示屏,这样用户的所有交易数额就可以在Key上输入,才不会出现网上交易金额被攻击者更改的情况。随着闪存盘的发展,有人认为应该把 USB Key 和闪存盘相结合,生产出既能当 USBKey 使用,又能具有大量的存储空间,可以存储数据的U盘Key。目前市场上已经出现既能当USBKey进行认证,又可以当 U 盘进行数据存储的新型 USBKey。
伴随着电子商务在我国的迅速崛起,可以有效保护用户安全以及交易安全的USBkey技术逐渐受到业内学者的关注,并逐步成为确认用户身份以及保护用户数据的主力手段,被市场认可以及接受。最初的数字证书,其本质是包含用户各项信息以及密钥的数据文件,虽然具有保护用户信息的效能,但其本身却存在一定的安全漏洞,如何保护数字证书成为新的问题。数字证书可以在软盘、光盘、硬盘等多种介质中存储,我国最早的数字证书是以软盘形式存在的,也可以由用户在相应的网站中自行下载,并保存在硬盘中。但这两种数字证书的存储方式安全性极差,很容易盗取,拷贝安全性无法得到有效的保障。虽然多数数字证书需要密码继续验证后才可以使用,但由于存在被拷贝盗取的可能,就将数字证书的保密效能下降至密码保护的级别。因此专门存储加密信息的USBkey则成为数字证书的最佳载体,有效地弥补了数字证书在传统存储介质中储层的诸多弊端与安全风险。
USBkey的生产厂家,将USBkey与PKI技术相结合,并研发了与之配套使用的安全控件,利用USBkey进行数字证书以及用户密钥的保存,并制定的加密的PKI标准结构,受USBkey技术特性决定,用户智能通过厂商制定的编程接口继续访问,从技术层面上杜绝了数字证书等信息被复制的可能性,确保每个USBkey中数字证书的唯一性。同时每一个USBkey设备都具有唯一的Pin码,与厂商编程结构共同组成了联合保护。用户必须同时具备拥有USBkey设备和Pin密码才可以使用数字证书,即便不慎遗失,在他人无法获得Pin码的前提下仍无法使用数字证书。
具有一定存储能力的USBkey技术受其硬件结构和性能的影响,仅仅可以实现简单的数据摘要算法,对相对复杂的对称加密等算法,则需要借助PC设备来实现。这导致在加密计算的过程中,许多用户信息以及密钥会在PC机的内存中留存,掌握黑客技术的不法分子可以通过相关的技术对信息进行盗取。导致USBkey产品市场对USBkey产品自身的运算能力有了更高的需求。伴随智能卡技术的不断发展和进步,智能卡的综合算力显著提高,智能卡可以实现对各类加密算法的计算,但智能卡在使用过程中无法与PC端直接兼容,导致智能卡需要使用专用的读卡器设备实现与PC的连接,造成了用户的使用不便,通过将USBkey设备与智能读卡器相结合则很好地解决了上述问题。Epass2000是我国首款加装了内置智能卡芯片的USBkey设备,该设备中安装了可以对DES、3DES、RSA等加密算法进行运算的智能卡芯片,同时该设备支持RSA密钥对,全面杜绝了用户在使用过程中各类信息在RSA中出现的可能性,从根本上提高了安全性能。
伴随电子商务的不断发展,用户数量的不断普及,我国各行各业都围绕自身业务开展了电子商务业务,为了确保电子商务的服务安全,多数企业选择向客户发放数字证书的安全管控手段,数字证书用户激增,USBkey优秀的安全性能让许多CA用户选择了USBkey作为存储介质,导致大量的智能卡厂家进入市场,在扩大了USBkey生产规模的同时也带来了新的问题,主要体现在如下方面。首先,安装智能卡的USBkey在进行使用时需要安装客户端对应的驱动程序才可以顺利使用,但使用证书的用户计算机配置以及计算机应用水平和操作能力各不相同,驱动安装一度成为困扰计算机应用水平较差的客户的最大问题,产品提供企业也在尽可能简化驱动的安装步骤,尽可能地做到自动驱动或免驱动。
北京飞天诚信科技有限公司推出的Epassnd是国内首款免驱动USBkey设备,该设备以HID技术为核心,构建了免驱动的设备平台,用户只需要具备Windows 98以上的操作系统即可以免驱动使用设备,真正做到了即插即用的功能,极大方便了客户,也降低了CA中心的客户维护成本。该公司的后续升级机型更是实现了在Linux和Macos操作系统上的免驱动使用。
其次,USBkey厂家数量的不断增加,导致USBkey产品在结构、功能、操作方法上各不相同,这对CA中心的全面兼容支持造成了影响。CA中心必须针对不同的设备研发不同的初始化工具,导致USBkey颁发工作量巨大。
我国的USBkey企业针对上述问题进行了大量的研究,最终北京飞天诚信科技有限公司率先研发出了解决方案,采用了在硬件设备与PC之间加装中间平台实现PKI接口和硬件驱动之间的衔接。Epassng,将常用的硬件相关操作在TSP中封存,让PKI程序无需掌握硬件特征就可以良好地进行匹配使用。硬件厂家仅仅需要定期向CA中心提供自身产品的特性以及标准的TSP,就可以实现完美兼容。
[1]薛辉. 网络身份认证若干安全问题及其解决方案[J]. 计算机与数字工程,2007,35(1):81-83.