資源描述:
《一���、USBKey 實現(xiàn)身份認證原理.pdf》由會員上傳分享�����,免費在線閱讀��,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫����。
1����、一��、USBKey實現(xiàn)身份認證原理采用沖擊/響應(挑戰(zhàn)/應答)的認證方法,登錄時在服務器端和客戶端同時進行計算��,客戶端計算前要先驗證USERPIN���,通過后在硬件中使用HMAC-MD5密鑰進行計算�����,服務器端在服務器上使用軟件進行計算����,比較計算結(jié)果��。二�、USBKey的優(yōu)點1、兼容性好USBKey不僅對打印機�、掃描儀等設備具有高度的透明性,特別是多個相同的USBKey也可以使用USBHUB并聯(lián)在一起使用����,相互之間不會干擾。2��、速度快對于使用USBKey加密后的軟件,其運行速度同加密前區(qū)別不大�,USBKey能夠在很短的時
2、間內(nèi)處理完畢��,保證用戶程序的順暢運行���。3�、使用簡便USBKey在API函數(shù)調(diào)用上從用戶角度出發(fā)����,最大限度簡化使用接口。用戶能夠在很短的時間內(nèi)掌握USBKey的使用方法���,節(jié)約開發(fā)上所投入的時間����。三��、高加密強度和身份認證相結(jié)合USBKey是全新設計的高強度USBKey���,有完整的用戶管理��。(1)用戶必須在超級用戶狀態(tài)下(SOPIN驗證通過),通過自己設定的不超過51字節(jié)的種子生成PID,以后打開和關(guān)閉USBKey都需要通過PID來完成���。PID的生成算法是在USBKey內(nèi)部完成的�,而且是不可逆的�,也就是說,只有生成者才
3�����、知道什么樣的種子能生成什么樣的PID���,別的人即使知道PID�,同時也能夠調(diào)用這個計算過程����,但因為不知道種子是什么,是無法生成和您相同的PID的硬件����,保證了用戶的USBKey的獨特性。(2)用戶在對USBKey中的數(shù)據(jù)進行讀寫操作時需要進行USERPIN驗證���,又增加了一層對軟件的保護性�����。(3)用戶可以在配置設備時設為只讀�����,那么USBKey中的數(shù)據(jù)只可以讀取�,而不能被更改,密鑰也不能被修改���,從而保證了鎖內(nèi)數(shù)據(jù)不被篡改�。(4)使用USBKey硬件中的HMAC-MD5算法進行沖擊響應身份認證��。HMAC-MD5密鑰存在US
4��、BKey中���,該密鑰只用于計算��,任何人獲取不到密鑰的內(nèi)容�,保證密鑰的安全性����。(5)提供了安全方便的外殼加密工具����,使加密工作非常簡單��。四��、系統(tǒng)支持USBKey采用無驅(qū)設計�����,使用方便��,兼容性好�����,支持多種操作系統(tǒng)臺:全系列Windows���、Linux和MAC。包括32位和64位���。五���、使用USBKey進行身份認證可以應用USBKey進行沖擊響應身份認證����,替換掉傳統(tǒng)的用戶名和密碼方式�����,使登錄更加安全�。其原理如下圖所示:在整個認證過程中,采用沖擊響應的認證方式���。當需要在網(wǎng)絡上驗證用戶身份時�,先由客戶端向服務器發(fā)出一個驗證請求�����。
5�����、服務器接到此請求后生成一個隨機數(shù)并通過網(wǎng)絡傳輸給客戶端(此為沖擊)�����??蛻舳藢⑹盏降碾S機數(shù)提供給���,由使用該隨機數(shù)與存儲在中的密鑰進行HMAC-MD5運算并得到一個結(jié)果作為認證證據(jù)傳給服務器(此為響應)。與此同時���,服務器也使用該隨機數(shù)與存儲在服務器數(shù)據(jù)庫中的該客戶密鑰進行HMAC-MD5運算�����,如果服務器的運算結(jié)果與客戶端傳回的響應結(jié)果相同,則認為客戶端是一個合法用戶�。六、原理詳解沖擊/響應的算法原理可以參見(http://www.rfc-editor.org/rfc/rfc2085.txt)����。其中公式原型為:MD5
6、(KXORopad,MD5(KXORipad,text))K:密鑰(即分配給不同用戶的密鑰)text:隨機數(shù)opad:數(shù)值0x5Cipad:數(shù)值0x36XOR:異或運算符ET99USBKey在此基礎(chǔ)上進行了改進���,結(jié)合進硬件的特點����,使得存儲在USBKey中的密鑰K也是不可被盜取和得知的�����。ET99的公式為:MD5(MD5(KXORopad),MD5(MD5(KXORipad),text))我們看到ET99的計算公式中,將KXORopad和KXORipad的結(jié)果又分別做了MD5運算����。假如分配給客戶獨有的密鑰K為123
7、456�����,那么K與opad異或的結(jié)果再進行MD5運算后的16字節(jié)稱為K1����,K與ipad異或的結(jié)果再進行MD5運算后的16字節(jié)稱為K2,K1+K2拼接后的32字節(jié)Kin99作為存入ET99USBKey中密鑰區(qū)中的密鑰(ET99可以存儲8個32字節(jié)密鑰)�����。這樣做的目的有兩點:(1)硬件保證32字節(jié)的密鑰Kin99是無法被導出的�����。(2)即使通過物理探針分析芯片�����,得到這32字節(jié),通過拆分得到K1和K2���,但由于MD5是成熟的單向散列算法��,通過K1和K2是反推不出K的值�����,因此絕對保證了分配給用戶��,代表用戶身份的K是無法被復制
8��、的。那么從公式中就可以一目了然看到整個沖擊/響應客戶端和服務器端進行計算的過程�����。ET99中計算:(1)使用K2+text(隨機數(shù))拼接后進行MD5運算����,產(chǎn)生16字節(jié)的結(jié)果Rc1。(2)使用K1+Rc1拼接后進行MD5運算�,產(chǎn)生客戶端計算的結(jié)果Rc。服務器端計算:(1)從數(shù)據(jù)庫中取得客戶的密鑰K�����。(2)K與ipad異或后進行MD5運算產(chǎn)生16字節(jié)的Rs1。(3)Rs1+text(隨機數(shù))
