專利名稱:一種USB Key裝置及其帳戶管理和驗證使用方法
技術(shù)領(lǐng)域:
本發(fā)明涉及安全移動存儲設(shè)備���,具體涉及一種USB Key裝置及其帳戶管理和驗證使用方法�����。
背景技術(shù):
鑰匙U盤(USB Key)是一種USB接口的硬件設(shè)備���。它內(nèi)置安全芯片(單片機或智能卡芯片),有一定的存儲空間����,可以存儲用戶的私鑰以及數(shù)字證書����,利用USB Key內(nèi)置的公鑰算法實現(xiàn)對用戶身份的認證����。由于用戶私鑰保存在密碼鎖中,理論上使用任何方式都無法讀取��,因此保證了用戶認證的安全性��。但是���,傳統(tǒng)的USB KEY只存儲一份用戶的私鑰以及數(shù)字證書�、使用PIN碼來保護��,網(wǎng)絡后臺服務器獲取用戶私鑰以及數(shù)字證書進行驗證�,每個人對應一份用戶的私鑰以及數(shù)字證書,使用自己的個人識別密碼(PIN)�,在擁有USB KEY情況下可以通過猜測PIN碼假冒合法用戶的身份,能給用戶帶來很大的損失��,為防止遺失�����,給用戶帶來很大的保管壓力。另一方面,針對指紋識另I」���,卡內(nèi)比對MOC(Match on Card)是Java Card國際組織提出的嵌入式指紋認證技術(shù)要求��,指紋的比對操作必須在識別智能卡(或識別芯片)內(nèi)部完成�,實現(xiàn)安全的指紋認證����。目前���,與指紋傳感器綁定的識別智能卡(或識別芯片)通過與其他裝置或電路部分進行通信而實現(xiàn)安全功能��。但是由于USB Key本身是安全裝置�,本身帶有安全芯片�,如果采用這種安全芯片與識別芯片通信的結(jié)構(gòu),芯片間的通信會被截獲�����、從而降低USB Key裝置的安全性���。同時�����,傳統(tǒng)的USB KEY裝置無法����、也不能提供其他保密信息存儲,或者在提供保密信息存儲的基礎(chǔ)上還能不影響USB Key本身的安全性���。進一步�,傳統(tǒng)的USB Key帳戶管理只針對單人����,根本無須、也不適合于用戶自己管理����;同樣帳戶驗證也無法滿足多人需要。
發(fā)明內(nèi)容
本發(fā)明需要解決的技術(shù)問題是���,如何提供一種USB Key裝置及其帳戶管理和驗證使用方法���,能防止遺失后他人拾取USB Key后進行假冒并保證高度安全性,同時還能作為用戶私密信息或文件的存儲裝置,進一步還能為多人多帳戶使用����。本發(fā)明的第一個技術(shù)問題這樣解決:構(gòu)建一種USB Key裝置,包括USB接口和內(nèi)部安全芯片��,其特征在于�����,還包括:片內(nèi)存儲模塊��,內(nèi)置在所述安全芯片中��,用于認證信息���、密鑰信息、用戶指紋信息和PIN碼�;指紋算法處理模塊,內(nèi)置在所述安全芯片中��,用于對用戶指紋進行圖像識別和處理��;指紋傳感器��,位于USB Key裝置外殼、與所述指紋算法處理模塊電連接��,用于采集用戶指紋��;大容量存儲器(Mass Storage)命令處理及USB傳輸處理模塊���,內(nèi)置在所述安全芯片中��、與所述USB接口電連接����,用于與計算機或網(wǎng)絡后臺服務器進行USB總線通信�����;閃存文件管理模塊��,內(nèi)置在所述安全芯片中��,用于管理閃存存儲芯片讀寫擦除����;閃存存儲芯片,位于USB Key內(nèi)部�,與所述閃存文件管理模塊電連接。按照本發(fā)明提供的USB Key裝置,還包括:算法處理模塊及硬件IP核接口模塊����,內(nèi)置在所述安全芯片中,用于實現(xiàn)數(shù)字認證過程中的安全可靠的高速加密/解密����。按照本發(fā)明提供的USB Key裝置,還包括:時鐘芯片���,與所述安全芯片電連接�,用于提供所述安全芯片的工作時鐘�。按照本發(fā)明提供的USB Key裝置,還包括:電源管理芯片�,用于提供穩(wěn)定的電流和電壓并進行電源安全保護。本發(fā)明的第二個技術(shù)問題這樣解決:構(gòu)建一種USB Key裝置的帳戶管理方法�����,其特征在于�,包括以下步驟:通過USB Key操作系統(tǒng)在內(nèi)部建立一個以上用戶帳戶�,逐個記錄輸入的每個帳戶對應PIN碼和通過USB Key的指紋傳感器(3)采集的每個帳戶對應用戶指紋信息;連接網(wǎng)絡后臺服務器��,由USB Key內(nèi)部安全芯片(I)和操作系統(tǒng)將所述用戶帳戶及其對應PIN碼和對應用戶指紋信息的組合傳送并保存到網(wǎng)絡后臺服務器的數(shù)據(jù)庫中。按照本發(fā)明提供的USB Key裝置帳戶管理方法��,還包括:通過USB Key操作系統(tǒng)在內(nèi)部刪除用戶帳戶����;連接網(wǎng)絡后臺服務器,由USB Key內(nèi)部安全芯片⑴和操作系統(tǒng)將被刪除的用戶帳戶傳送到網(wǎng)絡后臺服務器并在所述數(shù)據(jù)庫中刪除�。按照本發(fā)明提供的USB Key裝置的帳戶管理方法,還包括:驗證管理者帳戶的PIN碼和用戶指紋信息�,不通過禁止進行帳戶管理。本發(fā)明的第二個技術(shù)問題這樣解決:構(gòu)建一種USB Key裝置的驗證使用方法�,其特征在于,包括以下步驟:在網(wǎng)絡后臺服務器的數(shù)據(jù)庫中保存用戶帳戶�����、對應PIN碼和對應用戶指紋信息�����;在USB Key裝置端接受用戶帳戶����、用戶輸入的PIN碼和通過USB Key的指紋傳感器采集的用戶指紋信息;USB Key裝置通過內(nèi)部安全芯片(I)和操作系統(tǒng)將所述用戶帳戶���、用戶輸入的PIN碼和通過USB Key的指紋傳感器采集的用戶指紋信息的組合上傳給網(wǎng)絡后臺服務器并進行比對���,一致則驗證通過�����、獲權(quán)讀取USB Key中的安全數(shù)據(jù)進行帳戶認證�;不一致則驗證失敗�、帳戶認證不通過直接結(jié)束。按照本發(fā)明提供的USB Key裝置驗證使用方法����,所述比對是按PIN碼在先、用戶指紋信息在后的順序逐一進行比對���,全部相同則一致���,否則是不一致。按照本發(fā)明提供的USB Key裝置驗證使用方法��,還包括:用戶選擇USB Key裝置作為U盤時����,驗證USB Key裝置內(nèi)部安全芯片中片內(nèi)存儲區(qū)內(nèi)保存的管理者帳戶的pin碼和管理者帳戶的用戶指紋,通過則允許將內(nèi)部NANDFLASH存儲芯片作為U盤使用����,否則禁止。本發(fā)明提供的USB Key裝置及其帳戶管理和驗證使用方法�����,與現(xiàn)有技術(shù)相比具有以下優(yōu)勢:1�����、結(jié)合卡內(nèi)指紋認證和網(wǎng)絡后臺管理防止遺失后他人拾取USB Key后進行假冒���;
2�、單芯片結(jié)構(gòu)避免了通信漏洞����;3、增加了安全芯片管理的閃存����,結(jié)合卡內(nèi)指紋認證同時成為用戶私密信息或文件的存儲裝置;4�、可以多人多帳戶�;5����、可兼做保密U盤。
下面結(jié)合附圖和具體實施例進一步對本發(fā)明進行詳細說明:圖1是本發(fā)明具體實施例USB Key裝置系統(tǒng)結(jié)構(gòu)示意圖����;圖2是圖1所示裝置管控程序的流程示意圖;圖3是圖2對應的狀態(tài)示意圖�。
具體實施例方式下面結(jié)合附圖和具體實施方式
對本發(fā)明作進一步說明。首先���,說明本發(fā)明裝置的硬件基礎(chǔ):圖1為本發(fā)明基于國密算法的高速指紋KEY盤的邏輯結(jié)構(gòu)示意圖��。如圖1所示��,該指紋KEY盤包括:型號“SSX45”的安全芯片I (SSX45安全芯片)�����,閃存(NANDFLASH)存儲芯片2����,指紋傳感器3和外圍芯片組4四個部分組成��。SSX45安全芯片I作為主控芯片分別和NANDFLASH存儲芯片2�、指紋傳感器3及外圍芯片組4相連,控制整個Key盤的工作�。SSX45安全芯片通過USB總線與PC機相連?;趪a(chǎn)密碼算法的高速指紋KEY盤的核心組件為SSX45安全芯片,該芯片采用32位CPU核�,內(nèi)置高性能的協(xié)處理器,具有快速處理能力���,程序和數(shù)據(jù)存儲區(qū)為512K字節(jié)�。其結(jié)構(gòu)如下:安全芯片是該設(shè)備的核心部件�,它主要完成芯片端程序的存儲,MCU的調(diào)度與協(xié)調(diào)����,內(nèi)部硬件IP核的運算等用途。NANDFLASH存儲芯片2用于存儲大容量的文件數(shù)據(jù)���。安全芯片I內(nèi)部采用非線性宏單元模式�,為固態(tài)大容量內(nèi)存的實現(xiàn)提供了廉價有效的解決方案��。NANDFLASH存儲器具有容量較大��,改寫速度快等優(yōu)點,適用于大量數(shù)據(jù)的存儲����。它是非易失存儲器,可以對稱為塊的存儲器單元塊進行擦寫和再編程�。指紋傳感器3在此所采用的是電容式的指紋傳感器,它是實現(xiàn)指紋自動采集的關(guān)鍵器件���。它屬于第二代指紋識別系統(tǒng)實現(xiàn)了識別范圍從表皮到真皮的轉(zhuǎn)換�����,從而大大提高了識別的準確率和系統(tǒng)的安全性�。外圍芯片組4包括電源管理芯片�、時鐘芯片、USB接口等元器件�����。電源管理芯片對電壓做降壓處理�,同時對電流進行濾波處理,它為其它硬件提供穩(wěn)定的電流和電壓同時對電路進行保護的�,電壓異常時采取相應措施。時鐘芯片通過震蕩電路用于產(chǎn)生芯片正常工作的頻率60M,80M����,100M,輸入為12M晶振����。USB接口用于實現(xiàn)KEY盤與PC端相連接�。KEY盤中的USB Mass Storage命令處理模塊11實現(xiàn)USB Mass-Storage協(xié)議的Bulk-only子協(xié)議和UFI子協(xié)議,實現(xiàn)免驅(qū)動的指紋KEY盤����。NANDFLASH文件管理模塊12用于管理NANDFLASH存儲芯片讀寫擦除。國密算法外理模塊及硬件IP核接口模塊13���,用于調(diào)用芯片內(nèi)的國密算法的IP核以實現(xiàn)安全可靠的高速加密/解密����。指紋算法處理模塊14��,用于處理指紋傳感器采集到的指紋信息�,包括指紋圖像壓縮、指紋圖像質(zhì)量判斷���、自主自適應指紋處理算法����、圖像拼接算法、多平臺指紋算法�����、交叉比對�、片上指紋比對等技術(shù)。片內(nèi)存儲區(qū)15��,在SSX45芯片內(nèi)的一塊存儲區(qū)域�,用于存放認證信息、密鑰信息��、
指紋信息等重要安全信息���。智能卡芯片操作系統(tǒng)(COS)文件管理系統(tǒng)是整個設(shè)備的核心軟件�,它包含安全機制控制���,密鑰管理機制��,文件管理模塊幾個部分�。在進行安全體系的規(guī)劃過程中,實現(xiàn)了以下幾種安全機制:認證機制:終端認證(外部認證)���,設(shè)備認證(內(nèi)部認證)�����,用戶身份認證(指紋驗證)�;訪問控制機制:安全狀態(tài)�,設(shè)置狀態(tài)機�����,設(shè)置目錄���,文件的訪問權(quán)限��,設(shè)置密鑰文件的訪問權(quán)限�,設(shè)置密鑰文件中密鑰的訪問權(quán)限��,以及密鑰的重試次數(shù)���;安全報文傳送機制:線路認證方式(明文+硬件地址(MAC))�����,線路加密方式(密文)�,線路加密認證方式(密文+MAC);防拔機制,掉電保護機制:確保設(shè)備在非正常拔下���,或意外掉電的情況下數(shù)據(jù)存儲的完整性�。密鑰的管理機制包括主控密鑰�,外部認證密鑰,內(nèi)部認證密鑰指紋可以有多個�,通過密鑰ID標識。密鑰的使用����,要符合讀權(quán)限的管理要求,當前安全狀態(tài)滿足密鑰使用權(quán)限的要求才可使用密鑰���。密鑰的更新���,要符合寫權(quán)限的管理要求,當前安全狀態(tài)滿足密鑰寫權(quán)限的要求才可更新密鑰�����。密鑰的使用權(quán)限和寫權(quán)限都存儲在密鑰文件的密鑰屬性中。文件管理模塊實現(xiàn)N0RFLASH上的文件系統(tǒng)���,提供統(tǒng)一的文件訪問接口�����,實現(xiàn)文件的安全訪問��。文件系統(tǒng)支持的文件類型包括:二進制文件�,定長記錄文件��,變長記錄文件和循環(huán)記錄文件��。文件系統(tǒng)完全符合國際標準化組織(ISO)/國際電工委員會(IEC) 7816標準��,并符合公鑰基礎(chǔ)設(shè)施(PKI)應用體系的應用特點�,對各種文件實現(xiàn)安全操作和訪問�����,包括主控文件(MF)�、應用目錄文件(DF)和基本文件(EF)?��?梢灾С治鍖幽夸浳募Y(jié)構(gòu)�����,在對目錄����、文件及其數(shù)據(jù)操作前,將根據(jù)當前目錄或文件的安全屬性檢查設(shè)備的安全狀態(tài)���,以確定操作如創(chuàng)建�、刪除和讀寫的可行性��。對目錄或文件數(shù)據(jù)的操作和管理將按照一定的規(guī)則進行�。第二,簡要說明本發(fā)明裝置的軟件核心:在一個指紋Key盤在成功量產(chǎn)以后�����,支持多用戶進行使用�����,具體軟件實現(xiàn)如圖2所示����,包括以下處理:㈠本發(fā)明的多帳戶輸入�,如圖中步驟101 104)當上述指紋Key盤插入PC機時����,在MASS-Storage命令及USB傳輸外理模塊作用下與PC機相連,首先SSX45安全芯片會調(diào)用并啟動指紋算法處理模塊及國密算法外理模塊�,在指紋算法處理模塊的作用下,打開指紋傳感器���,并在國密算法處理模塊的保護下提取指紋信息����,然后將提取的指紋信息送入安全芯片���。經(jīng)量產(chǎn)后的指紋Key盤�,如果第一次使用那么PC端會彈出一個會話界面�,此時用戶可以建立管理員帳戶并輸入Pin及指紋信息作為密碼����,如步驟101)。當然也可以建立第二個帳戶�����,第三個帳戶...第N個帳戶,如步驟102) 104)�。不同的賬戶可以供不同的用戶使用。一個指紋Key盤只能有一個管理員帳戶���,管理員的權(quán)限高于其他帳戶的權(quán)限��,并可以在不知道其他帳戶Pin及指紋的情況下強制刪除其他帳戶��,但管理員沒有權(quán)限獲取其他帳戶的Pin及指紋信息�,其他帳戶沒有權(quán)限刪除管理員帳戶也沒有權(quán)限獲取管理員帳戶的Pin及指紋信息��。建立每個帳戶都包括步驟:1001)建立好的帳戶信息���、相應的Pin及指紋信息�;1002)在安全芯片的保護下傳送�;1003)存儲到網(wǎng)絡后臺服務器中,以備以后驗證時使用��。如果是第一次登入指紋Key盤��,那么SSX45安全芯片會將指紋信息以特征點的方式存入在SSX45安全芯片的保護下存入后臺服務器����。㈡本發(fā)明的帳戶認證���,如圖中步驟201 208)在進行指紋驗證的時候,指紋傳感器采集指紋信息��,在國密算法模塊的保護下��,SSX45安全芯片會將相應帳戶的Pin及指紋傳感器中所采集的指紋信息送到網(wǎng)絡后臺服務器并與后臺服務器中存儲的相應帳戶的Pin及指紋信息進行比對����,如步驟201) 204)。如果比對成功����,則通過SSX45芯片調(diào)用片內(nèi)存儲區(qū)相應賬戶的數(shù)字證書,如步驟208)��。另外還包括步驟:205)調(diào)用數(shù)字證書�����;206)打開 NANDFLASH 芯片����;207)用戶選擇用作KEY盤。㈢本發(fā)明的保密U盤方法����,如圖中步驟201 207)和209)在調(diào)用片內(nèi)存儲區(qū)相應賬戶的數(shù)字證書的同時,在NANDFLASH文件管理模塊的管理下打開NADNFLASH存儲芯片供用戶使用�����,如步驟209)�����。在保密U盤方法的步驟207)中�����,用戶選擇用作U盤��。在另一個實施例中�����,在SSX45安全芯片的片內(nèi)存儲區(qū)中同時保存管理者帳戶的指紋和pin碼�����,在未連接網(wǎng)絡后臺服務器時,驗證管理者的指紋和pin碼�����,通過將內(nèi)部NANDFLASH存儲芯片作為U盤使用����,但不能調(diào)用SSX45安全芯片的片內(nèi)存儲區(qū)中的安全數(shù)據(jù)。最后�����,簡要說明本發(fā)明裝置的具體實現(xiàn):如圖3所示����,該裝置增加了指紋算法處理模塊14和NANDFLASH存儲芯片2,并對其他模塊進行增強���,通過指紋算法處理模塊14與命令管理模塊���、安全管理模塊和文件管理模塊交互或通訊,以及NANDFLASH存儲芯片2與命令管理模塊和文件管理模塊交互或通訊���,在各模塊自身功能的基礎(chǔ)上實現(xiàn)圖2所示控制程序的作用�。
權(quán)利要求
1.一種USB Key裝置,包括USB接口和內(nèi)部安全芯片(I)��,其特征在于�����,還包括: 片內(nèi)存儲模塊(15)����,內(nèi)置在所述安全芯片中��,用于認證信息�、密鑰信息、用戶指紋信息和PIN碼����; 指紋算法處理模塊(14),內(nèi)置在所述安全芯片中���,用于對用戶指紋進行圖像識別和處理���; 指紋傳感器(3)�,位于USB Key裝置外殼�����、與所述指紋算法處理模塊電連接�����,用于采集用戶指紋���; 大容量存儲器命令處理及USB傳輸處理模塊(11)��,內(nèi)置在所述安全芯片中��、與所述USB接口電連接�����,用于與計算機或網(wǎng)絡后臺服務器進行USB總線通信��; 閃存文件管理模塊(12)�����,內(nèi)置在所述安全芯片中��,用于管理閃存存儲芯片讀寫擦除�����; 閃存存儲芯片(2)��,位于USB Key內(nèi)部���,與所述閃存文件管理模塊電連接。
2.根據(jù)權(quán)利要求1所述USBKey裝置����,其特征在于,還包括: 算法處理模塊及硬件IP核接口模塊(13)�,內(nèi)置在所述安全芯片中,用于實現(xiàn)數(shù)字認證過程中的加密/解密����。
3.根據(jù)權(quán)利要求1所述USBKey裝置,其特征在于��,還包括: 時鐘芯片�����,與所述安全芯片電連接,用于提供所述安全芯片的工作時鐘���。
4.根據(jù)權(quán)利要求1所述USBKey裝置��,其特征在于���,還包括:` 電源管理芯片,用于提供穩(wěn)定的電流和電壓并進行電源安全保護�。
5.一種根據(jù)權(quán)利要求1所述USB Key裝置的帳戶管理方法,其特征在于�����,包括以下步驟: 通過USB Key操作系統(tǒng)在內(nèi)部建立一個以上用戶帳戶�����,逐個記錄輸入的每個帳戶對應PIN碼和通過USB Key的指紋傳感器(3)采集的每個帳戶對應用戶指紋信息�; 連接網(wǎng)絡后臺服務器,由USB Key內(nèi)部安全芯片(I)和操作系統(tǒng)將所述用戶帳戶及其對應PIN碼和對應用戶指紋信息的進行密鑰組合后傳送并保存到網(wǎng)絡后臺服務器的數(shù)據(jù)庫中���。
6.根據(jù)權(quán)利要求5所述帳戶管理方法����,其特征在于,還包括: 通過USB Key操作系統(tǒng)在內(nèi)部刪除用戶帳戶�����; 連接網(wǎng)絡后臺服務器���,由USB Key內(nèi)部安全芯片(I)和操作系統(tǒng)將被刪除的用戶帳戶傳送到網(wǎng)絡后臺服務器并在所述數(shù)據(jù)庫中刪除����。
7.根據(jù)權(quán)利要求5或6所述帳戶管理方法�,其特征在于�����,還包括: 驗證管理者帳戶的PIN碼和用戶指紋信息����,不通過禁止進行帳戶管理。
8.一種根據(jù)權(quán)利要求1所述USB Key裝置的驗證使用方法���,其特征在于�,包括以下步驟: 在網(wǎng)絡后臺服務器的數(shù)據(jù)庫中保存用戶帳戶���、對應PIN碼和對應用戶指紋信息��; 在USB Key裝置端接受用戶帳戶����、用戶輸入的PIN碼和通過USB Key的指紋傳感器采集的用戶指紋信息; USB Key裝置通過內(nèi)部安全芯片(I)和操作系統(tǒng)將所述用戶帳戶�����、用戶輸入的PIN碼和通過USB Key的指紋傳感器采集的用戶指紋信息的組合上傳給網(wǎng)絡后臺服務器并進行比對�����,一致則驗證通過���、獲權(quán)讀取USB Key中的安全數(shù)據(jù)進行帳戶認證����;不一致則驗證失敗�、帳戶認證不通過直接結(jié)束。
9.根據(jù)權(quán)利要求8所述驗證使用方法�,其特征在于,所述比對是按PIN碼在先、用戶指紋信息在后的順序逐一進行比對�,全部相同則一致,否則是不一致����。
10.根據(jù)權(quán)利要求8所述驗證使用方法,其特征在于��,還包括:用戶選擇USBKey裝置作為U盤時���,驗證USB Key裝置內(nèi)部安全芯片中片內(nèi)存儲區(qū)內(nèi)保存的管理者帳戶的pin碼和管理者帳戶的用戶指紋���,通過則`允許將內(nèi)部NANDFLASH存儲芯片作為U盤使用,否則禁止�����。
全文摘要
本發(fā)明涉及一種USB Key裝置及其帳戶管理和驗證使用方法����,其中裝置包括USB接口��、安全芯片(1)�����、片內(nèi)存儲模塊(15)、指紋算法處理模塊(14)��、指紋傳感器(3)�、大容量存儲器命令處理及USB傳輸處理模塊(11)、閃存文件管理模塊(12)和閃存存儲芯片(2)�����;帳戶管理方法包括通過USB Key操作系統(tǒng)在內(nèi)部建立一個以上用戶帳戶�,逐個記錄輸入的每個帳戶對應PIN碼和通過USB Key的指紋傳感器(3)采集的每個帳戶對應用戶指紋信息并傳送并保存到網(wǎng)絡后臺服務器的數(shù)據(jù)庫中;驗證使用方法包括認證時比對USB Key裝置端采集的與網(wǎng)絡后臺服務器數(shù)據(jù)庫中的用戶帳戶�����、PIN碼和用戶指紋信息��。
文檔編號G06F12/14GK103116720SQ20111036336
公開日2013年5月22日 申請日期2011年11月16日 優(yōu)先權(quán)日2011年11月16日
發(fā)明者王永寶, 蘇斌 申請人:航天信息股份有限公司