專利名稱:無線上網(wǎng)智能終端及其數(shù)據(jù)處理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信及信息安全領(lǐng)域,具體是應(yīng)用在網(wǎng)絡(luò)通信平臺的終端設(shè)備及 數(shù)據(jù)加密與認(rèn)證方法,用于網(wǎng)上銀行登錄平臺,以提高終端設(shè)備的安全等級。
背景技術(shù):
隨著我國信息化進(jìn)程的不斷推進(jìn),各商業(yè)銀行已普遍建立了自己的計算機(jī)通 訊網(wǎng)絡(luò),銀行業(yè)正在進(jìn)入一個以依靠信息技術(shù)改造業(yè)務(wù)流程、提高業(yè)務(wù)經(jīng)營和管 理的科技含量為主要特征的快速發(fā)展階段。人們越來越多地在網(wǎng)上完成各種金融 活動和交易。目前個人計算機(jī)、手機(jī)等便攜式智能終端設(shè)備所用的安全措施是固 定密鑰的加密方式,即在一次會話過程中一般采用同一個密鑰對數(shù)據(jù)加密。而在 便攜式設(shè)備中,因受限于設(shè)備性能、功耗,密鑰長度短,可靠性偏低。由于專用 密碼芯片實現(xiàn)的密碼算法是確定的且不可更改,存在著靈活性差或性能不夠高的 缺陷,難以滿足用戶多層次的安全性需求,對登錄平臺造成潛在的威脅,即網(wǎng)絡(luò) 攻擊者通過大量搜集通信數(shù)據(jù)進(jìn)行密鑰分析可以得到通信內(nèi)容的全部或部分明 文信息;同時采用固定密鑰加密方式難以避免黑客的重放攻擊等。
市場上現(xiàn)有的上網(wǎng)終端有個人計算、手機(jī)和PDA等。其中個人計算機(jī)體積 龐大,不便于攜帶;手機(jī)、PDA等便攜式上網(wǎng)設(shè)備靠軟件防火墻實現(xiàn)對數(shù)據(jù)的 偵聽與過濾,而對于能夠繞過防火墻的數(shù)據(jù)包或是黑客攻擊無能為力。由于手機(jī)、 PDA采用軟件加密的方式,軟件加密方式完全依賴CPU,占用大量CPU資源, 而便攜式設(shè)備的功率較低,CPU的處理能力很有限,因此在數(shù)據(jù)量大的情況下 造成設(shè)備性能下降。目前性能較好的數(shù)據(jù)加密算法有DES, RSA等,其安全性 能取決于密鑰的長度較長的密鑰能夠提高密文破解的難度。而長度大于128 的密鑰需要很大的運算量,便攜式、低功耗的便攜式上網(wǎng)終端很難完成RSA加 密/解密算法的實時運算;
FPGA由大規(guī)模的時序邏輯門電路組成,運算速度快,尤其適合大規(guī)模的并 行計算,比如較長密鑰的數(shù)據(jù)加密解密運算;同時FPGA具有可重構(gòu)性,可以根 據(jù)需要進(jìn)行部分或全部的重構(gòu),從而更新其功能,因此在數(shù)據(jù)加密時可以只加載 部分密鑰集合,每一輪運算后可以重新加載新的密鑰集合;
4目前交通銀行、招商銀行等金融機(jī)構(gòu)推出了結(jié)合手機(jī)驗證碼的身份認(rèn)證方式,盡快這種方法簡單、有效,但結(jié)合手機(jī)驗證碼的身份認(rèn)證方式依賴手機(jī)和移動通信網(wǎng)絡(luò),而手機(jī)短信仍然存在被竊取的風(fēng)險。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服上述已有技術(shù)的缺點,提出一種體積小、便于攜帶的無線上網(wǎng)智能終端及其數(shù)據(jù)處理方法,以滿足用戶多層次的安全性需求,避免黑客的重放攻擊。
為實現(xiàn)上述目的,本發(fā)明提供的無線上網(wǎng)智能終端包括嵌入式ARM開發(fā)平臺、無線通信模塊和指紋識別模塊,其特征在于在嵌入式ARM開發(fā)平臺與無線通信模塊之間連接有FPGA硬件加密/解密電路,該FPGA硬件加密/解密電路包括
數(shù)據(jù)緩存模塊,用于收集并緩存數(shù)據(jù)總線上的數(shù)據(jù)和緩存系統(tǒng)總線上的控制信息,當(dāng)數(shù)據(jù)緩存到目標(biāo)長度后將緩存數(shù)據(jù)送入數(shù)據(jù)加密解密模塊,將數(shù)據(jù)加密解密模塊送來的數(shù)據(jù)寫入到數(shù)據(jù)總線上;
數(shù)據(jù)加密/解密模塊,負(fù)責(zé)將數(shù)據(jù)緩存模塊送來的明文信息加密后送至TCP/IP模塊和接收TCP/IP模塊發(fā)來的密文信息,解密后送入數(shù)據(jù)緩存模塊;
TCP/IP模塊,用于將數(shù)據(jù)加密/解密模塊送來的待發(fā)送信息比特流封裝成IP數(shù)據(jù)包后送入無線通信模塊,控制碼流產(chǎn)生速率和接收來自無線通信模塊的IP數(shù)據(jù)包,完成去包頭操作后送入數(shù)據(jù)加密解密模塊。
所述的嵌入式ARM開發(fā)平臺中的Flash存儲器中固化有密鑰集合fc},(1^^65536),該密鑰集中的密鑰長度為48比特,密鑰集合不同密鑰的漢明距離大于16。
為實現(xiàn)上述目的,本發(fā)明提供的無線上網(wǎng)數(shù)據(jù)處理方法,包括A.用戶端數(shù)據(jù)發(fā)送步驟
(Al)產(chǎn)生一組隨機(jī)數(shù),調(diào)用Flash中儲存的部分密鑰集對FPGA加密/解密模塊進(jìn)行選擇性重構(gòu),并將重構(gòu)信息用臨時會話密鑰傳送至收端服務(wù)器;
(A2)利用臨時會話密鑰將指紋特征值信息傳至收端服務(wù)器;
(A3)將數(shù)據(jù)總線上的藪據(jù)存入數(shù)據(jù)緩存模塊,當(dāng)數(shù)據(jù)緩存模塊中的數(shù)據(jù)存滿后,送入數(shù)據(jù)加密/解密模塊;
(A4)用偽隨機(jī)序列作為指針調(diào)用密鑰集fcl對IP數(shù)據(jù)包進(jìn)行加密;(A5)根據(jù)用戶輸入的指紋信息計算出指紋特征值,利用預(yù)先設(shè)定的指紋特征值函數(shù)/O,計算出第一個IP數(shù)據(jù)包對應(yīng)的密鑰《,(.),生成第一個64位明文分組信息在密鑰作用下的密文<^ = E&(.) (wj;
(A6)記第n個IP數(shù)據(jù)包m" 4m",m …m"J的加密密鑰為& "《J,
記臨時變量《-(W"7 、),《-k附n/v'氣),將《與 ;按位取異或
運算,分別得到第n+l個加密密鑰的序號尺:0 ;和第n+l個加密密鑰《+i =&>7;;
(A7)如果服務(wù)器接收某數(shù)據(jù)包失敗,返回步驟(A3)重新發(fā)送該數(shù)據(jù)包;B.服務(wù)器數(shù)據(jù)接收步驟
(Bl)服務(wù)器利用臨時會話密鑰解密得到FPGA選擇性重構(gòu)的密鑰集fcj和
指紋特征值,并計算出/o)函數(shù)值,在密鑰集合k.l中找到初始密鑰
(B2)利用步驟(Bl)所得到的第i個數(shù)據(jù)包及《+,,計算第i+l個數(shù)據(jù)包所對
應(yīng)的明文w+i-《L(q+丄
'c.服務(wù)器數(shù)據(jù)發(fā)送步驟
(Cl)收端服務(wù)器利用臨時會話密鑰解密得到FPGA選擇性重構(gòu)的密鑰集
fc]和指紋特征值,并計算出/o函數(shù)值,在密鑰集合fci中找到初始密鑰
=(W 生成第一個64位明文分組信息在密鑰《,(.)作用下的密文
(C2)記第n個IP數(shù)據(jù)包^ 二(w^w^ "鄰 6」的加密密鑰為
《4W'10,記臨時變量《4"AA…、6), K-("VW.氣),將
iC與?;按位取異或運算,分別得到第n+l個加密密鑰的序號i^0 ;和第n+l個加密密鑰^^=^^,第n個64位明文分組信息在密鑰i^(.,作用下的密
文C" '
D.用戶端數(shù)據(jù)接收步驟 (Dl)用戶端利用步驟(A4)的密鑰集fc^和指紋特征值,計算出/0函數(shù)值,在密鑰集合k.}中找到初始密鑰《/w =( \…、h
(D2)利用步驟(Dl)所得到的第i個數(shù)據(jù)包及《+,,計算第i+l個數(shù)據(jù)包所對應(yīng)的密鑰《+1=《《^;
(D3)利用步驟(D2)中得到的第n個數(shù)據(jù)包的加密密鑰,得到明文本發(fā)明具有如下優(yōu)點
本發(fā)明由于使用FPGA硬件加密/解密電路,不僅能夠減輕嵌入式ARM開發(fā)平臺的CPU運算量,提高用戶終端的運算速度,而且能夠避免黑客通過密鑰分析得到密鑰或是任何明文信息,有效地避免黑客的重放攻擊。
本發(fā)明由于對FPGA進(jìn)行選擇性重構(gòu),有利于節(jié)省FPGA系統(tǒng)的資源。本發(fā)明由于采用指紋識別的身份認(rèn)證方式相對于傳統(tǒng)的"口令+密碼"等保護(hù)措施,具有明顯的優(yōu)越性,用戶不必輸入密碼,更加人性化,避免了用戶密碼丟失帶來的麻煩;同時由于人們的指紋具有唯一性和不變性,不易仿造和篡改,因此采用指紋識別的身份認(rèn)證方式有利于提高系統(tǒng)的安全性。
圖1是本發(fā)明無線上網(wǎng)智能終端的結(jié)構(gòu)框圖2是本發(fā)明智能終端的FPGA硬件加密/解密電路結(jié)構(gòu)框圖3是本發(fā)明的數(shù)據(jù)處理主流程圖4是本發(fā)明的用戶端發(fā)送數(shù)據(jù)服務(wù)器接收數(shù)據(jù)的子流程圖;圖5是本發(fā)明的服務(wù)器發(fā)送數(shù)據(jù)用戶端接收數(shù)據(jù)的子流程圖;圖6是圖4中分組隨機(jī)密鑰加密的子流程圖。
具體實施例方式
參照圖l,本發(fā)明的無線上網(wǎng)智能終端包括嵌入式ARM開發(fā)平臺、指紋識別模塊、液晶觸摸屏、FPGA硬件加密/解密電路和無線通信模塊,指紋識別模塊通過串口與嵌入式ARM開發(fā)平臺雙向連接,液晶觸摸屏通過VGA接口與嵌入式ARM開發(fā)平臺連接,F(xiàn)PGA硬件加密/解密電路通過計算機(jī)總線與嵌入式ARM開發(fā)平臺連接,無線難信模塊與FPGA硬件加密/解密電路的I/O接口直接相連。
所述的嵌入式ARM開發(fā)平臺的CPU采用三星公司的S3C2410,主頻可達(dá)203MHz,CPU連接Embedded-ICE,即20腳標(biāo)準(zhǔn)JTAG接口和并口式JTAG接口,支持ADS, SDT軟件的下載和調(diào)試以及FLASH的燒寫;嵌入式ARM開發(fā)平臺的總線上外掛64M字節(jié)的SDRAM,由兩片K4S561632組成,工作在32位模式下;總線上外掛256M字節(jié)NAND Flash,用于存儲系統(tǒng)信息和密鑰集。該嵌入式ARM開發(fā)平臺的作用是接收并處理來自指紋模塊的身份認(rèn)證信息,發(fā)送和接收用戶帳戶信息,為用戶提供操作界面。在嵌入式ARM開發(fā)平臺上運行的操作系統(tǒng)是WindowsCE,用于管理該無線上網(wǎng)智能終端。該ARM開發(fā)平臺中的Flash存儲器中固化有密鑰集合fc}, (12/S65536),該密鑰集中的密鑰長度為48比特,密鑰集合不同密鑰的漢明距離大于16。
所述的指紋識別模塊,具有兩個基本處理功能,第一功能是指紋特征的采集過程,此過程建立指紋庫,在實現(xiàn)上是用戶注冊的過程;第二功能是對某一個指紋進(jìn)行隨機(jī)識別的過程,即利用采集到的指紋來確認(rèn)用戶身份。在第一個功能中,將取得的指紋圖像進(jìn)行預(yù)處理,并將提取到的特征存入數(shù)據(jù)庫。在第二個功能中,將隨機(jī)讀取的指紋經(jīng)過第一過程處理,將提取到的特征與數(shù)據(jù)庫中已有的特征進(jìn)行比對,用比對的結(jié)果確認(rèn)用戶的身份。在所述的兩個功能中,圖像處理的目的是對指紋特征進(jìn)行更為準(zhǔn)確的提取,數(shù)據(jù)庫中保存的是經(jīng)圖像處理程序處理所得到的特征數(shù)據(jù),并非指紋圖像本身。由指紋圖像得到特征數(shù)據(jù)的過程是一個單向轉(zhuǎn)換過程,換言之,可以由指紋圖像得到特征數(shù)據(jù),但不能由后者還原出前者。該指紋識別模塊主要由一片DSP芯片負(fù)責(zé)處理FFT算法, 一片MSP430控制整個系統(tǒng)的信號, 一片F(xiàn)lash存儲芯片負(fù)責(zé)存儲特征信息,主要技術(shù)指標(biāo)是-
采集頭分辨率500DPI;比對時間<1秒;認(rèn)假率0.0001%;拒真率0.01%。
所述的FPGA硬件加密/解密電路,采用一片Xilinx Spartan XC3S200芯片和外圍電路組成,如圖3所示,它包括 '
數(shù)據(jù)緩存模塊,用于收集并緩存數(shù)據(jù)總線上的數(shù)據(jù)和緩存系統(tǒng)總線上的控制信息,當(dāng)數(shù)據(jù)緩存到目標(biāo)長度后將緩存數(shù)據(jù)送入數(shù)據(jù)加密解密模塊,將數(shù)據(jù)加密解密模塊送來的數(shù)據(jù)寫入到數(shù)據(jù)總線上;
數(shù)據(jù)加密/解密模塊,負(fù)責(zé)將數(shù)據(jù)緩存模塊送來的明文信息加密后送至TCP/IP模塊和接收TCP/IP模塊發(fā)來的密文信息,解密后送入數(shù)據(jù)緩存模塊;
TCP/IP模塊,用于將數(shù)據(jù)加密/解密模塊送來的待發(fā)送信息比特流封裝成IP數(shù)據(jù)包后送入天線模塊,控制碼流產(chǎn)生速率和接收來自天線模塊的IP數(shù)據(jù)包,完成去包頭操作后送入數(shù)據(jù)加密/解密模塊。
三個模塊間的信號傳輸關(guān)系如圖2所示,由于數(shù)據(jù)接收過程的信號流向和數(shù)據(jù)發(fā)送過程完全相反,因此圖2給出了數(shù)據(jù)發(fā)送過程的各信號流向;Clkin是送入FPGA的時鐘信號,Dataln是送入FPGA的數(shù)據(jù),Clkin和Dataln直接送入數(shù)據(jù)緩存模塊,DataA(63:0)是將Dataln緩存后產(chǎn)生的位寬位64位的數(shù)據(jù)信號,Clk是輸入時鐘信號Clkin, Clkout是將Clkin信號64分頻后產(chǎn)生的時鐘信號,F(xiàn)ULL
8是緩存滿信號,Clear是清空緩存信號,DataB(63:0)是DataA(63:0)經(jīng)過加密得到的密文信號,位寬64位,Keynum(15:0)是密鑰編號信號,位寬16位,Dataout是IP數(shù)據(jù)包發(fā)送信號。
整個FPGA硬件加密/解密電路的工作原理是
數(shù)據(jù)總線上的數(shù)據(jù)寫入數(shù)據(jù)緩存模塊,當(dāng)數(shù)據(jù)緩存模塊緩存的數(shù)據(jù)滿64比特后,將數(shù)據(jù)滿信號FULL置高;數(shù)據(jù)加密/解密模塊收到信號滿信號FULL置高后,讀取數(shù)據(jù)緩存模塊的64比特數(shù)據(jù),采用偽隨機(jī)序列控制選取密鑰對該64比特數(shù)據(jù)進(jìn)行加密操作,同時向數(shù)據(jù)緩存模塊發(fā)送清空信號Clear;數(shù)據(jù)加密/解密模塊將加密數(shù)據(jù)和密鑰序號送入TCP/IP模塊,TCP/IP模塊按著TCP/IP協(xié)議加入64比特包頭信息,生成IP數(shù)據(jù)包;FPGA硬件加密/解密電路將生成的IP數(shù)據(jù)包送入無線通信模塊發(fā)射;數(shù)據(jù)緩存模塊收到清空信號Clear后清空緩存,準(zhǔn)備接收新的數(shù)據(jù)。所述的采用偽隨機(jī)序列控制選取密鑰加密的實現(xiàn)方式如圖3所示,根據(jù)FPGA的可重構(gòu)特性,每次重構(gòu)產(chǎn)生若干個密鑰加密/解密層,每一個密鑰加密/解密層能完成相應(yīng)密鑰的加密/解密過程,由一組偽隨機(jī)序列控制待加密/解密數(shù)據(jù)的具體流向,到某一密鑰加密/解密層完成加密/解密過程。
本發(fā)明無線上網(wǎng)的數(shù)據(jù)處理包括用戶端數(shù)據(jù)發(fā)送服務(wù)器數(shù)據(jù)接收步驟和服務(wù)器數(shù)據(jù)發(fā)送用戶端數(shù)據(jù)接收步驟,具體描述如下-
一、用戶端發(fā)送數(shù)據(jù)、服務(wù)器接收數(shù)據(jù)
參照圖4和圖5,用戶端發(fā)送數(shù)據(jù),服務(wù)器接收數(shù)據(jù)的步驟如下-步驟一,用戶首先在服務(wù)器端注冊帳戶,輸入自己的指紋,同時獲得帳戶ID地址;
步驟二,用戶在無線上網(wǎng)終端登陸服務(wù)器帳戶時,點擊"登錄帳戶"按鈕,液晶顯示屏提示用戶輸入帳戶ID地址和將手指放入指紋儀,同時,嵌入式ARM開發(fā)平臺的CPU向指紋識別模塊發(fā)送聯(lián)機(jī)工作模式啟動命令;
步驟三,指紋識別模塊發(fā)出提示音,并且紅燈閃爍,提示用戶將手指放好;步驟四,用戶將手指放好后,若指紋識別模塊的綠燈亮,表明指紋識別模塊成功提取用戶的指紋,并將指紋的特征值發(fā)送到嵌入式ARM開發(fā)平臺的SDRAM臨時存儲,若指紋識別模塊的紅燈亮,表明指紋讀取失敗,提示用戶再次放入手指;
步驟五,若用戶帳戶打開成功,CPU發(fā)送控制命令使指紋識別模塊停止工作,'并產(chǎn)生一組隨機(jī)數(shù),調(diào)用存儲芯片F(xiàn)lash中儲存的部分密鑰集對FPGA加密/解密
模塊進(jìn)行選擇性重構(gòu),并將重構(gòu)信息用臨時會話密鑰傳送至收端服務(wù)器; 步驟六,利用臨時會話密鑰將指紋特征值信息傳至收端服務(wù)器; 步驟七,將數(shù)據(jù)總線上的數(shù)據(jù)存入數(shù)據(jù)緩存模塊,當(dāng)數(shù)據(jù)緩存模塊中的數(shù)據(jù)
存滿后,送入數(shù)據(jù)加密/解密模塊;
步驟八,用偽隨機(jī)序列作為指針調(diào)用密鑰集fcl對IP數(shù)據(jù)包進(jìn)行加密; 步驟九,根據(jù)用戶輸入的指紋信息計算出指紋特征值,利用預(yù)先設(shè)定的指紋
特征值函數(shù)/O,計算出第一個IP數(shù)據(jù)包對應(yīng)的密鑰K,(.),生成第一個64位明
文分組信息在密鑰作用下的密文q =(M);
步驟十,記第n個IP數(shù)據(jù)包氣-(m m"…mn」的加密密鑰為
《-fe入…、),記臨時變量《=(、、、 、), ?;—^^vv" 卜將
《:與r"按位取異或運算,分別得到第n+i個加密密鑰的序號iCe ;和第n+i 個加密密鑰《+1=i^>7;;
步驟十一,如果服務(wù)器接收某數(shù)據(jù)包失敗,返回步驟八重新發(fā)送該數(shù)據(jù)包; 步驟十二,服務(wù)器收到用戶帳戶信息的密文,解密后得到用戶帳戶ID地址 和指紋特征值;
步驟十三,服務(wù)器查詢是否存在該用戶帳戶ID地址,若不存在,發(fā)送"用 戶不存在"信息至無線上網(wǎng)終端,若存在,則比對指紋特征值是否和事先注冊的 指紋一致;若比對一致,則將該用戶帳戶激活,若比對不一致,則發(fā)送"帳戶打 開失敗"信息至無線上網(wǎng)終端;
步驟十四,若用戶帳戶打開成功,服務(wù)器利用臨時會話密鑰解密得到FPGA 選擇性重構(gòu)的密鑰集^,j和指紋特征值、并計算出/( )函數(shù)值,在密鑰集合kl中
找到初始密鑰=(W. .O;
步驟十五,服務(wù)器利用步驟十所得到的第i個數(shù)據(jù)包及《+1 ,計算第i+l個
數(shù)據(jù)包所對應(yīng)的明文附,+1 =^^fc+1)。
二、用戶端發(fā)送數(shù)據(jù)、服務(wù)器接收數(shù)據(jù)
參照圖4和圖6,用戶端發(fā)送數(shù)據(jù)、服務(wù)器接收數(shù)據(jù)的步驟如下 步驟l,若用戶帳戶打開失敗,則以明文方式向無線上網(wǎng)智能終端發(fā)送"帳 戶打開失敗"信息;
步驟2,若帳戶打開成功,收端服務(wù)器利用臨時會話密鑰解密得到FPGA選擇性重構(gòu)的密鑰集kJ和指紋特征值,并計算出/0)函數(shù)值,在密鑰集合^,j中
找到初始密鑰《/(.) 生成第一個64位明文分組信息在密鑰i^(.)作
用下的密文G =、()");
步驟3,記第n個IP數(shù)據(jù)包^-(m。,m …m"」的加密密鑰為
K""、、…、j,記臨時變量《=(、、、一、),《=(% VV"0,將 iC與K按位取異或運算,分別得到第n+l個加密密鑰的序號AT:07;和第n+l 個加密密鑰《 +1=&>7;,第n個64位明文分組信息在密鑰i^(.)作用下的密
步驟4,用戶端利用步驟八的密鑰集k]和指紋特征值,計算出/(.)函數(shù)值,. 在密鑰集合k1中找到初始密鑰《/(.) =(W…、);
步驟5,用戶端利用步驟4所得到的第i個數(shù)據(jù)包及《+1,計算第i+l個數(shù)
據(jù)包所對應(yīng)的密鑰《 +1 =i^>7;;
步驟6,用戶端利用步驟5中得到的第n個數(shù)據(jù)包的加密密鑰,得到明文
步驟7,若處于打開狀態(tài)的用戶帳戶在5分鐘內(nèi)沒有任何操作,服務(wù)器則認(rèn) 為用戶離開,為了保證用戶帳戶安全,用戶帳戶自動關(guān)閉,服務(wù)器向無線上網(wǎng)智 能終端發(fā)送信息提示用戶帳戶已關(guān)閉。
權(quán)利要求
1.一種無線上網(wǎng)的智能終端,包括嵌入式ARM開發(fā)平臺、無線通信模塊和指紋識別模塊,其特征在于在嵌入式ARM開發(fā)平臺與無線通信模塊之間連接有FPGA硬件加密/解密電路,該FPGA硬件加密/解密電路包括數(shù)據(jù)緩存模塊,用于收集并緩存數(shù)據(jù)總線上的數(shù)據(jù)和緩存系統(tǒng)總線上的控制信息,當(dāng)數(shù)據(jù)緩存到目標(biāo)長度后將緩存數(shù)據(jù)送入數(shù)據(jù)加密/解密模塊,將數(shù)據(jù)加密/解密模塊送來的數(shù)據(jù)寫入到數(shù)據(jù)總線上;數(shù)據(jù)加密/解密模塊,負(fù)責(zé)將數(shù)據(jù)緩存模塊送來的明文信息加密后送至TCP/IP模塊和接收TCP/IP模塊發(fā)來的密文信息,解密后送入數(shù)據(jù)緩存模塊;TCP/IP模塊,用于將數(shù)據(jù)加密/解密模塊送來的待發(fā)送信息比特流封裝成IP數(shù)據(jù)包后送入無線通信模塊,控制碼流產(chǎn)生速率和接收來自無線通信模塊的IP數(shù)據(jù)包,完成去包頭操作后送入數(shù)據(jù)加密/解密模塊。
2. 根據(jù)權(quán)利要求1所述的智能終端,其特征在于嵌入式ARM開發(fā)平臺中的Flash 存儲器中固化有密鑰集合fc}, (1《Z《65536),該密鑰集中的密鑰長度為48比特, 密鑰集合不同密鑰的漢明距離大于16。
3. —種無線上網(wǎng)的數(shù)據(jù)處理方法,包括 A.用戶端數(shù)據(jù)發(fā)送步驟(Al)產(chǎn)生一組隨機(jī)數(shù),調(diào)用Flash中儲存的部分密鑰集對FPGA加密/解密模塊進(jìn) 行選擇性重構(gòu),并將重構(gòu)信息用臨時會話密鑰傳送至收端服務(wù)器; (A2)利用臨時會話密鑰將指紋特征值信息傳至收端服務(wù)器;(A3)將數(shù)據(jù)總線上的數(shù)據(jù)存入數(shù)據(jù)緩存模塊,當(dāng)數(shù)據(jù)緩存模塊中的數(shù)據(jù)存滿后, 送入數(shù)據(jù)加密/解密模塊;(A4)用偽隨機(jī)序列作為指針調(diào)用密鑰集^j對IP數(shù)據(jù)包進(jìn)行加密;(A5)根據(jù)用戶輸入的指紋信息計算出指紋特征值,利用預(yù)先設(shè)定的指紋特征值函 數(shù)/(0,計算出第一個IP數(shù)據(jù)包對應(yīng)的密鑰ii:,(.),生成第一個64位明文分組信息 在密鑰作用下的密文C, = ) (mj);(A6)記第n個IP數(shù)據(jù)包附 = (mnim 2 .m )的加密密鑰為f = (、、 . .、8 ),記臨時變量《=( 人...、),疋—mn, mn9…m」,將《與r"按位取異或運算,分別得到第n+l個加密密鑰的序號《@7;和第n+l個加密密鑰(A7)如果服務(wù)器接收某數(shù)據(jù)包失敗,返回步驟(3)重新發(fā)送該數(shù)據(jù)包;B. 服務(wù)器數(shù)據(jù)接收步驟(Bl)服務(wù)器利用臨時會話密鑰解密得到FPGA選擇性重構(gòu)的密鑰集fcj和指紋特征值,并計算出/o函數(shù)值,在密鑰集合fc]中找到初始密鑰&(.)"w…、》(B2)利用步驟(Bl)所得到的第i個數(shù)據(jù)包及《+,,計算第i+l個數(shù)據(jù)包所對應(yīng)C. 服務(wù)器數(shù)據(jù)發(fā)送步驟(Cl)收端服務(wù)器利用臨時會話密鑰解密得到FPGA選擇性重構(gòu)的密鑰集k]和 指紋特征值,并計算出/(0函數(shù)值,在密鑰集合fc}中找到初始密鑰 《/(.)=(W...、8),生成第一個64位明文分組信息在密鑰《/(.)作用下的密文c'= (.)(^1);(C2)記第n個IP數(shù)據(jù)包m - (m ,"、 .' )的加密密鑰為《=(、、. '、8),記臨時變量《=(、、、 、), …"v),將《與 ;按位取異或運算,分別得到第n+l個加密密鑰的序號《 7;和第n+l個加密密鑰-^^^ , 第n個64位明文分組信息在密鑰作用下的密文C,, = £~(>(m,,);D. 用戶端數(shù)據(jù)接收步驟(Dl)用戶端利用步驟(A4)的密鑰集&)和指紋特征值,計算出/0)函數(shù)值,在密鑰集合{ }中找到初始密鑰^^ = (W…、s);(D2)利用步驟(Dl)所得到的第i個數(shù)據(jù)包及《w,計算第i+l個數(shù)據(jù)包所對應(yīng) 的密鑰《+1=&>7;;(D3)利用步驟(D2)中得到的第n個數(shù)據(jù)包的加密密鑰,得到明文附,.-五;:(C,.)。
4.根據(jù)權(quán)利要求3所述的數(shù)據(jù)處理方法,其中步驟(A1)所述的調(diào)用Flash中儲存 的部分密鑰集對FPGA加密/解密模塊進(jìn)行選擇性重構(gòu),是由智能終端在接收到服務(wù) 器用戶帳戶激活信號后向FPGA發(fā)送重新加載信號RELOAD, FPGA接收到ARM 微處理器發(fā)送的重新加載信號后從Flash中下載新的密鑰子集合完成對FPGA 的密鑰集的選擇性重構(gòu),該^^是由偽隨機(jī)序列作為指針從密鑰集合kj中選取的 子集合。
全文摘要
本發(fā)明公開了一種無線上網(wǎng)智能終端及其數(shù)據(jù)處理方法,主要解決現(xiàn)有便攜式無線上網(wǎng)終端安全性低的問題。該無線上網(wǎng)智能終端由嵌入式平臺、指紋識別模塊、FPGA硬件加密/解密電路和無線通信模塊構(gòu)成,用戶使用前首先完成注冊,然后在該無線上網(wǎng)智能終端輸入指紋,進(jìn)入帳戶;在通信過程中所有信息都必須通過FPGA硬件加密/解密電路,完成待發(fā)送信息的加密和接收信息的解密,該加密/解密采用由上一個密鑰和上一組數(shù)據(jù)共同決定的動態(tài)密鑰,以避免重放攻擊和黑客通過碼流分析獲得密鑰或通信內(nèi)容。本發(fā)明具有體積小、安全性高的優(yōu)點,可用于登錄網(wǎng)上銀行和帳戶管理。
文檔編號H04W12/00GK101646167SQ200910023790
公開日2010年2月10日 申請日期2009年9月4日 優(yōu)先權(quán)日2009年9月4日
發(fā)明者原志強(qiáng), 呂靖原, 吳成柯, 凡 張, 李云松, 王柯儼 申請人:西安電子科技大學(xué)