B\S構架瀏覽器端身份認証—ikey1032系列

$B\S構架瀏覽器端身份認証—ikey1032系列$

型號：	Sentinel-ikey
品牌：	SafeNet-Sentinel
原產地：	美國
類別：	電腦、影音數碼 / 軟件
標籤︰	ikey , 身份認証 , USB令牌
單價：	¥100 / 件
最少訂量：	1 件

發送查詢

產品描述

Two-factor authentication.for your digial identity.

客戶端身份認証產品

（查看最新更新，請點擊進入）

產品概述

Internet對企業運作的影響使得信息技術產業（IT）在20世紀90年代末發生了巨大的變化。特別是此領域出現的三個重要趨勢，更是需要引起所有IT行業管理者的重視，它們分別是：電子商務、遠程訪問和對更大安全性的需要，其中安全性是前兩種趨勢中至關重要的部分。沒有識別、認証和付款核實的手段，電子商務就不會實現。同樣，遠程訪問在賦予訪問權限之前必需仔細認証用戶。這些趨勢在Intranet和 B2B的電子商務中日益明顯，這種身份識別可以看作准許訪問和相應的訪問權限兩個方面。

所有安全問題的核心是要為某個機構欲授予特權（如遠程訪問或被允許進入商務活動）的個人建立個人身份以及接下來對文件和要處理的事務進行認証。使用了各種安全方式來使接收者相信文件是從身份有效的發件人那裡發出的，並且文件在傳送過程沒有遭到干擾。這種認証依賴於包含公鑰、數字簽名和管理這些資源的授權單位——認証機構在內的一套完整的軟件保護技術基礎設施。

我們首先要解決的是個人身份的認証。該項任務通常是用很不成熟（密碼）或非常昂貴（生物測量法如視網膜掃描或指紋檢查）的方式處理的。一種價格低於生物測定法、比單純的密碼更為安全的折中辦法是基於雙因素認証的解決方法，即使用智能卡。

SafeNet公司設計的新型iKey，可以工作在任何一台具有通用串行總線（USB）接口的微機，作為一個價格適中的身份識別令牌。它提供所有智能卡和密碼令牌的可靠性、簡便性和安全性，同時避免了讀寫設備的複雜安裝和昂貴開銷。

技術特點

1.iKey的優點

iKey採用與智能卡相同的，提供訪問控制的文件系統。應用程序能使用它存儲個人信息、私鑰、密鑰、許可協議、識別特征、數字証書或其它數據。使用iKey具有以下四個優點：

可靠性：用戶將個人信息存儲在iKey上，可以保証即使發生系統故障仍然是安全的。SafeNet公司採用符合ISO9000國際質量認証的設備，全球提供超過三百萬只iKey，產品具有同行業最低的故障率。
便攜性：iKey是連接在鑰匙圈上的，用戶永遠不會忘記攜帶而且幾乎不會丟失，iKey是插入USB接口的，所以對核查在遠地區通過筆記本電腦撥入一個公司虛擬專有網絡(VPN)或進入Intranet的用戶來講是理想的。非常適合個人使用，可以完美地滿足網絡應用和異地工作的便攜要求。
安全性：用戶逐漸意識並且擔心病毒和其它惡意軟件能夠訪問保存在硬盤上的記錄、控件、密碼和其它個人信息。使重要信息不必保存在硬盤上，實現了“機密隨身帶”。同時作為雙因素認証的解決方案，iKey提供了更加安全的保障形式。
不可仿製：用戶不能複製iKey中的信息。這意味着你可以使用它保存獲得Internet服務的接入授權，不用擔心被人盜用。換句話說，iKey沒有密碼普遍存在的共用問題。對iKey程序訪問是通過SafeNet技術公司提供的應用程序編程界面（API）完成的。

2.硬件安全技術

iKey硬件電路中集成讀/寫功能，包含完成存儲功能的資源和高速安全引擎。它使用通用串行總行接口(USB)提供電源並且與計算機通訊。內置的掉電保護隨機訪問存儲器保存RAINBOW提供的出廠設置，以及用戶提供的與應用程序有關的數據。iKey分為兩個系列iKey1000和iKey2000。他們分別適用於不同的安全性級別之上，下面列出了兩系列產品的技術特性。

12MHz 微處理器
8K存貯單元（可擴展到32K）
符合X.509數字証書存儲標準
iKey1000內置有MD5算法芯片。iKey2000內置有RSA算法芯片
軟件控制狀態指示燈，可方便觀察和計算機的接通情況
64位全球唯一系列號
USB接口。支持帶電插拔，即插即用
隨機數生成器
iKey1000有兩級口令設置：PIN 和 SO PIN。並且可重試次數可設定，輸入PIN錯誤次數超過設定值則iKey鎖死。iKey2000只有一級PIN,並且PIN錯誤次數超過設定值則iKey所存數據銷毀
三級文件操作權限管理: 訪客模式(Guest)、用戶模式(User)、超級管理員模式(Administrator)
內置兩級目錄文件結構

3.軟件實現

支持全部Windows平台(95/98/NT/2000), Apple Macintosh平台。SafeNet公司提供虛擬智能卡讀卡器的驅動程序。 API被放在iKey開發工具箱中，軟件開發工具包（SDK）包含了訪問iKey進行讀寫的功能，還可進行複雜的加解密工作
圖形化的讀寫編輯iKey硬件的工具，易於使用
ActiveX部件(non-scriptable和script safe) 其中script safe
ActiveX可用於網絡瀏覽器環境； non-scriptable ActiveX可用於一般編程環境(如VB,Delphi等)
通過瀏覽器訪問iKey的Java插件
供C語言調用的庫
支持128位密碼長度的Microsoft CAPI
中間件(Middleware)：PKCS#11（支持128位密碼長度）,CSP

4.iKey身份認証原理

iKey內置有MD5算法芯片，以特有的挑戰—響應式方法來實現網絡身份認証。他的實現原理如下圖, 參與運算的數有兩個：一個可以是隨機數，另一個是事先預設的算法因子（分別存放在服務器的用戶數據庫和iKey硬件內部的存儲器）。MD5 Hash算法可以保証兩個運算數哪怕只發生一位數字的變化，運算結果也會變得完全不一樣。因為每次驗証運算的其中一個運算數是隨機數，所以每次的運算結果也是隨機變化的。由此保証運算結果在傳輸中不怕被截獲。

步驟：
1.服務器或客戶端取得隨機數，並將之發給對方。
2.取出各自存儲的算法因子。
3.對這兩個數進行運算。
4.看運算結果是否一致。如果一致，說明兩端的算法因子是一致的(因為隨機數是共用的，影響結果的只能是算法因子)。進而推出客戶端的算法因子是約定的數---客戶是合法的用戶。

客戶端身份認証產品iKey的應用領域

1.安全電子郵件

電子郵件憑借其易用、低成本和高效已經成為了現代商業中的一種標準的信息交換工具。隨着Internet的持續增長，商業機構或是政府機構都開始用電子郵件交換一些祕密的、或是有商業價值的信息，這就引出了一些安全方面的問題，如：

消息和附件可以在不為通信雙方所知的情況下被讀取，篡改或是截掉；
沒有辦法可以確定一封電子郵件是否真的來自某人。

電子郵件的安全需求是機密、完整、認証和不可否認，而這些都可以用PKI技術來獲得。具體的講，利用數字証書和私鑰，用戶可以對他所發的郵件進行數字簽名，這樣就可以獲得認証，完整性和不可否認性，也可以用接收方的公鑰對郵件進行數據保護，只有接收方的私鑰可以對郵件解密，從而防止郵件的非法讀取。

Windows2000 + Exchange Server 的企業內部郵件環境中，使用Windows2000 Certificate Server 頒發數字証書。客戶端採用 iKey 存儲証書，iKey可以和 Outlook/Outlook Express或Communicator 無縫集成，實現郵件的簽名和保護。

2.用於數字証書的存儲

數字証書通過提供比單純公鑰更多的信息量加強了公鑰的重要性。証書本身含有一個系列號碼，失效日期、用戶名、保護辦法、公鑰和關於用戶和証書的特別信息。X.509標準定義了証書內容和包含擴展信息的方法。數字証書將人（附加信息）和公鑰“綑綁”在一起。

和公鑰一樣，對於運用証書的交易，數字証書同樣需要接受人必須能夠訪問他們的私鑰並為文件解密。這種私鑰通常駐于硬盤，可以接受硬盤中不同的應用程序（email、瀏覽器以及其他程序）的訪問。但是，駐于硬盤的私鑰的主要缺點是它們的擁有人無法輕易帶走它們。將私鑰安裝在iKey上，允許私鑰擁有人在任何一台機器上都能使用証書。另外，私鑰被存放在鑰匙圈上，如iKey, 比存放在用戶的硬盤上更加安全。

可能您已經想到，用戶同時可以有幾個証書，一個在工作中使用，一個滿足銀行業的需要，另外一個用於投資活動，這與今天所有人需要使用好多密碼差不多。但是，在不同場合一次攜帶這樣多的証書（或私鑰）是很費力的，除非它們全部可以被存儲到一個單一、安全的裝置上。iKey可以圓滿地完成這項任務。目前，根據X.509標準的規定，iKey可以貯存四個數字証書，每一個証書都是有密碼保護的。

CFCA（中國金融認証中心）的Non-SET系統採用了Entrust公司的系統，包括用戶客戶端軟件和後臺服務器軟件。由於iKey2000是一個Entrust-ready產品，所以iKey2000可直接用於Entrust系統用來安全保存用戶証書和用戶私鑰。

3.用於瀏覽器的安全：PKCS #11與MS CAPI

通常使用瀏覽器來完成服務器應用程序和用戶之間的交流，瀏覽器必須通過內置密碼庫實現服務器應用程序要求的認証功能，在使用Netscape Navigator時，它和公鑰密碼系統（PKCS #11）庫相互作用。

Netscape Navigator內置的PKCS #11庫可以被SafeNet公司提供的庫和驅動程序替代，完成iKey中的一些保護功能。此庫有兩個重要的功能：它重新引導瀏覽器尋找iKey上的數字証書而非硬盤驅動器上的數字証書；它使用戶可以選擇他們願意使用的數字証書來進行特定的活動。PKCS #11使用iKey所裝有的檔案（數字証書）作為保護文件、賦予特權和對最終用戶認証的依據。

Microsoft有它自己針對Internet Explorer的密碼庫，被稱為微軟密碼應用程序編程界面（CAPI），與PKCS #11有類似的功能。SafeNet公司的iKey現在已經實現對CAPI的支持。

為了透明地解決Web的安全問題，最合適的入手點是瀏覽器，現在，無論是Internet Explorer還是Netscape Navigator，都支持SSL協議。SSL 協議在電子商務中被廣氾採用，利用服務器端和客戶端的數字証書可以實現雙方交換信息的保護傳輸。因為 iKey 與瀏覽器能夠緊密的結合，將客戶端數字証書存放于iKey可以大大提高數字証書和用戶私鑰的安全，從而提高整個系統的安全性。

4.在VPN和RADIUS上的應用

iKey含有僅限於它和它授予訪問權的網絡所知道的一個或多個祕密值。使用這個祕密值，iKey就可以計算出針對網絡發出的挑戰-密碼響應，這與傳統的密碼方式相比有重要的優勢。在網絡提出的挑戰數據和iKey本身祕密值的基礎上，iKey計算出一個數字，叫作單向散列算法功能（Hashs算法），然後向網絡返回這個數字以確認認証是否有效，這種認証形式稱為挑戰--響應方式。這種認証方式比密碼安全，因為這類密碼（在這種情況下是祕密值）永遠不會通過網絡傳輸，所以也不會被截獲。這個方案是安全的，因為iKey可以向服務器証明它知道祕密值，並且從不會透露。

這個密碼技術包含在為VPN訪問而設的網絡鑰匙交換（IKE）標準協議內，同時也提供了不可拒性，這是因為沒有iKey就無法實現訪問。

除了上述的安全標準以外，iKey和遠程訪問協議可以兼容。現在遠程訪問協議，特別是遠程認証撥入用戶服務(RADIUS)，是極其普遍的。一個擁有眾多用戶撥入的企業會建立起RADIUS服務器。當用戶要登錄時，每一台可接受撥入的服務器都可與RADIUS服務器聯絡以尋求認証服務。認証在密碼的基礎上完成。根據企業安全的需要，密碼可以通過電纜傳輸到RADIUS服務器上（此時服務器依靠密碼認証協議或PAP）或者服務器使用前面章節描述過的挑戰--響應方案（此時RAIUS服務器依靠挑戰握手認証協議或CHAP）。iKey可以支持RADIUS下的密碼認証（PAP或CHAP）。

Check Point軟件有限公司是全球網絡安全領域的領導廠商，iKey VPN解決方案已經被集成進Check Point VPN-1遠程安全軟件。大大加強了網絡的安全認証。

客戶端身份認証產品iKey1000 個人雙因素身份認証 USB Key

SafeNet iKey 1000 USB key可為多種應用程序及網絡服務提供極具成本效益且容易使用的身份認証控制服務，就像虛擬專用網絡 (VPN) 一樣，它可控制 Intranet、Extranet及 Internet 的存取。另外，iKey 1000 系列也可以用在公共密鑰基礎架構 (PKI) 環境中。

iKey 1000 USB Key包括一個具有 USB 控制器的微處理器和內存，它們全部集成在一個小到可以串在您的鑰匙鏈上的裝置中。iKey 1000 系列提供極為可靠儲存能力。

USB 控制器兼容USB 1.1/2.0，其作用類似于智能卡讀卡器和智能卡。iKey 1000 內置MD5 算法。

iKey 1000 USB Key內的儲存空間按照目錄和文件劃分，可以通過使用PIN碼控制存取文件。iKey 1000 提供兩級安全保護，即終端用戶和系統管理員。授權終端用戶可以通過PIN碼進行身份驗証並執行操作。管理員也可以通過獨立的PIN碼或密碼來執行敏感操作，如初始化一個終端用戶的 PIN碼。

另一個敏感操作是初始化 iKey 1000 USB Key上的 PKI 功能。在 Windows 版本中，它是由管理員決定是否要從 iKey 1000 的存儲空間分出一部份，專供內嵌在 iKey 1000軟件庫中的 PKI 功能使用。如果啟動該功能，PKI 密碼庫會將專用內存分為兩個部分。一部分作為公共儲存區，可以儲存數字証書、公共密鑰、cookies以及其它沒有受保護的數據。第二個儲存區則是共享機密及專用密鑰的專用儲存區。這個專用區有驗証的安全存取方式，數據也以安全保護方式保存。所有 PKI 功能都會在內嵌于 iKey 1000 系列 Windows 用戶軟件中的安全模塊中執行。

iKey 1000 USB Key除了 RSA 算法外還可以執行其它多種安全算法，包括： DES、DES、3DES、RC2、RC4及 RC5算法。

SafeNet的iKey1000是基於USB的雙因素認証令牌，可以很方便的集成到多種應用程序和網絡服務中；比如虛擬專用網（VPN）、公司內部網、外部網和互聯網的訪問。同時iKey1000系列產品完全可以適用於公開密鑰安全保護體系（PKI）。

iKey1000令牌由一個帶有USB控制功能的處理器和一個存儲器組成，這個存儲器具有足夠存儲相應的密鑰的能力。iKey1000提供的高性能可靠存儲功能，同時支持硬件級的MD5哈虛算法。

iKey1000內置有目錄和文件系統。對於文件系統的訪問可以通過用戶PIN碼的設置來安全實現。iKey1000的安全系統提供兩種安全訪問級別：最終用戶和企業安全管理員。一個最終用戶如果輸入正確的PIN碼就可以執行相應的操作。一個安全管理員通過輸入不同的SO PIN執行更高級別的操作：比如，重新初始化最終用戶的PIN碼。

另外一種操作是將iKey1000令牌初始化成為在PKI環境中可以使用的格式。對於Windows版本，安全管理員可以決定分配多大的空間用於 PKI操作。所有這些函數功能的實現都包含在iKey1000系列軟件的函數庫中。

當用於PKI時，PKI函數庫將存儲區分成兩個區域。一個區域存儲數字証書、公鑰和其它無需保護的公共數據。第二個存儲區域用於存儲私鑰和共享密鑰等私有信息。這些私有信息有安全的驗証訪問機制同時以保護的格式進行存儲。

所有的PKI函數都在iKey1000的Windows客戶軟件中的安全模塊中執行。當包含私鑰的操作進行時，如果通過了用戶証書PIN碼的驗証，安全模塊從iKey1000令牌中重新得到相應的密鑰來進行運算。

iKey1000系列軟件和令牌可以執行除了RSA之外的更多安全算法，包括：DES（ECB和CBC模式）、DES、3DES、 RC2、 RC4和RC5。

客戶端身份認証產品iKey2032 個人雙因素身份認証

iKey™ 2032 是一個精巧的雙因素身份認証USB Key設備，可進行網絡認証、e-mail 保護以及數字簽用應用等。它具有成本低、設計精巧以及使用方便的特點，USB接口讓它比智能卡或動態口令更容易部署和應用。

解決方案

iKey 提供了一個輕巧的數字身份驗証和管理的硬件解決方案。雖然它的功能與智能卡類似，但 iKey 將雙因素驗証、密鑰管理及數字簽名功能整合在一個小的硬件中，它包含一個USB 接口，因此並不需要獨立的讀卡器裝置。iKey是通過 FIPS 140-1, Level 2 認証的硬件設備，它具備安全的密鑰生成、密鑰儲存、保護及數字簽章能力，為用戶登錄、Email 保護、硬盤保護、VPN 驗証及其它安全用戶應用提供了極高水平的安全性。

產品特點

USB 接口
iKey的 USB 接口易於使用，可以快速確認身份，不需要安裝額外的智能卡讀卡器。
精巧耐用
iKey 個人身份認証 USB Key小到可以串在鑰匙鏈上，堅固的外殼可以讓您隨身攜帶。
雙因素驗証消除了密碼遭到盜用的困擾
密碼會因為遭到盜用而讓敏感的網絡遭受破坏。iKey 則提供安全且方便使用的真正雙因素驗証。
應用廣氾
iKey 支持包括單點登錄／智能卡登錄、VPN 驗証、e-mail 保護、數字簽名及許多知名廠商如Microsoft、Entrust、Computer Associates、VeriSign 等的 PKI 應用。
FIPS 140-1, Level 2 認証*
iKey 2032有通過 FIPS 140-1, Level 2* 認証的防竄改硬件，可為用戶寶貴的數字財產提供超高水平的安全保護。

SafeNet iKey4000 身份認証令牌

SafeNet 行業領先的 iKey 4000 是基於 USB 的便攜式 PKI ，其雙重認証的令牌為驗証、簽名和加密提供了安全保証。

最先進的技術――來自最信任的合作夥伴！SafeNet無邊界安全 iKey4000USB 令牌採用目前最強大的加密令牌技術，它帶有 64K EEPROM ，尺寸較小，可系在鑰匙鏈上，且能夠安全的生成並存儲口令、私有密鑰、公共証書以及其他數據。 SafeNet iKeys 保証了只有授權用戶才能執行加密功能。作為智能卡技術的延伸， iKey4000 可簡單的插入用戶計算機的任何 USB 端口，無需昂貴的讀卡設備，即可提供強大的用戶認証功能。