安全U盘KEY简介

1. 概述

C*Core安全U盘KEY是USB KEY和安全U盘的复合产品，可广泛应用在PKI认证、数字签名、数据（实时）加解密和数据安全存储等方面。

 

2. 产品功能

2.1 USB KEY

USB KEY即密码钥匙是用作基于公钥体系PKI的数字证书和私钥的安全载体，提供128K用户空间。密钥对在USB KEY内生成或者导入，私钥不能导出，确保证书持有人的信息安全。同时采用“硬件+ 密码”的双重验证，必须有USB KEY插入计算机，且验证其密码后才能使用，保证数字证书和私钥的合法使用。

2.2  安全U盘

安全U盘默认有三个分区（分区数取决于量产方案），分别是ISO光盘、普通存储区和安全存储区。

ISO光盘中放置客户自定义程序，如登陆工具、帮助文档等。

普通存储区为通用存储区，可任意读写数据。

安全存储区为加密区，输入密码后才能使用，输入密码错误超出6次后启动保护机制，安全U盘和密码钥匙均被锁定。

安全存储区也可配置成隐藏存储区，隐藏区不显示盘符，用户不可见，内部无文件系统，需要通过特定接口库才能读写隐藏区中的数据，隐藏区中数据加密存储，算法需要量产时设置，密钥在量产时取随机数作为密钥，用根密钥保存。

3.  性能指标

4.  产品尺寸

MUDP尺寸15*11.4*1.4mm。

UDP尺寸24.8*11.4*1.4mm。

UDP外壳尺寸：

 5.  设备功能

    5.1 数字签名认证

       国芯安全U盘Key设备的数字签名流程及数据组织方式如下：

       每一个应用（网银，）会对应不同的配置文件，配置文件类型由应用标识决定，该应用标识定义在指令的包头内。配置文件设置了每个应用的识别方法、对应的显示和确认方式。

       设备 COS提供2条COS指令，1条COS指令接收交易报文并计算和返回HASH值，1条COS指令接收HASH值并计算和返回签名值。用于HASH计算的COS指令，其交易报文包括报头和报体。报头内指明是否需要签名、应用标识，报体为需要计算HASH的交易数据。如果报头指明不需要签名，设备计算报体对应的HASH值并返回。如果报头指明需要签名，设备除了返回计算的HASH值外，还会根据包头内的应用标识找到相应配置文件，并且保留收到的交易报文和计算出的HASH值。

       收到请求签名的COS指令时，为了防止HASH值被恶意修改，与上条HASH计算的COS指令的结果进行比较，若不相符，拒绝接受签名请求；以上检查通过后，检查是否具有使用本私钥签名的权限，若无则拒绝接受签名请求；读取设备内保留的交易报文的报体，根据报体识别出交易的应用类型

    5.2 数据加解密

       国芯安全U盘Key设备提供对称加解密功能及对称算法的密钥管理。

       设备提供对对称算法的密钥进行管理的功能，设备提供相应的COS指令完成包括新建、删除、更新对称算法密钥的功能。对称算法密钥在设备内部存储不会以明文的形式出现在设备以外。

       另外设备具备多种对称加解密算法，包括DES、3DES、SM1、SM4等国内外标准算法。设备支持加解密功能在设备内运算，保证加解密密钥不出设备。

使用对称加解密功能第三方应用也可以使用该功能进行身份认证，例如网银，手机银行，第三方支付应用等应用场景。使用对称密钥作为用户身份认证的凭据。

    5.3 PIN码认证

PIN码功能是保护安全U盘Key内相应密钥的使用，某些敏感密钥必须通过PIN码验证以后才能使用，例如私钥或一些对称密钥。

PIN码由数字、字母及特殊字符组成并区分大小写，长度6-16位。

PIN码有最大尝试次数限制，保护U盘Key的PIN码不被穷举攻击破解。达到尝试次数限制的PIN码会被锁定，锁定的U盘Key可以通过管理员PIN解锁或者重新初始化并清空用户数据来解除锁定。

    5.4 安全存储

国芯安全U盘Key可以划分安全区域如隐藏区，该区域用户不可见，采用专用接口访问隐藏区，隐藏区内数据加密存储，量产时加密密钥随机生成，由根密钥保护存储在EFLASH区域，访问隐藏区需要做PIN码认证后才可以访问。

隐藏区域用来存储客户敏感信息，访问隐藏区的PIN可以与SKF接口的PIN相同，也可以为独立PIN，安全性更高。

6. 产品资质

商用密码产品二级，商密测试过程中测试了数字签名认证、证书管理、密钥管理(包括Sessionkey和非对称的公私钥)，三级密钥结构等，随机数、安全芯片内部生成的使用钥及Sessionkey等外部不可明文获取，保证了密钥的安全性和唯一性，敏感信息通信保护，保证信息的安全和可靠传输。

7. 兼容性

安全UKey无需安装驱动，可直接适用于32位和64位的Windows 10及以上操作系统、Linux及基于Linux的国产操作系统；

安全UKey卡支持适配信创硬件平台环境，包括不限于飞腾、龙芯、海光等国产CPU平台。

安全UKey卡支持适配信创环境，包括不限于统信、银河麒麟等国产操作系统；

安全UKey支持适配鸿蒙、安卓系统，支持OTG方式和非OTG方式进行使用；

安全UKey支持量子密钥的申请、写入、存储、读取、回收等全生命周期管理的功能；

安全UKey支持无驱动设计，防止安装干扰

8. 典型应用

n  网上银行

 

n  文件加密

n CA中心

n  电子政务

n  版权控制

n  安全办公

n  安全邮件

9. 技术支持

  n 完整的开发环境

n  丰富的驱动库

n  完善的应用解决方案