本发明涉及数字证书技术领域,并且更具体地,涉及基于税务数字证书的安全存储装置及方法。
背景技术:
u盘是一种通过usb接口和电子设备相连的通用型移动存储设备,具有大容量、低成本等优点,但存储在其中的数据没有安全保障,很容易被他人非法读出。
电子签名usbkey可以进行电子签名、验鉴电子签名和进行数据加解密运算的密码持有设备。电子签名usbkey保存有税务数字证书及证书私钥等数据,具有高安全性、便携性和安全策略灵活等众多优点。但是usbkey的存储容量通常只有数几十kb。
目前,u盘和usbkey这两类产品都无法满足大量数据安全存储应用的需求。
技术实现要素:
针对目前电子交易过程中生成的大量敏感数据存储时的信息安全的问题,本发明提供了基于税务数字证书的安全存储装置及方法。
第一方面,本发明提供一种基于税务数字证书的安全存储方法,包括以下步骤:
在接收到的针对位于大容量存储flash中的加密区的访问请求为写入待加密数据请求时,生成随机对称密钥并将所述随机对称密钥存储在安全芯片的第二norflash中;
采用固化在安全芯片的第一norflash中的国密sm1算法加密待加密数据,并将加密后数据存储在所述加密区中;
其中,大容量存储flash与所述安全芯片的第二norflash总线连接。
进一步地,所述的安全存储方法,在接收到针对位于大容量存储flash中的加密区的访问请求之前,还包括用户身份验证步骤:
将获取的用户访问口令与存储在安全芯片的第二norflash中的用户访问口令进行比对,以进行用户访问口令验证;
在用户访问口令验证为合法后,根据存储在安全芯片的第二norflash中的用户私钥和税务数字证书,采用固化在安全芯片的第一norflash中的身份认证算法,对用户进行身份认证。
进一步地,所述的安全存储方法,在用户身份验证步骤之后,还包括安全u盘分区信息查询步骤:
查询存储在安全芯片的第二norflash中的安全u盘分区信息,所述安全u盘分区信息包括:加密区容量、常规存储区容量、光盘存储区容量和隐藏区容量;
在所述加密区容量不为零时,接收针对所述加密区的访问请求;
在所述隐藏区容量不为零时,接收针对位于大容量存储flash中的隐藏区的访问请求;
在所述光盘存储区容量不为零时,接收针对位于大容量存储flash中的光盘存储区的访问请求;
在所述常规存储区容量不为零时,接收针对位于大容量存储flash中的常规存储区的访问请求。
进一步地,所述的安全存储方法,
在接收针对所述加密区的访问请求之前,
在接收针对所述隐藏区的访问请求之前,还包括用户加密口令验证步骤:
将获取的用户加密口令与存储在安全芯片的第二norflash中的用户加密口令进行比对,以进行用户加密口令验证;
在验证接收到的用户加密口令合法后,接收针对所述加密区的访问请求;
在验证接收到的用户加密口令合法后,接收针对所述隐藏区的访问请求。
进一步地,所述的安全存储方法,还包括:
根据接收到的针对隐藏区的访问请求,利用预先设置在安全芯片的第二norflash中的私有访问接口访问所述隐藏区;或
根据接收到的针对常规存储区的访问请求,访问所述常规存储区;或
根据接收到的针对光盘存储区的访问请求,访问所述光盘存储区。
进一步地,所述的安全存储方法,还包括:
在接收到的针对位于大容量存储flash中的加密区的访问请求为读取加密后数据请求时,从安全芯片的第二norflash中提取对应的随机对称密钥;
采用固化在安全芯片的第一norflash中的国密sm1算法解密所述加密后数据,并读取解密后数据。
进一步地,所述的安全存储方法,还包括安全u盘分区步骤:
根据获取的安全u盘分区指令,设置所述大容量存储flash中的加密区容量、常规存储区容量、光盘存储区容量和隐藏区容量并格式化各分区;
将加密区容量、常规存储区容量、光盘存储区容量和隐藏区容量组合为安全u盘分区信息,存储在安全芯片的第二norflash中。
进一步地,所述的安全存储方法,所述用户身份验证步骤中,
所述安全芯片的第二norflash中包括至少一个容器,每个容器中包括一组预先生成的用户私钥和税务数字证书;
根据所述安全芯片的第二norflash中的任一容器中的用户私钥和税务数字证书,采用固化在安全芯片的第一norflash中的身份认证算法,对用户进行身份认证。
第二方面,本发明提供一种基于税务数字证书的安全存储装置,包括:
加密区访问模块,用于在接收到的针对位于大容量存储flash中的加密区的访问请求为写入待加密数据请求时,生成随机对称密钥并将所述随机对称密钥存储在安全芯片的第二norflash中;
数据加密模块,用于在接收到的针对位于大容量存储flash中的加密区的访问请求为写入待加密数据请求时,采用固化在安全芯片的第一norflash中的国密sm1算法加密待加密数据,并将加密后数据存储在所述加密区中;
其中,大容量存储flash与所述安全芯片的第二norflash连接。
进一步地,所述的安全存储装置,
还包括用户身份验证模块,用于在接收到针对位于大容量存储flash中的加密区的访问请求之前,
将获取的用户访问口令与存储在安全芯片的第二norflash中的用户访问口令进行比对,以进行用户访问口令验证;
在用户访问口令验证为合法后,根据存储在安全芯片的第二norflash中的用户私钥和税务数字证书,采用固化在安全芯片的第一norflash中的身份认证算法,对用户进行身份认证。
本发明提供的基于税务数字证书的安全存储方法及装置,基于安全存储装置中的多功能一体化key将安全u盘与具备支持国税ca(税务数字证书)以及其它第三方ca的多功能一体化key(安全存储装置)相结合,能够提供完整的pki(publickeyinfrastructure,公钥基础设施)功能,为大容量敏感数据提供了安全存储的装置。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为本发明优选实施方式的基于税务数字证书的安全存储方法的流程示意图;
图2为本发明优选实施方式的基于税务数字证书的安全存储装置的组成示意图;
图3为本发明优选实施方式的基于税务数字证书的安全存储装置的安全存储装置软件架构图;
图4为本发明优选实施方式的基于税务数字证书的安全存储装置的生产流程图;
图5为本发明优选实施方式的基于税务数字证书的安全存储装置的量产流程图;
图6为本发明优选实施方式的基于税务数字证书的安全存储装置的安全u盘隐藏区使用流程图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
如图1和图6所示,本发明实施例的基于税务数字证书的安全存储方法,包括:
步骤s100:在接收到的针对位于大容量存储flash中的加密区的访问请求为写入待加密数据请求时,生成随机对称密钥并将所述随机对称密钥存储在安全芯片的第二norflash中;
步骤s200:采用固化在安全芯片的第一norflash中的国密sm1算法加密待加密数据,并将加密后数据存储在所述加密区中;
其中,大容量存储flash与所述安全芯片的第二norflash总线连接。
进一步地,该实施例的安全存储方法,在接收到针对位于大容量存储flash中的加密区的访问请求之前,还包括用户身份验证步骤:
将获取的用户访问口令与存储在安全芯片的第二norflash中的用户访问口令进行比对,以进行用户访问口令验证;
在用户访问口令验证为合法后,根据存储在安全芯片的第二norflash中的用户私钥和税务数字证书,采用固化在安全芯片的第一norflash中的身份认证算法,对用户进行身份认证。
进一步地,该实施例的安全存储方法,在用户身份验证步骤之后,还包括安全u盘分区信息查询步骤:
查询存储在安全芯片的第二norflash中的安全u盘分区信息,所述安全u盘分区信息包括:加密区容量、常规存储区容量、光盘存储区容量和隐藏区容量;
在所述加密区容量不为零时,接收针对所述加密区的访问请求;
在所述隐藏区容量不为零时,接收针对位于大容量存储flash中的隐藏区的访问请求;
在所述光盘存储区容量不为零时,接收针对位于大容量存储flash中的光盘存储区的访问请求;
在所述常规存储区容量不为零时,接收针对位于大容量存储flash中的常规存储区的访问请求。
进一步地,该实施例的安全存储方法,
在接收针对所述加密区的访问请求之前,
在接收针对所述隐藏区的访问请求之前,还包括用户加密口令验证步骤:
将获取的用户加密口令与存储在安全芯片的第二norflash中的用户加密口令进行比对,以进行用户加密口令验证;
在验证接收到的用户加密口令合法后,接收针对所述加密区的访问请求;
在验证接收到的用户加密口令合法后,接收针对所述隐藏区的访问请求。
进一步地,该实施例的安全存储方法,还包括:
根据接收到的针对隐藏区的访问请求,利用预先设置在安全芯片的第二norflash中的私有访问接口访问所述隐藏区;或
根据接收到的针对常规存储区的访问请求,访问所述常规存储区;或
根据接收到的针对光盘存储区的访问请求,访问所述光盘存储区。
进一步地,该实施例的安全存储方法,还包括:
在接收到的针对位于大容量存储flash中的加密区的访问请求为读取加密后数据请求时,从安全芯片的第二norflash中提取对应的随机对称密钥;
采用固化在安全芯片的第一norflash中的国密sm1算法解密所述加密后数据,并读取解密后数据。
进一步地,该实施例的安全存储方法,还包括安全u盘分区步骤:
根据获取的安全u盘分区指令,设置所述大容量存储flash中的加密区容量、常规存储区容量、光盘存储区容量和隐藏区容量并格式化各分区;
将加密区容量、常规存储区容量、光盘存储区容量和隐藏区容量组合为安全u盘分区信息,存储在安全芯片的第二norflash中。
进一步地,该实施例的安全存储方法,所述用户身份验证步骤中,
所述安全芯片的第二norflash中包括至少一个容器,每个容器中包括一组预先生成的用户私钥和税务数字证书;
根据所述安全芯片的第二norflash中的任一容器中的用户私钥和税务数字证书,采用固化在安全芯片的第一norflash中的身份认证算法,对用户进行身份认证。
如图2所示,本发明实施例的基于税务数字证书的安全存储装置,包括:
加密区访问模块10,用于在接收到的针对位于大容量存储flash中的加密区的访问请求为写入待加密数据请求时,生成随机对称密钥并将所述随机对称密钥存储在安全芯片的第二norflash中;
数据加密模块20,用于在接收到的针对位于大容量存储flash中的加密区的访问请求为写入待加密数据请求时,采用固化在安全芯片的第一norflash中的国密sm1算法加密待加密数据,并将加密后数据存储在所述加密区中;
其中,大容量存储flash与所述安全芯片的第二norflash连接。
进一步地,该实施例的安全存储装置,
还包括用户身份验证模块,用于在接收到针对位于大容量存储flash中的加密区的访问请求之前,
将获取的用户访问口令与存储在安全芯片的第二norflash中的用户访问口令进行比对,以进行用户访问口令验证;
在用户访问口令验证为合法后,根据存储在安全芯片的第二norflash中的用户私钥和税务数字证书,采用固化在安全芯片的第一norflash中的身份认证算法,对用户进行身份认证。
安全u盘是指设置有用户pin认证的加密盘。
目前,电子签名usbkey是软件厂商或应用程序用于识别及确认网络用户身份的有效工具,有利于保证用户数据的安全。
而usbkey与pki技术的结合使usbkey的应用领域从仅确认用户身份,到可以使用税务数字证书的所有领域。具体地,电子签名usbkey厂家基于pki技术,可以开发符合pki标准的安全中间件。usbkey厂家利用usbkey来保存税务数字证书和用户私钥,并对应用开发商提供符合pki标准的编程接口,如,pkcs#11、csp及国密接口,以便于应用开发商开发基于pki的应用程序。
使用时,电子签名usbkey作为一个软硬件结合的设备,与用户终端连接后,可以在线完成电子签名运算,验证电子签名运算和数据加解密运算,并可保存税务数字证书及证书私钥等数据,具有安全性高、便携性好、安全策略灵活多样等优点。
通常,usbkey的硬件采用智能卡芯片,该芯片底层的cos(chipoperatingsystem,即片内操作系统)与访问该usbkey的应用程序协同运行。应用程序只能通过厂商提供的编程接口访问芯片内存储的数据,从而保证了保存在usbkey中的税务数字证书无法被逆向复制。
更进一步地,应用程序在访问usbkey时,还设置有用户密码保护机制。该用户密码与usbkey相互关联,但usbkey的硬件或固件中并不保存该用户密码。至此,usbkey的硬件和用户密码共同构成了可以使用税务数字证书的两个必要条件。
若用户的用户密码被泄漏,用户只要保存好usbkey的硬件就可以避免自己的税务数字证书不被盗用;若用户的usbkey的硬件丢失,该硬件的获得者由于不知道与该硬件关联的用户密码,也就无法使用用户储存在usbkey中的税务数字证书。
另一方面,通常,usbkey的存储容量通常只有几十kb,不能满足大量数据存储的要求。
本发明实施例的基于税务数字证书的安全存储装置,支持多种税务数字证书,如国税ca、航信西部ca;同时具备安全u盘功能;具有多功能一体化key功能;其提供有完整的pki(publickeyinfrastructure,即公钥基础设施)功能;也提供大容量敏感数据存储功能。
如图1至图6所示,该多功能一体化key(安全存储装置)包括:主芯片,该主芯片可以采用智能卡芯片ac4;外部大容量存储flash,如slcflash(slc,single单阶存储单元)或mlcflash(multiple,多阶存储单元)或tlcflash(tlc,三阶存储单元),该大容量存储flash的存储容器可达128gb,该外部大容量存储flash主要用于安全u盘功能,用于存储敏感数据。
具体地,该ac4芯片内部包括2片norflash,其中一片norflash的容量为256kb,用于存放多功能一体化key的下位机程序;下位机程序主要实现包括massstorage、usbkeycos、外部大容量存储flash安全存储;另外一片norflash的容量为128kb,用于存储数据(如:usbkey证书)。
该多功能一体化key(安全存储装置)的软件架构图如图3所示。其中,usbkey可以用作身份认证系统客户端的税务数字证书介质,既用来存储用户私钥和税务数字证书等重要信息,同时又需要代表用户完成身份认证、数字签名和数字信封加密等密码运算,可以作为客户端重要的安全密码设备。
中间层接包括对pkcs#11接口、csp接口和国标接口的扩展。
该ac4芯片以硬件方式支持1024/2048位rsa和sm2非对称算法;支持ssf33、sm1、sm3、sm4等国密算法;支持des、3des等对称算法;支持sha-1、sha256摘要算法,其中国密算法已经通过国密检测机构的检测认证。
该ac4芯片的cos(chipoperatingsystem,即片内操作系统)可以根据需求进行定制或修改,如支持证书的导入、导出、证书的安全存储;支持数字签名、验证、加密、解密等功能;支持多种类型的密钥、及多个密钥的安全存储;支持多个应用,且每个应用之间相互独立;每个容纳密钥的容器至少可同时容纳2个税务数字证书及2对公私密钥对,且支持根证书的存取;
该多功能一体化key(安全存储装置)提供可以由用户使用的安全存储装置管理工具;该多功能一体化key(安全存储装置)即插即用,支持热插拔;支持插key自弹登录待访问的网站。
如图1至图6所示,具体地,外部大容量存储flash实现的安全u盘包括:cdrom只读光盘区、普通u盘区、加密u盘区和隐藏区,该可移动安全u盘或密盘容量为128gb。
这四个分区的空间大小在出厂初始化时已经配置完成,终端用户可以根据需要灵活调整各分区的具体空间大小。其中,空间为0时表示不存在与该分区名称对应的物理分区。
具体地,该cdrom只读光盘区可以通过光驱读写工具(如demon虚拟光驱)把iso文件烧入到该分区,烧写到该分区的程序可以独立地运行,烧写到该分区的数据可以被多次访问;该普通u盘区与常规的u盘使用方法相同,用来放置一般安全级别、可以公开的数据或文件;该加密u盘区则用于以密文形式将数据或文件存储在flash中,例如,随机产生对称密钥,并采用国密sm1算法加密文件或数据生成密文数据或文件。
该隐藏区则采用独立接口进行读写(如采用现有技术中的某个方法实现该独立接口),与该多功能一体化key(安全存储装置)采用usb接口连接的用户终端通过其文件系统(filesystem)查看不到该隐藏区,也即该隐藏区只对用户利用usbkey的用户密码的访问开放,并隔离在用户终端的文件系统之外。也即,该隐藏区的访问权限被设置为只有用户可以利用usbkey的用户密码访问该隐藏区并设置该隐藏区的访问权限。另一方面,隐藏区用于以密文形式将数据或文件存储在flash中,例如,随机产生对称密钥,并采用国密sm1算法加密文件或数据生成密文数据或文件。
该多功能一体化key(安全存储装置)的生产流程图如图3所示。
该多功能一体化key(安全存储装置)的安全u盘部分的生产流程图如图4所示。
综上,本发明实施例的基于税务数字证书的安全存储装置可以与多种用户终端连接,如电子发票系统、开票服务器、税务自助终端等,从而实现互联网应用系统的身份认证、客户端电子签章及大量数据安全存储等应用。
以下结合网上报税这一应用场景,对本发明提出的基于税务数字证书的安全存储方法进行说明。
本发明实施例的基于税务数字证书的安全存储装置,具有以下特点:
(1)安全存储装置提供完整的pki功能,通过了证书介质产品及中间层接口软件符合性测试,符合国税身份认证系统应用要求,支持国税总局电子印章等应用系统。
(2)安全存储装置在符合国税身份认证系统前提下,支持第三方ca(如航信西部ca)身份认证系统应用;在导入税务数字证书的前提下,仍然可以导入第三方ca的税务数字证书;多张税务数字证书可以分别独立地使用,相互并不影响。
(3)安全存储装置安全u盘区功能最大可分4个区:光盘区、普通u盘区、加密u盘区和隐藏区,可移动安全密盘容量可达128gb。存储在加密u盘区和隐藏区的数据均以密文的形式存储。
(4)加密u盘区在数据存储时,采用sm1算法对明文数据进行加密,并将密文保存在nandflash上。
sm1算法对称密钥在量产时随机产生,只有通过安全u盘的用户pin认证后,才能够访问加密盘;不能通过安全u盘的用户pin认证的对加密盘的访问请求,将被拒绝。
(5)隐藏区采用独立接口进行读写,利用pc系统的标准文件系统接口访问不了该隐藏区,只能采用该安全存储装置多功能一体化key预先设定的私有接口,并在通过安全u盘的用户pin认证后,才可以对此分区进行访问。
本发明实施例的安全存储装置多功能一体化key将安全u盘与具备支持国税ca(税务数字证书)以及其它第三方ca的多功能一体化key(安全存储装置)相结合,为大容量安全存储领域多种多样的需求提供了统一的解决方案。
本发明实施例的安全存储装置多功能一体化key具有良好的通用性,能够广泛用于高信息安全需求环境,如机关保密单位、财务系统、网络用户数据保密、税务系统等。
以上已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个//该[装置、组件等]”都被开放地解释为装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。
1.一种基于税务数字证书的安全存储方法,其特征在于,包括以下步骤:
在接收到的针对位于大容量存储flash中的加密区的访问请求为写入待加密数据请求时,生成随机对称密钥并将所述随机对称密钥存储在安全芯片的第二norflash中;
采用固化在安全芯片的第一norflash中的国密sm1算法加密待加密数据,并将加密后数据存储在所述加密区中;
其中,大容量存储flash与所述安全芯片的第二norflash总线连接。
2.根据权利要求1所述的安全存储方法,其特征在于,在接收到针对位于大容量存储flash中的加密区的访问请求之前,还包括用户身份验证步骤:
将获取的用户访问口令与存储在安全芯片的第二norflash中的用户访问口令进行比对,以进行用户访问口令验证;
在用户访问口令验证为合法后,根据存储在安全芯片的第二norflash中的用户私钥和税务数字证书,采用固化在安全芯片的第一norflash中的身份认证算法,对用户进行身份认证。
3.根据权利要求2所述的安全存储方法,其特征在于,在用户身份验证步骤之后,还包括安全u盘分区信息查询步骤:
查询存储在安全芯片的第二norflash中的安全u盘分区信息,所述安全u盘分区信息包括:加密区容量、常规存储区容量、光盘存储区容量和隐藏区容量;
在所述加密区容量不为零时,接收针对所述加密区的访问请求;
在所述隐藏区容量不为零时,接收针对位于大容量存储flash中的隐藏区的访问请求;
在所述光盘存储区容量不为零时,接收针对位于大容量存储flash中的光盘存储区的访问请求;
在所述常规存储区容量不为零时,接收针对位于大容量存储flash中的常规存储区的访问请求。
4.根据权利要求3所述的安全存储方法,其特征在于,
在接收针对所述加密区的访问请求之前,
在接收针对所述隐藏区的访问请求之前,还包括用户加密口令验证步骤:
将获取的用户加密口令与存储在安全芯片的第二norflash中的用户加密口令进行比对,以进行用户加密口令验证;
在验证接收到的用户加密口令合法后,接收针对所述加密区的访问请求;
在验证接收到的用户加密口令合法后,接收针对所述隐藏区的访问请求。
5.根据权利要求4所述的安全存储方法,其特征在于,还包括:
根据接收到的针对隐藏区的访问请求,利用预先设置在安全芯片的第二norflash中的私有访问接口访问所述隐藏区;或
根据接收到的针对常规存储区的访问请求,访问所述常规存储区;或
根据接收到的针对光盘存储区的访问请求,访问所述光盘存储区。
6.根据权利要求1所述的安全存储方法,其特征在于,还包括:
在接收到的针对位于大容量存储flash中的加密区的访问请求为读取加密后数据请求时,从安全芯片的第二norflash中提取对应的随机对称密钥;
采用固化在安全芯片的第一norflash中的国密sm1算法解密所述加密后数据,并读取解密后数据。
7.根据权利要求1所述的安全存储方法,其特征在于,还包括安全u盘分区步骤:
根据获取的安全u盘分区指令,设置所述大容量存储flash中的加密区容量、常规存储区容量、光盘存储区容量和隐藏区容量并格式化各分区;
将加密区容量、常规存储区容量、光盘存储区容量和隐藏区容量组合为安全u盘分区信息,存储在安全芯片的第二norflash中。
8.根据权利要求2所述的安全存储方法,其特征在于,所述用户身份验证步骤中,
所述安全芯片的第二norflash中包括至少一个容器,每个容器中包括一组预先生成的用户私钥和税务数字证书;
根据所述安全芯片的第二norflash中的任一容器中的用户私钥和税务数字证书,采用固化在安全芯片的第一norflash中的身份认证算法,对用户进行身份认证。
9.一种基于税务数字证书的安全存储装置,其特征在于,包括:
加密区访问模块,用于在接收到的针对位于大容量存储flash中的加密区的访问请求为写入待加密数据请求时,生成随机对称密钥并将所述随机对称密钥存储在安全芯片的第二norflash中;
数据加密模块,用于在接收到的针对位于大容量存储flash中的加密区的访问请求为写入待加密数据请求时,采用固化在安全芯片的第一norflash中的国密sm1算法加密待加密数据,并将加密后数据存储在所述加密区中;
其中,大容量存储flash与所述安全芯片的第二norflash连接。
10.根据权利要求9所述的安全存储装置,其特征在于,
还包括用户身份验证模块,用于在接收到针对位于大容量存储flash中的加密区的访问请求之前,
将获取的用户访问口令与存储在安全芯片的第二norflash中的用户访问口令进行比对,以进行用户访问口令验证;
在用户访问口令验证为合法后,根据存储在安全芯片的第二norflash中的用户私钥和税务数字证书,采用固化在安全芯片的第一norflash中的身份认证算法,对用户进行身份认证。
技术总结