認證方式分類
目前常見的身份認證方式主要有三種,最常見的是使用用戶名加口令的方式,但這也是最原始、最不安全的身份確認方式,非常容易由於外部泄漏等原因或通過口令猜測、線路竊聽、重放攻擊等手段導致合法用戶身份被偽造;第二種是生物特徵識別技術(包括指紋、聲音、手跡、虹膜等),該技術以人體唯一的生物特徵為依據,具有很好的安全性和有效性,但實現的技術複雜,技術不成熟,實施成本昂貴,在套用推廣中不具有現實意義;第三種也是現在電子政務和電子商務領域最流行的身份認證方式--基於USB Key的身份認證。
認證特點
USB KEY結合了現代密碼學技術、智慧卡技術和USB技術,是新一代身份認證產品,它具有以下特點:
雙因子認證
每一個USB Key都具有硬體PIN碼保護,PIN碼和硬體構成了用戶使用USB Key的兩個必要因素,即所謂"雙因子認證"。用戶只有同時取得了USB Key和用戶PIN碼,才可以登錄系統。即使用戶的PIN碼被泄漏,只要用戶持有的USBKey不被盜取,合法用戶的身份就不會被仿冒;如果用戶的USB Key遺失,拾到者由於不知道用戶PIN碼,也無法仿冒合法用戶的身份。
帶有安全存儲空間
USB Key具有8K-128K的安全數據存儲空間,可以存儲數字證書、用戶密鑰等秘密數據,對該存儲空間的讀寫操作必須通過程式實現,用戶無法直接讀取,其中用戶私鑰是不可導出的,杜絕了複製用戶數字證書或身份信息的可能性。
硬體實現加密算法
USB Key 內置CPU或智慧卡晶片,可以實現PKI體系中使用的數據摘要、數據加解密和簽名的各種算法,加解密運算在USBKey內進行,保證了用戶密鑰不會出現在計算機記憶體中,從而杜絕了用戶密鑰被黑客截取的可能性。支持RSA,DES ,SSF33和3DES算法。
便於攜帶,安全可靠
如拇指般大的USB Key非常方便隨身攜帶,並且密鑰和證書不可導出,Key的硬體不可複製,更顯安全可靠。
套用範圍
身份認證技術能夠廣泛套用於電力企業的多種套用系統,如電力OA系統、電力行銷業務系統、電力客戶服務系統、電力銀行聯網系統、電力網上門市系統等。通過使用身份認證技術不僅使得企業的安全認證得到有效保障,而且極大的提升了企業的管理效率。
套用方式
基於衝擊-回響的雙因子認證方式
當需要在網路上驗證用戶身份時,先由客戶端向伺服器發出一個驗證請求。伺服器接到此請求後生成一個隨機數並通過網路傳輸給客戶端(此為衝擊)。客戶端將收到的隨機數通過USB接口提供給ePass,由ePass使用該隨機數與存儲在ePass中的密鑰進行MD5-HMAC運算並得到一個結果作為認證證據傳給伺服器(此為回響)。與此同時,伺服器也使用該隨機數與存儲在伺服器資料庫中的該客戶密鑰進行MD5-HMAC運算,如果伺服器的運算結果與客戶端傳回的回響結果相同,則認為客戶端是一個合法用戶。 密鑰運算分別在ePass硬體和伺服器中運行,不出現在客戶端記憶體中,也不在網路上傳輸,由於MD5-HMAC算法是一個不可逆的算法,就是說知道密鑰和運算用隨機數就可以得到運算結果,而知道隨機數和運算結果卻無法計算出密鑰,從而保護了密鑰的安全,也就保護了用戶身份的安全。
基於數字證書的認證方式
隨著PKI技術日趨成熟,許多套用中開始使用數字證書進行身份認證與數字加密。數字證書是由權威公正的第三方機構即CA中心簽發的,以數字證書為核心的加密技術,可以對網路上傳輸的信息進行加密和解密、數字簽名和簽名驗證,確保網上傳遞信息的機密性、完整性,以及交易實體身份的真實性,簽名信息的不可否認性,從而保障網路套用的安全性。 PKI即公共密鑰體系,即利用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一個僅為本人所掌握的私有密鑰(私鑰),用它進行解密和簽名;同時擁有一個公開密鑰(公鑰)用於檔案傳送者加密和接收者驗證簽名。當傳送一份保密檔案時,傳送方使用接收方的公鑰對數據加密,而接收方則使用自己的私鑰解密,這樣,信息就可以安全無誤地到達目的地了,即使被第三方截獲,由於沒有相應的私鑰,也無法進行解密。 用戶也可以採用自己的私鑰對信息進行加密,接收者用傳送者的公鑰解密,由於私鑰僅為用戶本人所有,所以就能夠確認該信息確實是由該用戶傳送的,此過程稱之為數字簽名。 USB Key作為數字證書的存儲介質,可以保證數字證書不被複製,並可以實現所有數字證書的功能。