技術領域

本發明涉及信息安全領域，特別涉及到一種數據傳輸的線路保護方法、 系統、信息安全設備及應用設備。

背景技術

信息安全設備用來存儲一些敏感信息，并完成一定的密碼算法功能；使 用所述敏感信息和密碼算法時，要求安全程度較高，尤其是現在使用的U盾 (USB?Key)或者智能卡設備，在信息交互過程中，可以通過監聽USB端口獲 取交互過程中的信息，如果傳輸線路上不采用加密保護的話，就存在很大的 安全隱患。

為了使信息交互過程中的數據以密文的形式傳輸，現在普遍采用的方法 是在設備中固化一個或者多個對稱密鑰，與所述信息安全設備進行信息交互 的應用設備采用固化的密鑰進行加解密。上述固定密鑰的方式存在很大的不 足，比如，如果一方是PC端，可以通過內存分解或代碼反編譯得到密碼，從 而可以破解線路中的加密數據，甚至冒充智能卡設備，盜用用戶的敏感信息， 使用戶蒙受損失。

發明內容

本發明的主要目的為提供一種數據傳輸的線路保護方法，提升了數據傳 輸的安全性。

本發明提出一種數據傳輸的線路保護方法，應用于信息安全設備與應用 設備之間的數據加密傳輸，包括步驟：

信息安全設備接受至少一公私鑰對的設置，且使應用設備具有信息安全 設備公鑰；

應用設備向信息安全設備發送會話請求；

信息安全設備在接收應用設備的會話請求并分配會話后，設置包含應用 設備的會話請求信息的會話標識符，并根據會話標識符獲得會話密鑰；

信息安全設備將所述會話密鑰加密，并使用私鑰簽名傳送給應用設備；

信息安全設備與應用設備利用所述會話密鑰加解密數據進行通信。

優選地，所述應用設備向信息安全設備發送會話請求的步驟前，還包括 步驟：

應用設備動態生成公私鑰對和密鑰因子SeedKeyA；所述會話請求包括應 用設備公鑰和應用設備密鑰因子SeedKeyA。

優選地，所述方法前還包括步驟：

信息安全設備初始化，動態生成會話根密鑰。

優選地，所述信息安全設備初始化，生成會話根密鑰的步驟后還包括步 驟：

信息安全設備動態生成密鑰因子SeedKeyB。

優選地，所述會話密鑰是信息安全設備利用會話根密鑰將會話標識符加 密獲得；所述會話標識符為密鑰因子SeedKeyA或密鑰因子SeedKeyA和 SeedKeyB的組合。

優選地，所述信息安全設備與應用設備利用所述會話密鑰加解密數據進 行通信的步驟具體包括：

當所述應用設備向所述信息安全設備傳送數據時，所述應用設備用會話 密鑰對要傳送的數據進行加密，得到密文之后把密文和密鑰因子SeedKeyA一 起送給所述信息安全設備；

所述信息安全設備利用根密鑰加密會話標識符，生成所述會話密鑰，再 利用會話密鑰解密密文，得到數據。

優選地，所述信息安全設備將所述會話密鑰加密是利用應用設備的公鑰 進行。

本發明還提出一種信息安全設備，包括：

會話標識設置單元，用于在接收應用設備的會話請求并分配會話后，設 置包含應用設備的會話請求信息的會話標識符，并根據會話標識符獲得會話 密鑰；

密鑰加密單元，用于將所述會話密鑰加密，并使用私鑰簽名傳送給應用 設備；

第一加密通訊單元，用于與應用設備利用所述會話密鑰加解密數據進行 通信。

優選地，所述信息安全設備還包括：

根密鑰生成單元，用于在信息安全設備初始化時，動態生成會話根密鑰。

優選地，所述信息安全設備還包括：

密鑰因子生成單元，用于動態生成密鑰因子SeedKeyB。

本發明還提出一種應用設備，包括：

會話請求單元，用于向信息安全設備發送會話請求；

密鑰解析單元，用于解析信息安全設備加密后并使用私鑰簽名的會話密 鑰；所述會話密鑰根據包含應用設備的會話請求信息的會話標識符獲得；

第二加密通訊單元，用于與信息安全設備利用所述會話密鑰加解密數據 進行通信。

優選地，所述應用設備還包括：