CN100555936C - 一种在智能卡与u盘复合设备中提高访问安全性的方法 - Google Patents
一种在智能卡与u盘复合设备中提高访问安全性的方法 Download PDFInfo
- Publication number
- CN100555936C CN100555936C CNB2007100003264A CN200710000326A CN100555936C CN 100555936 C CN100555936 C CN 100555936C CN B2007100003264 A CNB2007100003264 A CN B2007100003264A CN 200710000326 A CN200710000326 A CN 200710000326A CN 100555936 C CN100555936 C CN 100555936C
- Authority
- CN
- China
- Prior art keywords
- smart card
- usb flash
- flash disk
- equipment complex
- disk equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种智能卡与U盘复合设备及其基于双向认证机制以提高访问安全性的方法。该智能卡与U盘复合设备内安装有按照Java Card技术规范编制的智能卡操作系统203,在智能卡操作系统203上运行有控制闪存读写的应用程序301和用于完成证书认证的应用程序112。其基于数字证书的双向认证由三个步骤实现:①智能卡与U盘复合设备的设备证书生成、加载,②主机端证书生成,③主机端和智能卡与U盘复合设备实现双向认证。普通U盘对数据的访问没有任何访问控制。本发明提出的以数字证书实现的双向认证机制,可同时确认接入系统和智能卡与U盘复合设备自身的身份,保密性好,满足了特殊部门设备使用的安全性要求。
Description
技术领域
本发明涉及信息安全、访问控制、USB存储技术领域,特别涉及基于数字证书的双向认证机制以提高智能卡与U盘复合设备访问的安全性技术领域。
背景技术
U盘是一种具有USB接口方式的移动存储设备。普通U盘是一个透明设备,没有访问控制和身份认证,不适合对安全性要求较高的用户使用。
目前市面上出现了有利用口令和指纹识别技术作为访问控制方法来提高U盘访问安全性的产品。其中,口令保护的U盘安全性较差,易受口令攻击或字典攻击等强力攻击。指纹识别访问控制下的U盘安全性较高,但可用性较差,如错误识别率较高等等。
另外,其与现有的IT框架的结合也不好,不易将身份和权限进行对应。最重要的是,这些U盘都没有双向认证机制,只是完成了访问控制下的使用,保密性极差,难于满足特殊部门对U盘内数据的保密性、安全性、其所处的使用环境进行认证等的需要。
发明内容
本发明的目的在于:通过加入基于数字证书的双向认证机制,实现智能卡与U盘复合设备访问的安全性控制,以解决特殊部门对智能卡与U盘复合设备使用安全性的需求。
本发明的技术方案如下:一种智能卡与U盘复合设备装置,包括:主机端1、设置于主机端1上的USB接口11、CA中心3、内存20、IO控制器30和闪存40,还包括:支持RSA、DH、ElGamal、ECC公钥密码算法,DES、3DES、AES对称密码算法和第三方加密算法的加密协处理器50、按照Java Card技术规范编制的智能卡操作系统203且通过所述加密协处理器50完成加解密运算的Z32UF安全控制器60,所述加密协处理器50集成在所述Z32UF安全控制器60芯片上;所述内存20、IO控制器30、闪存40、加密协处理器50、Z32UF安全控制器60构成智能卡与U盘复合设备2,所述智能卡与U盘复合设备2通过所述USB接口11与所述主机端1相连接,所述主机端1通过网络方式与所述CA中心3相联系。
加解密算法用于验证和签名。
一种在智能卡与U盘复合设备中提高访问安全性的方法,在所述智能卡与U盘复合设备2内的Z32UF安全控制器60上安装有按照Java Card技术规范编制的智能卡操作系统203,在所述智能卡操作系统203上运行有控制闪存读写的应用程序301和用于完成证书认证的应用程序112,所述智能卡操作系统203通过加密协处理器50完成加解密运算,同时,①在所述智能卡与U盘复合设备2内保存一个与之相关的数字设备证书,代表其身份,在其接入的主机端1也保存一个代表接入端身份的数字证书,②主机端1具备标准的证书申请方式;在智能卡与U盘复合设备中基于数字证书的双向认证机制以提高访问安全性方法的步骤如下:
1.1、所述智能卡与U盘复合设备2设备证书生成、加载;
所述智能卡与U盘复合设备2设备证书生成、加载的步骤如下:
①所述主机端1向所述智能卡与U盘复合设备2发起建立通道的请求,
②所述智能卡与U盘复合设备2响应并建立通道,
③所述主机端1请求所述智能卡与U盘复合设备2生成公私钥对,
④所述智能卡与U盘复合设备2响应,并将公钥导出,返回给所述主机端1,
⑤所述主机端1用所述智能卡与U盘复合设备2的公钥向CA中心3提出制作证书请求,
⑥所述CA中心3生成所述智能卡与U盘复合设备2的证书并返回给所述主机端1,
⑦所述主机端1将所述智能卡与U盘复合设备2证书写入到所述智能卡与U盘复合设备2中,同时将所述CA中心3的根证书也写入到所述智能卡与U盘复合设备2内进行存储,
⑧所述智能卡与U盘复合设备2成功执行返回,
1.2、所述主机端1证书生成;
所述主机端1的证书生成的步骤如下:
①-①所述主机端1证书生成,以标准的证书申请方式向所述CA中心3申请证书,
①-②所述CA中心3将生成的所述主机端1证书返回给所述主机端1,
1.3、所述主机端1和所述智能卡与U盘复合设备2实现双向认证,
所述主机端1和所述智能卡与U盘复合设备2实现双向认证的步骤如下:
②-①所述主机端1发起认证请求,
②-②所述智能卡与U盘复合设备2做出认证请求的响应,如果所述智能卡与U盘复合设备2拒绝认证请求,双向认证失败,
②-③所述主机端1通过与所述智能卡与U盘复合设备2交互获取所述智能卡与U盘复合设备2的设备证书
②-④所述智能卡与U盘复合设备2将自身的数字证书返回给所述主机端1,
②-⑤所述主机端1向所述CA中心3发起证书验证请求,以验证所述智能卡与U盘复合设备2的设备证书的有效性,
②-⑥所述CA中心3将验证结果返回给所述主机端1,如果所述CA中心3认为所述智能卡与U盘复合设备2的证书无效,双向认证失败,
②-⑦所述主机端1生成主机端的挑战数据,并将此数据和所述主机端1证书一起发送到所述智能卡与U盘复合设备2,
②-⑧所述智能卡与U盘复合设备使用保存的所述CA中心3的证书对所述主机端1证书进行验证,通过后使用所述智能卡与U盘复合设备2内的证书对应的私钥对主机发送的挑战数据进行签名,得到“签名结果”;同时生成所述智能卡与U盘复合设备2的挑战数据,并与“签名结果”发送回所述主机端1,如果所述智能卡与U盘复合设备2认为所述主机端1的证书无效,双向认证失败,
②-⑨所述主机端1验证所述智能卡与U盘复合设备2计算的“签名结果”,同时对所述智能卡与U盘复合设备2产生的挑战数据进行数字签名,送到所述智能卡与U盘复合设备2内,
②-⑩所述智能卡与U盘复合设备2对所述主机端1产生的“签名结果”进行验证,成功后双向认证完成;如果所述智能卡与U盘复合设备2内对所述主机端1产生的签名验证失败,则双向认证失败。
所述智能卡操作系统203和所述智能卡与U盘复合设备2内的所述Z32UF安全控制器60、闪存40共存在一个单一芯片内或者一个电路板上。
由于采用了以上技术方案,本发明具有以下显著特点:
1、保密性好,普通U盘是一个透明设备,对数据的访问没有任何访问控制,只要是具有USB接口的接入方都可以无阻碍地使用。特殊部门对设备访问却有着严格的要求,需要权限、身份的认证等。这些部门虽然有着一些安全管理制度,但由此带来了管理成本的大大增加。一般的认证过程都是对外界系统的认证,如口令或指纹U盘。使用时只是对用户进行认证,如认证用户提供的口令或指纹,并未对U盘本身以及U盘所处使用环境的认证。这种认证方式不是严格的,不能满足特殊部门设备使用的安全性要求,如设备是否可信、设备是否允许在系统中被使用、设备本身是否认可使用环境、使用者是谁等等。本发明提供的双向认证机制,可同时确认接入系统和U盘自身的身份。
2、实用价值高,可用性好。本发明提出的以数字证书实现的双向认证是既认证客户端也认证服务器端身份的认证方式。对于智能卡与U盘复合设备而言,智能卡与U盘复合设备的接入端,如PC,可以视为服务器端,而智能卡与U盘复合设备本身可视为客户端。
附图说明
图1-普通U盘的物理结构示意图
图2--智能卡与U盘复合设备的物理结构示意图
图3--智能卡与U盘复合设备内软件层次结构图
图4--本发明主机端和智能卡与U盘复合设备的接入关系示意图。
图5--本发明智能卡与U盘复合设备的设备证书生成、加载示意图
图6--本发明主机端证书生成示意图
图7--本发明主机端和智能卡与U盘复合设备实现双向认证过程示意图。
图--8主机端1与普通U盘通信框图
图--9主机端1与智能卡通信框图
图--10主机端1与智能卡和U盘复合设备2通信框图。
图--11主机端1通过两种SCSI指令与智能卡和U盘复合设备2通信示意图。
图--12主机端1向智能卡和U盘复合设备2发送的三种数据示意图。
其中,1--主机端,代表具有USB接口的计算机,如PC,2--智能卡与U盘复合设备,20--内存,30--IO控制器,40--闪存,50--加密协处理器,60--Z32UF60安全控制器,3--CA中心,对证书申请、验证提供服务的权威机构,301--应用程序,112--用于完成证书认证的应用程序。101-第一种标准SCSI指令,102-第二种SCSI指令,103--智能卡指令,104-智能卡指令标记,201--智能卡与U盘复合设备控制程序,203--按照Java Card技术规范编制的智能卡操作系统。
具体实施方式
普通U盘是一个透明设备,对数据的访问没有任何访问控制,只要是具有USB接口的接入方都可以无阻碍地使用,不符合特殊部门对设备访问严格的要求。
本发明通过加入基于数字证书的双向认证机制实现智能卡与U盘复合设备访问的安全性控制,可以解决特殊部门对智能卡与U盘复合设备安全性的需求。
为达到双向认证的目的,除在智能卡与U盘复合设备2内的Z32UF安全控制器60(Z32UF安全控制器60包括智能卡控制器和USB控制器)上应安装有按照Java Card技术规范编制的智能卡操作系统203,在智能卡操作系统203上运行有控制闪存读写的应用程序301,用于完成证书认证的应用程序112,智能卡操作系统203通过加密协处理器50完成加解密运算,智能卡与U盘复合设备2需要支持RSA算法,包括密钥生成、签名和验证,主机端1具备标准的证书申请方式外,还须具备下述条件:①智能卡与U盘复合设备2内保存一个与之相关的数字设备证书,代表其身份,②在接入端也将保存一个代表接入端身份的数字证书。
本发明的实施步骤分为以下三步:
1、智能卡与U盘复合设备2的设备证书生成、加载;
2、主机端1证书生成
3、主机端1和智能卡与U盘复合设备2实现双向认证。
附图1示出了普通U盘的物理结构示意图,图2示出了智能卡与U盘复合设备的物理结构示意图,附图3示出了智能卡与U盘复合设备内软件层次结构图。
附图4示出了本发明主机端1和智能卡与U盘复合设备2的接入关系,主机端1至少存在一个USB接口11,智能卡与U盘复合设备2通过插入USB接口11连接到主机。主机端1通过网络方式与CA中心3连接,并能获得CA中心3提供的证书服务,如证书申请和验证等。
为了验证证书的有效性,需要一个CA中心,为证书验证提供服务。但由于接入方IT环境是多变的,如多层次CA架构,附图4中仅示出了包含一个CA中心的情况
数字证书是一种权威机构(CA中心)认可的数字身份ID,广泛用于身份认证。数字证书对应着一个公私钥对,普遍使用的密钥是长度1024位的RSA密钥对。
数字证书的引入是为了结合现有系统的IT架构,使得智能卡与U盘复合设备能安全有效地引入到使用系统中。
附图5说明了本发明智能卡与U盘复合设备2的设备证书的生成与加载步骤:
①所述主机端1向所述智能卡与U盘复合设备2发起建立通道的请求,
②所述智能卡与U盘复合设备2响应并建立通道,
③所述主机端1请求所述智能卡与U盘复合设备2生成公私钥对,
④所述智能卡与U盘复合设备2响应,并将公钥导出,返回给所述主机端1,
⑤所述主机端1用所述智能卡与U盘复合设备2的公钥向所述CA中心3提出制作证书请求,
⑥所述CA中心3生成所述智能卡与U盘复合设备2的证书并返回给所述主机端1,
⑦所述主机端1将所述智能卡与U盘复合设备2证书写入到所述智能卡与U盘复合设备2中,同时将所述CA中心3的根证书也写入到所述智能卡与U盘复合设备2内进行存储,
⑧所述智能卡与U盘复合设备2成功执行返回。
附图6说明主机端1证书生成的步骤:
①主机端1证书生成,以标准的证书申请方式向CA中心3申请证书,申请得到的证书保存在主机端,包括RSA密钥对,
②CA中心3将生成的主机端1证书返回给主机端1。
附图7说明主机端1和智能卡与U盘复合设备2实现双向认证过程的步骤:
①所述主机端1发起认证请求,
②所述智能卡与U盘复合设备2做出认证请求的响应,如果所述智能卡与U盘复合设备2拒绝认证请求,双向认证失败,
③所述主机端1通过与所述智能卡与U盘复合设备2交互获取所述智能卡与U盘复合设备2的设备证书
④所述智能卡与U盘复合设备2将自身的数字证书返回给所述主机端1,
⑤所述主机端1向所述CA中心3发起证书验证请求,以验证所述智能卡与U盘复合设备2的设备证书的有效性,
⑥所述CA中心3将验证结果返回给所述主机端1,如果所述CA中心3认为所述智能卡与U盘复合设备2的证书无效,双向认证失败,
⑦所述主机端1生成主机端的挑战数据,并将此数据和所述主机端1证书一起发送到所述智能卡与U盘复合设备2,
⑧所述智能卡与U盘复合设备使用保存的所述CA中心3的证书对所述主机端1证书进行验证,通过后使用所述智能卡与U盘复合设备2内的证书对应的私钥对主机发送挑战数据的进行签名,得到“签名结果”;同时生成所述智能卡与U盘复合设备2的挑战数据,与“签名结果”并发送回所述主机端1,如果所述智能卡与U盘复合设备2认为所述主机端1的证书无效,双向认证失败,
⑨所述主机端1验证所述智能卡与U盘复合设备2计算的“签名结果”,同时对所述智能卡与U盘复合设备2产生的挑战数据进行数字签名,送到所述智能卡与U盘复合设备2内,
⑩所述智能卡与U盘复合设备2对所述主机端1产生的“签名结果”进行验证,成功后双向认证完成;如果所述智能卡与U盘复合设备2内对所述主机端1产生的签名验证失败,则双向认证失败。
图8--图12是通信协议示意图。
下面以双向认证为例说明本发明的实施过程:
上述主机端1和智能卡与U盘复合设备2间完成基于证书的双向认证的10个主要步骤中,交互都会涉及三个命令过程,即发送“XXX命令”,发送“响应命令”和发送“状态字命令”。前者是主机端1向智能卡与U盘复合设备2发送的具体的命令,如认证请求,“响应”和“状态字”命令则是主机端1获得智能卡与U盘复合设备2的对具体命令的处理结果。一般地,如果“状态字”命令得到的结果是0x9000表示处理结果是预期的,否则认为出现了错误或警告。
为了突出本发明中双向认证过程的主要步骤的实施,下面的介绍将不对每个步骤所需要的三个命令过程进行说明。另外,下面步骤中涉及的数字证书是标准的X.509证书格式,其中CERT(1)代表主机端1的数字证书,CERT(2)代表智能卡和U盘复合设备2的数字证书,CERT(3)代表CA中心3的数字证书。
步骤1:主机端1向智能卡与U盘复合设备2发送认证请求命令:“AUTH REQ”。
步骤2:主机端1获得智能卡与U盘复合设备2对认证请求命令的响应和状态字。如果状态字为0x9000,表示智能卡与U盘复合设备2接受了主机端1的认证请求。如果非0x9000,表示智能卡与U盘复合设备2拒绝了认证请求,此时双向认证失败,返回0。
步骤3:主机端1向智能卡与U盘复合设备2发送获取证书命令:“GET CERT”。
步骤4:主机端1获得智能卡与U盘复合设备2对获得证书认证请求命令的响应和状态字。如果状态字为0x9000,表示智能卡与U盘复合设备2接受了主机端1的获取证书命令,此时在“响应命令”中得到智能卡与U盘复合设备2保存的数字证书CERT(2);如果状态字为非0x9000,表示“GET CERT”命令失败,双向认证失败,返回0。
步骤5:主机端1向CA中心3发起验证证书的请求:“CERTVERI”,要求验证从智能卡与U盘复合设备2获取的证书CERT(2)。
步骤6:主机端1接收到CA中心3的返回值。如果返回值是1,表示证书验证成功;如果返回值是0,表示证书验证失败,此时双向认证失败,返回0。
步骤7:主机端1调用系统函数rand()生成16字节的随机数RAND(1),并将主机端1的证书CERT(1)连接后,通过“HOSTVERI”命令发送给智能卡与U盘复合设备2。智能卡与U盘复合设备2将临时保存主机端1的证书CERT(1)。
步骤8:智能卡与U盘复合设备2使用已经保存的CERT(3),对CERT(1)进行证书验证。如果验证失败,将通过状态字告诉给主机端1,表明验证失败,此时双向认证失败,返回0;如果验证通过,智能卡与U盘复合设备2将对RAND(1)进行数字签名SIG(2),并内部生成一个16字节的随机数RAND(2),将SIG(2)和RAND(2)连接。主机端1通过“响应”和“状态字”命令获得最终的结果。如果状态字是0x9000,则对主机端的验证通过,否则双向验证失败,返回0。
步骤9:主机端1得到RAND(2),用主机端1的证书对应的私钥进行签名SIG(1),并将SIG(1)按照“UD VERI”指令发送给智能卡与U盘复合设备2,以验证智能卡与U盘复合设备2。
步骤10:2获得SIG(1)后,用临时保存的CERT(1)进行验证。如果验证通过,状态字设为0x9000;如果验证失败,状态字设为一个非0x9000的值,表明双向认证失败。主机端1获得状态字后,如果是0x9000,此时基于数字证书的双向认证结束,返回主机端1,否则返回0,表示双向认证失败。
智能卡和U盘复合设备2是被动设备,即不能主动地向主机返回响应结果。只能由主机端1主动地发送标记为“响应”和“状态字”的指令取回结果。
上述双向认证的实施过程是基于第二种SCSI指令即对智能卡和U盘复合设备2的通信协议完成的:
①首先对智能卡和U盘复合设备2定义第二种SCSI指令102的数据格式,
②同时利用该第二种SCSI指令102,实现主机端1与智能卡和U盘复合设备2之间的数据通信。
定义第二种SCSI指令102数据格式的过程如下,
①、标准SCSI指令101的格式为:
| SCSI命令头 | 数据 | 操作结果 |
其中“SCSI命令头”是外界向设备传送的命令数据,“数据”部分可以是外界发送的数据,也可以是设备向外界返回的数据,
②、智能卡指令103的格式为:
| CLA | INS | P1 | P2 | Lc | Data | Le |
其中,“CLA”代表了命令类,“INS”代表了指令,“P1和P2”代表了参数,“Lc”是“Data”域数据长度,“Data”是“Lc”指示的数据,“Le”是期望智能卡返回的数据长度。
③、第二种SCSI指令102的格式如下:
| SCSI命令头 | 标记104+智能卡指令103=102第二种SCSI指令 | 操作结果 |
其中“标记104”为智能卡指令标记104,定义其格式如下:
| 标记名称 | 标记 | 数据 |
| 命令 | {标记1} | 智能卡的命令指令数据 |
| 响应 | {标记2} | 智能卡的响应指令数据 |
| 状态字 | {标记3} | 智能卡的状态字数据 |
利用该第二种SCSI指令102,实现主机端1与智能卡和U盘复合设备2之间数据通信的步骤如下:
①主机端1发送标记为“命令”的数据,
②主机端1发送标记为“响应”的数据,取回响应结果,
③主机端1发送标记为“状态字”的数据,取回状态字。
1)、主机端1发送标记为“命令”的数据,将智能卡命令指令103打包成第二种SCSI指令102的数据,按照智能卡指令标记104中“命令”标记处理,然后发送给智能卡和U盘复合设备2,
2)、主机端1向智能卡和U盘复合设备2发送标记为“响应”的数据,智能卡和U盘复合设备2响应结果的处理,由智能卡和U盘复合设备2上的Z32UF安全控制器60处理,其步骤为:
①标记响应数据,按照智能卡指令标记104中“响应″标记处理,
②标记状态字,按照智能卡指令标记104中“状态字”标记处理,
3)、主机端1向智能卡和U盘复合设备2发送标记为“状态字”的数据,主机端1通过第二种SCS I指令102取得响应数据,直到取完,其步骤为:
①如果存在,即获得响应数据
②获得状态字。
第二种SCSI指令102的数据格式,即对智能卡和U盘复合设备2的通信协议。
下面以主机端1向智能卡和U盘复合设备2发送一个“选择文件”命令,并发送“响应”、“状态字”标识得到智能卡和U盘复合设备2的响应数据和状态字的过程为例,说明通信协议实施过程:
1.定义三个标记,分别对应“命令”、“响应”和“状态字”三个标记,它们是:
命令标记 0x01
响应标记 0x02
状态字标记 0x03
2.主机端1向智能卡和U盘复合设备2发送标识“命令”
对应标记为“命令”的数据是“选择文件”的APDU指令如下:
| CLA | INS | P1 | P2 | Lc | Data | Le |
| 0x00 | 0xa4 | 0x04 | 0x00 | 0x02 | 0x3f01 | 无 |
其中Data部分代表智能卡和U盘复合设备中一个已有的文件标识(0x3f01)。
按照第二种SCSI指令格式定义发送的数据内容:0x0100a40400023f01,然后将此数据通过SCSI Passthrough方式发送给智能卡和U盘复合设备2。
3.主机端1向智能卡和U盘复合设备2发送标识“响应”,按照第二种SCSI指令格式定义发送的数据内容:0x02,然后将此数据通过SCSI Passthrough方式发送给智能卡和U盘复合设备2。得到智能卡和U盘复合设备2的响应0x00。
4.主机端1向智能卡和U盘复合设备2发送标识“状态字”
按照第二种SCSI指令格式定义发送的数据内容:0x03,然后将此数据通过SCSI Passthrough方式发送给智能卡和U盘复合设备2,得到智能卡和U盘复合设备2返回的状态字:0x9000。
通过数字证书实现的双向认证机制的智能卡与U盘复合设备解决了如下问题:
1)、智能卡与U盘复合设备具有访问控制机制
2)、智能卡与U盘复合设备对使用环境的认证
3)、使用环境(接入端)对智能卡与U盘复合设备的认证
4)、智能卡与U盘复合设备可以集成到现有的IT框架之中,如CA架构。
本发明中的硬件产品均为国产市售产品,智能卡操作系统与各种应用程序均为公知技术。
本发明通过加入基于数字证书的双向认证机制,实现了智能卡与U盘复合设备访问的安全性控制,解决了特殊部门对U盘使用安全性的需求,此种智能卡与U盘复合设备市场需求非常巨大。
与本发明内容相同或相似的技术方案,应在本专利的保护范围之内。
Claims (4)
1、一种智能卡与U盘复合设备装置,包括:主机端(1)、设置于主机端(1)上的USB接口(11)、CA中心(3)、内存(20)、IO控制器(30)和闪存(40),其特征在于:还包括:支持RSA、DH、ElGamal、ECC公钥密码算法,DES、3DES、AES对称密码算法和第三方加密算法的加密协处理器(50)、按照Java Card技术规范编制的智能卡操作系统(203)且通过所述加密协处理器(50)完成加解密运算的Z32UF安全控制器(60),所述加密协处理器(50)集成在所述Z32UF安全控制器(60)芯片上;所述内存(20)、IO控制器(30)、闪存(40)、加密协处理器(50)、Z32UF安全控制器(60)构成智能卡与U盘复合设备(2),所述智能卡与U盘复合设备(2)通过所述USB接口(11)与所述主机端(1)相连接,所述主机端(1)通过网络方式与所述CA中心(3)相联系。
2、如权利要求1所述的一种智能卡与U盘复合设备装置,其特征在于:加解密算法用于验证和签名。
3、一种在智能卡与U盘复合设备中提高访问安全性的方法,在所述智能卡与U盘复合设备(2)内的Z32UF安全控制器(60)上安装有按照Java Card技术规范编制的智能卡操作系统(203),在所述智能卡操作系统(203)上运行有控制闪存读写的应用程序(301)和用于完成证书认证的应用程序(112),所述智能卡操作系统(203)通过加密协处理器(50)完成加解密运算,同时,①在所述智能卡与U盘复合设备(2)内保存一个与之相关的数字设备证书,代表其身份,在其接入的主机端(1)也保存一个代表接入端身份的数字证书,②主机端(1)具备标准的证书申请方式;其特征在于:
在智能卡与U盘复合设备中基于数字证书的双向认证机制以提高访问安全性方法的步骤如下:
1.1、所述智能卡与U盘复合设备(2)设备证书生成、加载;
所述智能卡与U盘复合设备(2)设备证书生成、加载的步骤如下:
①所述主机端(1)向所述智能卡与U盘复合设备(2)发起建立通道的请求,
②所述智能卡与U盘复合设备(2)响应并建立通道,
③所述主机端(1)请求所述智能卡与U盘复合设备(2)生成公私钥对,
④所述智能卡与U盘复合设备(2)响应,并将公钥导出,返回给所述主机端(1),
⑤所述主机端(1)用所述智能卡与U盘复合设备(2)的公钥向CA中心(3)提出制作证书请求,
⑥所述CA中心(3)生成所述智能卡与U盘复合设备(2)的证书并返回给所述主机端(1),
⑦所述主机端(1)将所述智能卡与U盘复合设备(2)证书写入到所述智能卡与U盘复合设备(2)中,同时将所述CA中心(3)的根证书也写入到所述智能卡与U盘复合设备(2)内进行存储,
⑧所述智能卡与U盘复合设备(2)成功执行返回,
1.2、所述主机端(1)证书生成;
所述主机端(1)的证书生成的步骤如下:
①-①所述主机端(1)证书生成,以标准的证书申请方式向所述CA中心(3)申请证书,
①-②所述CA中心(3)将生成的所述主机端(1)证书返回给所述主机端(1),
1.3、所述主机端(1)和所述智能卡与U盘复合设备(2)实现双向认证;
所述主机端(1)和所述智能卡与U盘复合设备(2)实现双向认证的步骤如下:
②-①所述主机端(1)发起认证请求,
②-②所述智能卡与U盘复合设备(2)做出认证请求的响应,如果所述智能卡与U盘复合设备(2)拒绝认证请求,双向认证失败,
②-③所述主机端(1)通过与所述智能卡与U盘复合设备(2)交互获取所述智能卡与U盘复合设备(2)的设备证书,
②-④所述智能卡与U盘复合设备(2)将自身的数字证书返回给所述主机端(1),
②-⑤所述主机端(1)向所述CA中心(3)发起证书验证请求,以验证所述智能卡与U盘复合设备(2)的设备证书的有效性,
②-⑥所述CA中心(3)将验证结果返回给所述主机端(1),如果所述CA中心(3)认为所述智能卡与U盘复合设备(2)的证书无效,双向认证失败,
②-⑦所述主机端(1)生成主机端的挑战数据,并将此数据和所述主机端(1)证书一起发送到所述智能卡与U盘复合设备(2),
②-⑧所述智能卡与U盘复合设备(2)使用保存的所述CA中心(3)的证书对所述主机端(1)证书进行验证,通过后使用所述智能卡与U盘复合设备(2)内的证书对应的私钥对主机发送的挑战数据进行签名,得到“签名结果”;同时生成所述智能卡与U盘复合设备(2)的挑战数据并与“签名结果”发送回所述主机端(1),如果所述智能卡与U盘复合设备(2)认为所述主机端(1)的证书无效,双向认证失败,
②-⑨所述主机端(1)验证所述智能卡与U盘复合设备(2)计算的“签名结果”,同时对所述智能卡与U盘复合设备(2)产生的挑战数据进行数字签名,送到所述智能卡与U盘复合设备(2)内,
②-⑩所述智能卡与U盘复合设备(2)对所述主机端(1)产生的“签名结果”进行验证,成功后双向认证完成;如果所述智能卡与U盘复合设备(2)内对所述主机端(1)产生的签名验证失败,则双向认证失败。
4、如权利要求3所述的一种在智能卡与U盘复合设备中提高访问安全性的方法,其特征在于:所述智能卡操作系统(203)和所述智能卡与U盘复合设备(2)内的所述Z 32UF安全控制器(60)、闪存(40)共存在一个单一芯片内或者一个电路板上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2007100003264A CN100555936C (zh) | 2007-01-08 | 2007-01-08 | 一种在智能卡与u盘复合设备中提高访问安全性的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2007100003264A CN100555936C (zh) | 2007-01-08 | 2007-01-08 | 一种在智能卡与u盘复合设备中提高访问安全性的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101009556A CN101009556A (zh) | 2007-08-01 |
| CN100555936C true CN100555936C (zh) | 2009-10-28 |
Family
ID=38697731
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2007100003264A Expired - Fee Related CN100555936C (zh) | 2007-01-08 | 2007-01-08 | 一种在智能卡与u盘复合设备中提高访问安全性的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100555936C (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100553193C (zh) | 2007-10-23 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于可信第三方的实体双向鉴别方法及其系统 |
| CN101520854B (zh) * | 2008-02-29 | 2012-12-05 | 锐迪科微电子(上海)有限公司 | 一种智能存储卡及其数据安全控制系统和方法 |
| CN101626293B (zh) * | 2008-07-09 | 2011-10-26 | 上海格尔软件股份有限公司 | 一种数据加密保护及解密方法 |
| CN101640785B (zh) * | 2008-07-30 | 2011-08-17 | 航天信息股份有限公司 | 交互式网络电视的加/解密系统和加/解密方法 |
| CN101674182B (zh) | 2009-09-30 | 2011-07-06 | 西安西电捷通无线网络通信股份有限公司 | 引入在线可信第三方的实体公钥获取、证书验证及鉴别的方法及系统 |
| CN102013975B (zh) * | 2010-06-29 | 2012-06-27 | 飞天诚信科技股份有限公司 | 一种密钥管理方法及系统 |
| CN103761468A (zh) * | 2014-01-13 | 2014-04-30 | 金硕澳门离岸商业服务有限公司 | 具有双cpu的微型控制芯片 |
| CN103944724B (zh) * | 2014-04-18 | 2017-10-03 | 天地融科技股份有限公司 | 一种用户身份识别卡 |
| CN104917750B (zh) * | 2015-04-16 | 2017-11-21 | 中国科学院计算技术研究所 | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 |
| CN104811338B (zh) * | 2015-04-16 | 2018-02-06 | 中国科学院计算技术研究所 | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 |
| CN105099705B (zh) * | 2015-08-19 | 2018-08-14 | 同方计算机有限公司 | 一种基于usb协议的安全通信方法及其系统 |
| CN106790173B (zh) * | 2016-12-29 | 2019-10-18 | 浙江中控技术股份有限公司 | 一种scada系统及其rtu控制器双向身份认证的方法及系统 |
| CN107911221B (zh) * | 2017-11-22 | 2021-01-12 | 深圳华中科技大学研究院 | 固态盘数据安全存储的密钥管理方法 |
| CN108512846B (zh) * | 2018-03-30 | 2022-02-25 | 北京邮电大学 | 一种终端与服务器之间的双向认证方法和装置 |
| CN108599939A (zh) * | 2018-04-25 | 2018-09-28 | 新华三技术有限公司 | 一种认证方法和装置 |
| CN110059507B (zh) * | 2019-03-01 | 2021-08-17 | 北京亿赛通科技发展有限责任公司 | 一种实现智能安全u盘的系统及方法 |
| CN110008682B (zh) * | 2019-03-31 | 2020-12-29 | 西安邮电大学 | 一种基于pki更新不同类型存储介质中的数据的方法 |
-
2007
- 2007-01-08 CN CNB2007100003264A patent/CN100555936C/zh not_active Expired - Fee Related
Non-Patent Citations (2)
| Title |
|---|
| "仙人球"Z32系列之USB应用解决方案. 深圳市中兴集成电路设计有限责任公司.信息安全与通信保密. 2005 |
| "仙人球"Z32系列之USB应用解决方案. 深圳市中兴集成电路设计有限责任公司.信息安全与通信保密. 2005 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101009556A (zh) | 2007-08-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100555936C (zh) | 一种在智能卡与u盘复合设备中提高访问安全性的方法 | |
| US20210226798A1 (en) | Authentication in ubiquitous environment | |
| JP4736744B2 (ja) | 処理装置、補助情報生成装置、端末装置、認証装置及び生体認証システム | |
| RU2702076C2 (ru) | Аутентификация в распределенной среде | |
| CN107547514A (zh) | 身份认证方法、系统及计算机可读存储介质 | |
| JP5601729B2 (ja) | 移動無線機の移動無線網へのログイン方法 | |
| CN105554035B (zh) | 一种电子锁系统及其控制方法 | |
| CN103413159B (zh) | 一种基于cpk的rfid电子凭证离线鉴真防伪实现方法及系统 | |
| CN102013001B (zh) | 一种具有认证功能的读卡器及其认证方法 | |
| CN111931158A (zh) | 一种双向认证方法、终端以及服务器 | |
| RU2011153984A (ru) | Доверенный администратор достоверности (tim) | |
| CN101336436A (zh) | 安全令牌和用于利用该安全令牌来认证用户的方法 | |
| CN106067205B (zh) | 一种门禁鉴权方法和装置 | |
| CN112150682A (zh) | 一种智能门禁卡、智能门锁终端及智能门禁卡识别方法 | |
| CN106850201A (zh) | 智能终端多因子认证方法、智能终端、认证服务器及系统 | |
| CN103117862B (zh) | 用openssl的X.509数字证书验证Java证书的方法 | |
| CN104424676A (zh) | 身份信息发送方法、装置和门禁读卡器及门禁系统 | |
| CA2623556A1 (en) | Method for the authenticated transmission of a personalized data set or program to a hardware security module in particular of a franking machine. | |
| CN106850638A (zh) | 一种车载设备访问控制方法及系统 | |
| CN111709747B (zh) | 智能终端认证方法及系统 | |
| CN1954345A (zh) | 智能卡数据事务系统以及用于提供存储和传输安全的方法 | |
| CN102404112A (zh) | 一种可信终端接入认证方法 | |
| CN106296177A (zh) | 基于银行移动应用的数据处理方法和设备 | |
| CN108270568A (zh) | 一种移动数字证书装置及其更新方法 | |
| CN108418692B (zh) | 认证证书的在线写入方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| DD01 | Delivery of document by public notice |
Addressee: Guo Tao Document name: Review of business letter |
|
| DD01 | Delivery of document by public notice | ||
| DD01 | Delivery of document by public notice |
Addressee: Beijing Mingyu Technology Co., Ltd. Document name: Notification of Termination of Patent Right |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20091028 Termination date: 20180108 |