CN103914642A - 一种基于usb key的安全套件结构系统 - Google Patents
一种基于usb key的安全套件结构系统 Download PDFInfo
- Publication number
- CN103914642A CN103914642A CN201410149741.6A CN201410149741A CN103914642A CN 103914642 A CN103914642 A CN 103914642A CN 201410149741 A CN201410149741 A CN 201410149741A CN 103914642 A CN103914642 A CN 103914642A
- Authority
- CN
- China
- Prior art keywords
- layer
- card
- file
- interface
- usb key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
Abstract
本发明公开了一种基于USB KEY的安全套件结构系统,包括有硬件抽象层、功能实现层以及接口封装层;其中,硬件抽象层封装了硬件特性,屏蔽了硬件的具体实现细节,为功能实现层提供统一的卡片操作函数;功能实现层的位于套件结构的中间层,用于完成设备管理、加密解密以及文件管理;接口封装层用于封装CSP接口以及封装PKCS#11接口。本发明基于USB KEY的安全套件结构系统每一层次完成相对比较独立的功能,这种架构层次分明,以方便以后的升级和维护。该套件库以数字证书为媒介,通过对证书的使用和管理,可在网络信息交流中实现身份认证并保证信息传输的安全性。
Description
技术领域
本发明属于本发明涉及信息安全技术领域,涉及一种基于USB KEY的安全套件结构系统。
背景技术
随着计算机网络技术、信息技术的快速发展,诸如电子商务等数字化产业正在世界范围内迅速崛起。无论是政府、企业还是个人都逐渐依赖计算机存储信息,并借助网络传递、交换重要资料和洽谈贸易,不得不面对信息安全问题的严峻考验。为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制,保证传输数据的认证、完整性、机密性和不可否认性。
USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。
PKI(PublicKeyInfrastructure,即公钥基础设施)技术以数字证书为媒介,通过对证书的使用和管理,可在网络信息交流中实现身份认证并保证信息传输的安全性。USBKey 中存储了数字证书和对应的私钥,并且不允许私钥导出即使USB Key 丢失也有口令保护,不会造成私钥的随意泄漏,正是USB Key 的小巧、方便易用以及高安全可靠性,使得它的应用范围越来越广,在证书系统中成为重要载体。
发明内容
为解决上述问题,本发明的目的在于提供一种基于USB KEY的安全套件结构系统,以实现信息在传输过程中的保密性、完整性和不可抵赖性。
为实现上述目的,本发明的技术方案为:
一种基于USB KEY的安全套件结构系统,包括有硬件抽象层、功能实现层以及接口封装层;其中,硬件抽象层封装了硬件特性,屏蔽了硬件的具体实现细节,为功能实现层提供统一的卡片操作函数;功能实现层的位于套件结构的中间层,用于完成设备管理、加密解密以及文件管理;接口封装层用于封装CSP 接口以及封装PKCS#11 接口。
进一步地,所述功能实现层包括有设备管理单元、认证单元、卡文件系统单元、RSA秘钥和散列单元以及软件算法单元。
进一步地,所述设备管理单元提供多种设备信息,该等信息在CSP接口实现时用于设备的记忆和设备的区分;具体地,所述设备信息包括有卷标、设备标识、虚拟读卡器名称、以及TokenID;所述卷标是用户给卡片起的名称,;所述设备标识为卡片的唯一标识;所述虚拟读卡器名称是与卡片建立连接时必须提供卡片对应的虚拟读卡器名;所述TokenID为卡片临时分配的ID号。
进一步地,所述认证单元包括有外部认证和PIN口令认证;其中,外部认证主要在建立卡文件系统之前使用,经过外部认证,从而可以建立卡文件系统所需要的各种文件。
进一步地,所述卡文件系统单元用于完成卡片资源空间的分配和回收;卡文件系统单元中,存在多种不同的文件类型,每类型文件使用不同的文件ID空间。
相较于现有技术,本发明基于USB KEY 的安全套件结构系统每一层次完成相对比较独立的功能,这种架构层次分明,以方便以后的升级和维护。该套件库以数字证书为媒介,通过对证书的使用和管理,可在网络信息交流中实现身份认证并保证信息传输的安全性。
附图说明
图1是本发明的原理框架图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,本发明一种基于USB KEY的安全套件结构系统,包括硬件抽象层、功能实现层以及接口封装层;其中,硬件抽象层封装了硬件特性,屏蔽了硬件的具体实现细节,为功能实现层提供一个统一的卡片操作函数。功能实现层的位于套件结构的中间层,用于完成设备管理、加密解密以及文件管理,其主要功能是卡片文件系统,完成卡片资源空间的分配和回收,同时功能实现层对硬件抽象层进一步封装,为接口封装层提供更友好的界面,并可供底层开发用户使用。其为CSP 接口封装层提供一个类似于PC 机文件管理系统、同时又具有加密等功能的服务,它将所有数据对象抽象成为一个文件,简化了加密操作。功能实现层为CSP 层和底层开发用户提供了方便、友好的接口。同时该层实现PKCS#11 的基本功能,如对象管理模块。接口封装层用于封装CSP 接口以及封装PKCS#11 接口。
功能实现层包括有设备管理单元、认证单元、卡文件系统单元、RSA秘钥和散列单元以及软件算法单元。
其中,设备管理单元提供了多种设备信息,这些信息在CSP接口实现时用于设备的记忆和设备的区分,所用到的设备信息包括有卷标、设备标识、虚拟读卡器名称、以及TokenID。所述卷标是用户给卡片起的名称,不同的卡片可以共用相同的卷标。所述设备标识为卡片的唯一标识,功能实现层使用其作为设备的区分符号,但无法使用其与设备建立连接。所述虚拟读卡器名称是与卡片建立连接时必须提供卡片对应的虚拟读卡器名,所有与PC机相连的卡片,其虚拟读卡器名称是唯一的。所述TokenID为卡片临时分配的ID号,是卷标到设备标识的连接。
认证单元包括有外部认证和PIN口令认证。其中,外部认证主要在建立卡文件系统之前使用,经过外部认证,可达到可以创建文件的权限,从而可以建立卡文件系统所需要的各种文件。外部认证口令长度为16字节;而PIN口令认证分为SO PIN认证和USER PIN认证,SO PIN认证功能类似于外部认证,同时它又解锁USER PIN的功能;而USER PIN认证只在卡文件结构建立之后使用,PIN口验证通过后,达到了预设定的安全级别,才能使用RSA密钥进行签名解密操作。本发明实施例中,PIN口令长度固定为8字节。
卡文件系统单元完成卡片资源空间的分配和回收,同时功能实现层对硬件抽象层进一步封装,为接口封装层提供更友好的界面,并可供底层开发用户使用。其中,CSP用到多种数据对象,如容器、证书、密钥,这些对象统一视为文件,通过文件类型进行区分。文件类型包括有资源文件、容器文件、证书文件、密钥文件、以及普通文件;资源文件用于记录卡文件ID分配情况,每个资源文件记录一类型文件的ID分配情况。资源文件仅供功能实现层内部使用。容器文件用于存放容器结构,每个文件存放一个容器结构。证书文件用于存放证书,每个文件存放一个证书。密钥文件用于存放RSA密钥,包括公钥和私钥,每个文件只存一个公钥或私钥。上层用户只可以使用私钥文件,公钥文件由功能实现层内部使用。普通文件是给上层用户提供的、可以存放任意内容的文件,文件的使用方式由用户决定。
卡文件系统单元中,存在多种不同的文件类型,每类型文件使用不同的文件ID空间。其中,资源文件是用于管理文件ID分配的文件,每类型文件用一个资源文件管理。资源文件由64个字节或128个字节组成,字节的每一位记录一个文件ID的使用情况,为1时表示对应的文件ID被使用,为0时表示文件ID空闲。本发明实施例中,资源文件ID的范围为RESOURCE _TYPE,0x01 ~ RESOURCE _TYPE,0xff;容器文件ID的范围为CONTAINER_TYPE,0x01 ~ CONTAINER _TYPE,0xff;证书文件ID的范围为CERTIFICATE_TYPE,0x01 ~ CERTIFICATE _TYPE,0xff;密钥文件ID的范围为RSAKEY_TYPE,0x01 ~ RSAKEY _TYPE,0xff;普通文件ID的范围为COMMON_TYPE,0x01 ~ COMMON _TYPE+1,0xff。
卡文件系统单元中,文件操作包括有创建文件、删除文件、写文件、读文件以及枚举文件。其中,创建文件根据文件类型创建不同的文件,为了提高创建文件速度,在建立卡文件系统结构时,预先创建部分定长文件,如容器文件,RSA密钥文件;删除文件时,对于预先创建的文件,删除文件操作并非真正删除该文件,只是将该文件ID标识为可用,而对于非预先创建的文件,才执行真正的删除操作。写文件时,所有类型的文件通过相同的函数写入,通过文件类型进行区分。读文件时,所有类型的文件通过相同的函数读取,通过文件类型进行区分。枚举文件即是列举用户指定属性的文件,该操作主要用户枚举容器或对象。
RSA密钥和散列单元中,如果硬件加密解密、签名验证要求输入的数据符合PKCS#1标准,则由该层完成相应的数据填充,返回数据时则除去相应的填充内容。
软件算法单元支持RC和DES算法,DES算法支持8字节密钥、16字节密钥以及24字节密钥,应用模块支持CBC,EBC等。
本发明基于USB KEY 的安全套件结构系统每一层次完成相对比较独立的功能,这种架构层次分明,以方便以后的升级和维护。该套件库以数字证书为媒介,通过对证书的使用和管理,可在网络信息交流中实现身份认证并保证信息传输的安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种基于USB KEY的安全套件结构系统,其特征在于,包括有:硬件抽象层、功能实现层以及接口封装层;其中,硬件抽象层封装了硬件特性,屏蔽了硬件的具体实现细节,为功能实现层提供统一的卡片操作函数;功能实现层的位于套件结构的中间层,用于完成设备管理、加密解密以及文件管理;接口封装层用于封装CSP 接口以及封装PKCS#11 接口。
2.根据权利要求1所述基于USB KEY的安全套件结构系统,其特征在于:功能实现层包括有设备管理单元、认证单元、卡文件系统单元、RSA秘钥和散列单元以及软件算法单元。
3.根据权利要求2所述基于USB KEY的安全套件结构系统,其特征在于:所述设备管理单元提供多种设备信息,该等信息在CSP接口实现时用于设备的记忆和设备的区分;具体地,所述设备信息包括有卷标、设备标识、虚拟读卡器名称、以及TokenID;所述卷标是用户给卡片起的名称,;所述设备标识为卡片的唯一标识;所述虚拟读卡器名称是与卡片建立连接时必须提供卡片对应的虚拟读卡器名;所述TokenID为卡片临时分配的ID号。
4.根据权利要求3所述基于USB KEY的安全套件结构系统,其特征在于:所述认证单元包括有外部认证和PIN口令认证;其中,外部认证主要在建立卡文件系统之前使用,经过外部认证,从而可以建立卡文件系统所需要的各种文件。
5.根据权利要求4所述基于USB KEY的安全套件结构系统,其特征在于:所述卡文件系统单元用于完成卡片资源空间的分配和回收;卡文件系统单元中,存在多种不同的文件类型,每类型文件使用不同的文件ID空间。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410149741.6A CN103914642A (zh) | 2014-04-15 | 2014-04-15 | 一种基于usb key的安全套件结构系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410149741.6A CN103914642A (zh) | 2014-04-15 | 2014-04-15 | 一种基于usb key的安全套件结构系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103914642A true CN103914642A (zh) | 2014-07-09 |
Family
ID=51040318
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410149741.6A Pending CN103914642A (zh) | 2014-04-15 | 2014-04-15 | 一种基于usb key的安全套件结构系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103914642A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107368746A (zh) * | 2017-07-26 | 2017-11-21 | 成都三零盛安信息系统有限公司 | 基于加密卡的密码算法调用方法及装置 |
CN107392036A (zh) * | 2017-07-26 | 2017-11-24 | 成都三零盛安信息系统有限公司 | 基于加密卡的密码算法调用方法及装置 |
CN109117673A (zh) * | 2018-09-13 | 2019-01-01 | 上海万朗水务科技有限公司 | 管网数据保密安全结构 |
CN112615830A (zh) * | 2020-12-08 | 2021-04-06 | 北京北信源软件股份有限公司 | 一种数字认证设备接口系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007121641A1 (fr) * | 2006-04-24 | 2007-11-01 | Beijing E-Henxen Authentication Technologies Co., Ltd. | Système d'authentification de la crédibilité d'une clé publique combinée utilisant une puce |
CN101340294A (zh) * | 2008-08-07 | 2009-01-07 | 深圳市紫金支点技术股份有限公司 | 一种密码键盘装置及其实现方法 |
CN201860345U (zh) * | 2010-11-17 | 2011-06-08 | 北京天诚盛业科技有限公司 | 指纹usbkey加密设备 |
CN103116720A (zh) * | 2011-11-16 | 2013-05-22 | 航天信息股份有限公司 | 一种USB Key装置及其帐户管理和验证使用方法 |
CN103457742A (zh) * | 2013-09-18 | 2013-12-18 | 浪潮电子信息产业股份有限公司 | 一种基于usb key的安全套件库系统 |
-
2014
- 2014-04-15 CN CN201410149741.6A patent/CN103914642A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007121641A1 (fr) * | 2006-04-24 | 2007-11-01 | Beijing E-Henxen Authentication Technologies Co., Ltd. | Système d'authentification de la crédibilité d'une clé publique combinée utilisant une puce |
CN101340294A (zh) * | 2008-08-07 | 2009-01-07 | 深圳市紫金支点技术股份有限公司 | 一种密码键盘装置及其实现方法 |
CN201860345U (zh) * | 2010-11-17 | 2011-06-08 | 北京天诚盛业科技有限公司 | 指纹usbkey加密设备 |
CN103116720A (zh) * | 2011-11-16 | 2013-05-22 | 航天信息股份有限公司 | 一种USB Key装置及其帐户管理和验证使用方法 |
CN103457742A (zh) * | 2013-09-18 | 2013-12-18 | 浪潮电子信息产业股份有限公司 | 一种基于usb key的安全套件库系统 |
Non-Patent Citations (1)
Title |
---|
王义: ""硬件加密系统研究与应用"", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107368746A (zh) * | 2017-07-26 | 2017-11-21 | 成都三零盛安信息系统有限公司 | 基于加密卡的密码算法调用方法及装置 |
CN107392036A (zh) * | 2017-07-26 | 2017-11-24 | 成都三零盛安信息系统有限公司 | 基于加密卡的密码算法调用方法及装置 |
CN109117673A (zh) * | 2018-09-13 | 2019-01-01 | 上海万朗水务科技有限公司 | 管网数据保密安全结构 |
CN112615830A (zh) * | 2020-12-08 | 2021-04-06 | 北京北信源软件股份有限公司 | 一种数字认证设备接口系统 |
CN112615830B (zh) * | 2020-12-08 | 2023-04-07 | 北京北信源软件股份有限公司 | 一种数字认证设备接口系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200372503A1 (en) | Transaction messaging | |
US9674156B2 (en) | Event-triggered release through third party of pre-encrypted digital data from data owner to data assignee | |
CN103457742A (zh) | 一种基于usb key的安全套件库系统 | |
CN103714637A (zh) | 一种传输密钥发送方法及系统、操作终端 | |
CN101483654A (zh) | 实现认证及数据安全传输的方法及系统 | |
CN101720071A (zh) | 基于安全sim卡的短消息两阶段加密传输和安全存储方法 | |
CN103580868A (zh) | 一种电子公文安全传输系统的安全传输方法 | |
CN104219234A (zh) | 一种云存储个人数据安全的方法 | |
CN206611427U (zh) | 一种基于可信计算装置的密钥存储管理系统 | |
CN102693385A (zh) | 基于sd可信计算模块的嵌入式终端及实现方法 | |
CN101866411B (zh) | 非接触式cpu卡一卡多应用安全认证加密方法及系统 | |
CN103440463A (zh) | 一种基于标签的电子文件保护方法 | |
CN205945769U (zh) | 一种量子密钥芯片 | |
CN108108632A (zh) | 一种多因素文件水印生成提取方法和系统 | |
CN103914642A (zh) | 一种基于usb key的安全套件结构系统 | |
CN103903042A (zh) | 一种数据流加密sd卡 | |
TWI476629B (zh) | Data security and security systems and methods | |
WO2021036511A1 (zh) | 数据加密存储和读取的方法、终端设备及存储介质 | |
CN109005196A (zh) | 数据传输方法、数据解密方法、装置及电子设备 | |
CN201742425U (zh) | 非接触式cpu卡一卡多应用安全认证加密系统 | |
CN105389526A (zh) | 加密区和非加密区一体化的移动硬盘及其数据存储方法 | |
CN103873245B (zh) | 虚拟机系统数据加密方法及设备 | |
CN102841861A (zh) | 一种以sd为通讯接口的数据安全存储设备及其工作方法 | |
CN101777980B (zh) | 一种数字证书扩展项信息保护方法 | |
CN206907059U (zh) | 二代身份证读取加密系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140709 |
|
WD01 | Invention patent application deemed withdrawn after publication |