一種基于usb key的安全套件庫系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】，尤其涉及一種可以實現(xiàn)信息在傳輸過程中的保密性、完整性和不可抵賴性的套件庫，特別涉及一種基于USBKEY的安全套件庫系統(tǒng)。本發(fā)明的一種基于USBKEY的安全套件庫系統(tǒng)，其利用相關(guān)PKI技術(shù)、安全認(rèn)證技術(shù)及國產(chǎn)加解密算法等，向上層用戶提供的加密接口庫，實現(xiàn)使用不同的加密和簽名算法產(chǎn)生密鑰，交換密鑰、數(shù)據(jù)的加密驗證，利用該套件庫可以實現(xiàn)信息在傳輸過程中的保密性、完整性和不可抵賴性。
【專利說明】—種基于USB KEY的安全套件庫系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】，尤其涉及一種可以實現(xiàn)信息在傳輸過程中的保密性、完整性和不可抵賴性的套件庫，特別涉及一種基于USB KEY的安全套件庫系統(tǒng)。
【背景技術(shù)】
[0002]近十年來，信息技術(shù)尤其是計算機(jī)網(wǎng)絡(luò)技術(shù)得到了飛速發(fā)展。人們得益于信息革命帶來的巨大機(jī)遇的同時，不得不面對信息安全問題的嚴(yán)峻考驗。為保證網(wǎng)上數(shù)字信息的傳輸安全，除了在通信傳輸中采用更強(qiáng)的加密算法等措施之外，必須建立一種信任及信任驗證機(jī)制，保證傳輸數(shù)據(jù)的認(rèn)證、完整性、機(jī)密性和不可否認(rèn)性。
[0003]PKI (PublicKeyInfrastructure,即公鑰基礎(chǔ)設(shè)施)技術(shù)以數(shù)字證書為媒介,通過對證書的使用和管理，可在網(wǎng)絡(luò)信息交流中實現(xiàn)身份認(rèn)證并保證信息傳輸?shù)陌踩浴SBKey中存儲了數(shù)字證書和對應(yīng)的私鑰，并且不允許私鑰導(dǎo)出即使USB Key丟失也有口令保護(hù)，不會造成私鑰的隨意泄漏，正是USB Key的小巧、方便易用以及高安全可靠性，使得它的應(yīng)用范圍越來越廣，在證書系統(tǒng)中成為重要載體。
[0004]由于CSP和PKCS#11是目前PKI體系中應(yīng)用最廣泛的兩種基于硬件加密設(shè)備的接口標(biāo)準(zhǔn)，讓這兩者之間兼容具有重要的現(xiàn)實意義。目前，常用的硬件設(shè)備有HIDKey和PC/SC接口 KEY，屏蔽這些KEY的差異性可以使得硬件的選擇更靈活。

【發(fā)明內(nèi)容】

[0005]為了解決現(xiàn)有技術(shù)的問題，本發(fā)明提供了一種基于USB KEY的安全套件庫系統(tǒng)，其利用相關(guān)PKI技術(shù)、安全認(rèn)證技術(shù)及國產(chǎn)加解密算法等，向上層用戶提供的加密接口庫，實現(xiàn)使用不同的加密和簽名算法產(chǎn)生密鑰，交換密鑰、數(shù)據(jù)的加密驗證，利用該套件庫可以實現(xiàn)信息在傳輸過程中的保密性、完整性和不可抵賴性。
[0006]本發(fā)明所采用的技術(shù)方案如下:
一種基于USB KEY的安全套件庫系統(tǒng)，其從下往上分為3層:硬件抽象層、功能實現(xiàn)層以及接口封裝層，其中，
所述的硬件抽象層封裝了硬件特性，屏蔽了硬件的具體實現(xiàn)細(xì)節(jié)，為功能實現(xiàn)層提供一個統(tǒng)一的卡片操作函數(shù)；
所述的功能實現(xiàn)層位于套件庫的中間層，用于完成設(shè)備管理、加密解密以及文件管理的功能；
所述的接口封裝層用于將功能實現(xiàn)層完成的功能進(jìn)行封裝。
[0007]功能實現(xiàn)層由設(shè)備管理模塊、認(rèn)證模塊、卡文件系統(tǒng)模塊、RSA密鑰和散列模塊和軟件算法模塊構(gòu)成，其中，
所述的設(shè)備管理模塊用于設(shè)備信息的獲取和設(shè)備的連接；
所述的認(rèn)證模塊分為外部認(rèn)證和密碼口令認(rèn)證，外部認(rèn)證在建立卡文件系統(tǒng)之前使用，經(jīng)過外部認(rèn)證，可達(dá)到可以創(chuàng)建文件的權(quán)限，從而可以建立卡文件系統(tǒng)所需要的各種文件；密碼ロ令認(rèn)證又分為SO PIN認(rèn)證和用戶密碼認(rèn)證。
[0008]接ロ封裝層將完成的功能封裝成兩種接ロ，分別為CSP接口和PKCS#11接ロ。
[0009]本發(fā)明提供的技術(shù)方案帶來的有益效果是:
本發(fā)明的一種基于USB KEY的安全套件庫系統(tǒng)，該套件庫是用來向上層用戶提供的加密接ロ庫，主要包括CSP和PKCS#11兩部分，PKCS#11和CSP相互兼容，以滿足人們在CSP環(huán)境下申請證書，在PKCS#11環(huán)境使用證書的要求。該套件庫的結(jié)構(gòu)從下往上分為3層:硬件抽象層、功能實現(xiàn)層以及接ロ封裝層。硬件抽象層主要封裝了硬件特性，能夠屏蔽HIDKey和PC/SC接ロ的KEY的差異性；功能實現(xiàn)層實現(xiàn)了設(shè)備管理、加密解密以及文件管理等重要功能，為封裝層和底層開發(fā)用戶提供了方便、友好的接ロ ；接ロ封裝層主要對功能實現(xiàn)層封裝成CSP接口和PKCS#11接ロ。
[0010]本發(fā)明的一種基于USB KEY的安全套件庫系統(tǒng)，其每ー層次完成相對比較獨立的功能，這種架構(gòu)層次分明，以方便以后的升級和維護(hù)。該套件庫以數(shù)字證書為媒介，通過對證書的使用和管理，可在網(wǎng)絡(luò)信息交流中實現(xiàn)身份認(rèn)證并保證信息傳輸?shù)陌踩浴?br> 【專利附圖】

【附圖說明】
[0011]圖1為本發(fā)明的一種基于USB KEY的安全套件庫系統(tǒng)的系統(tǒng)結(jié)構(gòu)圖。
【具體實施方式】
[0012]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合附圖對本發(fā)明實施方式作進(jìn)ー步地詳細(xì)描述。
[0013]實施例一
如附圖1所示，本實施例的一種基于USB KEY的安全套件，其結(jié)構(gòu)從下往上分為3層:硬件抽象層、功能實現(xiàn)層以及接ロ封裝層，具體實現(xiàn)如下:
一、硬件抽象層:
硬件抽象層封裝了硬件特性，屏蔽了硬件的具體實現(xiàn)細(xì)節(jié)，為功能實現(xiàn)層提供ー個統(tǒng)一的卡片操作函數(shù)。目前，常用的有HID Key和PC/SC接ロ KEY，該接ロ能夠屏蔽這些KEY的差異性。該部分是對硬件抽象層接ロ的定義，大部分函數(shù)均用到句柄概念，主要包括:連接KEY容器、建立接口上下文、連接虛擬讀卡器、ニ進(jìn)制文件的創(chuàng)建、讀寫、刪除、密鑰的創(chuàng)
建等等接ロ。
[0014]ニ、功能實現(xiàn)層:
功能實現(xiàn)層的位于套件庫的中間層，該部分完成設(shè)備管理、加密解密以及文件管理等重要功能，是套件庫的核心部分。主要功能是卡片文件系統(tǒng)，完成卡片資源空間的分配和回收，同時該層對硬件抽象層進(jìn)一歩封裝，為接ロ封裝層提供更友好的界面，同時該層可供底層開發(fā)用戶使用。該層為CSP接ロ封裝層提供ー個類似于PC機(jī)文件管理系統(tǒng)、同時又具有加密等功能的服務(wù)，它將所有數(shù)據(jù)對象抽象成為ー個文件，簡化了加密操作。該層為CSP層和底層開發(fā)用戶提供了方便、友好的接ロ。同時該層實現(xiàn)PKCS#11的基本功能，如對象管理模塊。
[0015]具體設(shè)計如下:
1、設(shè)備管理模塊設(shè)備管理主要用于設(shè)備信息的獲取和設(shè)備的連接。設(shè)備管理提供了卷標(biāo)、設(shè)備標(biāo)識、虛擬讀卡器名稱、TokenID等多種設(shè)備信息用于設(shè)備的記憶和設(shè)備的區(qū)分
2、認(rèn)證模塊
認(rèn)證分為外部認(rèn)證和PIN (密碼)口令認(rèn)證。外部認(rèn)證主要在建立卡文件系統(tǒng)之前使用，經(jīng)過外部認(rèn)證，可達(dá)到可以創(chuàng)建文件的權(quán)限，從而可以建立卡文件系統(tǒng)所需要的各種文件；PIN 口令認(rèn)證又分為SO PIN認(rèn)證和USER PIN認(rèn)證，SO PIN認(rèn)證功能類似于外部認(rèn)證，同時它又解鎖USER PIN的功能；而^￡1? PIN認(rèn)證只在卡文件結(jié)構(gòu)建立之后使用，PIN 口驗證通過后，達(dá)到了預(yù)設(shè)定的安全級別，才能使用RSA密鑰進(jìn)行簽名解密操作；
3、卡文件系統(tǒng)模塊
CSP用到多種數(shù)據(jù)對象，如容器、證書、密鑰，這些對象統(tǒng)一視為文件，通過文件類型進(jìn)行區(qū)分。文件類型包括資源文件、容器文件、證書文件、密鑰文件和普通文件；每種類型文件使用不同的文件ID空間；可對這些文件進(jìn)行創(chuàng)建，刪除，讀寫，枚舉等操作操作；
4、RSA密鑰和散列模塊
如果硬件加密解密、簽名驗證要求輸入的數(shù)據(jù)符合PKCS#1標(biāo)準(zhǔn)，則由該層完成相應(yīng)的數(shù)據(jù)填充，返回數(shù)據(jù)時則除去相應(yīng)的填充內(nèi)容；
5、軟件算法4、
軟件算法實現(xiàn)DES算法，其它算法根據(jù)需要進(jìn)行擴(kuò)充。DES算法支持8字節(jié)密鑰、16字節(jié)密鑰以及24字節(jié)密鑰，應(yīng)用模塊支持CBC，EBC等。
[0016]三、接口封裝層:
1、封裝CSP接口
在功能實現(xiàn)層已經(jīng)實現(xiàn)了大部分CSP功能，該部分主要是對這些功能進(jìn)行封裝，為上層提供標(biāo)準(zhǔn)的CSP接口。該層通過調(diào)用套件庫中的功能實現(xiàn)層完成，考慮到實際用戶的需要，CSP除了實現(xiàn)CSP標(biāo)準(zhǔn)外，還擴(kuò)展了部分函數(shù)功能，增加了 PIN 口令以及KEY初始化操作，從而更好地滿足應(yīng)用開發(fā)的需要。CSP由兩個庫組成:PSSafe.dll、pscsp.dll,CryptoAPI 函數(shù)調(diào)用 PSSafe.dll 函數(shù),PSSafe.dll 調(diào)用 pscsp.dll,PSSsafe.dll 只是一個供簽名用的外殼，具體的實現(xiàn)都在pscsp.dll實現(xiàn)；
2、封裝PKCS#11 接口
實現(xiàn)了對功能實現(xiàn)層封裝成PKCS#11接口，包括通用、槽和令牌管理、會話管理、對象管理、加密和解密、消息摘要、簽名和MAC (地址)計算、簽名和MAC驗證、雙重功能密碼函數(shù)、密鑰管理以及其他函數(shù)。通過以上的函數(shù)可以實現(xiàn)加密、解密、簽名、驗證、摘要、密鑰生成/派生，同時還可以實現(xiàn)應(yīng)用程序的會話管理。
[0017]以上所述僅為本發(fā)明的較佳實施例，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種基于USB KEY的安全套件庫系統(tǒng)，其從下往上分為3層:硬件抽象層、功能實現(xiàn)層以及接ロ封裝層，其中， 所述的硬件抽象層封裝了硬件特性，屏蔽了硬件的具體實現(xiàn)細(xì)節(jié)，為功能實現(xiàn)層提供一個統(tǒng)ー的卡片操作函數(shù)； 所述的功能實現(xiàn)層位于套件庫的中間層，用于完成設(shè)備管理、加密解密以及文件管理的功能； 所述的接ロ封裝層用于將功能實現(xiàn)層完成的功能進(jìn)行封裝。
2.根據(jù)權(quán)利要求1所述的ー種基于USBKEY的安全套件庫系統(tǒng)，其特征在于，所述的功能實現(xiàn)層由設(shè)備管理模塊、認(rèn)證模塊、卡文件系統(tǒng)模塊、RSA密鑰和散列模塊和軟件算法模塊構(gòu)成，其中， 所述的設(shè)備管理模塊用于設(shè)備信息的獲取和設(shè)備的連接； 所述的認(rèn)證模塊分為外部認(rèn)證和密碼ロ令認(rèn)證，外部認(rèn)證在建立卡文件系統(tǒng)之前使用，經(jīng)過外部認(rèn)證，可達(dá)到可以創(chuàng)建文件的權(quán)限，從而可以建立卡文件系統(tǒng)所需要的各種文件；密碼ロ令認(rèn)證又分為SO PIN認(rèn)證和用戶密碼認(rèn)證。
3.根據(jù)權(quán)利要求1所述的ー種基于USBKEY的安全套件庫系統(tǒng)，其特征在于，所述的接ロ封裝層將完成的功能封裝成兩種接ロ，分別為CSP接口和PKCS#11接ロ。
【文檔編號】G06F21/78GK103457742SQ201310426845
【公開日】2013年12月18日 申請日期:2013年9月18日 優(yōu)先權(quán)日:2013年9月18日
【發(fā)明者】梁媛, 劉剛 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司