随着开放式网络的发展,安全问题日益显现,PKI(Public Key Infrastructure,公共密钥基础设施)网络安全体系被广泛应用。USBKEY作为结合了现代密码学技术、智能卡技术和USB技术的产品,在PKI应用的各个领域取代原先的认证方式得到广泛应用。USBKEY的主要功能是存放私钥、数字证书和进行电子签名,它是网上银行数字证书的载体,承担着保护客户数字证书和私钥密钥安全性的重要责任。因此其安全性对于保障网银交易安全有着举足轻重的作用。目前,国内外USBKEY生产厂商上百家,产品性能大同小异,但质量良莠不齐。有些USBKEY为提高交易速度,存在固化密钥;有些USBKEY的密钥存储不安全,可被改写;还有些USBKEY的PIN码采用明文传输。由于USBKEY自身硬件或软件方面设计存在的安全隐患,导致USBKEY一定程度上无法实现对网银的有效安全保护。针对USBKEY在使用过程中存在的安全问题,本文以几家有代表性银行的USBKEY为研究对象,在分析其USBKEY的硬件构成、芯片操作系统COS的各模块功能和工作流程的基础上。根据USBKEY存在的各类安全隐患,经对安全问题的分析,设计了对私钥安全存储、数字签名以及PIN码安全三种测试方案。在分别采用这三种方案对USBKEY测试的过程中,经分析、对照找出了存在的安全隐患和漏洞,并提出了相应的解决措施。为USBKEY的安全使用以及推广应用创造了条件。