u盾的利弊? 網絡的發展，出現了電子商務，并且迅速地發展電子商務有着無比的優越性：方便，高效，快速，經濟等，被人們推崇但涉及到錢的問題，所以對安全很明感，必須要有一整套的安全措施來保障交易的安全傳統的安全保障措施就是用戶名和密碼，顯而易見，這是很不安全的IC卡是一種内置集成電路的芯片，芯片中存有與用戶身份相關的數據IC卡由專門的設 備生産，是不可複制的硬件IC卡由合法用戶随身攜帶，登錄時必須将IC卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份簡單易行,但容易被留駐内存的木馬或網絡監聽等黑客技術竊取，下面我們就來聊聊關于u盾的利弊?接下來我們就一起去了解一下吧!

u盾的利弊

網絡的發展，出現了電子商務，并且迅速地發展。電子商務有着無比的優越性：方便，高效，快速，經濟等，被人們推崇。但涉及到錢的問題，所以對安全很明感，必須要有一整套的安全措施來保障交易的安全。傳統的安全保障措施就是用戶名和密碼，顯而易見，這是很不安全的。IC卡是一種内置集成電路的芯片，芯片中存有與用戶身份相關的數據。IC卡由專門的設 備生産，是不可複制的硬件。IC卡由合法用戶随身攜帶，登錄時必須将IC卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。簡單易行,但容易被留駐内存的木馬或網絡監聽等黑客技術竊取。

現在的網絡支付中存在着很多缺陷：(1) 網絡數據流的：在用戶和銀行交易的過程中，被第三方通過各種方法截獲數據流，分析數據中的信息從而得到用戶的信息。(2) 木馬的竊聽：用戶電腦中了病毒或者木馬之後，電腦被監聽，用戶和銀行交易的信息被木馬記錄，用戶的信息就這樣被盜了。(3) 窮舉攻擊：攻擊者使用有意義的數字作為密碼來不斷嘗試持卡人的密碼。如果持卡人的密碼是未經過改動的初始密碼或一個特殊、容易被分析的數字，則密碼很容易被攻擊者窮舉出來。(4) 網絡釣魚：第三方利用銀行的身份給用戶發信息，要求用戶提供賬号和密碼，如果用戶提供了的話就洩露了自己的信息了。或者是第三方假冒銀行或者交易的網站， 對沒有認真辨别的情況下，用戶很容易上當從而洩露自己的信。

U盾的出現就是解決上面所說的安全問題。

一、什麼是U盾

U盾，即工行2003年推出的客戶證書USBkey，是工商銀行為客戶提供的辦理網上銀行業務的高級别安全工具。它是一個帶智能芯片、形狀類似于閃存的實物硬件，時刻保護着您的網上銀行資金安全。從技術角度看，U盾是用于網上銀行電子簽名和數字認證的工具，它内 置微型智能卡處理器，基于PKI技術，采用1024位非對稱密鑰算法對網上數據進行加密、解密和數字簽名，确保網上交易的保密性、真實性、完整性和不可否 認性。它設備雖然小巧，但技術含量極高。該産品采用了目前國際領先的信息安全技術，核心硬件模塊采用智能卡CPU芯片，内部結構由CPU及加密邏輯、 RAM、ROM、EEPROM和I/O五部分組成，是一個具有安全體系的小型計算機。除了硬件，安全實現完全取決于技術含量極高的智能卡芯片操作系統 (COS)，該操作系統就象DOS、WINDOWS等操作系統一樣，管理着與信息安全密切相關的各種數據、密鑰和文件，并控制各種安全服務。USBKey 具有硬件真随機數發生器，密鑰完全在硬件内生成，并存儲在硬件中，能夠保證密鑰不出硬件，硬件提供的加解密算法完全在加密硬件内運行。

二、工作原理

U盾又作移動數字證書，它存放着你個人的數字證書，并不可讀取。同樣，銀行也記錄着你的數字證書。

當你嘗試進行網上交易時，銀行會向你發送由時間字串，地址字串，交易信息字串，防重放攻擊字串組合在一起進行加密後得到的字串A，你的U盾将跟據你的個人證書對字串A進行不可逆運算得到字串B，并将字串B發送給銀行，銀行端也同時進行該不可逆運算，如果銀行運算結果和你的運算結果一緻便認為你合法，交易便可以完成，如果不一緻便認為你不合法，交易便會失敗。

( 理論上，不同的字串A不會得出相同的字串B，即一個字串A對應一個唯一的字串B; 但是字串B和字串A無法得出你的數字證書，而且U盾具有不可讀取性，所以任何人都無法獲行你的數字證書。并且銀行每次都會發不同的防重放字串(随機字串)和時間字串，所以當一次交易完成後，剛發出的B字串便不再有效。綜上所述，理論上U盾是絕對安全的。注意是理論上發生僞造概率大約為2的80次方分之一。)

U盾的原理很類似于雙向認證的TLS(SSL)或者其它用到RSA的雙向證書驗證手段，以下步驟可能和U盾實際執行的有所區别，但本質相同：

--銀行先給你一個"沖擊"，它包含了随機數，以及該随機數HASH，它們都由公鑰加密，這樣就可以保證隻有你能解密這個"沖擊"

--你計算該随機數的HASH，并和用私鑰解出的HASH，兩者相同後，便可确認銀行的身份

--接下來，以一個隻有你和銀行知道的算法，利這個随機數和一些其它信息，生成"響應"和相應的HASH，再用私鑰加密後發回銀行。(此時銀行也以相同的算法計算該"響應")

--銀行用公鑰解密，并驗證HASH正确，接下來銀行比較兩個"相應"是否相同，相同的話客戶的身份也确認了，至于私鑰的保密性由U盾來完成。U盾的控制芯片被設計為隻能寫入證書，不能讀取證書，并且所有利用證書進行的運算都在U盾中進行。所以，隻能從U盾讀出運算結果。

ps:

和平常登錄HTTPS網站不一樣的是，一般HTTPS在TLS握手時，隻要驗證服務器身份成功便可完成握手。

接下來以前面的"随機數"導出對稱加密算法的密鑰，開始加密鍊接

（一）U盾的安全措施

1.硬件PIN碼保護

U 盾采用了使用以物理介質為基礎的個人客戶證書，建立基于公鑰PKI技術的個人證書認證體系(PIN碼)。黑客需要同時取得用戶的U盾硬件以及用戶的 PIN碼，才可以登錄系統。即使用戶的PIN碼洩露，U盾沒有丢失，合法用戶的身份就不會被仿冒，如果用戶U盾丢失，其他人不知道用戶的PIN碼，這也是 無法假冒合法用戶的身份。

2.安全的密鑰存放

U盾的密鑰存儲于内部的智能芯片中，用戶無法從外部直接讀取，對密鑰文件的讀寫和修改都必須由U盾内部的CPU調用相應的程序文件執行，從而U盾接口的外面，沒有任何一條指令能對密鑰區的内容進行讀取、修改、更新和删除，這樣可以保證黑客無法利用非法程序修改密鑰。

3.雙密鑰密碼體制

為 了提高交易的安全，U盾采用了雙鑰密碼體制保證安全性，在U盾初始化的時候，先将密碼算法程序燒制在ROM中，然後通過産生公私密鑰對的程序生成一對公私密鑰，公私密鑰産生後，密鑰可以導出到U盾外，而私鑰則存儲于密鑰區，不允許外部訪問。進行數字簽名時以及非對稱解密運算時，凡是有私參與的密碼運算隻 在芯片内部即可完成，全程私鑰可以不出U盾介質，從而來保證以U盾為存儲介質的數字證書認證在安全上無懈可擊。

4.硬件實現加密算法

U盾内置CPU或智能卡芯片，可以實現數據摘要、數據加解密和簽名的各種算法，加解密運算在U盾内進行，保證了用戶密鑰不會出現在計算機内存中。

(二) U盾進行銀行和客戶身份的雙向認證

1、基于沖擊-響應認證模式

USB Key内置單向散列算法（RSA），預先在USB Key和服務器中存儲一個證明用戶身份的密鑰，當需要在網絡上驗證用戶身份時，先由客戶端向服務器發出一個驗證請求。服務器接到此請求後生成一個随機數回 傳給客戶端PC上插着的USB Key，此為“沖擊”。USB Key使用該随機數與存儲在USB Key中的密鑰進行RSA運算得到一個運算結果作為認證證據傳送給服務器，此為“響應”。與此同時，服務器使用該随機數與存儲在服務器數據庫中的該客戶密 鑰進行RSA運算，如果服務器的運算結果與客戶端傳回的響應結果相同，則認為客戶端是一個合法用戶。

2.基于PKI的數字證書的認證模式

PKI（Public Key Infrastructure）即公共密鑰體系，即利用一對互相匹配的密鑰進行加密、解密。一個公共密鑰（公鑰，public key）和一個私有密鑰（私鑰，private key）。其基本原理是：由一個密鑰進行加密的信息内容，隻能由與之配對的另一個密鑰才能進行解密。公鑰可以廣泛地發給與自己有關的通信者，私鑰則需要十 分安全地存放起來。

每個用戶擁有一個僅為本人所掌握的私鑰，用它進行解密和簽名；同時擁有一個公鑰用于文件發送時加密。當發送一份保密文件時，發送方使用接收方的公鑰對數據 加密，而接收方則使用自己的私鑰解密，這樣，信息就可以安全無誤地到達目的地了，即使被第三方截獲，由于沒有相應的私鑰，也無法進行解密。

沖擊響應模式可以保證用戶身份不被仿冒，但無法保證認證過程中數據在網絡傳輸過程中的安全。 而基于PKI的“數字證書認證方式”可以有效保證用戶的身份安全和數據傳輸安全。數字證書是由可信任的第三方認證機構——數字證書認證中心 （Certficate Authority, CA）頒發的一組包含用戶身份信息（密鑰）的數據結構，PKI體系通過采用加密算法構建了一套完善的流程，保證數字證書持有人的身份 安全。而使用USB Key可以保障數字證書無法被複制，所有密鑰運算在USB Key中實現，用戶密鑰不在計算機内存出現也不在網絡中傳播，隻有USB Key的持有人才能夠對數字證書進行操作，安全性有了保障。由于USB Key具有安全可靠，便于攜帶、使用方便、成本低廉的優點，加上PKI體系完善的數據保護機制，使用USB Key存儲數字證書的認證方式已經成為目前主要的認證模式。

(三) U盾的交易過程

使用U盾前，一般都要安裝驅動，使U盾能正常工作。另 外安裝數字證書認證身份。當用戶需要交易向銀行提交訂單要支付的時候，這時要驗證用戶的身份，系統提 示用戶插入U盾，并輸入U盾的密碼，系統會在後台驗證，用戶看不到過程，一經驗證通過，用戶就可以使用繼續輸入網上支付密碼和驗證碼，驗證都正确後交易就 完成 。有了U盾，交易就是很安全的，可以說是無懈可擊。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!