專利名稱:數(shù)據(jù)傳輸?shù)木€路保護方法��、系統(tǒng)�����、信息安全設(shè)備及應(yīng)用設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域,特別涉及到一種數(shù)據(jù)傳輸?shù)木€路保護方法��、系統(tǒng)��、信息安全設(shè)備及應(yīng)用設(shè)備���。
背景技術(shù):
信息安全設(shè)備用來存儲一些敏感信息�,并完成一定的密碼算法功能��;使用所述敏感信息和密碼算法時���,要求安全程度較高��,尤其是現(xiàn)在使用的U盾(USB Key)或者智能卡設(shè)備�,在信息交互過程中�����,可以通過監(jiān)聽USB端口獲取交互過程中的信息���,如果傳輸線路上不采用加密保護的話���,就存在很大的安全隱患���。為了使信息交互過程中的數(shù)據(jù)以密文的形式傳輸,現(xiàn)在普遍采用的方法是在設(shè)備中固化一個或者多個對稱密鑰����,與所述信息安全設(shè)備進行信息交互的應(yīng)用設(shè)備采用固化的密鑰進行加解密�����。上述固定密鑰的方式存在很大的不足����,比如,如果一方是PC端��,可以通過內(nèi)存分解或代碼反編譯得到密碼�����,從而可以破解線路中的加密數(shù)據(jù)����,甚至冒充智能卡設(shè)備, 盜用用戶的敏感信息��,使用戶蒙受損失。
發(fā)明內(nèi)容
本發(fā)明的主要目的為提供一種數(shù)據(jù)傳輸?shù)木€路保護方法�,提升了數(shù)據(jù)傳輸?shù)陌踩浴1景l(fā)明提出一種數(shù)據(jù)傳輸?shù)木€路保護方法�����,應(yīng)用于信息安全設(shè)備與應(yīng)用設(shè)備之間的數(shù)據(jù)加密傳輸���,包括步驟信息安全設(shè)備接受至少一公私鑰對的設(shè)置���,且使應(yīng)用設(shè)備具有信息安全設(shè)備公鑰;應(yīng)用設(shè)備向信息安全設(shè)備發(fā)送會話請求���;信息安全設(shè)備在接收應(yīng)用設(shè)備的會話請求并分配會話后�����,設(shè)置包含應(yīng)用設(shè)備的會話請求信息的會話標(biāo)識符�����,并根據(jù)會話標(biāo)識符獲得會話密鑰����;信息安全設(shè)備將所述會話密鑰加密,并使用私鑰簽名傳送給應(yīng)用設(shè)備�;信息安全設(shè)備與應(yīng)用設(shè)備利用所述會話密鑰加解密數(shù)據(jù)進行通信。優(yōu)選地����,所述應(yīng)用設(shè)備向信息安全設(shè)備發(fā)送會話請求的步驟前,還包括步驟應(yīng)用設(shè)備動態(tài)生成公私鑰對和密鑰因子SeedKeyA �����;所述會話請求包括應(yīng)用設(shè)備公鑰和應(yīng)用設(shè)備密鑰因子SeedKeyA��。優(yōu)選地�,所述方法前還包括步驟信息安全設(shè)備初始化�,動態(tài)生成會話根密鑰。優(yōu)選地����,所述信息安全設(shè)備初始化,生成會話根密鑰的步驟后還包括步驟信息安全設(shè)備動態(tài)生成密鑰因子SeedKeyB����。優(yōu)選地,所述會話密鑰是信息安全設(shè)備利用會話根密鑰將會話標(biāo)識符加密獲得; 所述會話標(biāo)識符為密鑰因子SeedKeyA或密鑰因子SeedKeyA和SeedKeyB的組合�����。
優(yōu)選地�����,所述信息安全設(shè)備與應(yīng)用設(shè)備利用所述會話密鑰加解密數(shù)據(jù)進行通信的步驟具體包括當(dāng)所述應(yīng)用設(shè)備向所述信息安全設(shè)備傳送數(shù)據(jù)時�����,所述應(yīng)用設(shè)備用會話密鑰對要傳送的數(shù)據(jù)進行加密�����,得到密文之后把密文和密鑰因子^edKeyA —起送給所述信息安全設(shè)備���;所述信息安全設(shè)備利用根密鑰加密會話標(biāo)識符�,生成所述會話密鑰���,再利用會話密鑰解密密文�����,得到數(shù)據(jù)�。優(yōu)選地,所述信息安全設(shè)備將所述會話密鑰加密是利用應(yīng)用設(shè)備的公鑰進行���。本發(fā)明還提出一種信息安全設(shè)備�,包括會話標(biāo)識設(shè)置單元���,用于在接收應(yīng)用設(shè)備的會話請求并分配會話后���,設(shè)置包含應(yīng)用設(shè)備的會話請求信息的會話標(biāo)識符,并根據(jù)會話標(biāo)識符獲得會話密鑰�;密鑰加密單元�����,用于將所述會話密鑰加密���,并使用私鑰簽名傳送給應(yīng)用設(shè)備��;第一加密通訊單元���,用于與應(yīng)用設(shè)備利用所述會話密鑰加解密數(shù)據(jù)進行通信��。優(yōu)選地�����,所述信息安全設(shè)備還包括根密鑰生成單元����,用于在信息安全設(shè)備初始化時��,動態(tài)生成會話根密鑰�����。優(yōu)選地���,所述信息安全設(shè)備還包括密鑰因子生成單元����,用于動態(tài)生成密鑰因子SeedKeyB�。本發(fā)明還提出一種應(yīng)用設(shè)備,包括會話請求單元�����,用于向信息安全設(shè)備發(fā)送會話請求;密鑰解析單元�,用于解析信息安全設(shè)備加密后并使用私鑰簽名的會話密鑰;所述會話密鑰根據(jù)包含應(yīng)用設(shè)備的會話請求信息的會話標(biāo)識符獲得�;第二加密通訊單元,用于與信息安全設(shè)備利用所述會話密鑰加解密數(shù)據(jù)進行通
fn °優(yōu)選地�,所述應(yīng)用設(shè)備還包括動態(tài)生成單元,用于動態(tài)生成公私鑰對和密鑰因子SeedKeyA ����;所述會話請求包括應(yīng)用設(shè)備公鑰和應(yīng)用設(shè)備密鑰因子SeedKeyA。本發(fā)明還提出一種數(shù)據(jù)傳輸?shù)木€路保護系統(tǒng)��,包括上述信息安全設(shè)備以及應(yīng)用設(shè)備���。上述數(shù)據(jù)傳輸?shù)木€路保護方法��,通過加密包含應(yīng)用設(shè)備的會話請求信息的會話標(biāo)識符,產(chǎn)生與應(yīng)用設(shè)備對應(yīng)的變化的會話密鑰加密會話���,可以防止第三方冒充應(yīng)用設(shè)備�,也可以實現(xiàn)信息安全設(shè)備同時與不同的應(yīng)用設(shè)備或應(yīng)用設(shè)備的不同進程進行會話����;信息安全設(shè)備向應(yīng)用設(shè)備傳送會話密鑰時����,用私鑰進行簽名�,可以防止第三方冒充信息安全設(shè)備,使得傳輸更加安全���。
圖1是本發(fā)明數(shù)據(jù)傳輸?shù)木€路保護方法一實施例的步驟流程示意圖�����;圖2是本發(fā)明數(shù)據(jù)傳輸?shù)木€路保護方法另一實施例的步驟流程示意圖���;圖3是本發(fā)明數(shù)據(jù)傳輸?shù)木€路保護方法又一實施例的步驟流程示意圖;圖4是本發(fā)明信息安全設(shè)備一實施例的結(jié)構(gòu)示意5
圖5是本發(fā)明信息安全設(shè)備另一實施例的結(jié)構(gòu)示意圖�;圖6是本發(fā)明應(yīng)用設(shè)備一實施例的結(jié)構(gòu)示意圖;圖7是本發(fā)明應(yīng)用設(shè)備另一實施例的結(jié)構(gòu)示意圖��;圖8是本發(fā)明數(shù)據(jù)傳輸?shù)木€路保護系統(tǒng)一實施例的結(jié)構(gòu)示意圖�����。本發(fā)明目的的實現(xiàn)���、功能特點及優(yōu)點將結(jié)合實施例���,參照附圖做進一步說明�。
具體實施例方式應(yīng)當(dāng)理解����,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明��。參照圖1����,本發(fā)明提出第一實施例的一種數(shù)據(jù)傳輸?shù)木€路保護方法,使信息安全設(shè)備與應(yīng)用設(shè)備之間的數(shù)據(jù)傳輸更安全����,所述方法可包括步驟S10、信息安全設(shè)備接受至少一公私鑰對的設(shè)置�,且使應(yīng)用設(shè)備具有公鑰;步驟S11��、應(yīng)用設(shè)備向信息安全設(shè)備發(fā)送會話請求���;步驟S12、信息安全設(shè)備在接收應(yīng)用設(shè)備的會話請求并分配會話后���,設(shè)置包含應(yīng)用設(shè)備的會話請求信息的會話標(biāo)識符���,并根據(jù)會話標(biāo)識符獲得會話密鑰���;步驟S13、信息安全設(shè)備將上述會話密鑰加密�����,并使用私鑰簽名傳送給應(yīng)用設(shè)備����;步驟S14、信息安全設(shè)備與應(yīng)用設(shè)備利用上述會話密鑰加解密數(shù)據(jù)進行通信��。本實施例中����,上述信息安全設(shè)備可以是U盾、讀卡器或者智能卡等具有密碼運算功能的設(shè)備�;上述應(yīng)用設(shè)備可以是需要與上述信息安全設(shè)備進行數(shù)據(jù)交換的其他設(shè)備或設(shè)備的進程。如步驟SlO所述��,首先,需要在上述信息安全設(shè)備中設(shè)置至少一公私鑰對�,且使應(yīng)用設(shè)備具有公鑰;本實施例與該公私鑰對相應(yīng)的加密算法可以使用RSA���、ECC(Elliptic Curves Cryptography�����,橢圓曲線密碼)等算法�。此步驟可以是在信息安全設(shè)備使用之初一次性設(shè)置�����,也可以在使用后進行多次設(shè)置���。如步驟Sll所述�,在信息安全設(shè)備中設(shè)置好公私鑰對并且應(yīng)用設(shè)備中具有公鑰后��,當(dāng)應(yīng)用設(shè)備需要與信息安全設(shè)備進行數(shù)據(jù)交換時��,將向該信息安全設(shè)備發(fā)送會話請求�����。如步驟S12所述,上述信息安全設(shè)備接收上述會話請求后�,將為上述應(yīng)用設(shè)備分配會話�,并將為分配的會話設(shè)置會話標(biāo)識符,根據(jù)該會話標(biāo)識符獲得會話密鑰���。該會話標(biāo)識符包含應(yīng)用設(shè)備的會話請求信息�����,可以對上述會話進行唯一標(biāo)識����,該會話密鑰可以加密會話����。如步驟S13所述,上述信息安全設(shè)備將上述會話密鑰使用加密的方式�����,傳送給上述應(yīng)用設(shè)備��,并使用信息安全設(shè)備中的私鑰進行簽名���,使該應(yīng)用設(shè)備可以利用接收的信息安全設(shè)備的公鑰進行驗證�����,增強會話安全性��。如步驟S14所述��,上述信息安全設(shè)備和上述應(yīng)用設(shè)備使用上述會話密鑰加解密數(shù)據(jù)信息���,進行數(shù)據(jù)交換����。當(dāng)該應(yīng)用設(shè)備需要從信息安全設(shè)備中獲取數(shù)據(jù)信息時��,信息安全設(shè)備將應(yīng)用設(shè)備需要的數(shù)據(jù)信息利用會話密鑰進行加密后�,傳送給該應(yīng)用設(shè)備;應(yīng)用設(shè)備利用會話密鑰解密密文信息得到所需要的數(shù)據(jù)信息����。當(dāng)上述應(yīng)用設(shè)備需要向上述信息安全設(shè)備發(fā)送數(shù)據(jù)信息時,應(yīng)用設(shè)備利用會話密鑰加密的數(shù)據(jù)后���,傳送給該信息安全設(shè)備�����;該信息安全設(shè)備利用會話密鑰解密密文信息得到該應(yīng)用設(shè)備傳送的數(shù)據(jù)信息���,使得數(shù)據(jù)交換安全進行。
上述數(shù)據(jù)傳輸?shù)木€路保護方法�����,通過加密包含應(yīng)用設(shè)備的會話請求信息的會話標(biāo)識符����,產(chǎn)生與應(yīng)用設(shè)備對應(yīng)的變化的會話密鑰加密會話,可以防止第三方冒充應(yīng)用設(shè)備��,也可以實現(xiàn)信息安全設(shè)備同時與不同的應(yīng)用設(shè)備或應(yīng)用設(shè)備的不同進程進行會話��;信息安全設(shè)備向應(yīng)用設(shè)備傳送會話密鑰時����,用私鑰進行簽名,可以防止第三方冒充信息安全設(shè)備�����,使得傳輸更加安全。參照圖2���,在本發(fā)明另一實施例中����,上述一種數(shù)據(jù)傳輸?shù)木€路保護方法可包括步驟S10���、信息安全設(shè)備接受至少一公私鑰對的設(shè)置�����,且使應(yīng)用設(shè)備具有公鑰��;步驟S100�、信息安全設(shè)備初始化����,動態(tài)生成會話根密鑰;步驟S101����、應(yīng)用設(shè)備動態(tài)生成公私鑰對和密鑰因子SeedKeyA ;步驟S110�����、應(yīng)用設(shè)備向信息安全設(shè)備發(fā)送包含應(yīng)用設(shè)備公鑰和密鑰因子 SeedKeyA的會話請求;步驟S120���、信息安全設(shè)備接收會話請求并分配會話��,設(shè)置密鑰因子SeedKeyA為會話標(biāo)識符�,用會話根密鑰加密會話標(biāo)識符獲得會話密鑰���;步驟S130、信息安全設(shè)備將上述會話密鑰利用應(yīng)用設(shè)備的公鑰進行加密��,并使用私鑰簽名傳送給應(yīng)用設(shè)備���;步驟S14����、信息安全設(shè)備與應(yīng)用設(shè)備利用上述會話密鑰加解密數(shù)據(jù)進行通信���。如步驟SlO所述�����,首先��,需要在上述信息安全設(shè)備中設(shè)置至少一公私鑰對�����,且使應(yīng)用設(shè)備具有公鑰����。如步驟SlOO所述,上述信息安全設(shè)備初始化��,動態(tài)生成會話根密鑰����;該會話根密鑰可以加密會話標(biāo)識符,產(chǎn)生會話密鑰�����。如步驟SlOl所述�,上述應(yīng)用設(shè)備可動態(tài)生成公私鑰對和密鑰因子SeedKeyA ;該公私鑰對可以加解密會話密鑰���,該密鑰因子^edKeyA可以作為會話標(biāo)識符�。如步驟SllO所述,上述應(yīng)用設(shè)備向信息安全設(shè)備發(fā)送包含應(yīng)用設(shè)備公鑰和密鑰因子SeedKeyA的會話請求��;該應(yīng)用設(shè)備公鑰可以加密會話密鑰�����。如步驟S120所述�,上述信息安全設(shè)備接收上述會話請求后,為上述應(yīng)用設(shè)備分配會話��。該信息安全設(shè)備設(shè)置密鑰因子SeedKeyA為會話標(biāo)識符�,用會話根密鑰加密會話標(biāo)識符獲得會話密鑰。如步驟S130所述���,上述信息安全設(shè)備,將上述會話密鑰使用應(yīng)用設(shè)備產(chǎn)生的公鑰加密��,并使用信息安全設(shè)備的私鑰簽名傳送給該應(yīng)用設(shè)備���;應(yīng)用設(shè)備使用信息安全設(shè)備的公鑰驗證該私鑰簽名�����,并使用自身產(chǎn)生的私鑰進行解密�,獲得會話密鑰。如步驟S140所述��,當(dāng)上述應(yīng)用設(shè)備需要向上述信息安全設(shè)備傳送數(shù)據(jù)信息時��,應(yīng)用設(shè)備用會話密鑰對要傳送的數(shù)據(jù)進行加密�,得到密文之后將密文和密鑰因子^edKeyA 一起發(fā)送給信息安全設(shè)備。該信息安全設(shè)備利用根密鑰加密會話標(biāo)識符�����,生成會話密鑰�����,再利用會話密鑰解密密文���,得到應(yīng)用設(shè)備傳送的數(shù)據(jù)��。該信息安全設(shè)備處理應(yīng)用設(shè)備傳送的數(shù)據(jù)可得到響應(yīng)數(shù)據(jù)����,用會話密鑰加密該響應(yīng)數(shù)據(jù)�,得到響應(yīng)密文并傳送給應(yīng)用設(shè)備;該應(yīng)用設(shè)備用會話密鑰解密響應(yīng)密文得到響應(yīng)明文。上述數(shù)據(jù)傳輸?shù)木€路保護方法���,通過采用可變化的根密鑰加密會話標(biāo)識符形成會話密鑰��,進一步提升了會話密鑰的隨機性�;在會話過程中��,信息安全設(shè)備不保存會話密鑰����, 而是在應(yīng)答應(yīng)用設(shè)備的信息時才由根密鑰加密會話標(biāo)識符臨時生成會話密鑰,如此會話標(biāo)識符不易被盜取���,從而使得會話更加安全�;同時�����,減少了該信息安全設(shè)備的存儲量�。參照圖3����,在本發(fā)明又一實施例中,上述一種數(shù)據(jù)傳輸?shù)木€路保護方法可包括步驟S10、信息安全設(shè)備接受至少一公私鑰對的設(shè)置����,且使應(yīng)用設(shè)備具有公鑰;步驟S100�、信息安全設(shè)備初始化,動態(tài)生成會話根密鑰���;步驟S1000����、信息安全設(shè)備動態(tài)生成密鑰因子SeedKeyB ���;步驟S101����、應(yīng)用設(shè)備動態(tài)生成公私鑰對和密鑰因子SeedKeyA �;步驟S110、應(yīng)用設(shè)備向信息安全設(shè)備發(fā)送包含應(yīng)用設(shè)備公鑰和密鑰因子 SeedKeyA的會話請求�;步驟S121、信息安全設(shè)備接收會話請求并分配會話��,設(shè)置密鑰因子SeedKeyA和 SeedKeyB為會話標(biāo)識符�����,用會話根密鑰加密會話標(biāo)識符獲得會話密鑰;步驟S130�����、信息安全設(shè)備將上述會話密鑰利用應(yīng)用設(shè)備的公鑰進行加密�����,并使用私鑰簽名傳送給應(yīng)用設(shè)備���;步驟S14�、信息安全設(shè)備與應(yīng)用設(shè)備利用上述會話密鑰加解密數(shù)據(jù)進行通信�。如步驟SlO所述,首先�����,需要在上述信息安全設(shè)備中設(shè)置至少一公私鑰對�,且使應(yīng)用設(shè)備具有公鑰。如步驟SlOO所述�����,上述信息安全設(shè)備初始化���,動態(tài)生成會話根密鑰��;該會話根密鑰可以加密會話標(biāo)識符���,產(chǎn)生會話密鑰。如步驟S1000所述�,上述信息安全設(shè)備動態(tài)生成密鑰因子kedKeyB。該密鑰因子 SeedKeyB可以作為會話標(biāo)識符��。如步驟SlOl所述�����,上述應(yīng)用設(shè)備動態(tài)生成公私鑰對和密鑰因子SeedKeyA ���;該公私鑰對可以加解密會話密鑰���,該密鑰因子SeedKeyA也可以作為會話標(biāo)識符。如步驟SllO所述���,上述應(yīng)用設(shè)備向信息安全設(shè)備發(fā)送包含應(yīng)用設(shè)備公鑰和密鑰因子SeedKeyA的會話請求����;該應(yīng)用設(shè)備公鑰可以加密會話密鑰。如步驟S121所述���,上述信息安全設(shè)備接收上述會話請求后���,為上述應(yīng)用設(shè)備分配會話。該信息安全設(shè)備設(shè)置密鑰因子SeedKeyA和SeedKeyB為會話標(biāo)識符����,用會話根密鑰加密會話標(biāo)識符獲得會話密鑰。如步驟S130所述���,上述信息安全設(shè)備�,將上述會話密鑰使用應(yīng)用設(shè)備產(chǎn)生的公鑰加密��,并使用信息安全設(shè)備的私鑰簽名傳送給該應(yīng)用設(shè)備��;應(yīng)用設(shè)備使用信息安全設(shè)備的公鑰驗證該私鑰簽名�����,并使用自身產(chǎn)生的私鑰進行解密����,獲得會話密鑰��。如步驟S14所述,當(dāng)上述應(yīng)用設(shè)備需要向上述信息安全設(shè)備傳送數(shù)據(jù)信息時���,應(yīng)用設(shè)備用會話密鑰對要傳送的數(shù)據(jù)進行加密���,得到密文之后將密文和密鑰因子^edKeyA 一起發(fā)送給信息安全設(shè)備。該信息安全設(shè)備利用根密鑰加密會話標(biāo)識符��,生成會話密鑰���,再利用會話密鑰解密密文����,得到應(yīng)用設(shè)備傳送的數(shù)據(jù)����。該信息安全設(shè)備處理應(yīng)用設(shè)備傳送的數(shù)據(jù)可得到響應(yīng)數(shù)據(jù),用會話密鑰加密該響應(yīng)數(shù)據(jù)�,得到響應(yīng)密文并傳送給應(yīng)用設(shè)備;該應(yīng)用設(shè)備用會話密鑰解密響應(yīng)密文得到響應(yīng)明文�����。上述數(shù)據(jù)傳輸?shù)木€路保護方法,通過采用可變化的根密鑰加密由信息安全設(shè)備的密鑰因子和應(yīng)用設(shè)備的密鑰因子組成的會話標(biāo)識符���,形成會話密鑰���,進一步提升了會話密鑰的隨機性,從而使得會話更加安全��。參照圖4�����,本發(fā)明提出一種信息安全設(shè)備20的一實施例�����。該信息安全設(shè)備20可包括會話標(biāo)識設(shè)置單元21��、密鑰加密單元22以及第一加密通訊單元23等���;該會話標(biāo)識設(shè)置單元21��,用于在接收應(yīng)用設(shè)備的會話請求并分配會話后���,設(shè)置包含應(yīng)用設(shè)備的會話請求信息的會話標(biāo)識符���,并根據(jù)會話標(biāo)識符獲得會話密鑰;該密鑰加密單元22�,用于將上述會話密鑰加密���,并使用私鑰簽名傳送給應(yīng)用設(shè)備�;該第一加密通訊單元23��,用于與應(yīng)用設(shè)備利用上述會話密鑰加解密數(shù)據(jù)進行通信���。首先�,需要在上述信息安全設(shè)備20中設(shè)置至少一公私鑰對��,且使應(yīng)用設(shè)備具有公鑰�;本實施例與該公私鑰對相應(yīng)的加密算法可以使用RSA、ECC(Elliptic Curves Cryptography�,橢圓曲線密碼)等算法。此步驟可以是在信息安全設(shè)備20使用之初一次性設(shè)置�����,也可以在使用后進行多次設(shè)置。在信息安全設(shè)備20中設(shè)置好公私鑰對并且應(yīng)用設(shè)備中具有公鑰后�,當(dāng)應(yīng)用設(shè)備需要與信息安全設(shè)備20進行數(shù)據(jù)交換時,將向該信息安全設(shè)備20發(fā)送會話請求���。上述會話標(biāo)識設(shè)置單元21在信息安全設(shè)備20接收上述會話請求后�����,將為上述應(yīng)用設(shè)備分配會話��,并將為分配的會話設(shè)置會話標(biāo)識符��,根據(jù)該會話標(biāo)識符獲得會話密鑰�。該會話標(biāo)識符包含應(yīng)用設(shè)備的會話請求信息����,可以對上述會話進行唯一標(biāo)識,該會話密鑰可以加密會話����。上述密鑰加密單元22將上述會話密鑰使用加密的方式,傳送給上述應(yīng)用設(shè)備����,并使用信息安全設(shè)備20中的私鑰進行簽名��,使該應(yīng)用設(shè)備可以利用接收的信息安全設(shè)備20 的公鑰進行驗證����,增強會話安全性����。上述第一加密通訊單元23可在與應(yīng)用設(shè)備使用上述會話密鑰加解密數(shù)據(jù)信息, 進行數(shù)據(jù)交換�。當(dāng)該應(yīng)用設(shè)備需要從信息安全設(shè)備20中獲取數(shù)據(jù)信息時,該第一加密通訊單元23將應(yīng)用設(shè)備需要的數(shù)據(jù)信息利用會話密鑰進行加密后�����,傳送給該應(yīng)用設(shè)備��;應(yīng)用設(shè)備利用會話密鑰解密密文信息得到所需要的數(shù)據(jù)信息�。當(dāng)上述應(yīng)用設(shè)備需要向上述信息安全設(shè)備20發(fā)送數(shù)據(jù)信息時�����,應(yīng)用設(shè)備利用會話密鑰加密的數(shù)據(jù)后���,傳送給該第一加密通訊單元23 �;該第一加密通訊單元23利用會話密鑰解密密文信息得到該應(yīng)用設(shè)備傳送的數(shù)據(jù)信息,使得數(shù)據(jù)交換安全進行�����。參照圖5��,在本發(fā)明另一實施例中�����,上述信息安全設(shè)備20還可包括根密鑰生成單元對�,用于在信息安全設(shè)備20初始化時,動態(tài)生成會話根密鑰���。上述信息安全設(shè)備20還包括密鑰因子生成單元25����,用于動態(tài)生成密鑰因子SeedKeyB�。上述應(yīng)用設(shè)備可動態(tài)生成公私鑰對和密鑰因子SeedKeyA ;該公私鑰對可以加解密會話密鑰�,該密鑰因子SeedKeyA可以作為會話標(biāo)識符。上述應(yīng)用設(shè)備向信息安全設(shè)備20 發(fā)送包含應(yīng)用設(shè)備公鑰和密鑰因子SeedKeyA的會話請求�����;該應(yīng)用設(shè)備公鑰可以加密會話密鑰。上述信息安全設(shè)備20接收上述會話請求后�����,為上述應(yīng)用設(shè)備分配會話��。該信息安全設(shè)備20設(shè)置密鑰因子SeedKeyA為會話標(biāo)識符����,用會話根密鑰加密會話標(biāo)識符獲得會話密鑰。上述信息安全設(shè)備20動態(tài)生成密鑰因子kedKeyB�����。該密鑰因子kedKeyB可以作為會話標(biāo)識符����。上述應(yīng)用設(shè)備動態(tài)生成公私鑰對和密鑰因子SeedKeyA ���;該公私鑰對可以加解密會話密鑰����,該密鑰因子^edKeyA也可以作為會話標(biāo)識符。該應(yīng)用設(shè)備向信息安全設(shè)備20發(fā)送包含應(yīng)用設(shè)備公鑰和密鑰因子^edKeyA的會話請求�;該應(yīng)用設(shè)備公鑰可以加密會話密鑰。該信息安全設(shè)備20接收上述會話請求后�,為上述應(yīng)用設(shè)備分配會話。該信息安全設(shè)備20設(shè)置密鑰因子SeedKeyA和SeedKeyB為會話標(biāo)識符��,用會話根密鑰加密會話標(biāo)識符獲得會話密鑰����。上述信息安全設(shè)備20通過采用可變化的根密鑰加密,并由該信息安全設(shè)備20的密鑰因子����,或者該信息安全設(shè)備20的密鑰因子和應(yīng)用設(shè)備的密鑰因子組成的會話標(biāo)識符, 形成會話密鑰�,進一步提升了會話密鑰的隨機性,從而使得會話更加安全�。參照圖6,本發(fā)明還提出一種應(yīng)用設(shè)備30的一實施例���。該應(yīng)用設(shè)備30可包括會話請求單元31�、密鑰解析單元32以及第二加密通訊單元33等��;該會話請求單元31�����,用于向信息安全設(shè)備20發(fā)送會話請求;該密鑰解析單元32�,用于解析信息安全設(shè)備20加密后并使用私鑰簽名的會話密鑰;所述會話密鑰根據(jù)包含應(yīng)用設(shè)備30的會話請求信息的會話標(biāo)識符獲得�����;該第二加密通訊單元33���,用于與信息安全設(shè)備20利用所述會話密鑰加解密數(shù)據(jù)進行通信��。參照圖7���,在本發(fā)明另一實施例中,上述應(yīng)用設(shè)備30還包括動態(tài)生成單元34�,用于動態(tài)生成公私鑰對和密鑰因子SeedKeyA ;該會話請求包括應(yīng)用設(shè)備30公鑰和應(yīng)用設(shè)備 30密鑰因子SeedKeyA��。上述應(yīng)用設(shè)備30可動態(tài)生成公私鑰對和密鑰因子SeedKeyA ���;該公私鑰對可以加解密會話密鑰,該密鑰因子SeedKeyA可以作為會話標(biāo)識符����。上述應(yīng)用設(shè)備30向信息安全設(shè)備20發(fā)送包含應(yīng)用設(shè)備30公鑰和密鑰因子SeedKeyA的會話請求��;該應(yīng)用設(shè)備30公鑰可以加密會話密鑰�。上述信息安全設(shè)備20接收上述會話請求后�����,為上述應(yīng)用設(shè)備30分配會話����。該信息安全設(shè)備20設(shè)置密鑰因子SeedKeyA為會話標(biāo)識符,用會話根密鑰加密會話標(biāo)識符獲得會話密鑰��。上述應(yīng)用設(shè)備30可動態(tài)生成公私鑰對和密鑰因子SeedKeyA ���;該公私鑰對可以加解密會話密鑰�,該密鑰因子SeedKeyA可以作為會話標(biāo)識符�。上述應(yīng)用設(shè)備30向信息安全設(shè)備20發(fā)送包含應(yīng)用設(shè)備30公鑰和密鑰因子SeedKeyA的會話請求;該應(yīng)用設(shè)備30公鑰可以加密會話密鑰�。上述信息安全設(shè)備20接收上述會話請求后,為上述應(yīng)用設(shè)備30分配會話���。該信息安全設(shè)備20設(shè)置密鑰因子SeedKeyA為會話標(biāo)識符����,用會話根密鑰加密會話標(biāo)識符獲得會話密鑰。參照圖8����,本發(fā)明提出一種數(shù)據(jù)傳輸?shù)木€路保護系統(tǒng)的一實施例。該系統(tǒng)可包括信息安全設(shè)備20以及應(yīng)用設(shè)備30�。該信息安全設(shè)備20可包括會話標(biāo)識設(shè)置單元21、密鑰加密單元22以及第一加密通訊單元23等���;該會話標(biāo)識設(shè)置單元21����,用于在接收應(yīng)用設(shè)備 30的會話請求并分配會話后�����,設(shè)置包含應(yīng)用設(shè)備30的會話請求信息的會話標(biāo)識符�,并根據(jù)會話標(biāo)識符獲得會話密鑰;該密鑰加密單元22��,用于將上述會話密鑰加密����,并使用私鑰簽名傳送給應(yīng)用設(shè)備30 ;該第一加密通訊單元23�,用于與應(yīng)用設(shè)備30利用上述會話密鑰加解密數(shù)據(jù)進行通信。該應(yīng)用設(shè)備30可包括會話請求單元31�、密鑰解析單元32以及第二加密通訊單元33等;該會話請求單元31�����,用于向信息安全設(shè)備20發(fā)送會話請求�����;該密鑰解析單元32�, 用于解析信息安全設(shè)備20加密后并使用私鑰簽名的會話密鑰;所述會話密鑰根據(jù)包含應(yīng)用設(shè)備30的會話請求信息的會話標(biāo)識符獲得��;該第二加密通訊單元33�����,用于與信息安全設(shè)備20利用所述會話密鑰加解密數(shù)據(jù)進行通信��。上述信息安全設(shè)備20以及應(yīng)用設(shè)備30可如上述實施例中所述�。
10
以上所述僅為本發(fā)明的優(yōu)選實施例,并非因此限制本發(fā)明的專利范圍,凡是利用本發(fā)明說明書及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換�,或直接或間接運用在其他相關(guān)的技術(shù)領(lǐng)域,均同理包括在本發(fā)明的專利保護范圍內(nèi)���。
權(quán)利要求
1.一種數(shù)據(jù)傳輸?shù)木€路保護方法���,應(yīng)用于信息安全設(shè)備與應(yīng)用設(shè)備之間的數(shù)據(jù)加密傳輸,其特征在于�����,包括步驟信息安全設(shè)備接受至少一公私鑰對的設(shè)置��,且使應(yīng)用設(shè)備具有信息安全設(shè)備公鑰�����; 應(yīng)用設(shè)備向信息安全設(shè)備發(fā)送會話請求���;信息安全設(shè)備在接收應(yīng)用設(shè)備的會話請求并分配會話后����,設(shè)置包含應(yīng)用設(shè)備的會話請求信息的會話標(biāo)識符��,并根據(jù)會話標(biāo)識符獲得會話密鑰;信息安全設(shè)備將所述會話密鑰加密���,并使用私鑰簽名傳送給應(yīng)用設(shè)備���; 信息安全設(shè)備與應(yīng)用設(shè)備利用所述會話密鑰加解密數(shù)據(jù)進行通信�。
2.根據(jù)權(quán)利要求1所述的數(shù)據(jù)傳輸?shù)木€路保護方法,其特征在于�����,所述應(yīng)用設(shè)備向信息安全設(shè)備發(fā)送會話請求的步驟前�����,還包括步驟應(yīng)用設(shè)備動態(tài)生成公私鑰對和密鑰因子SeedKeyA ����;所述會話請求包括應(yīng)用設(shè)備公鑰和應(yīng)用設(shè)備密鑰因子SeedKeyA。
3.根據(jù)權(quán)利要求2所述的數(shù)據(jù)傳輸?shù)木€路保護方法�����,其特征在于�����,所述方法前還包括步驟信息安全設(shè)備初始化,動態(tài)生成會話根密鑰�。
4.根據(jù)權(quán)利要求3所述的數(shù)據(jù)傳輸?shù)木€路保護方法,其特征在于��,所述信息安全設(shè)備初始化����,生成會話根密鑰的步驟后還包括步驟信息安全設(shè)備動態(tài)生成密鑰因子SeedKeyB。
5.根據(jù)權(quán)利要求4所述的數(shù)據(jù)傳輸?shù)木€路保護方法��,其特征在于���,所述會話密鑰是信息安全設(shè)備利用會話根密鑰將會話標(biāo)識符加密獲得����;所述會話標(biāo)識符為密鑰因子 SeedKeyA或密鑰因子kedKeyA和kedKeyB的組合����。
6.根據(jù)權(quán)利要求5所述的數(shù)據(jù)傳輸?shù)木€路保護方法,其特征在于�,所述信息安全設(shè)備與應(yīng)用設(shè)備利用所述會話密鑰加解密數(shù)據(jù)進行通信的步驟具體包括當(dāng)所述應(yīng)用設(shè)備向所述信息安全設(shè)備傳送數(shù)據(jù)時,所述應(yīng)用設(shè)備用會話密鑰對要傳送的數(shù)據(jù)進行加密���,得到密文之后把密文和密鑰因子SeedKeyA —起送給所述信息安全設(shè)備����; 所述信息安全設(shè)備利用根密鑰加密會話標(biāo)識符,生成所述會話密鑰�����,再利用會話密鑰解密密文���,得到數(shù)據(jù)。
7.根據(jù)權(quán)利要求3所述的數(shù)據(jù)傳輸?shù)木€路保護方法�����,其特征在于�,所述信息安全設(shè)備將所述會話密鑰加密是利用應(yīng)用設(shè)備的公鑰進行。
8.一種信息安全設(shè)備���,其特征在于����,包括會話標(biāo)識設(shè)置單元����,用于在接收應(yīng)用設(shè)備的會話請求并分配會話后��,設(shè)置包含應(yīng)用設(shè)備的會話請求信息的會話標(biāo)識符�,并根據(jù)會話標(biāo)識符獲得會話密鑰��;密鑰加密單元�����,用于將所述會話密鑰加密�,并使用私鑰簽名傳送給應(yīng)用設(shè)備; 第一加密通訊單元�����,用于與應(yīng)用設(shè)備利用所述會話密鑰加解密數(shù)據(jù)進行通信��。
9.根據(jù)權(quán)利要求8所述的信息安全設(shè)備����,其特征在于,所述信息安全設(shè)備還包括 根密鑰生成單元�,用于在信息安全設(shè)備初始化時,動態(tài)生成會話根密鑰�。
10.根據(jù)權(quán)利要求9所述的信息安全設(shè)備�,其特征在于����,所述信息安全設(shè)備還包括 密鑰因子生成單元,用于動態(tài)生成密鑰因子SeedKeyB���。
11.一種應(yīng)用設(shè)備��,其特征在于��,包括會話請求單元��,用于向信息安全設(shè)備發(fā)送會話請求;密鑰解析單元����,用于解析信息安全設(shè)備加密后并使用私鑰簽名的會話密鑰;所述會話密鑰根據(jù)包含應(yīng)用設(shè)備的會話請求信息的會話標(biāo)識符獲得�;第二加密通訊單元,用于與信息安全設(shè)備利用所述會話密鑰加解密數(shù)據(jù)進行通信�。
12.根據(jù)權(quán)利要求11所述的信息安全設(shè)備,其特征在于�����,所述應(yīng)用設(shè)備還包括動態(tài)生成單元,用于動態(tài)生成公私鑰對和密鑰因子SeedKeyA �;所述會話請求包括應(yīng)用設(shè)備公鑰和應(yīng)用設(shè)備密鑰因子SeedKeyA。
13.一種數(shù)據(jù)傳輸?shù)木€路保護系統(tǒng)���,包括如權(quán)利要求8至10中任一項所述的信息安全設(shè)備以及如權(quán)利要求11或12中所述的應(yīng)用設(shè)備�����。
全文摘要
本發(fā)明揭示了一種數(shù)據(jù)傳輸?shù)木€路保護方法�、系統(tǒng)�����、信息安全設(shè)備及應(yīng)用設(shè)備���。該方法可應(yīng)用于信息安全設(shè)備與應(yīng)用設(shè)備之間的數(shù)據(jù)加密傳輸�����,包括步驟信息安全設(shè)備接受至少一公私鑰對的設(shè)置�����,且使應(yīng)用設(shè)備具有信息安全設(shè)備公鑰��;當(dāng)應(yīng)用設(shè)備需要與信息安全設(shè)備會話時��,向信息安全設(shè)備發(fā)送會話請求�;信息安全設(shè)備在接收應(yīng)用設(shè)備的會話請求并分配會話后,設(shè)置包含應(yīng)用設(shè)備的會話請求信息的會話標(biāo)識符�����,并根據(jù)會話標(biāo)識符獲得會話密鑰��;信息安全設(shè)備將所述會話密鑰加密��,并使用私鑰簽名傳送給應(yīng)用設(shè)備����;信息安全設(shè)備與應(yīng)用設(shè)備利用所述會話密鑰加解密數(shù)據(jù)進行通信。本發(fā)明通過加密包含應(yīng)用設(shè)備的會話請求信息的會話標(biāo)識符�����,可進一步提升會話的安全性�。
文檔編號H04L9/28GK102394749SQ20111028907
公開日2012年3月28日 申請日期2011年9月26日 優(yōu)先權(quán)日2011年9月26日
發(fā)明者陳柳章 申請人:深圳市文鼎創(chuàng)數(shù)據(jù)科技有限公司