基于USBKey的電子認證在國產操作系統應用技術方法

王紹剛 劉海法 王 申 寧紅宙 張慶勝

(航天信息股份有限公司技術研究院 北京 100195)

?

基于USBKey的電子認證在國產操作系統應用技術方法

王紹剛 劉海法 王 申 寧紅宙 張慶勝

(航天信息股份有限公司技術研究院 北京 100195)

(wangshaogang@aisino.com)

主要介紹了基于USBKey的電子認證在國產操作系統應用的幾種技術方法，詳細論述了這幾種方法的技術相關流程，這些方法可以適用于航天信息股份有限公司自主研發的USBKey產品與國產相關操作系統進行底層的深度結合和應用，實現安全可靠的電子認證系統.

USBKey；電子認證；數字簽名；國產操作系統；CA

近年來，由于美國中央情報局技術分析員斯諾登爆出“棱鏡門”事件，曝光了美國對全世界范圍內從國家元首到普通個人的監視和監聽，這使得人們對于美國的微軟、蘋果、谷歌、IBM等網絡軟硬件巨頭公司也產生了很大的懷疑，很可能這些企業也都參與其中，在和平年代這些問題暴露得不太明顯，但是一旦發生戰爭這將會使我們的電腦和網絡處在極大的危險之中.因此網絡信息安全問題已經成為全世界乃至我國社會關注的焦點，使用安全可靠的國產操作系統軟硬件對我國國家安全和科技進步都有著極大的意義.隨著網絡互聯網技術的迅猛發展，國家和企業也意識到在網絡環境下的電子認證系統可能遭受到的攻擊和威脅，而目前USBKey是作為世界上解決電子認證系統可能遭受到安全威脅的一個很重要的解決方法[1]，它的特點是經濟實惠且安全系數較高，同時國家乃至整個社會也應該意識到發展適用于我國操作系統自主研發的USBKey重要性.

1 關于USBKey

USBKey是一種基于USB接口與PC相連接的小巧硬件設備，可將個人信息數據加載到內置的芯片當中，它結合了現代密碼學、USB技術等流行軟硬件技術，有數字簽名、數據加解密、存儲證書等功能.它具有雙因子認證[2]、安全存儲空間、硬件實現加密算法、使用方便，安全可靠、基于沖擊-響應的認證模式等很多特點.USBKey不僅可用于電子文件、軟件等方面的加密，還可用于電子政務內外網、電子商務網、金融機構證書認證中心、企業內部網等方面，同時也可以提供安全可靠的電子認證加密技術，能夠保證相關網絡系統的安全性.目前我國國產操作系統比較適合應用在有特定目標的軟硬件結合方面，因此在USBKey和國產操作系統具體軟硬件結合度應用上面值得進一步探索研發.

2 基于USBKey的電子認證在國產操作系統應用技術方法介紹

2.1 由USBKey、數據庫、國產操作系統構成整個電子認證系統應用方法

該系統主要用于用戶單機版的安全加密，實現本地用戶的數據、文件等方面的電子認證和加密，可用于各種桌面PC電子認證安全系統和當前網絡無法登錄的各種脫機情況中，其主要步驟方法流程如圖1所示.

1) 將USBKey插入PC端的USB接口上面,PC端上面的國產操作系統加載動態鏈接庫并發出一個驗證請求，獲取到USBKey中的用戶身份ID號碼.

2) 用戶在PC國產操作系統上面的訪問驗證窗口輸入個人信息如用戶名以及密碼,PC端驗證該用戶是否為合法用戶，其中USBKey內置單向函數、PIN碼、用戶訪問網絡服務器的密碼.用戶每次使用之前必須先輸入PIN碼.

3) 存儲在PC服務器數據庫中對該用戶密鑰進行核對，如果PC端的運算結果與USBKey傳回的響應結果相同，則認為該用戶是一個合法用戶.

4) PC端將所要加載的相關信息數據反饋傳入USBKey當中.

5) USBKey將傳入的信息數據進行加密處理，并將加密后的數據再傳入PC端，所有傳輸的信息數據均為加密信息,用戶在USBKey支持下完成對數據的加密、簽名, 同時PC端國產操作系統在USBKey的支持下完成對數據的解密、驗證簽名.

圖1 USBKey與單機情況下國產系統電子認證處理流程

2.2 由USBKey、國產操作系統、網絡以及CA構成整個電子認證系統應用方法

該系統主要用于用戶在線注冊協議、電子認證等方面，網絡方面主要分為涉密網和非涉密網絡，根據目標機構的業務系統基于涉密運行的要求，將會與CA系統采取隔離的方式集成.其中在非密網中，CA負責頒發證書和管理證書，發布吊銷列表，用戶操作RA下載并制作數字證書到USBKey；在涉密網絡中，通過USBKey中的證書，用戶登錄國產操作系統時提供身份認證并建立數據安全傳輸通道，同時國產操作系統使用CA提供的API函數，解析證書并提取用戶證書中的DN,SN等信息，獲取證書用戶對應的業務權限，并且可對指定的業務數據進行數字簽名.非密網絡生產數字證書，涉密網絡使用數字證書，保證涉密信息的安全性.其主要步驟方法流程如圖2所示.

1) 用戶將USBKey插入PC端上面，并生成公鑰與私鑰對.

2) USBKey將自己的信息通過CA發布的公開密鑰加密[3].

3) 利用PC端的國產操作系統將加密信息傳給CA.

4) CA利用自己的私鑰解密獲得用戶原始信息，并生成數字簽名證書.

5) CA將加密信息和數字簽名證書發送到PC端.

6) PC端國產操作系統將數據信息發給USBKey進行驗證，如驗證一致則說明用戶合法.

圖2 USBKey,CA與國產系統在線電子認證處理流程

2.3 由USBKey、國產操作系統、網絡、安全服務中心以及CA構成整個電子認證系統應用方法

此方法與2.2節的應用方法總體上很相似，這里加入了一個安全服務中心主要用于對USBKey用戶的身份認證，并且可以賦予用戶安全傳輸數據的權力，增加了一層安全保障，如圖3所示.

1) 將USBKey插入PC端國產操作系統獲取到USBKey中的用戶身份ID號碼.

2) 用戶選擇并提交用戶證書，USBKey要求輸入訪問口令(PIN碼).

3) USBKey將加密后的信息發送到安全服務中心.

4) 安全服務中心獲得此信息后，從CA那里獲得數字簽名證書解密USBKey加密信息密鑰[4-5].

5) 如果驗證成功則可以創建SSL加密會話隧道，實現用戶的安全代理訪問.

圖3 USBKey、安全服務中心、CA與國產系統在線電子認證處理流程

3 結 論

Aisino USBKey是由航天信息股份有限公司研制和開發的基于USB接口的免驅動智能密碼鑰匙，該產品采用國內首款具有SSF33算法和SM1算法IP核的SSX45安全芯片，內嵌自主研發的芯片操作系統，具有高安全性、高性能、高可靠性以及完善的功能.根據國家安全可靠的需求通過上述幾種技術方法，Aisino USB Key可與中標麒麟、銀河麒麟、共創Linux等國產操作系統應用于電子安全認證.

[1]楊桓. 基于USB KEY的身份認證技術的相關研究[J]. 軟件導刊, 2011, 10(3): 154-156

[2]左志斌. 一種基于數字證書的USBKey身份認證方案[J]. 河南科技, 2015, 572(9): 11-13

[3]吳永英, 鄧路, 肖道舉, 等. 一種基于USBKey的雙因子身份認證與密鑰交換協議[J]. 計算機工程與科學, 2007, 29(5): 56-59

[4]Zhang F, Kim K. ID-based blind signature and ring signature from pairing[G]LNCS 2501: Advances in Cryptology Asiacrypt 2002. Berlin: Springer, 2002: 533-547

[5]Boneh D, Lynn B, Shacham H. Short signatures from the Weil Pairing[G]LNCS 2248: Advance in Cryptology—ASIACRYPT’2001. Berlin: Springer, 2001: 514-532

王紹剛

博士，中級工程師，主要研究方向為電子政務、信息安全、地理信息系統、遙感技術.

wangshaogang@aisino.com

劉海法

碩士，高級工程師，主要研究方向為網絡安全.

liuhaifa@aisino.com

王 申

碩士，高級工程師，主要研究方向為網絡安全.

wangshen@aisino.com

寧紅宙

博士，高級工程師，主要研究方向為網絡與信息安全、數字證書應用.

ninghongzhou@aisino.com

張慶勝

碩士，高級工程師，主要研究方向為網絡安全.

zhangqingsheng@aisino.com

Application Technology of Electronic Authentication Based on USBKey in Domestic Operating System

Wang Shaogang, Liu Haifa, Wang Shen, Ning Hongzhou, and Zhang Qingsheng

(AisinoCorporation,TechnologyResearchInstitute,Beijing100195)

This article mainly introduced the electronic certification based on USBKey in domestic operating systems, and application of several technical methods is discussed in detail the technical process. These methods can be applied to Aisino corporation independent research and development of USBKey products combined with the depth of the domestic related to the underlying operating system and application, realizing the safe and reliable electronic authentication system.

USBKey; electronic authentication; digital signature; domestic operating system; CA

2016-05-29

TP309