点击图片查看大图| 品牌: | safenet(赛孚耐) |
| 型号: | ikey1000 |
| 类型: | 加密狗 |
| 实现方式: | 硬件 |
杭州彩虹天地信息技术有限公司
—资深信息安全专家
杭州市西湖区文三路383号华门世家A-1-102
软件加密产品咨询:400 111 0178
批发咨询:0571-88210178
技术支持:0571-88210566
公司官网:http://www.hzchtd.com
咨询、服务及建议:service@hzchtd.cn
技术支持邮箱:support@hzchtd.cn
全球信息安全领导者——Safenet亚太地区核心代理
——杭州彩虹天地信息技术有限公司
国内信息安全市场开拓者,最老牌加密狗供货商
浙江地区唯一授权代理,与SafeNet合作长达20年
渠道正规,品质保证,服务专业,售后完善!
| 客户端身份认证产品 |
Internet对企业运作的影响使得信息技术产业(IT)在20世纪90年代末发生了巨大的变化。特别是此领域出现的三个重要趋势,更是需要引起所有IT行业管理者的重视,它们分别是:电子商务、远程访问和对更大安全性的需要,其中安全性是前两种趋势中至关重要的部分。没有识别、认证和付款核实的手段,电子商务就不会实现。同样,远程访问在赋予访问权限之前必需仔细认证用户。这些趋势在Intranet和 B2B的电子商务中日益明显,这种身份识别可以看作准许访问和相应的访问权限两个方面。 所有安全问题的核心是要为某个机构欲授予特权(如远程访问或被允许进入商务活动)的个人建立个人身份以及接下来对文件和要处理的事务进行认证。使用了各种安全方式来使接收者相信文件是从身份有效的发件人那里发出的,并且文件在传送过程没有遭到干扰。这种认证依赖于包含公钥、数字签名和管理这些资源的授权单位——认证机构在内的一套完整的软件保护技术基础设施。 我们首先要解决的是个人身份的认证。该项任务通常是用很不成熟(密码)或非常昂贵(生物测量法如视网膜扫描或指纹检查)的方式处理的。一种价格低于生物测定法、比单纯的密码更为安全的折中办法是基于双因素认证的解决方法,即使用智能卡。 SafeNet公司设计的新型iKey,可以工作在任何一台具有通用串行总线(USB)接口的微机,作为一个价格适中的身份识别令牌。它提供所有智能卡和密码令牌的可靠性、简便性和安全性,同时避免了读写设备的复杂安装和昂贵开销。 1.iKey的优点 iKey采用与智能卡相同的,提供访问控制的文件系统。应用程序能使用它存储个人信息、私钥、密钥、许可协议、识别特征、数字证书或其它数据。使用iKey具有以下四个优点:
2.硬件安全技术 iKey硬件电路中集成读/写功能,包含完成存储功能的资源和高速安全引擎。它使用通用串行总行接口(USB)提供电源并且与计算机通讯。内置的掉电保护随机访问存储器保存RAINBOW提供的出厂设置,以及用户提供的与应用程序有关的数据。iKey分为两个系列iKey1000和iKey2000。他们分别适用于不同的安全性级别之上,下面列出了两系列产品的技术特性。
3.软件实现
4.iKey身份认证原理 iKey内置有MD5算法芯片,以特有的挑战—响应式方法来实现网络身份认证。他的实现原理如下图, 参与运算的数有两个:一个可以是随机数,另一个是事先预设的算法因子(分别存放在服务器的用户数据库和iKey硬件内部的存储器)。MD5 Hash算法可以保证两个运算数哪怕只发生一位数字的变化,运算结果也会变得完全不一样。因为每次验证运算的其中一个运算数是随机数,所以每次的运算结果也是随机变化的。由此保证运算结果在传输中不怕被截获。
步骤: |
| 客户端身份认证产品iKey的应用领域 |
1.安全电子邮件 电子邮件凭借其易用、低成本和高效已经成为了现代商业中的一种标准的信息交换工具。随着Internet的持续增长,商业机构或是政府机构都开始用电子邮件交换一些秘密的、或是有商业价值的信息,这就引出了一些安全方面的问题,如:
电子邮件的安全需求是机密、完整、认证和不可否认,而这些都可以用PKI技术来获得。具体的讲,利用数字证书和私钥,用户可以对他所发的邮件进行数字签名,这样就可以获得认证,完整性和不可否认性,也可以用接收方的公钥对邮件进行数据保护,只有接收方的私钥可以对邮件解密,从而防止邮件的非法读取。 Windows2000 + Exchange Server 的企业内部邮件环境中,使用Windows2000 Certificate Server 颁发数字证书。客户端采用 iKey 存储证书,iKey可以和 Outlook/Outlook Express或Communicator 无缝集成,实现邮件的签名和保护。 2.用于数字证书的存储 数字证书通过提供比单纯公钥更多的信息量加强了公钥的重要性。证书本身含有一个系列号码,失效日期、用户名、保护办法、公钥和关于用户和证书的特别信息。X.509标准定义了证书内容和包含扩展信息的方法。数字证书将人(附加信息)和公钥“捆绑”在一起。 和公钥一样,对于运用证书的交易,数字证书同样需要接受人必须能够访问他们的私钥并为文件解密。这种私钥通常驻于硬盘,可以接受硬盘中不同的应用程序(email、浏览器以及其他程序)的访问。但是,驻于硬盘的私钥的主要缺点是它们的拥有人无法轻易带走它们。将私钥安装在iKey上,允许私钥拥有人在任何一台机器上都能使用证书。另外,私钥被存放在钥匙圈上,如iKey, 比存放在用户的硬盘上更加安全。 可能您已经想到,用户同时可以有几个证书,一个在工作中使用,一个满足银行业的需要,另外一个用于投资活动,这与今天所有人需要使用好多密码差不多。但是,在不同场合一次携带这样多的证书(或私钥)是很费力的,除非它们全部可以被存储到一个单一、安全的装置上。iKey可以圆满地完成这项任务。目前,根据X.509标准的规定,iKey可以贮存四个数字证书,每一个证书都是有密码保护的。 CFCA(中国金融认证中心)的Non-SET系统采用了Entrust公司的系统,包括用户客户端软件和后台服务器软件。由于iKey2000是一个Entrust-ready产品,所以iKey2000可直接用于Entrust系统用来安全保存用户证书和用户私钥。 3.用于浏览器的安全:PKCS #11与MS CAPI 通常使用浏览器来完成服务器应用程序和用户之间的交流,浏览器必须通过内置密码库实现服务器应用程序要求的认证功能,在使用Netscape Navigator时,它和公钥密码系统(PKCS #11)库相互作用。 Netscape Navigator内置的PKCS #11库可以被SafeNet公司提供的库和驱动程序替代,完成iKey中的一些保护功能。此库有两个重要的功能:它重新引导浏览器寻找iKey上的数字证书而非硬盘驱动器上的数字证书;它使用户可以选择他们愿意使用的数字证书来进行特定的活动。PKCS #11使用iKey所装有的档案(数字证书)作为保护文件、赋予特权和对最终用户认证的依据。 Microsoft有它自己针对Internet Explorer的密码库,被称为微软密码应用程序编程界面(CAPI),与PKCS #11有类似的功能。SafeNet公司的iKey现在已经实现对CAPI的支持。 为了透明地解决Web的安全问题,最合适的入手点是浏览器,现在,无论是Internet Explorer还是Netscape Navigator,都支持SSL协议。SSL 协议在电子商务中被广泛采用,利用服务器端和客户端的数字证书可以实现双方交换信息的保护传输。因为 iKey 与浏览器能够紧密的结合,将客户端数字证书存放于iKey可以大大提高数字证书和用户私钥的安全,从而提高整个系统的安全性。 4.在VPN和RADIUS上的应用 iKey含有仅限于它和它授予访问权的网络所知道的一个或多个秘密值。使用这个秘密值,iKey就可以计算出针对网络发出的挑战-密码响应,这与传统的密码方式相比有重要的优势。在网络提出的挑战数据和iKey本身秘密值的基础上,iKey计算出一个数字,叫作单向散列算法功能(Hashs算法),然后向网络返回这个数字以确认认证是否有效,这种认证形式称为挑战--响应方式。这种认证方式比密码安全,因为这类密码(在这种情况下是秘密值)永远不会通过网络传输,所以也不会被截获。这个方案是安全的,因为iKey可以向服务器证明它知道秘密值,并且从不会透露。 这个密码技术包含在为VPN访问而设的网络钥匙交换(IKE)标准协议内,同时也提供了不可拒性,这是因为没有iKey就无法实现访问。 除了上述的安全标准以外,iKey和远程访问协议可以兼容。现在远程访问协议,特别是远程认证拨入用户服务(RADIUS),是极其普遍的。一个拥有众多用户拨入的企业会建立起RADIUS服务器。当用户要登录时,每一台可接受拨入的服务器都可与RADIUS服务器联络以寻求认证服务。认证在密码的基础上完成。根据企业安全的需要,密码可以通过电缆传输到RADIUS服务器上(此时服务器依靠密码认证协议或PAP)或者服务器使用前面章节描述过的挑战--响应方案(此时RAIUS服务器依靠挑战握手认证协议或CHAP)。iKey可以支持RADIUS下的密码认证(PAP或CHAP)。 Check Point软件有限公司是全球网络安全领域的领导厂商,iKey VPN解决方案已经被集成进Check Point VPN-1远程安全软件。大大加强了网络的安全认证。 |
| 客户端身份认证产品iKey1000 个人双因素身份认证 USB Key |
iKey 1000 USB Key包括一个具有 USB 控制器的微处理器和内存,它们全部集成在一个小到可以串在您的钥匙链上的装置中。iKey 1000 系列提供极为可靠储存能力。 USB 控制器兼容USB 1.1/2.0,其作用类似于智能卡读卡器和智能卡。iKey 1000 内置MD5 算法。 iKey 1000 USB Key内的储存空间按照目录和文件划分,可以通过使用PIN码控制存取文件。iKey 1000 提供两级安全保护,即终端用户和系统管理员。授权终端用户可以通过PIN码进行身份验证并执行操作。管理员也可以通过独立的PIN码或密码来执行敏感操作,如初始化一个终端用户的 PIN码。 另一个敏感操作是初始化 iKey 1000 USB Key上的 PKI 功能。在 Windows 版本中,它是由管理员决定是否要从 iKey 1000 的存储空间分出一部份,专供内嵌在 iKey 1000软件库中的 PKI 功能使用。如果启动该功能,PKI 密码库会将专用内存分为两个部分。一部分作为公共储存区,可以储存数字证书、公共密钥、cookies以及其它没有受保护的数据。第二个储存区则是共享机密及专用密钥的专用储存区。这个专用区有验证的安全存取方式,数据也以安全保护方式保存。所有 PKI 功能都会在内嵌于 iKey 1000 系列 Windows 用户软件中的安全模块中执行。 iKey 1000 USB Key除了 RSA 算法外还可以执行其它多种安全算法,包括: DES、DES、3DES、RC2、RC4及 RC5算法。 SafeNet的iKey1000是基于USB的双因素认证令牌,可以很方便的集成到多种应用程序和网络服务中;比如虚拟专用网(VPN)、公司内部网、外部网和互联网的访问。同时iKey1000系列产品完全可以适用于公开密钥安全保护体系(PKI)。 iKey1000令牌由一个带有USB控制功能的处理器和一个存储器组成,这个存储器具有足够存储相应的密钥的能力。iKey1000提供的高性能可靠存储功能,同时支持硬件级的MD5哈虚算法。 iKey1000内置有目录和文件系统。对于文件系统的访问可以通过用户PIN码的设置来安全实现。iKey1000的安全系统提供两种安全访问级别:最终用户和企业安全管理员。一个最终用户如果输入正确的PIN码就可以执行相应的操作。一个安全管理员通过输入不同的SO PIN执行更高级别的操作:比如,重新初始化最终用户的PIN码。 另外一种操作是将iKey1000令牌初始化成为在PKI环境中可以使用的格式。对于Windows版本,安全管理员可以决定分配多大的空间用于 PKI操作。所有这些函数功能的实现都包含在iKey1000系列软件的函数库中。 当用于PKI时,PKI函数库将存储区分成两个区域。一个区域存储数字证书、公钥和其它无需保护的公共数据。第二个存储区域用于存储私钥和共享密钥等私有信息。这些私有信息有安全的验证访问机制同时以保护的格式进行存储。 所有的PKI函数都在iKey1000的Windows客户软件中的安全模块中执行。当包含私钥的操作进行时,如果通过了用户证书PIN码的验证,安全模块从iKey1000令牌中重新得到相应的密钥来进行运算。 iKey1000系列软件和令牌可以执行除了RSA之外的更多安全算法,包括:DES(ECB和CBC模式)、DES、3DES、 RC2、 RC4和RC5。 |
SafeNet iKey 1000 USB key可为多种应用程序及网络服务提供极具成本效益且容易使用的身份认证控制服务,就像虚拟专用网络 (VPN) 一样,它可控制 Intranet、Extranet及 Internet 的存取。另外,iKey 1000 系列也可以用在公共密钥基础架构 (PKI) 环境中。
| 客户端身份认证产品iKey2032 个人双因素身份认证 |
解决方案 iKey 提供了一个轻巧的数字身份验证和管理的硬件解决方案。虽然它的功能与智能卡类似,但 iKey 将双因素验证、密钥管理及数字签名功能整合在一个小的硬件中,它包含一个USB 接口,因此并不需要独立的读卡器装置。iKey是通过 FIPS 140-1, Level 2 认证的硬件设备,它具备安全的密钥生成、密钥储存、保护及数字签章能力,为用户登录、Email 保护、硬盘保护、VPN 验证及其它安全用户应用提供了极高水平的安全性。 产品特点
|
