[发明专利]USB信息安全设备与主机通信的方法及USB信息安全设备

说明书

技术领域

本发明涉及通信安全技术，特别涉及一种通用串行总线(USB，UniversalSerial Bus)信息安全设备与主机通信的方法及USB信息安全设备。

背景技术

USB协议技术是设备与外部设备连接的串行总线标准，在主机(例如，个人计算机、个人数字助理以及移动电脑等)上使用十分广泛，支持热插拔和即插即用，并支持总线供电，鼠标、键盘、游戏手柄、扫描仪、数码相机、打印机、硬盘、安全设备、光驱和网卡等几乎所有的外部设备都可以通过运行USB协议的USB接口与主机相连并进行通信。USB接口已经成为目前大多数主机外设与计算机相连的缺省接口。以下以USB信息安全设备为例，对USB信息安全设备与计算机的通信流程进行说明。

图1为现有USB信息安全设备与计算机的通信方法流程示意图，参见图1，该流程包括：

步骤101，USB信息安全设备通过USB接口与计算机相连，计算机向USB信息安全设备发送数据；

本步骤中，计算机向USB信息安全设备发送的数据可以是认证、鉴权请求信息，也可以是其它信息，例如，认证通过后的业务数据。

步骤102，USB信息安全设备接收数据，进行处理，向计算机返回处理后的数据。

本步骤中，如果计算机向USB信息安全设备发送的数据是认证、鉴权请求信息，则USB信息安全设备接收认证、鉴权请求信息，将认证、鉴权相关信息发送至计算机，计算机接收后进行认证、鉴权，当认证、鉴权通过后，与USB信息安全设备进行业务交互，交互的流程与步骤101和步骤102相同；如果是认证通过后的业务数据，则对接收的业务数据进行处理，将处理结果返回给计算机。

由上述可见，USB信息安全设备通过USB协议与计算机进行通信，由于USB协议是公开的，因而，一些不法分子很容易通过利用现有的USB协议总线分析仪器、或者过滤驱动等方法获得计算机和USB信息安全设备之间的通信数据，给使用者带来较大的安全风险。尤其是对于通信安全性要求较高的USB信息安全设备，通信数据的泄露可能导致不可估量的损失。

发明内容

有鉴于此，本发明的主要目的在于提出一种USB信息安全设备与主机通信的方法，提高USB信息安全设备与主机通信的安全性。

本发明的另一目的在于提出一种USB信息安全设备，提高USB信息安全设备与主机通信的安全性。

为达到上述目的，本发明提供了一种USB信息安全设备与主机通信的方法，主机与USB信息安全设备预先协商加解密密钥对，该方法包括：

接收主机使用预先协商的第一加密密钥加密的传输数据；

使用预先协商的第一解密密钥解密接收的加密数据；

对解密的数据进行处理，生成响应数据并将响应数据发送给主机。

所述生成响应数据并将响应数据发送给主机的步骤进一步包括：

使用预先协商的第二加密密钥加密响应数据并将加密的响应数据发送给主机；

主机使用第二解密密钥解密接收的加密响应数据。

所述加解密密钥对为主机与USB信息安全设备预先约定的固定密钥，或为动态协商的密钥。

动态协商密钥的步骤包括：

主机生成加密密钥和相应的解密密钥，并将解密密钥发送给USB信息安全设备；或，

主机发送密钥协商命令，USB信息安全设备根据接收的密钥协商命令生成加密密钥和解密密钥，并将加密密钥发送给主机。

通过明文的方式发送、或使用预先约定的密钥加密后发送、或使用密钥交换算法加密后发送、或使用数字签名后发送所述解密密钥或加密密钥。

使用数据加密标准、三层数据加密标准、增强的数据保密标准、加解密算法RC4、RC6、公用密钥算法、安全散列算法和椭圆曲线密码中的一种或其任意组合加密传输数据以及响应数据。

所述加解密密钥对为对称密钥或者公私钥对。

一种通用串行总线USB信息安全设备与主机通信的方法，主机与USB信息安全设备预先协商加解密密钥对，该方法包括：

接收主机发送的数据，进行处理，生成响应数据；

使用预先协商的第一加密密钥加密响应数据并发送至主机；

主机使用第一解密密钥解密接收的加密响应数据。

所述接收主机发送的数据的步骤进一步包括：

判断接收的来自主机发送的数据是否加密，如果是，使用预先协商的第二解密密钥解密接收的加密数据；否则，执行对主机发送的数据进行处理的步骤。

一种通用串行总线USB信息安全设备，该USB信息安全设备包括：数据接收模块、数据判断模块、数据解密模块、数据处理模块、数据加密模块和数据发送模块，其中，