USB Key身份認證

目前常見的身份認證方式主要有三種，最常見的是使用用戶名加口令的方式，但這也是最原始、最不安全的身份確認方式，非常容易由於外部泄漏等原因或通過口令猜測、線路竊聽、重放攻擊等手段導致合法用戶身份被偽造；第二種是生物特徵識別技術（包括指紋、聲音、手跡、虹膜等），該技術以人體唯一的生物特徵為依據，具有很好的安全性和有效性，但實現的技術複雜，技術不成熟，實施成本昂貴，在套用推廣中不具有現實意義；第三種也是現在電子政務和電子商務領域最流行的身份認證方式--基於USB Key的身份認證。

USB KEY結合了現代密碼學技術、智慧卡技術和USB技術，是新一代身份認證產品，它具有以下特點：

雙因子認證

每一個USB Key都具有硬體PIN碼保護，PIN碼和硬體構成了用戶使用USB Key的兩個必要因素，即所謂"雙因子認證"。用戶只有同時取得了USB Key和用戶PIN碼，才可以登錄系統。即使用戶的PIN碼被泄漏，只要用戶持有的USBKey不被盜取，合法用戶的身份就不會被仿冒；如果用戶的USB Key遺失，拾到者由於不知道用戶PIN碼，也無法仿冒合法用戶的身份。

帶有安全存儲空間

USB Key具有8K-128K的安全數據存儲空間，可以存儲數字證書、用戶密鑰等秘密數據，對該存儲空間的讀寫操作必須通過程式實現，用戶無法直接讀取，其中用戶私鑰是不可導出的，杜絕了複製用戶數字證書或身份信息的可能性。

硬體實現加密算法

USB Key 內置CPU或智慧卡晶片，可以實現PKI體系中使用的數據摘要、數據加解密和簽名的各種算法，加解密運算在USBKey內進行，保證了用戶密鑰不會出現在計算機記憶體中，從而杜絕了用戶密鑰被黑客截取的可能性。支持RSA，DES ,SSF33和3DES算法。

便於攜帶，安全可靠

如拇指般大的USB Key非常方便隨身攜帶，並且密鑰和證書不可導出，Key的硬體不可複製，更顯安全可靠。

身份認證技術能夠廣泛套用於電力企業的多種套用系統，如電力OA系統、電力行銷業務系統、電力客戶服務系統、電力銀行聯網系統、電力網上門市系統等。通過使用身份認證技術不僅使得企業的安全認證得到有效保障，而且極大的提升了企業的管理效率。

基於衝擊-回響的雙因子認證方式

當需要在網路上驗證用戶身份時，先由客戶端向伺服器發出一個驗證請求。伺服器接到此請求後生成一個隨機數並通過網路傳輸給客戶端（此為衝擊）。客戶端將收到的隨機數通過USB接口提供給ePass，由ePass使用該隨機數與存儲在ePass中的密鑰進行MD5-HMAC運算並得到一個結果作為認證證據傳給伺服器（此為回響）。與此同時，伺服器也使用該隨機數與存儲在伺服器資料庫中的該客戶密鑰進行MD5-HMAC運算，如果伺服器的運算結果與客戶端傳回的回響結果相同，則認為客戶端是一個合法用戶。　密鑰運算分別在ePass硬體和伺服器中運行，不出現在客戶端記憶體中，也不在網路上傳輸，由於MD5-HMAC算法是一個不可逆的算法，就是說知道密鑰和運算用隨機數就可以得到運算結果，而知道隨機數和運算結果卻無法計算出密鑰，從而保護了密鑰的安全，也就保護了用戶身份的安全。

基於數字證書的認證方式

隨著PKI技術日趨成熟，許多套用中開始使用數字證書進行身份認證與數字加密。數字證書是由權威公正的第三方機構即CA中心簽發的，以數字證書為核心的加密技術，可以對網路上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性，以及交易實體身份的真實性，簽名信息的不可否認性，從而保障網路套用的安全性。　PKI即公共密鑰體系，即利用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一個僅為本人所掌握的私有密鑰（私鑰），用它進行解密和簽名；同時擁有一個公開密鑰（公鑰）用於檔案傳送者加密和接收者驗證簽名。當傳送一份保密檔案時，傳送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣，信息就可以安全無誤地到達目的地了，即使被第三方截獲，由於沒有相應的私鑰，也無法進行解密。　用戶也可以採用自己的私鑰對信息進行加密，接收者用傳送者的公鑰解密，由於私鑰僅為用戶本人所有，所以就能夠確認該信息確實是由該用戶傳送的，此過程稱之為數字簽名。　USB Key作為數字證書的存儲介質，可以保證數字證書不被複製，並可以實現所有數字證書的功能。