SafeNet iKey 1032 USB key可為多種應用程序及網絡服務提供極具成本效益且容易使用的身份認證控制服務，就像虛擬專用網絡 (VPN) 一樣，它可控制 Intranet、Extranet及 Internet 的存取。另外，iKey 1032 系列也可以用在公共密鑰基礎架構 (PKI) 環境中。 

iKey 1032 USB Key包括一個具有 USB 控制器的微處理器和內存，它們全部集成在一個小到可以串在您的鑰匙鏈上的裝置中。iKey 1032 系列提供極為可靠儲存能力。

USB 控制器兼容USB 1.1/2.0，其作用類似于智能卡讀卡器和智能卡。iKey 1032 內置MD5 算法。

iKey 1032 USB Key內的儲存空間按照目錄和文件劃分，可以通過使用PIN碼控制存取文件。iKey 1032 提供兩級安全保護，即終端用戶和系統管理員。授權終端用戶可以通過PIN碼進行身份驗證并執行操作。管理員也可以通過獨立的PIN碼或密碼來執行敏感操作，如初始化一個終端用戶的 PIN碼。

另一個敏感操作是初始化 iKey 1032 USB Key上的 PKI 功能。在 Windows 版本中，它是由管理員決定是否要從 iKey 1032 的存儲空間分出一部份，zg內嵌在 iKey 1032軟件庫中的 PKI 功能使用。如果啟動該功能，PKI 密碼庫會將專用內存分為兩個部分。一部分作為公共儲存區，可以儲存數字證書、公共密鑰、cookies以及其它沒有受保護的數據。第二個儲存區則是共享機密及專用密鑰的專用儲存區。這個專用區有驗證的安全存取方式，數據也以安全保護方式保存。所有 PKI 功能都會在內嵌于 iKey 1032 系列 Windows 用戶軟件中的安全模塊中執行。

iKey 1032 USB Key除了 RSA 算法外還可以執行其它多種安全算法，包括： DES、DES、3DES、RC2、RC4及 RC5算法。

SafeNet的iKey1032是基于USB的雙因素認證令牌，可以很方便的集成到多種應用程序和網絡服務中；比如虛擬專用網（VPN）、公司內部網、外部網和互聯網的訪問。同時iKey1032系列產品wq可以適用于公開密鑰安全保護體系（PKI）。

iKey1032令牌由一個帶有USB控制功能的處理器和一個存儲器組成，這個存儲器具有足夠存儲相應的密鑰的能力。iKey1032提供的高性能可靠存儲功能，性能如下表所示：

iKey產品 存儲區  RSA軟件支持 

IKEY1032 32KB  1024位保護 

USB控制器兼容USB 1.1/2.0標準，在功能實現上與智能卡加讀卡器相似。iKey1032同時支持硬件級的MD5哈虛算法。

iKey1032內置有目錄和文件系統。對于文件系統的訪問可以通過用戶PIN碼的設置來安全實現。iKey1032的安全系統提供兩種安全訪問級別：最終用戶和企業安全管理員。一個最終用戶如果輸入正確的PIN碼就可以執行相應的操作。一個安全管理員通過輸入不同的SO PIN執行更高級別的操作：比如，重新初始化最終用戶的PIN碼。

另外一種操作是將iKey1032令牌初始化成為在PKI環境中可以使用的格式。對于Windows版本，安全管理員可以決定分配多大的空間用于 PKI操作。所有這些函數功能的實現都包含在iKey1032系列軟件的函數庫中。

當用于PKI時，PKI函數庫將存儲區分成兩個區域。一個區域存儲數字證書、公鑰和其它無需保護的公共數據。第二個存儲區域用于存儲私鑰和共享密鑰等私有信息。這些私有信息有安全的驗證訪問機制同時以保護的格式進行存儲。 

所有的PKI函數都在iKey1032的Windows客戶軟件中的安全模塊中執行。當包含私鑰的操作進行時，如果通過了用戶證書PIN碼的驗證，安全模塊從iKey1032令牌中重新得到相應的密鑰來進行運算。

iKey1032系列軟件和令牌可以執行除了RSA之外的更多安全算法，包括：DES（ECB和CBC模式）、DES、3DES、 RC2、 RC4和RC5。 

客戶端身份認證產品 

產品概述Internet對企業運作的影響使得信息技術產業（IT）在20世紀90年代末發生了巨大的變化。特別是此領域出現的三個重要趨勢，更是需要引起所有IT行業管理者的重視，它們分別是：電子商務、遠程訪問和對更大安全性的需要，其中安全性是前兩種趨勢中至關重要的部分。沒有識別、認證和付款核實的手段，電子商務就不會實現。同樣，遠程訪問在賦予訪問權限之前必需仔細認證用戶。這些趨勢在Intranet和 B2B的電子商務中日益明顯，這種身份識別可以看作準許訪問和相應的訪問權限兩個方面。

所有安全問題的核心是要為某個機構欲授予特權（如遠程訪問或被允許進入商務活動）的個人建立個人身份以及接下來對文件和要處理的事務進行認證。使用了各種安全方式來使接收者相信文件是從身份有效的發件人那里發出的，并且文件在傳送過程沒有遭到干擾。這種認證依賴于包含公鑰、數字簽名和管理這些資源的授權單位——認證機構在內的一套完整的軟件保護技術基礎設施。

我們首先要解決的是個人身份的認證。該項任務通常是用很不成熟（密碼）或非常昂貴（生物測量法如視網膜掃描或指紋檢查）的方式處理的。一種價格低于生物測定法、比單純的密碼更為安全的折中辦法是基于雙因素認證的解決方法，即使用智能卡。

SafeNet公司設計的新型iKey，可以工作在任何一臺具有通用串行總線（USB）接口的微機，作為一個價格適中的身份識別令牌。它提供所有智能卡和密碼令牌的可靠性、簡便性和安全性，同時避免了讀寫設備的復雜安裝和昂貴開銷。

技術特點

1.iKey的優點iKey采用與智能卡相同的，提供訪問控制的文件系統。應用程序能使用它存儲個人信息、私鑰、密鑰、許可協議、識別特征、數字證書或其它數據。使用iKey具有以下四個優點： 

    →可靠性：用戶將個人信息存儲在iKey上，可以保證即使發生系統故障仍然是安全的。SafeNet公司采用符合ISO9000國際質量認證的設備，全球提供超過三百萬只iKey，產品具有同行業{zd1}的故障率。 

    →便攜性：iKey是連接在鑰匙圈上的，用戶永遠不會忘記攜帶而且幾乎不會丟失，iKey是插入USB接口的，所以對核查在遠地區通過筆記本電腦撥入一個公司虛擬專有網絡(VPN)或進入Intranet的用戶來講是理想的。非常適合個人使用，可以wm地滿足網絡應用和異地工作的便攜要求。 

    →安全性：用戶逐漸意識并且擔心病毒和其它惡意軟件能夠訪問保存在硬盤上的記錄、控件、密碼和其它個人信息。使重要信息不必保存在硬盤上，實現了“機密隨身帶”。同時作為雙因素認證的解決方案，iKey提供了更加安全的保障形式。 

不可仿制：用戶不能復制iKey中的信息。 這意味著你可以使用它保存獲得Internet服務的接入授權，不用擔心被人盜用。換句話說，iKey沒有密碼普遍存在的共用問題。對iKey程序訪問是通過SafeNet技術公司提供的應用程序編程界面（API）完成的。 

2.硬件安全技術

iKey硬件電路中集成讀/寫功能，包含完成存儲功能的資源和高速安全引擎。它使用通用串行總行接口(USB)提供電源并且與計算機通訊。內置的掉電保護隨機訪問存儲器保存RAINBOW提供的出廠設置，以及用戶提供的與應用程序有關的數據。iKey分為兩個系列iKey1032和iKey2032。他們分別適用于不同的安全性級別之上，下面列出了兩系列產品的技術特性。

    →12MHz 微處理器 

    →8K存貯單元（可擴展到32K） 

    →符合X.509數字證書存儲標準 

    →iKey1032內置有MD5算法芯片。iKey2032內置有RSA算法芯片 

    →軟件控制狀態指示燈，可方便觀察和計算機的接通情況 

    →64位全球{wy}系列號 

    →USB接口。支持帶電插拔，即插即用 

    →隨機數生成器 

    →iKey1032有兩級口令設置：PIN 和 SO PIN。并且可重試次數可設定，輸入PIN錯誤次數超過設定值則iKey鎖死。iKey2032只有一級PIN，并且PIN錯誤次數超過設定值則iKey所存數據銷毀 

    →三級文件操作權限管理: 訪客模式(Guest)、用戶模式(User)、超級管理員模式(Administrator) 

    →內置兩級目錄文件結構 

3.軟件實現

    →支持全部Windows平臺(95/98/NT/2000)， Apple Macintosh平臺。SafeNet公司提供虛擬智能卡讀卡器的驅動程序。 API被放在iKey開發工具箱中，軟件開發工具包（SDK）包含了訪問iKey進行讀寫的功能，還可進行復雜的加解密工作 

    →圖形化的讀寫編輯iKey硬件的工具，易于使用 

    →ActiveX部件(non-scriptable和script safe) 其中script safe 

    →ActiveX可用于網絡瀏覽器環境； non-scriptable ActiveX可用于一般編程環境(如VB，Delphi等) 

    →通過瀏覽器訪問iKey的Java插件 

    →供C語言調用的庫 

    →支持128位密碼長度的Microsoft CAPI 

    →中間件(Middleware)：PKCS#11（支持128位密碼長度），CSP 

4.iKey身份認證原理

iKey內置有MD5算法芯片，以特有的挑戰—響應式方法來實現網絡身份認證。他的實現原理如下圖， 參與運算的數有兩個：一個可以是隨機數，另一個是事先預設的算法因子（分別存放在服務器的用戶數據庫和iKey硬件內部的存儲器）。MD5 Hash算法可以保證兩個運算數哪怕只發生一位數字的變化，運算結果也會變得wq不一樣。因為每次驗證運算的其中一個運算數是隨機數，所以每次的運算結果也是隨機變化的。由此保證運算結果在傳輸中不怕被截獲。

步驟： 

1.服務器或客戶端取得隨機數，并將之發給對方。 

2.取出各自存儲的算法因子。

3.對這兩個數進行運算。

4.看運算結果是否一致。 如果一致，說明兩端的算法因子是一致的(因為隨機數是共用的，影響結果的只能是算法因子)。進而推出客戶端的算法因子是約定的數---客戶是合法的用戶。

客戶端身份認證產品 iKey1032解決方案

iKey1032的安全解決方案

1.公章管理系統

公章管理系統是在微軟的Office 2000和Office XP的基礎之上通過把數字證書和私鑰存于iKey1032，來實現了傳統辦公過程中加蓋公章的功能，用戶把iKey插入USB接口，可以給Word或Excel文檔加蓋公章，一旦加蓋公章后，該文檔即被保護起來，沒有任何辦法可以修改此文檔。

公章以傳統的紅章的形式在文檔中表現。一旦保護保存后文檔和公章即成為一個整體，正文的內容和公章以及公章的位置都不能被修改。同時正文的內容會通過摘要算法摘要并加載安全防護后存在公章中，即使用戶通過非常規的方法，如二進制地修改文檔（但目前還沒有發現這類方法）對公文進行修改，當文檔再次被打開時公章會自動變黑。

針對有些打印機可以進行分色打印以至給不法分子偽造公文帶來便利的問題，蓋過章的文檔可以指定打印機類型。如果打印機類型不符合要求，則打印出來的公章為黑色—視同復印件。

改公章的顯示和打印分別采用了不同的技術，所以即使通過屏幕拷貝等方法把文檔中公章剪裁下來，并用它來偽造文檔，打印出來后與真正的公文有明顯的區別。

另外該技術還可以和數字簽名技術集成，使得安全性得到更有效的保證。和單純的數字簽名相比，它屏蔽了很多深奧的計算機概念如：PKI理論、證書、私鑰、公鑰等等。這些概念對于非專業人員來說往往很難理解。用戶只要蓋章即進行數字簽名。打開文檔時章為紅色即數字簽名驗證通過，為黑色即數字簽名驗證未通過。

2.九運會“電子身份認證” 

在九運會舉行期間，廣東省電子商務認證中心向九運會組委會提供了一批數字證書，存放在iKey1032介質上，用于網上人員注冊系統。與會者每人獲得一張“電子身份證”，保證在身份識別過程中的便捷、有效及安全。作為在體育賽事中運用這一高科技認證手段進行運作管理在國內外尚屬首次，“電子身份證”成為九運會的一大亮點。

在以往舉行的全運會上，運動員、教練員、記者、政府官員等要參加運動會，登記資料或要獲取相關的信息的時候，都是通過書面的形式向組委會提交信息或獲取資料，一時之間大量的文字資料或重要文件通過傳真或郵寄的方式紛紛在組委會和參與者之間重復繁瑣地傳遞著，這樣，浪費大量的人力物力去處理這些文件就成為了歷年來全運會的一大難題。

采用iKey1032作為私鑰和數字證書存儲的九運會人員網上注冊系統是一個專門對參加九運會的運動員、教練員、裁判員、記者等人員的身份信息進行綜合管理和利用的互聯網系統。參加九運會的運動員、教練員、記者、政府官員只要隨身帶上組委會派發的一個iKey，就可以安全快捷地取得九運會{zx1}資料。

具體的操作情況是：運動員、教練員、記者、政府官員只要隨身帶上組委會派發的一個 USB電子令牌---iKey（令牌里面存儲著由廣東省電子商務認證中心提供的數字證書私有密鑰），無論何時何地都可以通過互聯網和“九運會”取得聯系，zaq最快捷地獲取九運會{zx1}的資料，這種方式就像用鑰匙開保險柜，然后輸入密碼取得物品，不同的是整個過程都是在互聯網上完成的，只需要幾秒鐘，你就可以安全地將遠隔萬里的資料送到手上。

3.解決方案的全球合作伙伴

Ashley Laurant ， Baltimore，Celo，Digital Signature Trust ，Entrust ， GlobalSign Kyberpass ， Netscape ， Verisign ， RSA Keon CA ， Wisekey ， Xcert  ， Secure Computing

友情鏈接：

加密狗http:// 

加密狗http:// 

鏈接：http:///index.php/category/post/Ikey1032