usb key原理和使用?
每一個(gè)USB Key都具有硬件PIN碼保護(hù),PIN碼和硬件構(gòu)成了用戶(hù)使用USB Key的兩個(gè)必要因素。用戶(hù)只有同時(shí)取得了USB Key和用戶(hù)PIN碼,才可以登錄系統(tǒng)。即使用戶(hù)的PIN碼被泄漏,只要用戶(hù)持有的USB Key不被盜取,合法用戶(hù)的身份就不會(huì)被仿冒;如果用戶(hù)的USB Key遺失,拾到者由于不知道用戶(hù)PIN碼,也無(wú)法仿冒合法用戶(hù)的身份。
USB Key具有安全數(shù)據(jù)存儲(chǔ)空間,可以存儲(chǔ)數(shù)字證書(shū)、密鑰等秘密數(shù)據(jù),對(duì)該存儲(chǔ)空間的讀寫(xiě)操作必須通過(guò)程序?qū)崿F(xiàn),用戶(hù)無(wú)法直接讀取,其中用戶(hù)密鑰是不可導(dǎo)出的,杜絕了復(fù)制用戶(hù)數(shù)字證書(shū)或身份信息的可能性。
USB Key 內(nèi)置CPU,可以實(shí)現(xiàn)加解密和簽名的各種算法,加解密運(yùn)算在USB Key內(nèi)進(jìn)行,保證了密鑰不會(huì)出現(xiàn)在計(jì)算機(jī)內(nèi)存中,從而杜絕了用戶(hù)密鑰被黑客截取的可能性。USB Key的兩種應(yīng)用模式
USB Key身份認(rèn)證主要有如下兩種應(yīng)用模式:
一、基于沖擊-響應(yīng)認(rèn)證模式
USB Key內(nèi)置單向散列算法(MD5),預(yù)先在USB Key和服務(wù)器中存儲(chǔ)一個(gè)證明用戶(hù)身份的密鑰,當(dāng)需要在網(wǎng)絡(luò)上驗(yàn)證用戶(hù)身份時(shí),先由客戶(hù)端向服務(wù)器發(fā)出一個(gè)驗(yàn)證請(qǐng)求。服務(wù)器接到此請(qǐng)求后生成一個(gè)隨機(jī)數(shù)回傳給客戶(hù)端PC上插著的USB Key,此為“沖擊”。USB Key使用該隨機(jī)數(shù)與存儲(chǔ)在USB Key中的密鑰進(jìn)行MD5運(yùn)算得到一個(gè)運(yùn)算結(jié)果作為認(rèn)證證據(jù)傳送給服務(wù)器,此為“響應(yīng)”。與此同時(shí),服務(wù)器使用該隨機(jī)數(shù)與存儲(chǔ)在服務(wù)器數(shù)據(jù)庫(kù)中的該客戶(hù)密鑰進(jìn)行MD5運(yùn)算,如果服務(wù)器的運(yùn)算結(jié)果與客戶(hù)端傳回的響應(yīng)結(jié)果相同,則認(rèn)為客戶(hù)端是一個(gè)合法用戶(hù)。
圖中“x”代表服務(wù)器提供的隨機(jī)數(shù),“Key”代表密鑰,“y”代表隨機(jī)數(shù)和密鑰經(jīng)過(guò)MD5運(yùn)算后的結(jié)果。通過(guò)網(wǎng)絡(luò)傳輸?shù)闹挥须S機(jī)數(shù)“x”和運(yùn)算結(jié)果“y”,用戶(hù)密鑰“Key”既不在網(wǎng)絡(luò)上傳輸也不在客戶(hù)端電腦內(nèi)存中出現(xiàn),網(wǎng)絡(luò)上的黑客和客戶(hù)端電腦中的木馬程序都無(wú)法得到用戶(hù)的密鑰。由于每次認(rèn)證過(guò)程使用的隨機(jī)數(shù)“x”和運(yùn)算結(jié)果“y”都不一樣,即使在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中認(rèn)證數(shù)據(jù)被黑客截獲,也無(wú)法逆推獲得密鑰。因此從根本上保證了用戶(hù)身份無(wú)法被仿冒。
評(píng)論