Ukey功能介绍及在密评中身份验证的应用示例

UKey是什么及用途

UKey，又叫智能密码钥匙，是一种通过USB (通用串行总线接口)直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备。ukey 是对现行的网络安全体系的一个极为有力的补充，基于可信计算机及智能卡技术把易用性，便携性和最高级别的安全性带给了使用浏览器进行Web访问（Web应用登录），在线交易（购物，付款），收发电子邮件，在线聊天交友及表单签名，文件数字签名等操作的用户，保证用户在ukey下的操作不可篡改，抵赖。Ukey最大的特点就是安全性高，技术规范一致性强，操作系统兼容性好，携带使用灵活。

 

等保和密评中的身份鉴别要求

在等保和密评中，其中“网络和通信安全”、“设备和计算安全”、“应用和数据安全”三部分都有对身份鉴别真实性的明确要求，需要采用密码技术对用户进行身份验证。采用国密认证的Ukey即可满足上述要求。

国密对Ukey要求

GM/T 0027是国家密码局颁发的关于Ukey智能密码钥匙的行业标准。其中关于密钥管理部分包括：

 

• 密钥结构：智能密码钥匙必须至少支持三种密钥：设备认证密钥、用户密钥、会话密钥。设备认证密钥用于终端管理程序和设备之间的相互认证，以获得终端对设备上的应用进行管理的权限。用户密钥指用于签名和签名验证、加密和解密的非对称密钥对。会话密钥指临时从外部密文导入或内部临时生成的对称密钥，使用完毕或设备掉电后即消失。
• 密钥管理功能：智能密码钥匙应具有对用户密钥和会话密钥的产生、存储、使用、导入、导出、协商等功能。
• 密钥存储：必须至少能保存2对RSA密钥对、2对SM2密钥对和2个对称密钥（包含1个设备认证密钥和1个会话密钥的空间）。智能密码钥匙中密钥必须安全存储，所有私钥都不可导出，对称密钥不可以明文导出。
• 随机数生成：随机数生成应当符合GM/T 0005,随机数应由多路噪声源产生。

应用场景

USB Key可以实现身份认证、电子签名/签章、安全邮件、文件加解密、数据加解密、传输加密、交易信任关系建立、交易信息加密等，可广泛应用于电子政务、电子商务及内网安全领域。

 

身份认证

通过Ukey来实现身份验证可以通过多种方式，读取KeyID，公私钥对签名验签或者通过CA证书都可以实现。

 

通过UKey签名可以实现身份认证，因为UKey中包含的私钥就只有指定身份才能持有，拿使用UKey数字签名登录后台为例，

    ○ 首先插入UKey设备，然后签名随机生成的验证码，得到签名数据，

    ○ 再输入用户名一起提交到后台，后台先做验证码正确性检查，

    ○ 然后再通过用户名查询定位数据库中的用户签名证书记录，

    ○ 使用用户的签名证书对用户传过来的签名数据进行验签，

    ○ 如果验证通过则证明是对应的用户，从而实现身份认证过程。

这种方式比传统的口令认证更安全，甚至可以不需要用户名就可以登录验证，用户名是可以保存在数字证书信息中的，并且证书的序列号在同个CA中也是唯一的。

安当UKey

安当UKEY是以国密安全芯片为基础，完全遵照国家密码管理局颁布的《智能IC卡及智能密码钥匙密码应用接口规范》要求设计的一款多功能、多应用 UKEY，支持 Windows、Linux等多种操作系统，并已适配国产操作系统，支持DES、AES、SM1、SM4对称加密算法，支持RSA、ECC（SM2）非对称算法，支持SHA（SM3）哈希算法。可广泛应用在PKI认证、数字签名、数据（实时）加解密等方面。同时我们提供了多种插件，方便用户进行对接使用。