中網信息安全防護系統及防護方法
【專利摘要】中網信息安全防護系統及防護方法����。一種中網信息安全防護系統�����,其組成包括:安全芯片SSX0912電路,所述的安全芯片SSX0912電路U2連接指紋芯片電路U7、存儲芯片電路U4��,所述的安全芯片SSX0912電路U2連接USB接口�����,所述的電源連接接口電路U5����,所述的安全芯片SSX0912電路U2連接電源U3���。本發明用于信息的安全存儲和安全傳遞��。
【專利說明】中網信息安全防護系統及防護方法
【技術領域】
:
[0001]本發明涉及一種中網信息安全防護系統及防護方法����。
【背景技術】
:
[0002]信息安全防護系統具有指紋識別功能�,指紋識別技術是生物特征識別領域中較為成熟的一門應用技術��。長期以來���,指紋識別技術主要應用于刑事偵查與司法鑒定領域�����,不被大多數人所了解�����。計算機與信息處理技術的飛速發展,為這門歷史悠久的應用技術開拓了更為廣闊的市場,指紋識別技術與相關產品越來越多地應用于民用市場。指紋識別技術是目前最方便、可靠����、非侵害和價格便宜的生物識別技術解決方案����,對于廣大市場的應用有著很大的潛力�。
[0003]現有的設備的指紋識別和匹配效果不能達到理想狀態,指紋匹配算法的性能主要取決于所提取到的特征點的數目�、位置和相互關系的可靠性�����。目前雖然有很多指紋匹配算法結合了局部特征和全局特征,但是所能達到的效果不是很理想。而且有些人天生指紋特征較少�����,很難采集到圖像��,同時周圍環境�����、手指��、溫濕度���、清潔度以及皮膚傷脫都會影響指紋識別效果��。
【發明內容】
:
[0004]本發明的目的是提供一種能夠解決數據的安全存儲與安全傳輸中網信息安全防護系統及防護方法。
[0005]上述的目的通過以下的技術方案實現:
[0006]一種中網信息安全防護系統��,其組成包括:安全芯片SSX0912電路�,所述的安全芯片SSX0912電路U2連接指紋芯片電路U7、存儲芯片電路U4�����,所述的安全芯片SSX0912電路U2連接USB接口����,所述的電源連接接口電路U5,所述的安全芯片SSX0912電路U2連接電源U3����。
[0007]所述的中網信息安全防護系統�,所述的安全芯片SSX0912電路為安全控制器的USB通訊���,使用安全控制器芯片自身的高速USB2.0接口實現與PC端的數據通訊�;安全芯片SSX0912電路包括控制器U2,所述的控制器U2連接接口器件Ul���,所述的控制器U2具有Pin34 和 Pin35。
[0008]所述的中網信息安全防護系統�����,所述的接口電路U5為電源管理電路使用LDO芯片實現PC端USB 5V電源與設備的供電轉換�;所述的接口電路U5包括U5芯片,所述的U5芯片連接時鐘電路����,所述的時鐘電路通過12M的晶體和諧振電路的組合為安全控制器提供系統時鐘;所述的時鐘電路包括JZ1、R3���、C4�����、C5。
[0009]所述的中網信息安全防護系統��,所述的安全芯片SSX0912電路U2連接復位電路��,所述的復位電路通過電壓檢測芯片實現整個電路的復位保護����,所述的復位電路包括U3器件���。
[0010]所述的中網信息安全防護系統�����,所述的存儲芯片電路U4為數據存儲電路����,使用MLC大容量的NAND FLASH實現數據存儲�,所述的數據存儲電路包括U4器件。
[0011]所述的中網信息安全防護系統����,所述的指紋芯片電路U7為指紋識別電路是通過指紋傳感器和其外圍電路的配合實現活體指紋的數據采集和信息驗證處理�,完成指紋識別的功能�����;由U7傳感器實現。
[0012]所述的中網信息安全防護系統的防護方法,利用信息安全芯片SSX0912直接掛接和控制Nand Flash并連接USB主機���,實現了高速模式通訊的安全加密設備;高速模式通訊設備分為普通區和安全區��,其中普通區作為普通U盤使用����,當用戶沒有登錄時提供訪問;安全區在用戶登錄后呈現���,Flash存儲是數據加密的;通過掛接指紋傳感器���,SSX0912實現了生物識別身份認證功能;用戶登錄是通過指紋認證實現的���;指紋的匹配運算是在SSX0912安全芯片內部進行。
[0013]所述的中網信息安全防護系統的防護方法,源文件數據部分采用SMl密碼算法�����;SMl密碼算法會話密鑰通過SSX0912安全芯片的物理噪聲源真隨機數發生器產生�,一次一密;加密文件是提供給指定收件人;數字信封協議采用收件人SM2非對稱密碼算法公鑰對SMl會話密鑰加密�����;指定的收件人拆解數字信封���,對文件解密��;加密文件使用發件人即加密人的SM2密碼算法數字簽名�����。
[0014]有益效果:
[0015]1.本發明是針對安全領域而設計的安全產品�,具體涉及身份認證、安全存儲、數據加密�����、文件粉碎等功能�,它能通過指紋識別技術實現安全加密的功能。
[0016]2.本發明的中網信息安全防護系統通過指紋進行認證的方式能夠有效的解決了用戶因忘記密碼口令而無法正常操作的問題�。
[0017]3.本發明的安全控制器能夠通過其高速USB接口與PC主機進行通信����;數據存儲可實現大容量的數據保存;指紋識別能夠實現活體指紋的注冊、識別和校驗�����;通過安全控制器內部的代碼配合�����,移動存儲設備能夠實現指紋信息驗證以及相應的數據加密存儲等功能���,從而實現敏感數據的高安全存儲�。
[0018]4.本發明具有身份認證功能的安全存儲區采用生物特征識別技術(指紋)作為用戶的身份識別手段�����;安全存儲區段的信息采用SMl對稱密碼算法加密存儲���。文件加密服務�。
[0019]5.本發明的加密文件采用電子信封結構�����,分別采用SMl算法和SM2算法作為秘密密鑰算法和公開密鑰算法;采用SM2算法對文件數字簽名���。
[0020]6.本發明采用生物識別及國密加密技術,依據個人指紋生成密鑰����,用以加密PC機硬盤�、普通U盤���、移動硬盤等存儲設備上的數據�����,并且實現名片管理��、文件粉碎和日志審核等功能,整個加密過程環環相扣����、全面防衛���,不留死角����,不給破解��、竊密者任何可乘之機�。
[0021]7.本發明的生物特征識別技術與國密芯片的深度融合��,通過掛接指紋傳感器����,使安全芯片實現了生物識別身份認證功能�����。很多常規的指紋認證設備,是將指紋比對算法內置于指紋采集器中��,由指紋采集器完成對指紋信息的比對�����。如比對成功�,放行后續操作�����。這種方式極易受到“偽造成功指令”或“繞過指紋比對”的攻擊���,造成認證形同虛設的結果�。而中網信息安全防護系統在認證方面與常規指紋設備不同的是,指紋的匹配算法是在SSX0912安全芯片內部進行的��,即使破拆設備����,繞過認證機制,具有更高的安全性��。
[0022]8.本發明的動態自適應指紋修正算法技術以及與國密芯片的有機結合是在日常使用中�,溫度、濕度��、季節變化等現象可能使指紋蛻皮���,對指紋的采集效果造成影響�,本產品采用的動態自適應指紋修正對比技術,成功的將該算法也內置于密碼芯片中��;該技術可在充分比對指紋特征點的基礎上�,多次微調修正指紋信息庫��,適應用戶指紋的微小變化��,提升識別準確性。
[0023]9.本發明的指定收件人的數據安全傳輸技術,指定收件人的數據加密傳輸技術���;利用分組密碼算法和非對稱密碼算法的結合,創造了有如下特點的數據加密體系;第一定向數據加密,僅擁有權限的收件人可通過所持有的終端加密機解密�����。第二無縫對接業務系統�����,使得業務系統所產生的“報表����、文檔�、附件、數據庫內容”等在產生之初既已加密,保障數據的安全性。第三數據的密文經過加密者數字簽名,收件人可以驗證其數字簽名。第四借助于軟件的處理,文件加密還有如下特點�,第五不限定文件格式��,支持各種文件格式和擴展名。加密后�,文件名會增加一個星型圖形�。第六支持無收件人(加密者自用)和多個收件人���;第七支持共享某一私鑰的若干人組成的團體作為收件人���;第八支持文件加密后由原加密者變更收件人�����;第九支持重復加密(多個收件人轉遞)。
[0024]10.本發明的密碼產品的容災備份技術�;
[0025]一款高強度加密安全類產品在保護用戶數據的同時����,也有可能面臨由于設備丟失或設備損壞等因素���,造成合法用戶無法解密數據的困擾�。設計了設備公鑰互備的加密機制,使用戶可指定備份設備的公鑰為主設備的默認名片���,主設備在加密數據的同時會自動添加備份設備的名片,由于互備設備均需認證用戶的身份信息����,從而使得中網信息安全防護系統在不降低加密強度及設備安全性的前提下���,完美解決由于設備丟失或損毀后的文檔還原問題��。
[0026]11.本發明是我國首款通過商密產品型號的基于商用密碼與生物特征識別認證技術于一身的數據安全類存儲設備。
【專利附圖】
【附圖說明】
:
[0027]附圖1是本產品的系統框圖。
[0028]附圖2是附圖1中的接口電路圖�����。
[0029]附圖3是附圖1中的安全芯片SSX0912電路圖。
[0030]附圖4是附圖1中的存儲芯片電路圖。
[0031]附圖5是附圖1中的指紋芯片電路圖�。
【具體實施方式】
:
[0032]實施例1:
[0033]一種中網信息安全防護系統�����,其組成包括:安全芯片SSX0912電路1,其特征是:所述的安全芯片SSX0912電路(U2)連接指紋芯片電路(U7) 2、存儲芯片電路(U4)3����,所述的安全芯片SSX0912電路U2連接USB接口(Ul) 4�����,所述的電源連接接口電路(U5) 5����,所述的安全芯片SSX0912電路U2連接電源(U3)6。
[0034]實施例2:
[0035]實施例1所述的中網信息安全防護系統��,所述的安全芯片SSX0912電路為安全控制器的USB通訊����,使用安全控制器芯片自身的高速USB2.0接口實現與PC端的數據通訊;安全芯片SSX0912電路包括控制器U2�����,所述的控制器U2連接接口器件Ul�����,所述的控制器U2具有 Pin34 和 Pin35���。
[0036]實施例3:
[0037]實施例1所述的中網信息安全防護系統��,所述的接口電路U5為電源管理電路使用LDO芯片實現PC端USB 5V電源與設備的供電轉換;所述的接口電路U5包括U5芯片��,所述的U5芯片連接時鐘電路����,所述的時鐘電路通過12M的晶體和諧振電路的組合為安全控制器提供系統時鐘;所述的時鐘電路包括JZ1�、R3����、C4����、C5�����。
[0038]實施例4:
[0039]實施例1所述的中網信息安全防護系統��,所述的安全芯片SSX0912電路U2連接復位電路,所述的復位電路通過電壓檢測芯片實現整個電路的復位保護,所述的復位電路包括U3器件���。
[0040]實施例5:
[0041]實施例1所述的中網信息安全防護系統,所述的存儲芯片電路U4為數據存儲電路,使用MLC大容量的NAND FLASH實現數據存儲,所述的數據存儲電路包括U4器件�����。
[0042]實施例6:
[0043]實施例1所述的中網信息安全防護系統����,所述的指紋芯片電路U7為指紋識別電路是通過指紋傳感器和其外圍電路的配合實現活體指紋的數據采集和信息驗證處理,完成指紋識別的功能��;由U7傳感器實現�。
[0044]實施例7:
[0045]實施例1所述的中網信息安全防護系統的防護方法,利用信息安全芯片SSX0912直接掛接和控制Nand Flash并連接USB主機���,實現了高速模式通訊的安全加密設備;高速模式通訊設備分為普通區和安全區�,其中普通區作為普通U盤使用�,當用戶沒有登錄時提供訪問�;安全區在用戶登錄后呈現,Flash存儲是數據加密的;通過掛接指紋傳感器�����,SSX0912實現了生物識別身份認證功能;用戶登錄是通過指紋認證實現的���;指紋的匹配運算是在SSX0912安全芯片內部進行�����。
[0046]實施例8:
[0047]實施例7所述的中網信息安全防護系統的防護方法���,源文件數據部分采用SMl密碼算法���;SM1密碼算法會話密鑰通過SSX0912安全芯片的物理噪聲源真隨機數發生器產生�,一次一密����;加密文件是提供給指定收件人;數字信封協議采用收件人SM2非對稱密碼算法公鑰對SMl會話密鑰加密��;指定的收件人拆解數字信封��,對文件解密��;加密文件使用發件人即加密人的SM2密碼算法數字簽名。
[0048]實施例9:
[0049]上述實施例所述的中網信息安全防護系統的防護方法,該產品的設備端是一個基于密碼芯片的指紋安全設備�����。當把中網信息安全防護系統插入一臺PC機時���,操作系統后識別出一個⑶-ROM和一個存儲區���。
[0050]在進行指紋登錄之前��,看到的是一個普通移動存儲設備�,它和市面上買到的移動存儲設備沒有區別�。可以將它當作普通的存儲設備來使用。
[0051]在⑶-ROM中��,可以看到一個exe文件�����。這就是信息防護系統的管理軟件。如果采用了自動運行��,或者用鼠標雙擊它��,就可以看到彈出的程序界面��。
[0052]指紋安全存儲區是基于用戶的指紋來進行登錄認證的。因此�����,在使用一個新的安全存儲區之前��,必須注冊使用者的指紋�。
[0053](I)指紋管理
[0054]在一只安全存儲區中����,可以保存10枚指紋。
[0055]當鼠標單擊左屏指紋管理按鈕時�����,就進入了指紋管理界面����。
[0056]如果是一只尚未注冊指紋的中網信息安全防護系統,可以直接進入界面�。否則�����,系統會彈出指紋認證對話框,請指紋認證�����。只有通過認證��,才能進入界面���。
[0057]在指紋管理界面中���,有10枚指紋的操作圖標��。
[0058]單擊尚未注冊的空指紋圖標,將進入添加指紋操作���。反之,單擊已經注冊的指紋����,則進入指紋刪除操作���。
[0059]按照程序的提示��,可以很方便地完成添加或刪除操作。
[0060](2)名片管理
[0061]在安全存儲區中���,可以保存一些聯系人的名片。
[0062]可以選中一個或幾個聯系人作為收件人���,為使用者進行文件加密。加密后的文件��,只有加密者本人和收件人能夠解密�����。
[0063]聯系人可以是一個個人,也可以是一個團體。因此,可以:加密只供自己解密查看的文件(加密時不選擇收件人);為一個或多個個人或團體加密文件,只有選擇的收件人可以解密;
[0064]還可以:多重加密:例如
[0065]選擇一個收件人A作為最終的收件人��,進行文件加密���。
[0066]然后選擇一個中轉人B作為收件人���,對加密的文件再加密�����。
[0067]當把文件交給B中轉時��,B可以進行一次解密。但看不同明文。B再把文件交給A���,由A進行在此解密,得到明文。
[0068]在需要兩人以上打開文件時(例如試卷),這種方法很適用。還可以進行三重或更多層加密。
[0069]接力加密:
[0070]可以由兩人以上作為加密者,對文件多重加密。
[0071]由于文件會有加密者的數字簽名�,由此接力加密可以表示多位加密者對提交的文件負責����。
[0072]名片的作用就是:
[0073]當加密時�����,可以從名片中選擇收件人�;
[0074]當解密時�����,系統會利用名片中攜帶的公鑰驗證發件人的數字簽名��。
[0075]當鼠標單擊名片管理軟件時,將進入名片管理界面�����。
[0076]在名片管理界面中����,可以導入或刪除名片�����。
[0077](3)文件保護
[0078](3.1)文件加密
[0079]當單擊文件加密按鈕時����,將進入文件加密界面。
[0080]可以把一個或多個文件拖入文件加密界面。如果拖入的文件是未加密文件,則相應操作是加密�;如果是加密文件��,缺省的操作是解密。
[0081]在拖放之后,系統會提示認證指紋。每次加密都會要求認證,以確保是本人使用安全系統進行文件加密��。
[0082]如果認證成功�,系統將提示選擇收件人。如上所述,可以不選擇收件人��,或者選擇一個或多個收件人�����。
[0083]選擇確定后���,系統會提示選擇文件保存路徑�����。如果選擇了源文件同一路徑,則加密或解密文件會覆蓋源文件;如果選擇了其他路徑����,則得到的文件會另外保存。
[0084]還可以通過以下途徑加密或解密文件:
[0085]單擊加密或解密按鈕���,在彈出的“打開文件”對話框中選擇文件。后續的操作同上�。
[0086]鼠標右鍵單擊一個文件�,在彈出菜單中選擇加密或解密(只有單擊的是加密文件時可用)菜單項�����,后續操作相同����。
[0087]鼠標雙擊一個加密文件����,進行解密,后續的操作相同�����。
[0088](3.2)文件粉碎
[0089]當單擊文件粉碎按鈕時����,將進入文件粉碎界面。
[0090]可以將一個文件圖標拖放到文件粉碎護界面����,對其徹底刪除�。
[0091]系統會彈出一個確認提示框���。
[0092]如果確定�����,系統會彈出一個對話框讓選擇粉碎的次數。確定后�����,文件將會消失���。
[0093](5)系統登錄
[0094]如果還沒有登錄����,單擊系統登錄按鈕,會彈出指紋認證提示框。
[0095]指紋認證成功后���,系統顯示的移動存儲區將切換為安全存儲區�����。可以在其中保存保密的文件和信息��。
[0096]如果已經登錄�����,則單擊此按鈕后����,會彈出確認提示框����。如果確定,將退出系統登錄�����,可見的移動存儲區重新回到普通存儲區�����。
[0097]實施例9:
[0098]上述實施例所述的中網信息安全防護系統的防護方法,①硬件和固件實現的NandFlash存儲器接口是通過SSX0912-B安全芯片內嵌的Nand Flash存儲器接口控制器,可以方便地實現外接Flash的讀寫����。
[0099]超前的ECC糾錯能力�����,支持100-bit ECC糾錯。
[0100]兼容各種結構組織的Nand Flash存儲器,例如不同容量、不同塊大小���、不同頁大小,各種Plain結構和功能支持。
[0101]硬件FTL實現���,使安全終端的COS代碼僅將Nand Flash存儲器看作一個標準的可讀寫的存儲器來訪問。
[0102]②指紋算法
[0103]先進的指紋算法���,配以電容指紋傳感器。
[0104]首先特征值提取算法����,然后指紋匹配�����。片內指紋匹配技術,可完全防止硬件破解進入;最后指紋動態學習技術����,自動修正用戶手指季節性和漸進性生理變化�����。
[0105]③硬件支持的SM1/SM2/SM3加密算法是在私密空間的加密存儲��;文件加密所需的各種加密算法�����。
[0106]④軟件實現的SM4加密算法是認證過程中挑戰應答消息的成城。命令信道中的口令和指紋模板加密��。上述加密所用的過程密鑰的生成�。
【權利要求】
1.一種中網信息安全防護系統,其組成包括:安全芯片SSX0912電路�,其特征是:所述的安全芯片SSX0912電路U2連接指紋芯片電路U7�、存儲芯片電路U4�����,所述的安全芯片SSX0912電路U2連接USB接口���,所述的電源連接接口電路U5��,所述的安全芯片SSX0912電路U2連接電源U3�����。
2.根據權利要求1所述的中網信息安全防護系統,其特征是:所述的安全芯片SSX0912電路為安全控制器的USB通訊,使用安全控制器芯片自身的高速USB2.0接口實現與PC端的數據通訊;安全芯片SSX0912電路包括控制器U2��,所述的控制器U2連接接口器件U1�����,所述的控制器U2具有Pin34和Pin35�。
3.根據權利要求1所述的中網信息安全防護系統��,其特征是:所述的接口電路U5為電源管理電路使用LDO芯片實現PC端USB 5V電源與設備的供電轉換;所述的接口電路U5包括U5芯片�,所述的U5芯片連接時鐘電路����,所述的時鐘電路通過12M的晶體和諧振電路的組合為安全控制器提供系統時鐘���;所述的時鐘電路包括JZ1�、R3、C4�、C5�����。
4.根據權利要求1所述的中網信息安全防護系統,其特征是:所述的安全芯片SSX0912電路U2連接復位電路�,所述的復位電路通過電壓檢測芯片實現整個電路的復位保護�����,所述的復位電路包括U3器件。
5.根據權利要求1所述的中網信息安全防護系統�,其特征是:所述的存儲芯片電路U4為數據存儲電路�,使用MLC大容量的NAND FLASH實現數據存儲�����,所述的數據存儲電路包括U4器件����。
6.根據權利要求1所述的中網信息安全防護系統�,其特征是:所述的指紋芯片電路U7為指紋識別電路是通過指紋傳感器和其外圍電路的配合實現活體指紋的數據采集和信息驗證處理,完成指紋識別的功能�;由U7傳感器實現���。
7.根據權利要求1所述的中網信息安全防護系統的防護方法,其特征是:利用信息安全芯片SSX0912直接掛接和控制Nand Flash并連接USB主機,實現了高速模式通訊的安全加密設備����;高速模式通訊設備分為普通區和安全區��,其中普通區作為普通U盤使用,當用戶沒有登錄時提供訪問;安全區在用戶登錄后呈現�,Flash存儲是數據加密的�����;通過掛接指紋傳感器,SSX0912實現了生物識別身份認證功能���;用戶登錄是通過指紋認證實現的;指紋的匹配運算是在SSX0912安全芯片內部進行���。
8.根據權利要求7所述的中網信息安全防護系統的防護方法,其特征是:源文件數據部分采用SMl密碼算法���;SM1密碼算法會話密鑰通過SSX0912安全芯片的物理噪聲源真隨機數發生器產生,一次一密�;加密文件是提供給指定收件人�;數字信封協議采用收件人SM2非對稱密碼算法公鑰對SMl會話密鑰加密�;指定的收件人拆解數字信封,對文件解密��;加密文件使用發件人即加密人的SM2密碼算法數字簽名��。
【文檔編號】G06F21/62GK104331655SQ201410588159
【公開日】2015年2月4日 申請日期:2014年10月29日 優先權日:2014年10月29日
【發明者】李曉林, 趙梓絹, 馮煜, 郝江, 趙睿 申請人:山西中網信息產業有限公司