[发明专利]一种基于USBKey的安全传输数据的方法及系统

说明书

技术领域

本发明属于信息安全领域，具体涉及一种基于USBKey的安全传输数据的方法及系统。

背景技术

数字证书是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构——CA机构，又称为证书授权中心发行的，人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。

USBKey作为数字证书的载体在PKI（Public Key Infrastructure公钥基础设施）领域的应用越来越普遍，特别是在网上银行金融业务系统上的应用非常广泛，能够较好地保证用户网络付款、转账等操作的安全性。然而正是由于USBKey地位的重要性，近几年来对USBKey的攻击手段层出不穷，黑客通过在用户机器上安装病毒、木马等恶意程序非法截取在USB信道上传输的交易数据等关键信息，或通过解析获取到的传输信息非法插入指令等手段以达到攻击目的。

由于USBKey面临的环境越来越复杂，所以充分保证USB信道上传输信息的机密性至关重要。因此，需要采取切实有效的加密方法对USB信道上传输的信息进行加密。同时为了保证传输的效率，采用的加密算法大多为流密码算法（又称“序列密码算法”）或其它对称密码算法，这些密码算法都需要一个秘密密钥（即加解密密钥），并且上位机和USBKey须持有相同的秘密密钥。由于操作系统的不安全性，将秘密密钥存储在应用程序软件中是不安全的，黑客、恶意程序等可以通过反编译等手段获取到存储在软件中的秘密密钥。

发明内容

针对现有技术中存在的缺陷，本发明的目的是提供一种基于USBKey的安全传输数据的方法及系统。该方法及系统能够采用非对称密码算法临时协商会话密钥，并结合多逻辑信道技术实现每一个逻辑信道采用不同的会话密钥，能够防止黑客和恶意程序等轻易地获取密钥，保证多个进程和USBKey通讯的安全性。

为达到以上目的，本发明采用的技术方案是：一种基于USBKey的安全传输数据的方法，包括以下步骤：

（1）启动上位机的应用进程，建立应用进程与USBKey的通讯；

（2）应用进程向USBKey申请逻辑信道号，并通过非对称密码算法与USBKey协商所述逻辑信道号的会话密钥；

（3）应用进程与USBKey之间通过所述的逻辑信道号和会话密钥进行数据传输。

进一步，如上所述的一种基于USBKey的安全传输数据的方法，该方法还包括：

（4）应用进程结束后，应用进程向USBKey注销所述的逻辑信道号。

进一步，如上所述的一种基于USBKey的安全传输数据的方法，步骤（1）中，所述的USBKey在初始化阶段，在USBKey中存储会话密钥协商专用非对称密钥对K2，以及通过非对称密钥对K1的私钥对K2的公钥进行数字签名后得到的签名值；非对称密钥对K1的公钥存储在上位机中间件中。

进一步，如上所述的一种基于USBKey的安全传输数据的方法，步骤（2）中，应用进程向USBKey申请逻辑信道号，并通过非对称密码算法与USBKey协商所述逻辑信道号的会话密钥的具体步骤包括：

1)应用进程向USBKey申请逻辑信道号，并从USBKey中读取非对称密钥对K2的公钥和所述的签名值；

2）应用进程生成与USBKey之间通讯的会话密钥SK；

3）使用非对称密钥对K2的公钥加密会话密钥SK，得到SK密文；

4）应用进程将逻辑信道号、进程ID、SK密文发送给USBKey；

5）USBKey使用非对称密钥对K2的私钥解密接收到的SK密文获得会话密钥SK。

进一步，如上所述的一种基于USBKey的安全传输数据的方法，所述的会话密钥SK为一设定长度的随机数。

进一步，如上所述的一种基于USBKey的安全传输数据的方法，步骤（2）中，应用进程与USBKey完成会话密钥的协商后，USBKey设置对应的逻辑信道号的会话密钥SK已协商标志，并向应用进程返回会话密钥SK协商成功标志，应用进程将逻辑信道号、USBKey的唯一标识信息UID和会话密钥SK缓存到当前进程中。