epassng

是基于USB Key身份驗證硬件的一個中間件平臺---ePassNG，廠家基于這個標(biāo)準(zhǔn)生產(chǎn)的USB Key，都可以通用。

隨著互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展，USB Key作為網(wǎng)絡(luò)用戶身份識別和數(shù)據(jù)保護(hù)的"電子鑰匙"，正在被越來越多的用戶所認(rèn)識和使用。本文對USB Key的產(chǎn)生和未來的發(fā)展趨勢作了一個簡單的介紹。

目前市場上見到的USB Key 按照硬件芯片不同可以分為使用智能卡芯片的和不使用智能卡芯片兩種，按照CPU是否內(nèi)置加密算法又可以分為帶算法和不帶算法的USB Key。一般我們把不帶加密算法的稱為存儲型USB Key，帶加密算法的稱為加密型USB Key。

軟件保護(hù)思想的發(fā)展催生了USB Key

USB Key 這個概念最早是由加密鎖廠家提出來的，加密鎖是用來防止軟件盜版的硬件產(chǎn)品，加密鎖的概念是使安裝在計算機(jī)內(nèi)的應(yīng)用程序脫離加密鎖硬件無法運(yùn)行來達(dá)到保護(hù)軟件不被盜版的目的。隨著網(wǎng)絡(luò)應(yīng)用的不斷深入和應(yīng)用軟件銷售模式的改變，未來的軟件用戶可能不需要購買軟件在本地計算機(jī)上安裝運(yùn)行，而是將要處理的數(shù)據(jù)通過網(wǎng)絡(luò)上傳到專門運(yùn)行該軟件服務(wù)的應(yīng)用服務(wù)器上處理，再通過網(wǎng)絡(luò)取得數(shù)據(jù)處理的結(jié)果，軟件開發(fā)商通過提供該應(yīng)用服務(wù)收取軟件費(fèi)用。這個時候，軟件廠商面臨的問題就不再是如何防止本地軟件被復(fù)制，而是如何確認(rèn)網(wǎng)絡(luò)用戶的身份和用戶數(shù)據(jù)的安全。于是加密鎖廠商提出了USB Key的概念，用于識別用戶身份。作為國內(nèi)最大的軟件保護(hù)廠家，北京飛天誠信科技有限公司于2000年推出了國內(nèi)第一款USB Key產(chǎn)品---ePass1000。

此后，隨著電子商務(wù)和PKI應(yīng)用的興起，數(shù)字證書作為確認(rèn)用戶身份和保護(hù)用戶數(shù)據(jù)有效手段越來越被人們所接受。然而數(shù)字證書實質(zhì)上表現(xiàn)為帶有用戶信息和密鑰的一個數(shù)據(jù)文件，如何保護(hù)數(shù)字證書本身又成為PKI體系中最薄弱的環(huán)節(jié)。數(shù)字證書可以保存在各種存儲介質(zhì)上，如軟盤、硬盤等。國內(nèi)CA早期頒發(fā)的數(shù)字證書都是以軟盤的形式發(fā)放，或者由用戶從網(wǎng)絡(luò)上下載，然后導(dǎo)入到系統(tǒng)中保存在硬盤上。然而，用軟盤保存數(shù)據(jù)是非常不可靠和不安全的，軟盤雖然便于攜帶，卻非常容易損壞，而用硬盤保存數(shù)據(jù)雖然不容易損壞，但是不便于攜帶，更致命的是不論用硬盤還是用軟盤保存數(shù)字證書都非常容易被復(fù)制或被病毒破壞。雖然一般數(shù)字證書都帶有密碼保護(hù)，然而一旦證書被非法復(fù)制，整個安全系統(tǒng)的安全性就降低到僅僅靠密碼保護(hù)的級別。于是，專門用于存儲秘密信息的USB Key就很自然的成為數(shù)字證書的最佳載體。

USB Key 廠家將USB Key與PKI技術(shù)相結(jié)合，開發(fā)出了符合PKI標(biāo)準(zhǔn)的安全中間件，利用USB Key來保存數(shù)字證書和用戶私鑰，并對應(yīng)用開發(fā)商提供符合PKI標(biāo)準(zhǔn)的編程接口如PKCS#11和MSCAPI，以便于開發(fā)基于PKI的應(yīng)用程序。由于USB Key 本身作為密鑰存儲器，其自身的硬件結(jié)構(gòu)決定了用戶只能通過廠商編程接口訪問數(shù)據(jù)，這就保證了保存在USB Key中的數(shù)字證書無法被復(fù)制，并且每一個USB Key都帶有PIN碼保護(hù)，這樣USB Key的硬件和PIN碼構(gòu)成了可以使用證書的兩個必要因子。如果用戶PIN碼被泄漏，只要保存好USB Key的硬件就可以保護(hù)自己的證書不被盜用，如果用戶的USB Key丟失，獲得者由于不知道該硬件的PIN碼，也無法盜用用戶存在USB Key中的證書。與PKI技術(shù)的結(jié)合使USB Key的應(yīng)用領(lǐng)域從僅確認(rèn)用戶身份，到可以使用數(shù)字證書的所有領(lǐng)域。

與智能卡技術(shù)結(jié)合增強(qiáng)了USB Token的安全性

存儲型的USB Key由于其硬件功能的限制，僅能實現(xiàn)簡單的數(shù)據(jù)摘要算法，對于PKI中廣泛使用的對稱和非對稱加密算法只能通過運(yùn)行在PC上的中間件來實現(xiàn)，這樣在加密和簽名運(yùn)算中用戶的密鑰就會出現(xiàn)在內(nèi)存中，有可能被技術(shù)高超的黑客獲取。隨著用戶對信息安全要求的提高，市場出現(xiàn)了由硬件實現(xiàn)加密運(yùn)算的需求。智能卡技術(shù)的發(fā)展，智能卡運(yùn)算能力不斷提高，出現(xiàn)了可以運(yùn)行加密算法的智能卡。然而，以卡片形式存在的智能卡在使用時必須通過讀卡器與電腦通訊，非常不方便用戶使用。于是出現(xiàn)了將智能卡芯片和讀卡器結(jié)合在一起的USB Key。飛天誠信的ePass2000系列USB Key就是帶有智能卡芯片的USB Key。ePass2000可以通過內(nèi)置的智能卡芯片在Key內(nèi)部硬件實現(xiàn)DES/3DES、RSA加解密運(yùn)算，并支持Key內(nèi)生成RSA密鑰對，杜絕了密鑰在客戶端內(nèi)存中出現(xiàn)的可能性，大大提高了安全性。

隨著電子政務(wù)和電子商務(wù)的發(fā)展，國內(nèi)各地區(qū)和各行各業(yè)都建立了自己的CA并向各自的客戶提供數(shù)字證書服務(wù)，使用數(shù)字證書的用戶越來越多，由于USB Key在證書存儲方面的優(yōu)越性，越來越多的CA和用戶選擇了USB Key作為他們的證書存儲介質(zhì)。另一方面，隨著USB Key市場的擴(kuò)大，越來越多的廠家特別是原來的智能卡廠家進(jìn)入USB Key的市場，隨之也帶來了一些問題。目前困擾用戶與各CA中心的主要有以下幾個問題:

一是現(xiàn)在市場上的USB Key在客戶端都需要安裝驅(qū)動程序，由于證書用戶計算機(jī)應(yīng)用水平的參差不齊，安裝驅(qū)動程序成為一個讓廣大用戶頭疼的問題，各CA中心在客戶服務(wù)中也需要投入大量的人力物力來解決用戶驅(qū)動安裝中出現(xiàn)的種種問題。

最近，北京飛天誠信科技有限公司推出了國內(nèi)第一款無驅(qū)型的USB Key---ePassND。ePassND采用HID擴(kuò)展設(shè)備技術(shù)，利用操作系統(tǒng)內(nèi)置的標(biāo)準(zhǔn)HID驅(qū)動實現(xiàn)對USB Key的訪問。在Windows 98以上的操作系統(tǒng)中使用ePassND無需另外安裝驅(qū)動程序，大大方便了廣大用戶的使用并大大降低了各CA中心的客戶維護(hù)成本。作為標(biāo)準(zhǔn)HID設(shè)備，ePassND不僅在微軟平臺上能實現(xiàn)無驅(qū)，在Linux和Mac OS等操作系統(tǒng)下也無需安裝驅(qū)動程序。

其二是隨著USB Key廠家越來越多，各廠家USB Key的硬件功能和中間件操作方式不盡相同，各CA中心為了支持多家的USB Key，不得不在自己的系統(tǒng)中使用和維護(hù)各廠家的初始化工具，給CA中心在頒發(fā)USB Key的過程中添加了巨大的工作量。

作為國內(nèi)首家推出USB Key的廠家，北京飛天誠信科技有限公司為了解決這個問題，推出了與硬件無關(guān)的中間件平臺---ePassNG，ePassNG通過在標(biāo)準(zhǔn)PKI接口和硬件驅(qū)動之間加入一個TSP(Token Service Provider)的方式來實現(xiàn)對硬件的操作。ePassNG將與硬件有關(guān)的所有操作封裝在TSP中，PKI應(yīng)用程序無需了解其使用的硬件的特性，硬件廠家只需要提供符合ePassNG標(biāo)準(zhǔn)的TSP，就可以在用戶原來的應(yīng)用中使用。

ePassNG應(yīng)用構(gòu)架

可以看到，在ePassNG構(gòu)架中，CA中心和PKI應(yīng)用程序開發(fā)商只需要針對ePassNG提供的中間件進(jìn)行開發(fā)，而不必考慮使用的USB Key或其他證書存儲介質(zhì)的硬件特性，真正實現(xiàn)應(yīng)用系統(tǒng)的硬件無關(guān)性。而硬件廠家也不需要開發(fā)自己的中間件，只需要提供符合ePassNG的TSP就可以在原有的應(yīng)用中使用。

ePassNG不僅支持Windows平臺，也同時支持Linux和Mac OS平臺，真正實現(xiàn)了應(yīng)用與硬件無關(guān)。