王春圓

（國家知識產權局專利局專利審查協作河南中心，河南 鄭州 450000）

USB Key身份認證專利技術綜述

王春圓

（國家知識產權局專利局專利審查協作河南中心，河南 鄭州 450000）

隨著互聯網消費的普及，在用戶進行網上銀行交易時，保證交易的安全性變得越來越重要，這就有必要對交易用戶的真實身份進行安全認證，而USB Key作為一種典型的用戶身份認證工具被廣泛應用。本文介紹了USB Key身份認證技術的基本概念，并結合本技術領域的重要申請人的有代表性的專利，概括了當前USB Key身份認證技術的發(fā)展狀況。

網上銀行交易；身份認證；USB Key

1 USB Key身份認證技術的基本概念

USB Key也叫U盾或者優(yōu)盾，是一種USB接口的硬件設備，其采用PIN碼和USBKey 硬件構成的一次一密的“強雙因子認證模式”，具有較強的安全性。

USBKey內置USB控制器、微處理器、存儲器，USB控制器負責識別PIN碼以及整個USBKey的驅動，存儲器中存放著用戶的認證信息，這些認證信息在初始化以后，系統只能對其進行讀操作，不能任意改動，保證信息的安全存儲，微處理器負責處理HASH函數等的計算和控制。在使用時，USBKey是通過USB接口和計算機連接，然后將認證信息發(fā)給認證方，系統結構如圖1所示：

圖1 USBKey身份認證系統結構圖

基于USB Key的身份認證系統主要有兩種應用方式：（1）基于沖擊/響應的認證方式，（2）基于數字證書的認證方式。

（1）基于沖擊/響應的認證方式：當需要在網絡上驗證用戶身份時，先由客戶端向服務器發(fā)出一個驗證請求，服務器接到此請求后生成一個隨機數并通過網絡傳輸給客戶端（此為沖擊）；客戶端將收到的隨機數提供給插在客戶端上的USB Key，由USB Key使用該隨機數與存儲在USB Key中的密鑰進行HASH（MD5）運算并得到一個結果作為認證證據傳送給服務器（此為響應）；與此同時，服務器也使用該隨機數與存儲在服務器數據庫中的該客戶密鑰進行HASH（MD5）運算，二者結果相比較，如果相同則認為客戶端是一個合法用戶。原理如圖2所示，圖中“R”代表服務器提供的隨機數，“Key”代表密鑰，“X”代表隨機數和密鑰經過HASH運算后的結果。

圖2 USBKey沖擊/響應模式原理圖

（2）基于數字證書的認證方式是將用戶交易數據和服務器回傳的時間戳 （ 防止重放攻擊 ） 的散列值用USBKey中的用戶私鑰進行數字簽名，和原始數據一起發(fā)給服務器；服務器用相應用戶的公鑰解密簽名數據獲取散列值，并對原始數據使用與客戶端相同的算法計算散列值，兩者比較，相同則確認客戶端是一個合法用戶。

而目前在網上銀行交易系統中廣泛使用的USBKey設備大多數都采用所述基于數字證書的認證方式。

2 USB Key身份認證技術發(fā)展路線

隨著人們對身份認證技術越來越高的安全性需求，USBKey也經歷了從第一代到第二代的改進。一代USBKey是指沒有屏幕、語音、確認鍵的普通USBKey；二代USBKey是指帶有顯示屏或者語音提示、確認鍵的USBKey，結構如圖3所示：

圖3 二代USBKey結構圖

其中，顯示屏和語音用來將用戶通過客戶端輸入的內容真實地顯示出來，用戶完成交易信息確認后通過USBKey的確認鍵完成交易，實現“所見即所簽”，這樣也可以有效地防止交易信息的偽造。

然而對于傳統的USBKey來說，一旦用戶的帳戶信息、密碼和USBKey同時被盜取，合法用戶的身份就會被仿冒，則可進行相關交易。因此，人們開始尋求一種直接認人而不認物的身份驗證方法，基于指紋識別的USBKey就是解決這問題的最佳方案，其利用指紋進行注冊認證的過程為：

（1）指紋注冊過程：指紋傳感器模塊識別獲得清晰的指紋信息后，經過指紋加密算法獲得一定長度的指紋密鑰，同時與隨機數發(fā)生器產生的隨機序列進行加密運算，而后生成指紋模板，存入EEPROM，完成用戶注冊過程。

（2）指紋認證過程：當用戶再次使用USBKey時，指紋模塊識別后所獲得的一定長度指紋密鑰與EEPROM里已存的指紋模板進行解密運算，運算結果如果與存入EEPROM的指紋模板一致，則完成用戶指紋認證過程，同時啟動USBKey發(fā)送數字認證信息和私鑰。

3 USB Key身份認證重要申請人的技術路線

由于北京飛天誠信科技有限公司是全球最大的USBKey產品提供商，并且?guī)缀跛兄袊你y行都在使用飛天誠信的USBKey系列產品，同時中國工商銀行作為網上銀行交易行業(yè)的代表，在USBKey的應用方面也走在行業(yè)的前列，而北京天誠盛業(yè)科技有限公司一直致力于生物識別認證技術并將其應用于USBKey。因此選擇北京飛天誠信科技有限公司、中國工商銀行和北京天誠盛業(yè)科技有限公司作為本技術領域的重要申請人，對其專利申請進行梳理，得出USBKey身份認證技術的發(fā)展路線，具體如下：

中國工商銀行的專利申請（CN1556449A，20041222）公開了一種利用USB KEY對網上銀行數據進行加密、認證的方法，包括如下步驟：a）根據用戶信息生成針對該用戶的數字證書；b）將所述數字證書存入將要分配給該用戶的USB KEY中；c）用戶登陸網上銀行用戶進行數據處理時，通過所述USB KEY確認用戶身份或數字簽名。

中國工商銀行的專利申請（CN101183456A，20080521）公開了一種USBKey加密裝置，所述USBKey裝置包括指示燈，用于指示所述USBKey裝置的工作狀態(tài)，還包括可視屏幕，用于使用所述USBKey裝置進行數字簽名時，所述USBKey裝置將待簽名信息顯示在屏幕上，而且所述USBKey裝置還包括一個或多個按鈕，用來對待簽名信息進行確認取消等操作。

中國工商銀行的專利申請（CN101441695A，20090527）公開了一種通過安全保護裝置連接到計算機的USBKey裝置，所述安全保護裝置包括一電路開關單元，用于接通計算機與USBKey的連接，并在預定時間內斷開計算機與USBKey之間的連接，使得黑客無法通過對用戶計算機遠程控制的方法來劫持用戶的USBKey進行認證和簽名操作。

北京飛天誠信科技有限公司的專利申請（CN102222390A，20111019）公開了一種具備動態(tài)口令功能的USBKEY裝置，從而使得所述USBKEY裝置綜合了動態(tài)口令在使用時不需要連接到電腦的方便性，在易用性和安全性方面得到統一。

北京天誠盛業(yè)科技有限公司的專利申請（CN102289613A，20111221）公開了一種帶指紋識別的液晶USBKEY設備，其采用指紋識別代替?zhèn)鹘y的密碼識別，將用戶從記憶密碼的繁瑣操作中解放出來。

隨著科技的發(fā)展，電子交易已占據大部分人的生活，而同時人們對電子交易的安全性也提出了越來越高的要求，USBKey身份認證技術作為一種安全性相對較高的認證手段，也越來越受到青睞，但其不可避免地還會存在一定的安全隱患，這也促使USBKey身份認證技術的不斷改進和完善。

4 小結

本文通過大量檢索USB Key身份認證領域的專利申請，基于本技術領域的重要申請人的有代表性的專利，對USB Key身份認證技術進行了梳理，概括了當前USB Key身份認證技術的發(fā)展路線。

［1］ 孫立芳.淺談基于USBKey的身份認證技術及其應用.《當代經理人》，2006年第11期.

［2］曹喆，王以剛.基于USBKey的身份認證機制的研究與實現.《計算機應用與軟件》，2011年第2期.

［3］汪國安，楊立身.USBKey身份認證系統的設計與實現.《河南理工大學學報》，2005年第4期.

［4］劉紅波.基于USBKey的身份認證系統的設計.《硅谷》，2010年第20期.

［5］王國華，王伊莉.基于指紋識別技術的USBKey設計.《自動化與儀器儀表》，2010年第4期.

王春圓（1987.11-），女，研究實習員，碩士研究生，研究方向：信息安全方面的專利審查。

TP393.08

A

1003-5168（2015）11-009-02