[发明专利]一种移动设备加密U盾

说明书

本发明涉及一种移动设备加密U盾，包括：电路板以及设置于电路板上的智能卡芯片，加密U盾上还设置有用于与移动终端连接，以实现与第三方APP之间通信的串行总线接口，串行总线接口包括SKF接口及加解密接口，其中，智能卡芯片包括身份认证模块及数据存储模块，身份认证模块通过SKF接口实现与移动终端的通信连接，用于检验用户PIN码及应用特征值，数据存储模块通过加解密接口实现与移动终端的通信连接，用于在用户身份认证通过后，通过加解密接口实现数据存储模块中加密数据的加解密存储。本发明可保证移动作业中用户的安全认证和信息的安全存储，使个人手机在一般网络环境下也可以安全使用。

技术领域

本发明涉及信息安全技术领域，具体涉及一种移动设备加密U盾。

背景技术

随着移动互联网、物联网技术的发展和移动智能终端的普及，在行业应用、政务办公等领域，传统的使用限制应用程序装载或网络访问的掌上专用电脑,或专线专网专用终端的移动作业手段，已无法满足移动智能互联网时代下的移动应用需求,场景化、智能化的移动办公、移动作业等应用需求愈发强烈,同时，对敏感信息的网络安全传输和数据安全存储方面的要求愈加严苛。

基于此应用背景下，有必要提供一种新的技术手段或介质，以解决电子政务、电子商务、行业应用方面的移动办公环境下需要解决的信息安全问题。

发明内容

为解决现有技术存在的不足，本发明提供了一种移动设备加密U盾，包括：电路板及设置于电路板上的智能卡芯片，加密U盾上还设置有用于与移动终端连接，以实现与第三方APP之间通信的串行总线接口，串行总线接口包括SKF接口及加解密接口，其中，

智能卡芯片包括身份认证模块及数据存储模块，身份认证模块通过SKF接口实现与移动终端的通信连接，用于检验用户PIN码及应用特征值，数据存储模块通过加解密接口实现与移动终端的通信连接，用于在用户身份认证通过后，通过加解密接口实现数据存储模块中加密数据的加解密存储。

其中，所述身份认证模块包括：

COS文件系统模块，用于在加密U盾出厂时创建、锁定并验证设备认证密钥，以及获取并校验用户的PIN码；

用户身份鉴别模块，包括密码主管模块、管理员模块以及普通用户模块，用于分别针对不同的APP用户，授予不同权限；

数字签名证书，用于在用户PIN码校验通过后验证U盾设备的特征值；

终端授权证书，用于在用户PIN码校验通过后验证终端授权文件内容和签名值；

数字签名根证书，用于验证终端授权证书的签名值；

认证检验匹配模块，用于判断接入终端的合法性。

其中，所述用户身份鉴别模块中，不同模块针对的APP用户及执行权限分别如下：

密码主管模块：密码主管角色执行对送检产品的管理功能，包括设备认证、创建应用及删除应用；

管理员模块：管理员在其管理员权限范围内解锁普通用户的PIN操作；

普通用户模块：普通用户在其所在应用内获得操作权限认证后，能够进行会话密钥和非对称密钥的生成、导入、更新和使用操作。

其中，所述密码主管模块中，创建应用时以密文方式导入管理员口令和用户口令。

其中，所述COS文件系统模块包括：

主控文件MF，其在加密U盾出厂阶段，COS下载成功即存在，设备认证密钥锁定时MF锁定，COS删除时MF一并删除；

应用目录文件DF，其在主控文件MF下创建或删除，需验证设备认证密钥；

基本文件EF，其在应用目录文件DF下创建或删除，受创建应用时指定的用户的PIN保护。