本发明专利技术涉及信息安全技术领域,尤其涉及一种可以实现信息在传输过程中的保密性、完整性和不可抵赖性的套件库,特别涉及一种基于USBKEY的安全套件库系统。本发明专利技术的一种基于USBKEY的安全套件库系统,其利用相关PKI技术、安全认证技术及国产加解密算法等,向上层用户提供的加密接口库,实现使用不同的加密和签名算法产生密钥,交换密钥、数据的加密验证,利用该套件库可以实现信息在传输过程中的保密性、完整性和不可抵赖性。
【技术实现步骤摘要】
【专利摘要】本专利技术涉及信息安全
,尤其涉及一种可以实现信息在传输过程中的保密性、完整性和不可抵赖性的套件库,特别涉及一种基于USBKEY的安全套件库系统。本专利技术的一种基于USBKEY的安全套件库系统,其利用相关PKI技术、安全认证技术及国产加解密算法等,向上层用户提供的加密接口库,实现使用不同的加密和签名算法产生密钥,交换密钥、数据的加密验证,利用该套件库可以实现信息在传输过程中的保密性、完整性和不可抵赖性。【专利说明】—种基于USB KEY的安全套件库系统
本专利技术涉及信息安全
,尤其涉及一种可以实现信息在传输过程中的保密性、完整性和不可抵赖性的套件库,特别涉及一种基于USB KEY的安全套件库系统。
技术介绍
近十年来,信息技术尤其是计算机网络技术得到了飞速发展。人们得益于信息革命带来的巨大机遇的同时,不得不面对信息安全问题的严峻考验。为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制,保证传输数据的认证、完整性、机密性和不可否认性。PKI (PublicKeyInfrastructure,即公钥基础设施)技术以数字证书为媒介,通过对证书的使用和管理,可在网络信息交流中实现身份认证并保证信息传输的安全性。USBKey中存储了数字证书和对应的私钥,并且不允许私钥导出即使USB Key丢失也有口令保护,不会造成私钥的随意泄漏,正是USB Key的小巧、方便易用以及高安全可靠性,使得它的应用范围越来越广,在证书系统中成为重要载体。由于CSP和PKCS#11是目前PKI体系中应用最广泛的两种基于硬件加密设备的接口标准,让这两者之间兼容具有重要的现实意义。目前,常用的硬件设备有HIDKey和PC/SC接口 KEY,屏蔽这些KEY的差异性可以使得硬件的选择更灵活。
技术实现思路
为了解决现有技术的问题,本专利技术提供了一种基于USB KEY的安全套件库系统,其利用相关PKI技术、安全认证技术及国产加解密算法等,向上层用户提供的加密接口库,实现使用不同的加密和签名算法产生密钥,交换密钥、数据的加密验证,利用该套件库可以实现信息在传输过程中的保密性、完整性和不可抵赖性。本专利技术所采用的技术方案如下: 一种基于USB KEY的安全套件库系统,其从下往上分为3层:硬件抽象层、功能实现层以及接口封装层,其中, 所述的硬件抽象层封装了硬件特性,屏蔽了硬件的具体实现细节,为功能实现层提供一个统一的卡片操作函数; 所述的功能实现层位于套件库的中间层,用于完成设备管理、加密解密以及文件管理的功能; 所述的接口封装层用于将功能实现层完成的功能进行封装。功能实现层由设备管理模块、认证模块、卡文件系统模块、RSA密钥和散列模块和软件算法模块构成,其中, 所述的设备管理模块用于设备信息的获取和设备的连接; 所述的认证模块分为外部认证和密码口令认证,外部认证在建立卡文件系统之前使用,经过外部认证,可达到可以创建文件的权限,从而可以建立卡文件系统所需要的各种文件;密码ロ令认证又分为SO PIN认证和用户密码认证。接ロ封装层将完成的功能封装成两种接ロ,分别为CSP接口和PKCS#11接ロ。本专利技术提供的技术方案带来的有益效果是: 本专利技术的一种基于USB KEY的安全套件库系统,该套件库是用来向上层用户提供的加密接ロ库,主要包括CSP和PKCS#11两部分,PKCS#11和CSP相互兼容,以满足人们在CSP环境下申请证书,在PKCS#11环境使用证书的要求。该套件库的结构从下往上分为3层:硬件抽象层、功能实现层以及接ロ封装层。硬件抽象层主要封装了硬件特性,能够屏蔽HIDKey和PC/SC接ロ的KEY的差异性;功能实现层实现了设备管理、加密解密以及文件管理等重要功能,为封装层和底层开发用户提供了方便、友好的接ロ ;接ロ封装层主要对功能实现层封装成CSP接口和PKCS#11接ロ。本专利技术的一种基于USB KEY的安全套件库系统,其每ー层次完成相对比较独立的功能,这种架构层次分明,以方便以后的升级和维护。该套件库以数字证书为媒介,通过对证书的使用和管理,可在网络信息交流中实现身份认证并保证信息传输的安全性。【专利附图】【附图说明】图1为本专利技术的一种基于USB KEY的安全套件库系统的系统结构图。【具体实施方式】为使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术实施方式作进ー步地详细描述。实施例一 如附图1所示,本实施例的一种基于USB KEY的安全套件,其结构从下往上分为3层:硬件抽象层、功能实现层以及接ロ封装层,具体实现如下: 一、硬件抽象层: 硬件抽象层封装了硬件特性,屏蔽了硬件的具体实现细节,为功能实现层提供ー个统一的卡片操作函数。目前,常用的有HID Key和PC/SC接ロ KEY,该接ロ能够屏蔽这些KEY的差异性。该部分是对硬件抽象层接ロ的定义,大部分函数均用到句柄概念,主要包括:连接KEY容器、建立接口上下文、连接虚拟读卡器、ニ进制文件的创建、读写、删除、密钥的创建等等接ロ。ニ、功能实现层: 功能实现层的位于套件库的中间层,该部分完成设备管理、加密解密以及文件管理等重要功能,是套件库的核心部分。主要功能是卡片文件系统,完成卡片资源空间的分配和回收,同时该层对硬件抽象层进一歩封装,为接ロ封装层提供更友好的界面,同时该层可供底层开发用户使用。该层为CSP接ロ封装层提供ー个类似于PC机文件管理系统、同时又具有加密等功能的服务,它将所有数据对象抽象成为ー个文件,简化了加密操作。该层为CSP层和底层开发用户提供了方便、友好的接ロ。同时该层实现PKCS#11的基本功能,如对象管理模块。具体设计如下: 1、设备管理模块设备管理主要用于设备信息的获取和设备的连接。设备管理提供了卷标、设备标识、虚拟读卡器名称、TokenID等多种设备信息用于设备的记忆和设备的区分 2、认证模块 认证分为外部认证和PIN (密码)口令认证。外部认证主要在建立卡文件系统之前使用,经过外部认证,可达到可以创建文件的权限,从而可以建立卡文件系统所需要的各种文件;PIN 口令认证又分为SO PIN认证和USER PIN认证,SO PIN认证功能类似于外部认证,同时它又解锁USER PIN的功能;而^£1? PIN认证只在卡文件结构建立之后使用,PIN 口验证通过后,达到了预设定的安全级别,才能使用RSA密钥进行签名解密操作; 3、卡文件系统模块 CSP用到多种数据对象,如容器、证书、密钥,这些对象统一视为文件,通过文件类型进行区分。文件类型包括资源文件、容器文件、证书文件、密钥文件和普通文件;每种类型文件使用不同的文件ID空间;可对这些文件进行创建,删除,读写,枚举等操作操作; 4、RSA密钥和散列模块 如果硬件加密解密、签名验证要求输入的数据符合PKCS#1标准,则由该层完成相应的数据填充,返回数据时则除去相应的填充内容; 5、软件算法4、 软件算法实现DES算法,其它算法根据需要进行扩充。DES算法支持8字节密钥、16字节密钥以及24字节密钥,应用模块支持CBC,EBC等。三、接口封装层: 1、封装CSP接口 在功能实现层已经实现了大部本文档来自技高网...
【技术保护点】
一种基于USB?KEY的安全套件库系统,其从下往上分为3层:硬件抽象层、功能实现层以及接口封装层,其中,所述的硬件抽象层封装了硬件特性,屏蔽了硬件的具体实现细节,为功能实现层提供一个统一的卡片操作函数;所述的功能实现层位于套件库的中间层,用于完成设备管理、加密解密以及文件管理的功能;所述的接口封装层用于将功能实现层完成的功能进行封装。
【技术特征摘要】
【专利技术属性】
技术研发人员:梁媛,刘刚,
申请(专利权)人:浪潮电子信息产业股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。