本發明公開了一種基于密碼卡實現密碼資源互通的方法及設備，該方法以PKCS#11密碼接口的實現為基礎，將CSP和SKF的密碼接口和密碼資源管理方式轉接到PKCS#11上，包括密碼接口轉接、密碼資源管理方式轉換和密碼卡固件適配，所述密碼接口轉接以PKCS#11體系接口作為基礎轉接CSP和SKF；所述密碼資源管理方式轉換將CSP和SKF的應用及容器概念全部轉換成PKCS#11的對象進行管理。本發明可有效解決密碼資源跨密碼接口體系不互通的問題，并且該方法不需要密碼卡實現三種密碼接口和管理，可極大減少三者的交叉適配工作量，對密碼卡資源要求不高，減少了密碼卡的代碼量，提高了執行效率。

技術領域

本發明涉及密碼應用及密碼接口技術領域，尤其涉及一種基于密碼卡實現密碼資源互通的方法及設備。

背景技術

當今網絡信息技術高速發展，大量的社交、身份、金融等信息數據時刻在網絡傳遞和交互，信息安全問題時有發生，信息安全日益凸顯其重要，能為應用程序提供安全保障的密碼安全服務彰顯其不可或缺性和重要性。目前已形成了數種國際和國內密碼應用接口規范，具有代表性和廣泛應用的是PKCS#11、CSP和SKF。

PKCS#11由RSA實驗室發布，是獨立于平臺的API，且有跨平臺的特性，已發展成為一個通用的加密令牌的抽象層，主要涉及令牌、會話、槽和對象的管理及功能。CSP是微軟的加密應用接口，專為WIN32應用程序設計，主要涉及容器管理及功能。SKF是中國國家密碼局制定的密碼應用接口規范，主要涉及容器和多應用管理和功能。三種密碼接口規范既有一致性也存在差異性，它們均可以提供統一的密碼功能服務，密碼功能使用流程相似，都涉及PIN碼用戶等權限管理，但三者的密碼接口定義不同，對密鑰和證書等密碼資源的管理方式是存在差異的，SKF和CSP的密碼資源管理方式均為容器，但PKCS#11的密碼資源管理方式是對象。

在密碼體系及應用場景中，承載著密碼資源和功能的特殊密碼TF卡即密碼卡，作為具體的密碼設備，另外定義一類安全可信任系統終端，稱之為密管或CertificateAuthority(CA)系統，用來為密碼卡注入證書及密鑰等其他密碼資源，使密碼卡通過認證并具備合法安全身份。認證后的密碼卡則應用在如手機，PAD等便攜式手持安卓系統終端，來提供具體的密碼服務。

但當密碼卡被使用CSP密碼接口或SKF密碼接口的密管或CA系統(一般為Windows系統)注入密碼資源后，密碼卡并不能直接在基于PKCS#11密碼接口的安卓安全應用APP上應用，因為PKCS#11密碼接口無法按對象管理方式找到需要的密碼資源。

發明內容

本發明針對CSP和SKF密碼接口管理的密碼資源無法在PKCS#11密碼接口使用的問題，提出了一種密碼資源管理方式的轉接方法，適用于上述三種密碼接口，實現密碼資源的互通使用，且整個實現機制簡單高效。

本發明提供的一種基于密碼卡實現密碼資源互通的方法，以PKCS#11密碼接口的實現為基礎，將CSP和SKF的密碼接口和密碼資源管理方式轉接到PKCS#11上，包括密碼接口轉接、密碼資源管理方式轉換和密碼卡固件適配，所述密碼接口轉接以PKCS#11體系接口作為基礎轉接CSP和SKF；所述密碼資源管理方式轉換將CSP和SKF的應用及容器概念全部轉換成PKCS#11的對象進行管理。

進一步，所述密碼接口轉接具體包括：PKCS#11作為基礎庫可被應用直接使用，并通過上層定義、接口和功能移植轉接為CSP和SKF密碼接口供應用調用，三種密碼接口在底層都轉化成PKCS#11密碼接口處理和管理。

進一步，所述密碼接口轉接具體包括：CSP和SKF的容器管理接口通過PKCS#11的對象管理接口轉接調用實現，CSP和SKF的密碼服務接口通過PKCS#11的密碼服務接口轉接調用實現，CSP和SKF的權限管理接口通過PKCS#11的PIN和登錄管理轉接調用實現。