USB key特點

基於usb key的身份認證方式是近幾年發展起來的一種方便、安全、可靠的身份認證技術，並提供usb介面與現今的電腦通用，usb key是一種usb介面的小巧的硬體裝置，形狀與常見的u盤沒有什麼兩樣，但它的內部結構不簡單，它內建cpu、儲存器、晶片作業系統（cos），可以儲存使用者的金鑰或數字證書，利用usb key內建的密碼演算法實現對使用者身份的認證，

   （1）雙因子認證

每個USB key都有一個硬體PIN碼，PIN碼可以理解為使用USB key所需的密碼，只有知道PIN碼的人才有權使用USB key。雙因子認證是指只有使用者同時擁有USB key和PIN碼，才能通過身份認證。USER PIN有最大重試次數限制，連續輸入錯誤會鎖死。從而防止硬體丟失後，被不合法的使用者反覆重試。
如果使用者key（硬體）丟失，由於其他人不知道PIN碼，也無法偽造使用者身份；如果其他人知道了PIN碼，但是無法獲取到key，同樣也無法偽造身份。因此使用USB key進行身份認證是一種非常安全的方式。

   （2）帶有安全儲存空間

USB key中有一塊安全的儲存空間，專門用來儲存數字證書、使用者金鑰等祕密資訊。之所以說這塊儲存空間是安全的，是因為只有通過程式才能對該儲存空間進行讀寫，使用者無法直接讀取，並且使用者私鑰是不能匯出的，這也就防止了其他人複製數字證書或使用者身份資訊進行身份偽造。

   （3）硬體實現密碼演算法

USB key內建了CPU或智慧卡晶片，晶片中集成了資料加解密、簽名驗籤、訊息摘要等各種密碼演算法。硬體實現密碼演算法相比於軟體實現密碼演算法，最大的好處是密碼運算在key中進行，保證了金鑰永不出key，不會出現在計算機的記憶體中，這也就防止了黑客獲取金鑰，保證了金鑰的安全性。

   （4）便於攜帶，安全可靠

USB key類似於U盤，非常的小巧，便於攜帶。並且key中的證書和金鑰不可匯出，key的硬體不可複製，更加安全可靠。

身份認證

USB key中儲存著使用者的證書，證書是由CA簽發的，唯一的代表一個使用者的身份。與證書相對應的是一個公私鑰對，公鑰在證書中，私鑰由使用者自己儲存。
數字證書寫入到UKey中怎麼用？一般UKey裝置廠商會提供API，另外還需要有相應的驅動程式，可以讓系統識別到UKey移動裝置，提供相應的加解密簽名介面，如讀取UKey序列號、讀取加密簽名證書、簽名等，禁止直接讀取私鑰，並有相應安全策略保護。

通過UKey簽名可以實現身份認證，因為UKey中包含的私鑰就只有指定身份才能持有，拿使用UKey數字簽名登入後臺為例，首先插入UKey裝置，然後簽名隨機生成的驗證碼，得到簽名資料，再輸入使用者名稱一起提交到後臺，後臺先做驗證碼正確性檢查，然後再通過使用者名稱查詢定位資料庫中的使用者簽名證書記錄，使用使用者的簽名證書對使用者傳過來的簽名資料進行驗籤，如果驗證通過則證明是對應的使用者，從而實現身份認證過程。這種方式比傳統的口令認證更安全，甚至可以不需要使用者名稱就可以登入驗證，使用者名稱是可以儲存在數字證書資訊中的，並且證書的序列號在同個CA中也是唯一的。身份認證實現的基本流程如下。