数据信息安全传输方法.pdf

数据信息安全传输方法
    【技术领域】

    本发明涉及信息安全领域，特别涉及到一种数据信息安全传输方法。

    背景技术

    信息安全设备用来存储一些敏感信息，并完成一定的密码算法功能；使用所述敏感信息和密码算法时，要求安全程度较高，尤其是现在使用的U盾(USB Key)或者智能卡设备，在信息交互过程中，可以通过监听USB端口获取交互过程中的信息，如果传输线路上不采用加密保护的话，就存在很大的安全隐患。

    为了使信息交互过程中的数据以密文的形式传输，现在普遍采用的方法是在设备中固化一个或者多个对称密钥，与所述信息安全设备进行信息交互的应用设备采用固化的密钥进行加解密。上述固定密钥的方式存在很大的不足，如果某一应用设备获取了所述固化的密钥，则可以通过所述固化密钥获得其他应用设备的明文信息。

    【发明内容】

    本发明的目的之一为提供一种数据信息安全传输方法，提升了数据传输的安全性。

    本发明提出一种数据信息安全传输方法，使信息安全设备与应用设备之间的数据传输更安全，所述方法包括步骤：

    信息安全设备接受至少一公私钥对的设置，且使应用设备具有公钥；

    产生第一随机数和第二随机数；将所述第一随机数设置为主密钥，将所述第二随机数设置为会话数目初始值；

    接收应用设备的会话请求并分配会话；

    将会话数目设置为会话标识符，利用主密钥将会话标识符或会话标识符的相关信息加密获得会话密钥；

    将所述会话标识符和会话密钥加密，并使用私钥签名传送给应用设备；

    利用所述会话密钥加解密数据信息，进行数据信息安全传输。

    优选地，在所述接收应用设备的会话请求并分配会话的步骤后还包括步骤：

    接收应用设备产生的密钥。

    优选地，在所述将所述会话标识符和会话密钥加密，并使用私钥签名传送给应用设备的步骤中的所述加密是利用应用设备的密钥进行。

    优选地，所述密钥是应用设备产生的非对称密钥的公钥。

    本发明所述数据信息安全传输方法，通过加密随会话不同而不同的会话标识符，产生变化的会话密钥，加密会话，使得传输更加安全；并且，还采用可变化的主密钥加密会话标识符形成会话密钥，更加提升了会话密钥的保密性。

    【附图说明】

    图1是本发明第一实施例所述数据信息安全传输方法的工作流程示意图；

    图2是本发明第二实施例所述数据信息安全传输方法的工作流程示意图；

    图3是本发明第三实施例所述数据信息安全传输方法的工作流程示意图。

    本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

    【具体实施方式】

    参照图1，本发明提出第一实施例的一种数据信息安全传输方法，使信息安全设备与应用设备之间的数据传输更安全，所述方法包括步骤：

    S10、接受至少一公私钥对的设置，且使应用设备具有公钥；

    S11、接收应用设备的会话请求并分配会话；

    S12、设置会话标识符，根据会话标识符获得会话密钥；

    S13、将所述会话标识符和会话密钥加密，并使用私钥签名传送给应用设备；

    S14、利用所述会话密钥加解密数据信息，进行数据信息安全传输。

    本实施例，所述信息安全设备可以是U盾、读卡器或者智能卡等具有密码运算功能的设备；所述应用设备，可以是需要与所述信息安全设备进行数据交换的其他设备。

    如步骤S10所述，首先，需要在所述信息安全设备中设置至少一公私钥对，且使应用设备具有公钥；本实施例与所述公私钥对相应的加密算法可以使用RSA、ECC(Elliptic Curves Cryptography，椭圆曲线密码)等算法。此步骤可以是在信息安全设备使用之处一次性设置，也可以在使用后进行多次设置。

    如步骤S11所述，当应用设备需要与信息安全设备进行数据交换时，将向所述信息安全设备发送会话请求；所述信息安全设备接收所述会话请求后，为所述应用设备分配会话。

    如步骤S12所述，所述信息安全设备，将为分配的会话设置会话标识符，并根据所述会话标识符，获得会话密钥。所述会话标识符可以对所述会话进行唯一标识；所述会话密钥可以加密会话。

    如步骤S13所述，所述信息安全设备，将所述会话标识符和会话密钥使用加密的方式，传送给所述应用设备，并使用信息安全设备中的私钥进行签名，使所述应用设备可以利用接收的信息安全设备的公钥进行验证，增强会话安全性；所述应用设备可以使用所述会话密钥加密数据信息，并传送给所述信息安全设备，或者解密从所述信息安全设备中取得的加密的数据信息。

    如步骤S14所述，所述信息安全设备也可以使用所述会话密钥加解密数据信息，与所述应用设备进行数据交换；当应用设备需要向信息安全设备发送数据信息时，信息安全设备接收所述应用设备发送的加密的数据信息，并利用所述会话密钥解密密文信息得到原始明文信息；当所述应用设备需要从所述信息安全设备中获取数据信息时，所述信息安全设备将应用设备需要的数据信息利用会话密钥进行加密后，传送给所述应用设备，并利用所述会话密钥解密密文信息得到原始明文信息；使得数据交换安全进行。

    本实施例所述数据信息安全传输方法，通过根据会话标识符获得会话密钥加密会话，使信息安全设备与应用设备之间的数据信息传输更加安全。

    参照图2，本发明第二实施例基于第一实施例提出一种数据信息安全传输方法，其包括步骤：

    S10、接受至少一公私钥对的设置，且使应用设备具有公钥；

    S11、接收应用设备的会话请求并分配会话；

    S110、接收应用设备产生的密钥；

    S12、设置会话标识符，根据会话标识符获得会话密钥；

    S130、将所述会话标识符和会话密钥利用应用设备产生的密钥加密，并使用私钥签名传送给应用设备；

    S14、利用所述会话密钥加解密数据信息，进行数据信息安全传输。

    如步骤S10所述，首先，需要在所述信息安全设备中设置至少一公私钥对，且使应用设备具有公钥。

    如步骤S11所述，当应用设备需要与信息安全设备进行数据交换时，将向所述信息安全设备发送会话请求；所述信息安全设备接收所述会话请求后，为所述应用设备分配会话。

    如步骤S110所述，应用设备可以产生密钥并发送给所述信息安全设备；所述信息安全设备可以接收所述密钥并使用。所述应用设备产生的密钥可以是非对称密钥，包括公私钥对；所述信息安全设备接收的可以是公钥。

    如步骤S12所述，所述信息安全设备，将为分配的会话设置会话标识符，并根据所述会话标识符，获得会话密钥，所述会话标识符能够唯一标识会话。

    如步骤S130所述，所述信息安全设备，将所述会话标识符和会话密钥使用应用设备产生的公钥加密，并使用信息安全设备的私钥签名传送给所述应用设备；应用设备使用信息安全设备的公钥验证所述签名，并使用自身产生的私钥进行解密，获得会话标识符和会话密钥；使得所述应用设备可以使用所述会话密钥加密数据信息，并传送给所述信息安全设备，或者解密从所述信息安全设备中取得的加密的数据信息。

    如步骤S14所述，所述信息安全设备也将使用所述会话密钥加解密，与所述应用设备进行数据交换；使得数据交换安全进行。

    本实施例所述数据信息安全传输方法，通过利用应用设备产生的密钥对传送的会话标识符和会话密钥加密，可以防止加密会话的会话密钥泄漏，使信息安全设备与应用设备之间的数据传输更加安全。

    参照图3，本发明第三实施例基于第二实施例提出一种数据信息安全传输方法，其包括步骤：

    S10、接受至少一公私钥对的设置，且使应用设备具有公钥；

    S100、生成可变化的主密钥；

    S11、接收应用设备的会话请求并分配会话；

    S110、接收应用设备产生的密钥；

    S120、设置会话数目为会话标识符，利用主密钥将会话标识符或会话标识符的相关信息加密获得会话密钥；

    S130、将所述会话标识符和会话密钥利用应用设备产生的密钥加密，并使用私钥签名传送给应用设备；

    S14、利用所述会话密钥加解密数据信息，进行数据信息安全传输。

    如步骤S10所述，首先，需要在所述信息安全设备中设置至少一公私钥对，且使应用设备具有公钥。

    如步骤S100所述，信息安全设备可以生成可变化的主密钥；本实施例中，信息安全设备在上电开启后，将产生第一随机数和第二随机数；所述信息安全设备可以将所述第一随机数设置为主密钥，将所述第二随机数设置为会话数目初始值；所述主密钥也可以为对称密钥，加解密为同一密钥。

    如步骤S11所述，当应用设备需要与信息安全设备进行数据交换时，将向所述信息安全设备发送会话请求；所述信息安全设备接收所述会话请求后，为所述应用设备分配会话，并且在每分配一会话后，将存储的会话数目加一。所述会话数目的计算，可以采用4字节计数，使会话计数能够支持2G数目的会话。本实施例在每分配一会话后，将存储的会话数目加一。应用设备请求会话时可以附带一些标识应用的请求信息，以防止中间件攻击。

    如步骤S110所述，应用设备可以产生的公钥发送给所述信息安全设备；所述信息安全设备可以接收所述公钥并使用。

    如步骤S120所述，所述信息安全设备，将为分配的会话设置会话标识符，并根据所述会话标识符或会话标识符的相关信息，获得会话密钥。所述会话标识符可以是信息安全设备当前存储的会话数目；所述会话密钥可以是利用主密钥将会话标识符或会话标识符的相关信息加密获得。所述相关信息包括步骤S11中应用设备的请求信息。

    信息安全设备设置有一个或多个加密算法，比如3DES(3‑Data Encryption Standard，数据加密标准)算法或AES(Advanced Encryption Standard，新加密标准)算法等，所述算法使用ALG替代；每个算法都需要一个密钥，使用KEY替代，算法加密可以表示为：

    OUTPUT＝ALG_ENC(KEY；INPUT)                           (1)

    上述算式(1)中，所述INPUT表示输入，所述KEY表示密钥，所述ALG_ENC表示用ALG加密，OUTPUT表示输出。

    如果使用3DES算法加密数据“0000000000000001”，使用的密钥为“11223344556677889900AABBCCDDEEFF”，输出为“A369FF383FA2082E”，上述的数据都表示十六进制。

    所述会话密钥的计算式如下：

    会话密钥＝ALG_ENC(KEY；00000000||会话标识符)          (2)

    上述算式(2)中，“||”表示数据连接，即算法的输入将在会话标识符前补足四字节的“00”，再进行加密，会话密钥的计算还可以存在其他方式。

    如步骤S130所述，所述信息安全设备，将所述会话标识符和会话密钥使用应用设备产生的公钥加密，并使用信息安全设备的私钥签名传送给所述应用设备；应用设备使用信息安全设备的公钥验证所述签名，并使用自身产生的私钥进行解密，获得会话标识符和会话密钥；使得所述应用设备可以使用所述会话密钥加密数据信息，并传送给所述信息安全设备，或者解密从所述信息安全设备中取得的加密的数据信息。

    如步骤S14所述，所述信息安全设备也将使用所述会话密钥加解密，与所述应用设备进行数据交换；使得数据交换安全进行。

    本实施例所述数据信息安全传输方法，通过使用随机数加密会话标识符作为会话密钥，加密会话；所述会话密钥将根据随机数和会话标识符的变化而变化，使信息安全设备与应用设备之间的数据传输更加安全；同时，减少了所述信息安全设备的存储量。

    以上所述仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。