一种基于usbkey的安全套件库系统的制作方法

文档序号:6512155
一种基于usb key的安全套件库系统的制作方法
【专利摘要】本发明涉及信息安全【技术领域】,尤其涉及一种可以实现信息在传输过程中的保密性、完整性和不可抵赖性的套件库,特别涉及一种基于USBKEY的安全套件库系统。本发明的一种基于USBKEY的安全套件库系统,其利用相关PKI技术、安全认证技术及国产加解密算法等,向上层用户提供的加密接口库,实现使用不同的加密和签名算法产生密钥,交换密钥、数据的加密验证,利用该套件库可以实现信息在传输过程中的保密性、完整性和不可抵赖性。
【专利说明】—种基于USB KEY的安全套件库系统
【技术领域】
[0001]本发明涉及信息安全【技术领域】,尤其涉及一种可以实现信息在传输过程中的保密性、完整性和不可抵赖性的套件库,特别涉及一种基于USB KEY的安全套件库系统。
【背景技术】
[0002]近十年来,信息技术尤其是计算机网络技术得到了飞速发展。人们得益于信息革命带来的巨大机遇的同时,不得不面对信息安全问题的严峻考验。为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制,保证传输数据的认证、完整性、机密性和不可否认性。
[0003]PKI (PublicKeyInfrastructure,即公钥基础设施)技术以数字证书为媒介,通过对证书的使用和管理,可在网络信息交流中实现身份认证并保证信息传输的安全性。USBKey中存储了数字证书和对应的私钥,并且不允许私钥导出即使USB Key丢失也有口令保护,不会造成私钥的随意泄漏,正是USB Key的小巧、方便易用以及高安全可靠性,使得它的应用范围越来越广,在证书系统中成为重要载体。
[0004]由于CSP和PKCS#11是目前PKI体系中应用最广泛的两种基于硬件加密设备的接口标准,让这两者之间兼容具有重要的现实意义。目前,常用的硬件设备有HIDKey和PC/SC接口 KEY,屏蔽这些KEY的差异性可以使得硬件的选择更灵活。

【发明内容】

[0005]为了解决现有技术的问题,本发明提供了一种基于USB KEY的安全套件库系统,其利用相关PKI技术、安全认证技术及国产加解密算法等,向上层用户提供的加密接口库,实现使用不同的加密和签名算法产生密钥,交换密钥、数据的加密验证,利用该套件库可以实现信息在传输过程中的保密性、完整性和不可抵赖性。
[0006]本发明所采用的技术方案如下:
一种基于USB KEY的安全套件库系统,其从下往上分为3层:硬件抽象层、功能实现层以及接口封装层,其中,
所述的硬件抽象层封装了硬件特性,屏蔽了硬件的具体实现细节,为功能实现层提供一个统一的卡片操作函数;
所述的功能实现层位于套件库的中间层,用于完成设备管理、加密解密以及文件管理的功能;
所述的接口封装层用于将功能实现层完成的功能进行封装。
[0007]功能实现层由设备管理模块、认证模块、卡文件系统模块、RSA密钥和散列模块和软件算法模块构成,其中,
所述的设备管理模块用于设备信息的获取和设备的连接;
所述的认证模块分为外部认证和密码口令认证,外部认证在建立卡文件系统之前使用,经过外部认证,可达到可以创建文件的权限,从而可以建立卡文件系统所需要的各种文件;密码ロ令认证又分为SO PIN认证和用户密码认证。
[0008]接ロ封装层将完成的功能封装成两种接ロ,分别为CSP接口和PKCS#11接ロ。
[0009]本发明提供的技术方案带来的有益效果是:
本发明的一种基于USB KEY的安全套件库系统,该套件库是用来向上层用户提供的加密接ロ库,主要包括CSP和PKCS#11两部分,PKCS#11和CSP相互兼容,以满足人们在CSP环境下申请证书,在PKCS#11环境使用证书的要求。该套件库的结构从下往上分为3层:硬件抽象层、功能实现层以及接ロ封装层。硬件抽象层主要封装了硬件特性,能够屏蔽HIDKey和PC/SC接ロ的KEY的差异性;功能实现层实现了设备管理、加密解密以及文件管理等重要功能,为封装层和底层开发用户提供了方便、友好的接ロ ;接ロ封装层主要对功能实现层封装成CSP接口和PKCS#11接ロ。
[0010]本发明的一种基于USB KEY的安全套件库系统,其每ー层次完成相对比较独立的功能,这种架构层次分明,以方便以后的升级和维护。该套件库以数字证书为媒介,通过对证书的使用和管理,可在网络信息交流中实现身份认证并保证信息传输的安全性。
【专利附图】

【附图说明】
[0011]图1为本发明的一种基于USB KEY的安全套件库系统的系统结构图。
【具体实施方式】
[0012]为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进ー步地详细描述。
[0013]实施例一
如附图1所示,本实施例的一种基于USB KEY的安全套件,其结构从下往上分为3层:硬件抽象层、功能实现层以及接ロ封装层,具体实现如下:
一、硬件抽象层:
硬件抽象层封装了硬件特性,屏蔽了硬件的具体实现细节,为功能实现层提供ー个统一的卡片操作函数。目前,常用的有HID Key和PC/SC接ロ KEY,该接ロ能够屏蔽这些KEY的差异性。该部分是对硬件抽象层接ロ的定义,大部分函数均用到句柄概念,主要包括:连接KEY容器、建立接口上下文、连接虚拟读卡器、ニ进制文件的创建、读写、删除、密钥的创
建等等接ロ。
[0014]ニ、功能实现层:
功能实现层的位于套件库的中间层,该部分完成设备管理、加密解密以及文件管理等重要功能,是套件库的核心部分。主要功能是卡片文件系统,完成卡片资源空间的分配和回收,同时该层对硬件抽象层进一歩封装,为接ロ封装层提供更友好的界面,同时该层可供底层开发用户使用。该层为CSP接ロ封装层提供ー个类似于PC机文件管理系统、同时又具有加密等功能的服务,它将所有数据对象抽象成为ー个文件,简化了加密操作。该层为CSP层和底层开发用户提供了方便、友好的接ロ。同时该层实现PKCS#11的基本功能,如对象管理模块。
[0015]具体设计如下:
1、设备管理模块设备管理主要用于设备信息的获取和设备的连接。设备管理提供了卷标、设备标识、虚拟读卡器名称、TokenID等多种设备信息用于设备的记忆和设备的区分
2、认证模块
认证分为外部认证和PIN (密码)口令认证。外部认证主要在建立卡文件系统之前使用,经过外部认证,可达到可以创建文件的权限,从而可以建立卡文件系统所需要的各种文件;PIN 口令认证又分为SO PIN认证和USER PIN认证,SO PIN认证功能类似于外部认证,同时它又解锁USER PIN的功能;而^£1? PIN认证只在卡文件结构建立之后使用,PIN 口验证通过后,达到了预设定的安全级别,才能使用RSA密钥进行签名解密操作;
3、卡文件系统模块
CSP用到多种数据对象,如容器、证书、密钥,这些对象统一视为文件,通过文件类型进行区分。文件类型包括资源文件、容器文件、证书文件、密钥文件和普通文件;每种类型文件使用不同的文件ID空间;可对这些文件进行创建,删除,读写,枚举等操作操作;
4、RSA密钥和散列模块
如果硬件加密解密、签名验证要求输入的数据符合PKCS#1标准,则由该层完成相应的数据填充,返回数据时则除去相应的填充内容;
5、软件算法4、
软件算法实现DES算法,其它算法根据需要进行扩充。DES算法支持8字节密钥、16字节密钥以及24字节密钥,应用模块支持CBC,EBC等。
[0016]三、接口封装层:
1、封装CSP接口
在功能实现层已经实现了大部分CSP功能,该部分主要是对这些功能进行封装,为上层提供标准的CSP接口。该层通过调用套件库中的功能实现层完成,考虑到实际用户的需要,CSP除了实现CSP标准外,还扩展了部分函数功能,增加了 PIN 口令以及KEY初始化操作,从而更好地满足应用开发的需要。CSP由两个库组成:PSSafe.dll、pscsp.dll,CryptoAPI 函数调用 PSSafe.dll 函数,PSSafe.dll 调用 pscsp.dll,PSSsafe.dll 只是一个供签名用的外壳,具体的实现都在pscsp.dll实现;
2、封装PKCS#11 接口
实现了对功能实现层封装成PKCS#11接口,包括通用、槽和令牌管理、会话管理、对象管理、加密和解密、消息摘要、签名和MAC (地址)计算、签名和MAC验证、双重功能密码函数、密钥管理以及其他函数。通过以上的函数可以实现加密、解密、签名、验证、摘要、密钥生成/派生,同时还可以实现应用程序的会话管理。
[0017]以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种基于USB KEY的安全套件库系统,其从下往上分为3层:硬件抽象层、功能实现层以及接ロ封装层,其中, 所述的硬件抽象层封装了硬件特性,屏蔽了硬件的具体实现细节,为功能实现层提供一个统ー的卡片操作函数; 所述的功能实现层位于套件库的中间层,用于完成设备管理、加密解密以及文件管理的功能; 所述的接ロ封装层用于将功能实现层完成的功能进行封装。
2.根据权利要求1所述的ー种基于USBKEY的安全套件库系统,其特征在于,所述的功能实现层由设备管理模块、认证模块、卡文件系统模块、RSA密钥和散列模块和软件算法模块构成,其中, 所述的设备管理模块用于设备信息的获取和设备的连接; 所述的认证模块分为外部认证和密码ロ令认证,外部认证在建立卡文件系统之前使用,经过外部认证,可达到可以创建文件的权限,从而可以建立卡文件系统所需要的各种文件;密码ロ令认证又分为SO PIN认证和用户密码认证。
3.根据权利要求1所述的ー种基于USBKEY的安全套件库系统,其特征在于,所述的接ロ封装层将完成的功能封装成两种接ロ,分别为CSP接口和PKCS#11接ロ。
【文档编号】G06F21/78GK103457742SQ201310426845
【公开日】2013年12月18日 申请日期:2013年9月18日 优先权日:2013年9月18日
【发明者】梁媛, 刘刚 申请人:浪潮电子信息产业股份有限公司
再多了解一些
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1