從技術角度看:U盾是用於網上銀行電子簽名和數字認證的工具,它內置微型智能卡處理器,基於PKI技術,采用1024位非對稱密鑰算法對網上數據進行加密、解密和數字簽名,確保網上交易的保密性、真實性、完整性和不可否認性。它設備雖然小巧,但技術含量極高。該產品采用了目前國際領先的信息安全技術,核心硬件模塊采用智能卡CPU芯片,內部結構由CPU及加密邏輯、RAM、ROM、EEPROM和I/O五部分組成,是壹個具有安全體系的小型計算機。
除了硬件,安全實現完全取決於技術含量極高的智能卡芯片操作系統(COS),該操作系統就象DOS、WINDOWS等操作系統壹樣,管理著與信息安全密切相關的各種數據、密鑰和文件,並控制各種安全服務。USBKey具有硬件真隨機數發生器,密鑰完全在硬件內生成,並存儲在硬件中,能夠保證密鑰不出硬件,硬件提供的加解密算法完全在加密硬件內運行。
U盾的安全措施
1.硬件PIN碼保護
U盾采用了使用以物理介質為基礎的個人客戶證書,建立基於公鑰PKI技術的個人證書認證體系(PIN碼)。黑客需要同時取得用戶的U盾硬件以及用戶的PIN碼,才可以登錄系統。即使用戶的PIN碼泄露,U盾沒有丟失,合法用戶的身份就不會被仿冒,如果用戶U盾丟失,其他人不知道用戶的PIN碼,這也是無法假冒合法用戶的身份。
2.安全的密鑰存放
U盾的密鑰存儲於內部的智能芯片中,用戶無法從外部直接讀取,對密鑰文件的讀寫和修改都必須由U盾內部的CPU調用相應的程序文件執行,從而U盾接口的外面,沒有任何壹條指令能對密鑰區的內容進行讀取、修改、更新和刪除,這樣可以保證黑客無法利用非法程序修改密鑰。
3.雙密鑰密碼體制
為了提高交易的安全,U盾采用了雙鑰密碼體制保證安全性,在U盾初始化的時候,先將密碼算法程序燒制在ROM中,然後通過產生公私密鑰對的程序生成壹對公私密鑰,公私密鑰產生後,密鑰可以導出到U盾外,而私鑰則存儲於密鑰區,不允許外部訪問。進行數字簽名時以及非對稱解密運算時,凡是有私參與的密碼運算只在芯片內部即可完成,全程私鑰可以不出U盾介質,從而來保證以U盾為存儲介質的數字證書認證在安全上無懈可擊。
4.硬件實現加密算法
U盾內置CPU或智能卡芯片,可以實現數據摘要、數據加解密和簽名的各種算法,加解密運算在U盾內進行,保證了用戶密鑰不會出現在計算機內存中。