一種基于usb key的安全套件庫系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及信息安全【技術領域】,尤其涉及一種可以實現(xiàn)信息在傳輸過程中的保密性、完整性和不可抵賴性的套件庫,特別涉及一種基于USBKEY的安全套件庫系統(tǒng)。本發(fā)明的一種基于USBKEY的安全套件庫系統(tǒng),其利用相關PKI技術、安全認證技術及國產加解密算法等,向上層用戶提供的加密接口庫,實現(xiàn)使用不同的加密和簽名算法產生密鑰,交換密鑰、數(shù)據(jù)的加密驗證,利用該套件庫可以實現(xiàn)信息在傳輸過程中的保密性、完整性和不可抵賴性。
【專利說明】—種基于USB KEY的安全套件庫系統(tǒng)
【技術領域】
[0001]本發(fā)明涉及信息安全【技術領域】,尤其涉及一種可以實現(xiàn)信息在傳輸過程中的保密性、完整性和不可抵賴性的套件庫,特別涉及一種基于USB KEY的安全套件庫系統(tǒng)。
【背景技術】
[0002]近十年來,信息技術尤其是計算機網(wǎng)絡技術得到了飛速發(fā)展。人們得益于信息革命帶來的巨大機遇的同時,不得不面對信息安全問題的嚴峻考驗。為保證網(wǎng)上數(shù)字信息的傳輸安全,除了在通信傳輸中采用更強的加密算法等措施之外,必須建立一種信任及信任驗證機制,保證傳輸數(shù)據(jù)的認證、完整性、機密性和不可否認性。
[0003]PKI (PublicKeyInfrastructure,即公鑰基礎設施)技術以數(shù)字證書為媒介,通過對證書的使用和管理,可在網(wǎng)絡信息交流中實現(xiàn)身份認證并保證信息傳輸?shù)陌踩?。USBKey中存儲了數(shù)字證書和對應的私鑰,并且不允許私鑰導出即使USB Key丟失也有口令保護,不會造成私鑰的隨意泄漏,正是USB Key的小巧、方便易用以及高安全可靠性,使得它的應用范圍越來越廣,在證書系統(tǒng)中成為重要載體。
[0004]由于CSP和PKCS#11是目前PKI體系中應用最廣泛的兩種基于硬件加密設備的接口標準,讓這兩者之間兼容具有重要的現(xiàn)實意義。目前,常用的硬件設備有HIDKey和PC/SC接口 KEY,屏蔽這些KEY的差異性可以使得硬件的選擇更靈活。
【發(fā)明內容】
[0005]為了解決現(xiàn)有技術的問題,本發(fā)明提供了一種基于USB KEY的安全套件庫系統(tǒng),其利用相關PKI技術、安全認證技術及國產加解密算法等,向上層用戶提供的加密接口庫,實現(xiàn)使用不同的加密和簽名算法產生密鑰,交換密鑰、數(shù)據(jù)的加密驗證,利用該套件庫可以實現(xiàn)信息在傳輸過程中的保密性、完整性和不可抵賴性。
[0006]本發(fā)明所采用的技術方案如下:
一種基于USB KEY的安全套件庫系統(tǒng),其從下往上分為3層:硬件抽象層、功能實現(xiàn)層以及接口封裝層,其中,
所述的硬件抽象層封裝了硬件特性,屏蔽了硬件的具體實現(xiàn)細節(jié),為功能實現(xiàn)層提供一個統(tǒng)一的卡片操作函數(shù);
所述的功能實現(xiàn)層位于套件庫的中間層,用于完成設備管理、加密解密以及文件管理的功能;
所述的接口封裝層用于將功能實現(xiàn)層完成的功能進行封裝。
[0007]功能實現(xiàn)層由設備管理模塊、認證模塊、卡文件系統(tǒng)模塊、RSA密鑰和散列模塊和軟件算法模塊構成,其中,
所述的設備管理模塊用于設備信息的獲取和設備的連接;
所述的認證模塊分為外部認證和密碼口令認證,外部認證在建立卡文件系統(tǒng)之前使用,經(jīng)過外部認證,可達到可以創(chuàng)建文件的權限,從而可以建立卡文件系統(tǒng)所需要的各種文件;密碼ロ令認證又分為SO PIN認證和用戶密碼認證。
[0008]接ロ封裝層將完成的功能封裝成兩種接ロ,分別為CSP接口和PKCS#11接ロ。
[0009]本發(fā)明提供的技術方案帶來的有益效果是:
本發(fā)明的一種基于USB KEY的安全套件庫系統(tǒng),該套件庫是用來向上層用戶提供的加密接ロ庫,主要包括CSP和PKCS#11兩部分,PKCS#11和CSP相互兼容,以滿足人們在CSP環(huán)境下申請證書,在PKCS#11環(huán)境使用證書的要求。該套件庫的結構從下往上分為3層:硬件抽象層、功能實現(xiàn)層以及接ロ封裝層。硬件抽象層主要封裝了硬件特性,能夠屏蔽HIDKey和PC/SC接ロ的KEY的差異性;功能實現(xiàn)層實現(xiàn)了設備管理、加密解密以及文件管理等重要功能,為封裝層和底層開發(fā)用戶提供了方便、友好的接ロ ;接ロ封裝層主要對功能實現(xiàn)層封裝成CSP接口和PKCS#11接ロ。
[0010]本發(fā)明的一種基于USB KEY的安全套件庫系統(tǒng),其每ー層次完成相對比較獨立的功能,這種架構層次分明,以方便以后的升級和維護。該套件庫以數(shù)字證書為媒介,通過對證書的使用和管理,可在網(wǎng)絡信息交流中實現(xiàn)身份認證并保證信息傳輸?shù)陌踩浴?br>
【專利附圖】
【附圖說明】
[0011]圖1為本發(fā)明的一種基于USB KEY的安全套件庫系統(tǒng)的系統(tǒng)結構圖。
【具體實施方式】
[0012]為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚,下面將結合附圖對本發(fā)明實施方式作進ー步地詳細描述。
[0013]實施例一
如附圖1所示,本實施例的一種基于USB KEY的安全套件,其結構從下往上分為3層:硬件抽象層、功能實現(xiàn)層以及接ロ封裝層,具體實現(xiàn)如下:
一、硬件抽象層:
硬件抽象層封裝了硬件特性,屏蔽了硬件的具體實現(xiàn)細節(jié),為功能實現(xiàn)層提供ー個統(tǒng)一的卡片操作函數(shù)。目前,常用的有HID Key和PC/SC接ロ KEY,該接ロ能夠屏蔽這些KEY的差異性。該部分是對硬件抽象層接ロ的定義,大部分函數(shù)均用到句柄概念,主要包括:連接KEY容器、建立接口上下文、連接虛擬讀卡器、ニ進制文件的創(chuàng)建、讀寫、刪除、密鑰的創(chuàng)
建等等接ロ。
[0014]ニ、功能實現(xiàn)層:
功能實現(xiàn)層的位于套件庫的中間層,該部分完成設備管理、加密解密以及文件管理等重要功能,是套件庫的核心部分。主要功能是卡片文件系統(tǒng),完成卡片資源空間的分配和回收,同時該層對硬件抽象層進一歩封裝,為接ロ封裝層提供更友好的界面,同時該層可供底層開發(fā)用戶使用。該層為CSP接ロ封裝層提供ー個類似于PC機文件管理系統(tǒng)、同時又具有加密等功能的服務,它將所有數(shù)據(jù)對象抽象成為ー個文件,簡化了加密操作。該層為CSP層和底層開發(fā)用戶提供了方便、友好的接ロ。同時該層實現(xiàn)PKCS#11的基本功能,如對象管理模塊。
[0015]具體設計如下:
1、設備管理模塊設備管理主要用于設備信息的獲取和設備的連接。設備管理提供了卷標、設備標識、虛擬讀卡器名稱、TokenID等多種設備信息用于設備的記憶和設備的區(qū)分
2、認證模塊
認證分為外部認證和PIN (密碼)口令認證。外部認證主要在建立卡文件系統(tǒng)之前使用,經(jīng)過外部認證,可達到可以創(chuàng)建文件的權限,從而可以建立卡文件系統(tǒng)所需要的各種文件;PIN 口令認證又分為SO PIN認證和USER PIN認證,SO PIN認證功能類似于外部認證,同時它又解鎖USER PIN的功能;而^£1? PIN認證只在卡文件結構建立之后使用,PIN 口驗證通過后,達到了預設定的安全級別,才能使用RSA密鑰進行簽名解密操作;
3、卡文件系統(tǒng)模塊
CSP用到多種數(shù)據(jù)對象,如容器、證書、密鑰,這些對象統(tǒng)一視為文件,通過文件類型進行區(qū)分。文件類型包括資源文件、容器文件、證書文件、密鑰文件和普通文件;每種類型文件使用不同的文件ID空間;可對這些文件進行創(chuàng)建,刪除,讀寫,枚舉等操作操作;
4、RSA密鑰和散列模塊
如果硬件加密解密、簽名驗證要求輸入的數(shù)據(jù)符合PKCS#1標準,則由該層完成相應的數(shù)據(jù)填充,返回數(shù)據(jù)時則除去相應的填充內容;
5、軟件算法4、
軟件算法實現(xiàn)DES算法,其它算法根據(jù)需要進行擴充。DES算法支持8字節(jié)密鑰、16字節(jié)密鑰以及24字節(jié)密鑰,應用模塊支持CBC,EBC等。
[0016]三、接口封裝層:
1、封裝CSP接口
在功能實現(xiàn)層已經(jīng)實現(xiàn)了大部分CSP功能,該部分主要是對這些功能進行封裝,為上層提供標準的CSP接口。該層通過調用套件庫中的功能實現(xiàn)層完成,考慮到實際用戶的需要,CSP除了實現(xiàn)CSP標準外,還擴展了部分函數(shù)功能,增加了 PIN 口令以及KEY初始化操作,從而更好地滿足應用開發(fā)的需要。CSP由兩個庫組成:PSSafe.dll、pscsp.dll,CryptoAPI 函數(shù)調用 PSSafe.dll 函數(shù),PSSafe.dll 調用 pscsp.dll,PSSsafe.dll 只是一個供簽名用的外殼,具體的實現(xiàn)都在pscsp.dll實現(xiàn);
2、封裝PKCS#11 接口
實現(xiàn)了對功能實現(xiàn)層封裝成PKCS#11接口,包括通用、槽和令牌管理、會話管理、對象管理、加密和解密、消息摘要、簽名和MAC (地址)計算、簽名和MAC驗證、雙重功能密碼函數(shù)、密鑰管理以及其他函數(shù)。通過以上的函數(shù)可以實現(xiàn)加密、解密、簽名、驗證、摘要、密鑰生成/派生,同時還可以實現(xiàn)應用程序的會話管理。
[0017]以上所述僅為本發(fā)明的較佳實施例,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內,所作的任何修改、等同替換、改進等,均應包含在本發(fā)明的保護范圍之內。
【權利要求】
1.一種基于USB KEY的安全套件庫系統(tǒng),其從下往上分為3層:硬件抽象層、功能實現(xiàn)層以及接ロ封裝層,其中, 所述的硬件抽象層封裝了硬件特性,屏蔽了硬件的具體實現(xiàn)細節(jié),為功能實現(xiàn)層提供一個統(tǒng)ー的卡片操作函數(shù); 所述的功能實現(xiàn)層位于套件庫的中間層,用于完成設備管理、加密解密以及文件管理的功能; 所述的接ロ封裝層用于將功能實現(xiàn)層完成的功能進行封裝。
2.根據(jù)權利要求1所述的ー種基于USBKEY的安全套件庫系統(tǒng),其特征在于,所述的功能實現(xiàn)層由設備管理模塊、認證模塊、卡文件系統(tǒng)模塊、RSA密鑰和散列模塊和軟件算法模塊構成,其中, 所述的設備管理模塊用于設備信息的獲取和設備的連接; 所述的認證模塊分為外部認證和密碼ロ令認證,外部認證在建立卡文件系統(tǒng)之前使用,經(jīng)過外部認證,可達到可以創(chuàng)建文件的權限,從而可以建立卡文件系統(tǒng)所需要的各種文件;密碼ロ令認證又分為SO PIN認證和用戶密碼認證。
3.根據(jù)權利要求1所述的ー種基于USBKEY的安全套件庫系統(tǒng),其特征在于,所述的接ロ封裝層將完成的功能封裝成兩種接ロ,分別為CSP接口和PKCS#11接ロ。
【文檔編號】G06F21/78GK103457742SQ201310426845
【公開日】2013年12月18日 申請日期:2013年9月18日 優(yōu)先權日:2013年9月18日
【發(fā)明者】梁媛, 劉剛 申請人:浪潮電子信息產業(yè)股份有限公司