usbkey

USB Key產品最早是由加密鎖廠商提出來的，原先的USB加密鎖主要用於防止軟體破解和複製，保護軟體不被盜版，而USB Key的目的不同，USB Key主要用於網路認證，鎖內主要保存數字證書和用戶私鑰。

USB KEY也叫UKEY，USBKey,USB Token，國內習慣翻譯成U盾，或者優盾。

工行的USB Key產品為“U盾”，招行的USB Key產品為“優Key”。

相對來說，USB Key比較安全，但是USBKey並非絕對安全，也存在被破解的可能，詳細的技術分析請參見下面兩篇文章：

中國網銀安全分析：　USB Key的安全漏洞

如今越來越多強大的病毒，木馬等等盜取信息工具出現，而且USB Key本身也會有某些不可預料的安全漏洞。如密碼隨時在虛擬鍵盤和鍵盤、滑鼠被監控

在今天這樣一個網際網路驅動的社會中，網上銀行也稱線上銀行，已經成為金融機構整體發展策略中不可或缺的一部分。使用網上銀行的用戶數量巨大增長，並且每年保持了穩定的發展勢頭。網上銀行在給它的用戶帶來諸多便捷服務、給銀行節省費用支出和帶來更多利潤增長點的同時，也承受著很多安全風險。很多銀行意識到了這一點，紛紛採取行動，包括不斷教育用戶提高自身安全意識，安裝防毒軟體，防木馬軟體；採用硬體USB Key或者動態口令牌方式進行身份認證等。

動態口令令牌(OTP，One time password)

採用動態口令的認證方式就是在每次用戶登錄時除了輸入常規的靜態口令外，還要再輸入一個每次都會變化的動態口令。這個動態口令的獲得方式有很多種，如刮刮卡式、二維矩陣卡式和電子令牌式，其中電子令牌就是我們所說的動態口令令牌,如VeriSign的動態令牌VIP服務。刮刮卡和二維矩陣卡都是以紙質卡形式提供，但它們都存在著與生俱來的缺陷，刮刮卡有嚴格的使用次數限制，一般只能使用30次，而二維矩陣卡雖然可以無限次使用但很容易被複製，同動態口令相比刮刮卡和二維矩陣卡式都不具備時效性。

採用動態口令牌方式的優點：

無須安裝軟體，操作簡單。與客戶電腦無關，不需要安裝其他任何程式即可直接使用網上銀行服務。

一次一密，用過即失效。解決了客戶密碼被盜的問題。這應該是動態口令牌在安全性方面帶來的最大好處。

USB Key(硬體數字證書載體)

這是大多數國內銀行採用的客戶端解決方案，使用USB Key存放代表用戶唯一身份數字證書和用戶私鑰。在這個基於PKI體系的整體解決方案中，用戶的私鑰是在高安全度的USB Key內產生，並且終身不可導出到USB Key外部。在網上銀行套用中，對交易數據的數字簽名都是在USB Key內部完成的，並受到USB Key的PIN碼保護。在支付領域，我們可以看到支付寶與天威誠信數字認證中心推出的第三方支付工具“支付盾”採用USB Key方式的優點：

代表用戶身份的私鑰在USB Key產生，安全強度高；

OCL Key從硬體形態上增加了一個物理按鍵。套用握奇提出的OCL（即“操作控制列表”）技術，當需要使用USB Key內私鑰進行簽名時，就會啟動按鍵等待操作。在有效時限內(用戶可以自行設定時限長短)按下物理按鍵後簽名才能成功，否則簽名操作失敗。即使USB Key的密碼被人截取，木馬程式發起一個非法的交易申請，由於無法進行物理上的按鍵操作致使整個交易不能進行下去。更重要的是這種實現方式對銀行端沒有任何影響，只需改變的是用戶的操作習慣。

另外，面對交易數據在用戶客戶端提交到USB Key過程中被篡改的危險性，OCL Key增加了顯示模組或語音模組，可以把送到USB Key內的交易數據信息顯示或報讀出來。OCL Key的顯示模組或語音模組都是直接被USB Key內安全晶片直接控制，不會被木馬程式更改顯示或報讀的內容，因此通過USB Key顯示或報讀的數據內容就是真正被簽名的內容。實現了“所見即所簽”，用戶在確認顯示或報讀的內容正確無誤後按下物理按鍵即可完成整個交易。

OCL Key不但可以確保身份認證安全性，同時還支持交易認證功能，最大程度的保證網路交易的安全，為客戶提供了堅實的身份識別和密碼管理方案。基於現有的理論分析和權威調查來看，這種基於OCL技術的USBKey是當前最理想便捷的安全認證終端。

● 交易更安全

擁有U盾，您辦理網上銀行業務時，不用再擔心黑客、假網站、木馬病毒等各種風險，U盾可以保障您的網上銀行資金安全。

辦理網上銀行對外支付業務時，使用登錄密碼和支付密碼的客戶，需要保護好您的卡號和密碼，需要確保登錄網上銀行的電腦安全可靠，定期更新防毒軟體，及時下載補丁程式，不隨便打開來路不明的程式、遊戲、郵件，保持良好的上網習慣；如果您不能完全做到，也不用擔心，使用U盾是您最好的選擇，只要您的登錄卡號、登錄密碼、U盾和U盾密碼不同時泄露給一個人，您就可以放心安全使用網上銀行。

除U盾外，工行還推出了一系列安全措施：通過別名登錄（一種不同於傳統賬號登錄的自定義登錄方式），登錄密碼和支付密碼雙重密碼控制，以及支付額度控制等措施來確保客戶安全；通過網址核對、網站證書驗證（點擊工行網頁右下腳“加密鎖”圖表）、預留信息驗證等方式來識別和防範假冒銀行網站。

● 支付更方便

擁有U盾，您不用再受各種支付額度的限制，輕鬆實現網上大額轉賬、匯款、繳費和購物。

● 功能更全面

擁有U盾，您可以通過網上銀行簽訂個人理財協定，享受我行獨具特色的理財服務。

● 服務更多樣

擁有U盾，您還可以將工行U盾與支付寶賬號綁定，利用U盾對登錄支付寶的行為進行身份認證，從而保障您支付寶賬戶的資金安全。

為幫助廣大網友防範網上支付風險，推動電子商務產業發展，中國工商銀行與阿里巴巴旗下支付寶開展合作，共同推出了數字證書共享項目。客戶將工行U盾與支付寶賬號綁定後，必須插入工行U盾登錄支付寶方可進行支付貨款、提現、充值等操作；客戶不使用工行U盾登錄支付寶，只能進行查詢類操作。因此，支付寶客戶只需綁定工行U盾，即便不小心泄漏了賬號、密碼，只要工行U盾在手，依然可以保證賬戶資金“高枕無憂”。