CN108011890A - 一种移动电子设备信息安全保护系统 - Google Patents

Abstract

一种移动电子设备信息安全保护系统，属于数据安全技术领域。本发明的目的是通过生物特征数据以及特定的加密算法的设计实现的移动电子设备信息安全保护系统。本发明的步骤是：人机操作模块，安全储存空间，移动电子设备安全监测模块，操作信息录制模块，应急通道模块，还原模块，数据隔离上传模块，中央处理器等。本发明通过生物特征数据以及特定的加密算法的设计，实现了移动电子设备信息的加密储存，通过移动电子设备监测模块的设计实现了移动电子设备安全情况的实时监测，同时实现了用户操作信息的自动获取和评估，进一步保证了信息的安全性。

Description

一种移动电子设备信息安全保护系统

技术领域

本发明属于数据安全技术领域。

背景技术

随着信息技术的发展，越来越多的企事业单位采用电子技术来处理日常事务，越来越多的文件以电子文档方式的存在。采用电子文档方式存储数据具有效率高、成本低、转移方便等优点。但同时，使用电子文档方式储存数据增大了信息被滥用的风险，例如员工跳槽、商业间谍等。

面对此类风险，企事业单位可以在内网内通过技术或制度手段来管理台式机器，比如封闭USB 端口、内外网隔离、使用加密软件强制加密等。由于笔记本携带方便、移动办公方便的特点，决定了其在公司内部存在的必要性，但这也给内网管理带来了极为不便的方面：如果采用类似台式电脑的管理方法，此时不存在信息流失的风险，但极大地限制了笔记本电脑的使用功能，扼杀了笔记本电脑存在的必要性；如果针对笔记本电脑采用安装加密软件来进行强制加密，员工只能用来处理公司事务，那么笔记本的娱乐功能就丧失了而且员工不能用来处理私人事务；如果对笔记本电脑安装加密软件并进行强制加密，如果用户在外使用时间超过其预设时间，那么用户不能够正常使用加密文件，此时也不能够正常获得新的授权( 必须通过第三方工具等) ；如果采用只在公司内部加密而携带出去不加密( 通过在内网环境中与管理中心的认证来实现)，此时又不方面员工使用加密文件，不便于员工在公司外面进行加班或操作。

因此，如何保证移动电子设备信息的安全性成为了一个亟待解决的问题。

发明内容

本发明的目的是通过生物特征数据以及特定的加密算法的设计实现的移动电子设备信息安全保护系统。

本发明的步骤是：

人机操作模块，用于用户的注册，并输入用于验证其身份的生物特征数据；还用于输入数据以及数据的控制、调用命令；

安全储存空间，用于进行数据的存储，并通过生物特征数据以及特定的加密算法控制所述安全储存空间的访问权限；内设加密模块，用于数据的加密，还设有一解密模块，用于根据人机操作模块输入的密文进行相应的数据的解密，并将解密后的数据发送到显示屏进行显示；

移动电子设备安全监测模块，以静态jar包的形式部署于移动电子设备上，用于进行移动电子设备安全的监测，并输出对应的监测结果和防御决策；

操作信息录制模块，用于通过脚本录制方式录制用户的操作信息，实时监控当前用户的操作状态，并将操作信息发送到移动电子设备安全监测模块完成数据的监测；

应急通道模块，用于提示被攻陷移动电子设备的用户，将工作环境迁至应急通道继续工作，不必中断工作处理安全问题；

还原模块，用于通过短信息编辑模块发送给用户的指定移动电子设备，从而提示用户存在安全隐患并给出精确的还原时间建议，并根据用户选择将移动电子设备恢复至入侵之前的安全状态；

数据隔离上传模块，用于根据移动电子设备安全监测模块得出的评估结果进行启闭，用于将数据进行打包上传，并清除安全储存空间中的数据；

中央处理器，用于根据人机操作模块输入的生物特征数据完成用户身份的识别，并根据识别结果进行安全储存空间内数据权限的开闭；权限开放后方可进行密文的输入；用于接收人机操作模块输入的数据，并按照预设的加密算法进行加密后完成数据的储存；用于接收人机操作模块输入的控制命令，并安装预设的算法将这些控制命令发送到对应的模块。

本发明的步骤是

异常行为评估模块，用于接收操作信息录制模块发送的操作信息，并将其与异常行为数据库内的行为数据进行相似度对比，并将对比结果通过短信编辑模块发送到指定的移动终端进行显示；

定时巡检模块，用于定时审计并监测进入网内流量，提出异常流量处理建议，并对其进行引导重定向至病毒隔离模块，同时根据实时监测到的数据进行网络健康状况的评判，并将评判结果发送到移动电子设备显示屏和网络异常评估模块；

病毒隔离模块，用于利用模拟服务与产生异常流量的移动电子设备通信，提取攻击指纹特征，充实病毒特征库；

病毒特征匹配模块，用于计算被监控移动电子设备通信数据包的病毒特征指纹，与病毒特征库内的病毒特征比对，并将对比结果发送到移动电子设备显示屏进行显示；

流量统计模块，利用原始数据包报文头部信息进行流量统计，以移动电子设备对外的每一个连接为单位进行流量统计，通过提取通信双方IP和端口号特征信息参与哈希函数运算，用步长倍增的算法解决哈希冲突，并用包头中的报文长度字段值更新所属连接的累计流量；

网络异常评估模块，用于通过建立的多态响应网络异常评估模型进行网络异常情况的评估，并将评估结果发送到防御决策生成模块、数据隔离上传模块；

防御决策生成模块，用于接收网络异常评估模块所发送的评估数据，并选取网络攻击发生时具有特征的参数与防御决策信息数据库内的数据进行相似度对比后，输出相应的防御决策至移动电子设备显示屏；

防御决策执行模块，用于根据人机操作模块输入的控制命令进行相应的防御决策的执行。

本发明所述加密算法通过以下步骤进行加密：

S1、从存储的多个非二进制的源操作数中，每个源操作数依次选取一位数字，采用随机运算指令对所选取的数字进行当前位运算，直到所述多个源操作数的数字分别都被选取完，得到目的操作数；

S2、使用密钥中的提取运算规则从输入的每个生物特征选取出一个特定明文段，将所得的特定明文段分别与所得目的操作数随机选取加密算法进行加密运算，得到特定密文段；

S3、以特定密文段作为特定密钥，提取一个特定随机数，使用特定随机数运算生成一个冗余段，然后将特定密文段、剩余的明文段和冗余段随机选取加密算法进行加密运算，得到最终密文。

本发明所述生物特征数据采用掌静脉数据。

本发明所述掌静脉数据通过红外掌静脉扫描识别装置进行扫描后成像输入。

本发明所述安全储存空间内设置有多个基本存储单元。

本发明所述病毒隔离模块包括

虚拟应答模块，通过给出虚拟应答并提供相应的虚拟服务，使敌手继续攻击以获得攻击流量；

模拟服务模块，通过执行模拟服务脚本，与流量被重定向至免疫隔离单元的主机进行交互，模拟正常服务的交互过程，使威胁主机继续攻击；

攻击备案模块，记录安全隔离模块与具有威胁主机之间的通信信息并写入数据库，所述通信信息包括通信时间、通信双方的IP 和端口信息及攻击者操作系统指纹信息；

数据挖掘模块，若认定到达免疫隔离单元的流量是危险流量时，系统智能提取攻击指纹特征并将所述特征存入免疫特征库。

本发明所述数据隔离上传模块在应急通道模块内将数据打包上传至预设的邮箱地址，邮箱地址不可变更。

本发明所述安全储存空间与人机操作模块之间设置有相互独立的双通道连接模块，在任意一个通道进行通讯时，另一个备用通道进行密钥更新。

本发明通过生物特征数据以及特定的加密算法的设计，实现了移动电子设备信息的加密储存，通过移动电子设备监测模块的设计实现了移动电子设备安全情况的实时监测，同时实现了用户操作信息的自动获取和评估，进一步保证了信息的安全性；通过应急安全通道和数据隔离上传模块的设计，避免了工作的中断，同时进一步提高了数据的安全性；移动电子设备监测模块以静态jar包的形式部署于监测对象上，从而能够实现了对测试服务器资源的零消耗，提高了资源监测结果的准确性。

附图说明

图1是本发明系统机构图。

具体实施方式

以下本发明结合实施例对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示，本发明实施例提供了一种移动电子设备信息安全保护系统,包括

人机操作模块，用于用户的注册，并输入用于验证其身份的生物特征数据；还用于输入数据以及数据的控制、调用命令；

安全储存空间，用于进行数据的存储，并通过生物特征数据以及特定的加密算法控制所述安全储存空间的访问权限；所述安全储存空间内设置有多个基本存储单元；所述安全储存空间与人机操作模块之间设置有相互独立的双通道连接模块，在任意一个通道进行通讯时，另一个备用通道进行密钥更新；安全储存空间内设加密模块，用于数据的加密，还设有一解密模块用于根据人机操作模块输入的密文进行相应的数据的解密，并将解密后的数据发送到显示屏进行显示；

移动电子设备安全监测模块，以静态jar包的形式部署于移动电子设备上，用于进行移动电子设备安全的监测，并输出对应的监测结果和防御决策；具体的，包括

异常行为评估模块，用于接收操作信息录制模块发送的操作信息，并将其与异常行为数据库内的行为数据进行相似度对比，并将对比结果通过短信编辑模块发送到指定的移动终端进行显示；

定时巡检模块，用于定时审计并监测进入网内流量，提出异常流量处理建议，并对其进行引导重定向至病毒隔离模块，同时根据实时监测到的数据进行网络健康状况的评判，并将评判结果发送到移动电子设备显示屏和网络异常评估模块；

病毒隔离模块，用于利用模拟服务与产生异常流量的移动电子设备通信，提取攻击指纹特征，充实病毒特征库；

病毒特征匹配模块，用于计算被监控移动电子设备通信数据包的病毒特征指纹，与病毒特征库内的病毒特征比对，并将对比结果发送到移动电子设备显示屏进行显示；

流量统计模块，利用原始数据包报文头部信息进行流量统计，以移动电子设备对外的每一个连接为单位进行流量统计，通过提取通信双方IP和端口号特征信息参与哈希函数运算，用步长倍增的算法解决哈希冲突，并用包头中的报文长度字段值更新所属连接的累计流量；

网络异常评估模块，用于通过建立的多态响应网络异常评估模型进行网络异常情况的评估，并将评估结果发送到防御决策生成模块、数据隔离上传模块；

防御决策生成模块，用于接收网络异常评估模块所发送的评估数据，并选取网络攻击发生时具有特征的参数与防御决策信息数据库内的数据进行相似度对比后，输出相应的防御决策至移动电子设备显示屏；

防御决策执行模块，用于根据人机操作模块输入的控制命令进行相应的防御决策的执行。

操作信息录制模块，用于通过脚本录制方式录制用户的操作信息，实时监控当前用户的操作状态，并将操作信息发送到移动电子设备安全监测模块完成数据的监测；

应急通道模块，用于提示被攻陷移动电子设备的用户，将工作环境迁至应急通道继续工作，不必中断工作处理安全问题；

还原模块，用于通过短信息编辑模块发送给用户的指定移动电子设备，从而提示用户存在安全隐患并给出精确的还原时间建议，并根据用户选择将移动电子设备恢复至入侵之前的安全状态；

数据隔离上传模块，用于根据移动电子设备安全监测模块得出的评估结果进行启闭，用于将数据进行打包上传，并清除安全储存空间中的数据；所述数据隔离上传模块在应急通道模块内将数据打包上传至预设的邮箱地址，邮箱地址不可变更。

中央处理器，用于根据人机操作模块输入的生物特征数据完成用户身份的识别，并根据识别结果进行安全储存空间内数据权限的开闭；权限开放后方可进行密文的输入；用于接收人机操作模块输入的数据，并按照预设的加密算法进行加密后完成数据的储存；用于接收人机操作模块输入的控制命令，并安装预设的算法将这些控制命令发送到对应的模块；具体的，所述加密算法通过以下步骤进行加密：

S1、从存储的多个非二进制的源操作数中，每个源操作数依次选取一位数字，采用随机运算指令对所选取的数字进行当前位运算，直到所述多个源操作数的数字分别都被选取完，得到目的操作数；

S2、使用密钥中的提取运算规则从输入的每个生物特征选取出一个特定明文段，将所得的特定明文段分别与所得目的操作数随机选取加密算法进行加密运算，得到特定密文段；

S3、以特定密文段作为特定密钥，提取一个特定随机数，使用特定随机数运算生成一个冗余段，然后将特定密文段、剩余的明文段和冗余段随机选取加密算法进行加密运算，得到最终密文，最终密文通过无线发送的模式发送到对应的注册邮箱，邮箱地址不可修改；

所述生物特征数据采用掌静脉数据。所述掌静脉数据通过红外掌静脉扫描识别装置进行扫描后成像输入。手掌作为活生命体的一部分时，手掌静脉中的血红蛋白能被装置发射的近红外光吸收，采集成像；如果人体失去生命或手掌从人体被分割出来，手掌便成为非活体，不能被装置采集成像，则无法进行身份识别。

所述病毒隔离模块包括

虚拟应答模块，通过给出虚拟应答并提供相应的虚拟服务，使敌手继续攻击以获得攻击流量；

模拟服务模块，通过执行模拟服务脚本，与流量被重定向至免疫隔离单元的主机进行交互，模拟正常服务的交互过程，使威胁主机继续攻击；

攻击备案模块，记录安全隔离模块与具有威胁主机之间的通信信息并写入数据库，所述通信信息包括通信时间、通信双方的IP 和端口信息及攻击者操作系统指纹信息；

数据挖掘模块，若认定到达免疫隔离单元的流量是危险流量时，系统智能提取攻击指纹特征并将所述特征存入免疫特征库。

Claims (9)

1.一种移动电子设备信息安全保护系统，其特征在于：

人机操作模块，用于用户的注册，并输入用于验证其身份的生物特征数据；还用于输入数据以及数据的控制、调用命令；

安全储存空间，用于进行数据的存储，并通过生物特征数据以及特定的加密算法控制所述安全储存空间的访问权限；内设加密模块，用于数据的加密，还设有一解密模块，用于根据人机操作模块输入的密文进行相应的数据的解密，并将解密后的数据发送到显示屏进行显示；

移动电子设备安全监测模块，以静态jar包的形式部署于移动电子设备上，用于进行移动电子设备安全的监测，并输出对应的监测结果和防御决策；

操作信息录制模块，用于通过脚本录制方式录制用户的操作信息，实时监控当前用户的操作状态，并将操作信息发送到移动电子设备安全监测模块完成数据的监测；

应急通道模块，用于提示被攻陷移动电子设备的用户，将工作环境迁至应急通道继续工作，不必中断工作处理安全问题；

还原模块，用于通过短信息编辑模块发送给用户的指定移动电子设备，从而提示用户存在安全隐患并给出精确的还原时间建议，并根据用户选择将移动电子设备恢复至入侵之前的安全状态；

数据隔离上传模块，用于根据移动电子设备安全监测模块得出的评估结果进行启闭，用于将数据进行打包上传，并清除安全储存空间中的数据；

中央处理器，用于根据人机操作模块输入的生物特征数据完成用户身份的识别，并根据识别结果进行安全储存空间内数据权限的开闭；权限开放后方可进行密文的输入；用于接收人机操作模块输入的数据，并按照预设的加密算法进行加密后完成数据的储存；用于接收人机操作模块输入的控制命令，并安装预设的算法将这些控制命令发送到对应的模块。

2.根据权利要求1所述的移动电子设备信息安全保护系统,其特征在于：

异常行为评估模块，用于接收操作信息录制模块发送的操作信息，并将其与异常行为数据库内的行为数据进行相似度对比，并将对比结果通过短信编辑模块发送到指定的移动终端进行显示；

定时巡检模块，用于定时审计并监测进入网内流量，提出异常流量处理建议，并对其进行引导重定向至病毒隔离模块，同时根据实时监测到的数据进行网络健康状况的评判，并将评判结果发送到移动电子设备显示屏和网络异常评估模块；

病毒隔离模块，用于利用模拟服务与产生异常流量的移动电子设备通信，提取攻击指纹特征，充实病毒特征库；

病毒特征匹配模块，用于计算被监控移动电子设备通信数据包的病毒特征指纹，与病毒特征库内的病毒特征比对，并将对比结果发送到移动电子设备显示屏进行显示；

流量统计模块，利用原始数据包报文头部信息进行流量统计，以移动电子设备对外的每一个连接为单位进行流量统计，通过提取通信双方IP和端口号特征信息参与哈希函数运算，用步长倍增的算法解决哈希冲突，并用包头中的报文长度字段值更新所属连接的累计流量；

网络异常评估模块，用于通过建立的多态响应网络异常评估模型进行网络异常情况的评估，并将评估结果发送到防御决策生成模块、数据隔离上传模块；

防御决策生成模块，用于接收网络异常评估模块所发送的评估数据，并选取网络攻击发生时具有特征的参数与防御决策信息数据库内的数据进行相似度对比后，输出相应的防御决策至移动电子设备显示屏；

防御决策执行模块，用于根据人机操作模块输入的控制命令进行相应的防御决策的执行。

3.根据权利要求1所述的移动电子设备信息安全保护系统,其特征在于：

所述加密算法通过以下步骤进行加密：

S1、从存储的多个非二进制的源操作数中，每个源操作数依次选取一位数字，采用随机运算指令对所选取的数字进行当前位运算，直到所述多个源操作数的数字分别都被选取完，得到目的操作数；

S2、使用密钥中的提取运算规则从输入的每个生物特征选取出一个特定明文段，将所得的特定明文段分别与所得目的操作数随机选取加密算法进行加密运算，得到特定密文段；

S3、以特定密文段作为特定密钥，提取一个特定随机数，使用特定随机数运算生成一个冗余段，然后将特定密文段、剩余的明文段和冗余段随机选取加密算法进行加密运算，得到最终密文。

4.根据权利要求1所述的移动电子设备信息安全保护系统,其特征在于：所述生物特征数据采用掌静脉数据。

5.根据权利要求4所述的移动电子设备信息安全保护系统,其特征在于：所述掌静脉数据通过红外掌静脉扫描识别装置进行扫描后成像输入。

6.根据权利要求1所述的移动电子设备信息安全保护系统,其特征在于：所述安全储存空间内设置有多个基本存储单元。

7.根据权利要求2所述的移动电子设备信息安全保护系统,其特征在于：所述病毒隔离模块包括

虚拟应答模块，通过给出虚拟应答并提供相应的虚拟服务，使敌手继续攻击以获得攻击流量；

模拟服务模块，通过执行模拟服务脚本，与流量被重定向至免疫隔离单元的主机进行交互，模拟正常服务的交互过程，使威胁主机继续攻击；

攻击备案模块，记录安全隔离模块与具有威胁主机之间的通信信息并写入数据库，所述通信信息包括通信时间、通信双方的IP 和端口信息及攻击者操作系统指纹信息；

数据挖掘模块，若认定到达免疫隔离单元的流量是危险流量时，系统智能提取攻击指纹特征并将所述特征存入免疫特征库。

8.根据权利要求1所述的移动电子设备信息安全保护系统,其特征在于：所述数据隔离上传模块在应急通道模块内将数据打包上传至预设的邮箱地址，邮箱地址不可变更。

9.根据权利要求1所述的移动电子设备信息安全保护系统,其特征在于：所述安全储存空间与人机操作模块之间设置有相互独立的双通道连接模块，在任意一个通道进行通讯时，另一个备用通道进行密钥更新。