一种安全KEY设备的自动适配方法和系统与流程

本发明涉及一种安全领域，尤其涉及一种对安全KEY设备进行自动适配的方法和系统。

背景技术：

随着电子商务和PKI应用的兴起，数字证书作为确认用户身份和保护用户数据有效手段越来越被人们所接受。然而数字证书实质上表现为带有用户信息和密钥的一个数据文件，如何保护数字证书本身又成为PKI体系中最薄弱的环节。数字证书可以保存在各种存储介质上，如软盘、硬盘等。国内CA早期颁发的数字证书都是以软盘的形式发放，或者由用户从网络上下载，然后导入到系统中保存在硬盘上。然而，用软盘保存数据是非常不可靠和不安全的，软盘虽然便于携带，却非常容易损坏，而用硬盘保存数据虽然不容易损坏，但是不便于携带，更致命的是不论用硬盘还是用软盘保存数字证书都非常容易被复制或被病毒破坏。虽然一般数字证书都带有密码保护，然而一旦证书被非法复制，整个安全系统的安全性就降低到仅仅靠密码保护的级别。于是，专门用于存储秘密信息的安全Key设备等就很自然的成为数字证书的最佳载体。

安全Key设备厂家将安全Key设备与PKI技术相结合，开发出了符合PKI标准的安全中间件，利用安全Key设备来保存数字证书和用户私钥，并对应用开发商提供符合PKI标准的编程接口如PKCS#11和MSCAPI，以便于开发基于PKI的应用程序。由于安全Key设备本身作为密钥存储器，其自身的硬件结构决定了用户只能通过厂商编程接口访问数据，这就保证了保存在安全Key设备中的数字证书无法被复制，并且每一个安全Key设备都带有PIN码保护，这样安全Key设备的硬件和PIN码构成了可以使用证书的两个必要因子。如果用户PIN码被泄漏，只要保存好安全Key设备的硬件就可以保护自己的证书不被盗用，如果用户的安全Key设备丢失，获得者由于不知道该硬件的PIN码，也无法盗用用户存在安全Key设备中的证书。与PKI技术的结合使安全Key设备的应用领域从仅确认用户身份，到可以使用数字证书的所有领域。

附图1给出了现有技术中安全Key设备适配的一种实现框图。

该系统中包括APP业务层，Key接口控制层，以及安全Key设备，包括：厂商A Uey，厂商B TFKey，厂商C TFKey。

该技术首先进行系统初始化，根据用户所使用的安全Key设备，要求用户在APP界面选择对应的所使用的安全Key设备类型后，然后程序再进行下一步确认要使用设备接口去调用 对应的硬件设备，从而进行设备的各种操作功能。

上述技术是将选择使用设备的权限交由用户进行判断选择，用户需要确认自己所使用的安全Key设备类型，否则如果选择设备类型与所使用设备不匹配，则将出现错误，从而降低了软件易用性；如果需要新增一种或多种设备类型，那么就要求开发人员从APP视图层到底层模块都需要进行二次开发，增加开发工作量，增加研发成本，也不利于后期维护工作。

本申请中主要解决安全Key设备的自动匹配功能，不需要让用户关心根据所使用的安全Key设备来选择设备类型，由设备管理器自动进行适配，将适配结果通知各个模块。如果新增一种或多种安全Key设备，只需要将新增安全Key设备驱动接口按照标准规范进行封装，不需要修改其他模块代码即可兼容新增安全Key设备。

技术实现要素：

为解决上述技术问题，本发明提出了1.一种安全KEY设备的自动适配方法，该方法包括如下步骤：

1)检测到所述安全KEY设备的插入；

2)获取指定目录下的所有安全KEY设备驱动，并选择第一个所述安全KEY设备驱动进行适配；

3)将选择的所述安全KEY设备驱动与所述插入的所述安全KEY设备进行适配；

4)如果适配成功，则将匹配结果通知其他功能模块，结束适配过程；

5)如果适配失败，判断是否已经将所有获取的所述安全KEY设备驱动与所述安全KEY设备进行了适配，如果是，则结束适配过程，否则选择下一个未适配的所述KEY设备驱动进行适配，跳转到步骤3)。

在又一个实施例中，所述步骤1)-5)由设备管理模块执行，在执行所述步骤1)之前，需要对设备管理模块进行初始化操作。

在又一个实施例中，所述步骤5)中选择下一个未适配的所述KEY设备驱动进行适配具体为：根据系统配置获取获取指定目录下的所述安全KEY设备驱动，并从未适配的所述KEY设备驱动中随机选择一个所述KEY设备驱动进行适配。

在又一个实施例中，所述适配器至少包括如下之一：P11适配器、CSP适配器、SM2适配器；所述安全KEY设备至少包括如下之一：USB KEY、TF KEY。

在又一个实施例中，当检测到所述安全KEY设备拔出时，将所述适配器与所述安全KEY设备分离。

在又一个实施例中，当检测到所述安全KEY设备拔出时，将所述适配器与所述安全KEY设备分离。

为解决上述技术问题，本发明提出了一种安全KEY设备自动适配系统，该系统包括：

系统应用模块，通过调用所述KEY设备运行安全应用；

设备管理模块，用于接收安全KEY设备插拔接口发送的插拔信号，获取所有的安全KEY设备驱动，实现所述安全KEY设备驱动与插入安全KEY设备的自动适配，以及设备适配模块与所述安全KEY设备的自动分离；

设备适配模块，被所述设备管理模块调用，实现与所述安全KEY设备的自动适配；

安全KEY设备插拔接口，当检测到所述安全KEY设备的插拔事件时，向所述设备管理模块发送插拔信号。

在又一个实施例中，在所述设备管理模块工作之前，需要对设备管理模块进行初始化操作。

在又一个实施例中，所述设备管理模块根据系统配置获取获取指定目录下的所述安全KEY设备驱动，并从未适配的所述KEY设备驱动中随机选择一个所述KEY设备驱动，适配所述插入的所述安全KEY设备。

在又一个实施例中，所述设备适配模块至少包括如下之一：P11适配器、CSP适配器、SM2适配器；所述安全KEY设备至少包括如下之一：USB KEY、TF KEY。

在又一个实施例中，所述安全KEY设备中保存了用户信息和密钥，仅能通过按KEY设备提供的接口读取数据，而无法复制所述用户信息和密钥，并且该安全KEY设备还提供PIN码保护。

通过本发明提出的方案，取得了以下技术效果：

在需求需要适配支持多个不同的设备以及后续要增加支持新的设备类型时使用安全Key设备适配机制，至少包括：

一是可以降低开发工作量，节省开发成本；

二是应用用户不需要关心使用设备与设备类型的匹配选择，提高软件的易用性；

三是降低软件后期维护成本。

附图说明

图1是现有技术中安全KEY设备实现的技术框图。

图2是本发明中安全KEY设备的实现的技术框图。

图3是本发明安全KEY设备的自动适配流程图。

图4是本发明安全KEY设备的在一般安全软件中的具体应用技术框图。

具体实施方式

图2是本发明中安全KEY设备的技术实现框图。

该系统包括最上层的APP业务层，还包括Key设备管理器，实现对Key设备的管理，以及与安全Key设备适配的多个适配器，适配器包括但不限于：P11适配器，CSP适配器，SM2适配器等。所述Key设备包括厂商A Ukey，厂商B TFKey，厂商C TFKey等。

图3是本发明中安全KEY设备的自动适配流程图。

技术实现过程中主要步骤：

1)程序启动，初始化，执行设备管理模块

2)监听安全Key设备的插拔事件，当监听到所述插拔事件后，通知设备管理模块。

3)根据系统配置获取获取指定目录下的安全Key设备驱动，调用适配器进行适配，如果适配失败则获取下一个驱动进行下一轮新的适配流程。

4)获取一个设备驱动，尝试使用此设备驱动去适配插入的Key设备。

5)如果适配成功，则将适配结果通知所有相关模块，否则返回到步骤3)重新进行适配。

6)程序检测到插拔事件/通知后，设备管理模块需要从步骤2重新适配。

图4是本发明安全KEY设备的在一般安全软件中的具体应用技术框图。

该系统包括：定制化业务层，安全业务层，安全基础层，安全设备管理层，适配器，以及安全Key设备。所述定制化业务层基于安全业务层提供的定制化安全服务,包括定制的应用，如文件分发，邮件加解密，应用保护。安全业务层实现对业务的安全管理，包括用户管理，策略管理，与服务器通讯的通讯模块，以及实现安全管理的签名验签，数据摘要，数据加解密，配置管理,主要是在安全基础层基础上封装一系列的PKI相关的安全接口，如数据加解密、数据签名及验证签名、数据摘要等功能,用户管理，策略管理，通讯模块等安全业务基于这些安全接口实现安全业务功能。安全基础层包括设备对象，证书对象，密钥对象，数据对象。安全基础层是将安全设备，及其设备中存储的证书等数据信息进行抽象化管理，主要包含设备对象管理、证书对象管理、密钥对象管理、数据对象的管理；安全设备管理层实现对安全Key设备驱动的管理(设备枚举，设备信息)，安全Key设备适配器的调用，以及对安全Key设备的自动适配(设备操作)。设备适配器包括但不限于：CSP适配器，P11适配器，SM2适配器等。所述安全Key设备包括但不限于：USBKey，TF卡，软证书，以及其他设备。

部署安全方案后，程序运行后，初始化时设备管理模块会对插入的安全Key设备进行自动适配工作，当设备管理模块适配成功后，通知相关模块进行更新，从而业务层模块接口在调用时不需要关注底层设备驱动模块，直接可以使用插入的安全Key设备。

在需求需要适配支持多个不同的设备以及后续要增加支持新的设备类型时使用安全Key设备适配机制；一是可以降低开发工作量，节省开发成本；二是应用用户不需要关心使用设 备与设备类型的匹配选择，提高软件的易用性；三是降低软件后期维护成本。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换以及改进等，均应保护在本发明的保护范围之内。