一种移动设备加密U盾制造技术

本发明专利技术涉及一种移动设备加密U盾，包括：电路板以及设置于电路板上的智能卡芯片，加密U盾上还设置有用于与移动终端连接，以实现与第三方APP之间通信的串行总线接口，串行总线接口包括SKF接口及加解密接口，其中，智能卡芯片包括身份认证模块及数据存储模块，身份认证模块通过SKF接口实现与移动终端的通信连接，用于检验用户PIN码及应用特征值，数据存储模块通过加解密接口实现与移动终端的通信连接，用于在用户身份认证通过后，通过加解密接口实现数据存储模块中加密数据的加解密存储。本发明专利技术可保证移动作业中用户的安全认证和信息的安全存储，使个人手机在一般网络环境下也可以安全使用。

A Mobile Device Encryption U Shield

【技术实现步骤摘要】
一种移动设备加密U盾
本专利技术涉及信息安全
，具体涉及一种移动设备加密U盾。
技术介绍
随着移动互联网、物联网技术的发展和移动智能终端的普及，在行业应用、政务办公等领域，传统的使用限制应用程序装载或网络访问的掌上专用电脑,或专线专网专用终端的移动作业手段，已无法满足移动智能互联网时代下的移动应用需求,场景化、智能化的移动办公、移动作业等应用需求愈发强烈,同时，对敏感信息的网络安全传输和数据安全存储方面的要求愈加严苛。基于此应用背景下，有必要提供一种新的技术手段或介质，以解决电子政务、电子商务、行业应用方面的移动办公环境下需要解决的信息安全问题。
技术实现思路
为解决现有技术存在的不足，本专利技术提供了一种移动设备加密U盾，包括：电路板及设置于电路板上的智能卡芯片，加密U盾上还设置有用于与移动终端连接，以实现与第三方APP之间通信的串行总线接口，串行总线接口包括SKF接口及加解密接口，其中，智能卡芯片包括身份认证模块及数据存储模块，身份认证模块通过SKF接口实现与移动终端的通信连接，用于检验用户PIN码及应用特征值，数据存储模块通过加解密接口实现与移动终端的通信连接，用于在用户身份认证通过后，通过加解密接口实现数据存储模块中加密数据的加解密存储。其中，所述身份认证模块包括：COS文件系统模块，用于在加密U盾出厂时创建、锁定并验证设备认证密钥，以及获取并校验用户的PIN码；用户身份鉴别模块，包括密码主管模块、管理员模块以及普通用户模块，用于分别针对不同的APP用户，授予不同权限；数字签名证书，用于在用户PIN码校验通过后验证U盾设备的特征值；终端授权证书，用于在用户PIN码校验通过后验证终端授权文件内容和签名值；数字签名根证书，用于验证终端授权证书的签名值；认证检验匹配模块，用于判断接入终端的合法性。其中，所述用户身份鉴别模块中，不同模块针对的APP用户及执行权限分别如下：密码主管模块：密码主管角色执行对送检产品的管理功能，包括设备认证、创建应用及删除应用；管理员模块：管理员在其管理员权限范围内解锁普通用户的PIN操作；普通用户模块：普通用户在其所在应用内获得操作权限认证后，能够进行会话密钥和非对称密钥的生成、导入、更新和使用操作。其中，所述密码主管模块中，创建应用时以密文方式导入管理员口令和用户口令。其中，所述COS文件系统模块包括：主控文件MF，其在加密U盾出厂阶段，COS下载成功即存在，设备认证密钥锁定时MF锁定，COS删除时MF一并删除；应用目录文件DF，其在主控文件MF下创建或删除，需验证设备认证密钥；基本文件EF，其在应用目录文件DF下创建或删除，受创建应用时指定的用户的PIN保护。其中，所述数据存储模块包括存储KEY区、存储加密区以及明文区，存储加密区及明文区分别用于存储加密数据及公开数据，存储KEY区用于存储用户的私钥以及数字证书、授权证书，在身份认证模块完成用户身份和终端授权验证后，完成存储加密区和明文区存储空间的读取权限控制。其中，所述加解密接口包括如下子接口：OpenDevice接口，其用于通过OpenDevice(inthDev)函数打开磁盘设备；CloseDevice接口，其用于通过CloseDevice(longhDev)函数关闭磁盘设备；ScanDevice接口，其用于通过ScanDevice(intguid)函数扫描磁盘设备；MountDevice接口，其用于通过MountDevice(byteindex)函数挂载文件系统，形成工作区域；UnMountDevice接口，其用于通过UnMountDevice(byteindex)函数卸载文件系统；GetCapacity接口，其用于通过GetCapacity(byteindex)函数获取工作区域的容量大小；GetLastCapacity接口，其用于通过GetLastCapacity(byteindex)函数获取工作区域的剩余容量大小；FileOpen接口，其用于通过FileOpen(byte[]path,byteattr)函数根据文件路径打开文件；FileClose接口，其用于通过FileClose(longhFile)函数关闭文件，及回收文件控制句柄。其中，所述加解密接口还包括如下子接口：FileSeek接口，其用于通过FileSeek(longhFile,intoffset)函数对文件控制句柄读写位置进行偏移；FileRead接口，其用于通过FileRead(byte[]buffer,intpackageNum,intpackageCount,longhFile)函数把数据从文件读入缓存；FileWrite接口，其用于通过FileWrite(byte[]buffer,intpackageNum,intpackageCount,longhFile)把数据从缓存写入文件；ListFile接口，其用于ListFile(byte[]path,byte[]list,int[]listLen)遍历文件夹；FileDelete接口，其用于通过FileDelete(byte[]path)删除文件或文件夹。其中，所述SKF接口包括如下子接口：SKF_ConnectDev接口，其用于通过SKF_ConnectDev(byte[]param1,long[]param2)函数连接设备，以及返回设备的句柄；SKF_DisConnectDev接口，其用于通过SKF_DisConnectDev(longparam1)函数断开一个已经连接的设备；SKF_GetDevInfo接口，其用于通过SKF_GetDevInfo(longparam1,unsignedchar*param2)函数获取当前设备的基本信息；SKF_ChangePIN接口，其用于通过SKF_ChangePIN(longparam1,longparam2,byte[]param3,byte[]param4,long[]param5)函数修改用户的PIN；SKF_VerifyPIN接口，其用于通过SKF_VerifyPIN(longparam1,longparam2,byte[]param3,long[]param4)函数校验用户的PIN；SKF_OpenApplication接口，其用于通过SKF_OpenApplication(longparam1,byte[]param2,long[]param3)函数打开应用；SKF_CloseApplication接口，其用于通过SKF_CloseApplication(longparam1)函数关闭应用；SKF_GetFileInfo接口，其用于通过SKF_GetFileInfo(longparam1,byte[]param2,unsignedchar*param3)函数获取应用文件的属性信息。其中，所述SKF接口还包括如下子接口：SKF_SetSymmKey接口，其用于通过SKF_SetSymmKey(longparam1,byte[]param2,longparam3,long[]param4)函数明文导入会话密钥，设置明文对称密钥，以及返回密钥句柄；SKF_EncryptInit接口，其用于通过SKF_EncryptInit(long本文档来自技高网...

【技术保护点】
1.一种移动设备加密U盾，其特征在于，包括：电路板及设置于电路板上的智能卡芯片，加密U盾上还设置有用于与移动终端连接，以实现与第三方APP之间通信的串行总线接口，串行总线接口包括SKF接口及加解密接口，其中，智能卡芯片包括身份认证模块及数据存储模块，身份认证模块通过SKF接口实现与移动终端的通信连接，用于检验用户PIN码及应用特征值，数据存储模块通过加解密接口实现与移动终端的通信连接，用于在用户身份认证通过后，通过加解密接口实现数据存储模块中加密数据的加解密存储。

【技术特征摘要】
2019.08.05 CN 20191071812651.一种移动设备加密U盾，其特征在于，包括：电路板及设置于电路板上的智能卡芯片，加密U盾上还设置有用于与移动终端连接，以实现与第三方APP之间通信的串行总线接口，串行总线接口包括SKF接口及加解密接口，其中，智能卡芯片包括身份认证模块及数据存储模块，身份认证模块通过SKF接口实现与移动终端的通信连接，用于检验用户PIN码及应用特征值，数据存储模块通过加解密接口实现与移动终端的通信连接，用于在用户身份认证通过后，通过加解密接口实现数据存储模块中加密数据的加解密存储。2.如权利要求1所述的移动设备加密U盾，其特征在于，所述身份认证模块包括：COS文件系统模块，用于在加密U盾出厂时创建、锁定并验证设备认证密钥，以及获取并校验用户的PIN码；用户身份鉴别模块，包括密码主管模块、管理员模块以及普通用户模块，用于分别针对不同的APP用户，授予不同权限；数字签名证书，用于在用户PIN码校验通过后验证U盾设备的特征值；终端授权证书，用于在用户PIN码校验通过后验证终端授权文件内容和签名值；数字签名根证书，用于验证终端授权证书的签名值；认证检验匹配模块，用于判断接入终端的合法性。3.如权利要求2所述的移动设备加密U盾，其特征在于，所述用户身份鉴别模块中，不同模块针对的APP用户及执行权限分别如下：密码主管模块：密码主管角色执行对送检产品的管理功能，包括设备认证、创建应用及删除应用；管理员模块：管理员在其管理员权限范围内解锁普通用户的PIN操作；普通用户模块：普通用户在其所在应用内获得操作权限认证后，能够进行会话密钥和非对称密钥的生成、导入、更新和使用操作。4.如权利要求3所述的移动设备加密U盾，其特征在于：所述密码主管模块中，创建应用时以密文方式导入管理员口令和用户口令。5.如权利要求1所述的移动设备加密U盾，其特征在于：所述COS文件系统模块包括：主控文件MF，其在加密U盾出厂阶段，COS下载成功即存在，设备认证密钥锁定时MF锁定，COS删除时MF一并删除；应用目录文件DF，其在主控文件MF下创建或删除，需验证设备认证密钥；基本文件EF，其在应用目录文件DF下创建或删除，受创建应用时指定的用户的PIN保护。6.如权利要求1所述的移动设备加密U盾，其特征在于：所述数据存储模块包括存储KEY区、存储加密区以及明文区，存储加密区及明文区分别用于存储加密数据及公开数据，存储KEY区用于存储用户的私钥以及数字证书、授权证书，在身份认证模块完成用户身份和终端授权验证后，完成存储加密区和明文区存储空间的读取权限控制。7.如权利要求1所述的移动设备加密U盾，其特征在于：所述加解密接口包括如下子接口：OpenDevice接口，其用于通过OpenDevice(inthDev)函数打开磁盘设备；CloseDevice接口，其用于通过CloseDevice(longhDev)函数关闭磁盘设备；ScanDevice接口，其用于通过ScanDevice(intguid)函数扫描磁盘设备；MountDevice接口，其用于通过MountDevice(byteindex)函数挂载文件系统，形成工作区域；UnMountDevice接口，其用于通过UnMountDevice(byteindex)函数卸载文件系统；GetCapacity接口，其用于通过GetCapacity(byteindex)函数获取工作区域的容量大小；GetLastCapacity接口，其用于通过GetLastCapacity(byteindex)函数获取工作区域的剩余容量大小；FileOpen接口，其用于通过FileOpen(byte[]path,byteattr)函数根据文件路径打开文件；FileClose接口，其用于通过FileClose(longhFile)函数关闭文件，及回收文件控制句柄。8.如权利要求7所述的移动设备加密U盾，其特征...

【专利技术属性】
技术研发人员：王继业，黄超，林黎鸣，苏簪铀，孔哲，葛亮，万宇，
申请(专利权)人：厦门亿力吉奥科技信息有限公司，中慧云控北京科技智能有限公司，
类型：发明
国别省市：福建,35