CN103475466A - 一种USBKey总线保护实现方法 - Google Patents
一种USBKey总线保护实现方法 Download PDFInfo
- Publication number
- CN103475466A CN103475466A CN2013104106354A CN201310410635A CN103475466A CN 103475466 A CN103475466 A CN 103475466A CN 2013104106354 A CN2013104106354 A CN 2013104106354A CN 201310410635 A CN201310410635 A CN 201310410635A CN 103475466 A CN103475466 A CN 103475466A
- Authority
- CN
- China
- Prior art keywords
- key
- usbkey
- encryption
- client
- static line
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种USBKey总线保护实现方法,所述方法采用非对称算法对线路静态加密密钥或密钥分散因子进行加密保护,UsbKey对加密的线路保护密钥或密钥分散因子解密,计算得到线路保护密钥。该方法提高了线路保护密钥的安全性,在UsbKey操作的时间段内,线路密钥由非对称算法保护,很难被破解。
Description
技术领域
本发明涉及数据加密技术,具体涉及UsbKey通讯中线路保护密钥的安全技术。
背景技术
为了保护UsbKey通讯中的数据安全,常常设置对称密钥作为通话的传输密钥,对线路的数据进行加密,保证传输中采用密文方式,防止在通讯过程中机密数据被窃听。但对称密钥的设置和生成过程存在安全隐患:
1.若对称密钥为通信双方协商好的静态密钥,存在破解的危险。
参见图1,其所示为现有技术中采用协商好的静态密钥对通讯线路进行保护的示意图。整个保护流程如下:
(1)若客户端有数据发送到UsbKey,则用事先协商好的静态加密密钥,对数据进行对称密钥加密,发送给UsbKey;
(2)UsbKey将密文数据解密,得到解密后的明文指令;
(3)若UsbKey有响应数据返回,则用同样的方式将数据加密,客户端收到后解密,得到明文数据。
通过上述保护流程可知,该线路的密钥为静态密钥,反复使用,极易被破解,安全系数较低。
2.若对称密钥是经过分散的,则在分散因子的协商过程中,为明文传输,易被非法截取,从而获取到线路保护对称密钥;
参见图2,其所示为采用经过分散的对称密钥对通讯线路进行保护的示意图。整个保护流程如下:
(1)客户端发送获取随机数指令,Usbkey响应后返回随机数作为线路加密密钥的分散因子;
(2)客户端和UsbKey端同时对事先约定的线路加密主密钥分散,得到临时会话密钥,作为线路加密密钥;
(3)若客户端有数据发送到UsbKey,则用临时会话密钥,对数据进行对称密钥加密,发送给UsbKey;
(4)UsbKey将密文数据解密,得到解密后的明文指令;
(5)若UsbKey有响应数据返回,则用同样的方式将数据加密,客户端收到后解密,得到明文数据。
通过上述保护流程可知,该线路加密密钥的生成加入了随机数分散的过程,客户端可以随时生成新的分散因子,要求替换原线路加密密钥,但分散因子为明文传输,仍有被破解的风险,若频繁更换随机分散因子,则加大了指令处理的响应时间,效率会大大降低。
如上述内容,现有技术人员在面对通信线路安全性的问题,直接会采用的技术手段为采用更为复杂的密钥对明文数据进行加密或采用更为复杂的安全认证方法,即技术人员对采用的线路静态加密密钥或密钥分散因子本身是不作任何处理的,最多只是在线路静态加密密钥或密钥分散因子的基础上不断的变化加密和认证的方法,以此来提高数据的安全性,根本不会对采用的线路静态加密密钥或密钥分散因子进行任何的安全保密处理。
由此造成现有通信线路中所采用加密密钥存在被破解的风险,从而极大的降低数据的安全性。
发明内容
针对现有通用线路保护方法中加密密钥存在被破解的问题,本发明的目的在于提供一种USBKey总线保护实现方法,对UsbKey线路的保护密钥进行保护,从而保护UsbKey通讯中的数据安全。
为了达到上述目的,本发明采用如下的技术方案:
一种USBKey总线保护实现方法,所述方法采用非对称算法对线路静态加密密钥或密钥分散因子进行加密保护,UsbKey对加密的线路保护密钥或密钥分散因子解密,计算得到线路保护密钥。
在本发明的一优选实例中,所述方法中对采用静态加密密钥进行USBKey总线保护的过程通过如下步骤实现:
(1)客户端发送获取非对称密钥对指令,Usbkey响应后生成公私钥对,并返回公钥作为加密静态线路密钥的加密密钥;
(2)客户端用收到的公钥加密静态线路密钥,将加密后的静态线路密钥发送至UsbKey端,UsbKey端收到密文后,用步骤(1)生成的密钥对中的私钥解密,得到静态线路加密密钥;
(3)若客户端有数据发送到UsbKey,则用静态线路加密密钥,对数据进行对称密钥加密,发送给UsbKey;
(4)UsbKey利用步骤(2)得到的静态线路加密密钥将获得的密文数据解密,得到解密后的明文指令;
(5)若UsbKey有响应数据返回,则利用步骤2得到的静态线路加密密钥将对响应数进行对称密钥加密,并发送给客户端;
(6)客户端利用静态线路加密密钥将密文数据解密,得到解密后的响应数据。
在本发明的另一优选实例中,所述方法中对采用密钥分散因子进行USBKey总线保护的过程通过如下步骤实现:
(1)客户端发送获取非对称密钥对指令,Usbkey响应后生成公私钥对,并返回公钥作为加密静态线路密钥分散因子的加密密钥;
(2)客户端加密静态线路密钥分散因子,将加密后的静态线路密钥分散因子发送至UsbKey端,UsbKey端收到密文后,用步骤(1)生成的公私钥对中的私钥解密,得到静态线路加密密钥分散因子;
(3)客户端和UsbKey端同时对事先约定的线路加密主密钥分散,得到临时会话密钥,作为线路加密密钥;
(4)若客户端有数据发送到UsbKey,则用步骤(3)得到的临时静态线路加密密钥,对数据进行对称密钥加密,发送给UsbKey;
(5)UsbKey利用步骤(3)得到的临时静态线路加密密钥将密文数据解密,得到解密后的明文指令;
(6)若UsbKey有响应数据返回,利用步骤3得到的线路加密密钥对响应数据进行对称密钥加密,并发送给客户端;
(7)客户端利用步骤3得到的线路加密密钥将密文数据解密,得到相应的明文数据。
该方法提高了线路保护密钥的安全性,在UsbKey操作的时间段内,线路密钥由非对称算法保护,很难被破解。同时,若UsbKey交互数据采用静态密钥保护,客户端和UsbKey端事先不需要协商静态密码,可由客户端加密发送给UsbKey,可以随时变换,提高了破解的难度,极大的提高了数据的安全性。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为现有采用协商好的静态密钥对通讯线路进行保护的示意图;
图2为现有采用经过分散的对称密钥对通讯线路进行保护的示意图;
图3为本发明中对采用协商好的静态密钥对通讯线路进行保护的流程图;
图4为本发明中对采用经过分散的对称密钥对通讯线路进行保护的流程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本发明在UsbKey与客户端的通讯过程中通过采用非对称算法对线路静态加密密钥或密钥分散因子进行加密保护,再由UsbKey端对加密的线路静态加密密钥或密钥分散因子进行解密,计算得到线路保护密钥,之后在进行加密通讯。本发明提供的方案通过非对称算法对对明文数据进行加密的密钥进行加密,有效避免数据传输过程中密钥被破解的风险,从而极大的提高了数据的安全性。
以下通过两个具体应用实例来进一步说明本发明的方案:
实例1
参见图3,其所示为利用本发明方案对采用协商好的静态密钥对通讯线路进行保护的流程图。由图可知,客户端与USBKEY之间的通讯过程如下:
1.客户端发送获取非对称密钥对指令,Usbkey响应后生成公私钥对(即密钥对),并返回公钥作为加密静态线路密钥的加密密钥。
该步骤的具体实现过程如下:
A:客户端按照智能卡ISO7816-4规范,组装获取非对称密钥对指令的APDU数据包;
B:APDU数据包形成后,通过USBCCID,UDK或HID协议快速、准确的发送至UsbKey;
C:UsbKey对收到的APDU-数据包解析,调用SM2或RSA算法,生成密钥对,并将公钥以明文方式返回。
2.客户端用收到的公钥加密客户端中实现安全通讯的静态线路密钥,将加密后的静态线路密钥发送至UsbKey端,UsbKey端收到密文后,用步骤(1)中生成公私钥对中的私钥解密,得到静态线路加密密钥。
该步骤的具体实现过程如下:A:客户端可调用非对称SM2,或RSA软算法,用收到的公钥作为加密密钥,静态线路密钥作为明文M1输入,做加密运算,得到密文D1;
B:UsbKey端调用非对称SM2,或RSA软算法,用步骤(1)中生成的密钥对中的私钥作为解密密钥,密文D1作为输入,做解密运算,得到明文M1,即:静态线路密钥。
3.若客户端有数据发送到UsbKey,则用静态线路加密密钥,对数据进行对称密钥加密,发送给UsbKey。
该步骤的具体实现时,采用静态线路加密密钥作为加密密钥,用流加密算法RC4算法对明文指令M2进行加密,得到密文D2,并发送给UsbKey。对于流加密采用RC4算法加密,RC4是一种密钥长度可变的流加密算法,加解密使用相同的密钥,也是对称加密算法,给定一个密钥,RC4可以逐字节的加解密明文密文。
4.UsbKey利用步骤2得到的静态线路加密密钥将密文数据解密,得到解密后的明文指令。
该步骤的具体实现时,UsbKey接收到密文D2后,同样采用RC4算法解密,静态线路加密密钥作为解密密钥,用RC4算法对密文指令D2解密,得到明文M2。
5.若UsbKey有响应数据返回,则利用步骤2得到的静态线路加密密钥对响应数进行对称密钥加密,并发送给客户端。
具体的,若UsbKey解密得到的明文M2为一条取随机数指令:00 84 0000 10;UsbKey端解析后,得知客户端要获取16字节的随机数,则UsbKey内部生成16字节随机数后,采用RC4流加密算法,静态线路加密密钥作为加密密钥,对该随机数明文M3作加密运算,得到密文D3,回传给客户端。
6.客户端利用静态线路加密密钥将密文数据解密,得到解密后的响应数据。具体的,客户端接收到密文D3后,采用RC4算法解密,静态线路加密密钥作为解密密钥,用RC4算法对密文数据D3解密,得到明文M3,即:16字节随机数。
该实例中,使用非对称密钥对静态线路保护密钥进行加密,初始静态密钥只由客户端拥有,客户端与USBKEY之间不需要事先协商,且静态线路保护密钥由非对称算法加密传输,不易破解,提高了数据传输的安全性。
再者,该实例中采用的非对称算法具体为SM2,RSA算法,但不限于该2种算法。
流加密算法具体为RC4算法,但不限于该种算法。
实例2
参见图4,其所示为利用本发明方案对采用经过分散的对称密钥对通讯线路进行保护的流程图。由图可知,客户端与USBKEY之间的通讯过程如下:
1.客户端发送获取非对称密钥对指令,Usbkey响应后生成公私钥对,并返回公钥作为加密静态线路密钥分散因子的加密密钥。
该步骤的具体实现过程如下:
A:客户端按照智能卡ISO7816-4规范,组装获取非对称密钥对指令的APDU数据包;
B:APDU数据包形成后,通过USBCCID,UDK或HID协议快速、准确的发送至UsbKey;
C:UsbKey对收到的APDU-数据包解析,调用SM2或RSA算法,生成密钥对,并将公钥以明文方式返回。
2.客户端利用Usbkey返回的公钥加密静态线路密钥分散因子,将加密后的静态线路密钥分散因子发送至UsbKey端,UsbKey端收到密文后,用步骤1中生成的公私钥对中的私钥对密文进行解密,得到静态线路加密密钥分散因子。
该步骤的具体实现过程如下:
A:客户端可调用非对称SM2,或RSA软算法,用收到的公钥作为加密密钥,静态线路密钥分散因子作为明文M1输入,做加密运算,得到密文D1,并发送至UsbKey端;
B:UsbKey端调用非对称SM2,或RSA软算法,用步骤(1)中生成的密钥对中的私钥作为解密密钥,密文D1作为输入,做解密运算,得到明文M1,即:静态线路密钥分散因子。
3.客户端和UsbKey端利用得到的加密密钥分散因子同时对事先约定的线路加密主密钥分散,得到临时会话密钥,作为线路加密密钥。
具体的,客户端和UsbKey中分别用事先约定的线路主密钥作为原始密钥,加密密钥分散因子作为明文M4,采用SingleDES,TripleDES,SM1,SM4或SSF33(scb2)算法加密,得到密文D4,作为新的线路加密密钥。
4.若客户端有数据发送到UsbKey,则用步骤3得到的静态线路加密密钥,对数据进行对称密钥加密,并发送给UsbKey。
该步骤的具体实现时,客户端采用步骤2中得到的新的线路加密密钥作为加密密钥,用流加密算法RC4算法对明文指令M2进行加密,得到密文D2,并发送给UsbKey。
5.UsbKey利用步骤3得到的新的线路加密密钥将密文数据解密,得到解密后的明文指令。
该步骤的具体实现时,UsbKey接收到密文D2后,同样采用RC4算法解密,通过计算得到的新的线路加密密钥作为解密密钥,用RC4算法对密文指令D2解密,得到明文M2。
6.若UsbKey有响应数据返回,利用步骤3得到的新的线路加密密钥对响应数据进行对称密钥加密,并发送给客户端。
具体的,若UsbKey解密得到的明文M2为一条取随机数指令:00 84 0000 10;UsbKey端解析后,得知客户端要获取16字节的随机数,则UsbKey内部生成16字节随机数后,采用RC4流加密算法,新的线路加密密钥作为加密密钥,对该随机数明文M3作加密运算,得到密文D3,回传给客户端。
7.客户端利用步骤3得到的新的线路加密密钥将密文数据解密,得到相应的明文数据。
具体的,客户端接收到密文D3后,采用RC4算法解密,新的线路加密密钥作为解密密钥,用RC4算法对密文数据D3解密,得到明文M3,即:16字节随机数。
该实例中,使用非对称密钥加密静态线路保护密钥分散因子,分散因子由非对称算法加密传输,不易破解;最后使用分散因子对主密钥做对称加密运算,得到临时会话密钥,极大的提高了数据传输的安全性。
再者,该实例中采用的非对称算法具体为SM2,RSA算法,但不限于该2种算法。
流加密算法具体为RC4算法,但不限于该种算法。
对于步骤3中使用到的密钥分散算法具体可采用SingleDES,TripleDES,SM1,SM4或SSF33(scb2)算法,但不限于该5种算法。
通过上述两个实例可知,采用本方案的流加密总线保护方法,提高了线路保护密钥的安全性,不易被非法破解,且生成和传输保护密钥的过程简单,高效,适用于一代,二代,三代usbkey,用于数据安全传输。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (3)
1.一种USBKey总线保护实现方法,其特征在于,所述方法采用非对称算法对线路静态加密密钥或密钥分散因子进行加密保护,UsbKey对加密的线路保护密钥或密钥分散因子解密,计算得到线路保护密钥。
2.根据权利要求1所述的一种USBKey总线保护实现方法,其特征在于,所述方法中对采用静态加密密钥进行USBKey总线保护的过程通过如下步骤实现:
(1)客户端发送获取非对称密钥对指令,Usbkey响应后生成公私钥对,并返回公钥作为加密静态线路密钥的加密密钥;
(2)客户端用收到的公钥加密静态线路密钥,将加密后的静态线路密钥发送至UsbKey端,UsbKey端收到密文后,用步骤(1)生成的密钥对中的私钥解密,得到静态线路加密密钥;
(3)若客户端有数据发送到UsbKey,则用静态线路加密密钥,对数据进行对称密钥加密,发送给UsbKey;
(4)UsbKey利用步骤(2)得到的静态线路加密密钥将获得的密文数据解密,得到解密后的明文指令;
(5)若UsbKey有响应数据返回,则利用步骤2得到的静态线路加密密钥将对响应数进行对称密钥加密,并发送给客户端;
(6)客户端利用静态线路加密密钥将密文数据解密,得到解密后的响应数据。
3.根据权利要求1所述的一种USBKey总线保护实现方法,其特征在于,所述方法中对采用密钥分散因子进行USBKey总线保护的过程通过如下步骤实现:
(1)客户端发送获取非对称密钥对指令,Usbkey响应后生成公私钥对,并返回公钥作为加密静态线路密钥分散因子的加密密钥;
(2)客户端加密静态线路密钥分散因子,将加密后的静态线路密钥分散因子发送至UsbKey端,UsbKey端收到密文后,用步骤(1)生成的公私钥对中的私钥解密,得到静态线路加密密钥分散因子;
(3)客户端和UsbKey端同时对事先约定的线路加密主密钥分散,得到临时会话密钥,作为线路加密密钥;
(4)若客户端有数据发送到UsbKey,则用步骤(3)得到的临时静态线路加密密钥,对数据进行对称密钥加密,发送给UsbKey;
(5)UsbKey利用步骤(3)得到的临时静态线路加密密钥将密文数据解密,得到解密后的明文指令;
(6)若UsbKey有响应数据返回,利用步骤3得到的线路加密密钥对响应数据进行对称密钥加密,并发送给客户端;
(7)客户端利用步骤3得到的线路加密密钥将密文数据解密,得到相应的明文数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013104106354A CN103475466A (zh) | 2013-09-10 | 2013-09-10 | 一种USBKey总线保护实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013104106354A CN103475466A (zh) | 2013-09-10 | 2013-09-10 | 一种USBKey总线保护实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103475466A true CN103475466A (zh) | 2013-12-25 |
Family
ID=49800181
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013104106354A Pending CN103475466A (zh) | 2013-09-10 | 2013-09-10 | 一种USBKey总线保护实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103475466A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161000A (zh) * | 2015-03-30 | 2016-11-23 | 日本电气株式会社 | 对数据文件进行加密和解密的方法和*** |
| CN106664209A (zh) * | 2014-08-26 | 2017-05-10 | 国际商业机器公司 | 基于密码的秘密加密密钥的生成和管理 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101483654A (zh) * | 2009-02-09 | 2009-07-15 | 北京华大智宝电子***有限公司 | 实现认证及数据安全传输的方法及*** |
| CN102184354A (zh) * | 2011-04-02 | 2011-09-14 | 方园 | 一种网上支付防止数据被伪造和劫持的方法 |
| US20110252243A1 (en) * | 2010-04-07 | 2011-10-13 | Apple Inc. | System and method for content protection based on a combination of a user pin and a device specific identifier |
-
2013
- 2013-09-10 CN CN2013104106354A patent/CN103475466A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101483654A (zh) * | 2009-02-09 | 2009-07-15 | 北京华大智宝电子***有限公司 | 实现认证及数据安全传输的方法及*** |
| US20110252243A1 (en) * | 2010-04-07 | 2011-10-13 | Apple Inc. | System and method for content protection based on a combination of a user pin and a device specific identifier |
| CN102184354A (zh) * | 2011-04-02 | 2011-09-14 | 方园 | 一种网上支付防止数据被伪造和劫持的方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106664209A (zh) * | 2014-08-26 | 2017-05-10 | 国际商业机器公司 | 基于密码的秘密加密密钥的生成和管理 |
| CN106161000A (zh) * | 2015-03-30 | 2016-11-23 | 日本电气株式会社 | 对数据文件进行加密和解密的方法和*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103618607B (zh) | 一种数据安全传输和密钥交换方法 | |
| CN101431406B (zh) | 具有业务流可见性的端到端的网络安全 | |
| CN102664740B (zh) | 一种基于远程授权的招投标文件加解密方法 | |
| CN108768930A (zh) | 一种数据的加密传输方法 | |
| US11316671B2 (en) | Accelerated encryption and decryption of files with shared secret and method therefor | |
| CN103634266B (zh) | 一种对服务器、终端双向认证的方法 | |
| CN101808089A (zh) | 基于非对称加密算法同态性的秘密数据传输保护方法 | |
| CN104901803A (zh) | 一种基于cpk标识认证技术的数据交互安全保护方法 | |
| CN113726725A (zh) | 一种数据加解密方法、装置、电子设备及存储介质 | |
| CN109873699A (zh) | 一种可撤销的身份公钥加密方法 | |
| CN108111308A (zh) | 一种基于动态随机加密的工业互联网通讯加密方法 | |
| CN105262586B (zh) | 汽车防盗设备的密钥分配方法及装置 | |
| CN102404120A (zh) | 电子文档的加密方法及*** | |
| CN105915345B (zh) | 一种家庭网关设备生产测试中授权生产和改制的实现方法 | |
| CN102916810A (zh) | 传感器认证方法、***和装置 | |
| CN104113410A (zh) | 一种基于多表加密法的数据加密传输方法及装置 | |
| CN105871858A (zh) | 一种保证数据安全的方法及*** | |
| CN104717213A (zh) | 一种网络数据传输的加密解密方法及*** | |
| CN103475466A (zh) | 一种USBKey总线保护实现方法 | |
| KR101929355B1 (ko) | 고유 일련번호 및 대칭키를 이용한 암복호화 시스템 | |
| CN107534552A (zh) | 交易完整性密钥的分发和验证 | |
| KR101793528B1 (ko) | 무인증서 공개키 암호 시스템 | |
| CN112149166B (zh) | 非常规密码保护方法及银行智能机器 | |
| CN111314053B (zh) | 一种数据加密和解密方法 | |
| CN111314052B (zh) | 一种数据加密和解密方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20131225 |