你是不是曾經疑惑，開通網銀為什麼一定要配發U盾呢?今天這篇推送或許可以回答你這個問題。U盾(USBkey)，即銀行系統在2003年推出并獲得國家專利的客戶證書USBkey的俗稱，是銀行提供的辦理網上銀行業務的高級别安全工具。它外形酷似U盤，像一面盾牌，時刻保護着網上銀行資金安全。U盾是用于網上銀行電子簽名和數字認證的工具，它内置微型智能卡處理器，采用1024位非對稱密鑰算法對網上數據進行加密、解密和數字簽名，确保網上交易的保密性、真實性、完整性和不可否認性。本文節選汪德嘉博士《身份危機》一書中 U盾(USBKEY)章節，帶大家了解U盾是如何确認網絡用戶的身份和用戶數據的安全?

擁有U盾，人們辦理網上銀行業務時，不用再擔心黑客、假網站、木馬病毒等各種風險，U盾可以有效保障銀行客戶的網上銀行資金安全。除U盾外，各銀行還推出了一系列安全措施：通過别名登錄(一種不同于傳統賬号登錄的自定義登錄方式)，登錄密碼和支付密碼雙重密碼控制，以及支付額度控制等措施來确保客戶安全;通過網址核對、網站證書驗證、預留信息驗證等方式來識别和防範假冒銀行網站。

U盾作為移動數字證書，它存放着一位銀行客戶個人的數字證書，并不可讀取。同樣，銀行也記錄着這一客戶的數字證書。當銀行一客戶嘗試進行網上交易時，銀行會向其發送由時間字串，地址字串，交易信息字串，防重放攻擊字串組合在一起進行加密後得到的字串A，客戶的U盾将根據客戶的個人證書對字串A進行不可逆運算得到字串B，并将字串B發送給銀行，銀行端也同時進行該不可逆運算，如果銀行運算結果和客戶的運算結果一緻便認為客戶合法，交易便可以完成，如果不一緻便認為不合法，交易便會失敗。理論上，不同的字串A不會得出相同的字串B，即一個字串A對應一個唯一的字串B：但是字串B和字串A無法得出你的數字證書，而盾具有不可讀取性，所以任何人都無法獲得你的數字證書。并且銀行每次都會發不同的防重放字串(随機字串)和時間字串，所以當一次交易完成後，剛發出的B字串便不再有效。綜上所述，理論上U盾是絕對安全的，其理論上發生僞造概率大約為2的80次方分之一。

U盾的發展史

1、一代U盾

它是由一塊内置安全系統芯片、電子數字證書與簽名秘鑰構成的。安全芯片的作用是對使用U盾計算機進行安全掃描，排除風險。電子數字證書與網站安全證書互動，實現用戶登錄安全保障，而每個U盾特有的簽名秘鑰是不可以被複制的，秘鑰的唯一性特質，再次加強其安全防護。

一代U盾是基于便利性的理念，外形就像一個USB，因此在提議之初便得到了發展。同時，U盾是基于PKI技術，并且采用1024位非對稱密鑰算法對網上數據進行加密、解密和數字簽名等相關操作，确保網上交易的真實性與安全性。它設備雖然小巧，但技術含量極高。

随着電子商務和PKI應用的興起，數字證書作為确認用戶身份和保護用戶數據有效手段越來越被人們所接受。然而數字證書實質上表現為帶有用戶信息和密鑰的一個數據文件，如何保護數字證書本身又成為PKI體系中最薄弱的環節。數字證書可以保存在各種存儲介質上，如軟盤、硬盤等。國内CA早期頒發的數字證書都是以軟盤的形式發放，或者由用戶從網絡上下載，然後導入到系統中保存在硬盤上。然而，用軟盤保存數據是非常不可靠和不安全的，軟盤雖然便于攜帶，卻非常容易損壞，而用硬盤保存數據雖然不容易損壞，但是不便于攜帶，更緻命的是不論用硬盤還是用軟盤保存數字證書都非常容易被複制或被病毒破壞。雖然一般數字證書都帶有密碼保護，然而一旦證書被非法複制，整個安全系統的安全性就降低到僅僅靠密碼保護的級别。于是，專門用于存儲秘密信息的U盾就很自然的成為數字證書的最佳載體。

U盾廠家将U盾與PKI技術相結合，開發出了符合PKI标準的安全中間件，利用U盾來保存數字證書和用戶私鑰，并對應用開發商提供符合PKI标準的編程接口如PKCS#11和MSCAPI，以便于開發基于PKI的應用程序。由于U盾本身作為密鑰存儲器，其自身的硬件結構決定了用戶隻能通過廠商編程接口訪問數據，這就保證了保存在U盾中的數字證書無法被複制，并且每一個U盾都帶有PIN碼保護，這樣U盾的硬件和PIN碼構成了可以使用證書的兩個必要因子。如果用戶PIN碼被洩漏，隻要保存好U盾的硬件就可以保護自己的證書不被盜用，如果用戶的U盾丢失，獲得者由于不知道該硬件的PIN碼，也無法盜用用戶存在U盾中的證書。與PKI技術的結合使U盾的應用領域從僅确認用戶身份，到可以使用數字證書的所有領域。

但一代U盾的客戶獲得交易單詳情地途徑隻有由計算機屏幕上的網頁，增大了資料交互經曆被不法分子攻擊的危險。同時，一代U盾并沒有一個危險預報功能，在對信息進行簽名操作時，不會針對性的提示，也不會提供給用戶下一步操作的步驟。這無疑大大增加了U盾被遠程劫持的可能性，甚至出現客戶簽名的是未知訂單，造成意外财産損失。一代U盾主要有以下兩個關鍵問題：(1)網頁病毒後台修改未完成的交易項或支付信息，強行讓用戶打款給黑客或是完成不法分子的訂單。(2)罪犯通過木馬将客戶在電腦上使用的U盾進行虛拟至他本地的計算機，用客戶财産進行支付或轉賬活動。

2、二代U盾

二代U盾，在一代USBKey基礎上增加顯示、按鍵功能。一代U盾已是比較成熟的安全産品，但是近年來對U盾産品的攻擊手段不斷翻新，層出不窮。近來，黑客通過“木馬”遠程控制主機，冒用合法用戶的U盾，為非法數據生成合法簽名的案件已有發生。雖然這類案件主要由于客戶端環境的脆弱性導緻，與U盾本身的安全性沒有太大關系，但隻有解決在危機四伏的客戶端環境下使用網上銀行的安全問題，才能真正解決用戶和銀行的後顧之憂，促進網上銀行應用的健康發展。

在此背景下，為了解決一代U盾應用中由于終端交易環境不安全而存在的“交易僞造”和“交易劫持”問題，在2005年提出了“基于可參與性的網絡可信交易理論”，并以此為基礎，針對具體工程實現，提出了操作控制列表技術(OperationControlList，簡稱OCL技術)。它從硬件認證設備端入手，充分考慮已有應用環境的兼容性和便利性，避免對平台及交易環境的改變，很好地解決了終端交易環境不安全所帶來的“交易僞造”和“交易劫持”問題，因而得到了産業界和各商業銀行的廣泛認可和支持。OCL技術現已成為中國主流商業銀行高端U盾的技術标準。

随着二代U盾産業鍊的成熟，産品成本不斷降低，為二代U盾産品的大規模商用奠定了良好的物質基礎。從2010年開始，目前國内最大的工、農、中、建四家國有商業銀行均已大規模發行二代U盾産品，累計發行量已超5000萬支，從技術上和經濟上證明了其可行性。2012年，各股份制銀行、城市商業銀行、農信銀系統都已開始進行二代U盾産品招标和測試工作。二代U盾産品的推廣和使用，徹底解決了網上銀行交易過程中客戶端操作的安全隐患，為網上銀行業務的深入開展奠定了堅實的基礎，使各金融機構在網上銀行業務的推廣過程中再無後顧之憂。

3、三代U盾

随着具有PKI功能的多應用金融IC卡的發行，在金融IC卡中實現數字證書應用在技術上成為可能，因此集成了二代U盾、智能卡讀寫器和金融IC卡功能的三代U盾産品(也稱為互聯網終端或個人金融終端)成為業界關注的熱點。這種産品在傳統智能卡讀寫器基礎上增加了安全芯片、顯示屏、數字鍵盤等模塊，可實現二代U盾、動态口令(OTP)、金融IC卡和行業應用IC的餘額查詢、圈存、消費等各種應用，使人們在足不出戶的情況下，盡享銀行提供的各種金融服務，是人們邁向無現金社會的必選裝備。

存儲型的U盾由于其硬件功能的限制，僅能實現簡單的數據摘要算法，對于PKI中廣泛使用的對稱和非對稱加密算法隻能通過運行在PC上的中間件來實現，這樣在加密和簽名運算中用戶的密鑰就會出現在内存中，有可能被技術高超的黑客獲取。随着用戶對信息安全要求的提高，市場出現了由硬件實現加密運算的需求。智能卡技術的發展，智能卡運算能力不斷提高，出現了可以運行加密算法的智能卡。然而，以卡片形式存在的智能卡在使用時必須通過讀卡器與電腦通訊，非常不方便用戶使用。于是出現了将智能卡芯片和讀卡器結合在一起的U盾。帶有智能卡芯片的U盾可以通過内置的智能卡芯片在Key内部硬件實現DES/3DES、RSA加解密運算，并支持Key内生成RSA密鑰對，杜絕了密鑰在客戶端内存中出現的可能性，大大提高了安全性。

目前市場上見到U盾按照硬件芯片不同可以分為使用智能卡芯片的和不使用智能卡芯片兩種，按照CPU是否内置加密算法又可以分為帶算法和不帶算法的U盾。一般我們把不帶加密算法的稱為存儲型U盾，帶加密算法的稱為加密型U盾。

U盾(USBkey)市場分析

近幾年來，各大銀行紛紛發放USBKey，用于網上銀行的安全交易、身份認證。USBKey外形如U盤，是一種USB接口的硬件設備，内置單片機或智能卡芯片，有一定的存儲空間，可以存儲用戶的私鑰以及數字證書。USBKey在其内部産生用戶私鑰，交易安全度高，加上支付快捷、便于攜帶、功能全面、服務多樣等特點，使得其在市場上迅速推廣，成為保證網上銀行、電子商務、電子政務等領域交易安全的标準設備。

我國是全球最大的USBKey生産地，也是全球最大的USBKey市場。2010年，中國的USBKey銷量超過6000萬支，同比增長90%以上。巨大的市場吸引了衆多的分食者，目前國内大約有十多家USBKey廠商。2010年前三家USBKey廠商的銷量市場份額比重超過60%，市場品牌集中度相對較高。這一方面和USBKey産品需要安全認證有關，因為USBKey應用領域比較特殊，一般企業很難進入銀行供應商環節，而一旦進入銀行則在短期内具有一定的穩定性。另一方面，USBKey芯片和系統越來越朝着高度集成化、可多方應用等方向發展，提高了開發難度，同時産品更新換代速度較快，增加了成本投入，已有積累的企業形成先發優勢，增加了其他企業的進入壁壘。此外，當前銀行大力降低采購成本，使得年産量較小的廠商隻能在網上銀行以外的市場遊離。産品更新換代速度的加快也使該市場的競争越發激烈。

目前中國的USBKey大部分應用于網上銀行領域，用于網銀的USBKey市場占到總市場的80%以上。造成這種現象的原因主要是網上銀行應用和其它領域應用的受衆群體不同。網上銀行應用受衆群體基本為個人消費者，雖然企業網上銀行也占據了一部分市場，但和個人網上銀行用戶數量相比仍然有非常大的懸殊。相比而言，電子政務、電子商務等領域的受衆群體卻主要是企業，例如：電子政務中的網上報稅、網上報關等受衆群體基本都是企業。企業用戶數量和個人用戶數量的懸殊是造成市場應用一邊倒的主要原因。

2010年初，央行19号文(試行)規定國内銀行需在3年内全部發行二代USBKey，從而開啟了國内二代USBKey市場。2010年國内二代USBKey市場尚處于起步階段，銷量僅占整個USBKey市場10%左右。此外，随着移動互聯網等應用需求的不斷擴展，在二代USBKey的基礎上，集成了OTP功能或增加複合手機硬件接口的三代USBKey産品，在2013年上半年上市，其銷量在随後幾年裡穩步提高。由于可應用于手機對用戶進行身份認證，随着移動互聯網的快速發展，三代USBKey将呈現廣闊的發展前景。到2016年，三代USBKey超過15000餘萬支，占USBKey市場總量超過70%。

圖 2011-2016年中國USBKey市場産品結構預測(按銷量，單位：萬支)

U盾優勢

1、硬件PIN碼保護

U盾采用了使用以物理介質為基礎的個人客戶證書，建立基于公鑰PKI技術的個人證書認證體系(PIN碼)。黑客需要同時取得用戶的U盾硬件以及用戶的PIN碼，才可以登錄系統。即使用戶的PIN碼洩露，U盾沒有丢失，合法用戶的身份就不會被仿冒，如果用戶U盾丢失，其他人不知道用戶的PIN碼，這也是無法假冒合法用戶的身份。

2、安全的密鑰存放

U盾的密鑰存儲于内部的智能芯片中，用戶無法從外部直接讀取，對密鑰文件的讀寫和修改都必須由U盾内部的CPU調用相應的程序文件執行，從而U盾接口的外面，沒有任何一條指令能對密鑰區的内容進行讀取、修改、更新和删除，這樣可以保證黑客無法利用非法程序修改密鑰。

3、雙密鑰密碼體制

為了提高交易的安全，U盾采用了雙鑰密碼體制保證安全性，在U盾初始化的時候，先将密碼算法程序燒制在ROM中，然後通過産生公私密鑰對的程序生成一對公私密鑰，公私密鑰産生後，密鑰可以導出到U盾外，而私鑰則存儲于密鑰區，不允許外部訪問。進行數字簽名時以及非對稱解密運算時，凡是有私鑰參與的密碼運算隻在芯片内部即可完成，全程私鑰可以不出U盾介質，從而來保證以U盾為存儲介質的數字證書認證在安全上無懈可擊。

4、硬件實現加密算法

U盾内置CPU或智能卡芯片，可以實現數據摘要、數據加解密和簽名的各種算法，加解密運算在U盾内進行，保證了用戶密鑰不會出現在計算機内存中。

U盾(USBkey)技術原理

基于USBKey身份認證系統主要有兩種應用模式：一種是基于沖擊/響應的認證模式，另一種是基于PKI體系的認證模式，廣泛運用在電子政務、網上銀行。

USBkey身份認證系統應用模式

1、基于沖擊/響應的認證模式

采用沖擊/響應的認證方法，每個USBkey都有用戶PIN碼，實現雙因子認證功能。USBkey内置單向散列算法，預先在USBkey和服務器端存儲一個證明用戶身份的密鑰，當需要在網絡上驗證身份時，先由客戶端向服務器發送一驗證請求。服務端接收到此請求後生成一個随機數并通過網絡傳輸給客戶端(此為沖擊)，客戶端收到的随機數提供給插在客戶端上的USBkey，由USBkey使用該随機數與存儲在USBkey中的密鑰進行帶密鑰的單向散列運算，并得到一個結果作為認證證據傳送給服務器(此為響應)。與此同時，服務器使用該随機數與存儲在服務器數據庫中的該客戶密鑰進行單向散列運算，如果服務器運算的結果與客戶端傳回的響應結果相同，則認為客戶端是一個合法的用戶。

圖 USBKEY挑戰/應答原理流程圖

2、基于PKI體系的認證模式

PKI(PublicKeyInfrastructure)即公共密鑰體系，即利用一對互相匹配的密鑰進行加密、解密。一個公共密鑰(公鑰，publickey)和一個私有密鑰(私鑰，privatekey)。其基本原理是：由一個密鑰進行加密的信息内容，隻能由與之配對的另一個密鑰才能進行解密。公鑰可以廣泛地發給與自己有關的通信者，私鑰則需要十分安全地存放起來。每個用戶擁有一個僅為本人所掌握的私鑰，用它進行解密和簽名;同時擁有一個公鑰用于文件發送時加密。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣，信息就可以安全無誤地到達目的地了，即使被第三方截獲，由于沒有相應的私鑰，也無法進行解密。

引人PKI安全體系，在PKI基礎之上以數字證書的形式解決了公鑰信息的存儲表示問題，通過把要傳輸的數字信息進行加密和簽名，保證信息傳輸的機密性、真實性、完整性和不可否認性。同時使用硬件USBKey，通過該USBKey中的存儲空間存儲用戶的私鑰、會話秘鑰以及數字證書等機密數據，并通過該硬件保證用戶的私鑰不可導出，這樣以來就又充分保證了私鑰等機密信息的安全性。用戶隻能通過USBKey内部的CSP模塊訪問私密數據，提供了銀行級别的安全性。

服務器端驗證用戶身份并傳輸數據的通信流程如下：(1)客戶端通過确認按鈕，将信息A(用戶名、密碼等)發送給服務器;(2)服務器收到信息A後，将信息A、當前系統時間、随機碼序列(為了防止重放攻擊)形成的數據B保存在服務器上，并通過服務器的加密函數将上述信息以客戶公鑰加密的方式加密成數據C發送給客戶端;(3)客戶端收到該加密數據C後，用自己的私鑰解密，再用服務器公鑰加密後，形成數據D發還給服務器;(4)服務器收到數據D後，用自己的私鑰解密，并與服務器上原先保存的數據B進行比對，若完全一緻，則服務器認為請求者是合法用戶，允許用戶的登錄操作。

沖擊響應模式可以保證用戶身份不被仿冒，但無法保證認證過程中數據在網絡傳輸過程中的安全。而基于PKI的“數字證書認證方式”可以有效保證用戶的身份安全和數據傳輸安全。數字證書是由可信任的第三方認證機構—數字證書認證中心(CertficateAuthority，CA)頒發的一組包含用戶身份信息(密鑰)的數據結構，PKI體系通過采用加密算法構建了一套完善的流程，保證數字證書持有人的身份安全。而使用USBKey可以保障數字證書無法被複制，所有密鑰運算在USBKey中實現，用戶密鑰不在計算機内存出現也不在網絡中傳播，隻有USBKey的持有人才能夠對數字證書進行操作，安全性有了保障。

結語： U盾具有安全可靠，便于攜帶、使用方便、成本低廉的優點，加上PKI體系完善的數據保護機制，使用U盾存儲數字證書的認證方式已經成為目前主要的認證模式。随着移動互聯網時代飛速發展，不管是傳統U盾還是進化後的U盾，在用戶的生活中始終扮演者重要角色，都是保護用戶資金安全的重要工具。

關于《身份危機》中篇的“硬件時代”章節内容到這裡就全部分享完畢，希望分享過的内容對大家有幫助。事實上，除了之前為大家的分享的身份認證技術外，基于人的生物特征的身份認證也是個人身份認證技術中最簡單而安全的方法，是一種可信度高而又難以僞造的認證方式。在接下來的章節中，将帶與大家一同探讨當前信息安全技術領域的熱點——基于生物特征的身份認證技術，敬請期待!

本文為作者授權發布，不代表移動支付網立場，轉載請注明作者及來源，未按照規範轉載者，移動支付網保留追究相應責任的權利。

,

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!

查看全部