USB Key身份认证指的是基于USB接口的一种智能密码钥匙,可提供基于硬件的身份认证。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。2017年我国发布国家标准GB/T35291《信息安全技术 智能密码钥匙应用接口规范》为智能密码钥匙设备制定统一的应用接口标准,通过该接口调用智能密码钥匙,向上层提供基础密码服务。为该类密码设备的开发、使用及检测提供标准依据和指导,有利于提高该类密码设备的产品化、标准化和系列化水平。同时,国家密码管理局还在不断修订和完善相关标准,以适应信息技术的发展和安全需求的变化。
传统USB key的需要采取一系列措施对密钥的存储进行加固、并防止被导出,然而面对信息科技的快速发展,这些防护措施面临更大挑战,被攻破只是时间的问题。基于PUF技术的USB key内置PUF芯片,存在以下优势:
l独一性:PUF原理依赖于晶体制造过程中固有的工艺随机变化特性,每颗PUF芯片均具有全球独一性,不可克隆、不可复制。
l无存储密钥:密钥仅再需要时结合硬件实时生成,用后即毁,攻击者无法偷窃不存在的密钥,大幅提升安全性。
l双因子认证:每一个USB Key都具有硬件PIN码保护,PIN码和硬件函数构成了用户使用USB Key的两个必要因素。
l硬件加密:基于物理不可克隆函数(PUF)的响应值对证书等关键信息进行加密存储,离开硬件永不可读。
l海量函数:PUF芯片可提供与硬件相关的海量的挑战-响应函数关系,结合软件策略能提供丰富的应用模式,可运用在网上银行、电脑安全、电子政务等。
电脑安全应用:USB key应用于终端电脑接入业务系统的安全防护主要包括登陆控制、网络端口控制、应用控制和远程认证。
登陆控制:登陆控制基于口令,长期使用后存在口令被窥探、泄露的安全风险,基于软硬结合的PUF安全套件可对登陆进行安全强化。
端口控制:电脑主机开机后锁定网络端口功能,自动查询硬件安全套件(USB Key)的存在,并基于PUF的CRP动态认证机制进行安全认证,认证通过后打开网络段口功能。
应用控制:电脑默认关闭特定应用软件或者浏览器对远程访问,唯有安全套件和口令认证通过后,启用响应功能。
接入认证:智能客户端软件结合USB key,实现电脑和操作人员的双认证,可以与以太网交换机、路由器、VPN网关等网络设备共同组网,实现用户终端进行身份验证、安全状态评估以及安全策略实施的主体,可以按照企业接入安全策略的要求,实现基于角色/身份的权限和安全控制。
