专利名称:一种采用usb智能密钥的加密卡认证授权方法和加密卡的制作方法
技术领域:
本发明涉及加密卡和USB智能密码钥匙计算机安全硬件领域,具体涉及一种采用 USB智能密钥的加密卡认证授权方法和加密卡。
背景技术:
随着人们对计算机安全重视的不断提高,越来越多的计算机和服务器安装加密卡来保护数据安全,加密卡的作用也越来越重要。同时对加密卡的认证、管理和信息保护提出了新的挑战,简单的口令保护和备份已经无法满足安全要求。目前通用做法(1)通过串口使用IC(逻辑)卡进行认证和数据保存。由于IC(逻辑)卡只具有存储功能,很容易被复制,完全依赖IC卡的保护,一旦IC开被他人复制,IC卡认证管理将形同虚设(2)通过串口使用IC(CPU)卡进行认证和使用IC(逻辑)卡进行数据保存。虽然 IC(逻辑)卡复制难度比较大,但是串口传输数据比较慢,从而认证速度也受其影响。至于数据保存的IC卡,很容易被复制,一旦被他人复制,机密卡内密钥完全没有保护可言。
发明内容
本发明的目的在于提供一种将加密卡和USB智能密码钥匙相结合的方法和相应的加密卡,使用USB智能密码钥匙认证、管理和保存加密卡数据。一种采用USB智能密钥的加密卡认证授权方法包括授权和认证两大流程;所述授权流程包括A、为每个USB智能密钥发放一张证书或密钥对以标示用户身份;B、加密卡内所有数据采用保护密钥加密;C、加密卡对USB智能密钥授权,同时将加密卡的保护密钥使用USB智能密钥内的公钥加密后保存在加密卡内或USB智能密钥内;所述认证流程包括D、加密卡使用PKI认证方式认证USB智能密钥;E、授权的USB智能密钥将根据授权情况进行角色和权限分配,未授权的USB智能密钥无法通过验证;F、加密卡使用USB智能密钥内的私钥解密保护密钥,同时解密其他所需数据。本发明的一种优选技术方案在于所述USB智能密钥无法被复制和导出,且采用 PIN码保护。本发明的另一优选技术方案在于经过授权的专用存储导出数据的USB智能密钥可以保存加密卡的保护数据或将保存的导出数据导入到加密卡内。一种支持USB智能密钥的加密卡,包括加密卡,USB接口,其特征在于包括USB智能密钥,所述USB智能密钥通过USB接口与加密卡连接。本发明的一种技术方案在于所述USB智能密钥内有一张证书或密钥对,证书或密钥对无法复制或导出,并采用PIN码保护USB智能密钥。本发明的再一技术方案在于所述加密卡的内部存放数据采用保护密钥保护。本发明的还一技术方案在于所述加密卡对USB智能密钥授权,同时将加密卡的保护密钥使用USB智能密钥内的公钥加密后保存在加密卡内或USB智能密钥内。本发明的又一技术方案在于所述加密卡使用PKI认证方式认证USB智能密钥,非授权USB智能密钥不能通过认证,已授权USB智能密钥将根据授权情况进行角色和权限分配。本发明的又一技术方案在于所述加密卡使用USB智能密钥内的私钥解密保护密钥,同时解密其他所需数据。本发明的又一技术方案在于经过授权的专用存储导出数据的USB智能密钥可以保存加密卡的保护数据或将保存的导出数据导入到加密卡内。本发明带来的有益效果如下UUSB智能密码钥匙使用PKI体系算法明显提高了加密卡内数据(尤其是PK)的
安全强度。2、USB智能密码钥匙的私钥不可导出和复制提高了认证介质的安全系数,免受被复制认证介质的困扰。3、USB智能密码钥匙的PIN码和私钥机制,加密卡的导出数据的安全性明显提高。4、USB(尤其是2. 0,3. 0)的高速传输速度,使认证和备份快速完成。
图1是本发明加密卡连接示意图具体实施方案针对目前加密卡认证、管理和数据保护的问题,本发明提供一种安全、高效和易扩展的解决方法。授权(1)、我们为每一个USB智能密码钥匙发放一张证书(或密钥对,途径不计),用以标识用户身份。由于USB智能密码钥匙的物理特性,证书(或密钥对)的私钥将无法复制和导出,从根本上杜绝介质被复制的可能。即使USB智能密码钥匙丢失,仍然有USB智能密码钥匙的PIN码保护,在不知道PIN码的情况下依旧无法使用私钥。(2)、加密卡内所有数据均加密保存(本文称此密钥为保护密钥);(3)、加密卡对 USB智能密码钥匙授权,同时将加密卡的保护密钥使用USB智能密码钥匙内的公钥加密保存(位置可以在加密卡内,也可以在USB智能密码钥匙内)。认证(1)、加密卡使用PKI认证方式认证USB智能密码钥匙,非授权的USB智能密码钥匙将不能通过认证;已授权的的USB智能密码钥匙将根据授权情况进行角色和权限分配。(2)、加密卡使用USB智能密码钥匙内的私钥解密保护密钥,同时根据需要解密其
4它数据,以保证加密卡可以正常运行。导入导出数据保护(1)、经过授权的专用存储导出数据的USB智能密码钥匙可以保存加密卡内的保护数据(可以包含保护密钥)。(2)、经过授权的专用存储导出数据的USB智能密码钥匙可以将保存的导出数据 (可以包含保护密钥)导入到加密卡内。
权利要求
1.一种采用USB智能密钥的加密卡认证授权方法其特征在于包括授权和认证两大流程;所述授权流程包括A、为每个USB智能密钥发放一张证书或密钥对以标示用户身份;B、加密卡内所有数据采用保护密钥加密;C、加密卡对USB智能密钥授权,同时将加密卡的保护密钥使用USB智能密钥内的公钥加密后保存在加密卡内或USB智能密钥内;所述认证流程包括D、加密卡使用PKI认证方式认证USB智能密钥;E、授权的USB智能密钥将根据授权情况进行角色和权限分配,未授权的USB智能密钥无法通过验证;F、加密卡使用USB智能密钥内的私钥解密保护密钥,同时解密其他所需数据。
2.如权利要求1所述一种采用USB智能密钥的加密卡认证授权方法,其特征在于所述USB智能密钥无法被复制和导出,且采用PIN码保护。
3.如权利要求1所述一种采用USB智能密钥的加密卡认证授权方法,其特征在于经过授权的专用存储导出数据的USB智能密钥可以保存加密卡的保护数据或将保存的导出数据导入到加密卡内。
4.一种支持USB智能密钥的加密卡,包括加密卡,USB接口,其特征在于包括USB智能密钥,所述USB智能密钥通过USB接口与加密卡连接。
5.如权利要求4所述一种支持USB智能密钥的加密卡,其特征在于所述USB智能密钥内有一张证书或密钥对,证书或密钥对无法复制或导出,并采用PIN码保护USB智能密钥。
6.如权利要求4所述一种支持USB智能密钥的加密卡,其特征在于所述加密卡的内部存放数据采用保护密钥保护。
7.如权利要求4所述一种支持USB智能密钥的加密卡,其特征在于所述加密卡对USB 智能密钥授权,同时将加密卡的保护密钥使用USB智能密钥内的公钥加密后保存在加密卡内或USB智能密钥内。
8.如权利要求4所述一种支持USB智能密钥的加密卡,其特征在于所述加密卡使用 PKI认证方式认证USB智能密钥,非授权USB智能密钥不能通过认证,已授权USB智能密钥将根据授权情况进行角色和权限分配。
9.如权利要求4所述一种支持USB智能密钥的加密卡,其特征在于所述加密卡使用 USB智能密钥内的私钥解密保护密钥,同时解密其他所需数据。
10.权利要求4所述一种支持USB智能密钥的加密卡,其特征在于经过授权的专用存储导出数据的USB智能密钥可以保存加密卡的保护数据或将保存的导出数据导入到加密卡内。
全文摘要
本发明提供了一种采用USB智能密钥的加密卡认证授权方法和加密卡,认证和授权方法包括授权和认证两大流程,加密卡增加了USB智能密钥。本发明明显提高了加密卡内数据(尤其是PK)的安全强度,USB智能密码钥匙的私钥不可导出和复制提高了认证介质的安全系数,免受被复制认证介质的困扰,USB智能密码钥匙的PIN码和私钥机制,加密卡的导出数据的安全性明显提高,USB(尤其是2.0、3.0)的高速传输速度,使认证和备份快速完成。
文档编号H04L9/32GK102215108SQ201010547949
公开日2011年10月12日 申请日期2010年11月17日 优先权日2010年11月17日
发明者吴伟, 孙国忠, 戴荣, 郭旭, 黄亮 申请人:北京曙光天演信息技术有限公司