專利名稱:基于射頻識(shí)別的信息保密管理系統(tǒng)及其方法
技術(shù)領(lǐng)域:
本發(fā)明屬于保密計(jì)算機(jī)以及移動(dòng)存儲(chǔ)設(shè)備的信息保密領(lǐng)域,涉及基 于射頻識(shí)別技術(shù)和指紋識(shí)別技術(shù)的信息保密技術(shù)。
背景技術(shù):
RFID (即,Radio Frequency Identification)技術(shù)又稱為射頻識(shí)別 技術(shù),是從20世紀(jì)80年代走向成熟的一種自動(dòng)的、身份定義識(shí)別技術(shù), 它利用空間耦合方式進(jìn)行非接觸式雙向通信,進(jìn)而通過數(shù)據(jù)交換實(shí)現(xiàn)相 互身份認(rèn)證和識(shí)別。由于電子標(biāo)簽可以做成全球ID號(hào)惟一,并且具有 抗油污、水漬等優(yōu)勢(shì)。將其添加到任何物體上面(中)都可以用標(biāo)簽的ID 號(hào)惟一識(shí)別物體身份,而且身份不易仿制,不易丟失?;谶@一特性, 將電子標(biāo)簽加貼到移動(dòng)存儲(chǔ)設(shè)備上,就給移動(dòng)存儲(chǔ)設(shè)備賦予了全球惟一 的身份。進(jìn)一步通過控制身份信息,就可以實(shí)現(xiàn)信息的訪問權(quán)限控制, 也就實(shí)現(xiàn)了信息的保密管理,這也正類似于指紋識(shí)別, 一卡通等門禁系 統(tǒng)。指紋識(shí)別技術(shù)已經(jīng)是一種非常成熟的生物特征識(shí)別技術(shù),它利用人 類指紋的低重復(fù)可能性,能夠?qū)崿F(xiàn)錯(cuò)誤率低于1.1%的身份識(shí)別。目前, 該技術(shù)已經(jīng)廣泛應(yīng)用到了各種門禁、考勤等系統(tǒng)中。利用指紋識(shí)別原理實(shí)現(xiàn)的保密u盤,確實(shí)是可以實(shí)現(xiàn)u盤的專人專用,起到了u盤內(nèi)信息保密的作用。但是,前提條件是首先得有指紋,然后才能談指紋識(shí)別。人有指紋,但是u盤等移動(dòng)存儲(chǔ)設(shè)備沒有指紋,對(duì)于沒有指紋的物品如何識(shí)別呢?這就是要研究的問題。 發(fā)明內(nèi)容為了解決沒有指紋的物品的識(shí)別問題,本發(fā)明目的是要使用無線射
頻識(shí)別技術(shù),通過無線射頻電子標(biāo)簽的ID號(hào)與移動(dòng)存儲(chǔ)設(shè)備的綁定實(shí) 現(xiàn)移動(dòng)存儲(chǔ)設(shè)備的身份識(shí)別控制,為此,本發(fā)明提供一種基于射頻識(shí)別 的信息保密管理系統(tǒng)及其方法。為了實(shí)現(xiàn)本發(fā)明的目的,本發(fā)明的第一方面,是提出一種基于射頻識(shí)別的信息保密管理系統(tǒng),包括保密計(jì)算機(jī),存儲(chǔ)需要保護(hù)的重要資料的計(jì)算機(jī); 與保密計(jì)算機(jī)配合使用的移動(dòng)存儲(chǔ)設(shè)備,內(nèi)置指紋識(shí)別模塊,用于 實(shí)現(xiàn)與計(jì)算機(jī)內(nèi)部存儲(chǔ)資料的交互,即從計(jì)算機(jī)拷貝資料到移動(dòng)存儲(chǔ)設(shè) 備或者將移動(dòng)存儲(chǔ)設(shè)備內(nèi)的資料拷貝到計(jì)算機(jī),以及移動(dòng)存儲(chǔ)設(shè)備本身 存儲(chǔ)資料的保護(hù);與移動(dòng)存儲(chǔ)設(shè)備配合使用的電子標(biāo)簽,用于標(biāo)識(shí)移動(dòng)存儲(chǔ)設(shè)備的身份,即使用電子標(biāo)簽身份(Identity,身份簡(jiǎn)稱ID)全球唯一的特性來 標(biāo)識(shí)移動(dòng)存儲(chǔ)設(shè)備的身份;與計(jì)算機(jī)內(nèi)的管理模塊連接的射頻識(shí)別讀寫器,用于讀取電子標(biāo)簽 的ID號(hào),也就是讀取移動(dòng)存儲(chǔ)設(shè)備的唯一身份信息;安裝在保密計(jì)算機(jī)內(nèi)的管理模塊,用于管理移動(dòng)存儲(chǔ)設(shè)備的身份信 息,并對(duì)USB接口的數(shù)據(jù)線路的通斷進(jìn)行控制;保密計(jì)算機(jī)的USB接口,用于實(shí)現(xiàn)移動(dòng)存儲(chǔ)設(shè)備對(duì)保密計(jì)算機(jī)訪 問的隔離控制。根據(jù)本發(fā)明的實(shí)施例,所述USB接口還包括在USB接口本體的 兩邊分布有電源線,在兩根電源線之間有兩根數(shù)據(jù)線,在每根數(shù)據(jù)線中 分別連接有數(shù)據(jù)線開關(guān)數(shù)據(jù)線開關(guān)與保密計(jì)算機(jī)的信號(hào)控制端連接, 用于控制數(shù)據(jù)線的接通與斷開。根據(jù)本發(fā)明的實(shí)施例,所述射頻識(shí)別讀寫器與保密計(jì)算機(jī)的融合采 用串口通訊方式;或采用擴(kuò)展卡插到保密計(jì)算機(jī)主板擴(kuò)展槽中,用于與 射頻識(shí)別讀寫器通訊。根據(jù)本發(fā)明的實(shí)施例,所述射頻識(shí)別讀寫器的天線位于USB接口 的周圍,用于讀取移動(dòng)存儲(chǔ)設(shè)備中的電子標(biāo)簽。根據(jù)本發(fā)明的實(shí)施例,所述移動(dòng)存儲(chǔ)設(shè)備包括攜帶電子標(biāo)簽和指
紋識(shí)別的存儲(chǔ)單元,所述電子標(biāo)簽采用有源標(biāo)簽,電子標(biāo)簽封裝在移動(dòng)存儲(chǔ)設(shè)備體內(nèi);或電子標(biāo)簽固定在移動(dòng)存儲(chǔ)設(shè)備表面。根據(jù)本發(fā)明的實(shí)施例,所述電子標(biāo)簽,在電子標(biāo)簽中設(shè)置專用通信加密模塊,用于實(shí)現(xiàn)數(shù)字加密標(biāo)準(zhǔn)(DES)、數(shù)字加密標(biāo)準(zhǔn)改良(3DES)對(duì)稱加密算法或者RSA非對(duì)稱加密算法,用于與相應(yīng)的射頻識(shí)別讀寫器實(shí)現(xiàn)加密通信。為了實(shí)現(xiàn)本發(fā)明的目的,本發(fā)明的第二方面,是提出一種基于射頻識(shí)別的信息保密管理方法,步驟包括如下步驟1:將具有全球惟一 ID身份的電子標(biāo)簽綁定到移動(dòng)存儲(chǔ)設(shè)備, 用于指定移動(dòng)存儲(chǔ)設(shè)備身份;步驟2:通過保密計(jì)算機(jī)管理模塊控制所述移動(dòng)存儲(chǔ)設(shè)備的身份信息,來控制移動(dòng)存儲(chǔ)設(shè)備訪問計(jì)算機(jī)內(nèi)部存儲(chǔ)資料的訪問權(quán)限,用于實(shí)現(xiàn)對(duì)保密計(jì)算機(jī)內(nèi)部存儲(chǔ)資料保護(hù);步驟3:通過控制移動(dòng)存儲(chǔ)設(shè)備使用者的指紋特征信息,實(shí)現(xiàn)移動(dòng) 存儲(chǔ)設(shè)備內(nèi)部資料的保密。根據(jù)本發(fā)明的實(shí)施例,所述步驟l還包括步驟ll:對(duì)電子標(biāo)簽的ID號(hào)進(jìn)行注冊(cè)管理,維護(hù)一組許可訪問保 密計(jì)算機(jī)的電子標(biāo)簽的ID號(hào);步驟12:電子標(biāo)簽的ID號(hào)以數(shù)據(jù)庫(kù)表或者以固定格式的其他文件 格式存儲(chǔ),并對(duì)存儲(chǔ)的內(nèi)容加密;步驟13:采用密碼驗(yàn)證登陸管理賬戶,取得電子標(biāo)簽ID管理權(quán)限, 從射頻識(shí)別讀寫器獲取預(yù)注冊(cè)的電子標(biāo)簽的ID號(hào);步驟14:注冊(cè)電子標(biāo)簽ID號(hào)的管理權(quán)限的取得至少通過兩級(jí)密碼 驗(yàn)證;步驟15:電子標(biāo)簽的ID號(hào)注冊(cè)包括臨時(shí)性注冊(cè)是在移動(dòng)存儲(chǔ)設(shè)備所綁定電子標(biāo)簽只在本次接入U(xiǎn)SB 接口時(shí)有效,下一次訪問時(shí)仍然需要注冊(cè);或永久性注冊(cè)是一次注冊(cè)移動(dòng)存儲(chǔ)設(shè)備所綁定電子標(biāo)簽的ID號(hào)以 后,如果不注銷該ID號(hào),貝l」,移動(dòng)存儲(chǔ)設(shè)備將永遠(yuǎn)被允許訪問保密計(jì) 算機(jī)資源;
步驟16:對(duì)電子標(biāo)簽的ID號(hào)注銷和査詢管理。 根據(jù)本發(fā)明的實(shí)施例,所述步驟2還包括步驟21:所述移動(dòng)存儲(chǔ)設(shè)備身份控制,是通過記錄許可訪問電子標(biāo) 簽的ID號(hào),實(shí)現(xiàn)記錄移動(dòng)存儲(chǔ)設(shè)備訪問保密計(jì)算機(jī)的每一次操作。步驟22:所記錄的移動(dòng)存儲(chǔ)設(shè)備訪問保密計(jì)算機(jī)資源的歷史記錄采 用加密存儲(chǔ),需要相應(yīng)的權(quán)限査看,記錄文件為只讀屬性,拒絕修改, 替換和刪除。根據(jù)本發(fā)明的實(shí)施例,所述步驟3還包括步驟31:指紋識(shí)別軟件駐留在移動(dòng)存儲(chǔ)設(shè)備內(nèi)部,數(shù)據(jù)線接通時(shí)指 紋識(shí)別模塊自動(dòng)運(yùn)行;步驟32:注冊(cè)指紋記錄保存在移動(dòng)存儲(chǔ)設(shè)備內(nèi)特定的存儲(chǔ)區(qū)域,與 普通使用區(qū)隔離,自動(dòng)運(yùn)行的指紋識(shí)別軟件操作該區(qū)域;步驟33:注冊(cè)至少一個(gè)用戶方可允許使用移動(dòng)存儲(chǔ)設(shè)備。為了實(shí)現(xiàn)本發(fā)明的目的,本發(fā)明的第三方面,是提出一種射頻識(shí)別的信息保密管理方法,特征在于,包括步驟如下(1) 、移動(dòng)存儲(chǔ)設(shè)備接到保密計(jì)算機(jī)的USB接口,所攜帶的電子標(biāo)簽通過USB電源供電;(2) 、電子標(biāo)簽發(fā)出激活信號(hào)通知射頻讀寫器有電子標(biāo)簽出現(xiàn);(3) 、射頻讀寫器發(fā)出讀取電子標(biāo)簽的ID讀取請(qǐng)求;(4) 、電子標(biāo)簽應(yīng)答ID給射頻讀寫器;(5) 、射頻讀寫器將ID傳給管理模塊;(6) 、管理模塊收到ID后到ID記錄中進(jìn)行查詢,如果ID已經(jīng)注冊(cè)過則轉(zhuǎn)步驟(7),否則轉(zhuǎn)步驟(9);(7) 、管理模塊發(fā)出開通命令,USB接口控制電路接通,移動(dòng)存儲(chǔ) 設(shè)備與保密計(jì)算機(jī)傳輸信息,同時(shí)記錄訪問移動(dòng)存儲(chǔ)設(shè)備的電子標(biāo)簽ID 和開始訪問時(shí)間;(8) 、移動(dòng)存儲(chǔ)設(shè)備的指紋識(shí)別模塊運(yùn)行,請(qǐng)求指紋識(shí)別驗(yàn)證,如 果移動(dòng)存儲(chǔ)設(shè)備首次使用或者選擇注冊(cè)新的使用者操作選項(xiàng)則轉(zhuǎn)步驟(11),否則轉(zhuǎn)步驟(10);(9) 、在注冊(cè)記錄中找不到指定ID,則所獲得的ID為非法ID,管
理模塊給出提示進(jìn)入移動(dòng)存儲(chǔ)設(shè)備綁定電子標(biāo)簽ID的注冊(cè)過程,如果 注冊(cè)成功則轉(zhuǎn)步驟(7);注冊(cè)失敗再次轉(zhuǎn)到開始注冊(cè),或者放棄操作, 轉(zhuǎn)步驟(12);(10) 、選擇請(qǐng)求指紋識(shí)別驗(yàn)證,如果指紋識(shí)別驗(yàn)證通過,允許使 用移動(dòng)存儲(chǔ)設(shè)備,對(duì)計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備之間資源的移動(dòng)或拷貝,操作完畢后,轉(zhuǎn)步驟(12);否則,如果驗(yàn)證失敗次數(shù)不大于5,則轉(zhuǎn)步驟(10),或者放棄操作,若大于5,則轉(zhuǎn)步驟(12);(11) 、指紋識(shí)別模塊請(qǐng)求指紋注冊(cè),注冊(cè)成功后使用移動(dòng)存儲(chǔ)設(shè) 備,轉(zhuǎn)步驟(10),或者選擇放棄操作轉(zhuǎn)步驟(12);(12) 、移動(dòng)存儲(chǔ)設(shè)備使用完畢,管理模塊斷開USB接口數(shù)據(jù)線, 并記錄訪問者的電子標(biāo)簽的ID、訪問的文件名稱和訪問結(jié)束時(shí)間。
圖l是本發(fā)明基于射頻識(shí)別的信息保密管理系統(tǒng)結(jié)構(gòu)示意2是現(xiàn)有技術(shù)USB接口結(jié)構(gòu)示意3是本發(fā)明改造后USB接口結(jié)構(gòu)示意4是本發(fā)明硬件表示的操作步驟的前7步操作示意5是本發(fā)明保密過程的流程圖。
具體實(shí)施方式
下面將結(jié)合附圖對(duì)本發(fā)明加以詳細(xì)說明,應(yīng)指出的是,所描述的實(shí) 施僅旨在便于對(duì)本發(fā)明的理解,而對(duì)其不起任何限定作用。本發(fā)明保密方法是在保密計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備沒有被破壞性拆 除的條件下,對(duì)保密計(jì)算機(jī)和重要移動(dòng)存儲(chǔ)設(shè)備內(nèi)的信息進(jìn)行保密的方法。如圖l,本發(fā)明基于射頻識(shí)別的信息保密管理系統(tǒng)的結(jié)構(gòu)示意圖, 包括保密計(jì)算機(jī)l,移動(dòng)存儲(chǔ)設(shè)備2,電子標(biāo)簽3,射頻識(shí)別讀寫器4保 密計(jì)算機(jī)內(nèi)管理模塊5和USB接口 6 。各組成部分的說明如下保密計(jì)算機(jī)l,存儲(chǔ)需要保護(hù)的重要資料7的計(jì)算機(jī)。 移動(dòng)存儲(chǔ)設(shè)備2,內(nèi)置指紋識(shí)別模塊,用于實(shí)現(xiàn)與計(jì)算機(jī)內(nèi)部存儲(chǔ)資料7的交互,以及移動(dòng)存儲(chǔ)設(shè)備2本身存儲(chǔ)資料7的保護(hù),移動(dòng)存儲(chǔ)設(shè)備可以是U盤,移動(dòng)硬盤等;電子標(biāo)簽3,用于標(biāo)識(shí)移動(dòng)存儲(chǔ)設(shè)備2的身份,即,使用電子標(biāo)簽 3的ID號(hào)全球唯一的特性來標(biāo)識(shí)移動(dòng)存儲(chǔ)設(shè)備2的身份,其原理類似 于用身份證標(biāo)識(shí)一個(gè)人,為每一位合法公民發(fā)放編碼唯一的身份正后, 只要公安機(jī)關(guān)知道一個(gè)身份證號(hào)碼,就可以查出該身份證件的擁有者及 其年齡、籍貫等信息,同理,將移動(dòng)存儲(chǔ)設(shè)備配給專人使用后,只要知 道了訪問保密計(jì)算機(jī)的移動(dòng)存儲(chǔ)設(shè)備身份,就可以找出是誰在什么時(shí)間 用它訪問了保密計(jì)算機(jī)-這是本發(fā)明的一個(gè)創(chuàng)新;射頻識(shí)別讀寫器4,用于讀取電子標(biāo)簽3的ID號(hào),也就是讀取移 動(dòng)存儲(chǔ)設(shè)備2的唯一身份信息;它可以通過串口方式,也可以通過計(jì)算 機(jī)1主板擴(kuò)展槽插卡的方式與計(jì)算機(jī)1連接通訊。特別說明的是射頻識(shí) 別讀寫器4不可以連接到USB接口 6上,因?yàn)閁SB接口 6已經(jīng)經(jīng)過改 造,不可以直接使用。計(jì)算機(jī)1內(nèi)的管理模塊5,根據(jù)本發(fā)明的應(yīng)用思路而定制開發(fā),用 于管理移動(dòng)存儲(chǔ)設(shè)備2的身份信息,并對(duì)USB接口 6數(shù)據(jù)線路的通斷 進(jìn)行控制。如果檢測(cè)到移動(dòng)存儲(chǔ)設(shè)備2身份是合法的,則會(huì)允許USB 接口 6數(shù)據(jù)線正常通信,否則,保持USB接口 6數(shù)據(jù)線的斷開狀態(tài), 顯然此時(shí)移動(dòng)存儲(chǔ)設(shè)備2不能在此計(jì)算機(jī)1上使用。保密計(jì)算機(jī)的USB接口 6改造,如圖2和圖3所示及相應(yīng)的說明。所列保密計(jì)算機(jī)1主要是指USB接口6經(jīng)過改造,并且融合了射頻識(shí) 別讀寫器4的計(jì)算機(jī)。USB接口6的改造方法普通的USB接口 6由四根線組成,其中 分布在兩邊的為電源線,中間相對(duì)較短的兩根為數(shù)據(jù)線,如附圖2所示, 是現(xiàn)有技術(shù)USB接口結(jié)構(gòu)示意圖所示,從圖2中可以看出插槽線路直 接連接到主板通信。本發(fā)明將兩根直接延伸到末端的數(shù)據(jù)線中間添加并排的數(shù)據(jù)線導(dǎo) 通開關(guān),在每一根數(shù)據(jù)線上加了第一開關(guān)8和第二開關(guān)9,如圖3,本發(fā) 明改造后USB接口結(jié)構(gòu)示意圖所示,從圖3中可以看出插槽線路信號(hào)線 在數(shù)據(jù)線第一開關(guān)8和第二開關(guān)9控制下連接到主板。第一開關(guān)8和第二 開關(guān)9的導(dǎo)通與否由外加的信號(hào)控制10,即放行控制信號(hào)IO,此處放行 為允許USB接口6的數(shù)據(jù)線導(dǎo)通的含義。射頻識(shí)別讀寫器4與保密計(jì)算機(jī)1的融合方法(1) 串口外接射頻識(shí)別接讀寫器4;(2) 采用擴(kuò)展卡直接插到主板擴(kuò)展槽中。不論采用哪一種方法實(shí) 現(xiàn)射頻識(shí)別讀寫器4與保密計(jì)算機(jī)1的融合,都要求射頻識(shí)別讀寫器4 的天線在USB接口 6的周圍,能夠準(zhǔn)確無誤地讀取到移動(dòng)存儲(chǔ)設(shè)備2 中安裝的電子標(biāo)簽3。特別說明本發(fā)明的保密方法實(shí)現(xiàn)中不支持使用 USB接口 6通信的射頻識(shí)別讀寫器4,只允許使用串口或者無線通訊方 式通訊的讀寫器。所列移動(dòng)存儲(chǔ)設(shè)備2要求,本發(fā)明保密方法要求使用的移動(dòng)存儲(chǔ)設(shè) 備2必須是攜帶電子標(biāo)簽3和配備指紋識(shí)別系統(tǒng)的存儲(chǔ)單元。所列與移動(dòng)存儲(chǔ)設(shè)備2配合使用的射頻識(shí)別電子標(biāo)簽3的說明,此 處使用的電子標(biāo)簽3是有源標(biāo)簽,要求在生產(chǎn)移動(dòng)存儲(chǔ)設(shè)備2時(shí),如果 是非金屬外殼就把電子標(biāo)簽3封裝到移動(dòng)存儲(chǔ)設(shè)備2體內(nèi),如果是金屬 外殼要求將有源電子標(biāo)簽固定在移動(dòng)存儲(chǔ)設(shè)備2的表面,并釆用非金屬材質(zhì)實(shí)現(xiàn)標(biāo)簽與金屬外殼的隔離。此處使用有源電子標(biāo)簽,推薦使用 USB接口 6的5V電源供電,當(dāng)然,使用額外的紐扣電池等電源也可以。所列RFID射頻識(shí)別讀寫器4與電子標(biāo)簽3的配套要求。RFID讀 寫器4與電子標(biāo)簽3的配套除了必須的基本功能外,要求電子標(biāo)簽3中 設(shè)置專用的通信加密模塊實(shí)現(xiàn)數(shù)字加密標(biāo)準(zhǔn)DES、數(shù)字加密標(biāo)準(zhǔn)改良 3DES對(duì)稱加密或者RSA非對(duì)稱加密算法,相應(yīng)的讀寫器也實(shí)現(xiàn)加密通 信等功能。采用加密方案的目的是為了防止肆意對(duì)標(biāo)簽內(nèi)容進(jìn)行篡改或 者惡意破壞RFID電子標(biāo)簽3的內(nèi)容。本發(fā)明的保密方法> 一方面將具有全球惟一 ID身份的電子標(biāo)簽綁 定到移動(dòng)存儲(chǔ)設(shè)備內(nèi)部,為移動(dòng)存儲(chǔ)設(shè)備指定一個(gè)身份,然后通過識(shí)別 控制移動(dòng)存儲(chǔ)設(shè)備的身份信息來控制移動(dòng)存儲(chǔ)設(shè)備訪問計(jì)算機(jī)內(nèi)部存 儲(chǔ)資料的訪問權(quán)限,并最終實(shí)現(xiàn)計(jì)算機(jī)內(nèi)部存儲(chǔ)資料的保護(hù);另一方面, 將具有高可靠性的指紋識(shí)別方法用于移動(dòng)存儲(chǔ)設(shè)備本身,通過控制移動(dòng)
存儲(chǔ)設(shè)備使用者的特征信息實(shí)現(xiàn)移動(dòng)存儲(chǔ)設(shè)備內(nèi)部資料的保密。基于這 種保密方法,不但可以實(shí)現(xiàn)計(jì)算機(jī)內(nèi)部資料不能被一般移動(dòng)存儲(chǔ)設(shè)備訪 問,還可以實(shí)現(xiàn)專用移動(dòng)存儲(chǔ)設(shè)備只能專人專用,而不能被任意的人員使用。本發(fā)明公開的一種基于射頻識(shí)別的信息保密管理方法,具體步驟如下步驟1:將具有全球惟一ID身份的電子標(biāo)簽綁定到移動(dòng)存儲(chǔ)設(shè)備, 用于指定移動(dòng)存儲(chǔ)設(shè)備身份;步驟ll:該步驟必須實(shí)現(xiàn)對(duì)電子標(biāo)簽ID號(hào)的注冊(cè)管理功能,維護(hù) 一組許可訪問保密計(jì)算機(jī)的電子標(biāo)簽ID號(hào);步驟12: ID號(hào)以數(shù)據(jù)庫(kù)表或者以固定格式的其他文件格式存儲(chǔ), 還要求存儲(chǔ)的內(nèi)容必須加密;步驟13:在注冊(cè)ID號(hào)之前,首先要通過密碼驗(yàn)證登陸管理員賬戶, 取得管理員ID管理權(quán)限,從射頻識(shí)別讀寫器獲取預(yù)注冊(cè)的電子標(biāo)簽的 ID號(hào);否則不能注冊(cè)標(biāo)簽ID,要進(jìn)行注冊(cè)的ID號(hào)不支持手工輸入,需 要從射頻識(shí)別讀寫器直接獲?。徊襟E14:注冊(cè)ID號(hào)的管理員權(quán)限至少通過兩級(jí)密碼驗(yàn)證才能獲得, 這兩級(jí)密碼最好為不同的操作者分別各自擁有一級(jí),相應(yīng)的使用幾級(jí)密 碼控制,最好有幾個(gè)人分別各自擁有一級(jí)。這樣做的目的是防止單人擁 有密碼后注冊(cè)沒有綁定在移動(dòng)存儲(chǔ)設(shè)備中的電子標(biāo)簽,而使該標(biāo)簽成為 "萬能"標(biāo)簽,"萬能"標(biāo)簽可以欺騙保密系統(tǒng)使用普通的移動(dòng)存儲(chǔ)設(shè) 備獲取計(jì)算機(jī)資源。當(dāng)然,也可以在各個(gè)級(jí)別的密碼擁有者達(dá)成一致意 見后注冊(cè)"萬能"標(biāo)簽.封存?zhèn)溆茫徊襟E15:電子標(biāo)簽ID號(hào)的注冊(cè)類型分為兩種臨時(shí)性注冊(cè)和永久性注冊(cè)。臨時(shí)性注冊(cè)只在移動(dòng)存儲(chǔ)設(shè)備本次接入U(xiǎn)SB 口時(shí)生效,如果 將移動(dòng)存儲(chǔ)設(shè)備取下后再次接入保密計(jì)算機(jī)的USB 口則須重新注冊(cè), 臨時(shí)性注冊(cè)ID號(hào)不會(huì)作為永久合法身份保存在數(shù)據(jù)文件中,但是,其 訪問記錄仍然會(huì)保存。永久性注冊(cè)是指一次注冊(cè)移動(dòng)設(shè)備的標(biāo)簽ID后, 只要不刪除注冊(cè)信息,移動(dòng)存儲(chǔ)設(shè)備就被允許訪問計(jì)算機(jī)資源;步驟16:該軟件還必須實(shí)現(xiàn)對(duì)電子標(biāo)簽ID號(hào)的注銷(即,刪除),
査詢管理功能;步驟2:通過保密計(jì)算機(jī)管理模塊控制所述移動(dòng)存儲(chǔ)設(shè)備的身份信 息,來控制移動(dòng)存儲(chǔ)設(shè)備訪問計(jì)算機(jī)內(nèi)部存儲(chǔ)資料的訪問權(quán)限,用于實(shí)現(xiàn)對(duì)保密計(jì)算機(jī)內(nèi)部存儲(chǔ)資料保護(hù);步驟21:該軟件必須通過記錄電子標(biāo)簽的ID號(hào)實(shí)現(xiàn)記錄移動(dòng)存儲(chǔ)設(shè)備訪問保密計(jì)算機(jī)的每一次操作。步驟22:該軟件所記錄的移動(dòng)存儲(chǔ)設(shè)備訪問計(jì)算機(jī)資源的歷史記錄采用加密存儲(chǔ),需要相應(yīng)的權(quán)限才可以查看,記錄文件為只讀屬性,拒 絕修改,替換和刪除。該軟件具有控制USB連線的控制模塊,實(shí)現(xiàn)USB數(shù)據(jù)線的通斷控制。步驟3:通過控制移動(dòng)存儲(chǔ)設(shè)備使用者的指紋特征信息,實(shí)現(xiàn)移動(dòng) 存儲(chǔ)設(shè)備內(nèi)部資料的保密。步驟31:指紋識(shí)別軟件完全駐留在移動(dòng)存儲(chǔ)設(shè)備內(nèi)部,數(shù)據(jù)線接通 時(shí)指紋識(shí)別模塊自動(dòng)運(yùn)行,并入計(jì)算機(jī)內(nèi)存。步驟32:指紋歷史保存在特定的存儲(chǔ)區(qū)域,與普通使用區(qū)隔離存儲(chǔ),不對(duì)存儲(chǔ)設(shè)備使用者開放,用計(jì)算機(jī)資源管理器或者訪問程序是看不到 的,只有自動(dòng)運(yùn)行的指紋識(shí)別軟件可以操作該區(qū)域。步驟33:該軟件不允許空注冊(cè)使用移動(dòng)存儲(chǔ)設(shè)備,S卩,必須注冊(cè)至 少一個(gè)用戶方可允許使用移動(dòng)存儲(chǔ)設(shè)備,這比現(xiàn)有的不用指紋注冊(cè)就可 以當(dāng)普通移動(dòng)存儲(chǔ)設(shè)備使用的做法要求更嚴(yán)格。如圖4,本發(fā)明硬件表示的操作步驟的前7步操作示意圖和如圖5,本發(fā)明基于射頻識(shí)別技術(shù)的信息保密管理方法保密過程的流程圖所示在計(jì)算機(jī)內(nèi)管理模塊己經(jīng)運(yùn)行的前提下,基于射頻識(shí)別技術(shù)的信息 保密管理方法,其實(shí)施的具體步驟如下(1)、移動(dòng)存儲(chǔ)設(shè)備接到保密計(jì)算機(jī)的USB接口上,所攜帶的電子標(biāo)簽通過USB電源線供電,使電子標(biāo)簽正常工作;(2) 、電子標(biāo)簽發(fā)出激活信號(hào)通知射頻讀寫器有電子標(biāo)簽出現(xiàn);(3) 、射頻讀寫器發(fā)出讀取電子標(biāo)簽ID的讀取請(qǐng)求;(4) 、電子標(biāo)簽應(yīng)答ID給射頻讀寫器;(5) 、射頻讀寫器將ID傳給管理模塊;(6) 、管理模塊收到ID后到ID記錄中進(jìn)行査詢,如果ID已經(jīng)注 冊(cè)過則轉(zhuǎn)步驟(7),否則轉(zhuǎn)步驟(9);(7) 、管理模塊發(fā)出開通命令,使USB數(shù)據(jù)線控制電路接通,實(shí) 現(xiàn)移動(dòng)存儲(chǔ)設(shè)備與保密計(jì)算機(jī)的正常信息傳輸,同時(shí)記錄訪問移動(dòng)存儲(chǔ) 設(shè)備的電子標(biāo)簽ID和開始訪問時(shí)間;(8) 、移動(dòng)存儲(chǔ)設(shè)備的指紋識(shí)別軟件運(yùn)行,請(qǐng)求指紋識(shí)別驗(yàn)證,如 果移動(dòng)存儲(chǔ)設(shè)備首次使用或者選擇注冊(cè)新的使用者操作選項(xiàng)則轉(zhuǎn)步驟(11),否則轉(zhuǎn)步驟(10);(9) 、在注冊(cè)記錄中找不到指定ID,則所獲得的ID為非法ID,管 理模塊將會(huì)給出提示進(jìn)入移動(dòng)存儲(chǔ)設(shè)備綁定電子標(biāo)簽ID的注冊(cè)過程, 如果注冊(cè)成功則轉(zhuǎn)步驟(7);注冊(cè)失敗再次轉(zhuǎn)到開始注冊(cè),或者放棄操作,轉(zhuǎn)步驟(12);(10) 、選擇請(qǐng)求指紋識(shí)別驗(yàn)證,如果指紋識(shí)別驗(yàn)證通過,移動(dòng)存儲(chǔ)設(shè)備可以使用,然后,就可以實(shí)現(xiàn)計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備之間資源的移動(dòng)或拷貝,操作完畢后,轉(zhuǎn)步驟(12);否則,如果驗(yàn)證失敗次數(shù)不大于5,則轉(zhuǎn)步驟(10),或者放棄操作,若大于IO,則轉(zhuǎn)步驟(12);(11) 、指紋識(shí)別軟件請(qǐng)求指紋注冊(cè),注冊(cè)成功后即可像普通移動(dòng)存儲(chǔ)設(shè)備那樣使用,轉(zhuǎn)步驟(10),或者選擇放棄操作轉(zhuǎn)步驟(12);(12) 、移動(dòng)存儲(chǔ)設(shè)備使用完畢,從USB口取下時(shí),管理模塊即隨 時(shí)斷開USB數(shù)據(jù)線,并記錄訪問者的電子標(biāo)簽ID,訪問的文件名稱和 訪問結(jié)束時(shí)間。關(guān)于以上保密原理及實(shí)施方案1、如果使用普通的移動(dòng)存儲(chǔ)設(shè)備訪問保密計(jì)算機(jī)資源,則由于其 沒有攜帶電子標(biāo)簽,不能被射頻識(shí)別讀寫器感應(yīng)到,也就不能被射頻識(shí)別讀寫器識(shí)別,USB數(shù)據(jù)線也就不會(huì)接通,則對(duì)于保密計(jì)算機(jī)來說等于 USB接口什么都沒有接入。2、如果要將保密移動(dòng)存儲(chǔ)設(shè)備內(nèi)部的資料拷貝到普通的計(jì)算機(jī)上, 那么需要首先通過指紋識(shí)別系統(tǒng)的驗(yàn)證,否則將不能訪問移動(dòng)存儲(chǔ)設(shè)備 內(nèi)的資源信息。上面的保密管理方法,通過保密計(jì)算機(jī)對(duì)訪問者(移動(dòng)存儲(chǔ)設(shè)備) 身份的控制,實(shí)現(xiàn)了對(duì)訪問者的權(quán)限控制和訪問歷史的記錄,再加上移 動(dòng)存儲(chǔ)設(shè)備專人配備的使用策略,就可以通過保密計(jì)算機(jī)的被訪問歷史 記錄追查到是什么人在什么時(shí)間通過移動(dòng)存儲(chǔ)設(shè)備與保密計(jì)算機(jī)交互了什么文件;另一方面,移動(dòng)存儲(chǔ)設(shè)備本身內(nèi)置的指紋識(shí)別系統(tǒng),能夠 保護(hù)其內(nèi)部資料不被別人査看或拷貝。所以,該保密方法可有效實(shí)現(xiàn)保 密計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備內(nèi)的信息保密。本發(fā)明通過控制移動(dòng)存儲(chǔ)設(shè)備訪問計(jì)算機(jī)內(nèi)部存儲(chǔ)資料的訪問權(quán) 限,實(shí)現(xiàn)計(jì)算機(jī)內(nèi)部存儲(chǔ)資料的保護(hù);通過控制移動(dòng)存儲(chǔ)設(shè)備自身的使 用權(quán)限,進(jìn)而實(shí)現(xiàn)移動(dòng)存儲(chǔ)設(shè)備內(nèi)部資料的保密?;谶@種保密方法不 但可以實(shí)現(xiàn)保密計(jì)算機(jī)內(nèi)部資料不能被一般移動(dòng)存儲(chǔ)設(shè)備訪問,還可以 實(shí)現(xiàn)專用移動(dòng)存儲(chǔ)設(shè)備不能被任意的人員使用。上面描述是用于實(shí)現(xiàn)本發(fā)明的實(shí)施過程,本領(lǐng)域的技術(shù)人員應(yīng)該理 解,在不脫離本發(fā)明的范圍的任何修改或局部替換,均屬于本發(fā)明權(quán)利 要求來限定的范圍。
權(quán)利要求
1、基于射頻識(shí)別的信息保密管理系統(tǒng),包括保密計(jì)算機(jī),存儲(chǔ)需要保護(hù)的重要資料的計(jì)算機(jī);與保密計(jì)算機(jī)配合使用的移動(dòng)存儲(chǔ)設(shè)備,內(nèi)置指紋識(shí)別模塊,用于實(shí)現(xiàn)與計(jì)算機(jī)內(nèi)部存儲(chǔ)資料的交互,即從計(jì)算機(jī)拷貝資料到移動(dòng)存儲(chǔ)設(shè)備或者將移動(dòng)存儲(chǔ)設(shè)備內(nèi)的資料拷貝到計(jì)算機(jī),以及移動(dòng)存儲(chǔ)設(shè)備本身存儲(chǔ)資料的保護(hù);與移動(dòng)存儲(chǔ)設(shè)備配合使用的電子標(biāo)簽,用于標(biāo)識(shí)移動(dòng)存儲(chǔ)設(shè)備的身份,即使用電子標(biāo)簽身份全球唯一的特性來標(biāo)識(shí)移動(dòng)存儲(chǔ)設(shè)備的身份;與計(jì)算機(jī)內(nèi)的管理模塊連接的射頻識(shí)別讀寫器,用于讀取電子標(biāo)簽的ID號(hào),也就是讀取移動(dòng)存儲(chǔ)設(shè)備的唯一身份信息;安裝在保密計(jì)算機(jī)內(nèi)的管理模塊,用于管理移動(dòng)存儲(chǔ)設(shè)備的身份信息,并對(duì)USB接口的數(shù)據(jù)線路的通斷進(jìn)行控制;保密計(jì)算機(jī)的USB接口,用于實(shí)現(xiàn)移動(dòng)存儲(chǔ)設(shè)備對(duì)保密計(jì)算機(jī)訪問的隔離控制。
2、 根據(jù)權(quán)利要求1中所述信息保密管理系統(tǒng),其特征在于所述USB接口還包括在USB接口本體的兩邊分布有電源線,在兩根電源線之間有兩根數(shù)據(jù)線,在每根數(shù)據(jù)線中分別連接有數(shù)據(jù)線幵 關(guān),數(shù)據(jù)線開關(guān)與保密計(jì)算機(jī)的信號(hào)控制端連接,用于控制數(shù)據(jù)線的接 通與斷開。
3、 根據(jù)權(quán)利要求1中所述信息保密管理系統(tǒng),其特征在于 所述射頻識(shí)別讀寫器與保密計(jì)算機(jī)的融合采用串口通訊方式;或采用擴(kuò)展卡插到保密計(jì)算機(jī)主板擴(kuò)展槽中,用于與射頻識(shí)別讀寫器通訊。
4、 根據(jù)權(quán)利要求1中所述信息保密管理系統(tǒng),其特征在于所述射頻識(shí)別讀寫器的天線位于USB接口的周圍,用于讀取移動(dòng)存儲(chǔ)設(shè)備中的電子標(biāo)簽。
5、 根據(jù)權(quán)利要求中所述信息保密管理系統(tǒng),其特征在于所述移動(dòng)存儲(chǔ)設(shè)備包括攜帶電子標(biāo)簽和指紋識(shí)別的存儲(chǔ)單元,所 述電子標(biāo)簽采用有源標(biāo)簽,電子標(biāo)簽封裝在移動(dòng)存儲(chǔ)設(shè)備體內(nèi);或電子 標(biāo)簽固定在移動(dòng)存儲(chǔ)設(shè)備表面。
6、 權(quán)利要求1中所述信息保密管理系統(tǒng),其特征在于, 所述電子標(biāo)簽,在電子標(biāo)簽中設(shè)置專用通信加密模塊,用于實(shí)現(xiàn)數(shù)字加密標(biāo)準(zhǔn)、數(shù)字加密標(biāo)準(zhǔn)改良對(duì)稱加密算法或者RSA非對(duì)稱加密算 法,用于與相應(yīng)的射頻識(shí)別讀寫器實(shí)現(xiàn)加密通信。
7、 一種基于射頻識(shí)別的信息保密管理方法,其特征在于,步驟包 括如下步驟1:將具有全球惟一ID身份的電子標(biāo)簽綁定到移動(dòng)存儲(chǔ)設(shè)備, 用于指定移動(dòng)存儲(chǔ)設(shè)備身份;步驟2:通過保密計(jì)算機(jī)管理模塊控制所述移動(dòng)存儲(chǔ)設(shè)備的身份信 息,來控制移動(dòng)存儲(chǔ)設(shè)備訪問計(jì)算機(jī)內(nèi)部存儲(chǔ)資料的訪問權(quán)限,用于實(shí) 現(xiàn)對(duì)保密計(jì)算機(jī)內(nèi)部存儲(chǔ)資料保護(hù);步驟3:通過控制移動(dòng)存儲(chǔ)設(shè)備使用者的指紋特征信息,實(shí)現(xiàn)移動(dòng)存儲(chǔ)設(shè)備內(nèi)部資料的保密。
8、 根據(jù)權(quán)利要求7所述的信息保密管理方法,其特征在于,所述 步驟1還包括步驟ll:對(duì)電子標(biāo)簽的ID號(hào)進(jìn)行注冊(cè)管理,維護(hù)一組許可訪問保 密計(jì)算機(jī)的電子標(biāo)簽的[D號(hào);步驟12:電子標(biāo)簽的ID號(hào)以數(shù)據(jù)庫(kù)表或者以固定格式的其他文件 格式存儲(chǔ),并對(duì)存儲(chǔ)的內(nèi)容加密;步驟13:采用密碼驗(yàn)證登陸管理賬戶,取得電子標(biāo)簽ID管理權(quán)限,從射頻識(shí)別讀寫器獲取預(yù)注冊(cè)的電子標(biāo)簽的ID號(hào);步驟14:注冊(cè)電子標(biāo)簽ID號(hào)的管理權(quán)限的取得至少通過兩級(jí)密碼 驗(yàn)證;步驟15:電子標(biāo)簽的ID號(hào)注冊(cè)包括臨時(shí)性注冊(cè)是在移動(dòng)存儲(chǔ)設(shè)備所綁定電子標(biāo)簽只在本次接入U(xiǎn)SB接口時(shí)有效,下一次訪問時(shí)仍然需要注冊(cè);或永久性注冊(cè)是一次注冊(cè)移動(dòng)存儲(chǔ)設(shè)備所綁定電子標(biāo)簽的ID號(hào)以后,如果不注銷該ID號(hào),則,移動(dòng)存儲(chǔ)設(shè)備將永遠(yuǎn)被允許訪問保密計(jì) 算機(jī)資源;步驟16:對(duì)電子標(biāo)簽的ID號(hào)注銷和查詢管理。
9、 根據(jù)權(quán)利要求7和8所述的信息保密管理方法,其特征在于 所述步驟2還包括步驟21:所述移動(dòng)存儲(chǔ)設(shè)備身份控制,是通過記錄許可訪問電子標(biāo) 簽的ID號(hào),實(shí)現(xiàn)記錄移動(dòng)存儲(chǔ)設(shè)備訪問保密計(jì)算機(jī)的每一次操作。步驟22:所記錄的移動(dòng)存儲(chǔ)設(shè)備訪問保密計(jì)算機(jī)資源的歷史記錄采 用加密存儲(chǔ),需要相應(yīng)的權(quán)限査看,記錄文件為只讀屬性,拒絕修改, 替換和刪除。
10、 根據(jù)權(quán)利要求7所述的信息保密管理方法,其特征在于,所述步驟3還包括步驟31:指紋識(shí)別軟件駐留在移動(dòng)存儲(chǔ)設(shè)備內(nèi)部,數(shù)據(jù)線接通時(shí)指 紋識(shí)別模塊自動(dòng)運(yùn)行;步驟32:注冊(cè)指紋記錄保存在移動(dòng)存儲(chǔ)設(shè)備內(nèi)特定的存儲(chǔ)區(qū)域,與普通使用區(qū)隔離,自動(dòng)運(yùn)行的指紋識(shí)別軟件操作該區(qū)域;步驟33:注冊(cè)至少一個(gè)用戶方可允許使用移動(dòng)存儲(chǔ)設(shè)備。
11、 一種射頻識(shí)別的信息保密管理方法,特征在于,包括步驟如下(1) 、移動(dòng)存儲(chǔ)設(shè)備接到保密計(jì)算機(jī)的USB接口上后,所攜帶的 電子標(biāo)簽通過USB電源線供電,使電子標(biāo)簽?zāi)軌蛘9ぷ鳎?2) 、電子標(biāo)簽發(fā)出激活信號(hào)通知射頻讀寫器有電子標(biāo)簽出現(xiàn);(3) 、射頻讀寫器發(fā)出讀取電子標(biāo)簽的ID讀取請(qǐng)求;(4) 、電子標(biāo)簽應(yīng)答ID給射頻讀寫器;(5) 、射頻讀寫器將ID傳給管理模塊;(6) 、管理模塊收到ID后到ID記錄中進(jìn)行查詢,如果ID己經(jīng)注 冊(cè)過則轉(zhuǎn)步驟(7),否則轉(zhuǎn)步驟(9);(7) 、管理模塊發(fā)出開通命令,使USB接口數(shù)據(jù)線控制電路接通, 實(shí)現(xiàn)移動(dòng)存儲(chǔ)設(shè)備與保密計(jì)算機(jī)的正常信息傳輸,同時(shí)記錄訪問移動(dòng)存 儲(chǔ)設(shè)備的電子標(biāo)簽ID和開始訪問時(shí)間;(8) 、移動(dòng)存儲(chǔ)設(shè)備的指紋識(shí)別模塊運(yùn)行,請(qǐng)求指紋識(shí)別驗(yàn)證,如 果移動(dòng)存儲(chǔ)設(shè)備首次使用或者選擇注冊(cè)新的使用者操作選項(xiàng)則轉(zhuǎn)步驟 (11),否則轉(zhuǎn)步驟(10);(9) 、在注冊(cè)記錄中找不到指定ID,則所獲得的ID為非法ID,管 理模塊將會(huì)給出提示進(jìn)入移動(dòng)存儲(chǔ)設(shè)備綁定電子標(biāo)簽ID的注冊(cè)過程,如果注冊(cè)成功則轉(zhuǎn)步驟(7);注冊(cè)失敗再次轉(zhuǎn)到開始注冊(cè),或者放棄操 作,轉(zhuǎn)步驟(12);(10) 、選擇請(qǐng)求指紋識(shí)別驗(yàn)證,如果指紋識(shí)別驗(yàn)證通過,允許使用移動(dòng)存儲(chǔ)設(shè)備,然后,對(duì)計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備之間資源的移動(dòng)或拷貝,操作完畢后,轉(zhuǎn)步驟(12);否則,如果驗(yàn)證失敗次數(shù)不大于5,則轉(zhuǎn)步驟(10),或者放棄操作,若大于5,則轉(zhuǎn)步驟(12);(11) 、指紋識(shí)別模塊請(qǐng)求指紋注冊(cè),注冊(cè)成功后使用移動(dòng)存儲(chǔ)設(shè)備,轉(zhuǎn)步驟(10),或者選擇放棄操作轉(zhuǎn)步驟(12);(12) 、移動(dòng)存儲(chǔ)設(shè)備使用完畢,從USB接口取下時(shí),管理模塊即 隨時(shí)斷開USB接口數(shù)據(jù)線,并記錄訪問者的電子標(biāo)簽的ID,訪問的文 件名稱和訪問結(jié)束時(shí)間c
全文摘要
本發(fā)明公開一種基于射頻識(shí)別的信息保密管理系統(tǒng)及其方法,系統(tǒng)包括保密計(jì)算機(jī),移動(dòng)存儲(chǔ)設(shè)備,電子標(biāo)簽,射頻識(shí)別讀寫器、管理模塊5和USB接口。方法針對(duì)需要進(jìn)行存儲(chǔ)資料保密的計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備而提出。其中,移動(dòng)存儲(chǔ)設(shè)備是使用USB接口與計(jì)算機(jī)資源交互的具有移動(dòng)存儲(chǔ)功能的設(shè)備。本發(fā)明通過控制移動(dòng)存儲(chǔ)設(shè)備訪問計(jì)算機(jī)內(nèi)部存儲(chǔ)資料的訪問權(quán)限,實(shí)現(xiàn)計(jì)算機(jī)內(nèi)部存儲(chǔ)資料的保護(hù);通過控制移動(dòng)存儲(chǔ)設(shè)備自身的使用權(quán)限,進(jìn)而實(shí)現(xiàn)移動(dòng)存儲(chǔ)設(shè)備內(nèi)部資料的保密?;谶@種保密方法不但可以實(shí)現(xiàn)保密計(jì)算機(jī)內(nèi)部資料不能被一般移動(dòng)存儲(chǔ)設(shè)備訪問,還可以實(shí)現(xiàn)專用移動(dòng)存儲(chǔ)設(shè)備不能被任意的人員使用。
文檔編號(hào)G06F21/00GK101154251SQ200610113408
公開日2008年4月2日 申請(qǐng)日期2006年9月27日 優(yōu)先權(quán)日2006年9月27日
發(fā)明者王啟剛, 杰 譚, 趙科俠 申請(qǐng)人:中國(guó)科學(xué)院自動(dòng)化研究所;北京三博中自科技有限公司