CN101154251A

CN101154251A - 基于射频识别的信息保密管理系统及其方法

Info

Publication number: CN101154251A
Application number: CNA2006101134085A
Authority: CN
Inventors: 王启刚; 谭杰; 赵科侠
Original assignee: BEIJING SCIAMPLE TECHNOLOGY CO LTD; Institute of Automation of Chinese Academy of Science
Current assignee: BEIJING SCIAMPLE TECHNOLOGY CO LTD; Institute of Automation of Chinese Academy of Science
Priority date: 2006-09-27
Filing date: 2006-09-27
Publication date: 2008-04-02
Anticipated expiration: 2026-09-27
Also published as: CN101154251B

Abstract

本发明公开一种基于射频识别的信息保密管理系统及其方法，系统包括：保密计算机，移动存储设备，电子标签，射频识别读写器、管理模块5和USB接口。方法针对需要进行存储资料保密的计算机和移动存储设备而提出。其中，移动存储设备是使用USB接口与计算机资源交互的具有移动存储功能的设备。本发明通过控制移动存储设备访问计算机内部存储资料的访问权限，实现计算机内部存储资料的保护；通过控制移动存储设备自身的使用权限，进而实现移动存储设备内部资料的保密。基于这种保密方法不但可以实现保密计算机内部资料不能被一般移动存储设备访问，还可以实现专用移动存储设备不能被任意的人员使用。

Description

基于射频识别的信息保密管理系统及其方法

技术领域

本发明属于保密计算机以及移动存储设备的信息保密领域，涉及基于射频识别技术和指纹识别技术的信息保密技术。

背景技术

RFID(即，Radio Frequency Identification)技术又称为射频识别技术，是从20世纪80年代走向成熟的一种自动的、身份定义识别技术，它利用空间耦合方式进行非接触式双向通信，进而通过数据交换实现相互身份认证和识别。由于电子标签可以做成全球ID号惟一，并且具有抗油污、水渍等优势。将其添加到任何物体上面(中)都可以用标签的ID号惟一识别物体身份，而且身份不易仿制，不易丢失。基于这一特性，将电子标签加贴到移动存储设备上，就给移动存储设备赋予了全球惟一的身份。进一步通过控制身份信息，就可以实现信息的访问权限控制，也就实现了信息的保密管理，这也正类似于指纹识别，一卡通等门禁系统。

指纹识别技术已经是一种非常成熟的生物特征识别技术，它利用人类指纹的低重复可能性，能够实现错误率低于1.1％的身份识别。目前，该技术已经广泛应用到了各种门禁、考勤等系统中。利用指纹识别原理实现的保密U盘，确实是可以实现U盘的专人专用，起到了U盘内信息保密的作用。但是，前提条件是首先得有指纹，然后才能谈指纹识别。人有指纹，但是U盘等移动存储设备没有指纹，对于没有指纹的物品如何识别呢？这就是要研究的问题。

发明内容

为了解决没有指纹的物品的识别问题，本发明目的是要使用无线射频识别技术，通过无线射频电子标签的ID号与移动存储设备的绑定实现移动存储设备的身份识别控制，为此，本发明提供一种基于射频识别的信息保密管理系统及其方法。

为了实现本发明的目的，本发明的第一方面，是提出一种基于射频识别的信息保密管理系统，包括：

保密计算机，存储需要保护的重要资料的计算机；

与保密计算机配合使用的移动存储设备，内置指纹识别模块，用于实现与计算机内部存储资料的交互，即从计算机拷贝资料到移动存储设备或者将移动存储设备内的资料拷贝到计算机，以及移动存储设备本身存储资料的保护；

与移动存储设备配合使用的电子标签，用于标识移动存储设备的身份，即使用电子标签身份(Identity，身份简称ID)全球唯一的特性来标识移动存储设备的身份；

与计算机内的管理模块连接的射频识别读写器，用于读取电子标签的ID号，也就是读取移动存储设备的唯一身份信息；

安装在保密计算机内的管理模块，用于管理移动存储设备的身份信息，并对USB接口的数据线路的通断进行控制；

保密计算机的USB接口，用于实现移动存储设备对保密计算机访问的隔离控制。

根据本发明的实施例，所述USB接口还包括：在USB接口本体的两边分布有电源线，在两根电源线之间有两根数据线，在每根数据线中分别连接有数据线开关，数据线开关与保密计算机的信号控制端连接，用于控制数据线的接通与断开。

根据本发明的实施例，所述射频识别读写器与保密计算机的融合采用串口通讯方式；或采用扩展卡插到保密计算机主板扩展槽中，用于与射频识别读写器通讯。

根据本发明的实施例，所述射频识别读写器的天线位于USB接口的周围，用于读取移动存储设备中的电子标签。

根据本发明的实施例，所述移动存储设备包括：携带电子标签和指纹识别的存储单元，所述电子标签采用有源标签，电子标签封装在移动存储设备体内；或电子标签固定在移动存储设备表面。

根据本发明的实施例，所述电子标签，在电子标签中设置专用通信加密模块，用于实现数字加密标准(DES)、数字加密标准改良(3DES)对称加密算法或者RSA非对称加密算法，用于与相应的射频识别读写器实现加密通信。

为了实现本发明的目的，本发明的第二方面，是提出一种基于射频识别的信息保密管理方法，步骤包括如下：

步骤1：将具有全球惟一ID身份的电子标签绑定到移动存储设备，用于指定移动存储设备身份；

步骤2：通过保密计算机管理模块控制所述移动存储设备的身份信息，来控制移动存储设备访问计算机内部存储资料的访问权限，用于实现对保密计算机内部存储资料保护；

步骤3：通过控制移动存储设备使用者的指纹特征信息，实现移动存储设备内部资料的保密。

根据本发明的实施例，所述步骤1还包括：

步骤11：对电子标签的ID号进行注册管理，维护一组许可访问保密计算机的电子标签的ID号；

步骤12：电子标签的ID号以数据库表或者以固定格式的其他文件格式存储，并对存储的内容加密；

步骤13：采用密码验证登陆管理账户，取得电子标签ID管理权限，从射频识别读写器获取预注册的电子标签的ID号；

步骤14：注册电子标签ID号的管理权限的取得至少通过两级密码验证；

步骤15：电子标签的ID号注册包括：

临时性注册是在移动存储设备所绑定电子标签只在本次接入USB接口时有效，下一次访问时仍然需要注册；或

永久性注册是一次注册移动存储设备所绑定电子标签的ID号以后，如果不注销该ID号，则，移动存储设备将永远被允许访问保密计算机资源；

步骤16：对电子标签的ID号注销和查询管理。

根据本发明的实施例，所述步骤2还包括：

步骤21：所述移动存储设备身份控制，是通过记录许可访问电子标签的ID号，实现记录移动存储设备访问保密计算机的每一次操作。

步骤22：所记录的移动存储设备访问保密计算机资源的历史记录采用加密存储，需要相应的权限查看，记录文件为只读属性，拒绝修改，替换和删除。

根据本发明的实施例，所述步骤3还包括：

步骤31：指纹识别软件驻留在移动存储设备内部，数据线接通时指纹识别模块自动运行；

步骤32：注册指纹记录保存在移动存储设备内特定的存储区域，与普通使用区隔离，自动运行的指纹识别软件操作该区域；

步骤33：注册至少一个用户方可允许使用移动存储设备。

为了实现本发明的目的，本发明的第三方面，是提出一种射频识别的信息保密管理方法，特征在于，包括步骤如下：

(1)、移动存储设备接到保密计算机的USB接口，所携带的电子标签通过USB电源供电；

(2)、电子标签发出激活信号通知射频读写器有电子标签出现；

(3)、射频读写器发出读取电子标签的ID读取请求；

(4)、电子标签应答ID给射频读写器；

(5)、射频读写器将ID传给管理模块；

(6)、管理模块收到ID后到ID记录中进行查询，如果ID已经注册过则转步骤(7)，否则转步骤(9)；

(7)、管理模块发出开通命令，USB接口控制电路接通，移动存储设备与保密计算机传输信息，同时记录访问移动存储设备的电子标签ID和开始访问时间；

(8)、移动存储设备的指纹识别模块运行，请求指纹识别验证，如果移动存储设备首次使用或者选择注册新的使用者操作选项则转步骤(11)，否则转步骤(10)；

(9)、在注册记录中找不到指定ID，则所获得的ID为非法ID，管理模块给出提示进入移动存储设备绑定电子标签ID的注册过程，如果注册成功则转步骤(7)；注册失败再次转到开始注册，或者放弃操作，转步骤(12)；

(10)、选择请求指纹识别验证，如果指纹识别验证通过，允许使用移动存储设备，对计算机和移动存储设备之间资源的移动或拷贝，操作完毕后，转步骤(12)；否则，如果验证失败次数不大于5，则转步骤(10)，或者放弃操作，若大于5，则转步骤(12)；

(11)、指纹识别模块请求指纹注册，注册成功后使用移动存储设备，转步骤(10)，或者选择放弃操作转步骤(12)；

(12)、移动存储设备使用完毕，管理模块断开USB接口数据线，并记录访问者的电子标签的ID、访问的文件名称和访问结束时间。

附图说明

图1是本发明基于射频识别的信息保密管理系统结构示意图

图2是现有技术USB接口结构示意图

图3是本发明改造后USB接口结构示意图

图4是本发明硬件表示的操作步骤的前7步操作示意图

图5是本发明保密过程的流程图。

具体实施方式

下面将结合附图对本发明加以详细说明，应指出的是，所描述的实施仅旨在便于对本发明的理解，而对其不起任何限定作用。

本发明保密方法是在保密计算机和移动存储设备没有被破坏性拆除的条件下，对保密计算机和重要移动存储设备内的信息进行保密的方法。

如图1，本发明基于射频识别的信息保密管理系统的结构示意图，包括：保密计算机1，移动存储设备2，电子标签3，射频识别读写器4保密计算机内管理模块5和USB接口6。

各组成部分的说明如下：

保密计算机1，存储需要保护的重要资料7的计算机。

移动存储设备2，内置指纹识别模块，用于实现与计算机内部存储资料7的交互，以及移动存储设备2本身存储资料7的保护，移动存储设备可以是U盘，移动硬盘等；

电子标签3，用于标识移动存储设备2的身份，即，使用电子标签3的ID号全球唯一的特性来标识移动存储设备2的身份，其原理类似于用身份证标识一个人，为每一位合法公民发放编码唯一的身份正后，只要公安机关知道一个身份证号码，就可以查出该身份证件的拥有者及其年龄、籍贯等信息，同理，将移动存储设备配给专人使用后，只要知道了访问保密计算机的移动存储设备身份，就可以找出是谁在什么时间用它访问了保密计算机，这是本发明的一个创新；

射频识别读写器4，用于读取电子标签3的ID号，也就是读取移动存储设备2的唯一身份信息；它可以通过串口方式，也可以通过计算机1主板扩展槽插卡的方式与计算机1连接通讯。特别说明的是射频识别读写器4不可以连接到USB接口6上，因为USB接口6已经经过改造，不可以直接使用。

计算机1内的管理模块5，根据本发明的应用思路而定制开发，用于管理移动存储设备2的身份信息，并对USB接口6数据线路的通断进行控制。如果检测到移动存储设备2身份是合法的，则会允许USB接口6数据线正常通信，否则，保持USB接口6数据线的断开状态，显然此时移动存储设备2不能在此计算机1上使用。

保密计算机的USB接口6改造，如图2和图3所示及相应的说明。

所列保密计算机1主要是指USB接口6经过改造，并且融合了射频识别读写器4的计算机。

USB接口6的改造方法：普通的USB接口6由四根线组成，其中分布在两边的为电源线，中间相对较短的两根为数据线，如附图2所示，是现有技术USB接口结构示意图所示，从图2中可以看出插槽线路直接连接到主板通信。

本发明将两根直接延伸到末端的数据线中间添加并排的数据线导通开关，在每一根数据线上加了第一开关8和第二开关9，如图3，本发明改造后USB接口结构示意图所示，从图3中可以看出插槽线路信号线在数据线第一开关8和第二开关9控制下连接到主板。第一开关8和第二开关9的导通与否由外加的信号控制10，即放行控制信号10，此处放行为允许USB接口6的数据线导通的含义。

射频识别读写器4与保密计算机1的融合方法：

(1)串口外接射频识别接读写器4；

(2)采用扩展卡直接插到主板扩展槽中。不论采用哪一种方法实现射频识别读写器4与保密计算机1的融合，都要求射频识别读写器4的天线在USB接口6的周围，能够准确无误地读取到移动存储设备2中安装的电子标签3。特别说明：本发明的保密方法实现中不支持使用USB接口6通信的射频识别读写器4，只允许使用串口或者无线通讯方式通讯的读写器。

所列移动存储设备2要求，本发明保密方法要求使用的移动存储设备2必须是携带电子标签3和配备指纹识别系统的存储单元。

所列与移动存储设备2配合使用的射频识别电子标签3的说明，此处使用的电子标签3是有源标签，要求在生产移动存储设备2时，如果是非金属外壳就把电子标签3封装到移动存储设备2体内，如果是金属外壳要求将有源电子标签固定在移动存储设备2的表面，并采用非金属材质实现标签与金属外壳的隔离。此处使用有源电子标签，推荐使用USB接口6的5V电源供电，当然，使用额外的纽扣电池等电源也可以。

所列RFID射频识别读写器4与电子标签3的配套要求。RFID读写器4与电子标签3的配套除了必须的基本功能外，要求电子标签3中设置专用的通信加密模块实现数字加密标准DES、数字加密标准改良3DES对称加密或者RSA非对称加密算法，相应的读写器也实现加密通信等功能。采用加密方案的目的是为了防止肆意对标签内容进行篡改或者恶意破坏RFID电子标签3的内容。

本发明的保密方法，一方面将具有全球惟一ID身份的电子标签绑定到移动存储设备内部，为移动存储设备指定一个身份，然后通过识别控制移动存储设备的身份信息来控制移动存储设备访问计算机内部存储资料的访问权限，并最终实现计算机内部存储资料的保护；另一方面，将具有高可靠性的指纹识别方法用于移动存储设备本身，通过控制移动存储设备使用者的特征信息实现移动存储设备内部资料的保密。基于这种保密方法，不但可以实现计算机内部资料不能被一般移动存储设备访问，还可以实现专用移动存储设备只能专人专用，而不能被任意的人员使用。

本发明公开的一种基于射频识别的信息保密管理方法，具体步骤如下：

步骤11：该步骤必须实现对电子标签ID号的注册管理功能，维护一组许可访问保密计算机的电子标签ID号；

步骤12：ID号以数据库表或者以固定格式的其他文件格式存储，还要求存储的内容必须加密；

步骤13：在注册ID号之前，首先要通过密码验证登陆管理员账户，取得管理员ID管理权限，从射频识别读写器获取预注册的电子标签的ID号；否则不能注册标签ID，要进行注册的ID号不支持手工输入，需要从射频识别读写器直接获取；

步骤14：注册ID号的管理员权限至少通过两级密码验证才能获得，这两级密码最好为不同的操作者分别各自拥有一级，相应的使用几级密码控制，最好有几个人分别各自拥有一级。这样做的目的是防止单人拥有密码后注册没有绑定在移动存储设备中的电子标签，而使该标签成为“万能”标签，“万能”标签可以欺骗保密系统使用普通的移动存储设备获取计算机资源。当然，也可以在各个级别的密码拥有者达成一致意见后注册“万能”标签，封存备用；

步骤15：电子标签ID号的注册类型分为两种：临时性注册和永久性注册。临时性注册只在移动存储设备本次接入USB口时生效，如果将移动存储设备取下后再次接入保密计算机的USB口则须重新注册，临时性注册ID号不会作为永久合法身份保存在数据文件中，但是，其访问记录仍然会保存。永久性注册是指一次注册移动设备的标签ID后，只要不删除注册信息，移动存储设备就被允许访问计算机资源；

步骤16：该软件还必须实现对电子标签ID号的注销(即，删除)，查询管理功能；

步骤21：该软件必须通过记录电子标签的ID号实现记录移动存储设备访问保密计算机的每一次操作。

步骤22：该软件所记录的移动存储设备访问计算机资源的历史记录采用加密存储，需要相应的权限才可以查看，记录文件为只读属性，拒绝修改，替换和删除。

该软件具有控制USB连线的控制模块，实现USB数据线的通断控制。

步骤31：指纹识别软件完全驻留在移动存储设备内部，数据线接通时指纹识别模块自动运行，并入计算机内存。

步骤32：指纹历史保存在特定的存储区域，与普通使用区隔离存储，不对存储设备使用者开放，用计算机资源管理器或者访问程序是看不到的，只有自动运行的指纹识别软件可以操作该区域。

步骤33：该软件不允许空注册使用移动存储设备，即，必须注册至少一个用户方可允许使用移动存储设备，这比现有的不用指纹注册就可以当普通移动存储设备使用的做法要求更严格。

如图4，本发明硬件表示的操作步骤的前7步操作示意图和

如图5，本发明基于射频识别技术的信息保密管理方法保密过程的流程图所示：

在计算机内管理模块已经运行的前提下，基于射频识别技术的信息保密管理方法，其实施的具体步骤如下：

(1)、移动存储设备接到保密计算机的USB接口上，所携带的电子标签通过USB电源线供电，使电子标签正常工作；

(3)、射频读写器发出读取电子标签ID的读取请求；

(4)、电子标签应答ID给射频读写器；

(5)、射频读写器将ID传给管理模块；

(7)、管理模块发出开通命令，使USB数据线控制电路接通，实现移动存储设备与保密计算机的正常信息传输，同时记录访问移动存储设备的电子标签ID和开始访问时间；

(8)、移动存储设备的指纹识别软件运行，请求指纹识别验证，如果移动存储设备首次使用或者选择注册新的使用者操作选项则转步骤(11)，否则转步骤(10)；

(9)、在注册记录中找不到指定ID，则所获得的ID为非法ID，管理模块将会给出提示进入移动存储设备绑定电子标签ID的注册过程，如果注册成功则转步骤(7)；注册失败再次转到开始注册，或者放弃操作，转步骤(12)；

(10)、选择请求指纹识别验证，如果指纹识别验证通过，移动存储设备可以使用，然后，就可以实现计算机和移动存储设备之间资源的移动或拷贝，操作完毕后，转步骤(12)；否则，如果验证失败次数不大于5，则转步骤(10)，或者放弃操作，若大于10，则转步骤(12)；

(11)、指纹识别软件请求指纹注册，注册成功后即可像普通移动存储设备那样使用，转步骤(10)，或者选择放弃操作转步骤(12)；

(12)、移动存储设备使用完毕，从USB口取下时，管理模块即随时断开USB数据线，并记录访问者的电子标签ID，访问的文件名称和访问结束时间。

关于以上保密原理及实施方案：

1、如果使用普通的移动存储设备访问保密计算机资源，则由于其没有携带电子标签，不能被射频识别读写器感应到，也就不能被射频识别读写器识别，USB数据线也就不会接通，则对于保密计算机来说等于USB接口什么都没有接入。

2、如果要将保密移动存储设备内部的资料拷贝到普通的计算机上，那么需要首先通过指纹识别系统的验证，否则将不能访问移动存储设备内的资源信息。

上面的保密管理方法，通过保密计算机对访问者(移动存储设备)身份的控制，实现了对访问者的权限控制和访问历史的记录，再加上移动存储设备专人配备的使用策略，就可以通过保密计算机的被访问历史记录追查到是什么人在什么时间通过移动存储设备与保密计算机交互了什么文件；另一方面，移动存储设备本身内置的指纹识别系统，能够保护其内部资料不被别人查看或拷贝。所以，该保密方法可有效实现保密计算机和移动存储设备内的信息保密。

本发明通过控制移动存储设备访问计算机内部存储资料的访问权限，实现计算机内部存储资料的保护；通过控制移动存储设备自身的使用权限，进而实现移动存储设备内部资料的保密。基于这种保密方法不但可以实现保密计算机内部资料不能被一般移动存储设备访问，还可以实现专用移动存储设备不能被任意的人员使用。

上面描述是用于实现本发明的实施过程，本领域的技术人员应该理解，在不脱离本发明的范围的任何修改或局部替换，均属于本发明权利要求来限定的范围。

Claims

1.基于射频识别的信息保密管理系统，包括：

保密计算机，存储需要保护的重要资料的计算机；

与移动存储设备配合使用的电子标签，用于标识移动存储设备的身份，即使用电子标签身份全球唯一的特性来标识移动存储设备的身份；

2.根据权利要求1中所述信息保密管理系统，其特征在于：

所述USB接口还包括：在USB接口本体的两边分布有电源线，在两根电源线之间有两根数据线，在每根数据线中分别连接有数据线开关，数据线开关与保密计算机的信号控制端连接，用于控制数据线的接通与断开。

3.根据权利要求1中所述信息保密管理系统，其特征在于：

所述射频识别读写器与保密计算机的融合采用串口通讯方式；或采用扩展卡插到保密计算机主板扩展槽中，用于与射频识别读写器通讯。

4.根据权利要求1中所述信息保密管理系统，其特征在于：

所述射频识别读写器的天线位于USB接口的周围，用于读取移动存储设备中的电子标签。

5.根据权利要求中所述信息保密管理系统，其特征在于：

所述移动存储设备包括：携带电子标签和指纹识别的存储单元，所述电子标签采用有源标签，电子标签封装在移动存储设备体内；或电子标签固定在移动存储设备表面。

6.权利要求1中所述信息保密管理系统，其特征在于，

所述电子标签，在电子标签中设置专用通信加密模块，用于实现数字加密标准、数字加密标准改良对称加密算法或者RSA非对称加密算法，用于与相应的射频识别读写器实现加密通信。

7.一种基于射频识别的信息保密管理方法，其特征在于，步骤包括如下：

8.根据权利要求7所述的信息保密管理方法，其特征在于，所述步骤1还包括：

步骤15：电子标签的ID号注册包括：

步骤16：对电子标签的ID号注销和查询管理。

9.根据权利要求7和8所述的信息保密管理方法，其特征在于：所述步骤2还包括：

10.根据权利要求7所述的信息保密管理方法，其特征在于，所述步骤3还包括：

步骤33：注册至少一个用户方可允许使用移动存储设备。

11.一种射频识别的信息保密管理方法，特征在于，包括步骤如下：

(1)、移动存储设备接到保密计算机的USB接口上后，所携带的电子标签通过USB电源线供电，使电子标签能够正常工作；

(3)、射频读写器发出读取电子标签的ID读取请求；

(4)、电子标签应答ID给射频读写器；

(5)、射频读写器将ID传给管理模块；

(7)、管理模块发出开通命令，使USB接口数据线控制电路接通，实现移动存储设备与保密计算机的正常信息传输，同时记录访问移动存储设备的电子标签ID和开始访问时间；

(10)、选择请求指纹识别验证，如果指纹识别验证通过，允许使用移动存储设备，然后，对计算机和移动存储设备之间资源的移动或拷贝，操作完毕后，转步骤(12)；否则，如果验证失败次数不大于5，则转步骤(10)，或者放弃操作，若大于5，则转步骤(12)；

(12)、移动存储设备使用完毕，从USB接口取下时，管理模块即随时断开USB接口数据线，并记录访问者的电子标签的ID，访问的文件名称和访问结束时间。