ukey设备以及国密SKF、CSP和PKCS#11规范介绍

已于 2023-06-08 10:12:26 修改
阅读量5.6k 收藏 10
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 网络安全 文章标签: 安全 密码学
于 2023-06-07 18:31:10 首次发布
原文链接:https://www.cnblogs.com/peterYong/p/14441996.html#_label0
USBKey是一种硬件设备,用于存储证书和私钥,确保密码安全。常见的接口规范包括微软的CSP、RSA的PKCS#11和中国的国密SKF标准。CSP是微软的加密服务提供者接口,国密SKF接口则确保了不同品牌USBKey的兼容性,PKCS#11是密码设备的标准接口。这些接口用于开发与USBKey交互的应用程序。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ukey设备

  • USB Key的中文大名是智能密码钥匙,它是一种USB接口的硬件设备,内置芯片,有一定的存储空间,可以存储证书和私钥。凡是使用私钥进行的运算,都是在USB Key中完成。USB Key可随身携带,在需要使用时才接入电脑,进一步降低了私钥外泄的风险。再加上通用性强,价格亲民,因此是使用最为广泛的密码安全工具之一。
  • 使用USB Key时,需要调相应的接口。目前有三种密码规范的接口可以使用。

密码规范

  • 目前常用的密码规范或者标准有3套:CSP,PKCS#11和国密标准。

  • CSP接口

    • CSP,全名为加密服务提供者(Cryptographic Service Provider),是微软定义的一套密码服务API。

  • 国密SKF接口

    • 针对支持国密算法USB KEY设备的应用,国家颁布一个行业标准《智能密码钥匙应用接口规范》(GM/T0016-2012),
    • 市面上销售的国密算法的USB KEY设备也都(其实也是必须)支持这个接口规范。因此,只要根据这个规范开发的应用程序,就可以兼容使用不同厂家及品牌的USB KEY产品。
    • 由于此规范中函数名称都以SKF开头,所以我们一般把按照此规范提供的设备开发接口库叫做SKF库或SKF接口。
    • 信息安全技术 智能密码钥匙应用接口规范

  • PKCS#11接口

    • 在RSA有一个著名的公钥算法的实验室,这个实验室颁发的一系列行业标准就称作为PKCS标准,其中PKCS#11(简称P11)就是针对密码设备的接口指令标准。

参考

GO:windows & linux下调用ukeyskf库示例(七侠镇莫尛貝大侠_20240911
七侠镇莫小贝的同福客栈
09-10 1049
GO:windows下调用ukeyskf库示例
cfca 接口_CFCA SM2数字证书申请及证书应用CSP接口调用规范v3.0.5.pdf
weixin_39890543的博客
12-19 2170
CFCA SM2数字证书申请及证书应用CSP接口调用规范v3.0.5CFCA SM2 数字证书申请及证书应用CSP 接口调用规范(版本:3.0.5 )中国金融认证中心2014 年08 月15 日版权声明:本文档的版权属于中国金融认证中心,任何人或组织未经许可,不得擅自修改、拷贝或以其它方式使用本文档中的内容。文档修订记录本文档会随时保持更新,请与中国金融认证中心索要最新版本。版本 ...
【IoT】 产品开发:CSPSKFPKCS#11接口简介
产品线负责人
10-16 6018
1、CSP接口标准 微软的加密应用接口,专为WIN32应用程序设计。 CryptoAPI本身不实现密码运算相关操作,而是操作系统通过调用CryptoSPI函数接口相应的加密服务提供者函数(CSP)来实现。 CSP的主要概念为: 容器(key container)、sessionkey、hashobject。 CSP是通过容器来组织密钥。一个容器可以存放两个RSA密钥对,一个用于签名验证,一个用于加解密。此外每个用户在加密对话期间还会随机产生许多会话密钥,CSP比较简单,只有23个函数。 2、P1
智能密码钥匙(SKF)密码机(SDF)标准接口实现会话密钥协商
weixin_38700215的博客
06-25 2518
GM/T 0016-2012 智能密码钥匙密码应用接口规范》定义了一系列使用智能密码钥匙的接口函数结构体,其接口函数以SKF_开头。SDFSKF函数通过标准函数实现SM2密钥协商(即SM2密钥协商协议:通过交换中间参数各自生成会话密钥,会话密钥不出卡不出加密机,一次一密)实现客户端与服务端的加密通信。注:一个智能密码钥匙(USBKEY)可以创建多个应用,每个应用可以创建多个容器,每个容器里有两对公私钥对,分别是签名密钥对加密密钥对。3)发送发起方公钥临时公钥(上面的公钥临时公钥);
OpenSSL引擎 + PKCS11 + SoftHSM2认证
最新发布
qq_35223473的博客
06-19 1020
在金融、军工等高安全领域,是保护加密密钥的黄金标准。本文将深度剖析HSM核心组件的工作原理,并手把手教你搭建基于SoftHSM2的双向认证系统,实现企业级安全架构。
智能密码钥匙Ukey应用接口规范
03-30
智能密码钥匙密码应用接口规范。本标准规定了基于PKI密码体制的智能密码钥匙密码应用接口,描述了密码应用接口的函数、数据类型、参数的定义设备安全要求。
记录成功通过CSP接口获取Ukey的X509数字证书过程
esiangchioa的博客
06-28 1869
所谓CPS接口其实就是windowAPI ,其实就是wincrypt.h提供的接口
PKCS#11的应用--USBKEY
TCP/IP
07-19 8384
ssl是一个安全协议,为互联网应用提供了安全,数字证书被证明能够带来比单纯的密码或者指纹,瞳孔认证之类的方式更安全的保护,可是如此安全的机制需要一个安全的基层平台,事实证明计算机并不是一个足够安全的平台,计算机好比公共汽车,而操作系统以及C库的调用规范或者安全级别的设计被视为道德,众做周知道德不是强制的,它只在遵守它的实体中间起作用,比如堆栈的使用提供了强有力的安全机制性能因素,可是还可以用于溢出,即使有弥补的方法也不能彻底根治,实为道高一筹魔高一丈,本质上说计算机是一个不安全的模型,公用内存就是黑客
PKCS11标准(中文版)
03-03
这是PKCS #11 v2.11密码令牌接口标准,详细描述了PKCS11的各种技术概念开发标准,主要提供给开发人员,用于系统的设计、开发。
PKCS11读取UKEY例子
08-26
PKCS11,全称“Public-Key Cryptography Standards #11”,是由RSA安全公司发起的一套接口标准,用于实现对硬件安全模块(如智能卡、USB Key、硬件加密芯片等)的操作,包括加密、解密、签名、验证等功能。...
pkcs#11标准中文文档
01-29
关于pkcs#11标准库接口的中文文档,很详细,对于初学者要使用pkcs#11标准接口来说,非常有用。
Ukey指令手册
09-26
ukey指令文档,包含所有ukey执行指令等等,usbkey通讯指令
csp接口说明
01-29
csp接口说明,标准微软接口说明,开发使用,中文版本可以对照学习csp
skf接口手册.zip_skf_国密 skf SGSKFAPI_国密skf_国密skf原理_国密接口
07-13
SKF接口国密接口使用说明文档,结构体、接口说明、错误码等
PKCS11密码令牌接口标准中文版.pdf
06-21
PKCS#11是一种密码令牌接口标准,它定义了一个用于加密安全令牌的通用API。...PKCS#11标准又称为Cryptographic Token Interface Standard...PKCS#11作为一种广泛支持的标准,确保了不同设备系统间的互操作性一致性。
海泰方圆国密ukey csp调用
01-09
要调用海泰方圆国密ukey csp,首先需要了解其提供的功能接口规范,然后在程序中引入相应的库文件头文件。在编写代码时,可以根据具体的需求调用不同的函数,例如生成密钥、加密数据、解密数据等。在调用过程中,...
PKCS11获取USBKEY最好的例子
05-19
通过深入研究源代码,你可以学习到如何处理各种PKCS11调用,以及如何适配不同的USB KEY设备。 总的来说,掌握PKCS11USB KEY的使用对于任何需要在不安全环境中保护敏感数据的应用程序都是非常有价值的。无论是金融...
可以支持openssl3.0 provider方式接口的U盾有哪些?
03-12
<think>好的,我需要回答用户关于支持OpenSSL 3.0 Provider接口的U盾产品的问题。首先,我需要确认OpenSSL 3.0的Provider接口是什么,以及U盾产品通常如何与OpenSSL集成。 OpenSSL 3.0引入了Provider概念,允许模块化地加载加密算法实现。U盾作为硬件安全模块(HSM),可能需要通过Provider接口与OpenSSL交互。接下来,我需要查找支持这一接口的U盾品牌型号。 查阅资料,发现多数主流厂商如Feitian、Yubico、Gemalto可能有相关产品。例如,Feitian的ePass系列部分型号支持OpenSSL集成。需要进一步验证这些产品是否明确支持OpenSSL 3.0的Provider API。此外,查看厂商的官方文档或联系技术支持是必要的步骤,因为兼容性可能因固件版本而异。同时,用户可能需要配置OpenSSL的配置文件来加载对应的Provider,如修改openssl.cnf文件。 最后,建议用户直接咨询厂商获取最新支持信息,并参考开发文档进行集成。注意引用相关来源,如厂商的说明或技术文档,确保回答的准确性。</think>### 支持 OpenSSL 3.0 Provider API 的 U盾产品信息 OpenSSL 3.0 引入了 **Provider 接口**,允许通过模块化方式加载加密算法实现。U盾(硬件安全模块,HSM)需通过该接口与 OpenSSL 集成以实现硬件加速的加密操作。以下是目前已知的部分支持或可能兼容的 U盾品牌及型号: 1. **Feitian(飞天诚信)** - **ePass 系列**(如 ePass3000、ePass2003):部分型号支持 OpenSSL 引擎模式,需通过厂商提供的驱动适配 OpenSSL 3.0 Provider[^1]。 - **技术文档**:需在配置文件中加载动态库,例如: ```conf openssl.cnf 中添加: providers = provider_ufeitian provider_ufeitian = module = /usr/lib/ufeitian.so ``` 2. **Yubico YubiKey** - **YubiKey 5 系列**:通过 PKCS#11 接口或 OpenSC 工具链支持 OpenSSL,需借助 `libp11` 库适配 Provider 接口[^2]。 3. **Gemalto(金雅拓)** - **IDPrime 系列**:部分型号支持 PKCS#11 标准,需通过中间层封装为 OpenSSL Provider。 4. **Safenet(赛孚耐)** - **eToken 5100/5200**:需通过厂商提供的 CSP(加密服务提供程序)或自定义引擎适配。 ### 验证与配置步骤 - **确认兼容性**:联系厂商技术支持,确认固件版本是否支持 OpenSSL 3.0 Provider。 - **驱动安装**:安装最新驱动或 SDK,部分厂商需单独下载 Provider 模块。 - **配置文件修改**:在 OpenSSL 配置中加载 U盾的 Provider 模块,例如: ```conf [provider_section] default = default ukey = ukey_provider [ukey_provider] module = /path/to/ukey-provider.so ``` ### 注意事项 - **开发文档**:参考厂商提供的 OpenSSL 集成指南,例如 Feitian 的《ePass OpenSSL 开发手册》。 - **算法支持**:需明确 U盾是否支持所需算法(如 SM2/SM4 国密算法)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值