|
1.iKey的优点
iKey 采用与智能卡相同的,提供访问控制的文件系统。应用程序能使用它存储个人信息、私钥、密钥、许可协议、识别特征、数字证书或其它数据。使用iKey具有以下四个优点:
- 可靠性:用户将个人信息存储在 iKey 上,可以保证即使发生系统故障仍然是安全的。SafeNet 公司采用符合ISO9000 国际质量认证的设备,全球提供超过三百万只 iKey,产品具有同行业最低的故障率。
- 便携性:iKey 是连接在钥匙圈上的,用户永远不会忘记携带而且几乎不会丢失,iKey是插入USB 接口的,所以对核查在远地区通过笔记本电脑拨入一个公司虚拟专有网络(VPN) 或进入Intranet 的用户来讲是理想的。非常适合个人使用,可以完美地满足网络应用和异地工作的便携要求。
- 安全性:用户逐渐意识并且担心病毒和其它恶意软件能够访问保存在硬盘上的记录、控件、密码和其它个人信息。使重要信息不必保存在硬盘上,实现了“机密随身带”。同时作为双因素认证的解决方案,iKey 提供了更加安全的保障形式。
- 不可仿制:用户不能复制iKey 中的信息。
这意味着你可以使用它保存获得Internet 服务的接入授权,不用担心被人盗用。换句话说,iKey 没有密码普遍存在的共用问题。对iKey 程序访问是通过SafeNet 技术公司提供的应用程序编程界面(API)完成的。
2.硬件安全技术
iKey 硬件电路中集成读/写功能,包含完成存储功能的资源和高速加密引擎。它使用通用串行总行接口(USB) 提供电源并且与计算机通讯。内置的掉电保护随机访问存储器保存RAINBOW 提供的出厂设置,以及用户提供的与应用程序有关的数据。iKey 分为两个系列iKey1000 和iKey2000。他们分别适用于不同的安全性级别之上,下面列出了两系列产品的技术特性。
- 12MHz 微处理器
- 8K存贮单元(可扩展到32K)
- 符合X.509数字证书存储标准
- iKey1000 内置有MD5 算法芯片。iKey2000内置有RSA 算法芯片
- 软件控制状态指示灯,可方便观察和计算机的接通情况
- 64位全球唯一系列号
- USB 接口。支持带电插拔,即插即用
- 随机数生成器
- iKey1000 有两级口令设置:PIN 和 SO PIN。并且可重试次数可设定,输入PIN错误次数超过设定值则iKey 锁死。iKey2000 只有一级PIN,并且PIN 错误次数超过设定值则iKey 所存数据销毁
- 三级文件操作权限管理: 访客模式(Guest)、用户模式(User)、超级管理员模式(Administrator)
- 内置两级目录文件结构
3.软件实现
- 支持全部Windows 平台(95/98/NT/2000), Apple
Macintosh 平台。SafeNet 公司提供虚拟智能卡读卡器的驱动程序。 API 被放在iKey 开发工具箱中,软件开发工具包(SDK)包含了访问 iKey 进行读写的功能,还可进行复杂的加解密工作
。
- 图形化的读写编辑 iKey 硬件的工具,易于使用
- ActiveX 部件(non-scriptable和script safe) 其中script safe
- ActiveX 可用于网络浏览器环境; non-scriptable ActiveX可用于一般编程环境(如VB,Delphi 等)
- 通过浏览器访问iKey 的Java 插件
- 供C语言调用的库
- 支持128位密码长度的Microsoft CAPI
- 中间件(Middleware):PKCS#11(支持128位密码长度),CSP
4.iKey 身份认证原理
iKey 内置有MD5 算法芯片,以特有的挑战—响应式方法来实现网络身份认证。他的实现原理如下图,
参与运算的数有两个:一个可以是随机数,另一个是事先预设的算法因子(分别存放在服务器的用户数据库和iKey硬件内部的存储器)。MD5
Hash 算法可以保证两个运算数哪怕只发生一位数字的变化,运算结果也会变得完全不一样。因为每次验证运算的其中一个运算数是随机数,所以每次的运算结果也是随机变化的。由此保证运算结果在传输中不怕被截获。
步骤:
1.服务器或客户端取得随机数,并将之发给对方。
2.取出各自存储的算法因子。
3.对这两个数进行运算。
4.看运算结果是否一致。
如果一致,说明两端的算法因子是一致的(因为随机数是共用的,影响结果的只能是算法因子)。进而推出客户端的算法因子是约定的数---客户是合法的用户。
|
Internet对企业运作的影响使得信息技术产业(IT)在20世纪90年代末发生了巨大的变化。特别是此领域出现的三个重要趋势,更是需要引起所有IT行业管理者的重视,它们分别是:电子商务、远程访问和对更大安全性的需要,其中安全性是前两种趋势中至关重要的部分。没有识别