中网信息安全防护系统及防护方法
【专利摘要】中网信息安全防护系统及防护方法。一种中网信息安全防护系统,其组成包括:安全芯片SSX0912电路,所述的安全芯片SSX0912电路U2连接指纹芯片电路U7、存储芯片电路U4,所述的安全芯片SSX0912电路U2连接USB接口,所述的电源连接接口电路U5,所述的安全芯片SSX0912电路U2连接电源U3。本发明用于信息的安全存储和安全传递。
【专利说明】中网信息安全防护系统及防护方法
【技术领域】
:
[0001]本发明涉及一种中网信息安全防护系统及防护方法。
【背景技术】
:
[0002]信息安全防护系统具有指纹识别功能,指纹识别技术是生物特征识别领域中较为成熟的一门应用技术。长期以来,指纹识别技术主要应用于刑事侦查与司法鉴定领域,不被大多数人所了解。计算机与信息处理技术的飞速发展,为这门历史悠久的应用技术开拓了更为广阔的市场,指纹识别技术与相关产品越来越多地应用于民用市场。指纹识别技术是目前最方便、可靠、非侵害和价格便宜的生物识别技术解决方案,对于广大市场的应用有着很大的潜力。
[0003]现有的设备的指纹识别和匹配效果不能达到理想状态,指纹匹配算法的性能主要取决于所提取到的特征点的数目、位置和相互关系的可靠性。目前虽然有很多指纹匹配算法结合了局部特征和全局特征,但是所能达到的效果不是很理想。而且有些人天生指纹特征较少,很难采集到图像,同时周围环境、手指、温湿度、清洁度以及皮肤伤脱都会影响指纹识别效果。
【发明内容】
:
[0004]本发明的目的是提供一种能够解决数据的安全存储与安全传输中网信息安全防护系统及防护方法。
[0005]上述的目的通过以下的技术方案实现:
[0006]一种中网信息安全防护系统,其组成包括:安全芯片SSX0912电路,所述的安全芯片SSX0912电路U2连接指纹芯片电路U7、存储芯片电路U4,所述的安全芯片SSX0912电路U2连接USB接口,所述的电源连接接口电路U5,所述的安全芯片SSX0912电路U2连接电源U3。
[0007]所述的中网信息安全防护系统,所述的安全芯片SSX0912电路为安全控制器的USB通讯,使用安全控制器芯片自身的高速USB2.0接口实现与PC端的数据通讯;安全芯片SSX0912电路包括控制器U2,所述的控制器U2连接接口器件Ul,所述的控制器U2具有Pin34 和 Pin35。
[0008]所述的中网信息安全防护系统,所述的接口电路U5为电源管理电路使用LDO芯片实现PC端USB 5V电源与设备的供电转换;所述的接口电路U5包括U5芯片,所述的U5芯片连接时钟电路,所述的时钟电路通过12M的晶体和谐振电路的组合为安全控制器提供系统时钟;所述的时钟电路包括JZ1、R3、C4、C5。
[0009]所述的中网信息安全防护系统,所述的安全芯片SSX0912电路U2连接复位电路,所述的复位电路通过电压检测芯片实现整个电路的复位保护,所述的复位电路包括U3器件。
[0010]所述的中网信息安全防护系统,所述的存储芯片电路U4为数据存储电路,使用MLC大容量的NAND FLASH实现数据存储,所述的数据存储电路包括U4器件。
[0011]所述的中网信息安全防护系统,所述的指纹芯片电路U7为指纹识别电路是通过指纹传感器和其外围电路的配合实现活体指纹的数据采集和信息验证处理,完成指纹识别的功能;由U7传感器实现。
[0012]所述的中网信息安全防护系统的防护方法,利用信息安全芯片SSX0912直接挂接和控制Nand Flash并连接USB主机,实现了高速模式通讯的安全加密设备;高速模式通讯设备分为普通区和安全区,其中普通区作为普通U盘使用,当用户没有登录时提供访问;安全区在用户登录后呈现,Flash存储是数据加密的;通过挂接指纹传感器,SSX0912实现了生物识别身份认证功能;用户登录是通过指纹认证实现的;指纹的匹配运算是在SSX0912安全芯片内部进行。
[0013]所述的中网信息安全防护系统的防护方法,源文件数据部分采用SMl密码算法;SMl密码算法会话密钥通过SSX0912安全芯片的物理噪声源真随机数发生器产生,一次一密;加密文件是提供给指定收件人;数字信封协议采用收件人SM2非对称密码算法公钥对SMl会话密钥加密;指定的收件人拆解数字信封,对文件解密;加密文件使用发件人即加密人的SM2密码算法数字签名。
[0014]有益效果:
[0015]1.本发明是针对安全领域而设计的安全产品,具体涉及身份认证、安全存储、数据加密、文件粉碎等功能,它能通过指纹识别技术实现安全加密的功能。
[0016]2.本发明的中网信息安全防护系统通过指纹进行认证的方式能够有效的解决了用户因忘记密码口令而无法正常操作的问题。
[0017]3.本发明的安全控制器能够通过其高速USB接口与PC主机进行通信;数据存储可实现大容量的数据保存;指纹识别能够实现活体指纹的注册、识别和校验;通过安全控制器内部的代码配合,移动存储设备能够实现指纹信息验证以及相应的数据加密存储等功能,从而实现敏感数据的高安全存储。
[0018]4.本发明具有身份认证功能的安全存储区采用生物特征识别技术(指纹)作为用户的身份识别手段;安全存储区段的信息采用SMl对称密码算法加密存储。文件加密服务。
[0019]5.本发明的加密文件采用电子信封结构,分别采用SMl算法和SM2算法作为秘密密钥算法和公开密钥算法;采用SM2算法对文件数字签名。
[0020]6.本发明采用生物识别及国密加密技术,依据个人指纹生成密钥,用以加密PC机硬盘、普通U盘、移动硬盘等存储设备上的数据,并且实现名片管理、文件粉碎和日志审核等功能,整个加密过程环环相扣、全面防卫,不留死角,不给破解、窃密者任何可乘之机。
[0021]7.本发明的生物特征识别技术与国密芯片的深度融合,通过挂接指纹传感器,使安全芯片实现了生物识别身份认证功能。很多常规的指纹认证设备,是将指纹比对算法内置于指纹采集器中,由指纹采集器完成对指纹信息的比对。如比对成功,放行后续操作。这种方式极易受到“伪造成功指令”或“绕过指纹比对”的攻击,造成认证形同虚设的结果。而中网信息安全防护系统在认证方面与常规指纹设备不同的是,指纹的匹配算法是在SSX0912安全芯片内部进行的,即使破拆设备,绕过认证机制,具有更高的安全性。
[0022]8.本发明的动态自适应指纹修正算法技术以及与国密芯片的有机结合是在日常使用中,温度、湿度、季节变化等现象可能使指纹蜕皮,对指纹的采集效果造成影响,本产品采用的动态自适应指纹修正对比技术,成功的将该算法也内置于密码芯片中;该技术可在充分比对指纹特征点的基础上,多次微调修正指纹信息库,适应用户指纹的微小变化,提升识别准确性。
[0023]9.本发明的指定收件人的数据安全传输技术,指定收件人的数据加密传输技术;利用分组密码算法和非对称密码算法的结合,创造了有如下特点的数据加密体系;第一定向数据加密,仅拥有权限的收件人可通过所持有的终端加密机解密。第二无缝对接业务系统,使得业务系统所产生的“报表、文档、附件、数据库内容”等在产生之初既已加密,保障数据的安全性。第三数据的密文经过加密者数字签名,收件人可以验证其数字签名。第四借助于软件的处理,文件加密还有如下特点,第五不限定文件格式,支持各种文件格式和扩展名。加密后,文件名会增加一个星型图形。第六支持无收件人(加密者自用)和多个收件人;第七支持共享某一私钥的若干人组成的团体作为收件人;第八支持文件加密后由原加密者变更收件人;第九支持重复加密(多个收件人转递)。
[0024]10.本发明的密码产品的容灾备份技术;
[0025]一款高强度加密安全类产品在保护用户数据的同时,也有可能面临由于设备丢失或设备损坏等因素,造成合法用户无法解密数据的困扰。设计了设备公钥互备的加密机制,使用户可指定备份设备的公钥为主设备的默认名片,主设备在加密数据的同时会自动添加备份设备的名片,由于互备设备均需认证用户的身份信息,从而使得中网信息安全防护系统在不降低加密强度及设备安全性的前提下,完美解决由于设备丢失或损毁后的文档还原问题。
[0026]11.本发明是我国首款通过商密产品型号的基于商用密码与生物特征识别认证技术于一身的数据安全类存储设备。
【专利附图】
【附图说明】
:
[0027]附图1是本产品的系统框图。
[0028]附图2是附图1中的接口电路图。
[0029]附图3是附图1中的安全芯片SSX0912电路图。
[0030]附图4是附图1中的存储芯片电路图。
[0031]附图5是附图1中的指纹芯片电路图。
【具体实施方式】
:
[0032]实施例1:
[0033]一种中网信息安全防护系统,其组成包括:安全芯片SSX0912电路1,其特征是:所述的安全芯片SSX0912电路(U2)连接指纹芯片电路(U7) 2、存储芯片电路(U4)3,所述的安全芯片SSX0912电路U2连接USB接口(Ul) 4,所述的电源连接接口电路(U5) 5,所述的安全芯片SSX0912电路U2连接电源(U3)6。
[0034]实施例2:
[0035]实施例1所述的中网信息安全防护系统,所述的安全芯片SSX0912电路为安全控制器的USB通讯,使用安全控制器芯片自身的高速USB2.0接口实现与PC端的数据通讯;安全芯片SSX0912电路包括控制器U2,所述的控制器U2连接接口器件Ul,所述的控制器U2具有 Pin34 和 Pin35。
[0036]实施例3:
[0037]实施例1所述的中网信息安全防护系统,所述的接口电路U5为电源管理电路使用LDO芯片实现PC端USB 5V电源与设备的供电转换;所述的接口电路U5包括U5芯片,所述的U5芯片连接时钟电路,所述的时钟电路通过12M的晶体和谐振电路的组合为安全控制器提供系统时钟;所述的时钟电路包括JZ1、R3、C4、C5。
[0038]实施例4:
[0039]实施例1所述的中网信息安全防护系统,所述的安全芯片SSX0912电路U2连接复位电路,所述的复位电路通过电压检测芯片实现整个电路的复位保护,所述的复位电路包括U3器件。
[0040]实施例5:
[0041]实施例1所述的中网信息安全防护系统,所述的存储芯片电路U4为数据存储电路,使用MLC大容量的NAND FLASH实现数据存储,所述的数据存储电路包括U4器件。
[0042]实施例6:
[0043]实施例1所述的中网信息安全防护系统,所述的指纹芯片电路U7为指纹识别电路是通过指纹传感器和其外围电路的配合实现活体指纹的数据采集和信息验证处理,完成指纹识别的功能;由U7传感器实现。
[0044]实施例7:
[0045]实施例1所述的中网信息安全防护系统的防护方法,利用信息安全芯片SSX0912直接挂接和控制Nand Flash并连接USB主机,实现了高速模式通讯的安全加密设备;高速模式通讯设备分为普通区和安全区,其中普通区作为普通U盘使用,当用户没有登录时提供访问;安全区在用户登录后呈现,Flash存储是数据加密的;通过挂接指纹传感器,SSX0912实现了生物识别身份认证功能;用户登录是通过指纹认证实现的;指纹的匹配运算是在SSX0912安全芯片内部进行。
[0046]实施例8:
[0047]实施例7所述的中网信息安全防护系统的防护方法,源文件数据部分采用SMl密码算法;SM1密码算法会话密钥通过SSX0912安全芯片的物理噪声源真随机数发生器产生,一次一密;加密文件是提供给指定收件人;数字信封协议采用收件人SM2非对称密码算法公钥对SMl会话密钥加密;指定的收件人拆解数字信封,对文件解密;加密文件使用发件人即加密人的SM2密码算法数字签名。
[0048]实施例9:
[0049]上述实施例所述的中网信息安全防护系统的防护方法,该产品的设备端是一个基于密码芯片的指纹安全设备。当把中网信息安全防护系统插入一台PC机时,操作系统后识别出一个⑶-ROM和一个存储区。
[0050]在进行指纹登录之前,看到的是一个普通移动存储设备,它和市面上买到的移动存储设备没有区别。可以将它当作普通的存储设备来使用。
[0051]在⑶-ROM中,可以看到一个exe文件。这就是信息防护系统的管理软件。如果采用了自动运行,或者用鼠标双击它,就可以看到弹出的程序界面。
[0052]指纹安全存储区是基于用户的指纹来进行登录认证的。因此,在使用一个新的安全存储区之前,必须注册使用者的指纹。
[0053](I)指纹管理
[0054]在一只安全存储区中,可以保存10枚指纹。
[0055]当鼠标单击左屏指纹管理按钮时,就进入了指纹管理界面。
[0056]如果是一只尚未注册指纹的中网信息安全防护系统,可以直接进入界面。否则,系统会弹出指纹认证对话框,请指纹认证。只有通过认证,才能进入界面。
[0057]在指纹管理界面中,有10枚指纹的操作图标。
[0058]单击尚未注册的空指纹图标,将进入添加指纹操作。反之,单击已经注册的指纹,则进入指纹删除操作。
[0059]按照程序的提示,可以很方便地完成添加或删除操作。
[0060](2)名片管理
[0061]在安全存储区中,可以保存一些联系人的名片。
[0062]可以选中一个或几个联系人作为收件人,为使用者进行文件加密。加密后的文件,只有加密者本人和收件人能够解密。
[0063]联系人可以是一个个人,也可以是一个团体。因此,可以:加密只供自己解密查看的文件(加密时不选择收件人);为一个或多个个人或团体加密文件,只有选择的收件人可以解密;
[0064]还可以:多重加密:例如
[0065]选择一个收件人A作为最终的收件人,进行文件加密。
[0066]然后选择一个中转人B作为收件人,对加密的文件再加密。
[0067]当把文件交给B中转时,B可以进行一次解密。但看不同明文。B再把文件交给A,由A进行在此解密,得到明文。
[0068]在需要两人以上打开文件时(例如试卷),这种方法很适用。还可以进行三重或更多层加密。
[0069]接力加密:
[0070]可以由两人以上作为加密者,对文件多重加密。
[0071]由于文件会有加密者的数字签名,由此接力加密可以表示多位加密者对提交的文件负责。
[0072]名片的作用就是:
[0073]当加密时,可以从名片中选择收件人;
[0074]当解密时,系统会利用名片中携带的公钥验证发件人的数字签名。
[0075]当鼠标单击名片管理软件时,将进入名片管理界面。
[0076]在名片管理界面中,可以导入或删除名片。
[0077](3)文件保护
[0078](3.1)文件加密
[0079]当单击文件加密按钮时,将进入文件加密界面。
[0080]可以把一个或多个文件拖入文件加密界面。如果拖入的文件是未加密文件,则相应操作是加密;如果是加密文件,缺省的操作是解密。
[0081]在拖放之后,系统会提示认证指纹。每次加密都会要求认证,以确保是本人使用安全系统进行文件加密。
[0082]如果认证成功,系统将提示选择收件人。如上所述,可以不选择收件人,或者选择一个或多个收件人。
[0083]选择确定后,系统会提示选择文件保存路径。如果选择了源文件同一路径,则加密或解密文件会覆盖源文件;如果选择了其他路径,则得到的文件会另外保存。
[0084]还可以通过以下途径加密或解密文件:
[0085]单击加密或解密按钮,在弹出的“打开文件”对话框中选择文件。后续的操作同上。
[0086]鼠标右键单击一个文件,在弹出菜单中选择加密或解密(只有单击的是加密文件时可用)菜单项,后续操作相同。
[0087]鼠标双击一个加密文件,进行解密,后续的操作相同。
[0088](3.2)文件粉碎
[0089]当单击文件粉碎按钮时,将进入文件粉碎界面。
[0090]可以将一个文件图标拖放到文件粉碎护界面,对其彻底删除。
[0091]系统会弹出一个确认提示框。
[0092]如果确定,系统会弹出一个对话框让选择粉碎的次数。确定后,文件将会消失。
[0093](5)系统登录
[0094]如果还没有登录,单击系统登录按钮,会弹出指纹认证提示框。
[0095]指纹认证成功后,系统显示的移动存储区将切换为安全存储区。可以在其中保存保密的文件和信息。
[0096]如果已经登录,则单击此按钮后,会弹出确认提示框。如果确定,将退出系统登录,可见的移动存储区重新回到普通存储区。
[0097]实施例9:
[0098]上述实施例所述的中网信息安全防护系统的防护方法,①硬件和固件实现的NandFlash存储器接口是通过SSX0912-B安全芯片内嵌的Nand Flash存储器接口控制器,可以方便地实现外接Flash的读写。
[0099]超前的ECC纠错能力,支持100-bit ECC纠错。
[0100]兼容各种结构组织的Nand Flash存储器,例如不同容量、不同块大小、不同页大小,各种Plain结构和功能支持。
[0101]硬件FTL实现,使安全终端的COS代码仅将Nand Flash存储器看作一个标准的可读写的存储器来访问。
[0102]②指纹算法
[0103]先进的指纹算法,配以电容指纹传感器。
[0104]首先特征值提取算法,然后指纹匹配。片内指纹匹配技术,可完全防止硬件破解进入;最后指纹动态学习技术,自动修正用户手指季节性和渐进性生理变化。
[0105]③硬件支持的SM1/SM2/SM3加密算法是在私密空间的加密存储;文件加密所需的各种加密算法。
[0106]④软件实现的SM4加密算法是认证过程中挑战应答消息的成城。命令信道中的口令和指纹模板加密。上述加密所用的过程密钥的生成。
【权利要求】
1.一种中网信息安全防护系统,其组成包括:安全芯片SSX0912电路,其特征是:所述的安全芯片SSX0912电路U2连接指纹芯片电路U7、存储芯片电路U4,所述的安全芯片SSX0912电路U2连接USB接口,所述的电源连接接口电路U5,所述的安全芯片SSX0912电路U2连接电源U3。
2.根据权利要求1所述的中网信息安全防护系统,其特征是:所述的安全芯片SSX0912电路为安全控制器的USB通讯,使用安全控制器芯片自身的高速USB2.0接口实现与PC端的数据通讯;安全芯片SSX0912电路包括控制器U2,所述的控制器U2连接接口器件U1,所述的控制器U2具有Pin34和Pin35。
3.根据权利要求1所述的中网信息安全防护系统,其特征是:所述的接口电路U5为电源管理电路使用LDO芯片实现PC端USB 5V电源与设备的供电转换;所述的接口电路U5包括U5芯片,所述的U5芯片连接时钟电路,所述的时钟电路通过12M的晶体和谐振电路的组合为安全控制器提供系统时钟;所述的时钟电路包括JZ1、R3、C4、C5。
4.根据权利要求1所述的中网信息安全防护系统,其特征是:所述的安全芯片SSX0912电路U2连接复位电路,所述的复位电路通过电压检测芯片实现整个电路的复位保护,所述的复位电路包括U3器件。
5.根据权利要求1所述的中网信息安全防护系统,其特征是:所述的存储芯片电路U4为数据存储电路,使用MLC大容量的NAND FLASH实现数据存储,所述的数据存储电路包括U4器件。
6.根据权利要求1所述的中网信息安全防护系统,其特征是:所述的指纹芯片电路U7为指纹识别电路是通过指纹传感器和其外围电路的配合实现活体指纹的数据采集和信息验证处理,完成指纹识别的功能;由U7传感器实现。
7.根据权利要求1所述的中网信息安全防护系统的防护方法,其特征是:利用信息安全芯片SSX0912直接挂接和控制Nand Flash并连接USB主机,实现了高速模式通讯的安全加密设备;高速模式通讯设备分为普通区和安全区,其中普通区作为普通U盘使用,当用户没有登录时提供访问;安全区在用户登录后呈现,Flash存储是数据加密的;通过挂接指纹传感器,SSX0912实现了生物识别身份认证功能;用户登录是通过指纹认证实现的;指纹的匹配运算是在SSX0912安全芯片内部进行。
8.根据权利要求7所述的中网信息安全防护系统的防护方法,其特征是:源文件数据部分采用SMl密码算法;SM1密码算法会话密钥通过SSX0912安全芯片的物理噪声源真随机数发生器产生,一次一密;加密文件是提供给指定收件人;数字信封协议采用收件人SM2非对称密码算法公钥对SMl会话密钥加密;指定的收件人拆解数字信封,对文件解密;加密文件使用发件人即加密人的SM2密码算法数字签名。
【文档编号】G06F21/62GK104331655SQ201410588159
【公开日】2015年2月4日 申请日期:2014年10月29日 优先权日:2014年10月29日
【发明者】李晓林, 赵梓绢, 冯煜, 郝江, 赵睿 申请人:山西中网信息产业有限公司