智能密码钥匙是实现密码运算、密钥管理功能的终端密码设备,使用USB接口形态,业内通
用的名称USBKey、UKey、U盾等。
国密标准中智能密码钥匙相关规范
01 | GMT 0016-2012智能密码钥匙密码应用接口规范
该标准规定了基于PKI密码体制的智能密码钥匙应用接口,描述密码应用接口的函数、数据类型、参数定义及设备安全要求。简称SKF接口,是C语言应用开发接口。
设备商基本都会为其产品提供配套的SKF接口开发包。当信息系统的开发商具备此类型接口集成能力时,可以通过标准SKF完成密码应用。但是,SKF是一个底层应用开发接口,对信息系统开发者来说,完成一些高层密码应用功能,开发的工作量较大,此时也可以通过设备商提供的语言无关的二次开发接口(如restful API)来完成密码应用。
SKF接口在PKI密码体系中的位置跟SDF接口类似,都可以算作密码设备应用接口,用以支撑上层应用程序完成业务。
02 | GMT 0017-2012智能密码钥匙密码应用接口数据格式规范
该标准在0016的基础上,进一步规定了数据访问接口,从数据类型、数据格式、参数描述和定义、安全性等方面进行了具体描述,供设备生产商参照进行产品开发。
作为SKF接口的补充,数据格式规范在应用层次关系中的位置如下图:
03 | GMT 0027-2014 智能密码钥匙技术规范
该标准规定了智能密码钥匙的功能要求、硬件要求、软件要求、性能要求、安全要求、环境适应性要求和可靠性要求等,用于相关产品的开发、测试、检测参考。
04 | GMT 0063-2018智能密码钥匙密码应用接口检测规范
该标准规定了智能密码钥匙应用接口的检测环境、内容及方法。厂商可以据此反向指导产品开发和使用。
一个典型的智能密码钥匙应用场景
智能密码钥匙最典型的应用场景之一就是身份认证了。身份认证服务提供一种鉴别实体真伪的方法。下图就是一种使用UKey进行数字证书登录的认证流程。
智能密码钥匙的典型接口选择参考
1.首先是在硬件驱动层面,可以选择:
- USB MS协议的接口,支持主流的windows和linux系统。
- HID人机接口,支持主流windows、linux、Mac OS系统。
- CCID接口,设备可以通过USB接口与主机或其他嵌入式主机连接,进行复核CCID标准的数据通讯。
2.USB MS接口与HID接口应用较多
虽然针对操作系统来讲是免驱,但不同厂家的内部协议处理有差异,软件接口上必须依赖特定厂家的SKF接口库。
所以在软件接口层面,为了方便信息系统更便捷完成高层密码应用,在SKF接口之外,厂商可以提供更丰富的应用集成接口。比如安当UKey就在国密认证以及国密接口的基础上,提供了方便集成的Restful风格的API接口,信息系统通过安当中间件调用密码应用,可以大大降低开发工作量和集成难度。对于身份认证类应用,还可以结合安当ASP身份认证平台,完成更多的用户管理、权限控制、日志管理的功能。