网页登陆安全身份认证(I KEY1000)

IKEY 1000 概述

彩虹公司的iKey1000是基于USB的双因素认证令牌，可以很方便的集成到多种应用程序和网络服务中；比如虚拟专用网（VPN）、公司内部网、外部网和互联网的访问。同时iKey1000系列产品完全可以适用于公开密钥加密体系（PKI）。
iKey1000令牌由一个带有USB控制功能的处理器和一个存储器组成，这个存储器具有足够存储相应的密钥的能力。iKey1000提供的高性能可靠存储功能，性能如下表所示：
   
iKey 产品 存储区 RSA 软件支持
iKey 1000 USB 令牌 8KB 1024位加密
iKey 1032 USB 令牌 32KB 1024位加密

USB控制器兼容USB 1.1/2.0标准，在功能实现上与智能卡加读卡器相似。iKey1000同时支持硬件级的MD5哈虚算法。

iKey1000内置有目录和文件系统。对于文件系统的访问可以通过用户PIN码的设置来安全实现。iKey1000的安全系统提供两种安全访问级别：最终用户和企业安全管理员。一个最终用户如果输入正确的PIN码就可以执行相应的操作。一个安全管理员通过输入不同的SO PIN执行更高级别的操作：比如，重新初始化最终用户的PIN码。

另外一种操作是将iKey1000令牌初始化成为在PKI环境中可以使用的格式。对于Windows版本，安全管理员可以决定分配多大的空间用于 PKI操作。所有这些函数功能的实现都包含在iKey1000系列软件的函数库中。

当用于PKI时，PKI函数库将存储区分成两个区域。一个区域存储数字证书、公钥和其它无需保护的公共数据。第二个存储区域用于存储私钥和共享密钥等私有信息。这些私有信息有安全的验证访问机制同时以加密的格式进行存储。
所有的PKI函数都在iKey1000的Windows客户软件中的安全模块中执行。当包含私钥的操作进行时，如果通过了用户证书PIN码的验证，安全模块从iKey1000令牌中重新得到相应的密钥来进行运算。

iKey1000系列软件和令牌可以执行除了RSA之外的更多加密算法，包括：DES（ECB和CBC模式）、DES、3DES、 RC2、 RC4和RC5。

产品概述

Internet对企业运作的影响使得信息技术产业（IT）在20世纪90年代末发生了巨大的变化。特别是此领域出现的三个重要趋势，更是需要引起所有IT行业管理者的重视，它们分别是：电子商务、远程访问和对更大安全性的需要，其中安全性是前两种趋势中至关重要的部分。没有识别、认证和付款核实的手段，电子商务就不会实现。同样，远程访问在赋予访问权限之前必需仔细认证用户。这些趋势在Intranet和 B2B的电子商务中日益明显，这种身份识别可以看作准许访问和相应的访问权限两个方面。

所有安全问题的核心是要为某个机构欲授予特权（如远程访问或被允许进入商务活动）的个人建立个人身份以及接下来对文件和要处理的事务进行认证。使用了各种安全方式来使接收者相信文件是从身份有效的发件人那里发出的，并且文件在传送过程没有遭到干扰。这种认证依赖于包含公钥、数字签名和管理这些资源的授权单位——认证机构在内的一套完整的加密技术基础设施。

我们首先要解决的是个人身份的认证。该项任务通常是用很不成熟（密码）或非常昂贵（生物测量法如视网膜扫描或指纹检查）的方式处理的。一种价格低于生物测定法、比单纯的密码更为安全的折中办法是基于双因素认证的解决方法，即使用智能卡。

SafeNet公司设计的新型iKey，可以工作在任何一台具有通用串行总线（USB）接口的微机，作为一个价格适中的身份识别令牌。它提供所有智能卡和密码令牌的可靠性、简便性和安全性，同时避免了读写设备的复杂安装和昂贵开销。

技术特点

1.iKey的优点

iKey采用与智能卡相同的，提供访问控制的文件系统。应用程序能使用它存储个人信息、私钥、密钥、许可协议、识别特征、数字证书或其它数据。使用iKey具有以下四个优点：

• 可靠性：用户将个人信息存储在iKey上，可以保证即使发生系统故障仍然是安全的。SafeNet公司采用符合ISO9000国际质量认证的设备，全球提供超过三百万只iKey，产品具有同行业最低的故障率。
• 便携性：iKey是连接在钥匙圈上的，用户永远不会忘记携带而且几乎不会丢失，iKey是插入USB接口的，所以对核查在远地区通过笔记本电脑拨入一个公司虚拟专有网络(VPN)或进入Intranet的用户来讲是理想的。非常适合个人使用，可以完美地满足网络应用和异地工作的便携要求。
• 安全性：用户逐渐意识并且担心病毒和其它恶意软件能够访问保存在硬盘上的记录、控件、密码和其它个人信息。使重要信息不必保存在硬盘上，实现了“机密随身带”。同时作为双因素认证的解决方案，iKey提供了更加安全的保障形式。
• 不可仿制：用户不能复制iKey中的信息。 这意味着你可以使用它保存获得Internet服务的接入授权，不用担心被人盗用。换句话说，iKey没有密码普遍存在的共用问题。对iKey程序访问是通过SafeNet技术公司提供的应用程序编程界面（API）完成的。

2.硬件安全技术

iKey硬件电路中集成读/写功能，包含完成存储功能的资源和高速加密引擎。它使用通用串行总行接口(USB)提供电源并且与计算机通讯。内置的掉电保护随机访问存储器保存RAINBOW提供的出厂设置，以及用户提供的与应用程序有关的数据。iKey分为两个系列iKey1000和iKey2000。他们分别适用于不同的安全性级别之上，下面列出了两系列产品的技术特性。

• 12MHz 微处理器
• 8K存贮单元（可扩展到32K）
• 符合X.509数字证书存储标准
• iKey1000内置有MD5算法芯片。iKey2000内置有RSA算法芯片
• 软件控制状态指示灯，可方便观察和计算机的接通情况
• 64位全球唯一系列号
• USB接口。支持带电插拔，即插即用
• 随机数生成器
• iKey1000有两级口令设置：PIN 和 SO PIN。并且可重试次数可设定，输入PIN错误次数超过设定值则iKey锁死。iKey2000只有一级PIN,并且PIN错误次数超过设定值则iKey所存数据销毁
• 三级文件操作权限管理: 访客模式(Guest)、用户模式(User)、超级管理员模式(Administrator)
• 内置两级目录文件结构

3.软件实现

• 支持全部Windows平台(95/98/NT/2000), Apple Macintosh平台。SafeNet公司提供虚拟智能卡读卡器的驱动程序。 API被放在iKey开发工具箱中，软件开发工具包（SDK）包含了访问iKey进行读写的功能，还可进行复杂的加解密工作
• 图形化的读写编辑iKey硬件的工具，易于使用
• ActiveX部件(non-scriptable和script safe) 其中script safe
• ActiveX可用于网络浏览器环境； non-scriptable ActiveX可用于一般编程环境(如VB,Delphi等)
• 通过浏览器访问iKey的Java插件
• 供C语言调用的库
• 支持128位密码长度的Microsoft CAPI
• 中间件(Middleware)：PKCS#11（支持128位密码长度）,CSP

4.iKey身份认证原理

iKey内置有MD5算法芯片，以特有的挑战—响应式方法来实现网络身份认证。他的实现原理如下图, 参与运算的数有两个：一个可以是随机数，另一个是事先预设的算法因子（分别存放在服务器的用户数据库和iKey硬件内部的存储器）。MD5 Hash算法可以保证两个运算数哪怕只发生一位数字的变化，运算结果也会变得完全不一样。因为每次验证运算的其中一个运算数是随机数，所以每次的运算结果也是随机变化的。由此保证运算结果在传输中不怕被截获。