基于USBKey的電子認(rèn)證在國產(chǎn)操作系統(tǒng)應(yīng)用技術(shù)方法

王紹剛 劉海法 王 申 寧紅宙 張慶勝

(航天信息股份有限公司技術(shù)研究院 北京 100195)

?

基于USBKey的電子認(rèn)證在國產(chǎn)操作系統(tǒng)應(yīng)用技術(shù)方法

王紹剛 劉海法 王 申 寧紅宙 張慶勝

(航天信息股份有限公司技術(shù)研究院 北京 100195)

(wangshaogang@aisino.com)

主要介紹了基于USBKey的電子認(rèn)證在國產(chǎn)操作系統(tǒng)應(yīng)用的幾種技術(shù)方法，詳細(xì)論述了這幾種方法的技術(shù)相關(guān)流程，這些方法可以適用于航天信息股份有限公司自主研發(fā)的USBKey產(chǎn)品與國產(chǎn)相關(guān)操作系統(tǒng)進(jìn)行底層的深度結(jié)合和應(yīng)用，實(shí)現(xiàn)安全可靠的電子認(rèn)證系統(tǒng).

USBKey；電子認(rèn)證；數(shù)字簽名；國產(chǎn)操作系統(tǒng)；CA

近年來，由于美國中央情報(bào)局技術(shù)分析員斯諾登爆出“棱鏡門”事件，曝光了美國對全世界范圍內(nèi)從國家元首到普通個(gè)人的監(jiān)視和監(jiān)聽，這使得人們對于美國的微軟、蘋果、谷歌、IBM等網(wǎng)絡(luò)軟硬件巨頭公司也產(chǎn)生了很大的懷疑，很可能這些企業(yè)也都參與其中，在和平年代這些問題暴露得不太明顯，但是一旦發(fā)生戰(zhàn)爭這將會(huì)使我們的電腦和網(wǎng)絡(luò)處在極大的危險(xiǎn)之中.因此網(wǎng)絡(luò)信息安全問題已經(jīng)成為全世界乃至我國社會(huì)關(guān)注的焦點(diǎn)，使用安全可靠的國產(chǎn)操作系統(tǒng)軟硬件對我國國家安全和科技進(jìn)步都有著極大的意義.隨著網(wǎng)絡(luò)互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，國家和企業(yè)也意識到在網(wǎng)絡(luò)環(huán)境下的電子認(rèn)證系統(tǒng)可能遭受到的攻擊和威脅，而目前USBKey是作為世界上解決電子認(rèn)證系統(tǒng)可能遭受到安全威脅的一個(gè)很重要的解決方法[1]，它的特點(diǎn)是經(jīng)濟(jì)實(shí)惠且安全系數(shù)較高，同時(shí)國家乃至整個(gè)社會(huì)也應(yīng)該意識到發(fā)展適用于我國操作系統(tǒng)自主研發(fā)的USBKey重要性.

1 關(guān)于USBKey

USBKey是一種基于USB接口與PC相連接的小巧硬件設(shè)備，可將個(gè)人信息數(shù)據(jù)加載到內(nèi)置的芯片當(dāng)中，它結(jié)合了現(xiàn)代密碼學(xué)、USB技術(shù)等流行軟硬件技術(shù)，有數(shù)字簽名、數(shù)據(jù)加解密、存儲證書等功能.它具有雙因子認(rèn)證[2]、安全存儲空間、硬件實(shí)現(xiàn)加密算法、使用方便，安全可靠、基于沖擊-響應(yīng)的認(rèn)證模式等很多特點(diǎn).USBKey不僅可用于電子文件、軟件等方面的加密，還可用于電子政務(wù)內(nèi)外網(wǎng)、電子商務(wù)網(wǎng)、金融機(jī)構(gòu)證書認(rèn)證中心、企業(yè)內(nèi)部網(wǎng)等方面，同時(shí)也可以提供安全可靠的電子認(rèn)證加密技術(shù)，能夠保證相關(guān)網(wǎng)絡(luò)系統(tǒng)的安全性.目前我國國產(chǎn)操作系統(tǒng)比較適合應(yīng)用在有特定目標(biāo)的軟硬件結(jié)合方面，因此在USBKey和國產(chǎn)操作系統(tǒng)具體軟硬件結(jié)合度應(yīng)用上面值得進(jìn)一步探索研發(fā).

2 基于USBKey的電子認(rèn)證在國產(chǎn)操作系統(tǒng)應(yīng)用技術(shù)方法介紹

2.1 由USBKey、數(shù)據(jù)庫、國產(chǎn)操作系統(tǒng)構(gòu)成整個(gè)電子認(rèn)證系統(tǒng)應(yīng)用方法

該系統(tǒng)主要用于用戶單機(jī)版的安全加密，實(shí)現(xiàn)本地用戶的數(shù)據(jù)、文件等方面的電子認(rèn)證和加密，可用于各種桌面PC電子認(rèn)證安全系統(tǒng)和當(dāng)前網(wǎng)絡(luò)無法登錄的各種脫機(jī)情況中，其主要步驟方法流程如圖1所示.

1) 將USBKey插入PC端的USB接口上面,PC端上面的國產(chǎn)操作系統(tǒng)加載動(dòng)態(tài)鏈接庫并發(fā)出一個(gè)驗(yàn)證請求，獲取到USBKey中的用戶身份ID號碼.

2) 用戶在PC國產(chǎn)操作系統(tǒng)上面的訪問驗(yàn)證窗口輸入個(gè)人信息如用戶名以及密碼,PC端驗(yàn)證該用戶是否為合法用戶，其中USBKey內(nèi)置單向函數(shù)、PIN碼、用戶訪問網(wǎng)絡(luò)服務(wù)器的密碼.用戶每次使用之前必須先輸入PIN碼.

3) 存儲在PC服務(wù)器數(shù)據(jù)庫中對該用戶密鑰進(jìn)行核對，如果PC端的運(yùn)算結(jié)果與USBKey傳回的響應(yīng)結(jié)果相同，則認(rèn)為該用戶是一個(gè)合法用戶.

4) PC端將所要加載的相關(guān)信息數(shù)據(jù)反饋傳入U(xiǎn)SBKey當(dāng)中.

5) USBKey將傳入的信息數(shù)據(jù)進(jìn)行加密處理，并將加密后的數(shù)據(jù)再傳入PC端，所有傳輸?shù)男畔?shù)據(jù)均為加密信息,用戶在USBKey支持下完成對數(shù)據(jù)的加密、簽名, 同時(shí)PC端國產(chǎn)操作系統(tǒng)在USBKey的支持下完成對數(shù)據(jù)的解密、驗(yàn)證簽名.

圖1 USBKey與單機(jī)情況下國產(chǎn)系統(tǒng)電子認(rèn)證處理流程

2.2 由USBKey、國產(chǎn)操作系統(tǒng)、網(wǎng)絡(luò)以及CA構(gòu)成整個(gè)電子認(rèn)證系統(tǒng)應(yīng)用方法

該系統(tǒng)主要用于用戶在線注冊協(xié)議、電子認(rèn)證等方面，網(wǎng)絡(luò)方面主要分為涉密網(wǎng)和非涉密網(wǎng)絡(luò)，根據(jù)目標(biāo)機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)基于涉密運(yùn)行的要求，將會(huì)與CA系統(tǒng)采取隔離的方式集成.其中在非密網(wǎng)中，CA負(fù)責(zé)頒發(fā)證書和管理證書，發(fā)布吊銷列表，用戶操作RA下載并制作數(shù)字證書到USBKey；在涉密網(wǎng)絡(luò)中，通過USBKey中的證書，用戶登錄國產(chǎn)操作系統(tǒng)時(shí)提供身份認(rèn)證并建立數(shù)據(jù)安全傳輸通道，同時(shí)國產(chǎn)操作系統(tǒng)使用CA提供的API函數(shù)，解析證書并提取用戶證書中的DN,SN等信息，獲取證書用戶對應(yīng)的業(yè)務(wù)權(quán)限，并且可對指定的業(yè)務(wù)數(shù)據(jù)進(jìn)行數(shù)字簽名.非密網(wǎng)絡(luò)生產(chǎn)數(shù)字證書，涉密網(wǎng)絡(luò)使用數(shù)字證書，保證涉密信息的安全性.其主要步驟方法流程如圖2所示.

1) 用戶將USBKey插入PC端上面，并生成公鑰與私鑰對.

2) USBKey將自己的信息通過CA發(fā)布的公開密鑰加密[3].

3) 利用PC端的國產(chǎn)操作系統(tǒng)將加密信息傳給CA.

4) CA利用自己的私鑰解密獲得用戶原始信息，并生成數(shù)字簽名證書.

5) CA將加密信息和數(shù)字簽名證書發(fā)送到PC端.

6) PC端國產(chǎn)操作系統(tǒng)將數(shù)據(jù)信息發(fā)給USBKey進(jìn)行驗(yàn)證，如驗(yàn)證一致則說明用戶合法.

圖2 USBKey,CA與國產(chǎn)系統(tǒng)在線電子認(rèn)證處理流程

2.3 由USBKey、國產(chǎn)操作系統(tǒng)、網(wǎng)絡(luò)、安全服務(wù)中心以及CA構(gòu)成整個(gè)電子認(rèn)證系統(tǒng)應(yīng)用方法

此方法與2.2節(jié)的應(yīng)用方法總體上很相似，這里加入了一個(gè)安全服務(wù)中心主要用于對USBKey用戶的身份認(rèn)證，并且可以賦予用戶安全傳輸數(shù)據(jù)的權(quán)力，增加了一層安全保障，如圖3所示.

1) 將USBKey插入PC端國產(chǎn)操作系統(tǒng)獲取到USBKey中的用戶身份ID號碼.

2) 用戶選擇并提交用戶證書，USBKey要求輸入訪問口令(PIN碼).

3) USBKey將加密后的信息發(fā)送到安全服務(wù)中心.

4) 安全服務(wù)中心獲得此信息后，從CA那里獲得數(shù)字簽名證書解密USBKey加密信息密鑰[4-5].

5) 如果驗(yàn)證成功則可以創(chuàng)建SSL加密會(huì)話隧道，實(shí)現(xiàn)用戶的安全代理訪問.

圖3 USBKey、安全服務(wù)中心、CA與國產(chǎn)系統(tǒng)在線電子認(rèn)證處理流程

3 結(jié) 論

Aisino USBKey是由航天信息股份有限公司研制和開發(fā)的基于USB接口的免驅(qū)動(dòng)智能密碼鑰匙，該產(chǎn)品采用國內(nèi)首款具有SSF33算法和SM1算法IP核的SSX45安全芯片，內(nèi)嵌自主研發(fā)的芯片操作系統(tǒng)，具有高安全性、高性能、高可靠性以及完善的功能.根據(jù)國家安全可靠的需求通過上述幾種技術(shù)方法，Aisino USB Key可與中標(biāo)麒麟、銀河麒麟、共創(chuàng)Linux等國產(chǎn)操作系統(tǒng)應(yīng)用于電子安全認(rèn)證.

[1]楊桓. 基于USB KEY的身份認(rèn)證技術(shù)的相關(guān)研究[J]. 軟件導(dǎo)刊, 2011, 10(3): 154-156

[2]左志斌. 一種基于數(shù)字證書的USBKey身份認(rèn)證方案[J]. 河南科技, 2015, 572(9): 11-13

[3]吳永英, 鄧路, 肖道舉, 等. 一種基于USBKey的雙因子身份認(rèn)證與密鑰交換協(xié)議[J]. 計(jì)算機(jī)工程與科學(xué), 2007, 29(5): 56-59

[4]Zhang F, Kim K. ID-based blind signature and ring signature from pairing[G]LNCS 2501: Advances in Cryptology Asiacrypt 2002. Berlin: Springer, 2002: 533-547

[5]Boneh D, Lynn B, Shacham H. Short signatures from the Weil Pairing[G]LNCS 2248: Advance in Cryptology—ASIACRYPT’2001. Berlin: Springer, 2001: 514-532

王紹剛

博士，中級工程師，主要研究方向?yàn)殡娮诱?wù)、信息安全、地理信息系統(tǒng)、遙感技術(shù).

wangshaogang@aisino.com

劉海法

碩士，高級工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全.

liuhaifa@aisino.com

王 申

碩士，高級工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全.

wangshen@aisino.com

寧紅宙

博士，高級工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全、數(shù)字證書應(yīng)用.

ninghongzhou@aisino.com

張慶勝

碩士，高級工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全.

zhangqingsheng@aisino.com

Application Technology of Electronic Authentication Based on USBKey in Domestic Operating System

Wang Shaogang, Liu Haifa, Wang Shen, Ning Hongzhou, and Zhang Qingsheng

(AisinoCorporation,TechnologyResearchInstitute,Beijing100195)

This article mainly introduced the electronic certification based on USBKey in domestic operating systems, and application of several technical methods is discussed in detail the technical process. These methods can be applied to Aisino corporation independent research and development of USBKey products combined with the depth of the domestic related to the underlying operating system and application, realizing the safe and reliable electronic authentication system.

USBKey; electronic authentication; digital signature; domestic operating system; CA

2016-05-29

TP309