USBKey白皮书

目录第一章概述.....................................................21．1智能卡技术——信息安全的钥匙..............................................................................21．2USBKey助力网络安全..............................................................................................3第二章产品介绍.................................................42.1技术特性......................................................................................................................42.2应用领域......................................................................................................................42.3SDK开发工具包.........................................................................................................5第三章USBKey产品开发套件.......................................63.1安装开发工具包..........................................................................................................63.2USBKey应用开发组件..............................................................................................63.3USBKey开发套件......................................................................................................8第四章USBKey的产品优势.........................................94.1技术优势........................................................................................................................94.2产品开发背景................................................................................错误!未定义书签。第五章USBKey在数字认证技术中的应用............................105．1为什么需要数字证书？...........................................................................................105．2什么是数字证书？...................................................................................................115．3证书和密钥的安全载体...........................................................................................125．4证书的来源—CA中心.........................................................................................125．5证书的使用...............................................................................................................135．6数字签名...................................................................................................................135．7数字信封...................................................................................................................145．8用USBKey申请数字证书实例..............................................................................14第六章应用范例................................................17[2002-03-15]第一章概述1．1智能卡技术——信息安全的钥匙随着网络技术的普及与发展，Internet正以前所未有的速度改变着社会生活的方方面面。但Internet始终是一个多重矛盾的集合体。开放与隐私，自由与冲突，无序与管理，猜忌与信任，等等均始终贯穿在Internet的兴起、发展与繁荣的全过程。基于Internet的电子商业发展因开放与自由而加速，但如无法克服Internet在上述方面的天生缺陷，也同样将因开放与自由而停滞。在Internet进入迅速发展之初，也就是当基于Internet的商业活动开始大规模启动的时候，数字认证技术便已引起了人们的关注。数字认证技术的目标是要在Internet上解决“我是谁”的问题，就如同我们每一个人都会拥有一张证明个人身份的身份证或是驾驶执照，以表明我们的身份或某种资格。这种“表明”在Internet同样很重要，特别是当Internet逐渐由科研、教育工具转变为一种商业工具之后。如何完成这种身份认证过程，技术专家们已经寻找到了多种方案，有些实用，而有些仅仅具有纯技术上的意义。通过软件实现加密和签名，是其中最常见的作法。但是，通过软件实现加密和签名时，必须在PC或者服务器的处理器中被执行，这也就意味着这个处理器能够得到密钥，这是软件加密存放密钥最脆弱的地方，因为一个黑客可以从PC以外读取这个密钥，并且在非授权的情况下使用这个密钥。一旦黑客拥有了这个密钥，它就可以在系统之外对截获的数据进行加密和解密。面对着无数黑客入侵破坏事件，面对着企业内部大量信息财富窃失的隐患，我们需要更有效的方法来保护我们的网络安全。PKI的提出，为电子商务的开展提供了安全上的保障也成为全球网络交易的事实标准。它是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。用户可利用PKI平台提供的服务进行安全通信。使用基于公钥技术系统的用户建立安全通信信任机制的基础是：网上进行的任何需要安全服务的通信都是建立在公钥的基础之上的，而与公钥成对的私钥只掌握在他们与之通信的另一方。这个信任的基础是通过公钥证书的使用来实现的。公钥证书就是一个用户的身份与他所持有的公钥的结合，在结合之前由一个可信任的权威机构CA来证实用户的身份，然后由其对该用户身份及对应公钥相结合的证书进行数字签名，以证明其证书的有效性。因此，采用了加密传输和数字签名的数字证书认证技术在电子商务中能从技术上保证在USBKey产品白皮书第3页共20页深圳市嘉捷信息安全技术有限公司Tel:(0755)83321445Fax:(0755)83321809交易过程中实现：身份认证、安全传输、不可否认性、数据一致性。在目前国内外的电子商务交易中，数字认证技术都得到了广泛的采用，9.11事件如同一声警钟，敲响了全世界对信息安全的关注，我们有理由相信，数字认证技术将在本世纪飞速发展，大行其道。那么作为数字认证技术中的重要通行证——证书该放在那里？目前较多的存储形式方式有计算机硬盘存储、软盘存储和智能卡方式存储，计算机硬盘方式存放时，用户使用方便，但证书可移动性差，而且存放证书的PC机一旦被黑客攻击，整个系统的安全性将不复存在；软盘方式使证书被窃取的可能性有所降低，但软盘容易损坏。一旦损坏，证书将无法使用。智能卡似乎是天生的证书存储媒介，它高强度的保密功能使只有通过合法授权者才可以读取证书内容。虽然PKI并不直接涉及智能卡，但智能卡技术却是公认的实现PKI最安全、最可行的媒介：原因一：智能卡的安全性。当用户申请数字证书时，系统利用非对称加密方法生成一对数学钥匙，即一个公钥和一个私钥，公钥在批准并发放证书后将列入证书，其用于核实由相对应的私钥制作的数字签名，并可对信息进行加密而由相应的私钥进行解密；私钥由申请者保密，私钥用于制作数字签名，并可对用对应的公钥加密的文件进行解密。由于私钥的重要和敏感性，它最好要存储在一个能够防止篡改和盗取的安全载体上，智能卡正好能适应这一要求，它的芯片内部的卡片操作系统能实现只在卡片内部产生和使用私钥，这样私钥就不能被复制和攻击。原因二：智能卡的灵活性。由于智能卡体积小、重量轻，所以方便携带和移动作业。1．2USBKey助力网络安全深圳市嘉捷信息安全技术有限公司推出的USBKey就是这样一种带安全操作系统的加密硬件。它集智能卡和读写器于一体，并采用当前流行的USB接口技术，具有数字签名、数据加解密、存储证书等功能，因为其体积小、重量轻、便于携带，又称“电子钥匙”或“电子令牌”。USBKey可应用到电子政务、电子商务、文件加解/密、安全电子邮件等各个领域中，并为建立系统的安全平台提供快捷、安全的客户端解决方案。USBKey能从根本上保证：密钥仅存于加密硬件中；加密运算在加密硬件中完成，加密硬件的外部系统无法跟踪到密钥；加密硬件能够高速执行所需要的加密算法。USBKey产品白皮书第4页共20页深圳市嘉捷信息安全技术有限公司Tel:(0755)83321445Fax:(0755)83321809第二章产品介绍2.1技术特性标准的USB接口、即插即用，通讯速率1.5Mbps具有一个LED，用于电源指示和通讯指示；内置CPU智能芯片、具有SmartCOS-PK智能卡操作系统的所有功能，数据存于芯片中，极为安全可靠内置CPU智能芯片，具有SMARTCOS-PK智能卡操作系统的所有功能：——用户存储空间为16K/32K/64KB，用于安全存储个人信息、密钥、数字证书；——密钥存于智能芯片中，运算也在智能芯片中完成，无法跟踪；——支持国家密码管理委员会办公室批准的分组密码算法；——支持DES/3DES密码算法；——支持RSA1024BIT，ECC192/256BIT（可选）公钥密码算法及其密钥对生成，可实现签名/验证、身份识别功能——支持SHA-1数据散列算法——内置硬件随机数发生器——64位全球唯一系列号提供基于Windows和Linux平台的用户开发接口函数库(提供底层API接口)标准中间件(Middleware)：MicrosoftCSP，PKCS#11支持X.509标准数字证书存储电源510%V，由USB接口直接供给；最大功耗100mW；环境温度：商业级0°70°C；工业级-25°85°C；相对湿度：30%95%；抗