USBKEY接口系统及与USBKEY连接的方法与流程

本发明涉及数据安全处理技术领域，具体地，涉及一种usbkey接口系统及与usbkey连接的方法。

背景技术：

随着数字技术和网络技术的不断发展和成熟，信息安全成为人们关注的重中之重。usbkey面世以来，极大丰富和提升了各类电子应用的安全解决方案，usbkey是一种usb接口的硬件设备。它内置安全芯片，有一定的存储空间，可以存储用户私钥以及数字证书，利用usbkey内置的公钥算法实现对用户身份的认证。由于用户私钥保存在安全芯片中，理论上使用任何方式都无法读取，因此保证了用户认证的安全性。

pki(publickeyinfrastructure，即公钥基础设施)能够为所有网络透明地提供加密和数字签名等密码服务所需的密钥和证书管理功能，能够提供认证、访问控制、数据完整性、机密性和不可否认性等核心安全服务。由于pki提供了良好的安全平台，全球很多单位都开发了各种pki软硬件密码设备。但不同单位的加密接口不尽相同，为用户开发和设备无关的加密应用带来不便。为了解决加密接口问题，目前已经形成了多种api国际标准，其中pki推荐使用的api标准有pkcs#11和microsoftcryptoapi(csp)等。

usbkey厂家将usbkey与pki技术相结合，开发出了符合pki标准的安全中间件，利用usbkey来保存数字证书和用户私钥，并对应用开发商(如替银行开发网上银行系统的开发商)提供符合pki标准的编程接口，以便于开发基于pki的应用程序。

由于usbkey自身的硬件结构决定了用户只能通过厂商编程接口访问数据，这就保证了保存在usbkey中的用户私钥无法被复制，并且每一个usbkey都带有密码保护，这样usbkey的硬件和密码构成了可以使用证书的两个必要因子。由于usbkey在证书存储方面的优越性，越来越多的ca、银行和用户选择了usbkey作为证书存储介质。

目前使用最多的pki标准主要有pkcs#11、csp标准，而国家密码管理局在2011年也制定了相关的国密接口标准(以下简称“国密接口”)，因不同厂家可能采用以上三种不同的标准提供各自独立的中间件接口库，使得应用开发商每选择一种usbkey，均要按其提供的pki标准接口库开发独立的上层应用。而应用开发商在使用不同usbkey设备以及不同的标准接口库时，对上层应用的兼容性提出很大的考验，且程序冗余性增大，复杂程度高，存在缺陷的可能性较大。

技术实现要素：

本发明的目的是提供一种usbkey接口系统及与usbkey连接的方法，该系统及方法将不同标准接口模块封装成一个统一的接口模块，为上层应用提供一套统一的接口模块，从而降低因接口标准及usbkey设备不同而带来的额外开发工作量，提高设备及系统的兼容性，节约硬件及程序资源。

为了实现上述目的，本发明提供一种usbkey接口系统，包括：接口组件，用以将所述usbkey的不同的接口标准转换为统一的接口标准，通过该接口组件将不同接口标准的usbkey接入用户终端；通信组件，用以实现所述接口组件和所述usbkey之间的通信。

优选地，所述接口组件包括：公共密钥标准pkcs#11接口模块、加密服务提供者csp标准接口模块和国密标准接口模块，其中，公共密钥标准pkcs#11接口模块、加密服务提供者csp标准接口模块和国密标准接口模块中的任一者的一端与通信组件连接；和统一接口模块，其一端连接上述三种接口模块中的任一者的另一端，其另一端连接用户终端。

优选地，所述通信组件包括：设备枚举模块，用以获取连接到该系统的若干个所述usbkey的设备信息；设备打开模块，用以根据用户指令打开指定的usbkey；和命令执行模块，用以：接收用户经由所述接口组件发送的指令，将该指令转换为所述usbkey接收的格式并传送到所述usbkey；和接收所述usbkey针对所述指令进行操作后的响应报文，并将该响应报文返回给所述接口模块。

优选地，所述统一接口模块包括：功能子模块，用以根据用户的指令执行相应的操作；和属性子模块，用以获取所述设备枚举模块的所述usbkey的设备信息。

优选地，所述功能子模块执行的操作包括：签名、签名验证、加密、解密、证书验证、文件操作或生成对称密钥；所述属性子模块记录的设备信息包括：证书信息、证书信息解析、设备信息解析和pin信息。

本发明还提供一种使用上述usbkey接口系统与usbkey连接的方法，包括：根据用户选择的usbkey选通相应的标准接口模块，通过该标准接口模块建立与所选择的usbkey的连接。

优选地，在用户选择usbkey前，获取所述usbkey的设备信息，该设备信息至少包括：设备名称和接口标准。

优选地，该方法还包括：在用户选择usbkey前，更新所述usbkey的证书。

优选地，该方法还包括：判断用户是否登录，若用户没有登录，则进行个人标识号pin权限验证；若用户已经登录，则将相应操作发送到所述选择的usbkey；其中，所述操作包括签名、签名验证、加密、解密、证书验证、文件操作或生成对称密钥中的任一种或几种。

优选地，该方法还包括：设置配置表，用以记录所述获取的usbkey的标准信息。

通过上述技术方案，将常用的pkcs#11接口模块、csp标准接口模块和国密标准接口模块封装在该usbkey中，通过统一接口模块与上层应用连接，通信组件连接usbkey的芯片操作cos系统和封装有上述三个模块的接口组件。当用户通过该usbkey接口系统插入一个或若干个usbkey设备时，接口组件首先更新设备功能函数(updatedev())，通信组件的设备枚举模块列举连接到该usbkey接口系统的一个或若干个usbkey的设备信息，如设备的名称、证书信息等。统一接口模块的属性子模块获取上述usbkey的设备信息，上层应用得到该设备信息后，根据配置表中的pki标准库类型，如pkcs#11标准、csp标准和国密标准枚举每一种标准所涉及的列举的设备，并将设备信息中相关属性载入设备列表函数中。用户选择某一个usbkey后，通过接口组件中对应该usbkey的接口标准模块，向通信组件的设备打开模块发送指令，打开该选中的usbkey。上层应用的用户指令依次通过接口组件的功能子模块、相应的标准接口和通信组件的命令执行模块，发送到usbkey的cos系统，用以执行签名、签名验证、加密、解密、证书验证、文件操作或生成对称密钥等操作指令。本发明的usbkey接口系统，封装了常用的若干种标准接口，转换为统一的接口，满足用户对不同usbkey设备以及不同标准接口库的使用需求，简化用户操作流程，并降低复杂性风险性。通过硬件实现方式简化了操作系统底层程序，提高了密钥运算速度，为统一接口库密钥运算以及上层应用密钥服务提供了可靠的密码支撑。

本发明的其它特征和优点将在随后的具体实施方式部分予以详细说明。

附图说明

附图是用来提供对本发明的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本发明，但并不构成对本发明的限制。在附图中：

图1是本发明一种实施方式的usbkey接口系统结构示意图；

图2是本发明另一种实施方式的usbkey接口系统结构示意图；

图3是本发明另一种实施方式的usbkey接口系统结构示意图；

图4是本发明另一种实施方式的usbkey接口系统结构示意图；

图5是使用本发明一种实施方式的usbkey接口系统与usbkey连接的方法流程图；

图6是另一种实施方式的使用本发明的usbkey接口系统与usbkey连接的方法流程图；

图7是本发明一种实施方式的usbkey接口系统在密码服务证书服务操作中调用流程。

具体实施方式

以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明，并不用于限制本发明。

本发明提供一种usbkey接口系统，包括：接口组件100，用以将所述usbkey的不同的接口标准转换为统一的接口标准，通过该接口组件将不同接口标准的usbkey接入用户终端；通信组件200，用以实现所述接口组件和所述usbkey之间的通信。

上述方案中，接口组件100一端用以连接用户终端，另一端和通信组件200连接，通信组件的另一端连接usbkey，对usbkey芯片操作系统cos300进行操作。

芯片操作系统cos300作为usbkey的底层，用以实现usbkey的操作包括签名、签名验证、加密、解密、证书验证、文件操作或生成对称密钥等，保证了系统的安全可靠性，是整个系统的基石。

所述的通信组件200连接cos300以及接口组件100，起到安全通信纽带的作用。所述的接口组件100用以将不同接口标准，例如csp接口模块、pkcs#11接口模块以及国密标准接口模块封装成一个统一接口模块，对于上层应用而言，所需要兼容的不再是三个独立接口模块，而是只需一个与统一接口标准对应的接口即可，极大程度上满足了应用开发商及用户对usbkey设备及接口标准的不同需求，且接口调用更加简单方便。

图2是本发明另一种实施方式的usbkey接口系统结构示意图。如图2所示的本发明另一种实施方式的usbkey接口系统，所述接口组件包括：公共密钥标准pkcs#11接口模块124、加密服务提供者csp标准接口模块122和国密标准接口模块126，其中，公共密钥标准pkcs#11接口模块124、加密服务提供者csp标准接口模块122和国密标准接口模块126中的任一者的一端与通信组件连接；和统一接口模块110，其一端连接上述三种接口模块中的任一者的另一端，其另一端连接用户终端。

图3是本发明另一种实施方式的usbkey接口系统结构示意图。如图3所示的本发明另一种实施方式的usbkey接口系统，所述通信组件200包括：设备枚举模块220，用以获取连接到该系统的若干个所述usbkey的设备信息；设备打开模块230，用以根据用户指令打开指定的usbkey；和命令执行模块240，用以：接收用户经由所述接口组件100发送的指令，将该指令转换为所述usbkey接收的格式并传送到所述usbkey；和接收所述usbkey针对所述指令进行操作后的响应报文，并将该响应报文返回给所述接口组件100。

图4是本发明另一种实施方式的usbkey接口系统结构示意图。如图4所示的本发明另一种实施方式的usbkey接口系统，所述统一接口模块110包括：功能子模块113，用以根据用户的指令执行相应的操作；和属性子模块112，用以获取所述设备枚举模块220的所述usbkey的设备信息。

根据本发明一种实施方式，所述功能子模块113执行的操作包括：签名、签名验证、加密、解密、证书验证、文件操作或生成对称密钥；所述属性子模块112记录的设备信息包括：证书信息、证书信息解析、设备信息解析和pin信息。

通信组件200用以完成连接通信任务。该通信组件200包括设备枚举模块220(deviceenum())、设备打开模块230(deviceopen())以及命令执行模块240(deviceexeccmd())。设备枚举模块220可列举通过该usbkey接口系统连接到用户终端的usbkey的设备信息，供用户选择。设备打开模块230用于打开一个当前被选定的usbkey设备，连接用户终端与被选中的usbkey设备，为后续命令做准备。命令执行模块240用于接收接口组件100发送给usbkey的cos系统300的命令报文，并转换成usbkeycos系统300接收的格式传送到usbkey的cos系统300；同时接收usbkey的usbkey的cos系统300处理后的响应报文，返回给接口组件100。

所述的接口组件100用以将不同接口标准的csp接口模块122、pkcs#11接口模块124以及国密标准接口模块126封装输出一个统一接口模块110，对于上层应用而言，所需要兼容的不再是三个独立接口模块，而是只需一个与统一接口模块110对应的接口即可，极大程度上满足了应用开发商及用户对usbkey设备及接口标准的不同需求，且接口调用更加简单方便。

接口组件100主要为上层应用提供签名验签，证书服务，加解密等相关安全密码服务。目前，csp是通过容器来组织密钥；pkcs#11没有容器概念，其对密钥数据的保存和组织主要通过对象，pkcs#11定义了三种对象类型：数据对象，证书对象和密钥对象；国家密码管理局在2011年制定的相关的国密接口标准，其标准在上层方面借鉴或参考了csp接口，存在容器的概念，在底层操作上借鉴或参考了pkcs#11接口，有对象的标准。因此将三种接口库封装成一个统一接口模块110具有可行性。

所述的统一接口模块110分为功能子模块113和属性子模块112。功能子模块113主要用以接收上层用户的指令，根据用户的指令执行相应的操作，包括签名、签名验证、加密、解密、证书验证、文件操作和生成对称秘钥等。属性子模块112，用以获取通过该usbkey接口系统连接到用户终端的usbkey的设备信息，包括证书信息、证书信息解析、设备信息、设备信息解析和pin操作等。

与上层应用接入的接口组件100的数据传输，对于上层应用用户而言，只需维护一张配置表(config.ini)即可，配置表中只需列出用户用到的每个usbkey设备信息，每个usbkey设备种类包括：设备名称和接口标准(csp/pkcs#11/国密接口)，例如还包括pki接口库绝对路径。用户通过调用接口组件100定义的统一接口模块110即可方便安全的调用到所需的三种接口模块中的任一者。

图5是使用本发明一种实施方式的usbkey接口系统与usbkey连接的方法流程图。如图5所示的另一种实施方式的使用本发明的usbkey接口系统与usbkey连接的方法，包括：在步骤410中，根据用户选择的usbkey选通相应的标准接口模块，在步骤420中，通过该标准接口模块建立与所选择的usbkey的连接。

图6是使用本发明一种实施方式的usbkey接口系统与usbkey连接的方法流程图。如图6所示的使用本发明一种实施方式的usbkey接口系统与usbkey连接的方法，该方法还包括：在用户选择usbkey前，在步骤401中，获取所述usbkey的设备信息，该设备信息至少包括：设备名称和接口标准。

根据本发明一种实施方式，该方法还包括：在用户选择usbkey前，在步骤402中，更新所述usbkey的证书。

根据本发明一种实施方式，该方法还包括：在步骤430中，判断用户是否登录，若用户没有登录，则在步骤440中，进行个人标识号pin权限验证，而后在步骤450中，将相应操作发送到所述选择的usbkey；若用户已经登录，则在步骤450中，将相应操作发送到所述选择的usbkey；其中，所述操作包括签名、签名验证、加密、解密、证书验证、文件操作或生成对称密钥中的任一种或几种。

根据本发明一种实施方式，该方法还包括：在步骤400中，设置配置表，用以记录所述获取的usbkey的标准信息。

上述方案中，当用户通过该usbkey接口系统插入一个或若干个usbkey设备时，首先更新设备功能函数(updatedev())，获取设备列表，和更新usbkey的证书，获取连接到该usbkey接口系统的一个或若干个usbkey的设备信息，如设备的名称、证书信息等。得到该设备信息后，根据配置表中usbkey的pki标准库类型，如pkcs#11标准、csp标准和国密标准枚举每一种标准所涉及的列举的设备，用户选择某一个usbkey后，选通与该usbkey的对应的标准接口模块，打开该选中的usbkey，建立与该选中的usbkey的连接。上层应用的用户指令判断是否是用户登录，如是，则将相应指令发送到所选择的usbkey的cos系统，用以执行签名、签名验证、加密、解密、证书验证、文件操作或生成对称密钥等操作指令。如用户没有登录，则进行个人标示号pin权限验证。本发明的通过usbkey接口系统与usbkey连接的方法，满足用户对不同usbkey设备以及不同接口标准的使用需求，简化用户操作流程，并降低运行的复杂性。

图7是本发明一种实施方式的usbkey接口系统在密码服务证书服务操作中调用流程。如图5所示的本发明一种实施方式的usbkey接口系统在密码服务证书服务操作中调用流程如下：

1、用户插入一个或若干个usbkey设备，在步骤510中，更新设备列表：接口组件的统一接口模块首先更新设备功能函数(update_dev())，通信组件的设备枚举模块列举连接到该usbkey接口系统的一个或若干个usbkey的设备信息，如设备的名称、证书信息等。统一接口模块的属性子模块获取上述usbkey的设备信息，上层应用得到该设备信息后，根据配置表(config.ini)中的pki标准库类型(csp/pkcs#11/国密)枚举每一种标准接口模块所涉及的设备，并将设备相关属性列入设备列表(devicelist)中。

2、在步骤520中，更新证书列表：依次更新每一个usbkey设备中的证书(updatecer())，将枚举到的证书列入证书列表(certificatelist)中。

3、在步骤530中，选择设备/证书，关联到相对应的pik标准接口模块，例如csp接口模块、pkcs#11接口模块或国密标准接口模块：用户根据弹出的证书列表框或设备列表框选择所需的证书或设备。用户选择证书或者设备时，统一接口模块已经根据用户选择连接到相关联的标准接口模块(csp/pkcs#11/国密接口模块三者之一)中。

4、在步骤540中，判断用户是否已经登录：判断是否有操作权限，若没有登录，则在步骤550中，执行登录操作，提示用户输入pin验证权限。

5、在步骤560中，用户送入签名验签、证书操作等密码服务命令数据：根据用户需求，调用签名验签、证书验证、加密解密等相关接口。统一接口模块接口函数收到用户命令报文，经由已建立连接的pki标准接口模块依次传送给通信组件、操作系统底层。

6、在步骤570中，命令数据送入下层处理，并返回响应数据给统一接口模块：命令数据送入下层即通信组件的命令执行模块，进一步送到usbkey的芯片操作系统cos进行处理，并返回响应数据给统一接口模块统一接口模块接收到下层传送回来的响应报文返回给用户终端，完成安全密码服务。

以上结合附图详细描述了本发明的优选实施方式，但是，本发明并不限于上述实施方式中的具体细节，在本发明的技术构思范围内，可以对本发明的技术方案进行多种简单变型，这些简单变型均属于本发明的保护范围。

另外需要说明的是，在上述具体实施方式中所描述的各个具体技术特征，在不矛盾的情况下，可以通过任何合适的方式进行组合。为了避免不必要的重复，本发明对各种可能的组合方式不再另行说明。

此外，本发明的各种不同的实施方式之间也可以进行任意组合，只要其不违背本发明的思想，其同样应当视为本发明所公开的内容。