技術(shù)領(lǐng)域

本發(fā)明涉及信息安全領(lǐng)域，尤其涉及一種鏈路保護方法及系統(tǒng)。

背景技術(shù)

現(xiàn)有的KEY產(chǎn)品（包括USBKey、藍牙Key、音頻Key等），與終端進行數(shù)據(jù)交互的加密密鑰一般是固定的，或者，只與用戶個人識別碼相關(guān)，為了便于記憶，用戶不可能頻繁的更改個人識別碼，所以，當攻擊者利用木馬對終端和KEY的通信進行竊聽和劫持時，上述這種方式將無法對其進行防御，容易造成加密密鑰的外泄，對用戶的賬戶安全造成威脅；上述這種方式也無法防御中間人攻擊、重放攻擊和對用戶個人識別碼進行攻擊等攻擊方式，在KEY與終端進行工作數(shù)據(jù)交互時，上述這種方式存在重大的安全隱患。

發(fā)明內(nèi)容

鑒于此，有必要提供一種鏈路保護方法及系統(tǒng)，以保證加密密鑰的安全性，進而保證KEY與終端進行交互的工作數(shù)據(jù)安全。

本發(fā)明實施例公開了一種鏈路保護方法，包括以下步驟：

KEY與終端通信連接；KEY隨機產(chǎn)生一串字符作為認證碼并顯示，供用戶在終端上輸入KEY顯示的所述認證碼，終端檢測到用戶在終端上輸入PIN碼和KEY顯示的所述認證碼后，終端將包括所述PIN碼和認證碼的參數(shù)進行組合加密得到一加密密鑰K_pc，并將得到的加密密鑰K_pc發(fā)送給KEY，KEY采用與終端同樣的算法對與所述終端同樣的參數(shù)進行加密運算，得到一加密密鑰K_key，KEY識別K_pc和K_key相同時，基于所述K_key與終端進行工作數(shù)據(jù)交互；或者，

終端隨機產(chǎn)生一串字符作為認證碼并顯示，供用戶在KEY上輸入終端顯示的所述認證碼，KEY檢測到用戶在KEY上輸入PIN碼和KEY顯示的所述認證碼后，KEY將包括所述PIN碼和認證碼的參數(shù)進行組合加密得到一加密密鑰K_key，并將得到的加密密鑰K_key發(fā)送給終端，終端采用與KEY同樣的算法對與所述KEY同樣的參數(shù)進行加密運算，得到一加密密鑰K_pc，終端識別K_pc和K_key相同時，基于所述K_pc與KEY進行工作數(shù)據(jù)交互。

優(yōu)選地，所述KEY與終端通信連接之后、KEY隨機產(chǎn)生一串字符作為認證碼并顯示之前，還包括：

KEY將自身的信道保護公鑰PK_key發(fā)送給終端；

所述終端將包括所述PIN碼和認證碼的參數(shù)進行組合加密得到一加密密鑰K_pc，包括：

終端將包括所述PIN碼、認證碼和PK_key的參數(shù)進行組合加密得到一加密密鑰K_pc。

優(yōu)選地，所述KEY與終端通信連接之后、終端隨機產(chǎn)生一串字符作為認證碼并顯示之前，還包括：

終端將自身的信道保護公鑰PK_pc發(fā)送給KEY；

所述KEY將包括所述PIN碼和認證碼的參數(shù)進行組合加密得到一加密密鑰K_key，包括：

KEY將包括所述PIN碼、認證碼和PK_pc的參數(shù)進行組合加密得到一加密密鑰K_key。

優(yōu)選地，所述KEY與終端通信連接之后，還包括：

KEY與終端互換信道保護公鑰PK_key和PK_pc，其中，所述公鑰PK_key為KEY的公鑰，所述公鑰PK_pc為終端的公鑰；

所述終端將包括所述PIN碼和認證碼的參數(shù)進行組合加密得到一加密密鑰K_pc，包括：

終端將包括所述PIN碼和認證碼及PK_pc和/或PK_key的參數(shù)進行組合加密得到一加密密鑰K_pc；

或者，

所述KEY將包括所述PIN碼和認證碼的參數(shù)進行組合加密得到一加密密鑰K_key，包括：

KEY將包括所述PIN碼和認證碼及PK_pc和/或PK_key的參數(shù)進行組合加密得到一加密密鑰K_key。

優(yōu)選地，所述KEY與終端通信連接前或通信連接后包括：

KEY產(chǎn)生一線路保護密鑰對，包括公鑰PK_key和KEY私鑰；