欢迎来到天天文库
浏览记录
ID:18139301
大小:158.32 KB
页数:8页
时间:2018-09-14
《龙脉科技usbkey远程解锁方案》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、USBkey远程解锁技术方案龙脉科技USBKEY远程解锁技术方案一、概述随着信息化进程的深入和互联网的迅速发展,以及各种电子政务、电子商务、数字货币、网上银行等业务的兴起以及各种专用网(如金融网的建设),Internet的建设日益普及,企业也在大量地进行信息化建设,企业信息化建设极大地提高了企业的经营管理效率,成为企业提高竞争力的有力手段。信息化技术迅猛发展,信息安全问题也越来越受到社会各界的广泛关注。凭借数字证书的便捷高效、防篡改、防泄露、简单安全的特性,建立以PKI技术为基础的CA认证系统,实现基于数
2、字证书的身份认证、通信安全和数据安全,解决计算机应用系统的身份认证和应用安全势在必行。二、需求分析随着PKI体系技术的日益成熟,作为数字证书的安全载体USBKEY的应用也呈现多形态的体现,在享受USBKEY给数字证书带来安全存储载体服务的同时,随之而来的管理问题也日益突出:Ø数字证书载体USBKEY发放较为复杂;ØUSBKEY缺乏口令管理,用户较容易忘记口令;ØUSBKEY解锁流程操作较为复杂,需邮寄发行商或者较为繁琐的流程才能解锁;ØUSBKEY解锁流程缺乏完整的保护机制,容易在解锁过程中造成用户的敏感
3、信息泄露。数字证书作为PKI体系的核心元素,其安全性直接关系到整个PKI体系的体系安全,而作为数字证书的安全载体USBKEY,也直接关系到整个系统的安全性,USBkey远程解锁技术方案合理安全的USBKEY管理以及解锁流程,对用户信息安全体系有着重要的意义。一、设计原则及目标3.1设计原则在产品安全应用的设计过程中,我们坚持如下四个原则,即:Ø统筹规划、分步实施;Ø统一标准、统一规范;Ø充分利用现有资源;Ø密切结合相关业务的实际需求。3.2设计目标Ø为用户提供简单易用的USBKEY解锁流程;Ø建立基于安全
4、保密的USBKEY管理流程;Ø为CA体系管理人员减轻USBKEY的管理工作负担;Ø提高数字证书载体存储的安全性管理。二、USBkey远程解锁技术方案4.1远程解锁技术概述龙脉科技依据国家密码局的相关标准,针对PKI体系的数字证书安全载体USBKEY研制出远程解锁的技术,依据USBKEY内部的真随机数发生器保证一次一密,确保解锁流程通讯的唯一性,CA中心采用对称加密算法,保证解锁流程数据通讯的机密性,USBKEY内部COS实现数据验证以及解锁等工作,为用户提供一种安全可靠、简单方便的USBKEY解锁流程。U
5、SBkey远程解锁技术方案4.1远程解锁流程远程解锁流程图USBkey远程解锁技术方案UEBKEY解锁流程如下:ØUSBKEY输入密码错误达到错误次数限制,申请远程USBKEY解锁,解锁流程开始;ØUSBKEY内部通过真随机数发生器产生8位的随机数并结合KEY的硬件序列号组成解锁申请信息串,通过安全SSL传输到CA中心;ØCA中心颁发USBKEY时,可以选择两种模式,一种为统一解锁密钥,所有KEY采用统一解锁密钥,建议用KEY本身的SOPIN,方便管理;另一种为非统一解锁密钥,一KEY一钥,安全性较高。Ø
6、根据解锁密钥的不同,CA中心处理也不同,如果是统一密钥,则CA中心利用统一密钥(为了方便应用,简化密钥的管理,建议采用USBKEY的SOPIN作为统一密钥)对USBKEY传输上来的解锁申请信息串并附加上新的密码Newpin组合成新的解锁信息串进行对称加密,再通过SSL传输回USBKEY;如果是非统一密钥,则CA中心根据解锁申请信息里面的硬件序列号,在数据库中检索到对应KEY的解锁密钥,再对解锁信息串进行加密并传输回KEY。ØUSBKEY通过安全SSL接收CA中心传输回来的解密信息串,内部COS调用KEY内
7、部存储的解锁密钥(SOPIN)进行解密,得到随机数和新的用户密码Newpin,COS内部比对解密得到的随机数和之前申请解密时候产生的随机数,如果不相同则表示解锁失败,需重新申请解锁,如果两个随机数相同则表示认证通过,COS调用Newpin重置密码,解锁流程完成。USBkey远程解锁技术方案4.1技术安全性保障n符合国密相关要求,遵循相关标准;nUSBKEY内置真随机数发生器,真随机数保证一次一密,确保解锁数据通讯的唯一性;n解锁数据在USBKEY和CA中心传输时采用SSL安全网络,保证解锁流程通讯数据传输
8、安全;nCA中心采用对称加密算法对解锁信息串做加密处理,确保解锁信息数据的机密性;4.2USBKEY简介(考虑是否需要)4.2.1K3pro简介作为一种可在PKI体系中应用的产品,龙脉科技自主设计研发的基于智能卡安全芯片的K3pro身份认证锁,它是为PKI应用量身设计的数字证书安全载体,可用于网络安全认证和通讯加密等信息安全领域,支持InternetExplorer,Outlook,OutlookExpress,Firefox
此文档下载收益归作者所有