网络身份认证解决方案-IKEY系列

身份认证产品iKey系列Internet对企业运作的影响使得信息技术产业（IT）在20世纪90年代末发生了巨大的变化。特别是此领域出现的三个重要趋势，更是需要引起所有IT行业管理者的重视，它们分别是：电子商务、远程访问和对更大安全性的需要，其中安全性是前两种趋势中至关重要的部分。没有识别、认证和付款核实的手段，电子商务就不会实现。同样，远程访问在赋予访问权限之前必需仔细认证用户。这些趋势在Intranet和B2B的电子商务中日益明显，这种身份识别可以看作准许访问和相应的访问权限两个方面。所有安全问题的核心是要为某个机构欲授予特权（如远程访问或被允许进入商务活动）的个人建立个人身份以及接下来对文件和要处理的事务进行认证。使用了各种安全方式来使接收者相信文件是从身份有效的发件人那里发出的，并且文件在传送过程没有遭到干扰。这种认证依赖于包含公钥、数字签名和管理这些资源的授权单位——认证机构在内的一套完整的加密技术基础设施。我们首先要解决的是个人身份的认证。该项任务通常是用很不成熟（密码）或非常昂贵（生物测量法如视网膜扫描或指纹检查）的方式处理的。一种价格低于生物测定法、比单纯的密码更为安全的折中办法是基于双因素认证的解决方法，即使用智能卡。彩虹天地信息技术有限公司设计的新型iKey，可以工作在任何一台具有通用串行总线（USB）接口的微机，作为一个价格适中的身份识别令牌。它提供所有智能卡和密码令牌的可靠性、简便性和安全性，同时避免了读写设备的复杂安装和昂贵开销。技术特点1.iKey的优点iKey采用与智能卡相同的，提供访问控制的文件系统。应用程序能使用它存储个人信息、私钥、密钥、许可协议、识别特征、数字证书或其它数据。使用iKey具有以下四个优点：可靠性：用户将个人信息存储在iKey上，可以保证即使发生系统故障仍然是安全的。彩虹公司采用符合ISO9000国际质量认证的设备，全球提供超过三百万只iKey，产品具有同行业最低的故障率。便携性：iKey是连接在钥匙圈上的，用户永远不会忘记携带而且几乎不会丢失，iKey是插入USB接口的，所以对核查在远地区通过笔记本电脑拨入一个公司虚拟专有网络(VPN)或进入Intranet的用户来讲是理想的。非常适合个人使用，可以完美地满足网络应用和异地工作的便携要求。安全性：用户逐渐意识并且担心病毒和其它恶意软件能够访问保存在硬盘上的记录、控件、密码和其它个人信息。使重要信息不必保存在硬盘上，实现了“机密随身带”。同时作为双因素认证的解决方案，iKey提供了更加安全的保障形式。不可仿制：用户不能复制iKey中的信息。这意味着你可以使用它保存获得Internet服务的接入授权，不用担心被人盗用。换句话说，iKey没有密码普遍存在的共用问题。对iKey程序访问是通过彩虹技术公司提供的应用程序编程界面（API）完成的。2.硬件安全技术iKey硬件电路中集成读/写功能，包含完成存储功能的资源和高速加密引擎。它使用通用串行总行接口(USB)提供电源并且与计算机通讯。内置的掉电保护随机访问存储器保存RAINBOW提供的出厂设置，以及用户提供的与应用程序有关的数据。iKey分为两个系列ikey1032和iKey2000。他们分别适用于不同的安全性级别之上，下面列出了两系列产品的技术特性。12MHz微处理器8K存贮单元（可扩展到32K）符合X.509数字证书存储标准ikey1032内置有MD5算法芯片。iKey2000内置有RSA算法芯片软件控制状态指示灯，可方便观察和计算机的接通情况64位全球唯一系列号USB接口。支持带电插拔，即插即用随机数生成器ikey1032有两级口令设置：PIN和SOPIN。并且可重试次数可设定，输入PIN错误次数超过设定值则iKey锁死。iKey2000只有一级PIN,并且PIN错误次数超过设定值则iKey所存数据销毁三级文件操作权限管理:访客模式(Guest)、用户模式(User)、超级管理员模式(Administrator)内置两级目录文件结构3.软件实现支持全部Windows平台(95/98/NT/2000),AppleMacintosh平台。彩虹公司提供虚拟智能卡读卡器的驱动程序。API被放在iKey开发工具箱中，软件开发工具包（SDK）包含了访问iKey进行读写的功能，还可进行复杂的加解密工作图形化的读写编辑iKey硬件的工具，易于使用ActiveX部件(non-scriptable和scriptsafe)其中scriptsafeActiveX可用于网络浏览器环境；non-scriptableActiveX可用于一般编程环境(如VB,Delphi等)通过浏览器访问iKey的Java插件供C语言调用的库支持128位密码长度的MicrosoftCAPI中间件(Middleware)：PKCS#11（支持128位密码长度）,CSP4.iKey身份认证原理iKey内置有MD5算法芯片，以特有的挑战—响应式方法来实现网络身份认证。他的实现原理如下图,参与运算的数有两个：一个可以是随机数，另一个是事先预设的算法因子（分别存放在服务器的用户数据库和iKey硬件内部的存储器）。MD5Hash算法可以保证两个运算数哪怕只发生一位数字的变化，运算结果也会变得完全不一样。因为每次验证运算的其中一个运算数是随机数，所以每次的运算结果也是随机变化的。由此保证运算结果在传输中不怕被截获步骤：1.服务器或客户端取得随机数，并将之发给对方。2.取出各自存储的算法因子。3.对这两个数进行运算。4.看运算结果是否一致。如果一致，说明两端的算法因子是一致的(因为随机数是共用的，影响结果的只能是算法因子)。进而推出客户端的算法因子是约定的数---客户是合法的用户。1.Windows2000的网络安全登录Windows2000系统支持建立和使用PKI体系来保证网络的安全性。iKey完全符合Window2000PC/SC智能卡标准，因此能与Windows2000的智能卡功能无缝集成，在此体系中，ikey1032作为存储证书和私钥的载体，可以很方便的集成到Windows2000系统中，实现安全登录及锁定工作站等功能。采用iKey+Windows2000，可以轻松架构一个安全的企业局域网。2.安全电子邮件电子邮件凭借其易用、低成本和高效已经成为了现代商业中的一种标准的信息交换工具。随着Internet的持续增长，商业机构或是政府机构都开始用电子邮件交换一些秘密的、或是有商业价值的信息，这就引出了一些安全方面的问题，如：消息和附件可以在不为通信双方所知的情况下被读取，篡改或是截掉；没有办法可以确定一封电子邮件是否真的来自某人。电子邮件的安全需求是机密、完整、认证和不可否认，而这些都可以用PKI技术来获得。具体的讲，利用数字证书和私钥，用户可以对他所发的邮件进行数字签名，这样就可以获得认证，完整性和不可否认性，也可以用接收方的公钥对邮件进行加密，只有接收方的私钥可以对邮件解密，从而防止邮件的非法读取。Windows2000+ExchangeServer的企业内部邮件环境中，使用Windows2000CertificateServer颁发数字证书。客户端采用iKey存储证书，iKey可以和Outlook/OutlookExpress或Communicator无缝集成，实现邮件的签名和加密。3.用于数字证书的存储数字证书通过提供比单纯公钥更多的信息量加强了公钥的重要性。证书本身含有一个系列号码，失效日期、用户名、加密办法、公钥和关于用户和证书的特别信息。X.509标准定义了证书内容和包含扩展信息的方法。数字证书将人（附加信息）和公钥“捆绑”在一起。和公钥一样，对于运用证书的交易，数字证书同样需要接受人必须能够访问他们的私钥并为文件解密。这种私钥通常驻于硬盘，可以接受硬盘中不同的应用程序（email、浏览器以及其他程序）的访问。但是，驻于硬盘的私钥的主要缺点是它们的拥有人无法轻易带走它们。将私钥安装在iKey上，允许私钥拥有人在任何一台机器上都能使用证书。另外，私钥被存放在钥匙圈上，如iKey,比存放在用户的硬盘上更加安全。可能您已经想到，用户同时可以有几个证书，一个在工作中使用，一个满足银行业的需要，另外一个用于投资活动，这与今天所有人需要使用好多密码差不多。但是，在不同场合一次携带这样多的证书（或私钥）是很费力的，除非它们全部可以被存储到一个单一、安全的装置上。iKey可以圆满地完成这项任务。目前，根据X.509标准的规定，iKey可以贮存四个数字证书，每一个证书都是有密码保护的。CFCA（中国金融认证中心）的Non-SET系统采用了Entrust公司的系统，包括用户客户端软件和后台服务器软件。由于iKey2000是一个Entrust-ready产品，所以iKey2000可直接用于Entrust系统用来安全保存用户证书和用户私钥。4.用于浏览器的安全：PKCS#11与MSCAPI通常使用浏览器来完成服务器应用程序和用户之间的交流，浏览器必须通过内置密码库实现服务器应用程序要求的认证功能，在使用NetscapeNavigator时，它和公钥密码系统（PKCS#11）库相互作用。NetscapeNavigator内置的PKCS#11库可以被彩虹天地信息技术有限公司提供的库和驱动程序替代，完成iKey中的一些加密功能。此库有两个重要的功能：它重新引导浏览器寻找iKey上的数字证书而非硬盘驱动器上的数字证书；它使用户可以选择他们愿意使用的数字证书来进行特定的活动。PKCS#11使用iKey所装有的档案（数字证书）作为加密文件、赋予特权和对最终用户认证的依据。Microsoft有它自己针对InternetExplorer的密码库，被称为微软密码应用程序编程界面（CAPI），与PKCS#11有类似的功能。彩虹科技公司的iKey现在已经实现对CAPI的支持。为了透明地解决Web的安全问题，最合适的入手点是浏览器，现在，无论是InternetExplorer还是NetscapeNavigator，都支持SSL协议。SSL协议在电子商务中被广泛采用，利用服务器端和客户端的数字证书可以实现双方交换信息的加密传输。因为iKey与浏览器能够紧密的结合，将客户端数字证书存放于iKey可以大大提高数字证书和用户私钥的安全，从而提高整个系统的安全性。5.在VPN和RADIUS上的应用iKey含有仅限于它和它授予访问权的网络所知道的一个或多个秘密值。使用这个秘密值，iKey就可以计算出针对网络发出的挑战-密码响应，这与传统的密码方式相比有重要的优势。在网络提出的挑战数据和iKey本身秘密值的基础上，iKey计算出一个数字，叫作单向散列算法功能（Hashs算法），然后向网络返回这个数字以确认认证是否有效，这种认证形式称为挑战--响应方式。这种认证方式比密码安全，因为这类密码（在这种情况下是秘密值）永远不会通过网络传输，所以也不会被截获。这个方案是安全的，因为iKey可以向服务器证明它知道秘密值，并且从不会透露。这个密码技术包含在为VPN访问而设的网络钥匙交换（IKE）标准协议内，同时也提供了不可拒性，这是因为没有iKey就无法实现访问。除了上述的安全标准以外，iKey和远程访问协议可以兼容。现在远程访问协议，特别是远程认证拨入用户服务(RADIUS)，是极其普遍的。一个拥有众多用户拨入的企业会建立起RADIUS服务器。当用户要登录时，每一台可接受拨入的服务器都可与RADIUS服务器联络以寻求认证服务。认证在密码的基础上完成。根据企业安全的需要，密码可以通过电缆传输到RADIUS服务器上（此时服务器依靠密码认证协议或PAP）或者服务器使用前面章节描述过的挑战--响应方案（此时RAIUS服务器依靠挑战握手认证协议或CHAP）。iKey可以支持RADIUS下的密码认证（PAP或CHAP）。CheckPoint软件有限公司是全球网络安全领域的领导厂商，iKeyVPN解决方案已经被集成进CheckPoi