iKey1000 开发商快速入门-中文版.pdf

iKey1000 快速入门 1 SafeNet iKey1000 快速入门 iKey1000 快速入门 2 第一章 IKEY 简介 SafeNet 公司设计的新型 iKey，可以工作在任何一台具有通用串行总线（ USB）接口的微机作为一个价格低廉的身份识别令牌，它提供所有智能卡和密码令牌的可靠性、简便性和安全性，同时避免了读写设备的复杂安装和昂贵开销 iKey 的潜在应用 iKey 是管理网络服务接入、密码、控件、数字证书和智能卡的理想工具  远程访问服务器 (IPSec， PPTP， PAP， CHAP， RADIUS， TACACS)  外部网络和基于浏览器的网络访问控制 (HTTP， SSL)  联机银行，利息管理，帐号管理  物流和供销渠道管理 (合同签署 )  便携机防止数据失窃  NT 工作站登录  软件保护  文件加密  安全电子邮件 (S/MIME， OpenPGP)  网络设备管理  电子钱包 (SET， MilliCent， eWallet) iKey 的基本架构  可控 LED 指示灯  64 位唯一序列号  不同的安全等级有不同的权限： ADMIN、 USER、 GUEST  访问控制： 文件系统中使用 3 种文件类型： 类型 权限 DATA 任意长度的无符号字符串 KEY 作为密文操作输入的字符串 CTR 数据文件有一个 16 位减法计数器，从0 到 0xFFFF，控制数据文件可被读取的次数。

每个文件有三种访问权限 访问权限 文件类型 DATA KEY CTR 读 控制 禁止 控制 写 控制 控制 控制 密文 无限制 控制 无限制 “读”“写”控制数据在 iKey 和应用程序间的交换密文装载到 iKey 中被内部的密文功能使用 iKey1000 快速入门 3 可以设置的控制权限如下 属性 权限 无限制 不受 PIN 和主密钥控制，程序可以访问文件系统 禁止 不受 PIN 和主密钥控制，程序不能访问文件系统 PIN 通过 PIN 验证后才可以使用 SO PIN 通过 SO PIN 验证后才可以使用 iKey 的出厂设置 iKey 应当由 iKey 系统管理员进行个性化设置下面列出的设置尽供测试使用出厂设置目前由 SafeNet 完成 项目 设置 主密钥 Rainbow PIN 12345678 PIN 次数 5 创建权 完全 删除权 完全 iKey1000 快速入门 4 第二章 iKey 的安装 1． IKEY 开发组件的组成 一只 iKey 一本开发商手册 一条 USB 延长线 一张 iKey 开发组件光盘 2． 系统要求  • Windows 95 (OSR 2.1 or later), with MSCAPI 1 and USB patches  • Windows 98  • Windows NT 4.0 (service pack 3 or later)  • Windows 2000  • Macintosh OS 8.6 or OS 9  必须拥有 USB 接口和支持 USB 接口的软件驱动 3． 安装 iKey 开发工具 1) 将 iKey 开发光盘放入光驱中 2) 开发光盘中“ AUTORUN”自动启动安装程序进入安装程序界面。

如果您的计算机关闭了AUTORUN 功能 ，请双击光盘跟目录的 setup.exe 来安装） 3) 安装程序开始运行，点击 Next; 4) 安装程序显示版权协议说明，如您同意，请点击 Next: 5) 输入您的公司名称和您的名称，点击 Next； 6) 选择“ typical”进行标准化安装，点击 Next； 7) 选择安装路径，点击 Next；（建议使用缺省路径） 8) 输入 iKey1000 运行的快捷文件名，点击 Next；（建议使用缺省名称） 9) 显示全部安装配置，点击 Next； 10) 安装结束，点击 finish 4． 安装 Acrobat Reader 阅读 iKey 的英文原版说明书 Acrobat PDF 文档，需 要安装 Acrobat Reader进入光盘 Acrord32 目录，运行 rs32e301.exe，按照提示进行安装 5． IKey 开发组件系统菜单构成 图 2-1 iKey1000 快速入门 5 6． 安装内容如下： 目录 内容 \Bin iKey 用户工具及编辑器 \Include iKey 编程头文件（ C.H 文件） \Lib iKey 编程库文件，包括 DLL， OBJ， LIB及 ActiveX 控件 \Lib\Java Java 编程文件。

在 IE 及 NetScape 子目录下都含有相应的 Java 类 \Lip\NpiKeys 可编辑安全 NetScape 插件 \Documentation iKey 手册，包括 API 手册及开发手册 \Samples iKey 例程， Token 开发者参考开发手册第 69 页， PKI 开发者请参考开发手册第 95 页 \Redisk 供开发者调用的 iKey 应用程序，细节见开发手册第 26 页 7． iKey 内部结构 iKey 内部结构 内部算法 MD5 哈虚引擎 HMAC--MD5 身份验证 随机数发生器 唯一的 64 位系列号 64 位主密钥 PIN 32 位 4 位 4 位 PIN 限制、计数器、寄存器 8 位全 局存取控制寄存器 文件系统空间 4K 到 128K 字节的文件空间 主文件目录 ID=0 使用两级目录、文件结构 iKey1000 快速入门 6 8． 硬件和软件体系结构 iKey 硬件电路中集成读 /写功能，包含完成存储功能的资源和高速加密引擎它使用通用串行总行接口(USB)提供电源并且与计算机通讯 内置的掉电保护随机访问存储器保存 SafeNet 提供的出厂设置，以及用户提供的与应用程序有关的数据。

尽管可以它可以被很多不同的软件使用，但是最初设计 iKey 的目的是为计算机和网络工作者提供身份鉴别和简化安全流程的手段 9． 主密钥 主密钥 (MKEY，出厂设置为 “ rainbow”，采用 MD5加密 )是控制信任的人员或者程序初始化和配置 iKey的管理机制 在 iKey 没有验证以前，主密钥不能被配置、复位或者初始化如果丢失主密钥， iKey 只能返回 SafeNet做出厂设置 10． PIN 密码 PIN(个人识别码 )是可 选的鉴别 iKey 用户的 32 位数值 PIN 由信任的系统管理员初始化初始化程序可以按照自己的方式，允许最终用户设置和更新他们的 PIN 检查 PIN 的 API 调用收两个 4 位寄存器的控制一个减数寄存器用于记录访问次数，另一个控制对计数器的复位这两个寄存器可以防止用户或者程序通过快速的随机数窃取 PIN PIN 初始化以后，减数寄存器被设置成限制值，一旦 PIN 验证错误，它自动减一；成功的 PIN 验证将它恢复成限制值一旦计数器内容为 0，就不能再对 iKey 进行验证，直到授权的管理员重新将计数器设置为限制值 例如： 如果限制被放置为 3，那么用户最多可以验证 PIN3 次，超出这个限制只能复位 iKey。

如果验证成功，计数器恢复成 3 11． 序列号 每一个 iKey 在出厂时被设置一个唯一的 64 位序列号 (SN)序列号可以区分所有的 iKey 12． 随机数发生器 随机数发生器可以生成随机数据，用于计算授权摘要值或者被其它加密过程使用 13． MD5 这种算法的输入可以是任意长度的数据，它计算出一个 128 的结果，作为输入的“指纹”或者“信息摘要” 它使用一个高速自保护的标准算法，将数据转化成可再生的结果参见 RFC-1321 ftp://ftp.isi.edu/in-notes/rfc1321.txt 14． HMAC 哈虚后的信息身份验证码能用于多次使用哈虚功能的调用中 MD5 与一个密钥种值一起，鉴别信息或者数据 IKey 集成这种工业标准算法，保证密钥算法因子不被泄露的情况下验证数据参见 RFC-2085 ftp://ftp.isi.edu/in-notes/rfc2085.txt 15． HMAC-MD5 信息验证机制 HMAC-MD5 表示一个信息验证码和使用的哈虚算法 iKey 和 API 库便于用户快捷的在授权系统中使iKey1000 快速入门 7 用这种工业标准。

用户的应用程序可 以使用基于软件的 HMAC-MD5 引擎计算出摘要串，与 iKey 内置的 HMAC-MD5 计算出的摘要串比较 如果摘要串相等， iKey 是可靠的，同时如果用户身份验证通过的话，用户是可信任的 在这个身份验证系统中的随机值可以通过任何方式传递，不用担心可靠性密值 A 编码在应用程序和远端服务器上，防止被窃取 16． iKey 的文件系统 文件系统资源完全由 API 库管理它提供一种灵活的方法来存储、保护和获得 iKey 中的数据下面的图表说明一个工 作的 iKey 如何为多个应用程序保存认证信息和特定数据 应用程序 iKey 硬件 与程序连接的 iKey 硬件提供的 iKey 函数库 函数和数据 算法因子 A 随机数 算法因子 A 是 /否 哈虚 (A， X) 哈虚 (A， X) = iKey1000 快速入门 8  主文件 (MF)是根目录， ID 号为 0  MF 可以包含文件和目录 (只支持一级 )  目录如下定义： 32 位 ID(1—0xFFFFFFFF， 0 为主文件保留 )  文件如下定义： 32 位 ID(0—0xFFFFFFFF) 文件系统中使用 3 种文件类型： 类型 权限 DATA 任意长度的无符号字符串 KEY 作为密文操作输入的字符串 CTR 数据文件有一个 16 位减法计数器，从 0 到0xFFFF，控制数据文件可被读取的次数。

每个文件有三种访问权限 访问权限 文件类型 DATA KEY CTR 读 控制 禁止 控制 写 控制 控制 控制 密文 无限制 控制 无限制 “读”“写”控制数据在 iKey 和应用程序间的交换密文装载到 iKey 中被内部的密文功能使用 可以设置的控制权限如下 属性 权限 无限制 不受 PIN 和主密钥控制，程序可以访问文件系统 禁止 不受 PIN 和主密钥控制，程序不能访问文件系统 PIN 通过 PIN 验证后才可以使用 主密钥 通过主密钥验证 后才可以使用 注意：如果多个应用程序使用同一个 iKey，必须相互协调使用目录号和文件号，以避免数据冲突 主文件目录 文件 ID=01 文件 ID=02 目录 ID=03 目录 ID=04 文件 ID=01 文件 ID=02 文件 ID=01 文件 ID=02 文件数据 文件数据 文件数据 文件数据 文件数据 文件数据 iKey1000 快速入门 9 17． 编程环境和接口 iKey 的程序接口包括 API，库和 USB 驱动程序 Windows 版本提供 |Netscape 的 PKCS-11 接口。

或 Microsoft Windows 。