专利名称:一种USB Key装置及其帐户管理和验证使用方法
技术领域:
本发明涉及安全移动存储设备,具体涉及一种USB Key装置及其帐户管理和验证使用方法。
背景技术:
钥匙U盘(USB Key)是一种USB接口的硬件设备。它内置安全芯片(单片机或智能卡芯片),有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。但是,传统的USB KEY只存储一份用户的私钥以及数字证书、使用PIN码来保护,网络后台服务器获取用户私钥以及数字证书进行验证,每个人对应一份用户的私钥以及数字证书,使用自己的个人识别密码(PIN),在拥有USB KEY情况下可以通过猜测PIN码假冒合法用户的身份,能给用户带来很大的损失,为防止遗失,给用户带来很大的保管压力。另一方面,针对指纹识另I」,卡内比对MOC(Match on Card)是Java Card国际组织提出的嵌入式指纹认证技术要求,指纹的比对操作必须在识别智能卡(或识别芯片)内部完成,实现安全的指纹认证。目前,与指纹传感器绑定的识别智能卡(或识别芯片)通过与其他装置或电路部分进行通信而实现安全功能。但是由于USB Key本身是安全装置,本身带有安全芯片,如果采用这种安全芯片与识别芯片通信的结构,芯片间的通信会被截获、从而降低USB Key装置的安全性。同时,传统的USB KEY装置无法、也不能提供其他保密信息存储,或者在提供保密信息存储的基础上还能不影响USB Key本身的安全性。进一步,传统的USB Key帐户管理只针对单人,根本无须、也不适合于用户自己管理;同样帐户验证也无法满足多人需要。
发明内容
本发明需要解决的技术问题是,如何提供一种USB Key装置及其帐户管理和验证使用方法,能防止遗失后他人拾取USB Key后进行假冒并保证高度安全性,同时还能作为用户私密信息或文件的存储装置,进一步还能为多人多帐户使用。本发明的第一个技术问题这样解决:构建一种USB Key装置,包括USB接口和内部安全芯片,其特征在于,还包括:片内存储模块,内置在所述安全芯片中,用于认证信息、密钥信息、用户指纹信息和PIN码;指纹算法处理模块,内置在所述安全芯片中,用于对用户指纹进行图像识别和处理;指纹传感器,位于USB Key装置外壳、与所述指纹算法处理模块电连接,用于采集用户指纹;大容量存储器(Mass Storage)命令处理及USB传输处理模块,内置在所述安全芯片中、与所述USB接口电连接,用于与计算机或网络后台服务器进行USB总线通信;闪存文件管理模块,内置在所述安全芯片中,用于管理闪存存储芯片读写擦除;闪存存储芯片,位于USB Key内部,与所述闪存文件管理模块电连接。按照本发明提供的USB Key装置,还包括:算法处理模块及硬件IP核接口模块,内置在所述安全芯片中,用于实现数字认证过程中的安全可靠的高速加密/解密。按照本发明提供的USB Key装置,还包括:时钟芯片,与所述安全芯片电连接,用于提供所述安全芯片的工作时钟。按照本发明提供的USB Key装置,还包括:电源管理芯片,用于提供稳定的电流和电压并进行电源安全保护。本发明的第二个技术问题这样解决:构建一种USB Key装置的帐户管理方法,其特征在于,包括以下步骤:通过USB Key操作系统在内部建立一个以上用户帐户,逐个记录输入的每个帐户对应PIN码和通过USB Key的指纹传感器(3)采集的每个帐户对应用户指纹信息;连接网络后台服务器,由USB Key内部安全芯片(I)和操作系统将所述用户帐户及其对应PIN码和对应用户指纹信息的组合传送并保存到网络后台服务器的数据库中。按照本发明提供的USB Key装置帐户管理方法,还包括:通过USB Key操作系统在内部删除用户帐户;连接网络后台服务器,由USB Key内部安全芯片⑴和操作系统将被删除的用户帐户传送到网络后台服务器并在所述数据库中删除。按照本发明提供的USB Key装置的帐户管理方法,还包括:验证管理者帐户的PIN码和用户指纹信息,不通过禁止进行帐户管理。本发明的第二个技术问题这样解决:构建一种USB Key装置的验证使用方法,其特征在于,包括以下步骤:在网络后台服务器的数据库中保存用户帐户、对应PIN码和对应用户指纹信息;在USB Key装置端接受用户帐户、用户输入的PIN码和通过USB Key的指纹传感器采集的用户指纹信息;USB Key装置通过内部安全芯片(I)和操作系统将所述用户帐户、用户输入的PIN码和通过USB Key的指纹传感器采集的用户指纹信息的组合上传给网络后台服务器并进行比对,一致则验证通过、获权读取USB Key中的安全数据进行帐户认证;不一致则验证失败、帐户认证不通过直接结束。按照本发明提供的USB Key装置验证使用方法,所述比对是按PIN码在先、用户指纹信息在后的顺序逐一进行比对,全部相同则一致,否则是不一致。按照本发明提供的USB Key装置验证使用方法,还包括:用户选择USB Key装置作为U盘时,验证USB Key装置内部安全芯片中片内存储区内保存的管理者帐户的pin码和管理者帐户的用户指纹,通过则允许将内部NANDFLASH存储芯片作为U盘使用,否则禁止。本发明提供的USB Key装置及其帐户管理和验证使用方法,与现有技术相比具有以下优势:1、结合卡内指纹认证和网络后台管理防止遗失后他人拾取USB Key后进行假冒;
2、单芯片结构避免了通信漏洞;3、增加了安全芯片管理的闪存,结合卡内指纹认证同时成为用户私密信息或文件的存储装置;4、可以多人多帐户;5、可兼做保密U盘。
下面结合附图和具体实施例进一步对本发明进行详细说明:图1是本发明具体实施例USB Key装置系统结构示意图;图2是图1所示装置管控程序的流程示意图;图3是图2对应的状态示意图。
具体实施例方式下面结合附图和具体实施方式
对本发明作进一步说明。首先,说明本发明装置的硬件基础:图1为本发明基于国密算法的高速指纹KEY盘的逻辑结构示意图。如图1所示,该指纹KEY盘包括:型号“SSX45”的安全芯片I (SSX45安全芯片),闪存(NANDFLASH)存储芯片2,指纹传感器3和外围芯片组4四个部分组成。SSX45安全芯片I作为主控芯片分别和NANDFLASH存储芯片2、指纹传感器3及外围芯片组4相连,控制整个Key盘的工作。SSX45安全芯片通过USB总线与PC机相连。基于国产密码算法的高速指纹KEY盘的核心组件为SSX45安全芯片,该芯片采用32位CPU核,内置高性能的协处理器,具有快速处理能力,程序和数据存储区为512K字节。其结构如下:安全芯片是该设备的核心部件,它主要完成芯片端程序的存储,MCU的调度与协调,内部硬件IP核的运算等用途。NANDFLASH存储芯片2用于存储大容量的文件数据。安全芯片I内部采用非线性宏单元模式,为固态大容量内存的实现提供了廉价有效的解决方案。NANDFLASH存储器具有容量较大,改写速度快等优点,适用于大量数据的存储。它是非易失存储器,可以对称为块的存储器单元块进行擦写和再编程。指纹传感器3在此所采用的是电容式的指纹传感器,它是实现指纹自动采集的关键器件。它属于第二代指纹识别系统实现了识别范围从表皮到真皮的转换,从而大大提高了识别的准确率和系统的安全性。外围芯片组4包括电源管理芯片、时钟芯片、USB接口等元器件。电源管理芯片对电压做降压处理,同时对电流进行滤波处理,它为其它硬件提供稳定的电流和电压同时对电路进行保护的,电压异常时采取相应措施。时钟芯片通过震荡电路用于产生芯片正常工作的频率60M,80M,100M,输入为12M晶振。USB接口用于实现KEY盘与PC端相连接。KEY盘中的USB Mass Storage命令处理模块11实现USB Mass-Storage协议的Bulk-only子协议和UFI子协议,实现免驱动的指纹KEY盘。NANDFLASH文件管理模块12用于管理NANDFLASH存储芯片读写擦除。国密算法外理模块及硬件IP核接口模块13,用于调用芯片内的国密算法的IP核以实现安全可靠的高速加密/解密。指纹算法处理模块14,用于处理指纹传感器采集到的指纹信息,包括指纹图像压缩、指纹图像质量判断、自主自适应指纹处理算法、图像拼接算法、多平台指纹算法、交叉比对、片上指纹比对等技术。片内存储区15,在SSX45芯片内的一块存储区域,用于存放认证信息、密钥信息、
指纹信息等重要安全信息。智能卡芯片操作系统(COS)文件管理系统是整个设备的核心软件,它包含安全机制控制,密钥管理机制,文件管理模块几个部分。在进行安全体系的规划过程中,实现了以下几种安全机制:认证机制:终端认证(外部认证),设备认证(内部认证),用户身份认证(指纹验证);访问控制机制:安全状态,设置状态机,设置目录,文件的访问权限,设置密钥文件的访问权限,设置密钥文件中密钥的访问权限,以及密钥的重试次数;安全报文传送机制:线路认证方式(明文+硬件地址(MAC)),线路加密方式(密文),线路加密认证方式(密文+MAC);防拔机制,掉电保护机制:确保设备在非正常拔下,或意外掉电的情况下数据存储的完整性。密钥的管理机制包括主控密钥,外部认证密钥,内部认证密钥指纹可以有多个,通过密钥ID标识。密钥的使用,要符合读权限的管理要求,当前安全状态满足密钥使用权限的要求才可使用密钥。密钥的更新,要符合写权限的管理要求,当前安全状态满足密钥写权限的要求才可更新密钥。密钥的使用权限和写权限都存储在密钥文件的密钥属性中。文件管理模块实现N0RFLASH上的文件系统,提供统一的文件访问接口,实现文件的安全访问。文件系统支持的文件类型包括:二进制文件,定长记录文件,变长记录文件和循环记录文件。文件系统完全符合国际标准化组织(ISO)/国际电工委员会(IEC) 7816标准,并符合公钥基础设施(PKI)应用体系的应用特点,对各种文件实现安全操作和访问,包括主控文件(MF)、应用目录文件(DF)和基本文件(EF)。可以支持五层目录文件结构,在对目录、文件及其数据操作前,将根据当前目录或文件的安全属性检查设备的安全状态,以确定操作如创建、删除和读写的可行性。对目录或文件数据的操作和管理将按照一定的规则进行。第二,简要说明本发明装置的软件核心:在一个指纹Key盘在成功量产以后,支持多用户进行使用,具体软件实现如图2所示,包括以下处理:㈠本发明的多帐户输入,如图中步骤101 104)当上述指纹Key盘插入PC机时,在MASS-Storage命令及USB传输外理模块作用下与PC机相连,首先SSX45安全芯片会调用并启动指纹算法处理模块及国密算法外理模块,在指纹算法处理模块的作用下,打开指纹传感器,并在国密算法处理模块的保护下提取指纹信息,然后将提取的指纹信息送入安全芯片。经量产后的指纹Key盘,如果第一次使用那么PC端会弹出一个会话界面,此时用户可以建立管理员帐户并输入Pin及指纹信息作为密码,如步骤101)。当然也可以建立第二个帐户,第三个帐户...第N个帐户,如步骤102) 104)。不同的账户可以供不同的用户使用。一个指纹Key盘只能有一个管理员帐户,管理员的权限高于其他帐户的权限,并可以在不知道其他帐户Pin及指纹的情况下强制删除其他帐户,但管理员没有权限获取其他帐户的Pin及指纹信息,其他帐户没有权限删除管理员帐户也没有权限获取管理员帐户的Pin及指纹信息。建立每个帐户都包括步骤:1001)建立好的帐户信息、相应的Pin及指纹信息;1002)在安全芯片的保护下传送;1003)存储到网络后台服务器中,以备以后验证时使用。如果是第一次登入指纹Key盘,那么SSX45安全芯片会将指纹信息以特征点的方式存入在SSX45安全芯片的保护下存入后台服务器。㈡本发明的帐户认证,如图中步骤201 208)在进行指纹验证的时候,指纹传感器采集指纹信息,在国密算法模块的保护下,SSX45安全芯片会将相应帐户的Pin及指纹传感器中所采集的指纹信息送到网络后台服务器并与后台服务器中存储的相应帐户的Pin及指纹信息进行比对,如步骤201) 204)。如果比对成功,则通过SSX45芯片调用片内存储区相应账户的数字证书,如步骤208)。另外还包括步骤:205)调用数字证书;206)打开 NANDFLASH 芯片;207)用户选择用作KEY盘。㈢本发明的保密U盘方法,如图中步骤201 207)和209)在调用片内存储区相应账户的数字证书的同时,在NANDFLASH文件管理模块的管理下打开NADNFLASH存储芯片供用户使用,如步骤209)。在保密U盘方法的步骤207)中,用户选择用作U盘。在另一个实施例中,在SSX45安全芯片的片内存储区中同时保存管理者帐户的指纹和pin码,在未连接网络后台服务器时,验证管理者的指纹和pin码,通过将内部NANDFLASH存储芯片作为U盘使用,但不能调用SSX45安全芯片的片内存储区中的安全数据。最后,简要说明本发明装置的具体实现:如图3所示,该装置增加了指纹算法处理模块14和NANDFLASH存储芯片2,并对其他模块进行增强,通过指纹算法处理模块14与命令管理模块、安全管理模块和文件管理模块交互或通讯,以及NANDFLASH存储芯片2与命令管理模块和文件管理模块交互或通讯,在各模块自身功能的基础上实现图2所示控制程序的作用。
权利要求
1.一种USB Key装置,包括USB接口和内部安全芯片(I),其特征在于,还包括: 片内存储模块(15),内置在所述安全芯片中,用于认证信息、密钥信息、用户指纹信息和PIN码; 指纹算法处理模块(14),内置在所述安全芯片中,用于对用户指纹进行图像识别和处理; 指纹传感器(3),位于USB Key装置外壳、与所述指纹算法处理模块电连接,用于采集用户指纹; 大容量存储器命令处理及USB传输处理模块(11),内置在所述安全芯片中、与所述USB接口电连接,用于与计算机或网络后台服务器进行USB总线通信; 闪存文件管理模块(12),内置在所述安全芯片中,用于管理闪存存储芯片读写擦除; 闪存存储芯片(2),位于USB Key内部,与所述闪存文件管理模块电连接。
2.根据权利要求1所述USBKey装置,其特征在于,还包括: 算法处理模块及硬件IP核接口模块(13),内置在所述安全芯片中,用于实现数字认证过程中的加密/解密。
3.根据权利要求1所述USBKey装置,其特征在于,还包括: 时钟芯片,与所述安全芯片电连接,用于提供所述安全芯片的工作时钟。
4.根据权利要求1所述USBKey装置,其特征在于,还包括:` 电源管理芯片,用于提供稳定的电流和电压并进行电源安全保护。
5.一种根据权利要求1所述USB Key装置的帐户管理方法,其特征在于,包括以下步骤: 通过USB Key操作系统在内部建立一个以上用户帐户,逐个记录输入的每个帐户对应PIN码和通过USB Key的指纹传感器(3)采集的每个帐户对应用户指纹信息; 连接网络后台服务器,由USB Key内部安全芯片(I)和操作系统将所述用户帐户及其对应PIN码和对应用户指纹信息的进行密钥组合后传送并保存到网络后台服务器的数据库中。
6.根据权利要求5所述帐户管理方法,其特征在于,还包括: 通过USB Key操作系统在内部删除用户帐户; 连接网络后台服务器,由USB Key内部安全芯片(I)和操作系统将被删除的用户帐户传送到网络后台服务器并在所述数据库中删除。
7.根据权利要求5或6所述帐户管理方法,其特征在于,还包括: 验证管理者帐户的PIN码和用户指纹信息,不通过禁止进行帐户管理。
8.一种根据权利要求1所述USB Key装置的验证使用方法,其特征在于,包括以下步骤: 在网络后台服务器的数据库中保存用户帐户、对应PIN码和对应用户指纹信息; 在USB Key装置端接受用户帐户、用户输入的PIN码和通过USB Key的指纹传感器采集的用户指纹信息; USB Key装置通过内部安全芯片(I)和操作系统将所述用户帐户、用户输入的PIN码和通过USB Key的指纹传感器采集的用户指纹信息的组合上传给网络后台服务器并进行比对,一致则验证通过、获权读取USB Key中的安全数据进行帐户认证;不一致则验证失败、帐户认证不通过直接结束。
9.根据权利要求8所述验证使用方法,其特征在于,所述比对是按PIN码在先、用户指纹信息在后的顺序逐一进行比对,全部相同则一致,否则是不一致。
10.根据权利要求8所述验证使用方法,其特征在于,还包括:用户选择USBKey装置作为U盘时,验证USB Key装置内部安全芯片中片内存储区内保存的管理者帐户的pin码和管理者帐户的用户指纹,通过则`允许将内部NANDFLASH存储芯片作为U盘使用,否则禁止。
全文摘要
本发明涉及一种USB Key装置及其帐户管理和验证使用方法,其中装置包括USB接口、安全芯片(1)、片内存储模块(15)、指纹算法处理模块(14)、指纹传感器(3)、大容量存储器命令处理及USB传输处理模块(11)、闪存文件管理模块(12)和闪存存储芯片(2);帐户管理方法包括通过USB Key操作系统在内部建立一个以上用户帐户,逐个记录输入的每个帐户对应PIN码和通过USB Key的指纹传感器(3)采集的每个帐户对应用户指纹信息并传送并保存到网络后台服务器的数据库中;验证使用方法包括认证时比对USB Key装置端采集的与网络后台服务器数据库中的用户帐户、PIN码和用户指纹信息。
文档编号G06F12/14GK103116720SQ20111036336
公开日2013年5月22日 申请日期2011年11月16日 优先权日2011年11月16日
发明者王永宝, 苏斌 申请人:航天信息股份有限公司