[发明专利]智能密码钥匙密码验证方法

说明书

技术领域

本发明涉及的是一种信息安全领域的智能密码钥匙密码验证的方法，具体的说，涉及的是一种基于CSP或PKCS11#接口或COS智能密码钥匙密码验证的方法。

背景技术

随着互联网的普及，密码钥匙已广泛应用于电子商务、电子政务等领域，如网上银行、电子支付等。作为网络用户身份识别和数据保护的“智能密码钥匙”，智能密码钥匙这种智能加密存储设备结合了智能卡技术、PKI（PublicKeyInfrastructure）技术和USB接口技术，内置了单片机或智能卡芯片，有一定的安全存储空间，可以存储用户的公钥、私钥以及数字证书，利用智能密码钥匙内置的公钥算法可以实现对用户身份的认证。

然而智能密码钥匙在给用户带来使用便利的同时，也给相关产品的安全检测、安全审计和监管提出了挑战。例如，某些违反国家规范的智能密码钥匙产品（如国外的大水牛(Buffalo)、圣天狗(Sentinel)等，国内的“英超神盾”等），打着“加密狗”、UKey等其他产品名称，在市场上非法销售；有些智能密码钥匙在市场上销售的产品指标（如算法、参数、性能等）和产品说明书中描述有所不同，存在各种违规使用的情况，最典型的案例有：说明中支持各种国产算法，但实际产品却只支持一些国外算法，其加密强度较弱（如DES/3DES等），加密信息容易被破解，以次充好。这些违规智能密码钥匙产品如果流入重要信息系统和网络，将会给政府部门及企业的电子政务、电子商务等应用带来严重的安全隐患。

为了保护密码产品用户的信息资产安全，规范智能密码钥匙产品市场，以及安全检测、安全审计和监管的需要，必须对智能密码钥匙产品的生产、使用行为进行取证分析，以便有据可循、有序可控地进行管理。然而，传统的智能密码钥匙产品检测技术不仅复杂，耗费周期长，而且检测设备规模庞大，难以适应现场分析、现场取证的状况，因此迫切需要研究和改进智能密码钥匙产品监管方面的技术和手段，加强取证分析力度，提高管理效率和水平。

发明内容

本发明的目的在于针对上述现有技术的不足，提供一种利用CSP或PKCS#11接口或COS途径为智能密码钥匙产品进行密码算法验证的方法，该方法实现比较简单，设备规模很小，可以很好的适应现场分析、现场取证。

本发明是通过以下技术方案实现的，本发明首先需要检测智能密码钥匙是否插入，在确认被检测智能密码钥匙插入后，利用CSP或PKCS#11接口或者COS途径来进行密码算法验证，验证完成后与已存在的算法验证库进行对比，如果都通过说明该智能密码钥匙产品是合格的。由于不同的智能密码钥匙产品支持的算法类型不同，因而只需要通过其产品所声明支持的算法验证即可。

本发明包括如下步骤：

步骤一：检测智能密码钥匙是否插入；

步骤二：利用利用CSP或PKCS#11接口或者COS途径来进行密码算法验证，需要验证智能密码钥匙中声明的所有算法；

步骤三：将步骤二中所有算法结果与基础信息数据库、密码算法基准数据库中的结果进行对比并输出结果。

所述的步骤一，具体为：智能密码钥匙的插入检测分为两个步骤：USB接口设备插入检测、判断设备是否为合法智能密码钥匙。首先，利用Linux系统提供的sys/socket.h中的recv()函数来检测USB设备的插入和拔出。Recv函数的原型为：

intPASCALFARrecv(SOCKETs,charFAR*buf,intlen,intflags)；

程序首先初始化第一个socket参数。当有USB设备插入或拔出时，设备的插拔字符信息会保存在buf字符串中。由于插入一个设备后会导致多次地调用recv函数，因此当检测到USB设备插入后，程序首先通过buf字符串的特征来判断插入的USB设备是否已经存在，如果已经存在，则不作处理；如果检测到插入的是新的设备，则对其进行登记，并保存在一个称作exist的数组中。当检测到有新的USB设备插入后，程序调用pkcs11f.h的C_OpenSession函数（该文件及函数来自于PKCS#11的密码令牌接口标准）。因此，如果该函数返回异常状态，则说明该USB设备不是智能密码钥匙；如果函数返回正常结果，可判断该设备是智能密码钥匙。