專利名稱:基于音頻通信的信息安全設備及其通信方法
技術領域:
本發(fā)明涉及一種信息安全設備和通信方法的設計���,特別是一種通過音頻信道進行數(shù)據(jù)通信的信息安全設備及其通信方法。
背景技術:
隨著手機���、掌上電腦�、平板電腦等移動設備的廣泛應用����,包括網(wǎng)上銀行、網(wǎng)上支付�����、電子商務���、電子政務在內(nèi)的很多安全敏感的應用被部署在這些設備上���。由于這些設備可能遭受病毒、木馬等惡意軟件的威脅����,也可能由于丟失而導致秘密泄露,因此為了保證系統(tǒng)的安全��,一些安全敏感的關鍵操作通常在一個獨立的專用安全設備內(nèi)部執(zhí)行����,并且將執(zhí)行結(jié)果返回給移動設備,由移動設備完成整個操作流程���。因此這些獨立的專用安全設備為整個系統(tǒng)提供了安全性和便利性����。
安全設備可以為主機提供安全相關數(shù)據(jù)存儲��、對稱密碼運算��、非對稱密碼運算���、隨機數(shù)生成��、安全協(xié)議執(zhí)行等功能��。安全設備被廣泛用于認證系統(tǒng)�����、電子簽名系統(tǒng)��、網(wǎng)上銀行等系統(tǒng)中以增強系統(tǒng)的安全性���。安全設備需要通過一定的通信接口和主機進行通信�,目前常用的通信接口主要包括有線連接的USB接口�����、MMC/SDI0接口��、智能卡/SM卡接口�、以太網(wǎng)接口和串口等,以及無線連接的藍牙����、WIFI和近場通信NFC等�。如常見的用于網(wǎng)銀的U盾就是通過標準USB接口和具備標準USB接口的計算機進行通信���。由于不同生產(chǎn)廠商的手機和平板電腦等移動設備之間的接口差異較大����,不同的設備具有的接口各不相同�����,因此采用上述接口的安全設備很難適應不同的移動設備����。例如很流行的iPhone手機和iPad平板電腦就不具備USB接口和MMC/SDI0接口�,而具備iPhone和iPad專有接口的安全設備也不能用于Android和Nokia手機。雖然在不同移動設備之間缺乏統(tǒng)一的數(shù)字通信接口����,但是各種不同的移動設備上都具備進行模擬音頻信號的輸出輸出能力。例如��,在包括iPhone��、iPad、Android設備��、Nokia手機和筆記本電腦在內(nèi)的移動設備上�����,都具備標準的3. 5毫米音頻接口�����,可以和麥克風耳機等設備進行音頻模擬信號的通信����。因此,音頻接口是一種普遍存在的移動設備接口�。但目前,還沒有一種利用音頻信道進行數(shù)據(jù)通信的信息安全保護的設備和方法���,從而實現(xiàn)密碼運算和身份認證等功能�。
發(fā)明內(nèi)容
本發(fā)明的目的在于利用移動設備上廣泛存在的音頻接口����,提供一種通過音頻信道進行數(shù)據(jù)通信的信息安全設備,以及通過此設備進行數(shù)據(jù)通信的方法�。本發(fā)明解決其技術問題所采取的技術方案是一種通過音頻接口進行數(shù)據(jù)通信的安全設備�,設備具備的功能包括(I)具備程序執(zhí)行能力�。能夠執(zhí)行設備的固件程序和用戶程序。(2)具備密碼運算和安全協(xié)議執(zhí)行功能����。能夠執(zhí)行隨機數(shù)生成、對稱密碼運算��、非對稱密碼運算����、安全協(xié)議運算中的一種或多種功能���。
(3)具備音頻接口和音頻輸入輸出功能�。能夠通過音頻接口向其他設備發(fā)送音頻信號�����,也能夠通過音頻接口接收來自其他設備的音頻信號��。(4)具備數(shù)據(jù)和音頻編解碼功能�。能夠?qū)?shù)據(jù)編碼為音頻信號,并通過音頻接口輸出給其他設備��;也能夠通過音頻接口和輸入來自于其他設備的音頻信號,并解碼為數(shù)據(jù)���。(5)具備存儲功能��。設備能夠存儲程序和數(shù)據(jù)�。設備的構(gòu)成包括(I)主控芯片���,用于提供程序執(zhí)行能力����。(2)安全處理器��,用于提供密碼運算和安全協(xié)議執(zhí)行運算���。該處理器可以采取智能卡芯片或U盾安全芯片的獨立形式���,或者可以集成到主控芯片中,或者可以以將密碼算法和安全協(xié)議以軟件程序的形式在主控芯片中執(zhí)行��。 (3)音頻接口�,具備音頻輸出輸出功能,用于和主機進行通信��。音頻接口可以是具備物理連接的接口,如3. 5毫米的音頻插頭或插座�;也可以是不具備物理連接的音頻輸入輸出接口,如喇叭和麥克風通過空氣中傳輸?shù)穆暡ㄟM行音頻信號的輸入輸出��。(4)數(shù)據(jù)和音頻編解碼模塊����,用于將數(shù)字信號轉(zhuǎn)化為音頻,以及將音頻轉(zhuǎn)化為數(shù)字信號��。模塊可以是獨立的芯片����,也可以是電路�,也可以在主控芯片中以軟件程序?qū)崿F(xiàn)。(5)存儲器�����,用于存儲程序和數(shù)據(jù)�����,可以是獨立的存儲器��,也可以集成在主控芯片或安全芯片中。技術方案還包括一種使用上述設備的數(shù)據(jù)通信方法�����,數(shù)據(jù)傳輸過程包含如下步驟(I)設備和主機首先建立一個音頻信道�。(2)設備接收來自于主機的音頻信號。(3)設備對音頻信號進行解碼����,獲得來自于主機的命令數(shù)據(jù)。(4)設備針對主機的命令進行運算并產(chǎn)生結(jié)果數(shù)據(jù)��。(5)設備將結(jié)果數(shù)據(jù)編碼為音頻信號���。(6)設備將音頻信號通過音頻信道發(fā)送給主機���。在步驟(I)中,音頻信道的建立可以是有線連接的方式�,也可以是無線的方式。在有線連接的方式中����,一種典型的連接方式為,設備的音頻接口是一個音頻插頭����,主機具有一個音頻插座�,當設備的音頻插頭插入主機的音頻插座時�����,音頻信道就建立起來了��。在無線方式中���,設備和主機都具備喇叭和麥克風���,兩個設備之間可以通過在空氣中傳播聲波建立音頻連接,當兩個設備之間的距離足夠互相的麥克風可以接收來自對方喇叭發(fā)出的聲音時�,音頻信道就建立起來了。在步驟(3)和步驟(5)中��,設備通過一個算法將數(shù)字信號編碼為可以在音頻信道上傳輸?shù)哪M信號���,也可以通過這個算法將在音頻信道上采集的模擬信號解碼為數(shù)字信號。在步驟(4)中�����,設備根據(jù)主機發(fā)來的命令執(zhí)行相應的操作,這些操作可以包括將來自主機的數(shù)據(jù)存儲在設備中�、讀取設備中存儲的數(shù)據(jù)并返回給主機、生成數(shù)據(jù)��、對數(shù)據(jù)進行處理等�����。數(shù)據(jù)生成可以包括隨機數(shù)生成�,數(shù)據(jù)處理可包括各種密碼運算,如密碼雜湊算法�、消息認證碼算法、對稱密碼算法�����、非對稱密碼算法�����,數(shù)據(jù)的存儲可以包括對稱密鑰和非對稱密鑰�����、元數(shù)據(jù)���、用戶數(shù)據(jù)��、公鑰證書等����。
本發(fā)明利用一種具備程序執(zhí)行功能、音頻輸入輸出功能���、數(shù)據(jù)和音頻編解碼功能��、密碼運算功能�、數(shù)據(jù)存儲功能的安全設備�,通過音頻信道,和具備音頻輸入輸出功能的主機進行通信���,在設備內(nèi)為主機進行安全相關數(shù)據(jù)處理���,使得基于音頻信道的信息安全設備成為可能,同時使得不同種類的移動設備都可以通過音頻信道和安全設備進行通信��。
圖I為本發(fā)明實施例的流程圖�����;圖2為本發(fā)明實施例的硬件框架圖��。
具體實施例方式下面結(jié)合附圖和具體實施方式
對本發(fā)明作進一步詳細描述本發(fā)明提供一種認證設備及通信方法的優(yōu)選實施例��,它主要負責保存用戶的敏感 數(shù)據(jù)��,如密鑰和數(shù)字證書等��,并使用存儲的密鑰進行密碼運算�,以完成認證協(xié)議。設備的硬件部分如圖2中所示���,圖中201為主機��,202為認證設備�����。203為設置在認證設備中的主控芯片�,該主控芯片集成了處理器����、存儲器和數(shù)據(jù)音頻編解碼算法和音頻信號輸入輸出功能和安全處理器,安全處理器可以進行RSA、DES��、3DES����、SHA-I、SHA-256����、MD5、AES和橢圓曲線等密碼運算功能�����,主控芯片中集成的存儲器中還包括安全存儲��,可以用于存儲密鑰和證書等敏感數(shù)據(jù)����。主控芯片可以選用國產(chǎn)的安全智能卡芯片或者U盾芯片,如國民技術的SSX20芯片�。204為音頻接口,和主控芯片的音頻輸出輸出連接���,可選用3. 5毫米的帶麥克風立體聲耳機音頻插頭�,其中左右聲道引腳和主控芯片的音頻輸出引腳連接,麥克風引腳和主控芯片的音頻輸入引腳連接���。205為電池,向主控芯片提供能源�����,可以選用標準的CR2032紐扣電池����。如流程圖I所示?���?傮w功能如圖I所示步驟101中王機對認證設備完成了初始化。設備在完成初始化后會在內(nèi)部的存儲器中建立用戶的身份信息(如公鑰證書)��,并在安全存儲器中建立用戶的密鑰�����。步驟102中主機通過特定的音頻信號激活認證設備�����。步驟103中認證設備獲得用戶輸入的訪問口令。步驟104中認證設備檢查用戶的訪問口令是否有效��。如果口令有效���,則為用戶分配一個訪問權(quán)限�����;如果無效��,則跳轉(zhuǎn)到步驟107���。步驟105中認證設備等待來自主機的命令。如果在一定時限內(nèi)沒有接收到主機的命令則跳轉(zhuǎn)到步驟107���。步驟106中認證設備執(zhí)行命令�,進行數(shù)據(jù)處理��,并向主機返回結(jié)果����。在命令執(zhí)行完畢后跳轉(zhuǎn)至步驟105,再次等待來自主設備的命令�。步驟107中認證設備關閉���,斷開與主設備的連接。本實施例可實現(xiàn)如下功能包括(I)認證登錄����。認證設備可以向主機提供設備中存儲的用戶身份信息,以及運算得到的認證信息����,用于登錄主機或通過主機登錄遠程服務器�。(2)生成數(shù)字簽名。認證設備可以通過內(nèi)部的簽名密鑰為主機發(fā)來的消息生成數(shù)
字簽名��。
(3)存儲安全敏感數(shù)據(jù)���。認證設備可以為用戶存儲口令���、密鑰、私密信息和公鑰證書��。(4)生成一次性口令���。認證設備可以通過內(nèi)部存儲的種子密鑰和一次性口令算法生成一次性口令并發(fā)送給主機�,可以通過主機的顯示屏幕顯示一次性口令,或者直接使用一次性口令進行登錄認證���。以上通過詳細實施例描述了本發(fā)明所提供的通過音頻信道進行數(shù)據(jù)通信的信息 安全設備及其通信方法��,本領域的技術人員應當理解����,在不脫離本發(fā)明實質(zhì)的范圍內(nèi)����,可以對本發(fā)明做一定的變換或修改;不限于實施例中所公開的內(nèi)容�。
權(quán)利要求
1.一種通過音頻信道進行數(shù)據(jù)通信的信息安全設備,其特征在于包括 1)主控芯片���,用于提供程序執(zhí)行能力�。
2)安全處理器�,用于提供密碼運算和安全協(xié)議執(zhí)行運算; 3)音頻接口���,具備音頻輸出輸出功能�����,用于和主機進行通信���; 4)數(shù)據(jù)和音頻編解碼模塊�����,用于將數(shù)字信號轉(zhuǎn)化為音頻�,以及將音頻轉(zhuǎn)化為數(shù)字信號; 5)存儲器�,用于存儲程序和數(shù)據(jù)。
2.如權(quán)利要求I所述的設備��,其特征在于所述安全處理器為智能卡芯片或U盾安全芯片��,或者集成到主控芯片中�,或者以將密碼算法和安全協(xié)議以軟件程序的形式在主控芯片中執(zhí)行�。
3.如權(quán)利要求I所述的設備,其特征在于音頻接口是具備物理連接的接口����,或是不具備物理連接的音頻輸入輸出接口。
4.如權(quán)利要求I所述的設備��,其特征在于數(shù)據(jù)和音頻編解碼模塊是獨立的芯片�����,或是電路,或在主控芯片中以軟件程序?qū)崿F(xiàn)�����。
5.如權(quán)利要求I所述的設備����,其特征在于所述存儲器是獨立的存儲器,或集成在主控芯片或安全處理器中�����。
6.一種采用音頻信道進行數(shù)據(jù)通信的安全設備進行數(shù)據(jù)通信的方法���,其特征在于數(shù)據(jù)傳輸過程包含如下步驟 1)設備和主機首先建立一個音頻信道�����; 2)設備接收來自于主機的音頻信號���; 3)設備對音頻信號進行解碼,獲得來自于主機的命令數(shù)據(jù); 4)設備針對主機的命令進行運算并產(chǎn)生結(jié)果數(shù)據(jù)�����; 5)設備將結(jié)果數(shù)據(jù)編碼為音頻信號�����; 6)設備將音頻信號通過音頻信道發(fā)送給主機�。
7.如權(quán)利要求6所述的方法,其特征在于在步驟I)中��,音頻信道采用有線或無線連接���,在有線連接的方式中���,若設備的音頻接口是一個音頻插頭��,主機具有一個音頻插座�,音頻插頭插入主機的音頻插座;在無線連接方式中�����,若設備和主機都具備喇叭和麥克風�,兩個設備之間通過在空氣中傳播聲波建立音頻連接�����。
全文摘要
本發(fā)明涉及一種信息安全設備和通信方法的設計���,特別是一種通過音頻信道進行數(shù)據(jù)通信的信息安全設備及其通信方法。本發(fā)明利用一種具備程序執(zhí)行功能�����、音頻輸入輸出功能�����、數(shù)據(jù)和音頻編解碼功能�、密碼運算功能、數(shù)據(jù)存儲功能的安全設備����,通過音頻信道,和具備音頻輸入輸出功能的主機進行通信��,在設備內(nèi)為主機進行安全相關數(shù)據(jù)處理�,使得基于音頻信道的信息安全設備成為可能,同時使得不同種類的移動設備都可以通過音頻信道和安全設備進行通信。
文檔編號H04L29/06GK102904718SQ20111020847
公開日2013年1月30日 申請日期2011年7月25日 優(yōu)先權(quán)日2011年7月25日
發(fā)明者付洪軍, 關志 申請人:付洪軍, 關志