《虎符科技网络安全通信服务三种解决方案课件》由会员分享,可在线阅读,更多相关《虎符科技网络安全通信服务三种解决方案课件(33页珍藏版)》请在金锄头文库上搜索。
1、安全蓝牙耳机项目,安全蓝牙耳机项目,安全网络通信项目,目录,网络安全通信核心技术简介 网络通信行业的现状与挑战 安全通信平台系统功能与核心竞争力 系统配置和性能指标 成功案例,核心技术简介,虎符科技提供的是我国自主创新的信息安全技术,是超大规模自证 安全系统,在跨域认证和海量标识认证服务上具有不可替代性,是下一 代互联网的安全支撑技术。可广泛应用于移动互联网、云计算、RFID、 物联网、数字版权保护等领域,尤其在金融云服务行业,可提高10倍以 上效率,而成本仅有现有认证系统的十分之一。 目前广泛困扰大家的钓鱼网站、骚扰电话、垃圾邮件就是由于缺乏 自证功能,由于系统底层的认证缺失,导致接入互联网
2、的系统无法有效 解决身份伪造和溯源难题。目前沿用国外的认证系统均是第三方他证封 闭系统,认证规模小,且每建一个都是一个孤岛,无法实现跨域认证。,4,网络通信行业现状与挑战,3,由于缺乏核心产业和重大准备的支持,目前信息安全和网络安全行业基本处于被动挨打局面。现有的“老三样”,防火墙、杀病毒和入侵检测系统都是基于特征的,只有危害发生后才能以打补丁的形式进行“亡羊补牢”的后置防护更新,防护永远落后于攻击。包括核心处理器、操作系统都有后门和漏洞。从近年病毒泛滥成灾,黑客频频“刷库”,到美国政府“棱镜”(PRISM)监听事件沸沸扬扬,充分反映各国关键行业、经济及政要的联网信息都“赤裸裸”暴露在监听和攻
3、击之下。目前的信息安全防护技术和策略已经严重力不从心,必须有革命性的新技术和应用系统进行替代。 网络安全的核心问题是网络身份识别,网上伪装或隐身的异己分子不能被识别并拒之门外以及溯源是网络攻击屡屡得逞的根本原因。 标识认证基于我国自主组合公钥技术,建立了网络身份认证实际应用体系。能够为全世界所有网络节点与终端的人与物设置能够自证的电子身份标识,每一标识可带有多重后缀以表示其自然属性、社会属性及时空属性,以此映射成不可复制、伪造、篡改与抵赖的公私密钥对,在网络联系中自证其唯一性与真实性,确保网络的安全性。这是世界网络安全技术领域的重大突破,也是目前唯一能抵抗量子攻击的安全系统,同时能够主动参与安
4、全防护,不受第三方认证机构的目录缺陷影响。,安全通信服务平台核心竞争力,组合公钥实名认证,标识不需在线发布和检索 认证过程无需第三方 支持任意发行方交叉认证,跨域认证,超大规模,标识即代表公钥 简化身份识别流程 各节点自主直接认证,无欺诈,可信标识数量和认证规模达到 10的77次方,远超过IPV6的10的32次方,为每个沙子分配一个IP地址的规模。,标识认证,项目建设目标与实施步骤,8,项目目标是建设成为提供移动用户全方位安全通信保障的服务平台。能够适应各种终端和用户,实现灵活、便捷和高安全的通信保障。 一、通过服务中心实现基于电话链路加扰的安全通信服务,特点是任意智能手机,通过安装软件与服务
5、中心转接,即能实现通话中随机噪声加扰与接收方自动遮蔽,服务中心能够控制连接权限,还能为不具备安全通话的用户提供自动转接加密,保障具备安全通话功能的手机始终处于保护之中。 二、通过数据通道实现高安全的全数据加密与信令隐藏,特点是高安全级别的通信保障,通过数据通道和服务中心进行数字签名验证与转接,信令隐藏保障通话数据以普通网络浏览数据呈现,不被过滤和察觉。 三、通过升级硬件实现完美的电话与数据安全通信,特点是同时具备电话链路加密的易用,网络通话的高安全,并能实现各种安全扩展服务。,7,基于目前限定的条件,实现最大程度的安全加密是本平台的特点。(常规情况在无损的网络或数据通道才能实现完整数据加密。在
6、没有定制硬件服务,在语音有损传输通道上直接实现加密是做不到的,这里使用了特殊的加扰模式) 1、保障通话环境安全,保障系统安全,防止后台不良程序窃听; 2、加密接收方号码,通过400总机解密转换,防止窃取对话方信息;通话双方也可采用自定义号码,由中心安全转接 3、语音加扰,混入随机噪声,通过总机按设置条件进行转接控制,双方安全通话。 4、兼容普通电话,通过总机解密也能转接到普通电话,从发起方到总机这一段线路是保障安全的。 5、普通电话转安全通话,通过总机加密转接到安全电话,从接收方到总机这一段是保障安全的。,一、基于电话链路加扰的安全通信服务平台,8,安全手机发起方,安全手机接收方,服务中心,发
7、起方通过软件或键盘拨出 前缀400XXX号码+接收方号码 (接收方可以自定义号码) 应用按设置条件进行随机加扰 服务中心接收到号码后 翻译成真实号码,根据 设置条件安全转接 接收方收到前缀400XXX 号码,由应用按照设置条 件进行解扰,一、基于电话链路加扰的安全通信服务平台,二、基于网络的安全通信服务平台总体结构示意图,可信移动通信安全性-系统安全,密钥中心:生成服务器端用组合公钥认证模块及终端用组合公钥 SAM卡 服务器端:各种业务的服务支撑,组合公钥加密及认证,系统管理 移动终端:支持苹果IOS系统、安卓系统和塞班S60以上系统的机型。 无线网络:提供通信链路的公众或专用无线网络,可以跨
8、网络互通,可信移动VoIP通信-安全策略,CPK网关建立基于CPK认证体系,实现海量(1048,快速(ms级),高效,跨域认证。可以实现跨域复杂授权,支持多种应用,部署简单。 CPK 后台服务器基于用户的提供的ID (CPK 证书),对用户进行认证,授权,计帐。 挂失处理:CPKID 可以绑定用户手机唯一串号,手机卡遗失后,挂失即可废除CPK ID,废除后的CPK ID无法接入SIP服务器与其他手机进行可信语音。 防黑客攻击:客户端软件绑定特定ID的手机串号进行数字签名,客户端软件和手机相互认证,只有数字签名通过的软件才能调用程序,有效防止木马,伪造等黑客攻击。,可信移动通信-可信通信过程,通
9、信过程 1.基于CPK的安全VoIP的在SIP代理和用户之间,用户和用户之间通过CPK私钥进行签名,实现实体之间的认证 2.然后进行密钥交换传输,为即将进行的会话进行准备 3.最后在用户之间进行点对点的加密语音数据传送,实现安全的VoIP通讯。 保密智能手机完成语音采集、编码、压缩、加密,以加密IP方式传送 CPK体系提供用户认证,签名协议,密钥传输协议和数据加密过程。,可信移动通信系统安全性-防窃听攻击,采用端到端语音VOIP加密,通信链路上所有数据均加密传输 通信密钥采用CPK密钥交换协议,基于ECC算法及真随机数发生器生成。实现一次一密,一机一密,也可以根据要求定时协商更换密钥。 通信语
10、音内容IP数据加密算法可以选用公开算法或者不公开算法,目前支持自主SSF33算法,同时也支持国际标准的AES(256bit),3DES等,也可以使用户指定专用加密算法。 CPK体系提供认证及密钥管理机制,具体加密算法用户可以根据安全等级要求自行指定。 选定认证体系和加密算法后的终端作为定型安全产品需要进行相关产品资质鉴定。,可信移动通信系统-网络支持,可信移动通信系统-与现有加密手机对比,关键技术及产品,8,为保障安全手机和普通手机在外网应用时通话的安全性,通过在基带芯片DSP植入动态加密库,或采用集成了标识认证安全芯片的专用安全蓝牙耳机,直接加密用户语音并针对移动通讯网络优化并进行冗余处理,
11、保障加密的语音在失真环境下传输仍然能够保障有效的识别。 普通手机或蓝牙耳机在通话中是没有加密措施的,只要对方使用手机或者任意蓝牙耳机接听电话,都可以听到通话内容。 为了把通话内容限制在特定的手机或蓝牙耳机间才能正常传输,而对方如果使用普通手机接听或者使用不同类型的蓝牙耳机接听都不能听到正常的语音,我们需要用高强度的数据防护加固系统对基带语音处理或安全蓝牙耳机进行语音加密。,三、基于硬件的安全通信服务平台,16,安全手机发起方,安全手机接收方,服务中心,发起方通过软件或键盘拨出 前缀400XXX号码+接收方号码 (接收方可以自定义号码) 发现前缀400XXX号码,与基带 配合的加密芯片激活加密通
12、话 服务中心接收到号码后 翻译成真实号码,根据 设置条件安全转接 接收方收到前缀400XXX 号码,与基带配合的加密 芯片激活加密通话,产品实现方案,8,由于这种设计需要增加对语音数据的编程处理,因此我们需要采用可编程的基带芯片或蓝牙芯片平台。同时因为语音数据的处理需要高速而连续的进行,采用DSP来实现,我们在蓝牙芯片平台上集成了安全DSP模块。内置64MIPS 处理器和16位立体声编解码器,最大支持32M外置Flash存储器,以及48K字节内置RAM。 采用高通整合了基带芯片的主芯片组,包括8936,8939,8974,8994系列的手机方案都可以。 其它带有动态DSP的基带芯片也可以评估。
13、 使用的通讯制式以及频段没有特别要求,可以最大限度的兼容使用者现有的手机以及网络系统。,产品实现方案,8,通话双方的安全手机经过客户自定义设置初始连接密码和连接过程中的动态交换密码,能够严格的限制通话的范围。必须是同样连接密码并相互握手通讯后的安全手机,才能建立起有效的动态加密通话,通话双方才能听到对方正确的通话语音。如果一方使用安全手机通话,而另一方直接使用普通手机或者不合乎要求的蓝牙耳机来接听,那么另一方只能听到无序的杂音,而不能正确的听到正常的语音。 系统使用抗LPE-RTP压缩复合变换,一个安全通话的系统构成如下图所示:,抗LPE-RTP安全通话系统,加密采用随机协商式:就是每次加密通
14、话前,通话双方事先商定密钥,然后在安全蓝牙耳机与手机配对时输入密钥,通话中的加密密钥就采用输入的连接密钥和动态交换密钥来进行。,产品结构框图,系统实现模块功能,安全手机或安全蓝牙耳机上为了实现系统的加密功能,软件实现分为5个模块: 1、在XAP处理器和VM虚拟机上 加解密DSP程序插件:这个插件用来将VM虚拟机程序和DSP程序进行关联,使得工作中的语音数据流向可以重定向到加解密程序。 2、在DSP处理器上 主控加解密程序:主要完成语音数据的加解密工作。 动态密钥交换与抗量子随机缺失模块:主要用于完美解决传输层安全。 参数管理模块:主要完成密钥等参数的读写和管理。 消息管理模块:主要完成消息的接
15、收和发送。 当输入的声音经过CODEC编码后,明文在消息包中传递,由于我们在虚拟机中的插件应用将消息流重定向到了DSP处理程序,因此明文消息会传递给我们的加密主控程序模块。在我们的主控程序模块中,经过加密后的数据会传送给射频模块,经过编码成加扰格式而后从天线发送出去。 另一方面,当天线收到对方发送的数据后,加密芯片先将获取的密文数据重定向到我们的DSP主控程序。主控程序经过解密后的明文数据,发送给CODEC,经过解码后通过安全手机或蓝牙耳机的SPK播放出来。,公司技术及产品,6,技术创新性 规模化标识认证,超亿亿级,达10的77次方; 抗量子攻击,可达世界最高安全强度; 建设及维护成本是现有认
16、证系统的十分之一; 兼容性强,可以与现有系统兼容。 可扩展性强,实现跨域认证。,公司技术及产品,7,与现有PKI技术比较,公司技术及产品,8,技术成熟性与成功案例 国家密码局将CPK算法列为商密算法,国家五部委列为高技术产业化重 点支持领域; 基于CPK技术的手机与电脑安全系统已在国家重要安全部门广泛使用; 基于CPK技术的手机银行系统已在中国金融电子化公司的托管平台上通 过测试;,五部委高技术重点领域指南,9,主要资质证书,27,公司主要资质证书,28,我们的客户,手机网络安全通信加密系统销售 该领域目前无竞争对手 主要项目列表,1、产品销售:安全通信系统及虎符令牌在国安系统销售,得到用户一致好评。 用户使用报告:,公司业绩,2、项目合作: (1)与中国金融电子化公司合作的金融云平台项
