[发明专利]一种具有双因素身份验证功能的USB数据安全传输技术

说明书

技术领域

本发明属于数据安全传输技术领域，具体的说是一种具有双因素身份验证功能的USB数据安全传输方法。 

背景技术

计算机和计算机网络已经成为企业、政府和其他组织的重要信息载体和传输渠道，但是在享受计算机及计算机网络带来的方便时，信息安全也成为目前最引人关注的问题。美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究证明：超过80％的信息安全隐患是来自组织内部。因而数据资源的保密和非法外流的防范逐渐成为当前迫在眉睫的安全需求。 

随着USB技术的飞速发展，尤其是在USB2.0版推出后，USB作为一种标准的总线接口，以其真正的即插即用和高速的传输速率等众多优势，已在PC机和嵌入式系统领域得到了广泛的应用。现在大部分的PC主机都有USB接口，有人预言未来所有的总线接口都将被USB技术统一。USB接口技术为PC主机间的数据传输提供了便捷的解决方案。然而，USB也成了保密数据外流的主要接口。因此，在USB设备和PC的USB接口之间必须存在一种USB安全转接口来保护数据的外泄。 

发明内容

本发明的目的在于研制一种传输数据既安全又方便、快捷的具有双因素身份验证功能的USB数据安全传输方法。 

本发明一种具有双因素身份验证功能的USB数据安全传输方法，包括：USB数据分成两类(相对主机)：非安全数据(输入数据)，安全数据(输出数据)。对于非安全的数据，采用单向传输接口机制。该接口机制只能将USB外设的数据传输到主机中，但不能将主机的数据传输到USB外设中。因此，既保证外部数据方便地传输进来，又防止秘密数据的外泄。对于安全数据，采用USB KEY进行双因素身份认证的加密接口机制。该接口机制具有安全认证、加密功能，只有通过身份认证后USB转接口才能授权使用，无论是从主机传输到USB外设的数据还是USB外设传输到主机的数据都进行安全加密，使得从主机外泄出去的数据只能在单位内部装有相同安全级别的USB安全接口卡上阅读。因此，为秘密数据提供了一条安全传输的通道。 

将整个安全接口功能集成在一款芯片内部实现，既可防止恶意软件的攻击，也可防止病毒的破坏。整个芯片由三个USB控制器、一个自定义高速串口接口的USB KEY、身份认证模块、USB安全控制模块和加/解密模块五个部分组成。其芯片内部结构如图1，以下对图1的连接关系进行详细说明： 

1.USB控制器模块 

三个USB控制器分别完成各自接口的USB物理层协议。其中USB控制器1完成与主机USB接口连接的USB物理层协议控制，该控制器将主机来 的数据送给USB安全控制模块处理。USB控制器2完成USB设备的单向数据传输控制，将USB外设的数据送给USB安全控制模块处理，但不能接收USB安全控制模块的数据。USB控制器3完成USB设备的双向数据传输。 

2.USB KEY 

USB KEY主要完成操作系统和安全USB接口的身份认证，主要由硬件卡和系统软件组成。 

硬件卡主要完成椭圆曲线算法(ECC)的加/解密，密钥的初始化功能、身份认证协议、数字签名等功能。采用标准的USB1.1总线与安全USB接口进行通信。 

高速串行总线协议(数据速率为67Mbps，内部时钟频率100MHz)： 

1)每帧数据大小为14位，其中有效数据位为8位； 

2)帧格式为