CN100464337C - 一种usb设备与主机进行安全通信的方法及装置 - Google Patents
一种usb设备与主机进行安全通信的方法及装置 Download PDFInfo
- Publication number
- CN100464337C CN100464337C CNB2006101128474A CN200610112847A CN100464337C CN 100464337 C CN100464337 C CN 100464337C CN B2006101128474 A CNB2006101128474 A CN B2006101128474A CN 200610112847 A CN200610112847 A CN 200610112847A CN 100464337 C CN100464337 C CN 100464337C
- Authority
- CN
- China
- Prior art keywords
- usb device
- key
- main frame
- enciphering
- deciphering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006854 communication Effects 0.000 title claims abstract description 63
- 238000004891 communication Methods 0.000 title claims abstract description 53
- 238000000034 method Methods 0.000 title claims abstract description 45
- 230000008569 process Effects 0.000 claims description 21
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000004519 manufacturing process Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 4
- 238000003860 storage Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000015572 biosynthetic process Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Images
Abstract
本发明提供了一种USB设备与主机进行安全通信的方法及装置,属于数据通信领域。为了解决现有技术中USB设备与主机进行通信时存在安全隐患的问题,本发明提供了一种USB设备与主机进行安全通信的方法,包括主机对数据进行加密发送给USB设备,USB设备对接收的加密数据进行解密并处理,然后对处理后的数据进行加密发送给主机,主机收到后解密得到经USB设备处理后的数据的步骤。本发明还提供了一种USB设备与主机进行安全通信的装置,包括主机和USB设备。本发明隐藏了有效信息,保证了通信过程中的数据安全,同时实现方法多样,可以根据需要定制安全等级。
Description
技术领域
本发明涉及数据通信领域,特别涉及一种提高USB设备中的数据在与主机间实现安全通信的方法及装置。
背景技术
USB:Universal Serial Bus,通用串行总线,其接口是一种串行接口的新标准,其主要优点是速度快、功耗低、支持即插即用(Plug & Play)、使用安装方便。
随着计算机技术和信息存储技术的快速发展,USB设备已成为人们日常生活、办公和学习必不可少的设备。越来越多的用户都习惯于将大量的文件存放到USB设备之中,通过它很容易地传递文件,这种改进无疑给人们带来便利,但是同时也带来安全性的问题——很多USB设备内部的信息具有机密性,在其与主机进行交互的过程中容易被随意截获,但是,目前的USB设备与主机进行通信时还没有成熟的安全机制对数据进行保护,USB设备的不安全性给敏感信息安全带来了极大的隐患,一旦机密被他人窃取或被非法复制,由此带来的损失是无法估计的。
现有技术中外部设备与主机进行数据通信的过程常采用存储加密或用户身份认证装置来保证设备中数据的安全性,控制非法用户监听或截获敏感信息。例如利用各种密钥机制实现对设备中数据的加密存储,或者利用双因子认证模式来认证用户的身份。然而,非法用户可以通过第三方软件截获该设备与计算机进行通信的数据,并对特征信息进行破解分析,达到窃取设备内部数据的目的,从而给外部设备与计算机通信带来安全隐患。
发明内容
本发明为了解决现有技术中USB设备与主机间进行数据通信时存在安全隐患的问题,提供了一种USB设备与主机进行安全通信的方法及装置。所述技术方案如下:
一种USB设备与主机进行安全通信的方法,方法包括以下步骤:
步骤A:主机用加密密钥对数据进行加密后发送给USB设备;
步骤B:USB设备收到加密数据后用解密密钥进行解密,并进行处理;
步骤C:USB设备将处理后的数据用所述加密密钥进行加密,然后发送给主机;
步骤D:主机收到加密数据后用所述解密密钥进行解密,得到经USB设备处理后的数据。
所述USB设备为智能密钥装置。
所述加/解密密钥是固定密钥。
所述加/解密密钥是动态密钥。
所述加密密钥与解密密钥相同或者是公私钥对。
所述的动态密钥的生成为:
主机向USB设备发命令协商加/解密密钥;
USB设备得到主机发来的协商加/解密密钥命令后生成加/解密密钥,把所述加/解密密钥发送给主机。
所述的动态密钥的生成为:
主机生成加/解密密钥后发送给USB设备。
所述加/解密密钥的生成是在USB设备与主机建立连接时进行,或者是在USB设备与主机的通信过程中进行。
所述的加/解密密钥发送是以明文的形式发送,或者用提前约定的密钥加密后发送。
所述的加/解密的算法是:
DES、3DES、RC4、RC5、RSA、AES或ECC。
本发明同时提供了一种USB设备与主机进行安全通信的装置,所述装置包括主机与USB设备,主机具体包括:
主机密钥协商模块,用于主机向USB设备发协商加/解密密钥命令,或用于主机生成加/解密密钥后发送给USB设备;
主机加/解密模块,用于主机端数据的加/解密;
主机通信模块,用于主机端数据的发送和接收;
USB设备具体包括:
USB设备密钥生成模块,用于USB设备得到主机发来的协商加/解密密钥命令后,生成加/解密密钥;
USB设备加/解密模块,用于USB设备端数据的加/解密;
USB设备通信模块,用于USB设备端数据的发送和接收;
USB设备与主机进行数据通信的密钥生成过程是在USB设备与主机建立连接时进行的,或者在USB设备与主机的通信过程中进行的。
本发明的技术方案带来的有益效果是:
通过采用加密方法,使整个过程中传输于计算机和USB设备之间的数据都是经过加密处理的数据,隐藏了有效信息,从而增加了非法用户分析破译通信数据的难度,在一定程度上保证了通信过程中的数据安全。
本发明实现方法多样,可以根据需要定制安全等级,设备简单,使用方便。
附图说明
图1是本发明实施例1中USB设备与主机进行密钥协商的流程图;
图2是本发明实施例1提供的安全通信方法流程图;
图3是本发明USB设备与主机进行安全通信的装置示意图;
图4是本发明应用图3提供的装置进行数据通信的流程图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明,但不作为对本发明的限定。
本发明采用在USB设备与主机通信前,对需要通信的数据用密钥进行加密,当收到加密后的数据后,用该密钥对应的解密密钥进行解密获取原始数据,从而实现安全通信。
该USB设备为智能密钥装置,可以是USB Token等。智能密钥装置是一种带有处理器和存储器的小型硬件装置,它可通过计算机的数据通讯接口与计算机连接。其具有密钥生成功能,并可安全存储密钥,可预置加密算法功能。智能密钥装置与密钥相关的运算完全在装置内部运行,且智能密钥装置具有抗攻击的特性,安全性极高。
实施例1
该加/解密密钥可以是固定密钥,也可以是动态密钥。如果是固定密钥,则直接用该固定密钥进行数据通信。参见图1,动态密钥的生成过程如下:
步骤101:将USB设备插入主机。
加/解密密钥的生成是在USB设备与主机建立连接时进行,或者是在USB设备与主机的通信过程中进行。本实施例采用USB设备与主机刚建立连接时进行。
步骤102:主机发命令取加/解密密钥。
如果采用的是对称算法,则加密密钥和解密密钥是相同的,如果采用的是非对称算法,则加密密钥和解密密钥是公私钥对,不相同。
步骤103:USB设备得到主机发来的命令后生成加/解密密钥。
步骤104:USB设备用基本密钥对生成的加/解密密钥进行加密。
加/解密密钥发送是以明文的形式发送,或者用提前约定的密钥加密后发送。考虑到安全性,本实施例采用基本密钥(提前约定的密钥)对加/解密密钥进行加密后发送。
这里的基本密钥为USB设备与主机约定的的密钥,此密钥仅仅用于加密协商后的密钥,可以定期由生产密钥的管理程序进行更换。在本实施例中,所述基本密钥在密钥有效期内是固定不变的,如何更换基本密钥不是本文的说明范围。
步骤105:主机接收到加密后的加/解密密钥后,对其进行解密,得到以明文形式存在的会话密钥,以后此加/解密密钥用于加/解密USB设备与主机间的通信数据。
另外,动态密钥也可以直接在主机端生成后发送给USB设备。
上述过程为USB设备插入主机后与主机进行密钥协商的过程,密钥协商完成后,即可进行数据通信。
协商后的密钥用于加/解密USB设备与主机间的通信数据,从而在加/解密密钥每次使用后可以更换,实现一次一密。
如图2所示,USB设备完成与主机间加/解密密钥的协商后,主机与USB设备间建立秘密通道,可以开始安全的数据通信,具体步骤如下:
步骤201:主机根据获取的加/解密密钥,对需要进行通信的数据用加密密钥进行加密生成密文数据,然后将密文数据发送给USB设备。
所述加密和发送过程在主机内部完成。
本实施例采用对称算法为例进行说明,如:
加密前,明文数据为:12345678,加密密钥是Key 1,对其加密后的密文数据为abcdefgh。
主机发送abcdefgh给USB设备。
步骤202:USB设备接收到密文数据后,用解密密钥对其进行解密得到原始数据。
本实施例的USB设备使用的解密密钥为Key 1,对接收到abcdefgh解密后恢复为12345678。
由于密钥可以通过主机随时发命令与USB设备进行协商,从而使每次协商后的密钥得到更换,做到一次一密,即动态密钥。例如USB设备再次插入主机时,主机与USB设备协商得到新的密钥Key 2,USB设备用Key 2对明文12345678加密后的密文数据为a′b′c′d′e′f′g′h′并发送,主机接收a′b′c′d′e′f′g′h′后使用会话密钥Key 2对密文数据解密后恢复为12345678。
从以上过程可以看出,使用同样一段明文用不同会话密钥加密后,在通信过程中的密文数据也不同,从而增加破译通信中密文数据的难度。
步骤203:USB设备内部对解密后的数据进行相应的处理。
该处理包括对数据的读、写及进行相应的变换等。
步骤204:USB设备用与主机协商的密钥对处理后的数据用加密密钥进行加密生成密文数据,然后将该密文数据发送给主机。此时的加密和发送过程在USB设备内部完成。
步骤205:主机接收到密文数据后,用解密密钥对其进行解密,得到经USB设备处理后的数据。
本实施例中的加/解密采用的算法包括但不限于以下几种:
1)DES、3DES、RC4、RC5、RSA、AES、ECC等常用算法;
2)用户自定义算法;
3)简单数据变换。
在本实施例中,加/解密和通信过程可以在主机端的应用程序、动态链接库或者驱动程序中实现。会话密钥的不同性主要取决于通信双方在进行数据通信前,产生的密钥不同。
如图3所示,本发明同时提供了一种USB设备与主机进行安全通信的装置,包括主机与USB设备,其中,主机具体包括:
主机密钥协商模块,用于主机向USB设备发协商加/解密密钥命令,或用于主机生成加/解密密钥后发送给USB设备;
主机加/解密模块,用于主机端数据的加/解密;
主机通信模块,用于主机端数据的发送和接收;
USB设备具体包括:
USB设备密钥生成模块,用于USB设备得到主机发来的协商加/解密密钥命令后,生成加/解密密钥;
USB设备加/解密模块,用于USB设备端数据的加/解密;
USB设备通信模块,用于USB设备端数据的发送和接收;
USB设备与主机进行数据通信的密钥生成过程是在USB设备与主机建立连接时进行的,或者在USB设备与主机的通信过程中进行的。
在本发明中,USB设备与主机进行数据通信要进行密钥协商生成密钥,密钥生成过程可以是在USB设备与主机建立连接时进行,也可以是根据需要在USB设备与主机的通信过程中随时进行。
如图4所示,使用上述装置进行数据通信时,各个模块的交互过程如下:
USB设备与主机建立连接,通过主机密钥协商模块和USB设备密钥生成模块确定加/解密密钥。
主机加/解密模块对要与USB设备进行通信的明文数据进行加密形成密文数据。
加密是指使用密钥对明文数据进行一定的运算后形成密文数据,数据的加密过程在主机内部完成。
主机通信模块将密文发送给USB设备通信模块。
USB设备通信模块接收密文数据后,通过USB设备加/解密模块将密文数据解密成明文数据。该解密过程采用与加密过程对应的算法。
USB设备内部对解密还原后的明文数据进行相应处理。
USB设备加/解密模块对处理后的明文数据进行加密形成密文数据,然后通过USB设备通信模块将密文数据发送给主机。
主机通信模块接收到密文数据后,通过主机加/解密模块将密文数据解密成明文数据,得到经USB设备处理后的数据。
以上对本发明所提供的一种USB设备与主机进行安全通信的方法及装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (11)
1.一种USB设备与主机进行安全通信的方法,其特征在于,所述方法包括以下步骤:
步骤A:主机用加密密钥对数据进行加密后发送给USB设备;
步骤B:USB设备收到加密数据后用解密密钥进行解密,并进行处理;
步骤C:USB设备将处理后的数据用所述加密密钥进行加密,然后发送给主机;
步骤D:主机收到加密数据后用所述解密密钥进行解密,得到经USB设备处理后的数据。
2.如权利要求1所述的USB设备与主机进行安全通信的方法,其特征在于,所述USB设备为智能密钥装置。
3.如权利要求1所述的USB设备与主机进行安全通信的方法,其特征在于,所述加/解密密钥是固定密钥。
4.如权利要求1所述的USB设备与主机进行安全通信的方法,其特征在于,所述加/解密密钥是动态密钥。
5.如权利要求1所述的USB设备与主机进行安全通信的方法,其特征在于,所述加密密钥与解密密钥相同或者是公私钥对。
6.如权利要求4所述的USB设备与主机进行安全通信的方法,其特征在于,所述的动态密钥的生成为:
主机向USB设备发命令协商加/解密密钥;
USB设备得到主机发来的协商加/解密密钥命令后生成加/解密密钥,把所述加/解密密钥发送给主机。
7.如权利要求4所述的USB设备与主机进行安全通信的方法,其特征在于,所述的动态密钥的生成为:
主机生成加/解密密钥后发送给USB设备。
8.如权利要求6或7所述的USB设备与主机进行安全通信的方法,其特征在于,所述加/解密密钥的生成是在USB设备与主机建立连接时进行,或者是在USB设备与主机的通信过程中进行。
9.如权利要求6或7所述的USB设备与主机进行安全通信的方法,其特征在于,所述的加/解密密钥发送是以明文的形式发送,或者用提前约定的密钥加密后发送。
10.如权利要求1所述的USB设备与主机进行安全通信的方法,其特征在于,所述的加/解密的算法是:
DES、3DES、RC4、RC5、RSA、AES或ECC。
11.一种USB设备与主机进行安全通信的装置,所述装置包括主机与USB设备,其特征在于,主机具体包括:
主机密钥协商模块,用于主机向USB设备发协商加/解密密钥命令,或用于主机生成加/解密密钥后发送给USB设备;
主机加/解密模块,用于主机端数据的加/解密;
主机通信模块,用于主机端数据的发送和接收;
USB设备具体包括:
USB设备密钥生成模块,用于USB设备得到主机发来的协商加/解密密钥命令后,生成加/解密密钥;
USB设备加/解密模块,用于USB设备端数据的加/解密;
USB设备通信模块,用于USB设备端数据的发送和接收;
USB设备与主机进行数据通信的密钥生成过程是在USB设备与主机建立连接时进行的,或者在USB设备与主机的通信过程中进行的。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006101128474A CN100464337C (zh) | 2006-09-05 | 2006-09-05 | 一种usb设备与主机进行安全通信的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006101128474A CN100464337C (zh) | 2006-09-05 | 2006-09-05 | 一种usb设备与主机进行安全通信的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1916925A CN1916925A (zh) | 2007-02-21 |
| CN100464337C true CN100464337C (zh) | 2009-02-25 |
Family
ID=37737921
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006101128474A Active CN100464337C (zh) | 2006-09-05 | 2006-09-05 | 一种usb设备与主机进行安全通信的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100464337C (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924739A (zh) * | 2009-06-10 | 2010-12-22 | 北京环球聚浪网络科技有限公司 | 一种软件证书及私钥的加密存储并找回的方法 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282218B (zh) * | 2008-05-20 | 2011-05-25 | 宇龙计算机通信科技(深圳)有限公司 | 分体式终端、及其主机加密及子机解密主机信息的方法 |
| CN101335615B (zh) * | 2008-05-30 | 2010-12-29 | 北京飞天诚信科技有限公司 | 用于usb key音频加解密装置密钥协商的方法 |
| CN103685466A (zh) * | 2013-11-13 | 2014-03-26 | 安徽云盾信息技术有限公司 | 一种基于两对非对称密钥的多设备间加密文件共享的实现方法 |
| CN106572061A (zh) * | 2015-10-10 | 2017-04-19 | 中兴通讯股份有限公司 | 无线通信基站及其数据发送方法、终端及其数据接收方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1702592A (zh) * | 2005-03-23 | 2005-11-30 | 联想(北京)有限公司 | 建立可信输入输出通道的方法 |
| US20060159258A1 (en) * | 2003-06-12 | 2006-07-20 | Koninklijke Philips Electronics, N.V. | Processor for encrypting and/or decrypting data and method of encrypting and/or decrypting data using such a processor |
-
2006
- 2006-09-05 CN CNB2006101128474A patent/CN100464337C/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060159258A1 (en) * | 2003-06-12 | 2006-07-20 | Koninklijke Philips Electronics, N.V. | Processor for encrypting and/or decrypting data and method of encrypting and/or decrypting data using such a processor |
| CN1702592A (zh) * | 2005-03-23 | 2005-11-30 | 联想(北京)有限公司 | 建立可信输入输出通道的方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924739A (zh) * | 2009-06-10 | 2010-12-22 | 北京环球聚浪网络科技有限公司 | 一种软件证书及私钥的加密存储并找回的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1916925A (zh) | 2007-02-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA3061233C (en) | Provisioning a secure connection using a pre-shared key | |
| CN103618607B (zh) | 一种数据安全传输和密钥交换方法 | |
| CN103124269B (zh) | 云环境下基于动态口令与生物特征的双向身份认证方法 | |
| CN101056166B (zh) | 一种提高数据传输安全性的方法 | |
| TWI536790B (zh) | Communication method using fingerprint information authentication | |
| CN105743645B (zh) | 基于puf的流秘钥生成装置、方法及数据加密、解密方法 | |
| CN101043326B (zh) | 动态信息加密系统和方法 | |
| JP2009512069A5 (zh) | ||
| GB2607846A (en) | Dongle for ciphering data | |
| CN104253694A (zh) | 一种用于网络数据传输的保密方法 | |
| WO2017035899A1 (zh) | 一种数据安全处理方法、装置和系统 | |
| CN101706854A (zh) | Usb信息安全设备与主机通信的方法及usb信息安全设备 | |
| CN106656490B (zh) | 量子白板数据存储方法 | |
| CN102811224A (zh) | 一种ssl/tls连接的实现方法、装置及系统 | |
| CN104270242A (zh) | 一种用于网络数据加密传输的加解密装置 | |
| CN204180095U (zh) | 一种用于网络数据加密传输的加解密装置 | |
| CN104901803A (zh) | 一种基于cpk标识认证技术的数据交互安全保护方法 | |
| CN103117851A (zh) | 一种公钥机制实现防篡改防抵赖的加密控制方法及装置 | |
| CN105450419A (zh) | 提高生物识别安全性的方法、装置和系统 | |
| CN100464337C (zh) | 一种usb设备与主机进行安全通信的方法及装置 | |
| CN106209916A (zh) | 工业自动化生产业务数据传输加解密方法及系统 | |
| CN105262586B (zh) | 汽车防盗设备的密钥分配方法及装置 | |
| CN101431411A (zh) | 一种网络游戏数据的动态加密方法 | |
| CN103458401B (zh) | 一种语音加密通信系统及通信方法 | |
| Diallo et al. | A secure authentication scheme for bluetooth connection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: FEITIAN CHENGXIN TECHNOLOGIES CO., LTD. Free format text: FORMER NAME: BEIJING FEITIAN CHENGXIN SCIENCE + TECHNOLOGY CO. LTD. |
|
| CP03 | Change of name, title or address |
Address after: 100085 Beijing city Haidian District Xueqing Road No. 9 Ebizal building B block 17 layer Patentee after: Feitian Technologies Co.,Ltd. Address before: 100083, Haidian District, Xueyuan Road, No. 40 research, 7 floor, 5 floor, Beijing Patentee before: FEITIAN TECHNOLOGIES Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 17th floor, building B, Huizhi building, No.9, Xueqing Road, Haidian District, Beijing 100085 Patentee after: Feitian Technologies Co.,Ltd. Country or region after: China Address before: 100085 17th floor, block B, Huizhi building, No.9 Xueqing Road, Haidian District, Beijing Patentee before: Feitian Technologies Co.,Ltd. Country or region before: China |