王绍刚 刘海法 王 申 宁红宙 张庆胜

(航天信息股份有限公司技术研究院 北京 100195)



基于USBKey的电子认证在国产操作系统应用技术方法

王绍刚 刘海法 王 申 宁红宙 张庆胜

(航天信息股份有限公司技术研究院 北京 100195)

(wangshaogang@aisino.com)

主要介绍了基于USBKey的电子认证在国产操作系统应用的几种技术方法，详细论述了这几种方法的技术相关流程，这些方法可以适用于航天信息股份有限公司自主研发的USBKey产品与国产相关操作系统进行底层的深度结合和应用，实现安全可靠的电子认证系统.

USBKey；电子认证；数字签名；国产操作系统；CA

近年来，由于美国中央情报局技术分析员斯诺登爆出“棱镜门”事件，曝光了美国对全世界范围内从国家元首到普通个人的监视和监听，这使得人们对于美国的微软、苹果、谷歌、IBM等网络软硬件巨头公司也产生了很大的怀疑，很可能这些企业也都参与其中，在和平年代这些问题暴露得不太明显，但是一旦发生战争这将会使我们的电脑和网络处在极大的危险之中.因此网络信息安全问题已经成为全世界乃至我国社会关注的焦点，使用安全可靠的国产操作系统软硬件对我国国家安全和科技进步都有着极大的意义.随着网络互联网技术的迅猛发展，国家和企业也意识到在网络环境下的电子认证系统可能遭受到的攻击和威胁，而目前USBKey是作为世界上解决电子认证系统可能遭受到安全威胁的一个很重要的解决方法[1]，它的特点是经济实惠且安全系数较高，同时国家乃至整个社会也应该意识到发展适用于我国操作系统自主研发的USBKey重要性.

1 关于USBKey

USBKey是一种基于USB接口与PC相连接的小巧硬件设备，可将个人信息数据加载到内置的芯片当中，它结合了现代密码学、USB技术等流行软硬件技术，有数字签名、数据加解密、存储证书等功能.它具有双因子认证[2]、安全存储空间、硬件实现加密算法、使用方便，安全可靠、基于冲击-响应的认证模式等很多特点.USBKey不仅可用于电子文件、软件等方面的加密，还可用于电子政务内外网、电子商务网、金融机构证书认证中心、企业内部网等方面，同时也可以提供安全可靠的电子认证加密技术，能够保证相关网络系统的安全性.目前我国国产操作系统比较适合应用在有特定目标的软硬件结合方面，因此在USBKey和国产操作系统具体软硬件结合度应用上面值得进一步探索研发.

2 基于USBKey的电子认证在国产操作系统应用技术方法介绍

2.1 由USBKey、数据库、国产操作系统构成整个电子认证系统应用方法

该系统主要用于用户单机版的安全加密，实现本地用户的数据、文件等方面的电子认证和加密，可用于各种桌面PC电子认证安全系统和当前网络无法登录的各种脱机情况中，其主要步骤方法流程如图1所示.

1) 将USBKey插入PC端的USB接口上面,PC端上面的国产操作系统加载动态链接库并发出一个验证请求，获取到USBKey中的用户身份ID号码.

2) 用户在PC国产操作系统上面的访问验证窗口输入个人信息如用户名以及密码,PC端验证该用户是否为合法用户，其中USBKey内置单向函数、PIN码、用户访问网络服务器的密码.用户每次使用之前必须先输入PIN码.

3) 存储在PC服务器数据库中对该用户密钥进行核对，如果PC端的运算结果与USBKey传回的响应结果相同，则认为该用户是一个合法用户.

4) PC端将所要加载的相关信息数据反馈传入USBKey当中.

5) USBKey将传入的信息数据进行加密处理，并将加密后的数据再传入PC端，所有传输的信息数据均为加密信息,用户在USBKey支持下完成对数据的加密、签名, 同时PC端国产操作系统在USBKey的支持下完成对数据的解密、验证签名.

图1 USBKey与单机情况下国产系统电子认证处理流程

2.2 由USBKey、国产操作系统、网络以及CA构成整个电子认证系统应用方法

该系统主要用于用户在线注册协议、电子认证等方面，网络方面主要分为涉密网和非涉密网络，根据目标机构的业务系统基于涉密运行的要求，将会与CA系统采取隔离的方式集成.其中在非密网中，CA负责颁发证书和管理证书，发布吊销列表，用户操作RA下载并制作数字证书到USBKey；在涉密网络中，通过USBKey中的证书，用户登录国产操作系统时提供身份认证并建立数据安全传输通道，同时国产操作系统使用CA提供的API函数，解析证书并提取用户证书中的DN,SN等信息，获取证书用户对应的业务权限，并且可对指定的业务数据进行数字签名.非密网络生产数字证书，涉密网络使用数字证书，保证涉密信息的安全性.其主要步骤方法流程如图2所示.

1) 用户将USBKey插入PC端上面，并生成公钥与私钥对.

2) USBKey将自己的信息通过CA发布的公开密钥加密[3].

3) 利用PC端的国产操作系统将加密信息传给CA.

4) CA利用自己的私钥解密获得用户原始信息，并生成数字签名证书.

5) CA将加密信息和数字签名证书发送到PC端.

6) PC端国产操作系统将数据信息发给USBKey进行验证，如验证一致则说明用户合法.

图2 USBKey,CA与国产系统在线电子认证处理流程

2.3 由USBKey、国产操作系统、网络、安全服务中心以及CA构成整个电子认证系统应用方法

此方法与2.2节的应用方法总体上很相似，这里加入了一个安全服务中心主要用于对USBKey用户的身份认证，并且可以赋予用户安全传输数据的权力，增加了一层安全保障，如图3所示.

1) 将USBKey插入PC端国产操作系统获取到USBKey中的用户身份ID号码.

2) 用户选择并提交用户证书，USBKey要求输入访问口令(PIN码).

3) USBKey将加密后的信息发送到安全服务中心.

4) 安全服务中心获得此信息后，从CA那里获得数字签名证书解密USBKey加密信息密钥[4-5].

5) 如果验证成功则可以创建SSL加密会话隧道，实现用户的安全代理访问.

图3 USBKey、安全服务中心、CA与国产系统在线电子认证处理流程

3 结 论

Aisino USBKey是由航天信息股份有限公司研制和开发的基于USB接口的免驱动智能密码钥匙，该产品采用国内首款具有SSF33算法和SM1算法IP核的SSX45安全芯片，内嵌自主研发的芯片操作系统，具有高安全性、高性能、高可靠性以及完善的功能.根据国家安全可靠的需求通过上述几种技术方法，Aisino USB Key可与中标麒麟、银河麒麟、共创Linux等国产操作系统应用于电子安全认证.

[1]杨桓. 基于USB KEY的身份认证技术的相关研究[J]. 软件导刊, 2011, 10(3): 154-156

[2]左志斌. 一种基于数字证书的USBKey身份认证方案[J]. 河南科技, 2015, 572(9): 11-13

[3]吴永英, 邓路, 肖道举, 等. 一种基于USBKey的双因子身份认证与密钥交换协议[J]. 计算机工程与科学, 2007, 29(5): 56-59

[4]Zhang F, Kim K. ID-based blind signature and ring signature from pairing[G]LNCS 2501: Advances in Cryptology Asiacrypt 2002. Berlin: Springer, 2002: 533-547

[5]Boneh D, Lynn B, Shacham H. Short signatures from the Weil Pairing[G]LNCS 2248: Advance in Cryptology—ASIACRYPT’2001. Berlin: Springer, 2001: 514-532

王绍刚

博士，中级工程师，主要研究方向为电子政务、信息安全、地理信息系统、遥感技术.

wangshaogang@aisino.com

刘海法

硕士，高级工程师，主要研究方向为网络安全.

liuhaifa@aisino.com

王 申

硕士，高级工程师，主要研究方向为网络安全.

wangshen@aisino.com

宁红宙

博士，高级工程师，主要研究方向为网络与信息安全、数字证书应用.

ninghongzhou@aisino.com

张庆胜

硕士，高级工程师，主要研究方向为网络安全.

zhangqingsheng@aisino.com

Application Technology of Electronic Authentication Based on USBKey in Domestic Operating System

Wang Shaogang, Liu Haifa, Wang Shen, Ning Hongzhou, and Zhang Qingsheng

(AisinoCorporation,TechnologyResearchInstitute,Beijing100195)

This article mainly introduced the electronic certification based on USBKey in domestic operating systems, and application of several technical methods is discussed in detail the technical process. These methods can be applied to Aisino corporation independent research and development of USBKey products combined with the depth of the domestic related to the underlying operating system and application, realizing the safe and reliable electronic authentication system.

USBKey; electronic authentication; digital signature; domestic operating system; CA

2016-05-29

TP309