一种基于usbkey的安全套件库系统的制作方法

一种基于usb key的安全套件库系统的制作方法
【专利摘要】本发明涉及信息安全【技术领域】，尤其涉及一种可以实现信息在传输过程中的保密性、完整性和不可抵赖性的套件库，特别涉及一种基于USBKEY的安全套件库系统。本发明的一种基于USBKEY的安全套件库系统，其利用相关PKI技术、安全认证技术及国产加解密算法等，向上层用户提供的加密接口库，实现使用不同的加密和签名算法产生密钥，交换密钥、数据的加密验证，利用该套件库可以实现信息在传输过程中的保密性、完整性和不可抵赖性。
【专利说明】—种基于USB KEY的安全套件库系统
【技术领域】
[0001]本发明涉及信息安全【技术领域】，尤其涉及一种可以实现信息在传输过程中的保密性、完整性和不可抵赖性的套件库，特别涉及一种基于USB KEY的安全套件库系统。
【背景技术】
[0002]近十年来，信息技术尤其是计算机网络技术得到了飞速发展。人们得益于信息革命带来的巨大机遇的同时，不得不面对信息安全问题的严峻考验。为保证网上数字信息的传输安全，除了在通信传输中采用更强的加密算法等措施之外，必须建立一种信任及信任验证机制，保证传输数据的认证、完整性、机密性和不可否认性。
[0003]PKI (PublicKeyInfrastructure,即公钥基础设施)技术以数字证书为媒介,通过对证书的使用和管理，可在网络信息交流中实现身份认证并保证信息传输的安全性。USBKey中存储了数字证书和对应的私钥，并且不允许私钥导出即使USB Key丢失也有口令保护，不会造成私钥的随意泄漏，正是USB Key的小巧、方便易用以及高安全可靠性，使得它的应用范围越来越广，在证书系统中成为重要载体。
[0004]由于CSP和PKCS#11是目前PKI体系中应用最广泛的两种基于硬件加密设备的接口标准，让这两者之间兼容具有重要的现实意义。目前，常用的硬件设备有HIDKey和PC/SC接口 KEY，屏蔽这些KEY的差异性可以使得硬件的选择更灵活。

【发明内容】

[0005]为了解决现有技术的问题，本发明提供了一种基于USB KEY的安全套件库系统，其利用相关PKI技术、安全认证技术及国产加解密算法等，向上层用户提供的加密接口库，实现使用不同的加密和签名算法产生密钥，交换密钥、数据的加密验证，利用该套件库可以实现信息在传输过程中的保密性、完整性和不可抵赖性。
[0006]本发明所采用的技术方案如下:
一种基于USB KEY的安全套件库系统，其从下往上分为3层:硬件抽象层、功能实现层以及接口封装层，其中，
所述的硬件抽象层封装了硬件特性，屏蔽了硬件的具体实现细节，为功能实现层提供一个统一的卡片操作函数；
所述的功能实现层位于套件库的中间层，用于完成设备管理、加密解密以及文件管理的功能；
所述的接口封装层用于将功能实现层完成的功能进行封装。
[0007]功能实现层由设备管理模块、认证模块、卡文件系统模块、RSA密钥和散列模块和软件算法模块构成，其中，
所述的设备管理模块用于设备信息的获取和设备的连接；
所述的认证模块分为外部认证和密码口令认证，外部认证在建立卡文件系统之前使用，经过外部认证，可达到可以创建文件的权限，从而可以建立卡文件系统所需要的各种文件；密码ロ令认证又分为SO PIN认证和用户密码认证。
[0008]接ロ封装层将完成的功能封装成两种接ロ，分别为CSP接口和PKCS#11接ロ。
[0009]本发明提供的技术方案带来的有益效果是:
本发明的一种基于USB KEY的安全套件库系统，该套件库是用来向上层用户提供的加密接ロ库，主要包括CSP和PKCS#11两部分，PKCS#11和CSP相互兼容，以满足人们在CSP环境下申请证书，在PKCS#11环境使用证书的要求。该套件库的结构从下往上分为3层:硬件抽象层、功能实现层以及接ロ封装层。硬件抽象层主要封装了硬件特性，能够屏蔽HIDKey和PC/SC接ロ的KEY的差异性；功能实现层实现了设备管理、加密解密以及文件管理等重要功能，为封装层和底层开发用户提供了方便、友好的接ロ ；接ロ封装层主要对功能实现层封装成CSP接口和PKCS#11接ロ。
[0010]本发明的一种基于USB KEY的安全套件库系统，其每ー层次完成相对比较独立的功能，这种架构层次分明，以方便以后的升级和维护。该套件库以数字证书为媒介，通过对证书的使用和管理，可在网络信息交流中实现身份认证并保证信息传输的安全性。
【专利附图】

【附图说明】
[0011]图1为本发明的一种基于USB KEY的安全套件库系统的系统结构图。
【具体实施方式】
[0012]为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进ー步地详细描述。
[0013]实施例一
如附图1所示，本实施例的一种基于USB KEY的安全套件，其结构从下往上分为3层:硬件抽象层、功能实现层以及接ロ封装层，具体实现如下:
一、硬件抽象层:
硬件抽象层封装了硬件特性，屏蔽了硬件的具体实现细节，为功能实现层提供ー个统一的卡片操作函数。目前，常用的有HID Key和PC/SC接ロ KEY，该接ロ能够屏蔽这些KEY的差异性。该部分是对硬件抽象层接ロ的定义，大部分函数均用到句柄概念，主要包括:连接KEY容器、建立接口上下文、连接虚拟读卡器、ニ进制文件的创建、读写、删除、密钥的创
建等等接ロ。
[0014]ニ、功能实现层:
功能实现层的位于套件库的中间层，该部分完成设备管理、加密解密以及文件管理等重要功能，是套件库的核心部分。主要功能是卡片文件系统，完成卡片资源空间的分配和回收，同时该层对硬件抽象层进一歩封装，为接ロ封装层提供更友好的界面，同时该层可供底层开发用户使用。该层为CSP接ロ封装层提供ー个类似于PC机文件管理系统、同时又具有加密等功能的服务，它将所有数据对象抽象成为ー个文件，简化了加密操作。该层为CSP层和底层开发用户提供了方便、友好的接ロ。同时该层实现PKCS#11的基本功能，如对象管理模块。
[0015]具体设计如下:
1、设备管理模块设备管理主要用于设备信息的获取和设备的连接。设备管理提供了卷标、设备标识、虚拟读卡器名称、TokenID等多种设备信息用于设备的记忆和设备的区分
2、认证模块
认证分为外部认证和PIN (密码)口令认证。外部认证主要在建立卡文件系统之前使用，经过外部认证，可达到可以创建文件的权限，从而可以建立卡文件系统所需要的各种文件；PIN 口令认证又分为SO PIN认证和USER PIN认证，SO PIN认证功能类似于外部认证，同时它又解锁USER PIN的功能；而^￡1? PIN认证只在卡文件结构建立之后使用，PIN 口验证通过后，达到了预设定的安全级别，才能使用RSA密钥进行签名解密操作；
3、卡文件系统模块
CSP用到多种数据对象，如容器、证书、密钥，这些对象统一视为文件，通过文件类型进行区分。文件类型包括资源文件、容器文件、证书文件、密钥文件和普通文件；每种类型文件使用不同的文件ID空间；可对这些文件进行创建，删除，读写，枚举等操作操作；
4、RSA密钥和散列模块
如果硬件加密解密、签名验证要求输入的数据符合PKCS#1标准，则由该层完成相应的数据填充，返回数据时则除去相应的填充内容；
5、软件算法4、
软件算法实现DES算法，其它算法根据需要进行扩充。DES算法支持8字节密钥、16字节密钥以及24字节密钥，应用模块支持CBC，EBC等。
[0016]三、接口封装层:
1、封装CSP接口
在功能实现层已经实现了大部分CSP功能，该部分主要是对这些功能进行封装，为上层提供标准的CSP接口。该层通过调用套件库中的功能实现层完成，考虑到实际用户的需要，CSP除了实现CSP标准外，还扩展了部分函数功能，增加了 PIN 口令以及KEY初始化操作，从而更好地满足应用开发的需要。CSP由两个库组成:PSSafe.dll、pscsp.dll,CryptoAPI 函数调用 PSSafe.dll 函数,PSSafe.dll 调用 pscsp.dll,PSSsafe.dll 只是一个供签名用的外壳，具体的实现都在pscsp.dll实现；
2、封装PKCS#11 接口
实现了对功能实现层封装成PKCS#11接口，包括通用、槽和令牌管理、会话管理、对象管理、加密和解密、消息摘要、签名和MAC (地址)计算、签名和MAC验证、双重功能密码函数、密钥管理以及其他函数。通过以上的函数可以实现加密、解密、签名、验证、摘要、密钥生成/派生，同时还可以实现应用程序的会话管理。
[0017]以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种基于USB KEY的安全套件库系统，其从下往上分为3层:硬件抽象层、功能实现层以及接ロ封装层，其中， 所述的硬件抽象层封装了硬件特性，屏蔽了硬件的具体实现细节，为功能实现层提供一个统ー的卡片操作函数； 所述的功能实现层位于套件库的中间层，用于完成设备管理、加密解密以及文件管理的功能； 所述的接ロ封装层用于将功能实现层完成的功能进行封装。
2.根据权利要求1所述的ー种基于USBKEY的安全套件库系统，其特征在于，所述的功能实现层由设备管理模块、认证模块、卡文件系统模块、RSA密钥和散列模块和软件算法模块构成，其中， 所述的设备管理模块用于设备信息的获取和设备的连接； 所述的认证模块分为外部认证和密码ロ令认证，外部认证在建立卡文件系统之前使用，经过外部认证，可达到可以创建文件的权限，从而可以建立卡文件系统所需要的各种文件；密码ロ令认证又分为SO PIN认证和用户密码认证。
3.根据权利要求1所述的ー种基于USBKEY的安全套件库系统，其特征在于，所述的接ロ封装层将完成的功能封装成两种接ロ，分别为CSP接口和PKCS#11接ロ。
【文档编号】G06F21/78GK103457742SQ201310426845
【公开日】2013年12月18日 申请日期:2013年9月18日 优先权日:2013年9月18日
【发明者】梁媛, 刘刚 申请人:浪潮电子信息产业股份有限公司