虎符科技網(wǎng)絡(luò)安全通信服務(wù)三種解決方案

安全藍(lán)牙耳機(jī)項(xiàng)目安全藍(lán)牙耳機(jī)項(xiàng)目安全網(wǎng)絡(luò)通信項(xiàng)目

目錄網(wǎng)絡(luò)安全通信核心技術(shù)簡介網(wǎng)絡(luò)通信行業(yè)的現(xiàn)狀與挑戰(zhàn)安全通信平臺(tái)系統(tǒng)功能與核心競爭力系統(tǒng)配置和性能指標(biāo)成功案例核心技術(shù)簡介

虎符科技提供的是我國自主創(chuàng)新的信息安全技術(shù)，是超大規(guī)模自證安全系統(tǒng)，在跨域認(rèn)證和海量標(biāo)識(shí)認(rèn)證服務(wù)上具有不可替代性，是下一代互聯(lián)網(wǎng)的安全支撐技術(shù)?？蓮V泛應(yīng)用于移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、RFID、物聯(lián)網(wǎng)、數(shù)字版權(quán)保護(hù)等領(lǐng)域，尤其在金融云服務(wù)行業(yè)，可提高10倍以上效率，而成本僅有現(xiàn)有認(rèn)證系統(tǒng)的十分之一。

目前廣泛困擾大家的釣魚網(wǎng)站、騷擾電話、垃圾郵件就是由于缺乏自證功能，由于系統(tǒng)底層的認(rèn)證缺失，導(dǎo)致接入互聯(lián)網(wǎng)的系統(tǒng)無法有效解決身份偽造和溯源難題。目前沿用國外的認(rèn)證系統(tǒng)均是第三方他證封閉系統(tǒng)，認(rèn)證規(guī)模小，且每建一個(gè)都是一個(gè)孤島，無法實(shí)現(xiàn)跨域認(rèn)證。4網(wǎng)絡(luò)通信行業(yè)現(xiàn)狀與挑戰(zhàn)3

由于缺乏核心產(chǎn)業(yè)和重大準(zhǔn)備的支持，目前信息安全和網(wǎng)絡(luò)安全行業(yè)基本處于被動(dòng)挨打局面?，F(xiàn)有的“老三樣”，防火墻、殺病毒和入侵檢測系統(tǒng)都是基于特征的，只有危害發(fā)生后才能以打補(bǔ)丁的形式進(jìn)行“亡羊補(bǔ)牢”的后置防護(hù)更新，防護(hù)永遠(yuǎn)落后于攻擊。包括核心處理器、操作系統(tǒng)都有后門和漏洞。從近年病毒泛濫成災(zāi)，黑客頻頻“刷庫”，到美國政府“棱鏡”(PRISM)監(jiān)聽事件沸沸揚(yáng)揚(yáng)，充分反映各國關(guān)鍵行業(yè)、經(jīng)濟(jì)及政要的聯(lián)網(wǎng)信息都“赤裸裸”暴露在監(jiān)聽和攻擊之下。目前的信息安全防護(hù)技術(shù)和策略已經(jīng)嚴(yán)重力不從心，必須有革命性的新技術(shù)和應(yīng)用系統(tǒng)進(jìn)行替代。網(wǎng)絡(luò)安全的核心問題是網(wǎng)絡(luò)身份識(shí)別，網(wǎng)上偽裝或隱身的異己分子不能被識(shí)別并拒之門外以及溯源是網(wǎng)絡(luò)攻擊屢屢得逞的根本原因。標(biāo)識(shí)認(rèn)證基于我國自主組合公鑰技術(shù)，建立了網(wǎng)絡(luò)身份認(rèn)證實(shí)際應(yīng)用體系。能夠?yàn)槿澜缢芯W(wǎng)絡(luò)節(jié)點(diǎn)與終端的人與物設(shè)置能夠自證的電子身份標(biāo)識(shí)，每一標(biāo)識(shí)可帶有多重后綴以表示其自然屬性、社會(huì)屬性及時(shí)空屬性，以此映射成不可復(fù)制、偽造、篡改與抵賴的公私密鑰對，在網(wǎng)絡(luò)聯(lián)系中自證其唯一性與真實(shí)性，確保網(wǎng)絡(luò)的安全性。這是世界網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的重大突破，也是目前唯一能抵抗量子攻擊的安全系統(tǒng)，同時(shí)能夠主動(dòng)參與安全防護(hù)，不受第三方認(rèn)證機(jī)構(gòu)的目錄缺陷影響。安全通信服務(wù)平臺(tái)核心競爭力組合公鑰實(shí)名認(rèn)證標(biāo)識(shí)不需在線發(fā)布和檢索認(rèn)證過程無需第三方支持任意發(fā)行方交叉認(rèn)證跨域認(rèn)證超大規(guī)模標(biāo)識(shí)即代表公鑰簡化身份識(shí)別流程各節(jié)點(diǎn)自主直接認(rèn)證，無欺詐可信標(biāo)識(shí)數(shù)量和認(rèn)證規(guī)模達(dá)到10的77次方，遠(yuǎn)超過IPV6的10的32次方，為每個(gè)沙子分配一個(gè)IP地址的規(guī)模。標(biāo)識(shí)認(rèn)證項(xiàng)目建設(shè)目標(biāo)與實(shí)施步驟8項(xiàng)目目標(biāo)是建設(shè)成為提供移動(dòng)用戶全方位安全通信保障的服務(wù)平臺(tái)。能夠適應(yīng)各種終端和用戶，實(shí)現(xiàn)靈活、便捷和高安全的通信保障。

一、通過服務(wù)中心實(shí)現(xiàn)基于電話鏈路加擾的安全通信服務(wù)，特點(diǎn)是任意智能手機(jī)，通過安裝軟件與服務(wù)中心轉(zhuǎn)接，即能實(shí)現(xiàn)通話中隨機(jī)噪聲加擾與接收方自動(dòng)遮蔽，服務(wù)中心能夠控制連接權(quán)限，還能為不具備安全通話的用戶提供自動(dòng)轉(zhuǎn)接加密，保障具備安全通話功能的手機(jī)始終處于保護(hù)之中。二、通過數(shù)據(jù)通道實(shí)現(xiàn)高安全的全數(shù)據(jù)加密與信令隱藏，特點(diǎn)是高安全級別的通信保障，通過數(shù)據(jù)通道和服務(wù)中心進(jìn)行數(shù)字簽名驗(yàn)證與轉(zhuǎn)接，信令隱藏保障通話數(shù)據(jù)以普通網(wǎng)絡(luò)瀏覽數(shù)據(jù)呈現(xiàn)，不被過濾和察覺。

三、通過升級硬件實(shí)現(xiàn)完美的電話與數(shù)據(jù)安全通信，特點(diǎn)是同時(shí)具備電話鏈路加密的易用，網(wǎng)絡(luò)通話的高安全，并能實(shí)現(xiàn)各種安全擴(kuò)展服務(wù)。

7基于目前限定的條件，實(shí)現(xiàn)最大程度的安全加密是本平臺(tái)的特點(diǎn)。（常規(guī)情況在無損的網(wǎng)絡(luò)或數(shù)據(jù)通道才能實(shí)現(xiàn)完整數(shù)據(jù)加密。在沒有定制硬件服務(wù)，在語音有損傳輸通道上直接實(shí)現(xiàn)加密是做不到的，這里使用了特殊的加擾模式）1、保障通話環(huán)境安全，保障系統(tǒng)安全，防止后臺(tái)不良程序竊聽；2、加密接收方號碼，通過400總機(jī)解密轉(zhuǎn)換，防止竊取對話方信息；通話雙方也可采用自定義號碼，由中心安全轉(zhuǎn)接3、語音加擾，混入隨機(jī)噪聲，通過總機(jī)按設(shè)置條件進(jìn)行轉(zhuǎn)接控制，雙方安全通話。4、兼容普通電話，通過總機(jī)解密也能轉(zhuǎn)接到普通電話，從發(fā)起方到總機(jī)這一段線路是保障安全的。5、普通電話轉(zhuǎn)安全通話，通過總機(jī)加密轉(zhuǎn)接到安全電話，從接收方到總機(jī)這一段是保障安全的。一、基于電話鏈路加擾的安全通信服務(wù)平臺(tái)8安全手機(jī)發(fā)起方安全手機(jī)接收方服務(wù)中心發(fā)起方通過軟件或鍵盤撥出前綴400XXX號碼+接收方號碼（接收方可以自定義號碼）應(yīng)用按設(shè)置條件進(jìn)行隨機(jī)加擾

服務(wù)中心接收到號碼后翻譯成真實(shí)號碼，根據(jù)設(shè)置條件安全轉(zhuǎn)接

接收方收到前綴400XXX

號碼，由應(yīng)用按照設(shè)置條

件進(jìn)行解擾一、基于電話鏈路加擾的安全通信服務(wù)平臺(tái)二、基于網(wǎng)絡(luò)的安全通信服務(wù)平臺(tái)總體結(jié)構(gòu)示意圖可信移動(dòng)通信安全性-系統(tǒng)安全密鑰中心：生成服務(wù)器端用組合公鑰認(rèn)證模塊及終端用組合公鑰SAM卡服務(wù)器端：各種業(yè)務(wù)的服務(wù)支撐，組合公鑰加密及認(rèn)證，系統(tǒng)管理移動(dòng)終端：支持蘋果IOS系統(tǒng)、安卓系統(tǒng)和塞班S60以上系統(tǒng)的機(jī)型。無線網(wǎng)絡(luò):提供通信鏈路的公眾或?qū)Ｓ脽o線網(wǎng)絡(luò)，可以跨網(wǎng)絡(luò)互通可信移動(dòng)VoIP通信-安全策略CPK網(wǎng)關(guān)建立基于CPK認(rèn)證體系，實(shí)現(xiàn)海量（1048，快速（ms級），高效，跨域認(rèn)證?？梢詫?shí)現(xiàn)跨域復(fù)雜授權(quán)，支持多種應(yīng)用，部署簡單。CPK后臺(tái)服務(wù)器基于用戶的提供的ID(CPK證書)，對用戶進(jìn)行認(rèn)證，授權(quán)，計(jì)帳。掛失處理：CPKID可以綁定用戶手機(jī)唯一串號，手機(jī)卡遺失后，掛失即可廢除CPKID，廢除后的CPKID無法接入SIP服務(wù)器與其他手機(jī)進(jìn)行可信語音。防黑客攻擊：客戶端軟件綁定特定ID的手機(jī)串號進(jìn)行數(shù)字簽名，客戶端軟件和手機(jī)相互認(rèn)證，只有數(shù)字簽名通過的軟件才能調(diào)用程序，有效防止木馬，偽造等黑客攻擊?？尚乓苿?dòng)通信-可信通信過程通信過程

1.基于CPK的安全VoIP的在SIP代理和用戶之間，用戶和用戶之間通過CPK私鑰進(jìn)行簽名，實(shí)現(xiàn)實(shí)體之間的認(rèn)證

2.然后進(jìn)行密鑰交換傳輸，為即將進(jìn)行的會(huì)話進(jìn)行準(zhǔn)備

3.最后在用戶之間進(jìn)行點(diǎn)對點(diǎn)的加密語音數(shù)據(jù)傳送，實(shí)現(xiàn)安全的VoIP通訊。保密智能手機(jī)完成語音采集、編碼、壓縮、加密，以加密IP方式傳送CPK體系提供用戶認(rèn)證，簽名協(xié)議，密鑰傳輸協(xié)議和數(shù)據(jù)加密過程?？尚乓苿?dòng)通信系統(tǒng)安全性-防竊聽攻擊采用端到端語音VOIP加密，通信鏈路上所有數(shù)據(jù)均加密傳輸通信密鑰采用CPK密鑰交換協(xié)議，基于ECC算法及真隨機(jī)數(shù)發(fā)生器生成。實(shí)現(xiàn)一次一密，一機(jī)一密，也可以根據(jù)要求定時(shí)協(xié)商更換密鑰。通信語音內(nèi)容IP數(shù)據(jù)加密算法可以選用公開算法或者不公開算法，目前支持自主SSF33算法，同時(shí)也支持國際標(biāo)準(zhǔn)的AES（256bit）,3DES等，也可以使用戶指定專用加密算法。CPK體系提供認(rèn)證及密鑰管理機(jī)制，具體加密算法用戶可以根據(jù)安全等級要求自行指定。選定認(rèn)證體系和加密算法后的終端作為定型安全產(chǎn)品需要進(jìn)行相關(guān)產(chǎn)品資質(zhì)鑒定?？尚乓苿?dòng)通信系統(tǒng)-網(wǎng)絡(luò)支持網(wǎng)絡(luò)特性實(shí)際帶寬可運(yùn)行業(yè)務(wù)GPRS2.5G全網(wǎng)覆蓋30-40kbps加密VoIPCDMA2.5G全網(wǎng)覆蓋50-70kbps加密VoIP,數(shù)據(jù)EDGE2.75G大部分覆蓋30+110kbps加密VoIP,數(shù)據(jù)3G/4G3G/4G300kbps-3Mbps加密VoIP,數(shù)據(jù)可信移動(dòng)通信系統(tǒng)-與現(xiàn)有加密手機(jī)對比方式支持網(wǎng)絡(luò)內(nèi)容安全性體系安全特點(diǎn)CPKVoIP>20bps的任意無線網(wǎng)絡(luò)2.5G/2.75G/3G/WiFiCPK認(rèn)證及密鑰交換，加密算法，保證內(nèi)容安全，算法密鑰皆可更換CPK體系的認(rèn)證終端遺失不影響系統(tǒng)安全性海量，快速，體系安全，部署升級靈活，可擴(kuò)展性強(qiáng)，智能平臺(tái)，CDMA基帶擾碼CDMA，需要基站修改對稱加密機(jī)破解終端則攻破系統(tǒng)需改造基站，兼容性擴(kuò)展性有限語音安全模塊GSM密鑰交換，算法固定僅有加密，無認(rèn)證，可偽造攻擊專用加密設(shè)備，功耗，擴(kuò)展性兼容性有限關(guān)鍵技術(shù)及產(chǎn)品8為保障安全手機(jī)和普通手機(jī)在外網(wǎng)應(yīng)用時(shí)通話的安全性，通過在基帶芯片DSP植入動(dòng)態(tài)加密庫，或采用集成了標(biāo)識(shí)認(rèn)證安全芯片的專用安全藍(lán)牙耳機(jī)，直接加密用戶語音并針對移動(dòng)通訊網(wǎng)絡(luò)優(yōu)化并進(jìn)行冗余處理，保障加密的語音在失真環(huán)境下傳輸仍然能夠保障有效的識(shí)別。普通手機(jī)或藍(lán)牙耳機(jī)在通話中是沒有加密措施的，只要對方使用手機(jī)或者任意藍(lán)牙耳機(jī)接聽電話，都可以聽到通話內(nèi)容。為了把通話內(nèi)容限制在特定的手機(jī)或藍(lán)牙耳機(jī)間才能正常傳輸，而對方如果使用普通手機(jī)接聽或者使用不同類型的藍(lán)牙耳機(jī)接聽都不能聽到正常的語音，我們需要用高強(qiáng)度的數(shù)據(jù)防護(hù)加固系統(tǒng)對基帶語音處理或安全藍(lán)牙耳機(jī)進(jìn)行語音加密。三、基于硬件的安全通信服務(wù)平臺(tái)16安全手機(jī)發(fā)起方安全手機(jī)接收方服務(wù)中心發(fā)起方通過軟件或鍵盤撥出前綴400XXX號碼+接收方號碼（接收方可以自定義號碼）發(fā)現(xiàn)前綴400XXX號碼，與基帶配合的加密芯片激活加密通話

服務(wù)中心接收到號碼后翻譯成真實(shí)號碼，根據(jù)設(shè)置條件安全轉(zhuǎn)接

接收方收到前綴400XXX

號碼，與基帶配合的加密芯片激活加密通話產(chǎn)品實(shí)現(xiàn)方案8由于這種設(shè)計(jì)需要增加對語音數(shù)據(jù)的編程處理，因此我們需要采用可編程的基帶芯片或藍(lán)牙芯片平臺(tái)。同時(shí)因?yàn)檎Z音數(shù)據(jù)的處理需要高速而連續(xù)的進(jìn)行，采用DSP來實(shí)現(xiàn)，我們在藍(lán)牙芯片平臺(tái)上集成了安全DSP模塊。內(nèi)置64MIPS處理器和16位立體聲編解碼器，最大支持32M外置Flash存儲(chǔ)器，以及48K字節(jié)內(nèi)置RAM。

采用高通整合了基帶芯片的主芯片組，包括8936，8939，8974，8994系列的手機(jī)方案都可以。

其它帶有動(dòng)態(tài)DSP的基帶芯片也可以評估。使用的通訊制式以及頻段沒有特別要求，可以最大限度的兼容使用者現(xiàn)有的手機(jī)以及網(wǎng)絡(luò)系統(tǒng)。產(chǎn)品實(shí)現(xiàn)方案8通話雙方的安全手機(jī)經(jīng)過客戶自定義設(shè)置初始連接密碼和連接過程中的動(dòng)態(tài)交換密碼，能夠嚴(yán)格的限制通話的范圍。必須是同樣連接密碼并相互握手通訊后的安全手機(jī)，才能建立起有效的動(dòng)態(tài)加密通話，通話雙方才能聽到對方正確的通話語音。如果一方使用安全手機(jī)通話，而另一方直接使用普通手機(jī)或者不合乎要求的藍(lán)牙耳機(jī)來接聽，那么另一方只能聽到無序的雜音，而不能正確的聽到正常的語音。

系統(tǒng)使用抗LPE-RTP壓縮復(fù)合變換，一個(gè)安全通話的系統(tǒng)構(gòu)成如下圖所示：

抗LPE-RTP安全通話系統(tǒng)加密采用隨機(jī)協(xié)商式：就是每次加密通話前，通話雙方事先商定密鑰，然后在安全藍(lán)牙耳機(jī)與手機(jī)配對時(shí)輸入密鑰，通話中的加密密鑰就采用輸入的連接密鑰和動(dòng)態(tài)交換密鑰來進(jìn)行。產(chǎn)品結(jié)構(gòu)框圖系統(tǒng)實(shí)現(xiàn)模塊功能安全手機(jī)或安全藍(lán)牙耳機(jī)上為了實(shí)現(xiàn)系統(tǒng)的加密功能，軟件實(shí)現(xiàn)分為5個(gè)模塊：1、在XAP處理器和VM虛擬機(jī)上加解密DSP程序插件：這個(gè)插件用來將VM虛擬機(jī)程序和DSP程序進(jìn)行關(guān)聯(lián)，使得工作中的語音數(shù)據(jù)流向可以重定向到加解密程序。2、在DSP處理器上主控加解密程序：主要完成語音數(shù)據(jù)的加解密工作。動(dòng)態(tài)密鑰交換與抗量子隨機(jī)缺失模塊：主要用于完美解決傳輸層安全。參數(shù)管理模塊：主要完成密鑰等參數(shù)的讀寫和管理。消息管理模塊：主要完成消息的接收和發(fā)送。當(dāng)輸入的聲音經(jīng)過CODEC編碼后，明文在消息包中傳遞，由于我們在虛擬機(jī)中的插件應(yīng)用將消息流重定向到了DSP處理程序，因此明文消息會(huì)傳遞給我們的加密主控程序模塊。在我們的主控程序模塊中，經(jīng)過加密后的數(shù)據(jù)會(huì)傳送給射頻模塊，經(jīng)過編碼成加擾格式而后從天線發(fā)送出去。

另一方面，當(dāng)天線收到對方發(fā)送的數(shù)據(jù)后，加密芯片先將獲取的密文數(shù)據(jù)重定向到我們的DSP主控程序。主控程序經(jīng)過解密后的明文數(shù)據(jù)，發(fā)送給CODEC，經(jīng)過解碼后通過安全手機(jī)或藍(lán)牙耳機(jī)的SPK播放出來。

公司技術(shù)及產(chǎn)品6技術(shù)創(chuàng)新性

★

規(guī)?；瘶?biāo)識(shí)認(rèn)證，超億億級，達(dá)10的77次方；

★

抗量子攻擊，可達(dá)世界最高安全強(qiáng)度；

★建設(shè)及維護(hù)成本是現(xiàn)有認(rèn)證系統(tǒng)的十分之一；

★兼容性強(qiáng)，可以與現(xiàn)有系統(tǒng)兼容。

★可擴(kuò)展性強(qiáng)，實(shí)現(xiàn)跨域認(rèn)證。公司技術(shù)及產(chǎn)品7與現(xiàn)有PKI技術(shù)比較

CPK技術(shù)PKI技術(shù)安全性不隨用戶數(shù)量的增加而降低用戶數(shù)量達(dá)到一定規(guī)模后安全性降低規(guī)模性海量（10的77次方，百億級以上）小（10的5次方，十萬級）認(rèn)證效率高（認(rèn)證過程僅需要三步，密碼同步過程毫秒級）低（認(rèn)證過程需要十三步，密碼同步過程超過10秒）建設(shè)及維護(hù)成本低（低于PKI同等規(guī)模的十分之一）高兼容性強(qiáng)弱是否必需第三方不需要必需可否點(diǎn)到點(diǎn)認(rèn)證支持不支持是否必需在線認(rèn)證不需要必需公司技術(shù)及產(chǎn)品8技術(shù)成熟性與成功案例

★國家密碼局將CPK算法列為商密算法，國家五部委列為高技術(shù)產(chǎn)業(yè)化重點(diǎn)支持領(lǐng)域；

★基于CPK技術(shù)的手機(jī)與電腦安全系統(tǒng)已在國家重要安全部門廣泛使用；

★基于CPK技術(shù)的手機(jī)銀行系統(tǒng)已在中國金融電子化公司的托管平臺(tái)上通

過測試；

五部委高技術(shù)重點(diǎn)領(lǐng)域指南9主要資質(zhì)證書公司主要資質(zhì)證書27我們的客戶15手機(jī)網(wǎng)絡(luò)安全通信加密系統(tǒng)銷售

★該領(lǐng)域目前無競爭對手★主要項(xiàng)目列表項(xiàng)目名稱客戶名稱地區(qū)時(shí)間狀態(tài)3G網(wǎng)絡(luò)保密電話系統(tǒng)某涉密單位北京2010完成3G網(wǎng)絡(luò)保密電話系統(tǒng)某涉密單位新疆2011完成3G網(wǎng)絡(luò)保密電話系統(tǒng)某涉密單位西藏2012完成3G網(wǎng)絡(luò)保密電話系統(tǒng)某涉密單位福建/天津/內(nèi)蒙古2012完成3G網(wǎng)絡(luò)保密電話系統(tǒng)公安部禁毒局云南2013完成3G網(wǎng)絡(luò)保密電話系統(tǒng)某涉密單位上海2014進(jìn)行中1、產(chǎn)品銷售：安全通信系統(tǒng)及虎符令牌在國安系統(tǒng)銷售，得到用戶一致好評。用戶使用報(bào)告：公司業(yè)績2、項(xiàng)目合作：（1）與中國金融電子化公司合作的金融云平臺(tái)項(xiàng)目得到國家發(fā)改委安全專項(xiàng)支持，預(yù)計(jì)2014年通

過驗(yàn)收并正式投入運(yùn)營；（2）與中電科長江數(shù)據(jù)股份有限公司達(dá)成了戰(zhàn)略合作意向，在智慧城市、物聯(lián)網(wǎng)、電子商務(wù)等領(lǐng)

域進(jìn)行全面合作；（3）與邁半克公司合作，為金融產(chǎn)品超市提供標(biāo)識(shí)認(rèn)證服務(wù)，項(xiàng)目進(jìn)行中；（4）與晨訊科技集團(tuán)有限公司合作，正在開發(fā)國內(nèi)首款安全定制手機(jī)。主要合作伙伴：市場前景121、應(yīng)用領(lǐng)域能夠在安