摘要：互联网信息的快速发展，可以随时在互联网上进行各种支付、交易，与传统网上交易相比，虽然USBKey的出现避免了不少一些交易和支付的不安全，但是USBKey并不是绝对的安全，USBKey本身也存在一些缺点，可以被攻击者利用，从而导致网络的不安全或者用户的一些损失，为此应该深刻认识USBKey的工作原理、缺点和做好一些必要的安全防护和措施。
　　关键词：USBKey；互联网安全；数字签名
　　1引言
　　近年来，网络及业务系统应用的逐步深入，人们对网上信息及业务系统的安全防护问题日益突出，在现在的网络支付中，可能会遭受到以下攻击：
　　⑴网络数据流：当用户和银行交易时，第三方通过各种方法截获数据流，并分析数据中的信息从数据中得到用户的信息；⑵木马窃听：假如用户电脑中了病毒或者木马之后，电脑被监听，那么用户和银行交易的信息被木马记录，则用户的信息可能就会被盗；⑶穷举攻击：攻击者使用有意义的数字如生日之类，作为密码来不断尝试持卡人的密码。如果持卡人的密码是未经过改动的初始密码或者一个特殊、容易被分析的数字，则密码很容易被攻击者穷举出来；⑷网络钓鱼：第三方攻击者利用银行的假身份给用户发送信息，要求用户提供账号和密码，如果用户提供了的话就泄露了自己的信息了。用户很容易上当导致泄露自己的信息等各种风险。
　　为此，需要做好登陆安全身份认证工作和解决支付安全问题，为之产生USBKey，一种网上银行电子签名和数字认证的攻击，基于PKI技术，采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名，确保网上交易的保密性、真实性、完整性、和不可否认性。
　　2USBKey的工作原理与验证
　　USBKey是一种USB接口的，内置单片机或者智能卡芯片，拥有一定的存储空间，存储着用户的私钥以及数字证书的硬件设备。工作过程为：
　　⑴USBKey的持有者在进行网上交易时，银行会向持有者发送由时间字串，地址字串，交易信息字串，防重放攻击字串组合在一起进行加密之后得到的字串A；⑵USBKey依据持有者的个人数字证书对银行发送过来的字串进行某种不可逆运算；⑶如果银行进行的运算结果和持有者的运算结果一致，银行便认为合法，交易才可正常完成。
　　3USBKey的安全现状
　　从USBKey的原理和工作过程可判断，理论上判断知USBKey是绝对安全的，因USBKey归持有者所有，不会轻易被盗。而且不同的字串A不会得到相同的字串B，即一个字串A只能对应一个唯一的字串B，字串B和字串A无法得出USBKey的数字证书，此外，USBKey具有不可读取性，即任何人都无法获取USBKey的数字证书。并且银行每次都会发不同的防重放随机字串和时间字串，所以当一次交易完成后，刚发出的B字串便不再有效。但是，U盾不可避免的存在一些缺点：
　　⑴USBKey的PIN码安全：黑客如果想仿冒USBKey持有者的身份，既需要USBKey硬件也需要USBKey的PIN码，才可以登录系统完成交易。即用户的PIN码被泄漏或者USBKey被盗，只是其中之一发生，合法用户的身份不会被假冒；⑵数字证书的安全：从密码学的角度看，USBKey的安全性从公钥密码体制和数字证书得到了保证。在USBKey在初始化过程中，密码算法程序先被烧制在ROM中，后从公私密钥对的程序中产生一对公私密钥，得到公私密钥后，公钥被导出到USBKey外，但私钥存储在密钥区，谢绝外部访问。进行数字签名时以及非对称解密运算时，凡涉及到私钥参与的密码运算则只能在芯片内部完成，整个过程中私钥都不会被导出USBKey介质外，保证了USBKey为存储介质的数字证书在认证上的安全；⑶USBKey内部密钥的安全：可知USBKey的密钥是存储在安全的介质中的，用户或者外设是无法直接读取，只有USBKey的内部的程序才能完成密钥文件的读写和修改，从USBKey外面的接口，任何一条命令都不可能对密钥区中的内容进行读出、修改、更新和删除；⑷USBKey与电脑交互的安全：USBKey内置CPU或智能卡芯片，可以实现数据摘要、数据加解密和签名的各种算法，加解密运算在USBKey内进行，保证了用户密钥不会出现在计算机内存中；⑸签名恶意程序的安全：在装有ICBCRootCA（5a960203c10cfa8d42dd115b61154f98e2f617f7）和ICBCPersonalSubCA（2b3edc77574d73a2afcf5a1b031944c1218635bb）的电脑上：1）在证书管理工具中找到该证书，并复制证书使用者的字符串，比如"13579.p97531"；2）在cmd命令提示符中，进入virus.exe所在的目录；3）接着使用signtool.exe签名病毒或者木马程序（virus.exe）："signtool.exesign/n"13579.p97531"/phvirus.exe"；4）USBkey的管理改造防范措施。某些方面，USBKey优于动态密码技术，但一些安全问题是动态密码没有的，此安全问题主要在客户端而不是服务器，因为USBKey的PIN码都是从电脑上输入，黑客依然可以通过木马程序截获用户PIN码，但动态密码锁采用随机一次性密码，此问题也就不存在了。
　　4结束语
　　从上文得知，目前的USBKey的主要优点是具有CPU，类似于加密锁或加密狗，可以进行RSA等一些加密算法运算，而且私钥无法被读取，成本上具有一定优势，因此在网络认证等领域得到广泛的应用，越来越多的人将会采用USBKey作为日常理财或进行其它网络交易的工具，而作为国内在此领域应用最早、最成熟且最具潜力的网上银行应用，在技术和应用方面都应该先人一步，及时找到USBKey潜在安全漏洞的补救方法。
　　[参考文献]
　　[1]《应用密码学》.
　　[2]王俊峰.USBKey认证研究与先实现[D].
　　[3]乌云白帽子.WooYun-2012-10432[EB/OL].（2012-08-01）[2013-01-25].

---

期刊库（http://www.zgqkk.com），是一个专门从事期刊推广、投稿辅导的网站。
　　本站提供如何投稿辅导，寻求投稿辅导合作，快速投稿辅导，投稿辅导格式指导等解决方案：省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。

---

　　【免责声明】本文仅代表作者本人观点，与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。