龙脉科技USBKEY远程解锁方案

USBkey远程解锁技术方案龙脉科技USBKEY远程解锁技术方案一、概述随着信息化进程的深入和互联网的迅速发展，以及各种电子政务、电子商务、数字货币、网上银行等业务的兴起以及各种专用网（如金融网的建设），Internet的建设日益普及，企业也在大量地进行信息化建设，企业信息化建设极大地提高了企业的经营管理效率，成为企业提高竞争力的有力手段。信息化技术迅猛发展，信息安全问题也越来越受到社会各界的广泛关注。凭借数字证书的便捷高效、防篡改、防泄露、简单安全的特性，建立以PKI技术为基础的CA认证系统，实现基于数字证书的身份认证、通信安全和数据安全，解决计算机应用系统的身份认证和应用安全势在必行。二、需求分析随着PKI体系技术的日益成熟，作为数字证书的安全载体USBKEY的应用也呈现多形态的体现，在享受USBKEY给数字证书带来安全存储载体服务的同时，随之而来的管理问题也日益突出：数字证书载体USBKEY发放较为复杂；USBKEY缺乏口令管理，用户较容易忘记口令；USBKEY解锁流程操作较为复杂，需邮寄发行商或者较为繁琐的流程才能解锁；USBKEY解锁流程缺乏完整的保护机制，容易在解锁过程中造成用户的敏感信息泄露。数字证书作为PKI体系的核心元素，其安全性直接关系到整个PKI体系的体系安全，而作为数字证书的安全载体USBKEY，也直接关系到整个系统的安全性，USBkey远程解锁技术方案合理安全的USBKEY管理以及解锁流程，对用户信息安全体系有着重要的意义。三、设计原则及目标3.1设计原则在产品安全应用的设计过程中，我们坚持如下四个原则，即：统筹规划、分步实施；统一标准、统一规范；充分利用现有资源；密切结合相关业务的实际需求。3.2设计目标为用户提供简单易用的USBKEY解锁流程；建立基于安全保密的USBKEY管理流程；为CA体系管理人员减轻USBKEY的管理工作负担；提高数字证书载体存储的安全性管理。四、USBkey远程解锁技术方案4.1远程解锁技术概述龙脉科技依据国家密码局的相关标准，针对PKI体系的数字证书安全载体USBKEY研制出远程解锁的技术，依据USBKEY内部的真随机数发生器保证一次一密，确保解锁流程通讯的唯一性，CA中心采用对称加密算法，保证解锁流程数据通讯的机密性，USBKEY内部COS实现数据验证以及解锁等工作，为用户提供一种安全可靠、简单方便的USBKEY解锁流程。USBkey远程解锁技术方案4.2远程解锁流程USBKEY解锁申请真随机数Random+HIDSSL安全传输CA中心利用解锁密钥（SOPIN）对（Random+Newupin）加密根据HID寻找解锁密钥（SOPIN）统一解锁密钥KEY（建议SOPIN）非统一解锁密钥（一key一钥）是否统一密钥加密串传输给KEYSSL安全传输KEY内部调用解锁密钥（SOPIN）解密不相同，解锁失败COS比对随机数相同，用Newupin重置密码解锁结束YN远程解锁流程图USBkey远程解锁技术方案UEBKEY解锁流程如下：USBKEY输入密码错误达到错误次数限制，申请远程USBKEY解锁，解锁流程开始；USBKEY内部通过真随机数发生器产生8位的随机数并结合KEY的硬件序列号组成解锁申请信息串，通过安全SSL传输到CA中心；CA中心颁发USBKEY时，可以选择两种模式，一种为统一解锁密钥，所有KEY采用统一解锁密钥，建议用KEY本身的SOPIN，方便管理；另一种为非统一解锁密钥，一KEY一钥，安全性较高。根据解锁密钥的不同，CA中心处理也不同，如果是统一密钥，则CA中心利用统一密钥（为了方便应用，简化密钥的管理，建议采用USBKEY的SOPIN作为统一密钥）对USBKEY传输上来的解锁申请信息串并附加上新的密码Newpin组合成新的解锁信息串进行对称加密，再通过SSL传输回USBKEY；如果是非统一密钥，则CA中心根据解锁申请信息里面的硬件序列号，在数据库中检索到对应KEY的解锁密钥，再对解锁信息串进行加密并传输回KEY。USBKEY通过安全SSL接收CA中心传输回来的解密信息串，内部COS调用KEY内部存储的解锁密钥（SOPIN）进行解密，得到随机数和新的用户密码Newpin，COS内部比对解密得到的随机数和之前申请解密时候产生的随机数，如果不相同则表示解锁失败，需重新申请解锁，如果两个随机数相同则表示认证通过，COS调用Newpin重置密码，解锁流程完成。USBkey远程解锁技术方案4.3技术安全性保障符合国密相关要求，遵循相关标准；USBKEY内置真随机数发生器，真随机数保证一次一密，确保解锁数据通讯的唯一性；解锁数据在USBKEY和CA中心传输时采用SSL安全网络，保证解锁流程通讯数据传输安全；CA中心采用对称加密算法对解锁信息串做加密处理，确保解锁信息数据的机密性；4.4USBKEY简介（考虑是否需要）4.4.1K3pro简介作为一种可在PKI体系中应用的产品，龙脉科技自主设计研发的基于智能卡安全芯片的K3pro身份认证锁，它是为PKI应用量身设计的数字证书安全载体，可用于网络安全认证和通讯加密等信息安全领域，支持InternetExplorer，Outlook，OutlookExpress，Firefox以及其它任何基于MicrosoftCAPI或PKCS#11标准的软件产品的PKI应用。它利用标准的加密算法技术，实现了网络安全方案中数字签名、身份认证和密钥安全管理以及分发传递等功能。K3pro的主要功能是与现有的PKI体系应用无缝的集成。软件开发商无需对K3pro进行任何形式的变成开发就能通过配置相关服务，就可以将K3pro集成到软件应用中。USBkey远程解锁技术方案4.4.2国密KEY内部架构（补充说明）通讯管理命令解析应用管理容器管理文件管理密钥管理外设管理主机命令/响应4.4.3K3pro硬件技术参数项目参数芯片安全水平智能卡安全芯片通讯方式USB供电方式USB口供电工作电压5V（USB口供电）工作电流50mA工作湿度0~70摄氏度存储温度-20~85摄氏度外壳金属通讯协议USBMassStorage接口类型USB2.0高速处理器32位智能卡芯片存储空间64kbCD区存储空间默认2M数据存储年限室温下数据保持最少20年USBkey远程解锁技术方案4.5系统功能（考虑是否需要）4.5.1强身份认证通常采用用户名+口令的方式进行身份认证是目前实现计算机安全的主要手段之一，但是采用用户名+口令的方式，在越来越复杂的网络环境中相对脆弱。基于数字证书/冲击响应模式的身份认证服务，可以对每个访问系统的用户进行强身份验证。USBkey本身还有PIN码保护，能有效防止身份被盗用。用户首先打开系统登录页面，将USBkey插入到计算机的USB接口，并在登录窗口的PIN码输入框中输入PIN码，当系统验证到PIN码是正确时，系统将通过密码服务器验证用户，当确定该用户合法性之后，才允许用户登陆系统。4.5.2数据安全加密服务基于安全的整体规划考虑，数据在网络中传输时要确保机密数据不为第三方窃取。客户端用户和安全应用支撑服务器通过系统登录时交换对方的公钥证书，客户端用对方的公钥证书对提交的敏感数据进行加密，通过应用服务器将数据传送给安全应用支撑服务器，安全应用支撑服务器用自己的私钥对数据解密；然后将解密数据提交到应用服务器对数据进行处理，处理完后将数据传回到业务管理员端进行加密：安全应用支撑服务器使用客户端的公钥对其进行加密，数据传送到客户端后，客户用自己的私钥对数据解密，即可完成一次安全的数据加解密处理过程。4.5.3数字签名及完整性校验对数据的签名和验签，是将数据作为证据的一种最有效的方法。系统通过利用用户的签名私钥，对数据进行签名运算，并把运算结果作为一个字段存储在数据库中，这样数据就是经过这个用户签名的数据，具有法律效力，不能修改。当需要对数据进行验签时，系统只要再用用户的证书进行一次运算，就可以确定签名的有效性。提交重要数据签名，客户端可以对关键业务数据用私钥签名。传送到服务端USBkey远程解锁技术方案后用此用户公钥证书验签，再将验签数据传送到应用服务器处理；服务端也可以通过公钥证书对提交的敏感数据进行签名，通过应用服务器将数据传输到客户端，客户端用服务端的公钥证书验签。实现了数据的防篡改，防抵赖功能。4.6方案特点合规、有力的电子认证基础保障；安全可靠的USBKEY解锁流程；符合国密相关标准以及要求，能满足各种不同安全需求；保障数据的安全传输以及用户身份的唯一性；支持多种定制服务，满足不同需求的客户要求。五、总结本方案遵循相应的国际和工业标准，包括X.509标准、PKCS系列标准、IETF的PKIX工作组制定的PKI相关RFC标准等，依据国家密码局的相关管理和规定，USBKEY内置真随机数发生器，CA中心采用对称加密算法，KEY内部COS实现数据验证以及解锁等工作，为用户提供一种安全可靠、简单方便的USBKEY解锁流程。龙脉科技根据不同的用户需求，提供完善的解决方案，适应于不同的客户，为用户的信息安全保驾护航。