CN103488920B - 一种无线信息安全设备的实现方法及*** - Google Patents
一种无线信息安全设备的实现方法及*** Download PDFInfo
- Publication number
- CN103488920B CN103488920B CN201310437863.0A CN201310437863A CN103488920B CN 103488920 B CN103488920 B CN 103488920B CN 201310437863 A CN201310437863 A CN 201310437863A CN 103488920 B CN103488920 B CN 103488920B
- Authority
- CN
- China
- Prior art keywords
- wireless
- safety devices
- information safety
- receiving equipments
- wireless transmitting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000004891 communication Methods 0.000 claims abstract description 57
- 238000001514 detection method Methods 0.000 claims abstract description 14
- 230000006870 function Effects 0.000 claims description 19
- 230000005540 biological transmission Effects 0.000 claims description 14
- 230000003993 interaction Effects 0.000 claims description 14
- 238000006243 chemical reaction Methods 0.000 claims description 8
- 230000008878 coupling Effects 0.000 claims description 8
- 238000010168 coupling process Methods 0.000 claims description 8
- 238000005859 coupling reaction Methods 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 7
- 230000013011 mating Effects 0.000 claims description 6
- 238000012795 verification Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 5
- 230000005059 dormancy Effects 0.000 description 4
- 238000012827 research and development Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- WHXSMMKQMYFTQS-UHFFFAOYSA-N Lithium Chemical group [Li] WHXSMMKQMYFTQS-UHFFFAOYSA-N 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 229910052744 lithium Inorganic materials 0.000 description 2
- 238000012913 prioritisation Methods 0.000 description 2
- 238000004904 shortening Methods 0.000 description 2
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种无线信息安全设备的实现方法及***,属于信息安全领域。该***包括无线收发设备和信息安全设备。所述方法包括:将与信息安全设备匹配的多个无线收发设备通过接口与各自主机连接,无线收发设备自动检测信号覆盖范围内的无线信号,当携带信息安全设备的人员进入无线信号覆盖区域时,各无线收发设备与信息安全设备连接,各自建立独立的无线通信链路,使用时,通过输入口令(PIN码)进行身份认证,认证通过后即可通过各自的无线收发设备实现主机与信息安全设备的无线数据交互。通过本发明提供的方法,避免了使用多个信息安全设备、以及遗失、损坏的风险,节省成本;信息安全设备由专人进行保存管理,可以减小信息泄露的风险。
Description
技术领域
本发明涉及信息安全领域,特别涉及一种无线信息安全设备的实现方法及***。
背景技术
现有技术中,信息安全设备是实现软件安全保护和版权保护、网络安全保护或者身份认证的主要手段。所谓的信息安全设备是一种附加在主机接口(如:USB接口、串口、并口等接口)上的硬件设备,对运行在主机中的特定软件或敏感信息进行安全保护和版权保护。在目前的软件保护技术中,加密锁是最常用的一种。所谓加密锁,是一种采用高强度智能卡芯片和先进的密码学技术,具有一定的运算和存储能力的硬件***,同时难以被破解和复制,在高强度软件版权保护中具有广泛的应用。
目前,加密锁常见形态是一个独立的硬件设备,通过USB或其他接口与主机进行物理连接。在加密锁的使用过程中,发明人发现存在以下问题:
1、经常会有多人参与同一个项目的研发或共同使用某一资源信息,为保护软件代码或其他私密信息数据的安全性,一般会为每个参与人员分配一个对应的或经过授权等操作的加密锁,参与人员参与项目研发活动时,需要在主机上***分配的加密锁,进行身份认证及授权确认等其他操作后、才能与加密锁进行数据交互操作。在这个过程中可能会有人忘带或者遗失加密锁;另外,每人分配一个加密锁,以及容易出现遗失、破损等情况需更换,成本太高。而且存在多个加密锁时也不容易管理、可能会有人员有意或无意的操作从而造成信息泄露的风险。现有技术中并没有能够控制管理多个加密锁的技术方案以解决上述问题。
2、使用加密锁时,可能需要频繁的插拔加密锁(如每天上班、下班、离开等情况下的插拔锁过程)。特别是在如今崇尚便捷、高效的社会中,这种频繁、重复性的操作给用户的使用带来了极大的不便。现有技术也没能解决提高加密锁易用性、便利性的技术问题。
发明内容
有鉴于此,本发明提供了一种无线的信息安全设备的实现方法及***。本发明将与信息安全设备匹配的多个无线收发设备通过接口与各自主机连接,无线收发设备自动检测信号覆盖范围内的无线信号,各无线收发设备自动顺序连接检测到的无线信号,验证所检测到的无线信号对应的无线设备是否为匹配的信息安全设备,如果验证成功,则无线收发设备各自与信息安全设备建立独立的无线通信链路。使用时,通过在主机中输入口令(PIN码)进行身份认证,认证通过后即可通过各自的无线收发设备实现主机与信息安全设备之间的无线数据交互操作。通过本发明提供的方法及***可以节省成本,减小信息泄露的风险,提升用户体验。
根据本发明的一个方面,本发明提供一种无线信息安全设备***,包括:至少一个无线收发设备、信息安全设备,
所述至少一个无线收发设备具有内置微处理器芯片,用于通过主机接口与主机建立连接,
所述无线收发设备还包括:无线通信模块,用于与所述信息安全设备之间进行无线通信以及数据的交互传递;
存储模块,用于存储所述无线收发设备的设备信息和/或所述信息安全设备信息、以及加解密算法密钥;
处理模块,用于根据传输的消息或指令处理所述信息安全设备与所述主机之间的数据交互操作;
所述信息安全设备,能够实现软件安全保护功能,除了软件安全保护功能之外,还包括:
无线通信单元,用于与所述无线收发设备进行无线通信,通过所述无线收发设备与所述主机进行数据交互;
存储单元,用于存储密钥、证书、所述信息安全设备的设备信息和/或所述无线收发设备标识列表信息,还存储使用时的相关数据信息;
处理单元,用于对接收到的消息或指令进行对应的计算处理并将结果或指令发送给所述主机;
供电单元,用于为所述信息安全设备提供电力支持,以保证所述信息安全设备的正常使用。
根据本发明的一个方面,无线通信模块中还具有检测模块,所述检测模块用于自动检测无线信号覆盖范围内的无线设备的无线信号。
根据本发明的一个方面,所述无线收发设备为无线USB接收器。
根据本发明的一个方面,多个所述无线收发设备匹配对应一个所述信息安全设备。
根据本发明的一个方面,所述供电单元通过电池对信息安全设备供电。
根据本发明的一个方面,所述信息安全设备与所述无线收发设备之间的无线通信方式包括蓝牙、NFC。
根据本发明的一个方面,所述信息安全设备包括但不限于加密锁。
根据本发明的一个方面,提供一种无线信息安全设备的实现方法,其中包括至少一个无线收发设备、信息安全设备,该方法包括如下步骤:
步骤1:将无线收发设备与主机通过接口连接;
步骤2:所述无线收发设备自动检测信号覆盖范围内的其他无线信号;
步骤3:所述无线收发设备检测到无线信号后,自动与发出所述无线信号的无线设备连接,验证所述无线设备是否为对应的或匹配设备;
步骤4:如果所述无线设备为对应的或匹配的设备,则表明该无线设备是与所述无线收发设备配套的信息安全设备,执行步骤5,否则执行步骤6;
步骤5:所述无线收发设备与所述信息安全设备建立无线通信链路;
步骤6:顺序从检测到的无线信号列表中逐项进行连接,判断发出所述无线信号的无线设备是否为匹配设备,执行步骤4;
步骤7:使用信息安全设备时,进行身份认证;
步骤8:如果认证通过,则表明所述信息安全设备是合法或授权的设备,可继续后续的数据交互操作;否则,认为该信息安全设备是非法或未授权设备,提示认证失败,重新认证或禁止使用信息安全设备;
根据本发明的一个方面,还包括:
步骤9:当所述信息安全设备脱离所述无线收发设备信号覆盖范围时,所述无线收发设备自动断开与所述信息安全设备的连接,禁止主机使用信息安全设备功能;
步骤10:信息安全设备再次进入无线信号覆盖范围时,重复执行上述步骤。
根据本发明的一个方面,无线收发设备与同一个信息安全设备连接时,建立多个无线通信信道,各个无线收发设备各自通过单独的通信链路与信息安全设备进行通讯。
根据本发明的一个方面,步骤3中所述验证方式包括:
所述无线收发设备与信息安全设备在出厂时,都具有唯一标识,存储在各自设备中,信息安全设备中存储有合法或可用的无线收发设备唯一标识列表;
当无线收发设备检测到信号覆盖范围内存在信息安全设备时,自动连接信息安全设备;
建立连接后,信息安全设备判断当前连接的无线收发设备的唯一标识是否在信息安全设备中的合法或可用的无线收发设备唯一标识列表中;
如果在,则表明信息安全设备和该无线收发设备为配套可用的设备;
如果不在,则表明信息安全设备和该无线收发设备不匹配。
根据本发明的一个方面,步骤3中所述验证方式包括:
所述无线收发设备与信息安全设备在出厂时,将信息安全设备的唯一标识存储在预设的固定数量的无线收发设备中;
当无线收发设备检测到信号覆盖范围内存在信息安全设备时,自动连接信息安全设备;
建立连接后,无线收发设备获取当前连接的信息安全设备的唯一标识,并与存储在无线收发设备内部的信息安全设备唯一标识进行对比;
如果一致,则表明信息安全设备和该无线收发设备为匹配设备;
否则,信息安全设备和该无线收发设备为不匹配设备。
根据本发明的一个方面,所述唯一标识是设备ID、IP、随机数、加密算法密钥、数字,或者其任意组合。
根据本发明的一个方面,通过加密算法或自定义加密算法对传输的数据进行加密,接收端接收到加密数据后,进行解密,然后继续执行。
根据本发明的一个方面,所述加密算法包括:对称或非对称算法、自定义变换;其中,对称算法包括AES、DES、TDES;非对称加密算法包括RSA、ECC;自定义变换包括和私密数据异或。
根据本发明的一个方面,设置与某个信息安全设备匹配的所有无线收发设备的唯一标识为统一命名格式,在检索无线信号时过滤所述统一命名格式的无线信号。
根据本发明的一个方面,无线收发设备检测到无线信号并连接发出无线信号的无线设备时,将连接状态存储起来,当无线收发设备下次检测无线信号并连接时,直接与其内部存储的所述连接状态进行比对。
本发明所取得的有益效果在于:采用一个信息安全设备对应多个无线收发设备的方式,避免了使用多个信息安全设备、以及遗失、损坏的风险,可以节省成本;信息安全设备由项目经理或其他负责人进行管理,可以减小信息泄露的风险;通过这种无线方式可以避免频繁插拔,在使用上给用户提供了便利,也避免了插拔时出现静电造成主机死机或重启情况的发生,而造成数据丢失。
附图说明
图1为按照本发明的一优选实施例的整体结构示意图。
图2为按照本发明的一优选实施例的***内部框图。
图3为本发明的基本流程图。
图4为按照本发明的一优选实施例1的流程示意图。
图5为按照本发明的一优选实施例2的流程示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
如图1、2所示,一种无线信息安全设备***,具体包括:无线收发设备和信息安全设备,
其中,所述无线收发设备为内置微处理器芯片、通过主机接口与主机建立连接的硬件设备,所述无线收发设备还包括:无线通信模块,用于与信息安全设备之间进行无线通信以及数据的交互传递;
存储模块,用于存储无线收发设备的设备信息和/或信息安全设备信息、以及加解密算法密钥等信息内容;
处理模块,用于根据传输的消息或指令处理信息安全设备与主机之间的数据交互操作。
根据本发明的一个方面,无线通信模块中还具有检测模块,所述检测模块用于自动检测无线信号覆盖范围内的无线设备的无线信号。
所述信息安全设备,能够实现软件安全保护功能,除了软件安全保护功能之外,还包括:
无线通信单元,用于与无线收发设备进行无线通信,通过无线收发设备与主机进行数据交互;
存储单元,用于存储密钥、证书、信息安全设备的设备信息和/或无线收发设备标识列表信息,还可以存储使用时的相关数据信息;
处理单元,用于对接收到的消息或指令进行对应的计算处理并将结果或指令发送给主机,如身份认证、数据加解密等操作;
供电单元,用于为信息安全设备提供电力支持,以保证信息安全设备的正常使用。
根据本发明的一个方面,所述无线收发设备具有无线USB接收器形式,体积小、易携带。
根据本发明的一个方面,多个无线收发设备匹配对应一个信息安全设备。
根据本发明的一个方面,所述供电单元可通过电池对信息安全设备供电,比如所述供电单元为锂电池。
根据本发明的一个方面,所述信息安全设备与无线收发设备无线通信方式包括蓝牙、NFC等。
根据本发明的一个方面,所述信息安全设备与无线收发设备采用相同的通信协议,如蓝牙。
根据本发明的一个方面,所述信息安全设备包括但不限于加密锁。
如图3所示,一种无线信息安全设备的实现方法,具体步骤包括:
1.使用人员将分配给自己的无线收发设备与各自的主机通过接口连接;
2.无线收发设备自动检测信号覆盖范围内的其他无线信号;
3.检测到无线信号后,自动与发出所述无线信号的无线设备连接,判断该无线设备是否为对应的或匹配设备;
4.如果为对应或匹配设备,则表明该无线设备是与该无线收发设备配套的信息安全设备,执行步骤5,否则执行步骤6;
5.无线收发设备与信息安全设备建立无线通信链路;
6.顺序从检测到的无线信号列表中逐项进行连接,判断发出所述无线信号的无线设备是否为匹配设备,执行步骤4;
7.使用信息安全设备时,需要先进行身份认证,比如可通过在主机上输入口令(即PIN码)等方式进行认证;
8.认证通过,则表明该信息安全设备是合法或授权的设备,可以继续后续的数据交互操作;否则,认为该信息安全设备是非法或未授权设备,提示认证失败,可重新认证或禁止使用信息安全设备;
9.当信息安全设备脱离无线收发设备信号覆盖范围时,无线收发设备自动断开与信息安全设备的连接,禁止计算机使用信息安全设备功能;
10.信息安全设备再次进入无线信号覆盖范围时,重复执行上述步骤。
本发明中,多个无线收发设备自动检测其信号覆盖范围内的其他无线信号,当检测到无线信号时(一个或多个),无线收发设备自动与发出所述无线信号的无线设备进行连接匹配操作,当有多个无线信号时,顺序逐项与发出所述无线信号的无线设备进行连接,如果当前发出所述无线信号的无线设备无法连接时,自动连接下一个发出所述无线信号的无线设备;当可以连接时,则该无线收发设备与该无线信号设备建立单独的无线通信链路。
根据本发明的一个方面,多个无线收发设备与同一个信息安全设备连接时,会建立多个无线通信信道,各个无线收发设备各自通过单独的通信链路与信息安全设备进行通讯。
本发明中,无线收发设备检测到无线信号,会自动与发出所述无线信号的无线设备进行连接,验证无线收发设备与发出所述无线信号的无线设备这两个设备是否为对应或配套的设备,所述验证方式包括但不限于以下几种方法:
1.无线收发设备与信息安全设备在出厂时,都具有唯一标识,存储在各自设备中,信息安全设备中存储有合法或可用的无线收发设备唯一标识列表,当无线收发设备检测到信号覆盖范围内存在信息安全设备时,自动连接信息安全设备,建立连接后,信息安全设备判断当前连接的无线收发设备的唯一标识是否在信息安全设备中的合法或可用的无线收发设备唯一标识列表中,如果在,则表明信息安全设备和该无线收发设备为配套可用的设备,如果不在,则表明信息安全设备和该无线收发设备不匹配,即信息安全设备和该无线收发设备不为一套设备。
2.无线收发设备与信息安全设备在出厂时,将信息安全设备的唯一标识也存储在预设的固定数量的无线收发设备中,当无线收发设备检测到信号覆盖范围内存在信息安全设备时,自动连接信息安全设备,建立连接后,无线收发设备获取当前连接的信息安全设备的唯一标识,并与存储在无线收发设备内部的信息安全设备唯一标识进行对比,如果一致,则表明信息安全设备和该无线收发设备为匹配设备;否则,信息安全设备和该无线收发设备为不匹配设备。
根据本发明的一个方面,上述唯一标识可以是设备ID、IP、随机数、加密算法密钥、数字,或者其任意组合。
根据本发明的一个方面,为保证数据传输过程中的安全性,可以通过加密算法或自定义加密算法对传输的数据进行加密,接收端接收到加密数据后,进行解密,然后继续执行。根据本发明的一个实施方式,所述算法包括:对称或非对称算法、自定义变换等方式。对称算法包括AES、DES、TDES;非对称加密算法包括RSA、ECC;自定义变换包括和私密数据异或。
本发明中,多个无线收发设备自动检测无线信号并连接发出无线信号的无线设备时,会检测到其他无线收发设备的无线信号以及其他的无线信号(比如智能手机、信息安全设备等),当检测到多个无线信号时会逐项进行连接、匹配操作,但实质上需要连接的只是其中的一两项无线设备,为缩短连接时间,避免连接不相关的无线信号,可以采取以下优化方案:
1.进行过滤来加快连接速度,比如与某个信息安全设备匹配的所有无线收发设备的唯一标识为统一命名格式(此格式可以自行定义,便于识别即可,如:KEY1-01,KEY1-02),这样一来,在检索无线信号时就可以将这些具有相同格式的无线信号给过滤掉。
2.无线收发设备检测到无线信号并连接发出无线信号的无线设备时,将连接状态存储起来,比如将无法连接(即不匹配)的无线信号信息或者可连接的匹配信号信息存储起来(如:可以黑名单或白名单形式,黑名单里存储的是不匹配的设备标识,白名单存储的是匹配的设备标识,当然此处黑名单白名单只是名称定义,可以换成其他名称如匹配列表、不匹配列表等,其存储方式可以是文件、数据库等),当无线收发设备下次检测无线信号并连接时,直接与其内部存储的列表进行比对(比如直接比对匹配列表,或不匹配列表),当无线信号不存在两个名单内时(可能为新设备),再建立连接并匹配,根据匹配结果将无线信号信息写入对应列表中。
根据本发明的一个实施例,本发明中无线收发设备为一种内置微处理器(MCU)芯片、无线通信模块,具有存储和数据处理功能的硬件设备。其外观类似于无线键盘或无线鼠标中的USB信号接收器,体积小、容易携带。无线收发设备一般封装为USB接头的形式,通过USB接口与主机连接,通过USB通讯协议与主机进行通讯。当然,本领域的技术人员都知道,无线收发设备还可以通过其他的接口形式与计算机建立连接,这种连接的形式具有多种情况,并非本发明的关注焦点,其并不限制本发明的使用范围。
本发明中,无线收发设备内部具有无线通信模块,信息安全设备内部具有无线通信单元,所述无线通信模块、无线通信单元含有执行无线通信协议的无线控制芯片及天线,能够按照无线通信规范与其他无线通信设备建立通信连接,继而实现无线收发设备和信息安全设备之间的数据交互传递。
本发明中,所述信息安全设备包括但不限于加密锁。
根据本发明的一个实施方式,所述无线收发设备和信息安全设备无线通信方式包括蓝牙(Bluetooth)、NFC等。
本发明中,多个无线收发设备与各自主机连接,当主机在开机状态下时,无线收发设备自动检测其信号覆盖范围内的其他无线信号,当检测到有无线信号时(可能多个),无线收发设备顺序逐项与检测到的无线信号所对应的无线设备进行连接,验证该无线设备是否为可用或配套设备,其中无线收发设备和信息安全设备均可作为验证方,具体验证方式包括:
无线收发设备与信息安全设备在出厂时,都具有唯一标识,存储在各自设备中,根据本发明的一个实施方式,具有一个信息安全设备可能对应多个无线收发设备的情况,只有当无线收发设备与信息安全设备为对应关系时,才表明两者为可用或配套设备,可以建立连接或进行后续的其他操作。其配套关系的验证可以在信息安全设备中存储与其对应的多个无线收发设备的唯一标识信息列表;也可以在无线收发设备中存储与其对应的信息安全设备的唯一标识;或者使用不同密钥或算法的计算或其他手段,此并非本发明的重点,其并不限制本发明的使用范围。
根据本发明的一个实施例,信息安全设备中存储有可用或配套的无线收发设备唯一标识列表,当无线收发设备检测到信号覆盖范围内存在信息安全设备时,自动连接信息安全设备,建立连接后,信息安全设备判断当前连接的无线收发设备的唯一标识是否在信息安全设备中可用或配套的无线收发设备唯一标识列表中,如果在,则表明该无线收发设备和信息安全设备为配套可用的设备,如果不在,则表明该无线收发设备和信息安全设备不匹配,即该无线收发设备和信息安全设备不为一套设备。
根据本发明的一个实施例,无线收发设备与信息安全设备在出厂时,将信息安全设备的唯一标识也存储在预设的固定数量的无线收发设备中,当无线收发设备检测到信号覆盖范围内存在信息安全设备时,自动连接信息安全设备,建立连接后,无线收发设备获取当前连接的信息安全设备的唯一标识,并与存储在无线收发设备内部的信息安全设备唯一标识进行对比,如果一致,则表明该无线收发设备和信息安全设备为匹配设备;否则,该无线收发设备和信息安全设备为不匹配设备。当然,无线收发设备与信息安全设备进行匹配的方式有很多,此部分并非本发明的关注焦点,其并不限制本发明的使用范围。
根据本发明的一个实施方式,上述唯一标识可以是设备ID、IP、随机数、加密算法密钥、数字,或者其任意组合。
为保证数据传输过程中的安全性,可以通过加密算法或自定义加密算法对传输的数据进行加密,接收端接收到加密数据后,进行解密,然后继续执行。根据本发明的一个实施方式,所述算法包括:对称或非对称算法、自定义变换等方式。对称算法包括AES、DES、TDES;非对称加密算法包括RSA、ECC;自定义变换包括和私密数据异或。
多个无线收发设备与同一个信息安全设备连接时,会建立多个无线通信信道,各个无线收发设备各自通过单独的通信链路与信息安全设备进行通讯。根据本发明的一个实施方式,其中,多个无线收发设备检测无线信号、连接、验证过程可以同时进行。
本发明中,多个无线收发设备自动检测无线信号并连接时,会检测到其他无线收发设备的无线信号以及其他的无线信号(比如智能手机、信息安全设备等),当检测到多个无线信号时会逐项进行连接、匹配操作,但实质上需要连接的只是其中的一两项无线设备,为缩短连接时间,避免连接不相关的无线信号,可以采取以下优化方案:
1.可以进行过滤来加快连接速度,比如与某个信息安全设备匹配的所有无线收发设备的唯一标识为统一命名格式(此格式可以自行定义,便于识别即可,如:KEY1-01,KEY1-02),这样一来,在检索无线信号时就可以将这些具有相同格式的无线信号给过滤掉。
2.无线收发设备检测到无线信号并连接时,将连接状态存储起来,比如将无法连接(即不匹配)的无线信号信息或者可连接的匹配信号信息存储起来(如:可以黑名单或白名单形式,黑名单里存储的是不匹配的设备标识,白名单存储的是匹配的设备标识,当然此处黑名单白名单只是名称定义,可以换成其他名称如匹配列表、不匹配列表等,其存储方式可以是文件、数据库等),当无线收发设备下次检测无线信号并连接时,直接与其内部存储的列表进行比对(比如直接比对匹配列表,或不匹配列表),当无线信号不存在两个名单内时(可能为新设备),再建立连接并匹配,根据匹配结果将无线信号信息写入对应列表中。
本发明中,信息安全设备内部具有供电单元,所述供电单元可以采用电池(如:锂电池)为加密锁供电,以保证加密锁功能的正常使用。还可以采用辅助手段节省电量,比如:
所述信息安全设备具有休眠或待机功能,一定时间段内不使用时自动进入休眠/省电模式,在休眠/省电模式下,信息安全设备内大部分功能休眠或停止使用,但仍有部分功能正常运行,比如无线通信模块等,当无线收发设备检测到信息安全设备的无线信号时,向信息安全设备发出一个唤醒的信号,信息安全设备通过无线方式接收到这个唤醒信号后,唤醒信息安全设备的内部功能。
所述信息安全设备还可以包括一个开关,当无需使用信息安全设备时(如下班),关掉开关,上班或需使用信息安全设备时,打开开关。比如可以采用按钮模式的开关。
所述信息安全设备还可以具有充电功能,如具有转接插头。
根据本发明的一个实施例,当使用多个无线收发设备时,根据需求,还存在一个无线收发设备只对应一个主机的情况(即无线收发设备与主机是一一对应的绑定关系),此时为避免错拿无线收发设备,还可以将无线收发设备与该主机进行设置,比如将无线收发设备与主机唯一标识信息(如可以是主机信息、主机使用者信息等)关联起来(如存储到无线收发设备内),连接时验证无线收发设备与主机是否是一一对应的,如果不对应可以采取提示或禁止无线收发设备与主机数据交互的操作。
根据本发明的一个实施例,还存在保管携带信息安全设备的人员因为各种原因(如忘携带、或请假等情况)使信息安全设备没有出现在无线收发设备信号覆盖范围内的情况,还可以采用一个备用锁(锁内功能一致)或其他授权方式进行替代,此项并非本发明重点,不做赘述。
实施例1
比如某IT公司、研发团队使用本发明中的产品、根据本发明的一个实施例,根据研发团队需求定制一定数量的无线收发设备,假定项目人员为10人(包括项目经理),那么就需要1个信息安全设备和与信息安全设备配套的10个无线收发设备。本实施例中,信息安全设备为加密锁,加密锁由项目经理携带保管,无线通信方式为蓝牙,无线收发设备采用USB接头(无线收发设备下称USB收发器),假定本实施例中设定无线传输范围为10米。
本实施例中,10个USB收发器为便于区分,假定名称为U1、U2...U10;加密锁ID标识假定为USB_BH_001,在每个USB收发器内部存储匹配加密锁ID标识USB_BH_001。假定项目人员进行研发活动时,需要加密锁授权或从加密锁中下载或获取受保护的数据信息或指令值,项目经理只需将USB收发器分配给参与人员,加密锁自己随身携带(如可放置在公文包、口袋、钥匙串等位置),根据本发明的一个实施例,如图4所示,具体实施步骤为:
1.使用人员将分配给自己的USB收发器与各自主机通过USB接口连接;
2.USB收发器自动检测各自信号覆盖范围内的是否存在其他蓝牙设备;
3.USB收发器检测到蓝牙设备信号(可能存在多个)后,自动与该无线信号设备连接;
4.USB收发器获取无线信号设备标识信息与内部存储的匹配标识(即USB_BH_001)进行对比,对比结果一致,则表明为匹配的加密锁,执行步骤5,否则执行步骤6;
5.该USB收发器与加密锁建立无线通信链路;
6.顺序从检测到的无线信号列表中逐项进行连接,根据步骤4判断是否为匹配设备,匹配,执行步骤5;否则重复执行本步骤;
7.建立通信链路后,当主机需要与加密锁进行交互时,需要先进行身份认证,比如可通过输入口令(即PIN码)等方式进行认证;
8.认证通过,则表明为合法或授权设备,可以继续后续的数据交互操作;否则认为是非法或未授权设备,提示认证失败,可重新认证或禁止使用加密锁;
9.当加密锁脱离USB收发器信号覆盖范围时,USB收发器自动断开与加密锁的连接,禁止计算机使用加密锁功能;
10.加密锁下次进入无线信号覆盖范围时,重复执行上述步骤。
根据本发明的一个实施方式,上述步骤3中,多个USB收发器可以同时检测无线信号、连接、验证,各自通过单独的通信链路进行通讯,互相不影响。
实施例2
本实施例与实施例1部分相同,本实施例中不同之处在于是在加密锁内部存储匹配的10个USB收发器的标识信息列表。如图5所示,本实施例的具体实施方式为:
1.项目参与人员将USB收发器通过主机接口与主机连接;
2.USB收发器自动检测信号覆盖范围内的其他无线信号(当携带加密锁的项目经理进入信号覆盖范围时,USB收发器会检测到加密锁的无线信号);
3.USB收发器检测到无线信号后,自动顺序与检测到的无线信号列表中的无线信号进行连接,并发出验证请求,所述验证请求包括USB收发器的标识信息;
4.无线信号设备没有响应或者返回数据错误(即表示为不匹配设备,无法建立连接),USB收发器自动顺序连接下一个无线信号,以此类推;
5.当前连接的无线信号设备为加密锁时,加密锁获取当前连接的USB收发器发出验证请求中的标识信息,然后与锁内部存储的USB收发器标识列表进行比对,如果标识在标识列表中,则表明为匹配设备,建立无线通信链路,否则不匹配,禁止链接;
6.建立无线通信链路后,当主机需要与加密锁通信进行数据交互时,需要先进行身份认证,比如可通过输入口令(即PIN码)等方式进行认证;
7.认证通过,则表明为合法设备,可以继续后续的数据交互操作;否则认为是非法设备,提示认证失败,可重新认证或禁止使用加密锁;
8.当加密锁脱离USB收发器信号覆盖范围时,USB收发器自动断开与加密锁的连接,禁止计算机使用加密锁功能;
9.加密锁下次进入无线信号覆盖范围时,重复执行上述步骤。
步骤4中USB收发器发出验证请求后,会等待或监听返回的响应,当前连接的设备没有响应或者有响应但返回数据错误,则表明为不匹配设备,自动连接下一个无线信号设备。根据本发明的一个实施方式,USB收发器验证返回的响应数据错误具体包括:
USB收发器发出验证请求,加密锁获取请求返回验证结果的数据或格式可以是预先预定好的(比如有固定格式:XXX_R(表示验证通过)/XXX_W(表示验证不通过)),为保证安全性还可以自行定义复杂方案,此项并非本发明的关注焦点,在此基础上做的扩展变换也都在本发明的保护范围之内。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换以及改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种无线信息安全设备***,包括:至少一个无线收发设备、信息安全设备,
所述至少一个无线收发设备具有内置微处理器芯片,用于通过主机接口与主机建立连接,其特征在于,
所述无线收发设备还包括:
无线通信模块,用于与所述信息安全设备之间进行无线通信以及数据的交互传递;无线通信模块中还具有检测模块,所述检测模块用于自动检测无线信号覆盖范围内的无线设备的无线信号;
存储模块,用于存储所述无线收发设备的设备信息和/或所述信息安全设备信息、以及加解密算法密钥;
处理模块,用于根据传输的消息或指令处理所述信息安全设备与所述主机之间的数据交互操作;
所述信息安全设备,能够实现软件安全保护功能,除了软件安全保护功能之外,还包括:
无线通信单元,用于与所述无线收发设备进行无线通信,通过所述无线收发设备与所述主机进行数据交互;
存储单元,用于存储密钥、证书、所述信息安全设备的设备信息和/或所述无线收发设备标识列表信息,还存储使用时的相关数据信息;
处理单元,用于对接收到的消息或指令进行对应的计算处理并将结果或指令发送给所述主机;
供电单元,用于为所述信息安全设备提供电力支持,以保证所述信息安全设备的正常使用;
所述无线信息安全设备***设置与某个信息安全设备匹配的所有无线收发设备的唯一标识为统一命名格式,在检索无线信号时过滤所述统一命名格式的无线信号;
或者所述无线收发设备检测到无线信号并连接发出无线信号的无线设备时,将连接状态存储起来,当无线收发设备下次检测无线信号并连接时,直接与其内部存储的所述连接状态进行比对。
2.根据权利要求1所述的无线信息安全设备***,其特征在于,所述无线收发设备为无线USB接收器。
3.根据权利要求1-2任一项中所述的无线信息安全设备***,其特征在于,多个所述无线收发设备匹配对应一个所述信息安全设备。
4.根据权利要求3所述的无线信息安全设备***,其特征在于,所述供电单元通过电池对信息安全设备供电。
5.根据权利要求4所述的无线信息安全设备***,其特征在于,所述信息安全设备与所述无线收发设备之间的无线通信方式包括蓝牙、NFC。
6.根据权利要求5所述的无线信息安全设备***,其特征在于,所述信息安全设备包括但不限于加密锁。
7.一种无线信息安全设备的实现方法,其中包括至少一个无线收发设备、信息安全设备,
其特征在于,该方法包括如下步骤:
步骤1:将无线收发设备与主机通过接口连接;
步骤2:所述无线收发设备自动检测信号覆盖范围内的其他无线信号;
步骤3:所述无线收发设备检测到无线信号后,自动与发出所述无线信号的无线设备连接,验证所述无线设备是否为对应的或匹配设备;
步骤4:如果所述无线设备为对应的或匹配的设备,则表明该无线设备是与所述无线收发设备配套的信息安全设备,执行步骤5,否则执行步骤6;
步骤5:所述无线收发设备与所述信息安全设备建立无线通信链路;
步骤6:顺序从检测到的无线信号列表中逐项进行连接,判断发出所述无线信号的无线设备是否为匹配设备,执行步骤4;
步骤7:使用信息安全设备时,进行身份认证;
步骤8:如果认证通过,则表明所述信息安全设备是合法或授权的设备,可继续后续的数据交互操作;否则,认为该信息安全设备是非法或未授权设备,提示认证失败,重新认证或禁止使用信息安全设备;
所述无线信息安全设备设置与某个信息安全设备匹配的所有无线收发设备的唯一标识为统一命名格式,在检索无线信号时过滤所述统一命名格式的无线信号;
或者所述无线收发设备检测到无线信号并连接发出无线信号的无线设备时,将连接状态存储起来,当无线收发设备下次检测无线信号并连接时,直接与其内部存储的所述连接状态进行比对。
8.根据权利要求7的一种无线信息安全设备的实现方法,其特征在于,还包括:
步骤9:当所述信息安全设备脱离所述无线收发设备信号覆盖范围时,所述无线收发设备自动断开与所述信息安全设备的连接,禁止主机使用信息安全设备功能;
步骤10:信息安全设备再次进入无线信号覆盖范围时,重复执行上述步骤。
9.根据权利要求7-8任一项中的一种无线信息安全设备的实现方法,其特征在于,
无线收发设备与同一个信息安全设备连接时,建立多个无线通信信道,各个无线收发设备各自通过单独的通信链路与信息安全设备进行通讯。
10.根据权利要求9的一种无线信息安全设备的实现方法,其特征在于,步骤3中所述验证方式包括:
所述无线收发设备与信息安全设备在出厂时,都具有唯一标识,存储在各自设备中,信息安全设备中存储有合法或可用的无线收发设备唯一标识列表;
当无线收发设备检测到信号覆盖范围内存在信息安全设备时,自动连接信息安全设备;
建立连接后,信息安全设备判断当前连接的无线收发设备的唯一标识是否在信息安全设备中的合法或可用的无线收发设备唯一标识列表中;
如果在,则表明信息安全设备和该无线收发设备为配套可用的设备;
如果不在,则表明信息安全设备和该无线收发设备不匹配。
11.根据权利要求10的一种无线信息安全设备的实现方法,其特征在于,步骤3中所述验证方式包括:
所述无线收发设备与信息安全设备在出厂时,将信息安全设备的唯一标识存储在预设的固定数量的无线收发设备中;
当无线收发设备检测到信号覆盖范围内存在信息安全设备时,自动连接信息安全设备;
建立连接后,无线收发设备获取当前连接的信息安全设备的唯一标识,并与存储在无线收发设备内部的信息安全设备唯一标识进行对比;
如果一致,则表明信息安全设备和该无线收发设备为匹配设备;
否则,信息安全设备和该无线收发设备为不匹配设备。
12.根据权利要求11的一种无线信息安全设备的实现方法,其特征在于,所述唯一标识是设备ID、IP、随机数、加密算法密钥、数字,或者其任意组合。
13.根据权利要求12的一种无线信息安全设备的实现方法,其特征在于,通过加密算法或自定义加密算法对传输的数据进行加密,接收端接收到加密数据后,进行解密,然后继续执行。
14.根据权利要求13的一种无线信息安全设备的实现方法,其特征在于,所述加密算法包括:对称或非对称算法、自定义变换;其中,对称算法包括AES、DES、TDES;非对称加密算法包括RSA、ECC;自定义变换包括和私密数据异或。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310437863.0A CN103488920B (zh) | 2013-09-24 | 2013-09-24 | 一种无线信息安全设备的实现方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310437863.0A CN103488920B (zh) | 2013-09-24 | 2013-09-24 | 一种无线信息安全设备的实现方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103488920A CN103488920A (zh) | 2014-01-01 |
| CN103488920B true CN103488920B (zh) | 2016-06-08 |
Family
ID=49829135
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310437863.0A Active CN103488920B (zh) | 2013-09-24 | 2013-09-24 | 一种无线信息安全设备的实现方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103488920B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103902246B (zh) * | 2014-04-01 | 2017-01-04 | 南京物联传感技术有限公司 | 电子清单提示装置 |
| CN103945384A (zh) * | 2014-04-29 | 2014-07-23 | 北京世纪龙脉科技有限公司 | 一种无线安全输入装置及安全认证方法 |
| US20150350185A1 (en) * | 2014-05-28 | 2015-12-03 | Technical Consumer Products, Inc. | System and method using single entry passkey for pairing multiple peripheral devices |
| CN104936137B (zh) * | 2015-06-09 | 2018-08-24 | 深圳市文鼎创数据科技有限公司 | 蓝牙绑定方法和蓝牙设备 |
| US9830463B2 (en) * | 2016-01-22 | 2017-11-28 | Google Llc | Systems and methods for detecting sensitive information leakage while preserving privacy |
| CN106251143B (zh) * | 2016-07-26 | 2019-08-20 | 中国地质大学(武汉) | 一种基于nfc识别的安全验证方法及装置 |
| CN107181762B (zh) * | 2017-07-21 | 2019-06-28 | 北京深思数盾科技股份有限公司 | 发布与接入网络加密锁服务的方法以及装置 |
| CN116723170A (zh) * | 2023-08-08 | 2023-09-08 | 成都初心互动科技有限公司 | 移动端设备唯一标识生成方法、装置、设备及介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1819512A (zh) * | 2006-03-17 | 2006-08-16 | 北京飞天诚信科技有限公司 | 基于网络软件的信息安全保护方法及其装置 |
| CN1878063A (zh) * | 2006-07-10 | 2006-12-13 | 北京飞天诚信科技有限公司 | 一种基于usb协议的信息安全设备及其通信方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009096955A1 (en) * | 2008-01-30 | 2009-08-06 | Hewlett-Packard Development Company, L.P. | Encryption based storage lock |
-
2013
- 2013-09-24 CN CN201310437863.0A patent/CN103488920B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1819512A (zh) * | 2006-03-17 | 2006-08-16 | 北京飞天诚信科技有限公司 | 基于网络软件的信息安全保护方法及其装置 |
| CN1878063A (zh) * | 2006-07-10 | 2006-12-13 | 北京飞天诚信科技有限公司 | 一种基于usb协议的信息安全设备及其通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103488920A (zh) | 2014-01-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103488920B (zh) | 一种无线信息安全设备的实现方法及*** | |
| US9953145B2 (en) | Configuration method, configuration device, computer program product and control system | |
| CN101631125B (zh) | 提供安全通信的方法和装置 | |
| TWI491790B (zh) | 智慧鎖具及其操作方法 | |
| CN102708324B (zh) | 一种屏幕锁解锁***及方法 | |
| CN104636777B (zh) | 身份证信息获取*** | |
| CN103037370A (zh) | 一种移动存储设备和身份认证方法 | |
| CN101511083B (zh) | 电信智能卡的认证鉴权方法和终端 | |
| CN104299300B (zh) | 基于nfc的安全智能锁***的开锁和关锁方法 | |
| CN103502994A (zh) | 用于处理隐私数据的方法 | |
| CN105760723B (zh) | 移动终端及其解锁方法 | |
| CN205121680U (zh) | 基于智能终端的蓝牙门锁*** | |
| CN103136819A (zh) | 基于移动终端的门禁***解锁方法及移动终端 | |
| WO2015162127A1 (en) | Method and system for securing electronic data exchange between an industrial programmable device and a portable programmable device | |
| KR101722696B1 (ko) | 홈에너지 관리 시스템에서 비콘을 이용한 홈에너지 관리 장치 및 방법 | |
| CN103973437A (zh) | 一种终端锁定时获取rsa密钥授权的方法、装置及*** | |
| CN105373724A (zh) | Usb存储装置的无线认证***及方法 | |
| CN104282060B (zh) | 一种安全智能锁***的开锁方法 | |
| CN104867004A (zh) | 移动支付***及其移动支付的方法 | |
| CN103702323B (zh) | 一种无线信息安全设备***及方法 | |
| CN102387494A (zh) | 一种基于Android手机平台的远程自动化信息交换和操控的解决方案 | |
| CN103532697B (zh) | 一种无线信息安全设备的实现方法及*** | |
| CN1705263B (zh) | 移动终端用户的合法性验证方法及其移动终端 | |
| CN100585575C (zh) | 一种确保存储设备安全使用的***及方法 | |
| CN104579639A (zh) | 多方协同授权密匙的实现及用其进行移动无线控制的*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100087 room 1706, building 59, Zhongguancun street, Haidian District, Beijing Applicant after: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd. Address before: 100087 room 1706, building 59, Zhongguancun street, Haidian District, Beijing Applicant before: BEIJING SHENSI SHUDUN TECHNOLOGY Co.,Ltd. |
|
| COR | Change of bibliographic data | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP02 | Change in the address of a patent holder |
Address after: 100193 Beijing, Haidian District, East West Road, No. 10, East Hospital, building No. 5, floor 5, layer 510 Patentee after: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd. Address before: 100087 room 1706, building 59, Zhongguancun street, Haidian District, Beijing Patentee before: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing Patentee after: Beijing Shendun Technology Co.,Ltd. Address before: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing Patentee before: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd. |