安全TF卡简介

1.  概述

C*CORE 大容量高性能安全TF卡，是以国芯安全芯片CCM3304S为基础，设计开发的一款复合产品，既能作为普通SD卡存储数据，也能作为SD-KEY，支持包括Windows、Linux、Android等多种操作系统，支持SSF33/SM1 / SM2 / SM3 / SM4  DES/AES/ RSA1024 / RSA2048等算法，可广泛应用在高清视频监控、PKI认证、数字签名和数据安全存储等方面。

TF卡上位机接口符合GM/T 0016《智能密码钥匙密码应用接口规范》，TF卡固件层接口符合GM/T 0017《智能密码钥匙密码应用接口数据格式规范》。

2. 产品功能

2.1   SD KEY

SD KEY是一种将USB KEY功能集成在SD卡中的产品，卡内置的安全模块通过SD接口提供各种安全应用，如证书存储、数字签名/认证、访问权限控制、数据（实时）加解密和数据安全存储等，可以涵盖目前U盾的所有功能。可以将USB KEY的应用领域从PC扩展到手持式设备上，如PDA、手机等。

2.2   大容量安全存储

大容量高性能安全TF卡目前最大可支持128GB容量，支持SD2.0协议，满足高速存储应用；支持国密算法，可以作为安全存储使用。在数据安全存储应用方面有一套完整的技术解决方案，可以根据客户要求定制。可以实现以下功能：

（1）卡上数据加密、可以设置国密算法作为加密算法、密钥是在量产时采用内部随机数生成密钥，使用根密钥保护存储；

（2）卡上数据隐藏、隐藏区不可见，需要特殊定制接口访问隐藏区数据，需要用户登录后方可访问；

3. 性能指标

4. 产品外观

5. 产品资质

商用密码产品二级，商密测试过程中测试了数字签名认证、证书管理、密钥管理(包括Sessionkey和非对称的公私钥)，三级密钥结构等，随机数、安全芯片内部生成的使用钥及Sessionkey等外部不可明文获取，保证了密钥的安全性和唯一性，敏感信息通信保护，保证信息的安全和可靠传输。

6. 设备功能

    6.1 数字签名认证

       国芯TF卡设备的数字签名流程及数据组织方式如下：

       每一个应用（网银，）会对应不同的配置文件，配置文件类型由应用标识决定，该应用标识定义在指令的包头内。配置文件设置了每个应用的识别方法、对应的显示和确认方式。

       设备 COS提供2条COS指令，1条COS指令接收交易报文并计算和返回HASH值，1条COS指令接收HASH值并计算和返回签名值。用于HASH计算的COS指令，其交易报文包括报头和报体。报头内指明是否需要签名、应用标识，报体为需要计算HASH的交易数据。如果报头指明不需要签名，设备计算报体对应的HASH值并返回。如果报头指明需要签名，设备除了返回计算的HASH值外，还会根据包头内的应用标识找到相应配置文件，并且保留收到的交易报文和计算出的HASH值。

       收到请求签名的COS指令时，为了防止HASH值被恶意修改，与上条HASH计算的COS指令的结果进行比较，若不相符，拒绝接受签名请求；以上检查通过后，检查是否具有使用本私钥签名的权限，若无则拒绝接受签名请求；读取设备内保留的交易报文的报体，根据报体识别出交易的应用类型。

    6.2 数据加解密

  国芯TF卡设备提供对称加解密功能及对称算法的密钥管理。

       设备提供对对称算法的密钥进行管理的功能，设备提供相应的COS指令完成包括新建、删除、更新对称算法密钥的功能。对称算法密钥在设备内部存储不会以明文的形式出现在设备以外。

       另外设备具备多种对称加解密算法，包括DES、3DES、SM1、SM4等国内外标准算法。设备支持加解密功能在设备内运算，保证加解密密钥不出设备。

使用对称加解密功能第三方应用也可以使用该功能进行身份认证，例如网银，手机银行，第三方支付应用等应用场景。使用对称密钥作为用户身份认证的凭据。

    6.3 PIN码认证

PIN码功能是保护TF卡内相应密钥的使用，某些敏感密钥必须通过PIN码验证以后才能使用，例如私钥或一些对称密钥。

PIN码由数字、字母及特殊字符组成并区分大小写，长度6-16位。

PIN码有最大尝试次数限制，保护TF卡的PIN码不被穷举攻击破解。达到尝试次数限制的PIN码会被锁定，锁定的TF卡可以通过管理员PIN解锁或者重新初始化并清空用户数据来解除锁定。

    6.4 安全存储

国芯TF卡存在安全区域如隐藏区，该区域用户不可见，采用专用接口访问隐藏区，隐藏区内数据加密存储，量产时加密密钥随机生成，由根密钥保护存储在EFLASH区域，访问隐藏区需要做PIN码认证后才可以访问，写入的数据会自动使用内置算法进行加密存储，使用特定接口读取数据时会自动解密处理。

隐藏区域用来存储客户敏感信息，访问隐藏区的PIN可以与SKF接口的PIN相同，也可以为独立PIN，安全性更高。

7. 兼容性

TF卡无需安装驱动，可直接适用于32位和64位的Windows 10及以上操作系统、Linux及基于Linux的国产操作系统、鸿蒙、Android 5.1及以上系统；

TF卡支持适配信创硬件平台环境，包括不限于飞腾、龙芯、海光等国产CPU平台。

TF卡支持适配信创环境，包括不限于统信、银河麒麟等国产操作系统；

TF卡支持配合量子密钥的申请、写入、存储、读取、回收等全生命周期管理的功能；

TF卡支持无驱动设计，防止安装干扰。

8. 典型应用  

n  视频监控

n  网上银行

n  文件加密

n  CA中心

n  电子政务

n  版权控制

n  安全办公

n  安全邮件

  9. 技术支持

     n 完整的开发环境

     n 丰富的驱动库

     n 完善的应用解决方案