◆郭旭

USBkey身份認證產(chǎn)品的產(chǎn)生與發(fā)展

◆郭旭

（大慶油田有限責任公司第三采油廠 黑龍江 163000）

USBkey是一項重要的身份識別以及數(shù)據(jù)保護的網(wǎng)絡(luò)安全技術(shù)，逐步被用戶認可和使用，本課題研究由此出發(fā)，基于我國USBkey技術(shù)應(yīng)用現(xiàn)狀對該技術(shù)的發(fā)展趨勢進行探討分析。目前我國常用的USBkey種類較多，但根據(jù)芯片類型主要可以分為智能卡芯片和非智能卡芯片兩個大類。根絕內(nèi)置cpu是否支持加密算法也可以分為帶算法和不帶算法兩種。

USBkey；起源；發(fā)展趨勢

1 USBkey的產(chǎn)生與發(fā)展

USBkey技術(shù)已經(jīng)問世多年，但最早該技術(shù)主要應(yīng)用于加密鎖的生產(chǎn)領(lǐng)域，用來對盜版軟件進行控制。在早期階段計算機硬件公司，為了抵制盜版硬件的流通，在硬件內(nèi)部安裝加密所限制盜版硬件的軟件運行，達到保護正版的目的。伴隨互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展和進步，計算機硬件和軟件產(chǎn)品種類不斷增加，銷售模式也逐步發(fā)生了改變，用戶不再需要購買軟件在本地安裝運行，許多軟件可以通過服務(wù)器以及相關(guān)的數(shù)據(jù)網(wǎng)絡(luò)進行云端的運行使用，達成各項軟件功能，軟件開發(fā)企業(yè)通過軟件內(nèi)部收費的方式實現(xiàn)盈利，在該模式下加密鎖技術(shù)則不再適用，軟件廠商不再需要防止硬件盜版，或防止軟件本地復(fù)制，而是需要對用戶的身份、權(quán)限進行識別和認證，并確保用戶的個人信息以及數(shù)據(jù)安全，基于加密鎖技術(shù)的USBkey技術(shù)應(yīng)運而生，我國北京飛天誠信科技有限公司與2000年推出了全國首款USBkey產(chǎn)品Epsaa1000。該產(chǎn)品是我國初代USBkey產(chǎn)品，雖然各項性能與國外差產(chǎn)品仍存在較大的差異，但自該產(chǎn)品問世以后，USBkey產(chǎn)品在我國全面流通。

1.1 認證方式的發(fā)展

在USBkey技術(shù)認證全面推廣之間，用戶名+密碼是最最普及的身份驗證方式，幾乎所有對身份認證有需求的行業(yè)都采用的是該認證方式。但用戶名+密碼的認證方式雖然簡單、方便、技術(shù)需求低，但缺乏可靠性，非常容易被不法分子盜取，直接對用戶造成風(fēng)險和損失，安全價值較低。

卡式身份認證的方式在一定程度上解決了用戶名密碼容易被盜取的弊端，通過磁條卡和內(nèi)置芯片卡實現(xiàn)物理的身份識別。但卡式身份仍沒有從根本上解決用戶名密碼認證存在的問題，磁卡本身容易被復(fù)制，仍存在極大的安全隱患。雖然后期階段出現(xiàn)的智能卡具有一定的加密功能，但智能卡需要和讀卡器進行配套使用，成本高昂攜帶也較為不便。

生物特征識別技術(shù)是目前最為高新的身份識別技術(shù)，利用人體的各項特征進行身份的識別確認，如聲音識別、指紋識別、虹膜識別等等。該技術(shù)從根本上解決了用戶名密碼以及卡式身份識別容易被復(fù)制信息的弊端，具有很好的安全性，從技術(shù)角度講，生物識別技術(shù)是目前最好的識別技術(shù)，它的識別信息具有個體的唯一性。但就目前為止，該技術(shù)仍不夠成熟和完善，不足以滿足全面推廣條件。

USBkey技術(shù)是近年來發(fā)展起來的，可以通過存儲用戶的私鑰以及數(shù)字證書來實現(xiàn)身份識別，內(nèi)置的智能芯片可以進行多種加密和解密運算，其自身的硬件接口決定了用戶只能通過廠商提供的編程接口訪問數(shù)據(jù)。USBkey內(nèi)置CPU，它將要加密的數(shù)據(jù)傳入到Key內(nèi)部進行運算，通過硬件的隔離從根本上保證了加密的數(shù)據(jù)不被人篡改。在公/私鑰密碼體制中，USBkey的私鑰由硬件產(chǎn)生并保存在Key內(nèi)部，只能使用而不能導(dǎo)出。該設(shè)備體積較小，與常規(guī)U盤大小接近，可以多平臺使用，同時十分低廉的價格決定其成為目前最為主流的安裝認證方式。

1.2 USBkey硬件的發(fā)展

受功能以及結(jié)構(gòu)特點決定，USBkey硬件主要有兩條發(fā)展主線，其一是增強USBkey中內(nèi)置智能芯片的運算能力以及運算速度，提高其對加密算法的兼容度以及大批量文件處理的速度。伴隨加密算法的不斷升級，USBkey的運算能力無法適應(yīng)算法的發(fā)展需求，因此在未來的發(fā)展中，提高USBkey的運算速度，仍是主要的發(fā)展方向。

USBkey的安全性能也是其主要的硬件發(fā)展方向之一，如將生物識別技術(shù)與USBkey技術(shù)相結(jié)合，形成更為安全的身份識別解決方案。有人認為 USBKey 應(yīng)該帶有鍵盤和顯示屏，這樣用戶的所有交易數(shù)額就可以在Key上輸入，才不會出現(xiàn)網(wǎng)上交易金額被攻擊者更改的情況。隨著閃存盤的發(fā)展，有人認為應(yīng)該把 USB Key 和閃存盤相結(jié)合，生產(chǎn)出既能當 USBKey 使用，又能具有大量的存儲空間，可以存儲數(shù)據(jù)的U盤Key。目前市場上已經(jīng)出現(xiàn)既能當USBKey進行認證，又可以當 U 盤進行數(shù)據(jù)存儲的新型 USBKey。

2 USBkey技術(shù)與PKI技術(shù)的融合

伴隨著電子商務(wù)在我國的迅速崛起，可以有效保護用戶安全以及交易安全的USBkey技術(shù)逐漸受到業(yè)內(nèi)學(xué)者的關(guān)注，并逐步成為確認用戶身份以及保護用戶數(shù)據(jù)的主力手段，被市場認可以及接受。最初的數(shù)字證書，其本質(zhì)是包含用戶各項信息以及密鑰的數(shù)據(jù)文件，雖然具有保護用戶信息的效能，但其本身卻存在一定的安全漏洞，如何保護數(shù)字證書成為新的問題。數(shù)字證書可以在軟盤、光盤、硬盤等多種介質(zhì)中存儲，我國最早的數(shù)字證書是以軟盤形式存在的，也可以由用戶在相應(yīng)的網(wǎng)站中自行下載，并保存在硬盤中。但這兩種數(shù)字證書的存儲方式安全性極差，很容易盜取，拷貝安全性無法得到有效的保障。雖然多數(shù)數(shù)字證書需要密碼繼續(xù)驗證后才可以使用，但由于存在被拷貝盜取的可能，就將數(shù)字證書的保密效能下降至密碼保護的級別。因此專門存儲加密信息的USBkey則成為數(shù)字證書的最佳載體，有效地彌補了數(shù)字證書在傳統(tǒng)存儲介質(zhì)中儲層的諸多弊端與安全風(fēng)險。

USBkey的生產(chǎn)廠家，將USBkey與PKI技術(shù)相結(jié)合，并研發(fā)了與之配套使用的安全控件，利用USBkey進行數(shù)字證書以及用戶密鑰的保存，并制定的加密的PKI標準結(jié)構(gòu)，受USBkey技術(shù)特性決定，用戶智能通過廠商制定的編程接口繼續(xù)訪問，從技術(shù)層面上杜絕了數(shù)字證書等信息被復(fù)制的可能性，確保每個USBkey中數(shù)字證書的唯一性。同時每一個USBkey設(shè)備都具有唯一的Pin碼，與廠商編程結(jié)構(gòu)共同組成了聯(lián)合保護。用戶必須同時具備擁有USBkey設(shè)備和Pin密碼才可以使用數(shù)字證書，即便不慎遺失，在他人無法獲得Pin碼的前提下仍無法使用數(shù)字證書。

3 USBkey與智能卡技術(shù)的融合

具有一定存儲能力的USBkey技術(shù)受其硬件結(jié)構(gòu)和性能的影響，僅僅可以實現(xiàn)簡單的數(shù)據(jù)摘要算法，對相對復(fù)雜的對稱加密等算法，則需要借助PC設(shè)備來實現(xiàn)。這導(dǎo)致在加密計算的過程中，許多用戶信息以及密鑰會在PC機的內(nèi)存中留存，掌握黑客技術(shù)的不法分子可以通過相關(guān)的技術(shù)對信息進行盜取。導(dǎo)致USBkey產(chǎn)品市場對USBkey產(chǎn)品自身的運算能力有了更高的需求。伴隨智能卡技術(shù)的不斷發(fā)展和進步，智能卡的綜合算力顯著提高，智能卡可以實現(xiàn)對各類加密算法的計算，但智能卡在使用過程中無法與PC端直接兼容，導(dǎo)致智能卡需要使用專用的讀卡器設(shè)備實現(xiàn)與PC的連接，造成了用戶的使用不便，通過將USBkey設(shè)備與智能讀卡器相結(jié)合則很好地解決了上述問題。Epass2000是我國首款加裝了內(nèi)置智能卡芯片的USBkey設(shè)備，該設(shè)備中安裝了可以對DES、3DES、RSA等加密算法進行運算的智能卡芯片，同時該設(shè)備支持RSA密鑰對，全面杜絕了用戶在使用過程中各類信息在RSA中出現(xiàn)的可能性，從根本上提高了安全性能。

4 USBkey未來的發(fā)展方向

伴隨電子商務(wù)的不斷發(fā)展，用戶數(shù)量的不斷普及，我國各行各業(yè)都圍繞自身業(yè)務(wù)開展了電子商務(wù)業(yè)務(wù)，為了確保電子商務(wù)的服務(wù)安全，多數(shù)企業(yè)選擇向客戶發(fā)放數(shù)字證書的安全管控手段，數(shù)字證書用戶激增，USBkey優(yōu)秀的安全性能讓許多CA用戶選擇了USBkey作為存儲介質(zhì)，導(dǎo)致大量的智能卡廠家進入市場，在擴大了USBkey生產(chǎn)規(guī)模的同時也帶來了新的問題，主要體現(xiàn)在如下方面。首先，安裝智能卡的USBkey在進行使用時需要安裝客戶端對應(yīng)的驅(qū)動程序才可以順利使用，但使用證書的用戶計算機配置以及計算機應(yīng)用水平和操作能力各不相同，驅(qū)動安裝一度成為困擾計算機應(yīng)用水平較差的客戶的最大問題，產(chǎn)品提供企業(yè)也在盡可能簡化驅(qū)動的安裝步驟，盡可能地做到自動驅(qū)動或免驅(qū)動。

北京飛天誠信科技有限公司推出的Epassnd是國內(nèi)首款免驅(qū)動USBkey設(shè)備，該設(shè)備以HID技術(shù)為核心，構(gòu)建了免驅(qū)動的設(shè)備平臺，用戶只需要具備Windows 98以上的操作系統(tǒng)即可以免驅(qū)動使用設(shè)備，真正做到了即插即用的功能，極大方便了客戶，也降低了CA中心的客戶維護成本。該公司的后續(xù)升級機型更是實現(xiàn)了在Linux和Macos操作系統(tǒng)上的免驅(qū)動使用。

其次，USBkey廠家數(shù)量的不斷增加，導(dǎo)致USBkey產(chǎn)品在結(jié)構(gòu)、功能、操作方法上各不相同，這對CA中心的全面兼容支持造成了影響。CA中心必須針對不同的設(shè)備研發(fā)不同的初始化工具，導(dǎo)致USBkey頒發(fā)工作量巨大。

我國的USBkey企業(yè)針對上述問題進行了大量的研究，最終北京飛天誠信科技有限公司率先研發(fā)出了解決方案，采用了在硬件設(shè)備與PC之間加裝中間平臺實現(xiàn)PKI接口和硬件驅(qū)動之間的銜接。Epassng，將常用的硬件相關(guān)操作在TSP中封存，讓PKI程序無需掌握硬件特征就可以良好地進行匹配使用。硬件廠家僅僅需要定期向CA中心提供自身產(chǎn)品的特性以及標準的TSP，就可以實現(xiàn)完美兼容。

[1]薛輝. 網(wǎng)絡(luò)身份認證若干安全問題及其解決方案[J]. 計算機與數(shù)字工程，2007，35（1）：81-83.