专利名称:一种提高数据传输安全性的方法
技术领域:
本发明属于信息安全领域,尤其涉及一种提高数据传输安全性的方法。
背景技术:
智能密钥装置是一种带有处理器和存储器的小型硬件装置,它可通过计算机的数据通讯接口与计算机连接。智能密钥装置采用PIN码验证用户身份的合法性,在进行身份认证时将智能密钥装置与计算机相连,用户在计算机上输入PIN码,智能密钥装置会自动校验该PIN码的正确性,只有当用户输入的PIN码正确时,才允许用户操作智能密钥装置。智能密钥装置还具有密钥生成功能,并可安全存储密钥和预置加密算法。智能密钥装置与密钥相关的运算完全在装置内部运行,且智能密钥装置具有物理抗攻击的特性,安全性极高,常用的智能密钥装置通过USB接口与计算机相连。
现代社会是一个高度信息化的社会,信息安全已经渗透到人们日常生活的各个方面。同时,由于银行、交通、网络、通信等行业的飞速发展,信息安全所涉及的领域也越来越广。信息安全的难度和重要性也越来越突出。用于确认身份唯一性和合法性的身份认证作为信息安全行业的核心技术,正越来越为人们所重视。身份认证也已在银行、公安系统等信息及安全领域有相当广泛的应用。然而,为增强安全性,提高办事效率,要求身份认证必须快速、准确地识别被认证者的特征信息,验证被认证者真实身份。而信息安全中的身份认证离不开密码技术。
密码技术中最基本的部分为加密系统或加密算法。加密系统定义了数据的一对转换过程,称为加密和解密。加密是对称为明文的数据进行的,明文直接以文字或数字的形式表示了某个消息的信息,容易被截获。加密就是将明文数据转换成无法读懂的数据形式,称为密文,进行传输,在一定程度上提高了传输的安全性。解密就是将密文再恢复成原来的明文。为了保证一些敏感数据传送的安全性,密钥的安全性问题是最重要的。然而采用固定的密钥或是密钥随数据一起传送,则均不能达到令人满意的保密效果。
发明内容
一种提高数据传输安全性的方法,其特征在于,首先将智能密钥装置与主机相连,主机、智能密钥装置各自生成随机数,进行加解密运算以实现双向身份认证,在认证通过后,会话建立,主机与智能密钥装置间应用会话密钥加密传输数据,实现该方法的具体步骤如下步骤1主机生成随机数X,向智能密钥装置发送随机数X,提出认证请求;步骤2智能密钥装置生成随机数Y、Z;步骤3主机、智能密钥装置进行双向认证主机认证智能密钥装置智能密钥装置对随机数X做函数运算,并进行加密运算,发送主机,实现主机认证智能密钥装置;智能密钥装置认证主机主机对智能密钥装置产生的随机数Y做函数运算,并借助随机数Z为瞬时密钥加密,发送智能密钥装置,实现智能密钥装置认证主机。
步骤4认证通过后,把随机数Z作为会话密钥,主机与智能密钥装置间应用该会话密钥加密传输数据。
所述步骤3,主机认证智能密钥装置所做加解密运算所用的算法是非对称算法,智能密钥装置认证主机所做加解密运算所用算法包括对称算法。
所述非对称算法可以由对称算法代替。
所述步骤3,主机认证智能密钥装置具体为1)智能密钥装置对随机数X做函数运算,再对函数运算值用非对称算法做加密运算,并将加密结果发送给主机;2)主机用相应的算法解密由智能密钥发送来的加密结果得随机数X的函数值;3)主机对其生成的随机数X做函数运算,并将得到的函数值与解密得到的随机数X的函数值进行对比,如果结果一致,智能密钥开始认证主机,否则,主机继续查找智能密钥装置。
所述步骤3,智能密钥装置认证主机具体为1)智能密钥装置将随机数Z的函数值及随机数Y经非对称算法加密发送给主机,主机解密后对随机数Z的函数运算结果作反函数运算得随机数Z;
2)主机对随机数Y做函数运算得其值,并以随机数Z为瞬时密钥用对称加密算法加密随机数Y的函数值,发送智能密钥装置;3)智能密钥装置以随机数Z为解密密钥得随机数Y的函数值,并且智能密钥装置再对随机数Y做函数运算;4)智能密钥装置对比函数运算所得的随机数Y的函数值与解密所得到的随机数Y的函数值,如果结果一致,主机认证通过,否则,返回出错信息。
所述步骤3还包括对硬件ID号做加解密运算。
所述智能密钥装置同步对随机数X和随机数Z做函数运算。
所述智能密钥装置加密随机数X的函数运算值同时加密了随机数Y和随机数Z的函数运算值,并同时发送。
所述非对称算法可以由对称算法代替。
所述智能密钥装置内部存储了对称、非对称两种算法。
所述步骤3中以Z为瞬时密钥,所述瞬时密钥在会话建立后成为会话密钥。
所述步骤4中会话建立后,所述会话密钥在超出智能密钥装置设定的时间后失效;所述设定的时间是在智能密钥装置初始化时实现的。
所述步骤4中会话建立后,在所述会话密钥失效后,要使用该会话密钥的会话密钥功能,返回步骤1重新开始。
与现有技术相比,本发明的有益效果在于
在本发明中,采用双向认证,其中第二步认证使用瞬时密钥提高了数据传输的安全性。
在本发明中,采用瞬时密钥作为会话密钥加密数据传输的过程,提高了数据传输的安全性。
在本发明中,所述会话密钥在超出设定时间后失效,提高了数据传输的安全性。
图1是实施例一种提高数据传输安全性的方法流程图。
具体实施例方式
下面结合附图和具体实施例对本发明作进一步说明,但本发明不局限于下面的实施例。
实施例在本实施例中所采用的非对称算法是RSA算法,采用的对称算法是3DES算法。参见图1,本发明实施例提供了一种提高数据传输安全性的方法,具体包括以下步骤步骤101主机生成随机数X,并发送给智能密钥装置,同时请求验证智能密钥装置;步骤102智能密钥装置生成随机数Y、Z;步骤103智能密钥装置对接收到的随机数X及生成的随机数Z做函数运算,得A和C;步骤104智能密钥装置应用RSA加密算法加密A、Y、C及硬件ID号,并将加密结果分割成两部分R1、R2;
步骤105智能密钥装置将R1发送给主机,并在主机的请求下将R2发送给主机;步骤106主机将R1、R2按照分割规则合并R1、R2成整个加密结果;步骤107主机用相应的密钥解密加密结果,得A、Y、C及硬件ID号;步骤108主机对其开始生成的随机数X,做与智能密钥装置相同的函数运算,并比较该值与解密得到的A;步骤109判断是否相等,是,执行步骤111,否则执行步骤110;步骤110查找下一个智能密钥装置;步骤111主机对随机数Y做函数运算,得D,同时对函数值C做反函数运算,解得Z;步骤112主机对函数值D以随机数Z为瞬时密钥用3DES加密算法加密,并将加密结果发送给智能密钥装置;步骤113智能密钥装置把随机数Z作为瞬时密钥,对接收到的加密结果解密,得到函数值D;步骤114智能密钥装置对随机数Y做函数运算得其函数值,并比较D与该函数值;步骤115判断是否相等,相等执行步骤117,否则执行步骤116;步骤116显示错误;步骤117会话建立,随机数Z作为会话密钥使用;步骤118主机、智能密钥装置间开始数据传输;
步骤119判断会话密钥是否超出智能密钥装置设定的时间;步骤120否,数据传输继续,否则,返回步骤101。
在本实施例中,RSA算法可以由3DES算法代替。
在本实施例中,智能密钥装置内部存储了RSA、3DES两种算法。
在本实施例中,步骤104中所述硬件ID号是在智能密钥装置下载COS时,写在智能密钥装置中的。
在本实施例中,步骤112中的随机数Z是被用作瞬时密钥的。
在本实施例中,会话建立后随机数Z是作为会话密钥使用的。
在本实施例中,随机数Z作为会话密钥,在该会话密钥超出智能密钥装置设定的时间后失效,返回步骤101生成新的随机数Z作为会话密钥。
在本实施例中,主机认证智能密钥装置和智能密钥装置认证主机的顺序是可以颠倒的。
在本实施例中,智能密钥装置设定的时间是在智能密钥装置初始化时,由编程实现的。
以上所述的实施例,只是本发明较优选的具体实施方式
,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。
权利要求
1.一种提高数据传输安全性的方法,其特征在于,首先将智能密钥装置与主机相连,主机、智能密钥装置各自生成随机数,进行加解密运算以实现双向身份认证,在认证通过后,会话建立,主机与智能密钥装置间应用会话密钥加密传输数据,实现该方法的具体步骤如下步骤1主机生成随机数X,向智能密钥装置发送随机数X,提出认证请求;步骤2智能密钥装置生成随机数Y、Z;步骤3主机、智能密钥装置进行双向认证主机认证智能密钥装置智能密钥装置对随机数X做函数运算后,进行加密运算,发送主机,实现主机认证智能密钥装置;智能密钥装置认证主机主机对智能密钥装置产生的随机数Y做函数运算,并借助随机数Z为瞬时密钥加密,发送智能密钥装置,实现智能密钥装置认证主机。步骤4认证通过后,把随机数Z作为会话密钥,主机与智能密钥装置间应用该会话密钥加密传输数据。
2.根据权利要求1所述一种提高数据传输安全性的方法,其特征在于所述步骤3,主机认证智能密钥装置所做加解密运算所用的算法是非对称算法,智能密钥装置认证主机所做加解密运算所用算法包含对称算法。
3.根据权利要求1所述一种提高数据传输安全性的方法,其特征在于所述步骤3,主机认证智能密钥装置具体为1)智能密钥装置对随机数X做函数运算,再对函数运算值用非对称加密算法加密,并将加密结果发送给主机;2)主机用相应的算法解密由智能密钥发送来的加密结果得随机数X的函数值;3)主机对其生成的随机数X做函数运算,并将得到的函数值与解密得到的随机数X的函数值进行对比,如果结果一致,智能密钥开始认证主机,否则,主机继续查找智能密钥装置。
4.根据权利要求1所述一种提高数据传输安全性的方法,其特征在于所述步骤3,智能密钥装置认证主机具体为1)智能密钥装置将随机数Z的函数值及随机数Y经非对称算法加密发送给主机,主机解密后对随机数Z的函数运算结果作反函数运算得随机数Z;2)主机对随机数Y做函数运算得其值,并以随机数Z为瞬时密钥用对称加密算法加密随机数Y的函数值,发送智能密钥装置;3)智能密钥装置以随机数Z为解密密钥得随机数Y的函数值,并且智能密钥装置再对随机数Y做函数运算;4)智能密钥装置对比函数运算所得的随机数Y的函数值与解密所得到的随机数Y的函数值,如果结果一致,主机认证通过,否则,返回出错信息。
5.根据权利要求1所述一种提高数据传输安全性的方法,其特征在于所述步骤3还包括对硬件ID号做加解密运算。
6.根据权利要求1所述一种提高数据传输安全性的方法,其特征在于所述智能密钥装置同步对随机数X和随机数Z做函数运算。
7.根据权利要求1所述一种提高数据传输安全性的方法,其特征在于所述智能密钥装置加密随机数X的函数运算值同时加密了随机数Y和随机数Z的函数运算值,并同时发送。
8.根据权利要求2所述一种提高数据传输安全性的方法,其特征在于所述非对称算法可以由对称算法代替。
9.根据权利要求1所述一种提高数据传输安全性的方法,其特征在于所述智能密钥装置内部存储了对称、非对称两种算法。
10.根据权利要求1所述一种提高数据传输安全性的方法,其特征在于所述步骤4中会话建立后,所述会话密钥在超出智能密钥装置设定的时间后失效。
11.根据权利要求1所述一种提高数据传输安全性的方法,其特征在于所述设定的时间是在智能密钥装置初始化时实现的。
12.根据权利要求10所述一种提高数据传输安全性的方法,其特征在于所述步骤4中会话建立后,在所述会话密钥失效后,要使用该会话密钥的会话密钥功能,返回步骤1重新开始。
全文摘要
本发明涉及一种提高数据传输安全性的方法。它是首先将智能密钥装置与主机相连,主机、智能密钥装置各自生成随机数,智能密钥装置对生成的随机数进行加密运算,将运算结果发送给主机,主机解密后对数据,再利用瞬时密钥进行加密,并将结果发送给智能密钥装置,以实现双向身份认证。认证通过后,会话建立,主机与智能密钥装置间应用会话密钥加密传输数据,此过程中融合了瞬时密钥/会话密钥技术。与现有技术相比,在本发明中,采用双向认证,其中第二步认证使用瞬时密钥提高了数据传输的安全性。并且本发明采用瞬时密钥作为会话密钥加密数据传输的过程,会话密钥在超出设定时间后失效,提高了数据传输的安全性。
文档编号H04L9/32GK101056166SQ20071009967
公开日2007年10月17日 申请日期2007年5月28日 优先权日2007年5月28日
发明者陆舟, 于华章 申请人:北京飞天诚信科技有限公司