专利名称:Usb信息安全设备与主机通信的方法及usb信息安全设备的制作方法
技术领域:
本发明涉及通信安全技术,特别涉及一种通用串行总线(USB, UniversalSerial Bus)信息安全设备与主机通信的方法及USB信息安全设备。
背景技术:
USB协议技术是设备与外部设备连接的串行总线标准,在主机(例如,个人计算 机、个人数字助理以及移动电脑等)上使用十分广泛,支持热插拔和即插即用,并支持总线 供电,鼠标、键盘、游戏手柄、扫描仪、数码相机、打印机、硬盘、安全设备、光驱和网卡等几乎 所有的外部设备都可以通过运行USB协议的USB接口与主机相连并进行通信。USB接口已 经成为目前大多数主机外设与计算机相连的缺省接口。以下以USB信息安全设备为例,对 USB信息安全设备与计算机的通信流程进行说明。 图1为现有USB信息安全设备与计算机的通信方法流程示意图,参见图1,该流程 包括 步骤101, USB信息安全设备通过USB接口与计算机相连,计算机向USB信息安全 设备发送数据; 本步骤中,计算机向USB信息安全设备发送的数据可以是认证、鉴权请求信息,也 可以是其它信息,例如,认证通过后的业务数据。 步骤102, USB信息安全设备接收数据,进行处理,向计算机返回处理后的数据。
本步骤中,如果计算机向USB信息安全设备发送的数据是认证、鉴权请求信息,则 USB信息安全设备接收认证、鉴权请求信息,将认证、鉴权相关信息发送至计算机,计算机接 收后进行认证、鉴权,当认证、鉴权通过后,与USB信息安全设备进行业务交互,交互的流程 与步骤101和步骤102相同;如果是认证通过后的业务数据,则对接收的业务数据进行处 理,将处理结果返回给计算机。 由上述可见,USB信息安全设备通过USB协议与计算机进行通信,由于USB协议是 公开的,因而, 一些不法分子很容易通过利用现有的USB协议总线分析仪器、或者过滤驱动 等方法获得计算机和USB信息安全设备之间的通信数据,给使用者带来较大的安全风险。 尤其是对于通信安全性要求较高的USB信息安全设备,通信数据的泄露可能导致不可估量 的损失。
发明内容
有鉴于此,本发明的主要目的在于提出一种USB信息安全设备与主机通信的方 法,提高USB信息安全设备与主机通信的安全性。 本发明的另一 目的在于提出一种USB信息安全设备,提高USB信息安全设备与主 机通信的安全性。 为达到上述目的,本发明提供了一种USB信息安全设备与主机通信的方法,主机 与USB信息安全设备预先协商加解密密钥对,该方法包括
4
接收主机使用预先协商的第一加密密钥加密的传输数据; 使用预先协商的第一解密密钥解密接收的加密数据; 对解密的数据进行处理,生成响应数据并将响应数据发送给主机。 所述生成响应数据并将响应数据发送给主机的步骤进一步包括 使用预先协商的第二加密密钥加密响应数据并将加密的响应数据发送给主机; 主机使用第二解密密钥解密接收的加密响应数据。 所述加解密密钥对为主机与USB信息安全设备预先约定的固定密钥,或为动态协 商的密钥。 动态协商密钥的步骤包括 主机生成加密密钥和相应的解密密钥,并将解密密钥发送给USB信息安全设备; 或, 主机发送密钥协商命令,USB信息安全设备根据接收的密钥协商命令生成加密密 钥和解密密钥,并将加密密钥发送给主机。 通过明文的方式发送、或使用预先约定的密钥加密后发送、或使用密钥交换算法 加密后发送、或使用数字签名后发送所述解密密钥或加密密钥。 使用数据加密标准、三层数据加密标准、增强的数据保密标准、加解密算法RC4、 RC6、公用密钥算法、安全散列算法和椭圆曲线密码中的一种或其任意组合加密传输数据以 及响应数据。 所述加解密密钥对为对称密钥或者公私钥对。 —种通用串行总线USB信息安全设备与主机通信的方法,主机与USB信息安全设
备预先协商加解密密钥对,该方法包括 接收主机发送的数据,进行处理,生成响应数据; 使用预先协商的第一加密密钥加密响应数据并发送至主机; 主机使用第一解密密钥解密接收的加密响应数据。 所述接收主机发送的数据的步骤进一步包括 判断接收的来自主机发送的数据是否加密,如果是,使用预先协商的第二解密密
钥解密接收的加密数据;否则,执行对主机发送的数据进行处理的步骤。 —种通用串行总线USB信息安全设备,该USB信息安全设备包括数据接收模块、
数据判断模块、数据解密模块、数据处理模块、数据加密模块和数据发送模块,其中, 数据接收模块,用于通过USB接口接收外部主机发送的数据,输出至数据判断模
块; 数据判断模块,接收数据接收模块输出的数据,判断数据是否经过加密,如果是, 将数据输出至数据解密模块,否则,将数据输出至数据处理模块; 数据解密模块,接收数据判断模块输出的数据,按照与外部主机预先协商好的解 密密钥进行解密,将解密的数据输出至数据处理模块; 数据处理模块,将接收的数据进行处理,生成响应数据,输出至数据加密模块;
数据加密模块,接收数据处理模块输出的响应数据,按照与外部主机预先协商好 的加密密钥进行加密,将加密的响应数据输出至数据发送模块;
数据发送模块,用于将接收的加密的响应数据通过USB接口发送出去。
5
由上述的技术方案可见,本发明提供的USB信息安全设备与主机通信的方法及 USB信息安全设备,主机与USB信息安全设备预先协商加解密密钥对,接收主机使用预先协 商的第一加密密钥加密的传输数据;使用预先协商的第一解密密钥解密接收的加密数据; 对解密的数据进行处理,生成响应数据并将响应数据发送给主机。这样,即使不法分子可以 利用现有的USB协议总线分析仪器、或者通过过滤驱动等方法获得主机和USB信息安全设 备之间的加密通信数据,由于不法分子不能获取加解密密钥对以及加解密算法,因而无法 对加密通信数据进行解密,增加了敏感数据被截获分析、破解的难度,提高了 USB信息安全 设备与主机通信的安全性。
图1为现有USB信息安全设备与计算机的通信方法流程示意图。
图2为本发明USB信息安全设备与主机通信的方法第一实施例流程示意图。
图3为本发明USB信息安全设备与主机通信的方法第二实施例流程示意图。
图4为本发明USB信息安全设备与主机通信的方法第三实施例流程示意图。
图5为本发明USB信息安全设备的结构示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对 本发明作进一步地详细描述。 本发明实施例的USB信息安全设备与主机通信的方法,考虑对通信安全性要求较 高的USB信息安全设备,如果其通信数据泄露,可能对用户造成不可估量的损失,因而,对 USB信息安全设备进行改善;而对于通信安全性要求较低的其他USB设备,通信数据的泄露 造成的损失较小、且由于其已广泛应用,进行改善的成本较大,在此不予考虑。当然,也可以 按照本发明对USB信息安全设备进行改善的方式对其他USB设备进行改善,后续中不再赘 述。 图2为本发明USB信息安全设备与主机通信的方法第一实施例流程示意图,该实 施例中,主机与USB信息安全设备预先协商加解密密钥对,并由主机对传输的数据进行加 密,参见图2,该流程包括 步骤201,主机使用预先协商的加密密钥(Ka)加密待传输数据后发送给USB信息 安全设备; 本步骤中,主机可以是通过USB接口与USB信息安全设备相连的个人计算机、个人 数字助理以及移动电脑等。 预先协商的加解密密钥对可以是预先约定的固定密钥,也可以是动态协商的密 钥,其中,动态协商密钥的流程包括主机生成加密密钥Ka和相应的解密密钥Ka',并将 Ka'发送给USB信息安全设备;或者,主机发送密钥协商命令,USB信息安全设备根据接收 的密钥协商命令生成Ka和Ka',并将Ka发送给主机。 实际应用中,主机发送解密密钥或USB信息安全设备发送加密密钥,可以是通过 明文的方式发送,也可以使用预先约定的密钥加密后发送,还可以是使用密钥交换算法加 密后发送,或者经过数字签名后发送。
进行加密的加密算法可以是数据加密标准(DES, Data EncryptionStandard)、三层数据加密标准(3DES, Triple Data Encryption Standard)、增强的数据保密标准(AES, Advanced Encryption Standard)、加解密算法RC4、 RC6、公用密钥算法(RSA,Rivest-Shamir-Adleman public keyalgorithm)、安全散列算法(SHA, Secure HashAlgorithm)和椭圆曲线密码(ECC,Elliptic Curves Cryptogr即hy)中的一种或其任意组合,当然,还可以是其他的加密算法。 步骤202,USB信息安全设备使用预先协商的解密密钥(Ka')解密接收的加密数据; 本步骤中,加密密钥(Ka)和解密密钥(Ka')是对称密钥或者公私钥对。 步骤203, USB信息安全设备对解密的数据进行处理,生成响应数据; 本步骤中,USB信息安全设备对解密的数据进行处理,与现有技术相同,在此不再赘述。 步骤204, USB信息安全设备将响应数据发送给主机。 至此,本发明USB信息安全设备与主机通信的方法流程结束。 实际应用中,如果主机与USB信息安全设备预先协商的加解密密钥对为两对或两
队以上,在步骤203生成响应数据后,还可以进一步执行步骤205 步骤207。 步骤205, USB信息安全设备使用预先协商的加密密钥(Kb)加密响应数据; 本步骤中,加密密钥(Kb)是与加密密钥(Ka)不同的加密密钥。 步骤206, USB信息安全设备将加密的响应数据发送给主机; 步骤207,主机使用解密密钥(Kb')解密接收的加密响应数据。 本步骤中,加密密钥(Kb)和解密密钥(Kb')可以是预先约定的固定密钥,也可以
是动态协商的密钥,其中,动态协商密钥的流程包括主机生成加密密钥Kb和相应的解密
密钥Kb',并将Kb'发送给USB信息安全设备;或者,主机发送密钥协商命令,USB信息安
全设备根据接收的密钥协商命令生成Kb和Kb',并将Ka发送给主机。 图3为本发明USB信息安全设备与主机通信的方法第二实施例流程示意图,该实
施例中,主机与USB信息安全设备预先协商加解密密钥对,并由USB信息安全设备对传输的
数据进行加密,参见图3,该流程包括 步骤301,主机向USB信息安全设备发送数据; 步骤302,USB信息安全设备接收主机发送的数据,进行处理,生成响应数据;
本步骤中,USB信息安全设备对接收的数据进行处理,与现有技术相同,在此不再赘述。 步骤303, USB信息安全设备使用加密密钥Ka加密响应数据,并发送给主机; 步骤304,主机使用解密密钥Ka'解密接收的加密响应数据。 本步骤中,加密密钥Ka和解密密钥Ka'是对称密钥或者公私钥对。 加密密钥Ka和解密密钥Ka'是预先约定的固定密钥或者动态协商的密钥。其中,
动态协商密钥的流程包括主机生成加密密钥Ka和相应的解密密钥Ka',并将Ka发送给
USB信息安全设备;或者,主机发送密钥协商命令,USB信息安全设备根据接收的密钥协商
命令生成Ka和Ka',并将Ka'发送给主机。 实际应用中,主机发送加密密钥或USB信息安全设备发送解密密钥,可以是通过明文的方式发送,也可以使用预先约定的密钥加密后发送,还可以是使用密钥交换算法加密后发送,或者经过数字签名后发送。 进行加密的加密算法可以是数据加密标准(DES, Data EncryptionStandard)、
三层数据加密标准(3DES, Triple Data Encryption Standard)、增强的数据保密标
准(AES, Advanced Encryption Standard)、加解密算法RC4、 RC6、公用密钥算法(RSA,
Rivest-Shamir-Adleman public keyalgorithm)、安全散列算法(SHA, Secure Hash
Algorithm)和椭圆曲线密码(ECC,Elliptic Curves Cryptogr即hy)中的一种或其任意组
合,当然,还可以是其他的加密算法。 以下再举一具体实施例,对本发明进行说明。 图4为本发明USB信息安全设备与主机通信的方法第三实施例流程示意图,本实施例中,以USB信息安全设备为精锐IV加密锁为例,该精锐IV加密锁是国内首款智能卡加密锁,内置64K文件存储空间,支持C语言编写自定义算法,并支持DES, TDES, RSA, SHA1等公开加密算法,同时带有双精度浮点函数库。 本实施例以利用精锐IV加密锁计算双精度浮点正弦函数为例,参见图4,该流程包括 步骤401,主机生成8字节随机数作为DES密钥Ka,保存并发送给精锐IV加密锁;
步骤402,精锐IV加密锁保存Ka,同时生成8字节随机数作为DES密钥Kb,保存并发送给主机; 步骤403,主机使用以Ka为密钥的DES算法加密要计算的双精度浮点数据,并将加密的双精度浮点数据发送给精锐IV加密锁; 步骤404,精锐IV加密锁使用以Ka为密钥的DES算法解密出双精度浮点数据;
步骤405,精锐IV加密锁调用正弦函数计算解密的双精度浮点数据,得到正弦函数计算结果; 本步骤中,正弦函数计算结果即为双精度浮点数据的正弦值。 步骤406,精锐IV加密锁使用以Kb为密钥的DES算法加密正弦函数计算结果,并发送给主机; 步骤407,主机使用以Kb为密钥的DES算法解密出正弦函数计算结果。
以下对本发明涉及的USB信息安全设备进行描述。 图5为本发明USB信息安全设备的结构示意图,参见图5,该USB信息安全设备包括数据接收模块501、数据判断模块502、数据解密模块503、数据处理模块504、数据加密模块505以及数据发送模块506,其中, 数据接收模块501,用于通过USB接口接收外部主机发送的数据,输出至数据判断模块502 ; 数据判断模块502,接收数据接收模块501输出的数据,判断数据是否经过加密,如果是,将数据输出至数据解密模块503,否则,将数据输出至数据处理模块504 ;
数据解密模块503,接收数据判断模块502输出的数据,按照与外部主机预先协商好的解密密钥进行解密,将解密的数据输出至数据处理模块504 ; 数据处理模块504,将接收的数据进行处理,生成响应数据,输出至数据加密模块
505 ;
8
数据加密模块505,接收数据处理模块504输出的响应数据,按照与外部主机预先协商好的加密密钥进行加密,将加密的响应数据输出至数据发送模块506 ;
数据发送模块506,用于将接收的加密的响应数据通过USB接口发送出去。
由上述实施例可见,本发明实施例的USB信息安全设备与主机通信的方法及USB信息安全设备,主机在向USB信息安全设备发送数据时,使用预先协商的加密密钥对待传输的数据加密;或者,USB信息安全设备在接收到非加密的数据并进行处理后,使用预先协商的加密密钥对处理好的数据进行加密;或者,主机和USB信息安全设备都使用预先协商的加密密钥对带传输的数据进行加密。这样,即使不法分子可以利用现有的USB协议总线分析仪器、或者通过过滤驱动等方法获得主机和USB信息安全设备之间的加密通信数据,由于不法分子不能获取加解密密钥对以及加解密算法,因而无法对加密通信数据进行解密,增加了敏感数据被截获分析、破解的难度,提高了 USB信息安全设备与主机通信的安全性、降低了通信数据泄露的可能性。给使用者带来较大的安全风险。 以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换以及改进等,均应包含在本发明的保护范围之内。
权利要求
一种通用串行总线USB信息安全设备与主机通信的方法,其特征在于,主机与USB信息安全设备预先协商加解密密钥对,该方法包括接收主机使用预先协商的第一加密密钥加密的传输数据;使用预先协商的第一解密密钥解密接收的加密数据;对解密的数据进行处理,生成响应数据并将响应数据发送给主机。
2. 如权利要求1所述的方法,其特征在于,所述生成响应数据并将响应数据发送给主 机的步骤进一步包括使用预先协商的第二加密密钥加密响应数据并将加密的响应数据发送给主机; 主机使用第二解密密钥解密接收的加密响应数据。
3. 如权利要求1或2所述的方法,其特征在于,所述加解密密钥对为主机与USB信息安 全设备预先约定的固定密钥,或为动态协商的密钥。
4. 如权利要求3所述的方法,其特征在于,动态协商密钥的步骤包括 主机生成加密密钥和相应的解密密钥,并将解密密钥发送给USB信息安全设备;或, 主机发送密钥协商命令,USB信息安全设备根据接收的密钥协商命令生成加密密钥和解密密钥,并将加密密钥发送给主机。
5. 如权利要求4所述的方法,其特征在于,通过明文的方式发送、或使用预先约定的密 钥加密后发送、或使用密钥交换算法加密后发送、或使用数字签名后发送所述解密密钥或 加密密钥。
6. 如权利要求3所述的方法,其特征在于,使用数据加密标准、三层数据加密标准、增 强的数据保密标准、加解密算法RC4、 RC6、公用密钥算法、安全散列算法和椭圆曲线密码中 的一种或其任意组合加密传输数据以及响应数据。
7. 如权利要求3所述的方法,其特征在于,所述加解密密钥对为对称密钥或者公私钥对。
8. —种通用串行总线USB信息安全设备与主机通信的方法,其特征在于,主机与USB信 息安全设备预先协商加解密密钥对,该方法包括接收主机发送的数据,进行处理,生成响应数据; 使用预先协商的第一加密密钥加密响应数据并发送至主机; 主机使用第一解密密钥解密接收的加密响应数据。
9. 如权利要求8所述的方法,其特征在于,所述接收主机发送的数据的步骤进一步包括判断接收的来自主机发送的数据是否加密,如果是,使用预先协商的第二解密密钥解 密接收的加密数据;否则,执行对主机发送的数据进行处理的步骤。
10. —种通用串行总线USB信息安全设备,其特征在于,该USB信息安全设备包括数 据接收模块、数据判断模块、数据解密模块、数据处理模块、数据加密模块和数据发送模块, 其中,数据接收模块,用于通过USB接口接收外部主机发送的数据,输出至数据判断模块;数据判断模块,接收数据接收模块输出的数据,判断数据是否经过加密,如果是,将数据输出至数据解密模块,否则,将数据输出至数据处理模块;数据解密模块,接收数据判断模块输出的数据,按照与外部主机预先协商好的解密密钥进行解密,将解密的数据输出至数据处理模块;数据处理模块,将接收的数据进行处理,生成响应数据,输出至数据加密模块; 数据加密模块,接收数据处理模块输出的响应数据,按照与外部主机预先协商好的加密密钥进行加密,将加密的响应数据输出至数据发送模块;数据发送模块,用于将接收的加密的响应数据通过USB接口发送出去。
全文摘要
本发明公开了一种通用串行总线USB信息安全设备与主机通信的方法。主机与USB信息安全设备预先协商加解密密钥对,接收主机使用预先协商的第一加密密钥加密的传输数据;使用预先协商的第一解密密钥解密接收的加密数据;对解密的数据进行处理,生成响应数据并将响应数据发送给主机。本发明还公开了一种通用串行总线USB信息安全设备。应用本发明,可以减少敏感数据被截获破解的难度、提高USB信息安全设备与主机通信的安全性。
文档编号G06F21/00GK101706854SQ200910235978
公开日2010年5月12日 申请日期2009年11月3日 优先权日2009年11月3日
发明者孙吉平, 韩勇 申请人:北京深思洛克软件技术股份有限公司