專利名稱:基于通用串行總線人機交互類設(shè)備的信息安全設(shè)備的制作方法
技術(shù)領(lǐng)域:
本實用新型涉及一種基于通用串行總線人機交互類設(shè)備的信息安全設(shè)備���。
技術(shù)背景隨著互聯(lián)網(wǎng)的普及��,電子商務(wù)��、電子政務(wù)的興起���,越來越多的人們開始嘗試在線交易�,越來越多涉及個人隱私和商業(yè)秘密的信息需要通過網(wǎng)絡(luò)傳遞�,然而病毒、黑客����、網(wǎng)絡(luò)釣魚以及網(wǎng)頁仿冒詐騙等惡意威脅,給在線交易的安全性帶來了極大的挑戰(zhàn)�����。層出不窮的網(wǎng)絡(luò)犯罪����,引起了人們對網(wǎng)絡(luò)身份的信任危機,如何證明“我是誰��?”及如何防止身份冒用等問題又一次成為人們關(guān)注的焦點��,作為網(wǎng)絡(luò)安全中的首要問題——身份認證/識別����,其安全保障迫在眉睫�。計算機及網(wǎng)絡(luò)系統(tǒng)中常用的身份認證方式主要有以下幾種用戶名/密碼方式�����,ID卡認證方式�,動態(tài)口令,USB Key��。
用戶名/密碼是最簡單也是最常用的身份認證方法�,但是很容易造成密碼泄漏,而且密碼是靜態(tài)的數(shù)據(jù)�����,驗證過程需要在計算機內(nèi)存中和網(wǎng)絡(luò)中傳輸����,很容易被木馬程序或網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲,因此是一種極不安全的身份認證方式���。
ID卡認證是通過ID卡不可復(fù)制來保護用戶身份不會被仿冒來保證安全的���,然而由于每次從ID卡中讀取的數(shù)據(jù)是靜態(tài)的,通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易截獲到用戶的身份驗證信息��,因此還是存在安全隱患�。
動態(tài)口令技術(shù)是一種讓用戶密碼按照時間或使用次數(shù)不斷變化、每個密碼只能使用一次的技術(shù)����,由于每次使用的密碼必須由動態(tài)令牌來產(chǎn)生,而只有合法的用戶才持有這種動態(tài)令牌的專用硬件�,因此通過密碼驗證就可以認為用戶身份是可靠的。但是如果客戶端與服務(wù)器端的時間或次數(shù)不能保持良好的同步����,就可能發(fā)生合法用戶無法登錄的問題。并且用戶每次登錄時需要通過鍵盤輸入一長串無規(guī)律的密碼�����,一旦輸錯就要重新操作����,使用起來非常不方便。
實用新型內(nèi)容本實用新型克服了上述缺點�,提供一種結(jié)合USB Key和HID設(shè)備的特點和優(yōu)勢,簡單�����、安全的基于通用串行總線人機交互類設(shè)備的信息安全設(shè)備。
本實用新型解決其技術(shù)問題所采取的技術(shù)方案是一種基于通用串行總線人機交互類設(shè)備的信息安全設(shè)備��,包括內(nèi)置有人機接口設(shè)備描述符的主控芯片���,和與所述主控芯片相連的USB接口模塊��。
還可包括附加認證模塊���,且為包括生物特征識別模塊或讀卡模塊的智能認證模塊。
所述USB接口模塊可與所述主控芯片集成在同一主控芯片中����,或為與所述主控芯片分立的USB HID接口芯片。
所述主控芯片可包括CPU����、MCU、單片機���。
與現(xiàn)有技術(shù)相比本實用新型的有益效果是所述信息安全設(shè)備本身可以做到小巧便攜易用����,功能卻很強大。通過USB HID接口�,使得設(shè)備用戶不需要安裝驅(qū)動程序就可以隨時隨地使用�,不需要管理版本不斷升級的驅(qū)動程序,不需要考慮不同產(chǎn)品驅(qū)動程序的兼容問題�����,不需要面對驅(qū)動程序引起的操作系統(tǒng)使用風(fēng)險�,不需要擔(dān)心驅(qū)動程序的安裝卸載對系統(tǒng)產(chǎn)生的污染,用作主控芯片的CPU���、單片機和智能卡芯片的各種功能的使用使得身份認證的安全性得到保障����。此外��,包括生物識別模塊等的附加識別模塊的加盟使得身份認證設(shè)備的安全性能更高�。
圖1為實施例1的控制流程圖圖2為實施例2的控制流程圖圖3為實施例1的硬件原理圖圖4為實施例2的硬件原理圖圖5位實施例3的硬件原理圖具體實施方式
USB作為一種得到日益廣泛使用的PC機互連協(xié)議,使外設(shè)到計算機的連接更加高效��、便利��。這種接口適合于多種設(shè)備,不僅具有快速���、即插即用��、支持熱插拔的特點��,還能同時連接多達127個設(shè)備���,解決了如資源沖突、中斷請求和直接數(shù)據(jù)通道等問題����。因此,越來越多的開發(fā)者欲在自己的產(chǎn)品中使用這種標準接口��。
HID是USB終端人機接口設(shè)備的簡稱�����。HID設(shè)備在Windows98SE及以上操作系統(tǒng)無需安裝驅(qū)動程序���,這為設(shè)備的使用提供了更多的便捷����。用戶不需要隨身攜帶驅(qū)動程序就可以隨時隨地使用,不需要使用PC外設(shè)時惱人的驅(qū)動安裝����,不需要管理版本不斷升級的驅(qū)動程序,不需要考慮不同產(chǎn)品驅(qū)動程序的兼容問題��,不需要面對驅(qū)動程序引起的操作系統(tǒng)使用風(fēng)險����,不需要擔(dān)心驅(qū)動程序的安裝卸載對系統(tǒng)產(chǎn)生的污染���,而這些對于對PC機不是很精通的用戶來說無疑都是喜訊���。
基于USB Key的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術(shù)�。它采用軟硬件相結(jié)合、一次一密的強雙因子認證模式��,很好地解決了安全性與易用性之間的矛盾本實用新型結(jié)合USB Key和HID設(shè)備的特點和優(yōu)勢���,將無驅(qū)USB Key用在網(wǎng)絡(luò)安全身份識別領(lǐng)域���。下面結(jié)合具體實施例對本實用新型內(nèi)容做進一步闡述。
本實用新型所述無驅(qū)USB Key是一種通用串行總線人機交互類設(shè)備(USBHID)接口的硬件設(shè)備,如圖1中所示���,所述信息安全設(shè)備302內(nèi)置有高性能單片機或智能卡芯片303���,并通過內(nèi)置的USB接口與主機301相連,所述單片機或智能卡芯片303�����,可以存儲用戶的密鑰或數(shù)字證書����,利用USB Key內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。所述單片機或智能卡芯片中內(nèi)置操作系統(tǒng)���,硬件產(chǎn)生RSA密鑰�,硬件支持RSA���、DES����、3DES�、TEA算法�,硬件隨機數(shù)生成�,固件程序支持第三方算法下載。依據(jù)上述結(jié)構(gòu)����,數(shù)據(jù)傳輸過程如下一、主機識別設(shè)備主機通過枚舉USB HID設(shè)備和所述信息安全設(shè)備302建立連接��,并獲得HID類和報告描述符��,建立和所述信息安全設(shè)備的通信����,由主機讀取所述信息安全設(shè)備的文件系統(tǒng)并獲得相關(guān)信息����。
二、主機向設(shè)備發(fā)送命令主機收到用戶的認證請求之后����,使用HID特定請求Set_Report控制傳輸命令發(fā)送驗證數(shù)據(jù)給設(shè)備。該請求可以采用PIN碼驗證�����,或是簽名驗證,或是數(shù)據(jù)下載���,或是文件的訪問����、或是權(quán)限管理���、或是讀取或?qū)懭搿?br>
三�����、設(shè)備對命令的解析和處理所述信息安全設(shè)備在接收到來自主機的Set_Report命令之后��,依據(jù)事先約定的數(shù)據(jù)協(xié)議解析命令請求�,通過并執(zhí)行相應(yīng)的安全操作���,比如執(zhí)行PIN碼校驗�,執(zhí)行簽名驗證��,接收需要下載的數(shù)據(jù)到指定的位置�����,依據(jù)訪問權(quán)限對文件進行讀寫修改添加刪除的操作,或者更改對文件的操作權(quán)限��。
四����、設(shè)備對應(yīng)用程序的響應(yīng)設(shè)備完成指定的操作之后或者設(shè)備對應(yīng)用程序提出新的請求時,通過Get_Report命令發(fā)送處理結(jié)果等相關(guān)數(shù)據(jù)給應(yīng)用程序來響應(yīng)應(yīng)用的請求��。
基于USB Key身份認證系統(tǒng)主要有兩種應(yīng)用模式一是基于沖擊/響應(yīng)的認證模式����,二是基于公開密鑰體系(PKI)體系的認證模式。
對于基于沖擊/響應(yīng)認證模式身份識別技術(shù)��,應(yīng)用過程如下所述��。
如圖1中所示�,應(yīng)用執(zhí)行101所示初始化過程���,當(dāng)需要在網(wǎng)絡(luò)上驗證用戶身份時�,執(zhí)行102所示雙因子認證�����。通過弱因子(PIN碼)認證之后設(shè)備將收到的隨機數(shù)使用約定算法進行加密,將結(jié)果返回給終端由終端識別加密結(jié)果的正確性��。
雙因子認證結(jié)束����,依據(jù)認證結(jié)果進行判斷認證是否成功103,應(yīng)用端可以提供應(yīng)用106或者拒絕服務(wù)108���。此外還可以對所述信息安全設(shè)備進行文件管理104或者其他的數(shù)據(jù)操作105��,然后操作完成到107����。
本實施例的應(yīng)用過程中���,密鑰運算分別在本實施例中所述信息安全設(shè)備的硬件和服務(wù)器中運行����,不出現(xiàn)在客戶端內(nèi)存中�,也不在網(wǎng)絡(luò)上傳輸,由于MD5-HMAC算法是一個不可逆的算法��,就是說知道密鑰和運算用隨機數(shù)就可以得到運算結(jié)果�,而知道隨機數(shù)和運算結(jié)果卻無法計算出密鑰��,從而保護了密鑰的安全���,也就保護了用戶身份的安全。
實施例2如圖2中4中所示��,所述信息安全設(shè)備402包括高性能CPU芯片404�����,并通過用于解析USB通信協(xié)議的USB接口芯片403與主機401相連�����,所述高性能CPU芯片加USB接口芯片��,硬件實現(xiàn)HMAC-MD5算法��,硬件實現(xiàn)隨機數(shù)生成��。固件程序支持三級文件訪問和管理權(quán)限�。
下面基于上述結(jié)構(gòu)和PKI體系的認證模式��,具體描述本實施例應(yīng)用過程���。
PKI認證是一種利用現(xiàn)代密碼學(xué)的公鑰密碼技術(shù)在公開的網(wǎng)絡(luò)環(huán)境中提供數(shù)據(jù)加密以及數(shù)字簽名服務(wù)的����、統(tǒng)一的技術(shù)框架。
基于證書授權(quán)(CA)認證技術(shù)日趨成熟����,本實施例中使用數(shù)字證書進行身份認證與數(shù)字加密。數(shù)字證書是由權(quán)威公正的第三方機構(gòu)即CA中心簽發(fā)的��,以數(shù)字證書為核心的加密技術(shù)�,可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證���,確保網(wǎng)上傳遞信息的機密性���、完整性,以及交易實體身份的真實性����,簽名信息的不可否認性,從而保障網(wǎng)絡(luò)應(yīng)用的安全性��。
首先執(zhí)行201所示初始化操作,當(dāng)服務(wù)器端需要驗證用戶的身份時����,如202步驟執(zhí)行PKI認證。設(shè)備對收到的數(shù)據(jù)運用私鑰進行加密運算����,將結(jié)果返回給終端,服務(wù)器在接收到加密結(jié)果以后使用公鑰解密驗證認證數(shù)據(jù)的正確性�����。
PKI認證結(jié)束��,判斷認證是否成功203�����,如果失敗則拒絕服務(wù)208��,否則210使用應(yīng)用提供的服務(wù)��。另外還可以使用本實施例提供的服務(wù)204�����,進行諸如數(shù)據(jù)讀寫207,算法下載206�,數(shù)據(jù)加解密205���,使用完畢轉(zhuǎn)到209結(jié)束���。
本實施例中,每個用戶擁有一把僅為本人所掌握的私有密鑰(私鑰)�,用它進行解密和簽名;同時擁有一把公共密鑰(公鑰)并可以對外公開�,用于加密和驗證簽名。當(dāng)發(fā)送一份保密文件時����,發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密,而接收方則使用自己的私鑰解密���,這樣�,信息就可以安全無誤地到達目的地了���,即使被第三方截獲��,由于沒有相應(yīng)的私鑰���,也無法進行解密�。通過數(shù)字的手段保證加密過程是一個不可逆過程�����,即只有用私有密鑰才能解密�����。
用戶也可以采用自己的私鑰對信息加以處理���,由于密鑰僅為本人所有�����,這樣就產(chǎn)生了別人無法生成的文件�����,也就形成了數(shù)字簽名�����。采用數(shù)字簽名���,能夠確認以下兩點(1)保證信息是由簽名者自己簽名發(fā)送的����,簽名者不能否認或難以否認����;(2)保證信息自簽發(fā)后到收到為止未曾作過任何修改���,簽發(fā)的文件是真實文件實施例3如圖5中所示�����,所述信息安全設(shè)備502除包括如實施例2種的高性能CPU 503外�,還包括附加的生物特征識別模塊�,所述生物特征識別模塊包括用于提取生物特征信息的傳感器505和用于將生物信息轉(zhuǎn)換為CPU可以識別的控制信號的控制芯片504,所述控制芯片504連接在所述CPU 503和傳感器505之間����,從而在功能上增加了生物識別等新的技術(shù),使認證的安全性進一步提升�。此外,也可以采用諸如讀卡器模塊能附加認證模塊�,也同樣能夠?qū)崿F(xiàn)更高的安全性要求����。
以上對本實用新型所提供的通用串行總線人機交互類設(shè)備的信息安全設(shè)備進行了詳細介紹��,本文中應(yīng)用了具體個例對本實用新型的原理及實施方式進行了闡述����,以上實施例的說明只是用于幫助理解本實用新型的方法及其核心思想;同時��,對于本領(lǐng)域的一般技術(shù)人員�,依據(jù)本實用新型的思想,在具體實施方式
及應(yīng)用范圍上均會有改變之處����,綜上所述,本說明書內(nèi)容不應(yīng)理解為對本實用新型的限制�����。
權(quán)利要求1.一種基于通用串行總線人機交互類設(shè)備的信息安全設(shè)備���,其特征在于包括內(nèi)置有人機接口設(shè)備描述符的主控芯片����,和與所述主控芯片相連的USB接口模塊。
2.根據(jù)權(quán)利要求1所述的基于通用串行總線人機交互類設(shè)備的信息安全設(shè)備�,其特征在于還包括附加認證模塊,且為包括生物特征識別模塊或讀卡模塊的智能認證模塊����。
3.根據(jù)權(quán)利要求1或2所述的基于通用串行總線人機交互類設(shè)備的信息安全設(shè)備,其特征在于所述USB接口模塊與所述主控芯片集成在同一芯片中�,或為與所述主控芯片分立的USB HID接口芯片。
4.根據(jù)權(quán)利要求1或2所述的基于通用串行總線人機交互類設(shè)備的信息安全設(shè)備���,其特征在于所述主控芯片包括CPU、MCU��、單片機�。
專利摘要本實用新型涉及一種基于通用串行總線人機交互類的信息安全設(shè)備。本實用新型通過包括內(nèi)置有人機接口設(shè)備描述符的主控芯片��,和與所述主控芯片相連的USB接口模塊���,使其本身可以做到小巧便攜易用�����,功能卻很強大�。通過USB HID接口,使得設(shè)備用戶不需要安裝驅(qū)動程序就可以隨時隨地使用����,不需要管理版本不斷升級的驅(qū)動程序,不需要考慮不同產(chǎn)品驅(qū)動程序的兼容問題�����,不需要面對驅(qū)動程序引起的操作系統(tǒng)使用風(fēng)險�,不需要擔(dān)心驅(qū)動程序的安裝卸載對系統(tǒng)產(chǎn)生的污染,用作主控芯片的CPU�、單片機和智能卡芯片的各種功能的使用使得身份認證的安全性得到保障。此外���,包括生物識別模塊等的附加識別模塊的加盟使得身份認證設(shè)備的安全性能更高���。
文檔編號G06F21/00GK2914498SQ20062000198
公開日2007年6月20日 申請日期2006年1月27日 優(yōu)先權(quán)日2006年1月27日
發(fā)明者陸舟, 于華章 申請人:北京飛天誠信科技有限公司