USBKey是指什么

USBKey是指什么？USBKey是一种智能存储设备，可用于存放数字证书，内有CPU芯片，可进行数字签名和签名验证的运算，安全性高，外形小巧，可插在电脑的USB接口中使用。

1.IE中安装证书出现的问题

1、

B.如果选择了插key自动安装证书的功能，还是看不到证书，则请确认后台程序是否已经启用。

"Windows没有足够信息，不能验证该证书。"则表明您没有安装数字证书的根证书，请您安装数字证书的根证书。

"该证书已过期，或者尚未生效。"则表明您的证书可能已经过期或者您的计算机系统时间不在证书的有效期内，请您查看该计算机的系统时间是否正确。

2、邮件设置问题1在Outlook Express设置邮箱与帐号的绑定时，依次点击工具→ 帐号→ 邮件→ 属性→ 安全→选择，弹出的证书选择对话框中，没有可供选择的证书？

1）请确认您的证书已经正确安装且没有过期，确认方法见上"IE中安装证书出现的问题D"。

2）请确认您在Outlook Express中所设置的邮箱与您在申请数字证书时所提供的邮箱一致。查看您在申请数字证书时所提供的邮箱方法:

3）请确认您的证书是否为电子邮件保护证书。

3."在访问安全站点时,出现"安全证书上的名称与站点名称不匹配"的提示,这是什么原因?

之所以出现"安全证书上的名称与站点名称不匹配"的情况，是因为您在IE 地址栏输入的域名或IP与在申请服务器证书时所填写的与该证书所匹配的服务器的域名或IP不相同所引起的，您可以在IIS里查看服务器证书的详细信息，在IIS → 目录安全性→ 查看证2书→ 详细信息里主题这一项，查看其CN所对应的域名或IP与你在客户端的IE地址栏输入的信息是否一致，如果不同，则会出现您所说的这种情况。

4."为什么用户必须下载根证书?

所谓根证书，是CA与用户建立信任关系的基础，用户的数字证书必须有一个受信任的根证书，用户的数字证书才是有效的。从技术上讲，证书其实包含三部分，用户的信息，用户的公钥，还有CA对该证书里面的信息的签名，要验证一份证书的真伪（即验证CA对该证书信息的签名是否有效），需要用CA的公钥验证，而CA的公钥存在于对这份证书进行签名的证书内，故需要下载该证书，但使用该证书验证又需先验证该证书本身的真伪，故又要用签发该证书的证书来验证，这样一来就构成一条证书链的关系，这条证书链在哪里终结呢？答案就是根证书，根证书是一份特殊的证书，它的签发者是它本身，下载根证书就表明您对该根证书以下所签发的证书都表示信任，而技术上则是建立起一个验证证书信息的链条，证书的验证追溯至根证书即为结束。所以说用户在使用自己的数字证书之前必须先下载根证书。

5."密钥缓存问题?3解决方法：

没有密钥缓存功能时，请察看后台进程是否启用，工具设置选项中缓存用户PIN口令是否勾选。

6."插入USBKey时，没有出现找到新硬件?

解决方法：

拔下USBKey，重新插入，看是否能找到，或者换个USB口试试。

7.无法连接USBKey?

解决方法：

请检查USBKey灯是否亮、USB口是否被其他设备占用、USB口是否被禁用、USB驱动程序是否安装。

8."如果我的电脑重装了，我的数字证书是否还能用?答：

由于证书是保存在USBKey上的，您重装完系统后需再安装SAFE管理员工具，然后通过工具将证书安装到IE中。注意：

不要忘了安装根证书！

9.""管理员工具"起到什么作用?

答：

"管理员工具"作用：

可以修改Key密码，将证书安装到计算机上，查看证书内容。

1

0."下载证书时提示""错误?4答：

首先确定驱动是否安装正常（在设备管理器中显示WatchkeyvirtualReaderEnumberator）；然后确定CSP名称是否选择正确。

1

1."USBKey在管理员工具中初始密码是多少?

答：

默认用户密码是8888，建议您第一次使用时将密码修改。

1

2."USBKey密码被锁怎么办?

答：

USBKey密码锁死，请尽快联系发行部门将USBKey进行解锁。5

使用USBKEY实现智能卡域登录的说明

使用USBKEY实现WINDOWS智能卡登录的说明 2007年1月18日

目录 一、前言.............................. 错误!未定义书签。 二、安装Active Directory .............. 错误!未定义书签。 三、安装IIS .......................... 错误!未定义书签。 四、安装Windows证书服务.............. 错误!未定义书签。 安装证书颁发机构................... 错误!未定义书签。 添加证书模板....................... 错误!未定义书签。 五、申请注册代理证书.................. 错误!未定义书签。 六、安装USBKEY的软件及硬件........... 错误!未定义书签。 七、申请智能卡证书.................... 错误!未定义书签。 更改IE安全设置.................... 错误!未定义书签。 申请智能卡证书..................... 错误!未定义书签。 八、使用USBKEY登录................... 错误!未定义书签。 九、使用USBKEY的安全配置............. 错误!未定义书签。

使用USBKEY实现Windows智能卡登录的说明一、前言 身份认证是系统安全的基本方面，被用来确认任何试图访问网络资源的用户的身份。但目前在企业内部所使用Windows网络中，用户名加密码仍然是普遍使用的身份认证方式，这种身份认证方式已经暴露出越来越多的问题：密码易被泄露：密码经常在无意之间被泄露出去。 密码易被窃取：密码被各种层出不穷的黑客和木马工具窃取。 密码易被猜测：由于密码长度有限，可能被猜测或穷举。 针对这个问题，微软从Windows 2000开始就支持智能卡登录。通过智能卡登录到网络提供了很强的身份认证方式。在智能卡中存放了用户的个人信息和数字证书，用户在登录时必须插入智能卡并同时输入对应的个人识别码（PIN）才能通过身份认证。相对于口令验证，智能卡具有更强的安全性。因为口令比较容易被不怀好意的人得到，而智能卡就像一把无法复制的钥匙，只有拿在手里才能打开大门。 USBKEY是结合USB技术和智能卡技术而开发的一种便携式安全产品，体积小巧，便于携带和使用。下面以Windows 2003 Server为例，来描述使用USBKEY 实现Windows 智能卡登录的整个配置过程： 安装Active Directory 安装IIS 安装Windows证书服务 申请注册代理证书 安装USBKEY的软件及硬件 申请智能卡证书 使用USBKEY登录 二、安装Active Directory 在Winodws的带域网络环境中，对用户进行身份认证及授权是通过域控制器来实现的。要使服务器成为域控制器则必须在服务器上安装活动目录服务（Active Directory）。

中国银行企业USBKEY操作指南

企业网银中银E盾操作指南 目录 客户使用 (1) 首次使用USBKey： (1) 数字证书管理工具 (2) 客户遗忘Key密码或USBKey被锁死的处理： (3) 无法登录的情况及解决说明 (5) 银行柜台办理 (8) 1、中银E盾申请与绑定 (8) 2、客户USBkey密码被锁或是遗忘 (9) 我行企业网银新推出的为二代USBKey，与一代Key相比：一是新Key出厂时证书即已植入，客户首次从银行领取后可立即使用；二是同时具有液晶显示屏与物理按键，具备更高的安全防范等级。 客户使用 首次使用USBKey： 插入Key后，系统可自动安装驱动程序，在电脑桌面下方任务栏的右侧会出现中行的标志。如图： 若系统没有自动安装驱动，也可手动安装：先进入“我的电脑”，选择BOCNET盘符，再双击“setup”文件即可安装。

安装成功后，系统会自动弹出修改KEY密码窗口，客户应先修改KEY密码（初始密码为8*8）。 随后客户即可通过中行首首页（https://www.wendangku.net/doc/7f16965722.html,）进入企业网银登录页面，如下图，首次使用的客户应先下载并安装“安全控件”（如已安装过，此步可省略），完成后即可正常通过“CA登录”登录企业网银。 数字证书管理工具 使用管理工具可以修改Ukey的密码与名称、检测Ukey状态以及查看证书详情： 正常情况下应该能看到两张证书，如图： 特别提醒： “USBKey初始化”按钮并非用于初始Key密码；该按钮点击后会自动删除证书，需经柜台补发证书、客户重新下载后才能使用，只有在Key的密码被锁或遗忘时才可点击，谨慎使用！ 共两张证书 慎用初始化按钮！

客户遗忘Key密码或USBKey被锁死的处理： 首先，客户进行USBKey的初始化。 其次，客户前往银行柜台申请补发证书，取得打印有“参考码”“授权码”的回单。 第三，客户在中行网站进行证书下载。详细操作如下： 1、在网银登录页面点击“CA证书下载”： 此时系统可能会提示您安装“证书更新控件”，如下图： 使用鼠标右键点击地址栏下的黄色提示框，选择“为此计算机上的所有用户安装此加载项”，证书更新控件将自动安装到客户计算机上。如下图所示： 若“证书更新控件”未能自动安装，客户也可以通过下载“证书更新控件”安装程序，

安装海泰UsbKey驱动的建议流程和注意事项

安装HaiKey的建议流程和注意事项 一、将网站网址联通http://222.161.58.86:8080/ （或电信http://222.168.33.117:8080/） 1.将网站网址加入到“受信任站点”中； 或

2.自定义安全级别-自定义设置（建议使用一下设置）。

3.运行以下加载项。 二、点击“Ukey驱动下载”模块 出现海泰驱动_国税总局V5.0.zip压缩文件包，右击解压，分别安装 “20203_User_Driver_(x64)_5.0.2015.3171”和“应用安全支撑平台客户端控件V2.0”（注：下载时不要使用迅雷等第三方软件）。 三、建议安装顺序： 先安装“应用安全支撑平台客户端控件 V2.0”， 后安装“20203_User_Driver_(x64)_5.0.2015.3171”。 四、安装“20203_User_Driver_(x64)_5.0.2015.3171”流程。

安装之前请不要插入HaiKey （如已经插入过HaiKey,请重新启动操作系统）首先进入欢迎界面，如图： 点击“安装”进入正在安装的界面，如下图： 点击“完成”并确保驱动程序软件安装“可以使用”，如下图： 打开【设备管理器】，确认【智能卡读卡器】中包含下图红框内的三项。

五、安装过程中注意事项： 1.如果已经安装过驱动，建议先卸载原有驱动再重新下载安装； 2.安装和卸载的过程中不能插钥匙； 3.安装和卸载的过程中不能开浏览器。 六、常见问题解答： 1.页面显示异常： 解决方法：浏览器—工具—兼容性视图 2.申请证书成功后，插入HaiKey时没有证书出现： 解决方法：①将HaiKey拔掉；②开始——程序——海泰方圆20203——HaiKey用户工具，点击该程序，使其右下角工具图标能够出现。 此时插入HaiKey时，右下角会出现：

中国石油身份管理与认证项目Key用户安装使用手册资料

中国石油身份管理与认证项目USBKey数字证书用户 操作手册 中国石油身份管理与认证项目组 2010年9月

中国石油集团信息系统用户身份管理与认证项目通过为中国石 油信息系统用户提供统一的单点登录平台，可以方便的让USBKey数字证书用户只需要插入USBKey数字证书，并输入该USBKey的PIN码，就可以通过身份管理与认证平台（IAM系统）单点登录到已经集成的其有权限访问的所有应用系统。在提高了访问方式的安全性的同时，也避免了用户记录多套应用系统用户名和密码。 注意：身份管理与认证平台目前只支持在windows操作系统上使用，推荐用户使用IE浏览器,目前暂不支持Firefox浏览器。 下面将向您详细介绍的USBKey数字证书初始化安装和IAM系统初始化配置方法。 一、用户工具安装 用户工具即中国石油USBKey的驱动程序，用户必须在安装好用户工具后方能正常使用USBKey。 您可以使用USBKey包装盒中的驱动光盘直接进行安装，也可以从中国石油集中身份管理与统一认证（IAM系统）服务平台的首页下载该驱动程序进行安装。（以下将以光盘安装的方式为大家演示）首先，将发给您的USBKey驱动光盘插入到个人电脑，双击：UserSetup.exe文件，如下图所示。 此时请点击“安装(N)>”按钮，程序将会正式开始安装。（注意：为保证安装过程不受干扰，请您在安装驱动时不要把USB Key连接在

电脑上） 安装过程结束后，程序会提示您点击“完成”按钮，如下图所示。 注意： 在安装完成后，如果您的个人计算机安装了360防火墙软件，会弹出以下窗口，请您选择保留图标，不处理选项即可，如下图所示。 二、安装IAM系统插件 在安装完成USBKey数字证书驱动后，会自动运行IAM系统插件的

财务公司综合业务系统USBKEY使用管理规定

海航集团财务有限公司 综合业务系统USBKEY使用说明 一系统USBKEY使用申请 ㈠集团各成员单位向财务公司结算业务部递交纸质系统使用申请表（详见附件1）。申请表应包括公司名称、系统 操作人员信息（姓名、员工编号、E网账号），并加盖财 务专用章、公司章、法人章寄至财务公司结算业务部。㈡财务公司结算业务部确认成员单位申请表符合实际业务需求并签字确认后，将申请表转至财务公司研发信息部， 由研发信息部进行用户建立、权限设置等操作。 ㈢系统用户建成后，系统自动生成成员单位系统用户通知书，包括系统用户帐号与随机生成的一次性密码。由系统 用户信息建立员在系统中打印后提交至系统信息配置员。㈣系统用户信息配置员收到系统用户通知书后，在电子安全认证系统中注册用户信息，制作电子安全认证证书，并将 证书与财务公司核心业务系统内应用层的身份进行绑定， 后将证书灌装入UsbKey。最终由财务公司研发信息部将 系统用户通知书与UsbKey以邮寄方式发送至集团成员单 位。 ㈤集团成员单位系统使用人员在收到系统用户通知书后，须立刻使用随机生成的一次性密码登录系统进行密码修改。

二系统USBKEY使用安装 ㈠目前支持下列操作系统，请确认您的操作系统为如下系统： Windows 98； Windows 2000； Windows XP； Windows 2003 Server； Windows Vista； Windows Win7。 ㈡在开始安装HaiKey CSP之前，请确定满足以下要求：Internet Explorer 5.0 以上版本； 主机上带有至少一个USB 端口； 计算机的BIOS 支持USB 设备，并且在CMOS 设置中将USB 支持功能打开。 ㈢使用HaiKey之前，您必须安装“集团资金结算管理系统USBKEY控件“。下载地址为：集团E网首页——IT服务 ——软件下载——业务软件，URL链接为： ftp://https://www.wendangku.net/doc/7f16965722.html,/others/TWUSBKEY.rar。 ㈣开始安装集团资金结算管理系统USBKEY控件, 首先进入欢迎界面，如图1：

USBKey是指什么

USBKey是指什么？USBKey是一种智能存储设备，可用于存放数字证书，内有CPU芯片，可进行数字签名和签名验证的运算，安全性高，外形小巧，可插在电脑的USB接口中使用。 1.IE中安装证书出现的问题 1、 B.如果选择了插key自动安装证书的功能，还是看不到证书，则请确认后台程序是否已经启用。 "Windows没有足够信息，不能验证该证书。"则表明您没有安装数字证书的根证书，请您安装数字证书的根证书。 "该证书已过期，或者尚未生效。"则表明您的证书可能已经过期或者您的计算机系统时间不在证书的有效期内，请您查看该计算机的系统时间是否正确。 2、邮件设置问题1在Outlook Express设置邮箱与帐号的绑定时，依次点击工具→ 帐号→ 邮件→ 属性→ 安全→选择，弹出的证书选择对话框中，没有可供选择的证书？ 1）请确认您的证书已经正确安装且没有过期，确认方法见上"IE中安装证书出现的问题D"。 2）请确认您在Outlook Express中所设置的邮箱与您在申请数字证书时所提供的邮箱一致。查看您在申请数字证书时所提供的邮箱方法: 3）请确认您的证书是否为电子邮件保护证书。 3."在访问安全站点时,出现"安全证书上的名称与站点名称不匹配"的提示,这是什么原因?

之所以出现"安全证书上的名称与站点名称不匹配"的情况，是因为您在IE 地址栏输入的域名或IP与在申请服务器证书时所填写的与该证书所匹配的服务器的域名或IP不相同所引起的，您可以在IIS里查看服务器证书的详细信息，在IIS → 目录安全性→ 查看证2书→ 详细信息里主题这一项，查看其CN所对应的域名或IP与你在客户端的IE地址栏输入的信息是否一致，如果不同，则会出现您所说的这种情况。 4."为什么用户必须下载根证书? 所谓根证书，是CA与用户建立信任关系的基础，用户的数字证书必须有一个受信任的根证书，用户的数字证书才是有效的。从技术上讲，证书其实包含三部分，用户的信息，用户的公钥，还有CA对该证书里面的信息的签名，要验证一份证书的真伪（即验证CA对该证书信息的签名是否有效），需要用CA的公钥验证，而CA的公钥存在于对这份证书进行签名的证书内，故需要下载该证书，但使用该证书验证又需先验证该证书本身的真伪，故又要用签发该证书的证书来验证，这样一来就构成一条证书链的关系，这条证书链在哪里终结呢？答案就是根证书，根证书是一份特殊的证书，它的签发者是它本身，下载根证书就表明您对该根证书以下所签发的证书都表示信任，而技术上则是建立起一个验证证书信息的链条，证书的验证追溯至根证书即为结束。所以说用户在使用自己的数字证书之前必须先下载根证书。 5."密钥缓存问题?3解决方法： 没有密钥缓存功能时，请察看后台进程是否启用，工具设置选项中缓存用户PIN口令是否勾选。 6."插入USBKey时，没有出现找到新硬件? 解决方法： 拔下USBKey，重新插入，看是否能找到，或者换个USB口试试。

中国石油USBKey管理员工具主要用于管理USBKey中证书和PIN口令

? ? ?中国石油USBKey管理员工具主要用于 管理USBKey中证书和PIN口令 ?USBKey是指什么？ ?USBKey是一种智能存储设备，可用于存放数字证书，内有CPU芯片，可进行数字签名和签名验证的运算， 安全性高，外形小巧，可插在电脑的USB接口中使用。 一、引言 ?1、编写目的 本手册针对中国石油USBKey管理员工 具进行了介绍，以有助于使用者更加方 便快捷而且正确地使用本工具。该管理 员手册适用于具有基本计算机操作能力 且了解基本PKI概念的读者。 ?2、背景 o中国石油USBKey管理员工具由北京 握奇数据系统有限公司可信计算产 品开发中心开发完成。 ?3、术语解释 o PKI（Public Key Infrastructure）：

即"公开密钥体系"，是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。 PKI的基础技术包括加解密、数字签名、数据完整性机制、数字信封、双重数字签名等。 o认证中心（CA）： CA是PKI 的核心，CA 负责管理PKI 结构下的所有用户。 CA（Certification Authority）是认证机构的国际通称，它是对数字证书的申请者发放、管理、取消数字证书的机构。CA的作用是检查证书持有者身份的合法性，并签发证书（用

数学方法在证书上签字），以防证书被伪造或篡改。 o数字证书： 数字证书也被称作CA证书（简称证书），实际是一串很长的数学编码，包含有客户的基本信息及CA的签字，通常保存在电脑硬盘或IC卡中。数字证书一般是由CA签发的，证明证书主体（"证书申请者"获得CA签发的证书后即成为"证书主体"）与证书中所包含的公钥的唯一对应关系。证书中包括证书申请者的名称及相关信息、申请者的公钥、签发证书的CA的数字签名及证书有效期等内容。 数字证书可用于：发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动

USBKey使用操作步骤及常见问题

USBKey使用操作步骤及常见问题 一、USBKey使用环境配置(请按照如下步骤进行配置，如有问题请按照常见问题的Q&A解决) 1、在IE中输入https://www.wendangku.net/doc/7f16965722.html,/download/driver.shtml安装网上银行控件控件以及对应品牌的 USBKey驱动程序，无报错页面则安装成功。 2、打开IE，点击工具 Internet选项，点击安全选项卡。将IE的安全级别设置为默认界别。 注：以下IE8浏览器设置方式截图。IE6没有将所有区域重置为墨迹级别按钮，需要分别点解Internet、本地Intranet、可信任站点、受限站点，再点击默认级别按钮。

3、添加https://*https://www.wendangku.net/doc/7f16965722.html,到可信站点，在【安全】--【可信任站点】--【站点】--将https://*https://www.wendangku.net/doc/7f16965722.html, 添加到可信站点！ 4、点击高级选项卡，点击还原高级设置按钮。

5、点击常规选项卡，清楚IE缓存。 注：本截图使用于IE8，IE6略有不同。

6、关闭所有IE浏览器，重新打卡（如安装了USBKey驱动程序，则需要重启电脑），再次登陆一账通，验 证证书后点击【继续】输入PIN码后方可登陆成功。 二、常见问题 Q1：驱动或者USBKey未加载。 A1：在验证USBKey页面点击USBKey驱动链接，在打开的页面下载对应品牌USBKey的驱动程序，使用管理员用户安装驱动程序，安装完成后重新启动电脑。 Q2：数字证书有误。 A2：请户带USBKey到柜面重新申请、下载证书。 Q3：没有符合条件的签名证书。 A3：检查是否有安装驱动程序，如果有安装，在开始菜单 程序里面找到USBKey管理工具打开，插入USBKey。在USBKey管理工具里面查看证书信息，如果没有证书或者证书错误，请客户带USBKey到柜面重新申请、下载证书。 Q4：网银控件或者证书未加载。 A4：在验证USBKey页面点击网银控件链接，安装网上银行控件控件。将IE安全级别重置默认级别，清空缓存，关闭所有IE浏览器，重新打开IE，再次操作。 Q5：无法下载USBKey控件、驱动程序。 A5：直接IE中输入地址https://www.wendangku.net/doc/7f16965722.html,/download/driver.shtml，下载安装

网上银行USB KEY

网上银行USB KEY 用户使用手册

感谢您使用厦门银行USB KEY，本产品为北京飞天诚信科技有限公司提供的ePass系列产品“ePass2001”。 厦门银行USB KEY内置安全密钥存储功能，可用于登录厦门银行网银系统，具有安全、保密、便捷的特性。 为了您能更快地掌握本产品的使用方法，请在使用本产品之前，仔细阅读使用指南。

目录 安全提示 (1) 厦门银行USB KEY使用指南 (2) 一、安装步骤 (2) 二、详细安装说明 (2) 1、安装USB KEY的设备驱动程序 (2) 2、修改USB KEY密码 (4) 3、USB KEY管理工具 (6) 4、卸载USB KEY驱动程序 (8)

安全提示 使用场所提示 请不要在网吧等公共场所使用网上银行服务。 在他人电脑上使用网上银行服务后，请及时清理浏览器保留的数据信息。 功能使用提示 请不要使用计算机自动记忆功能。 在第一次登录网上银行时，浏览器会提示是否记住登录信息，请谨记选择“否”，否则浏览器会记住您的用户名与密码，造成风险。 请通过厦门银行网站https://www.wendangku.net/doc/7f16965722.html,进入网上银行。不要通过不明网站、电子邮件或论坛中的网页链接登录网上银行。 登录网上银行时请注意核对网址，防止误入假冒网站。 使用完网上银行或使用过程中暂时离开，请勿忘记退出网上银行，关闭IE浏览器，拔出您的USB KEY。 软件更新提示 安装正规软件公司的杀毒软件，及时升级病毒库，定期对系统进行病毒扫描。 及时更新相关软件及下载安装系统补丁程序。 密钥保管提示 请保护自己的身份证、银鹭借记卡、网上账户信息、数字证书以及密码等，不要在个人电脑、PDA、手机上存储以上信息。 建议您的登录密码、交易密码与证书密码设置不一致，并经常更改。尤其要定期修改数字安全证书密码。 不定期检查账户信息提示 请留意网上银行使用过程中的系统提示。 登录网上银行时，留意系统提示前次登录的时间、交易，遇异常情况请仔细查看您的交易明细。 请定期打印交易对账单，发现异常或差错，请立即与银行联系。

基于USBKey的应用安全解决方案

基于USBKey的应用安全解决方案 北京东方通科技公司金融方案中心 2004-06

目录 1项目背景 (3) 2方案介绍 (3) 2.1 B/S应用USBKey安全解决 (4) 2.2 C/S应用USBKey安全解决 (6) 2.3 USBKey管理系统 (7) 3应用USBKey安全改造 (7) 3.1 新增应用的USBKey改造 (8) 3.2 原有应用的USBKey改造 (8) 4方案特点 (9) 5方案总结 (10)

1项目背景 随着计算机网络通信技术和信息加密技术的快速发展，人们迫切需要一种具有高度安全性、小巧、灵活、易用及便携等特点的硬件设备来存储密钥等需要保密的安全信息。USBKey 正是为了满足这种需求而设计的一种安全产品，其安全核心是智能卡技术。 USBKey又称电子钥匙，是基于USB接口的信息安全产品。采用了国际上先进的智能卡技术，具有内部的操作系统和安全核心管理。USBKey主要由微处理器、微型操作系统、USB通讯接口三部分组成，是将智能卡与智能卡读写器集成一体的便携式安全设备。它体积小巧，式样美观高档，可以由用户随身携带。USBKey作为用户身份认证时的核心凭证使用，由于借助了硬件（智能卡）的安全特性，所以极大地提高了身份认证安全强度，保障了应用安全性。 USBKey也能够和当今信息安全领域最尖端的PKI以及CA认证技术紧密结合，利用USBKey内极为安全的智能芯片来存储和使用用户的私有密钥和第三方认证机构所颁发的数字证书。虽然现在有很多应用都把私有密钥和数字证书存储在计算机的硬盘或软盘当中，但出于安全性考虑，使用自动生成私有密钥和安全存储数字证书的USBKey则会更好、更安全。这样可以防止黑客通过植入病毒程序盗取合法用户的私有密钥，伪装成为合法用户的身份在网络上数字签名，进行诈骗和非法交易。 北京东方通科技公司为应用系统提供了一整套基于USBKey的安全解决方案，充分考虑到应用安全性的各个环节，从安全性和易用性出发，为多种应用系统（基于互联网的新兴B/S结构应用系统和传统基于C/S结构的应用系统）均搭建起强大的USBKey底层安全支撑平台。 2方案介绍 本安全解决方案采用了东方通科技公司的TongSEC系列安全产品，结合USBKey、数字证书、SSL协议、互联网https安全通道等相关安全技术，为用户实现以下需求： ①完全支持B/S和C/S两种应用模式下的强安全保护。 ②使用USBKey作为用户唯一身份证明。 ③提供双向的强双因素身份认证机制。

usbkey原理

概要：USB Key具有安全数据存储空间，可以存储数字证书、密钥等秘密数据，对 该存储空间的读写操作必须通过程序实现，用户无法直接读取，其中用户密钥是不可导出的，杜绝了复制用户数字证书或身份信息的可能性。 USBKEY原理 基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、可靠的身份认证技术。它采用一次一密的强双因子认证模式，很好地解决了身份认证的安全可靠，并提供USB接口与现今的电脑通用。USB Key是一种USB接口的小巧的硬件设备，形装与我们常见的U 盘没有什么两样。但它的内部结构不简单，它内置了CPU、存储器、芯片操作系统（COS），可以存储用户的密钥或数字证书，利用USB Key内置的密码算法实现对用户身份的认证。每一个USB Key都具有硬件PIN码保护，PIN码和硬件构成了用户使用USB Key的两个必要因素。用户只有同时取得了USB Key和用户PIN码，才可以登录系统。即使用户的PIN 码被泄漏，只要用户持有的USB Key不被盗取，合法用户的身份就不会被仿冒；如果用户的USB Key遗失，拾到者由于不知道用户PIN码，也无法仿冒合法用户的身份。 USB Key具有安全数据存储空间，可以存储数字证书、密钥等秘密数据，对该存储空间的读写操作必须通过程序实现，用户无法直接读取，其中用户密钥是不可导出的，杜绝了复制用户数字证书或身份信息的可能性。 USB Key 内置CPU，可以实现加解密和签名的各种算法，加解密运算在USB Key内进行，保证了密钥不会出现在计算机内存中，从而杜绝了用户密钥被黑客截取的可能性。USB Key 的两种应用模式 USB Key身份认证主要有如下两种应用模式： 一、基于冲击-响应认证模式 USB Key内置单向散列算法（MD5），预先在USB Key和服务器中存储一个证明用户身份的密钥，当需要在网络上验证用户身份时，先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数回传给客户端PC上插着的USB Key，此为“冲击”。USB Key 使用该随机数与存储在USB Key中的密钥进行MD5运算得到一个运算结果作为认证证据传送给服务器，此为“响应”。与此同时，服务器使用该随机数与存储在服务器数据库中的该客户密钥进行MD5运算，如果服务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个合法用户。 图中“x”代表服务器提供的随机数，“Key”代表密钥，“y”代表随机数和密钥经过MD5运算后的结果。通过网络传输的只有随机数“x”和运算结果“y”，用户密钥“Key”既不在网络上传输也不在客户端电脑内存中出现，网络上的黑客和客户端电脑中的木马程序都无法得到用户的密钥。由于每次认证过程使用的随机数“x”和运算结果“y”都不一样，即使在网络传输的过程中认证数据被黑客截获，也无法逆推获得密钥。因此从根本上保证了用户身份无法被仿冒。 U盾的原理 简单来说就是加密狗 U盾——网上银行安全的卫士