专利名称:基于虹膜身份认证的电力网络信息安全系统的制作方法
技术领域:
本实用新型涉及一种电力网络信息安全系统,尤其是涉及一种基于虹膜身份认证 的电力网络信息安全系统。
背景技术:
电力系统网络信息安全涉及调度自动化、厂站自动化、配网自动化、电力负荷管 理、电力市场交易、电力营销、客户服务、企业管理等多个方面,适用面非常广。现有的电力 系统网络信息大多均采用单一的密码身份认证系统,因实际使用过程中存在身份唯一性无 法保证、安全性较差,机密性较低,易受黑客攻击等缺陷和不足。
实用新型内容本实用新型所要解决的技术问题在于针对上述现有技术中的不足,提供一种基于 虹膜身份认证的电力网络信息安全系统,其设计合理、布设方便、使用方式灵活且安全性 高,将生物识别技术和PKI技术相结合,实现生物认证系统组件之间的安全通信,生物认证 系统利用PKI技术实现组件间的相互认证,建立了安全通信管道,防止黑客窃听,保证了系 统的整体安全性,提高了系统的可接受度。为解决上述技术问题,本实用新型采用的技术方案是一种基于虹膜身份认证的 电力网络信息安全系统,其特征在于包括远程证书授证主机、与远程证书授证主机进行远 程双向通信且分别布设在各运营商处的多个证书授证子机、分别与多个所述证书授证子机 进行双向通信且布设在各运营商下属单位的证书申请注册机、分别与各证书申请注册机进 行双向通信且供用户用于进行证书认证的电子印章受理机和与电子印章受理机相接的虹 膜身份认证系统;所述远程证书授证主机与证书授证子机相接,所述远程证书授证主机分 别与数据存储设备和主机加密服务器相接,所述证书授证子机与证书申请注册机相接,所 述证书申请注册机与电子印章受理机相接,所述远程证书授证主机、证书授证子机、证书申 请注册机和电子印章受理机组成一个采用电子证书认证方式对电力网络信息安全进行维 护的电子证书认证系统;所述虹膜身份认证系统为采用生物特征认证方式对电力网络信息 安全进行维护的生物特征认证系统,且电子证书认证系统和生物特征认证系统组成对电力 网络信息安全进行双重维护的双重身份识别系统;所述虹膜身份认证系统包括虹膜身份识 别器和内部预先存储有多个虹膜信息标准数据的虹膜信息标准数据库服务器,所述虹膜身 份识别器与电子印章受理机相接;所述虹膜身份识别器包括虹膜信息采集模块和与虹膜信 息采集模块相接且对所采集信息进行分析处理并实现自动个人身份认证的主控模块,所述 主控模块与电子印章受理机相接,且所述主控模块与虹膜信息标准数据库服务器相接。上述基于虹膜身份认证的电力网络信息安全系统,其特征是所述电子证书认证 系统为基于公共密钥管理平台的身份认证系统,所述证书授证子机与建立所述密钥管理平 台的公钥基础设施服务器PKI相接。上述基于虹膜身份认证的电力网络信息安全系统,其特征是所述虹膜信息采集
3模块包括用于摄取虹膜图像的光学镜头、设置在光学镜头前部且与光学镜头配合使用的滤 光镜、设置在光学镜头周侧的辅助光源、对辅助光源的光照强度进行控制的辅助光控模块 以及对光学镜头所摄取的虹膜图像进行放大、滤波和数字化处理并相应对辅助光控模块进 行控制的图像信号处理器,所述光学镜头与图像信号处理器相接,图像信号处理器分别与 主控模块和辅助光控模块相接,辅助光控模块与辅助光源相接。上述基于虹膜身份认证的电力网络信息安全系统,其特征是所述主控模块为信 号处理器。上述基于虹膜身份认证的电力网络信息安全系统,其特征是所述图像信号处理 器与主控模块间通过USB接口进行连接。本实用新型与现有技术相比具有以下优点1、设计合理、部署方式灵活且使用操作简便,智能化程度高。2、采用双重身份识别机制,将生物识别技术和PKI技术相融合,因而能最大限度 地确保电力网络信息安全,系统采用公钥数字证书与生物证书的双重认证机制,充分利用 二者的特点,提高了认证系统的身份识别强度,为电力调度信息安全系统提供高安全的身 份识别机制。3、所采用的生物特征认证系统具有具体化、安全性高、自我管理能力强、不可撤销 性与非绝对性等优点。4、生物特征认证系统中通信信道的安全性高,生物数据采集设备采集的虹膜数据 信息或业务信息在网上传输时,有可能被截取、偷看、假冒,所以必须保证通信信道的安全 性,因此通信信道之间建立SSL通道,通过数据加密来实现传输的安全性。5、数据的有效性及合法性高,数据的有效性及合法性是指主体行为的不可否认 性,数据的有效性及合法性可以通过数字签名来实现,当以后出现纠纷时,通过验证签名, 为解决数据的抵赖和否认行为提供依据。结合PKI技术的虹膜身份认证系统一方面可实现 业务数据的有效性及合法性,另一方面可通过PKC公钥证书对生物数据采集设备采集的虹 膜数据进行签名,解决生物特征数据的抵赖行为。6、数据的完整性强,数据的完整性主要是保证数据在网络传输过程中不被第三方 修改,完整性可以通过对数据进行完整性验证来保证。数据的发出方对需要发送的数据产 生HASH函数值并将HASH函数值随同数据一同发出。接受方接受到数据后验证接受数据的 HASH函数值,以保证数据的完整性。7、具有不可抵赖性,能有效确保信息不能被否认,防止抵赖。8、系统客户端、服务端生物设备的身份合法性确认方法简便,能确保生物特征数 据采集设备的合法性是防止信息泄露的必要措施,该系统通过CA中心颁发生物设备证书 (BDC),完成客户端与服务端生物设备(BD)的身份验证;验证方式可采用单向验证或双向 验证,其中单向验证是指客户端只需验证服务端身份的合法性,服务端无需验证客户端身 份。9、综合能力强,采集到的虹膜信息传输的机密性、完整性及不可抵赖性,为确保用 户在认证时虹膜采集器采集的虹膜信息传输的安全性、可用性,结合PKI机制,在客户端与 服务端之间建立安全通道对数据进行加密,采用高安全强度的SHA-IHash算法确保生物特 征数据的完整性,并通过用户私钥对虹膜信息进行签名,从而确保所采集到的虹膜信息的机密性及行为的不可抵赖性。其中用户智能密钥钥匙生成并存储私钥,加密/解密操作在 设备内完成,私钥等敏感信息不出设备,同时智能密码设备采用PIN码保护,从而确保私钥 及敏感信息的安全存储。由于生物特征信息的特殊性,必须确保所采集到的虹膜数据信息 的安全存储。所有虹膜参考特征模板必须由硬件设备加密后存储于数据库中。数据库应建 立安全的访问策略,防止信息非法访问,同时比对过程在一个受控的安全环境内进行,虹膜 参考特征模板不离开安全环境。在服务端进行生物比对的认证机制,避免了攻击者利用客 户端直接输出认证结果,对服务端进行攻击,而且客户端简化了操作,降低了客户端的复杂 度,相对于在客户端进行比对的认证机制,系统实施更简单、成本更低廉。综上所述,本实用新型设计合理、布设方便、使用方式灵活且安全性高,将生物识 别技术和PK I技术相结合,实现生物认证系统组件之间的安全通信,生物认证系统利用 PKI技术实现组件间的相互认证,建立了安全通信管道,防止黑客窃听,保证了系统的整体 安全性,提高了系统的可接受度。下面通过附图和实施例,对本实用新型的技术方案做进一步的详细描述。
图1为本实用新型的电路原理框图。 图2为本实用新型生物特征认证系统的电路原理框图< 附图标记说明
2-证书授证子机;
3-证书申请注册机
9-电子证书认证系统;10-生物特征认证系统;11-公钥基础设施服务器 PKI。
1-远程证书授证主机 4-虹膜身份识别器;
4-12-滤光镜; 4-15-辅助光控模块; 6-虹膜信息标准数据 库服务器;
4-1-虹膜信息采集模 4-11-光学镜头 块;
4-13-图像信号处理器; 4-2-主控模块; 7-主机加密服务器;
4-14-辅助光源;
5-电子印章受理机 8_数据存储设备;
具体实施方式如图1、图2所示,本实用新型包括远程证书授证主机1、与远程证书授证主机1进 行远程双向通信且分别布设在各运营商处的多个证书授证子机2、分别与多个所述证书授 证子机2进行双向通信且布设在各运营商下属单位的证书申请注册机3、分别与各证书申 请注册机3进行双向通信且供用户用于进行证书认证的电子印章受理机5和与电子印章受 理机5相接的虹膜身份认证系统。所述远程证书授证主机1与证书授证子机2相接,所述 远程证书授证主机1分别与数据存储设备8和主机加密服务器7相接,所述证书授证子机 2与证书申请注册机3相接,所述证书申请注册机3与电子印章受理机5相接,所述远程证 书授证主机1、证书授证子机2、证书申请注册机3和电子印章受理机5组成一个采用电子 证书认证方式对电力网络信息安全进行维护的电子证书认证系统9。所述虹膜身份认证系 统为采用生物特征认证方式对电力网络信息安全进行维护的生物特征认证系统10,且电子
5证书认证系统9和生物特征认证系统10组成对电力网络信息安全进行双重维护的双重身 份识别系统。所述虹膜身份认证系统包括虹膜身份识别器4和内部预先存储有多个虹膜信 息标准数据的虹膜信息标准数据库服务器6,所述虹膜身份识别器4与电子印章受理机5相 接。所述虹膜身份识别器4包括虹膜信息采集模块4-1和与虹膜信息采集模块4-1相接且 对所采集信息进行分析处理并实现自动个人身份认证的主控模块4-2,所述主控模块4-2 与电子印章受理机5相接,且所述主控模块4-2与虹膜信息标准数据库服务器6相接。实际应用时,所述电子证书认证系统9为基于公共密钥管理平台的身份认证系 统,所述证书授证子机2与建立所述密钥管理平台的公钥基础设施服务器PKIll相接。本实施例中,所述虹膜信息采集模块4-1包括用于摄取虹膜图像的光学镜头 4-11、设置在光学镜头4-11前部且与光学镜头4-11配合使用的滤光镜4-12、设置在光学镜 头4-11周侧的辅助光源4-14、对辅助光源4-14的光照强度进行控制的辅助光控模块4_15 以及对光学镜头4-11所摄取的虹膜图像进行放大、滤波和数字化处理并相应对辅助光控 模块4-15进行控制的图像信号处理器4-13,所述光学镜头4-11与图像信号处理器4_13 相接,图像信号处理器4-13分别与主控模块4-2和辅助光控模块4-15相接,辅助光控模块 4-15与辅助光源4-14相接。所述主控模块4-2为信号处理器。所述图像信号处理器4-13与主控模块4_2间 通过USB接口进行连接。所述信号处理器具体为ARM9微处理器。综上,本实用新型提供了一种对电力网络信息进行安全维护的双重身份识别系 统,且双重身份识别系统将生物识别技术和PKI技术相融合,创建了一种新的生物认证系 统。而双重身份识别系统中的电子证书认证系统9根据电力调度信息安全系统建设及业务 需求部署远程证书授证主机1即根CA,并相应省际各主要城市部署各证书授证子机2即运 营CA,同时在每个运营CA下部署多个证书申请注册机3即RA,并且在证书申请注册机3的 下属单位部署多个电子印章受理机5即LRA,所述RA和LRA受理点可根据实际业务需求进 行灵活部署,以方便业务发展。信息发布方面,本实用新型采用LDAP目录服务作为PKI证 书发布系统的技术实现,其建设将分阶段进行建设,首先需要在省会城市建设。实际使用过程中,根CA是整个系统的信任源,主要负责审核并签发各运营CA的授 权证书、与其它CA系统进行交叉认证、管理运营CA证书和运营CA注销证书列表。运营CA 主要包括证书/证书黑名单签发服务器、注册管理服务器、证书发布系统(包括主目录服务 器、从目录服务器、数据库服务器、CA管理终端、审计管理终端、OCSP服务器)等;网络层的 防护包括入侵检测系统、防火墙、防病毒等,其中LDAP服务采用主从模式建设。密钥管理中 心KMC包括KMC数据库服务器、KMC服务器、KMC管理终端等。CA中心包含签发服务器、注 册管理服务器、OCSP服务器、LDAP服务器、CA管理终端、审计管理终端等。RA中心包括RA 服务器、虹膜信息采集器、注册、审核、制证终端等。实际使用生物特征认证系统10时,身份认证验证者根据用户的生物特征数据、生 物证书BC、生物算法证书BAC、生物设备证书BDC和系统的环境、策略设置等对用户进行身 份认证。身份验证者IDV是对用户进行身份验证的部分,IDV根据采集的用户生物数据及 其生物证书,结合生物算法证书、系统环境变量和策略设置等对用户进行身份认证。生物特 征认证系统10的安全级别,可以由系统直接设置也可以由扩展定义后属性证书提供。系统 的生物识别算法可以由系统直接设定也可以根据生物算法证书确定。同时,生物认证系统内的各种相关设备必须保证其安全性。基于组件的生物认证系统,最大的优点就是能够将 各个组件灵活地结合运用起来,实现满足客户不同需求的应用系统。 以上所述,仅是本实用新型的典型实施例,并非对本实用新型作任何限制,凡是根 据本实用新型技术实质对以上实施例所作的任何简单修改、变更以及等效结构变化,均仍 属于本实用新型技术方案的保护范围内。
权利要求一种基于虹膜身份认证的电力网络信息安全系统,其特征在于包括远程证书授证主机(1)、与远程证书授证主机(1)进行远程双向通信且分别布设在各运营商处的多个证书授证子机(2)、分别与多个所述证书授证子机(2)进行双向通信且布设在各运营商下属单位的证书申请注册机(3)、分别与各证书申请注册机(3)进行双向通信且供用户用于进行证书认证的电子印章受理机(5)和与电子印章受理机(5)相接的虹膜身份认证系统;所述远程证书授证主机(1)与证书授证子机(2)相接,所述远程证书授证主机(1)分别与数据存储设备(8)和主机加密服务器(7)相接,所述证书授证子机(2)与证书申请注册机(3)相接,所述证书申请注册机(3)与电子印章受理机(5)相接,所述远程证书授证主机(1)、证书授证子机(2)、证书申请注册机(3)和电子印章受理机(5)组成一个采用电子证书认证方式对电力网络信息安全进行维护的电子证书认证系统(9);所述虹膜身份认证系统为采用生物特征认证方式对电力网络信息安全进行维护的生物特征认证系统(10),且电子证书认证系统(9)和生物特征认证系统(10)组成对电力网络信息安全进行双重维护的双重身份识别系统;所述虹膜身份认证系统包括虹膜身份识别器(4)和内部预先存储有多个虹膜信息标准数据的虹膜信息标准数据库服务器(6),所述虹膜身份识别器(4)与电子印章受理机(5)相接;所述虹膜身份识别器(4)包括虹膜信息采集模块(4 1)和与虹膜信息采集模块(4 1)相接且对所采集信息进行分析处理并实现自动个人身份认证的主控模块(4 2),所述主控模块(4 2)与电子印章受理机(5)相接,且所述主控模块(4 2)与虹膜信息标准数据库服务器(6)相接。
2.按照权利要求1所述的基于虹膜身份认证的电力网络信息安全系统,其特征在于 所述电子证书认证系统(9)为基于公共密钥管理平台的身份认证系统,所述证书授证子机 (2)与建立所述密钥管理平台的公钥基础设施服务器PKI (11)相接。
3.按照权利要求1或2所述的基于虹膜身份认证的电力网络信息安全系统,其特征在 于所述虹膜信息采集模块(4-1)包括用于摄取虹膜图像的光学镜头(4-11)、设置在光学 镜头(4-11)前部且与光学镜头(4-11)配合使用的滤光镜(4-12)、设置在光学镜头(4-11) 周侧的辅助光源(4-14)、对辅助光源(4-14)的光照强度进行控制的辅助光控模块(4-15) 以及对光学镜头(4-11)所摄取的虹膜图像进行放大、滤波和数字化处理并相应对辅助光 控模块(4-15)进行控制的图像信号处理器(4-13),所述光学镜头(4-11)与图像信号处理 器(4-13)相接,图像信号处理器(4-13)分别与主控模块(4-2)和辅助光控模块(4_15)相 接,辅助光控模块(4-15)与辅助光源(4-14)相接。
4.按照权利要求3所述的基于虹膜身份认证的电力网络信息安全系统,其特征在于 所述主控模块(4-2)为信号处理器。
5.按照权利要求4所述的基于虹膜身份认证的电力网络信息安全系统,其特征在于 所述图像信号处理器(4-13)与主控模块(4-2)间通过USB接口进行连接。
专利摘要本实用新型公开了一种基于虹膜身份认证的电力网络信息安全系统,包括由远程证书授证主机、证书授证子机、证书申请注册机、电子印章受理机组成的电子证书认证系统和虹膜身份认证系统,虹膜身份认证系统为采用生物特征认证方式对电力网络信息安全进行维护的生物特征认证系统,且电子证书认证系统和生物特征认证系统组成对电力网络信息安全进行双重维护的双重身份识别系统。本实用新型设计合理、布设方便、使用方式灵活且安全性高,将生物识别技术和PKI技术相结合,实现生物认证系统组件之间的安全通信,生物认证系统利用PKI技术实现组件间的相互认证,建立了安全通信管道,防止黑客窃听,保证了系统的整体安全性,提高了系统的可接受度。
文档编号G06K9/00GK201766615SQ201020528698
公开日2011年3月16日 申请日期2010年9月14日 优先权日2010年9月14日
发明者甄为忠, 翟卫平, 齐春 申请人:甄为忠