 |
| 为什么选择SafeNet
usbkey加密狗身份认证令牌ikey |
为什么选择SafeNet usbkey加密狗身份认证令牌ikey
身份证认证系统解决方案-新型智能卡产品- iKey
目 录
第一部分 SafeNet 公司简介 3
第二部分 技术及产品线 3
第三部分 为什么选择SafeNet的USBkey产品? 4
3.1 市场地位 4
3.2 完善的服务体系 5
第四部分 usbkey加密狗身份认证令牌ikey的技术特点 5
4.1 iKey的优点 5
4.2 硬件安全技术: 5
第五部分 usbkey加密狗身份认证令牌ikey的应用领域 6
5.1 Windows2000的网络安全登录 6
5.2 安全E-Mail 6
5.3 用于数字证书的存储 6
5.4 用于浏览器的安全:PKCS #11与MS CAPI 7
5.5 在VPN和RADIUS上的应用 7
第六部分 usbkey加密狗身份认证令牌ikey2032在金融行业中的应用 8
6.1 CFCA和iKey2032 8
6.2 网上银行与iKey2032 9
6.3 在Entrust中使用iKey2032 11
第七部分 附录 14
附1:iKey2032附带软件安装和使用方法 14
附2:iKey2032性能参数 17
附3:认证及获奖 19
附录、中国金融认证中心(CFCA)测试认证报告1 20
附录、2005年度中国信息安全值得信赖身份认证品牌 22
附录、2004年度中国信息安全值得信赖的身份认证品牌(iKey) 23
附录 iKey产品在国外所获部分奖项 24
SC杂志2004年度 佳推荐产品奖 24
第一部分 SafeNet 公司简介
SafeNet (Nasdaq: SFNT)成立于1983年,
为 知名网络安全整体解决方案提供商,除了不断研发 新信息安全技术外,我们为客户提供WAN、IPSec VPN、SSL
VPN、PKI加解密产品及数字授权管理等专业解决方案。
SafeNet总部设于美国巴尔的摩市,在安全网络系统开发、设置、管理等专业领域有超过20年的经验,为政府部门、金融机构及 大型企业提供专业的产品及服务。SafeNet在下列各领域皆扮演重要的 地位:
远程安全登陆客户端标准软件设置;取代用户名/密码的USB
硬件身份认证令牌;加速SSL加解密运算的SSL加速装置;防堵非法盗版的软件保护及授权解决方案;及提供给美国政府国防部、国家安全局的高安全加解密系列产品。
除此之外,SafeNet的SecureIP
Technology™技术已广泛应用于软件、芯片、硬件卡及整合的硬件解决方案中,目前此项技术已广泛授权应用于 网络架构制造商,服务供货商及信息安全厂商。
SafeNet 在2004年3月完成与Rainbow
公司的合并,正式跻身为 大、 完整的信息安全产品技术供货商。SafeNet
积 将专业的产品及技术推广至政府部门、金融机构、企业、OEM 客户及所有需要服务的客户。SafeNet在 为5000
家客户提供专业的支持及服务,并在全世界100 个以上的国家拥有广泛的经销渠道。
第二部分 技术及产品线
iKey™
为用户身份认证USB硬件装置,可同时提供应用程序和使用者身份验证功能。它内置加密芯片,可以安全存储使用者的个人凭证。通过USB口,usbkey加密狗身份认证令牌ikey可以方便、安全的验证个人身份。
Luna® 产品系列为PKI核心技术的硬件安全模块,用于的重要数据、PKI凭证及应用程序做硬件的加密保护。
SafeEnterprise™
是SafeNet的企业级产品,提供大型企业、金融机构及政府部门信息安全解决方案。SafeEnterprise Security
System整合安全网络技术,为完整的WAN及VPN的系统架构,SafeEnterprise Security System
涵盖完整信息安全产品,其中包括VPN客户端软件、appliance硬件及中央管理系统。SafeEnterprise SSL
iGate 是SSL的安全解决方案,通过SSL VPN技术及加速达到网络数据传输的安全。SafeEnterprise SSL
iGate被Access Control and Security Systems Magazine评选为"2002
佳信息安全产品"。它通过双因素身份认证硬件及安全的SSL加密隧道,针对公司web或非web应用程序做保护,提供远程安全登陆的 佳解决方案。SafeEnterprise
WAN系列为目前市场上 的可以透过单一应用程序安全控制ATM、Frame、Link 及IP
Network的管理系统应用程序相应硬件设备。
Sentinel™ 系列产品包括Sentinel SuperPro硬件锁及Sentinel
LM授权管理软件,提供软件保护、数字资产保护及授权管理的解决方案。SafeNet为 第一的软件授权管理供货商。
Dog™系列产品包括微狗、软件狗、智能狗、网络狗、时钟狗、强劲狗和光盘狗。加密狗系列产品是保护软件开发商合法利益免受盗版侵蚀的有力武器。目前,加密狗产品占据中国软件保护市场首位。
第三部分 为什么选择SafeNet的产品?
3.1 市场地位
SafeNet 在USB身份认证令牌的市场中,占有 50%的市场份额(据IDC统计)
创在10年前,SafeNet 研制的SSL加速卡,现已占有 66%的市场份额(据IDC统计)
在远程访问解决方案中,硬件身份认证令牌替代了传统的用户名及密码
SafeNet 是高安全通讯和数据加密的选择供应商
SafeNet 服务于比如eTrade等 大的电子商务站点
3.2 完善的服务体系
在中国区,有近三十人的研发和技术支持队伍
提供工作日的免费800电话支持,从上午9:00到下午5:00
提供现场服务
非人为原因导致的硬件故障,保换期在安装之日起一年
第四部分 usbkey加密狗身份认证令牌ikey的技术特点
4.1 usbkey加密狗身份认证令牌ikey的优点
iKey采用与智能卡相同的,提供访问控制的文件系统。应用程序能使用它存储个人信息、私钥、密钥、许可协议、识别特征、数字证书或其它数据。使用iKey具有以下四个优点:
可靠性
用户将个人信息存储在iKey上,可以保证即使发生系统故障仍然是安全的。SafenNet公司采用符合ISO9000 质量认证的设备, 提供超过三百万只iKey,产品具有同行业 低的故障率。
便携性 iKey是连接在钥匙圈上的,用户永远不会忘记携带而且几乎不会丢失,iKey是插入USB接口的,所以对核查在远地区通过笔记本电脑拨入一个公司虚拟专有网络(VPN)或进入Intranet的用户来讲是理想的。非常适合个人使用,可以完美地满足网络应用和异地工作的便携要求。
安全性 用户逐渐意识并且担心病毒和其它恶意软件能够访问保存在硬盘上的记录、控件、密码和其它个人信息。使重要信息不必保存在硬盘上,实现了“机密随身带”。同时作为双因素认证的解决方案,iKey提供了更加安全的保障形式。
不可仿制 用户不能复制iKey中的信息。
这意味着你可以使用它保存获得Internet服务的接入授权,不用担心被人盗用。换句话说,iKey没有密码普遍存在的共用问题。对iKey程序访问是通过SafenNet技术公司提供的应用程序编程界面(API)完成的。
4.2 硬件安全技术:
iKey硬件电路中集成读/写功能,包含完成存储功能的资源和高速加密引擎。它使用通用串行总行接口(USB)提供电源并且与计算机通讯。内置的掉电保护随机访问存储器保存RAINBOW提供的出厂设置,以及用户提供的与应用程序有关的数据。usbkey加密狗身份认证令牌ikey分为两个系列iKey1000(包括iKey1000和iKey1032)和iKey2000(包括iKey2000和iKey2032)。他们分别适用于不同的安全性级别之上,下面列出了两系列产品的技术特性。
(1)12MHz 微处理器
(2)8K/32K存贮单元
(3)符合X.509数字证书存储标准
(4)iKey1000内置有MD5算法芯片。iKey2000内置有RSA算法芯片
(5)软件控制状态指示灯,可方便观察和计算机的接通情况
(6)64位 系列号
(7)USB接口。支持带电插拔,即插即用
(8)随机数生成器
(9)iKey1000有两级口令设置:PIN 和 SO PIN。并且可重试次数可设定,
输入PIN错误次数超过设定值则iKey锁死。iKey2000只有一级PIN,并且PIN错误次数超过设定值则iKey所存数据销毁
(10)三级文件操作权限管理: 访客模式(Guest)、用户模式(User)、超级管
理员模式(Administrator)
(11)内置两级目录文件结构
第五部分 usbkey加密狗身份认证令牌ikey的应用领域
5.1 Windows2000的网络安全登录
Windows2000系统支持建立和使用PKI体系来保证网络的安全性。iKey完全符合Window2000 PC/SC
智能卡标准,因此能与Windows
2000的智能卡功能无缝集成,在此体系中,iKey1000作为存储证书和私钥的载体,可以很方便的集成到Windows2000系统中,实现安全登录及锁定工作站等功能。
采用iKey+ Windows 2000,可以轻松架构一个安全的企业局域网。
5.2 安全E-Mail
电子邮件凭借其易用、低成本和高效已经成为了现代商业中的一种标准的信息交换工具。随着Internet的持续增长,商业机构或是政府机构都开始用电子邮件交换一些秘密的、或是有商业价值的信息,这就引出了一些安全方面的问题,如:
消息和附件可以在不为通信双方所知的情况下被读取,篡改或是截掉;
没有办法可以确定一封电子邮件是否真的来自某人。
电子邮件的安全需求是机密、完整、认证和不可否认,而这些都可以用PKI技术来获得。具体的讲,利用数字证书和私钥,用户可以对他所发的邮件进行数字签名,这样就可以获得认证,完整性和不可否认性,也可以用接收方的公钥对邮件进行加密,只有接收方的私钥可以对邮件解密,从而防止邮件的非法读取。
Windows2000 + Exchange Server 的企业内部邮件环境中,使用Windows2000
Certificate Server 颁发数字证书。客户端采用 iKey 存储证书,iKey可以和
Outlook/Outlook Express或Communicator 无缝集成,实现邮件的签名和加密。
5.3 用于数字证书的存储
数字证书通过提供比单纯公钥更多的信息量加强了公钥的重要性。证书本身含有一个系列号码,失效日期、用户名、加密办法、公钥和关于用户和证书的特别信息。X.509标准定义了证书内容和包含扩展信息的方法。数字证书将人(附加信息)和公钥“捆绑”在一起。
和公钥一样,对于运用证书的交易,数字证书同样需要接受人必须能够访问他们的私钥并为文件解密。这种私钥通常驻于硬盘,可以接受硬盘中不同的应用程序(email、浏览器以及其他程序)的访问。但是,驻于硬盘的私钥的主要缺点是它们的拥有人无法轻易带走它们。将私钥安装在iKey上,允许私钥拥有人在任何一台机器上都能使用证书。另外,私钥被存放在钥匙圈上,如iKey,
比存放在用户的硬盘上更加安全。
可能您已经想到,用户同时可以有几个证书,一个在工作中使用,一个满足银行业的需要,另外一个用于投资活动,这与今天所有人需要使用好多密码差不多。但是,在不同场合一次携带这样多的证书(或私钥)是很费力的,除非它们全部可以被存储到一个单一、安全的装置上。iKey可以圆满地完成这项任务。目前,根据X.509标准的规定,iKey可以贮存四个数字证书,每一个证书都是有密码保护的。
CFCA(中国金融认证中心)的Non-SET系统采用了Entrust公司的系统,包括用户客户端软件和后台服务器软件。由于iKey2000是一个Entrust-ready产品,所以iKey2000可直接用于Entrust系统用来安全保存用户证书和用户私钥。
5.4 用于浏览器的安全:PKCS #11与MS CAPI
通常使用浏览器来完成服务器应用程序和用户之间的交流,浏览器必须通过内置密码库实现服务器应用程序要求的认证功能,在使用Netscape
Navigator时,它和公钥密码系统(PKCS #11)库相互作用。
Netscape Navigator内置的PKCS
#11库可以被SafeNet公司提供的库和驱动程序替代,完成iKey中的一些加密功能。此库有两个重要的功能:它重新引导浏览器寻找iKey上的数字证书而非硬盘驱动器上的数字证书;它使用户可以选择他们愿意使用的数字证书来进行特定的活动。PKCS
#11使用iKey所装有的档案(数字证书)作为加密文件、赋予特权和对 终用户认证的依据。
Microsoft有它自己针对Internet Explorer的密码库,被称为微软密码应用程序编程界面(CAPI),与PKCS
#11有类似的功能。SafenNet科技公司的iKey现在已经实现对CAPI的支持。
为了透明地解决Web的安全问题, 合适的入手点是浏览器,现在,无论是Internet Explorer还是Netscape
Navigator,都支持SSL协议。SSL
协议在电子商务中被广泛采用,利用服务器端和客户端的数字证书可以实现双方交换信息的加密传输。因为 iKey
与浏览器能够紧密的结合,将客户端数字证书存放于iKey可以大大提高数字证书和用户私钥的安全,从而提高整个系统的安全性。
5.5 在VPN和RADIUS上的应用
iKey含有仅限于它和它授予访问权的网络所知道的一个或多个秘密值。使用这个秘密值,iKey就可以计算出针对网络发出的挑战-密码响应,这与传统的密码方式相比有重要的优势。在网络提出的挑战数据和iKey本身秘密值的基础上,iKey计算出一个数字,叫作单向散列算法功能(Hashs算法),然后向网络返回这个数字以确认认证是否有效,这种认证形式称为挑战--响应方式。这种认证方式比密码安全,因为这类密码(在这种情况下是秘密值)永远不会通过网络传输,所以也不会被截获。这个方案是安全的,因为iKey可以向服务器证明它知道秘密值,并且从不会透露。
这个密码技术包含在为VPN访问而设的网络钥匙交换(IKE)标准协议内,同时也提供了不可拒性,这是因为没有iKey就无法实现访问。
除了上述的安全标准以外,iKey和远程访问协议可以兼容。现在远程访问协议,特别是远程认证拨入用户服务(RADIUS),是 其普遍的。一个拥有众多用户拨入的企业会建立起RADIUS服务器。当用户要登录时,每一台可接受拨入的服务器都可与RADIUS服务器联络以寻求认证服务。认证在密码的基础上完成。根据企业安全的需要,密码可以通过电缆传输到RADIUS服务器上(此时服务器依靠密码认证协议或PAP)或者服务器使用前面章节描述过的挑战--响应方案(此时RAIUS服务器依靠挑战握手认证协议或CHAP)。iKey可以支持RADIUS下的密码认证(PAP或CHAP)。
Check Point软件有限公司是 网络安全领域的 厂商,iKey VPN解决方案已经被集成进Check Point
VPN-1远程安全软件。大大加强了网络的安全认证。
第六部分 usbkey加密狗身份认证令牌ikey2032在金融行业中的应用
iKey2032在CFCA(中国金融认证中心)系统中的应用主要是用来安全地存放用户证书和用户私钥。由于在PKI体系中用户私钥是用户身份的代表,因此用户私钥的安全也是整个系统的安全。
因为CA一般采用符合业界标准的技术,所以iKey2032也适用于CFCA以外的证书。
6.1 CFCA和iKey2032
CFCA的Non-SET系统采用了Entrust公司的系统,包括用户客户端软件和后台服务器软件。由于iKey2032是一个Entrust-ready产品,所以iKey2032可直接用于Entrust系统用来安全保存用户证书和用户私钥。
iKey2032被用作存放用户私钥和证书的介质,在网上银行业务中发挥作用。在企业网上银行应用中,用户私钥和证书发挥了传统业务的印章的功能,用以认证用户的身份是否合法,保障用户资金账户的安全。
用户在网上银行进行登录、查询、转账、汇款等业务中,均须使用用户私钥进行签名确认,用用户证书加密和银行服务器之间交换的数据。而用户私钥和用户证书被安全的存放在iKey2032中。
iKey2032用硬件实现签名算法,使得用户私钥从生成开始,到使用、更新、销毁的整个私钥生命周期中,用户私钥始终在iKey2032内部存放,并且全部使用私钥的运算都在iKey2032内部完成,这样就 大限度的保障了用户私钥的安全。
6.2 网上银行与usbkey加密狗身份认证令牌ikey2032
在 业务中,iKey产品在金融行业服务于花旗银行,美国银行,汇丰银行等众多的银行,20多年的行销,现在iKey产品在 销售市场占有率达到50%。
在中国金融业务中,从中国银联的跨行坏帐结算系统开始,目前与CFCA关联的银行,都在使用iKey进行跨行结算。例如:工商银行,农业银行,建设银行,招商银行,兴业银行,上海浦东发银行,兴业银行,中国银行及其分行都在使用iKey,通过使用CFCA的证书进行跨行坏账结算等等。
中国银行(香港)有限公司使用iKey2032对网上银行的用户的证书进行存储。http://www.bochk.com/web/common/popup.xml?content_id=33953
交通银行的网上银行系统采用iKey产品,每年使用量几万只,产品使用稳定,客户满意度高。
香港邮政e-Cert成功应用
http://www.hongkongpost.gov.hk/product/eproduct/ikey/index_c.html
台湾银行iKey成功应用
https://ecomb.bot.com.tw/iFinanceBank/topFAQSearch.asp?FAQID=30
6.3 在Entrust中使用iKey2032
1, 安装Entrust 客户端软件Direct Client
安装Entrust客户端软件和安装一般的Windows应用程序一样。Entrust的配置参数存放在entrust.ini文件中,这个文件一般在windows\system目录下,或客户端软件的安装目录下。一般管理员会配置一个通用的.ini文件包含网络地址、签名算法、密钥长度等信息。
在安装完Entrust客户端软件后安装iKey2032软件,在安装iKey2032软件后,请更新entrust.ini中的部分内容。
在[Entrust Settings]下面添加类似下面这条语句:
CryptokiLibrary95=c:\winnt\system32\dkck132e.DLL
CryptokiLibrarynt=c:\winnt\system32\dkck132e.DLL
CryptokiV2Library95= c:\winnt\system32\dkck201.dll
CryptokiV2LibraryNT= c:\winnt\system32\dkck201.dll
(以上语句适用于WINNT, WIN2000,WINXP)
CryptokiLibrary95=c:\windows\system32\dkck132e.DLL
CryptokiLibrarynt=c:\windows\system32\dkck132e.DLL
CryptokiV2Library95= c:\windows\system32\dkck201.dll
CryptokiV2LibraryNT= c:\windows\system32\dkck201.dll
(以上语句适用于WIN98)
该语句指定了iKey2032提供的CryptKi(PKCS#11)库文件的地址。
2,建立用户配置文件/新建用户
建立用户配置文件的流程如上图所示:
1)
RA初始化建立新用户的流程(选择菜单用户新用户)。一个新用户的资料就被添加到数据库。同时生成并存储用户的第一个密钥对和证书。
2) 管理员生成一组参考码和授权码并安全的传送给用户。
3) 用户在本地选择新建用户,并输入参考码和授权码。
4)
Entrust客户端软件将用户的配置信息装入iKey2000。在装入过程中,一对签名密钥对在iKey2032内部生成并且从Entrust
CA处得到一个证书。
5) Entrust管理员将用户状态更新为”激活的”。用户就可以登录到Entrust PKI应用程序中去了。
3,恢复用户配置文件
如果用户的配置文件由于某些原因(如PIN锁死,iKey2032损坏)而不可操作,配置文件可从Entrust管理系统恢复。由于签名密钥是在iKey2032内部产生的,所以签名密钥会被重新生成,而相对应的签名证书也会重新从Entrust管理系统处下载。基本的恢复操作步骤如下:
用户通知RA需要恢复配置文件。
RA验证用户的身份,并初始化密钥恢复。
RA保证安全的传送参考码和授权码给用户。
用户初始化”恢复配置文件”操作。
a, 输入参考码和授权码
b, 选择”将配置文件存到硬件加密设备上”
用户的配置信息从Entrust管理系统中下载并重新安装到iKey2032中去。
Entrust管理系统将用户状态从”恢复密钥”更新到”激活的”状态。
4,更新用户密钥
为了确保安全,用户密钥需要定期更新。Entrust提供了企业级自动密钥管理功能。Entrust管理系统可以为每个用户制定一个密钥更新日程。当密钥更新日程到期,下次用户登陆时Entrust系统和客户端软件会自动更新用户的配置文件。新的加密加密密钥对和证书会自动安装到usbkey加密狗身份认证令牌ikey2032中去。新的签名密钥和证书也会生成并安装到iKey2032内。
第七部分 附录
附1:usbkey加密狗身份认证令牌ikey2032附带软件安装和使用方法
一、 安装软件
操作系统要求:Windows98/ME/NT4/2000/XP。计算机硬件要求:不低于586,16兆内存。软件安装过程与普通软件相似。
二、使用usbkey加密狗身份认证令牌ikey2032管理工具CIP Utilities.
CIP
Utilities用来管理iKey2032,包括清空、使用存储空间情况察看、集成的读卡器工作状态、Token名字设定、密钥对生成测试。
1.安装完软件后,将iKey2032插入USB端口,在“开始-程序- Rainbow Technologies-iKey2032
series software”内选择“CIP Utilities”,出现如下界面,
2.Token Operations
在USB口插入硬件iKey2032,此时在界面上(Not logged
In)被(iKey2032)的标识代替,表示有新的硬件。右键单击Slot 10,选择“Initialize Token”
单击“continue
Initialization”完成对硬件的初始化工作,初始化之后,iKey2032的密码恢复为初始值“PASSWORD”。
其它有关的使用,请参看相应文档。
附2:usbkey加密狗身份认证令牌ikey2032性能参数
(iKey2032内置32K存储空间)
usbkey加密狗身份认证令牌ikey2032参数
产品主要功能 证书和私钥的存储,私钥签名。
支持的操作系统 Win98/ME/2000/NT4(SP4)/WINXP
标准兼容性 CAPI、PKCS#11、PC/SC
令牌支持的标准 ISO7816-3,4
证书存书标准 X.509
提供的软件和工具 CIP Utilities令牌管理工具Pass phrase Utility用户密码更改工具
Ken Gen 密钥对生成工具
口令保护 PIN可重试次数为10次,10次后锁死并且PIN不可恢复,只能通过重新初始化iKey2032使它可用;
PIN的长度:4-20位数字或字母(大小写敏感)
PIN输入不成功次数不可以专门设置。
物理安全防护 私钥不可提取;
内部专门的私钥存储空间;
ASIC级安全存储芯片;
数据保存期限:至少40年;
随机数生成方法 硬件实现
对称密码算法 支持算法:DES,3DES,RC2,RC4;
软件实现。
HASH算法 硬件实现MD5、SHA1
RSA 算法 硬件实现RSA密钥对生成和存储;
支持 大密钥长度1024;
支持的其他算法 硬件实现DSA, DH
证书申请支持 支持:提供CSP和MS IE集成, 提供PKCS#11和Navigator集成
证书存储 支持证书存储;
证书的使用 支持:和MS、IE、Netscape、Outlook集成
安全电子邮件(outlook express加密签名、解密验证)
Web访问控制
Entrust
电流 大10毫安
电压 直流5伏(正负10%)
EEPROM空间 32K 字节
EEPROM可擦写次数 10万次
EEPROM读取次数 无限
温度 操作温度:-25℃--70℃ 存放温度:-40℃--125℃
附3:认证及获奖
附录、中国金融认证中心(CFCA)测试认证报告1
附录、中国金融认证中心(CFCA)测试认证报告2
附录、2005年度中国信息安全值得信赖身份认证品牌
附录、2004年度中国信息安全值得信赖的身份认证品牌(iKey)
附录 iKey产品在国外所获部分奖项
SC杂志2004年度 佳推荐产品奖 |
|
为什么选择SafeNet usbkey加密狗身份认证令牌ikey |
泰雷兹(THALSE)收购:金雅拓 (Gemalto)、赛孚耐(SafeNet)、圣天诺(Sentinel)、阿拉丁(HASP),彩虹(Rainbow),金天地加密狗(Dog),公司成为专业软件货币化市场品牌。
武汉市金雅特信息技术有限责任公司是泰雷兹(THALSE)公司授权中国代理商,所售赛孚耐SafeNet加密狗产品的序列号均为独立序列号,赛孚耐加密狗产品关键部件是采用非通用芯片可以防止克隆复制的,可提供30天免费测试。
我公司有多名专业加密技术工程师,可随时为您售前售后服务,帮助您实现硬件加密狗、软锁、云授权许可证License授权管理,提高软件开发商软件销售收入。
产品三包:7天包退换,非物理损坏1年免费更换,1年免费服务 |
|
|
 |
| 加密狗-软件授权许可加密保护 |
|
|
|
|
 |
|
