- 暂无更多图片。
Ikey 1032
- 产品品牌SafeNet
- 产品型号Ikey 1032
SafeNet iKey 1032 USB key可为多种应用程序及网络服务提供极具成本效益且容易使用的身份认证控制服务,就像虚拟专用网络 (VPN) 一样,它可控制 Intranet、Extranet及 Internet 的存取。另外,iKey 1032 系列也可以用在公共密钥基础架构 (PKI) 环境中。
iKey 1032 USB Key包括一个具有 USB 控制器的微处理器和内存,它们全部集成在一个小到可以串在您的钥匙链上的装置中。iKey 1032 系列提供极为可靠储存能力。
USB 控制器兼容USB 1.1/2.0,其作用类似于智能卡读卡器和智能卡。iKey 1032 内置MD5 算法。
iKey 1032 USB Key内的储存空间按照目录和文件划分,可以通过使用PIN码控制存取文件。iKey 1032 提供两级安全保护,即终端用户和系统管理员。授权终端用户可以通过PIN码进行身份验证并执行操作。管理员也可以通过独立的PIN码或密码来执行敏感操作,如初始化一个终端用户的 PIN码。
另一个敏感操作是初始化 iKey 1032 USB Key上的 PKI 功能。在 Windows 版本中,它是由管理员决定是否要从 iKey 1032 的存储空间分出一部份,专供内嵌在 iKey 1032软件库中的 PKI 功能使用。如果启动该功能,PKI 密码库会将专用内存分为两个部分。一部分作为公共储存区,可以储存数字证书、公共密钥、cookies以及其它没有受保护的数据。第二个储存区则是共享机密及专用密钥的专用储存区。这个专用区有验证的安全存取方式,数据也以安全保护方式保存。所有 PKI 功能都会在内嵌于 iKey 1032 系列 Windows 用户软件中的安全模块中执行。
iKey 1032 USB Key除了 RSA 算法外还可以执行其它多种安全算法,包括: DES、DES、3DES、RC2、RC4及 RC5算法。
SafeNet的iKey1032是基于USB的双因素认证令牌,可以很方便的集成到多种应用程序和网络服务中;比如虚拟专用网(VPN)、公司内部网、外部网和互联网的访问。同时iKey1032系列产品完全可以适用于公开密钥安全保护体系(PKI)。
iKey1032令牌由一个带有USB控制功能的处理器和一个存储器组成,这个存储器具有足够存储相应的密钥的能力。iKey1032提供的高性能可靠存储功能,性能如下表所示:
| iKey产品 | 存储区 | RSA软件支持 |
| IKEY1032 | 32KB | 1024位保护 |
USB控制器兼容USB 1.1/2.0标准,在功能实现上与智能卡加读卡器相似。iKey1032同时支持硬件级的MD5哈虚算法。
iKey1032内置有目录和文件系统。对于文件系统的访问可以通过用户PIN码的设置来安全实现。iKey1032的安全系统提供两种安全访问级别:用户和企业安全管理员。一个用户如果输入正确的PIN码就可以执行相应的操作。一个安全管理员通过输入不同的SO PIN执行更高级别的操作:比如,重新初始化用户的PIN码。
另外一种操作是将iKey1032令牌初始化成为在PKI环境中可以使用的格式。对于Windows版本,安全管理员可以决定分配多大的空间用于 PKI操作。所有这些函数功能的实现都包含在iKey1032系列软件的函数库中。
当用于PKI时,PKI函数库将存储区分成两个区域。一个区域存储数字证书、公钥和其它无需保护的公共数据。第二个存储区域用于存储私钥和共享密钥等私有信息。这些私有信息有安全的验证访问机制同时以保护的格式进行存储。
所有的PKI函数都在iKey1032的Windows客户软件中的安全模块中执行。当包含私钥的操作进行时,如果通过了用户证书PIN码的验证,安全模块从iKey1032令牌中重新得到相应的密钥来进行运算。
iKey1032系列软件和令牌可以执行除了RSA之外的更多安全算法,包括:DES(ECB和CBC模式)、DES、3DES、 RC2、 RC4和RC5。
客户端身份认证产品
产品概述
Internet对企业运作的影响使得信息技术产业(IT)在20世纪90年代末发生了巨大的变化。特别是此领域出现的三个重要趋势,更是需要引起所有IT行业管理者的重视,它们分别是:电子商务、远程访问和对更大安全性的需要,其中安全性是前两种趋势中至关重要的部分。没有识别、认证和付款核实的手段,电子商务就不会实现。同样,远程访问在赋予访问权限之前必需仔细认证用户。这些趋势在Intranet和 B2B的电子商务中日益明显,这种身份识别可以看作准许访问和相应的访问权限两个方面。
所有安全问题的核心是要为某个机构欲授予特权(如远程访问或被允许进入商务活动)的个人建立个人身份以及接下来对文件和要处理的事务进行认证。使用了各种安全方式来使接收者相信文件是从身份有效的发件人那里发出的,并且文件在传送过程没有遭到干扰。这种认证依赖于包含公钥、数字签名和管理这些资源的授权单位——认证机构在内的一套完整的软件保护技术基础设施。
我们首先要解决的是个人身份的认证。该项任务通常是用很不成熟(密码)或非常昂贵(生物测量法如视网膜扫描或指纹检查)的方式处理的。一种价格低于生物测定法、比单纯的密码更为安全的折中办法是基于双因素认证的解决方法,即使用智能卡。
SafeNet公司设计的新型iKey,可以工作在任何一台具有通用串行总线(USB)接口的微机,作为一个价格适中的身份识别令牌。它提供所有智能卡和密码令牌的可靠性、简便性和安全性,同时避免了读写设备的复杂安装和昂贵开销。
技术特点
1.iKey的优点
iKey采用与智能卡相同的,提供访问控制的文件系统。应用程序能使用它存储个人信息、私钥、密钥、许可协议、识别特征、数字证书或其它数据。使用iKey具有以下四个优点:
→可靠性:用户将个人信息存储在iKey上,可以保证即使发生系统故障仍然是安全的。SafeNet公司采用符合ISO9000国际质量认证的设备,全球提供超过三百万只iKey,产品具有同行业低故障率。
→便携性:iKey是连接在钥匙圈上的,用户永远不会忘记携带而且几乎不会丢失,iKey是插入USB接口的,所以对核查在远地区通过笔记本电脑拨入一个公司虚拟专有网络(VPN)或进入Intranet的用户来讲是理想的。非常适合个人使用,可以完美地满足网络应用和异地工作的便携要求。
→安全性:用户逐渐意识并且担心病毒和其它恶意软件能够访问保存在硬盘上的记录、控件、密码和其它个人信息。使重要信息不必保存在硬盘上,实现了“机密随身带”。同时作为双因素认证的解决方案,iKey提供了更加安全的保障形式。
不可仿制:用户不能复制iKey中的信息。 这意味着你可以使用它保存获得Internet服务的接入授权,不用担心被人盗用。换句话说,iKey没有密码普遍存在的共用问题。对iKey程序访问是通过SafeNet技术公司提供的应用程序编程界面(API)完成的。
2.硬件安全技术
iKey硬件电路中集成读/写功能,包含完成存储功能的资源和高速安全引擎。它使用通用串行总行接口(USB)提供电源并且与计算机通讯。内置的掉电保护随机访问存储器保存RAINBOW提供的出厂设置,以及用户提供的与应用程序有关的数据。iKey分为两个系列iKey1032和iKey2032。他们分别适用于不同的安全性级别之上,下面列出了两系列产品的技术特性。
→12MHz 微处理器
→8K存贮单元(可扩展到32K)
→符合X.509数字证书存储标准
→iKey1032内置有MD5算法芯片。iKey2032内置有RSA算法芯片
→软件控制状态指示灯,可方便观察和计算机的接通情况
→64位全球唯一系列号
→USB接口。支持带电插拔,即插即用
→随机数生成器
→iKey1032有两级口令设置:PIN 和 SO PIN。并且可重试次数可设定,输入PIN错误次数超过设定值则iKey锁死。iKey2032只有一级PIN,并且PIN错误次数超过设定值则iKey所存数据销毁
→三级文件操作权限管理: 访客模式(Guest)、用户模式(User)、超级管理员模式(Administrator)
→内置两级目录文件结构
3.软件实现
→支持全部Windows平台(95/98/NT/2000), Apple Macintosh平台。SafeNet公司提供虚拟智能卡读卡器的驱动程序。 API被放在iKey开发工具箱中,软件开发工具包(SDK)包含了访问iKey进行读写的功能,还可进行复杂的加解密工作
→图形化的读写编辑iKey硬件的工具,易于使用
→ActiveX部件(non-scriptable和script safe) 其中script safe
→ActiveX可用于网络浏览器环境; non-scriptable ActiveX可用于一般编程环境(如VB,Delphi等)
→通过浏览器访问iKey的Java插件
→供C语言调用的库
→支持128位密码长度的Microsoft CAPI
→中间件(Middleware):PKCS#11(支持128位密码长度),CSP
4.iKey身份认证原理
iKey内置有MD5算法芯片,以特有的挑战—响应式方法来实现网络身份认证。他的实现原理如下图, 参与运算的数有两个:一个可以是随机数,另一个是事先预设的算法因子(分别存放在服务器的用户数据库和iKey硬件内部的存储器)。MD5 Hash算法可以保证两个运算数哪怕只发生一位数字的变化,运算结果也会变得完全不一样。因为每次验证运算的其中一个运算数是随机数,所以每次的运算结果也是随机变化的。由此保证运算结果在传输中不怕被截获。
步骤:
1.服务器或客户端取得随机数,并将之发给对方。
2.取出各自存储的算法因子。
3.对这两个数进行运算。
4.看运算结果是否一致。 如果一致,说明两端的算法因子是一致的(因为随机数是共用的,影响结果的只能是算法因子)。进而推出客户端的算法因子是约定的数---客户是合法的用户。
客户端身份认证产品 iKey1032解决方案
iKey1032的安全解决方案
1.公章管理系统
公章管理系统是在微软的Office 2000和Office XP的基础之上通过把数字证书和私钥存于iKey1032,来实现了传统办公过程中加盖公章的功能,用户把iKey插入USB接口,可以给Word或Excel文档加盖公章,一旦加盖公章后,该文档即被保护起来,没有任何办法可以修改此文档。
公章以传统的红章的形式在文档中表现。一旦保护保存后文档和公章即成为一个整体,正文的内容和公章以及公章的位置都不能被修改。同时正文的内容会通过摘要算法摘要并加载安全防护后存在公章中,即使用户通过非常规的方法,如二进制地修改文档(但目前还没有发现这类方法)对公文进行修改,当文档再次被打开时公章会自动变黑。
针对有些打印机可以进行分色打印以至给不法分子伪造公文带来便利的问题,盖过章的文档可以指定打印机类型。如果打印机类型不符合要求,则打印出来的公章为黑色—视同复印件。
改公章的显示和打印分别采用了不同的技术,所以即使通过屏幕拷贝等方法把文档中公章剪裁下来,并用它来伪造文档,打印出来后与真正的公文有明显的区别。
另外该技术还可以和数字签名技术集成,使得安全性得到更有效的保证。和单纯的数字签名相比,它屏蔽了很多深奥的计算机概念如:PKI理论、证书、私钥、公钥等等。这些概念对于非专业人员来说往往很难理解。用户只要盖章即进行数字签名。打开文档时章为红色即数字签名验证通过,为黑色即数字签名验证未通过。
2.九运会“电子身份认证”
在九运会举行期间,广东省电子商务认证中心向九运会组委会提供了一批数字证书,存放在iKey1032介质上,用于网上人员注册系统。与会者每人获得一张“电子身份证”,保证在身份识别过程中的便捷、有效及安全。作为在体育赛事中运用这一高科技认证手段进行运作管理在国内外尚属首次,“电子身份证”成为九运会的一大亮点。
在以往举行的全运会上,运动员、教练员、记者、政府官员等要参加运动会,登记资料或要获取相关的信息的时候,都是通过书面的形式向组委会提交信息或获取资料,一时之间大量的文字资料或重要文件通过传真或邮寄的方式纷纷在组委会和参与者之间重复繁琐地传递着,这样,浪费大量的人力物力去处理这些文件就成为了历年来全运会的一大难题。
采用iKey1032作为私钥和数字证书存储的九运会人员网上注册系统是一个专门对参加九运会的运动员、教练员、裁判员、记者等人员的身份信息进行综合管理和利用的互联网系统。参加九运会的运动员、教练员、记者、政府官员只要随身带上组委会派发的一个iKey,就可以安全快捷地取得九运会新资料。
具体的操作情况是:运动员、教练员、记者、政府官员只要随身带上组委会派发的一个 USB电子令牌---iKey(令牌里面存储着由广东省电子商务认证中心提供的数字证书私有密钥),无论何时何地都可以通过互联网和“九运会”取得联系,安全快捷地获取九运会新的资料,这种方式就像用钥匙开保险柜,然后输入密码取得物品,不同的是整个过程都是在互联网上完成的,只需要几秒钟,你就可以安全地将远隔万里的资料送到手上。
3.解决方案的全球合作伙伴
Ashley Laurant , Baltimore,Celo,Digital Signature Trust ,Entrust , GlobalSign Kyberpass , Netscape , Verisign , RSA Keon CA , Wisekey , Xcert , Secure Computing
