虎符科技網(wǎng)絡安全通信服務三種解決方案

安全藍牙耳機項目安全藍牙耳機項目安全網(wǎng)絡通信項目

目錄網(wǎng)絡安全通信核心技術簡介網(wǎng)絡通信行業(yè)的現(xiàn)狀與挑戰(zhàn)安全通信平臺系統(tǒng)功能與核心競爭力系統(tǒng)配置和性能指標成功案例核心技術簡介

虎符科技提供的是我國自主創(chuàng)新的信息安全技術，是超大規(guī)模自證安全系統(tǒng)，在跨域認證和海量標識認證服務上具有不可替代性，是下一代互聯(lián)網(wǎng)的安全支撐技術?？蓮V泛應用于移動互聯(lián)網(wǎng)、云計算、RFID、物聯(lián)網(wǎng)、數(shù)字版權保護等領域，尤其在金融云服務行業(yè)，可提高10倍以上效率，而成本僅有現(xiàn)有認證系統(tǒng)的十分之一。

目前廣泛困擾大家的釣魚網(wǎng)站、騷擾電話、垃圾郵件就是由于缺乏自證功能，由于系統(tǒng)底層的認證缺失，導致接入互聯(lián)網(wǎng)的系統(tǒng)無法有效解決身份偽造和溯源難題。目前沿用國外的認證系統(tǒng)均是第三方他證封閉系統(tǒng)，認證規(guī)模小，且每建一個都是一個孤島，無法實現(xiàn)跨域認證。4網(wǎng)絡通信行業(yè)現(xiàn)狀與挑戰(zhàn)3

由于缺乏核心產(chǎn)業(yè)和重大準備的支持，目前信息安全和網(wǎng)絡安全行業(yè)基本處于被動挨打局面?，F(xiàn)有的“老三樣”，防火墻、殺病毒和入侵檢測系統(tǒng)都是基于特征的，只有危害發(fā)生后才能以打補丁的形式進行“亡羊補牢”的后置防護更新，防護永遠落后于攻擊。包括核心處理器、操作系統(tǒng)都有后門和漏洞。從近年病毒泛濫成災，黑客頻頻“刷庫”，到美國政府“棱鏡”(PRISM)監(jiān)聽事件沸沸揚揚，充分反映各國關鍵行業(yè)、經(jīng)濟及政要的聯(lián)網(wǎng)信息都“赤裸裸”暴露在監(jiān)聽和攻擊之下。目前的信息安全防護技術和策略已經(jīng)嚴重力不從心，必須有革命性的新技術和應用系統(tǒng)進行替代。網(wǎng)絡安全的核心問題是網(wǎng)絡身份識別，網(wǎng)上偽裝或隱身的異己分子不能被識別并拒之門外以及溯源是網(wǎng)絡攻擊屢屢得逞的根本原因。標識認證基于我國自主組合公鑰技術，建立了網(wǎng)絡身份認證實際應用體系。能夠為全世界所有網(wǎng)絡節(jié)點與終端的人與物設置能夠自證的電子身份標識，每一標識可帶有多重后綴以表示其自然屬性、社會屬性及時空屬性，以此映射成不可復制、偽造、篡改與抵賴的公私密鑰對，在網(wǎng)絡聯(lián)系中自證其唯一性與真實性，確保網(wǎng)絡的安全性。這是世界網(wǎng)絡安全技術領域的重大突破，也是目前唯一能抵抗量子攻擊的安全系統(tǒng)，同時能夠主動參與安全防護，不受第三方認證機構的目錄缺陷影響。安全通信服務平臺核心競爭力組合公鑰實名認證標識不需在線發(fā)布和檢索認證過程無需第三方支持任意發(fā)行方交叉認證跨域認證超大規(guī)模標識即代表公鑰簡化身份識別流程各節(jié)點自主直接認證，無欺詐可信標識數(shù)量和認證規(guī)模達到10的77次方，遠超過IPV6的10的32次方，為每個沙子分配一個IP地址的規(guī)模。標識認證項目建設目標與實施步驟8項目目標是建設成為提供移動用戶全方位安全通信保障的服務平臺。能夠適應各種終端和用戶，實現(xiàn)靈活、便捷和高安全的通信保障。

一、通過服務中心實現(xiàn)基于電話鏈路加擾的安全通信服務，特點是任意智能手機，通過安裝軟件與服務中心轉接，即能實現(xiàn)通話中隨機噪聲加擾與接收方自動遮蔽，服務中心能夠控制連接權限，還能為不具備安全通話的用戶提供自動轉接加密，保障具備安全通話功能的手機始終處于保護之中。二、通過數(shù)據(jù)通道實現(xiàn)高安全的全數(shù)據(jù)加密與信令隱藏，特點是高安全級別的通信保障，通過數(shù)據(jù)通道和服務中心進行數(shù)字簽名驗證與轉接，信令隱藏保障通話數(shù)據(jù)以普通網(wǎng)絡瀏覽數(shù)據(jù)呈現(xiàn)，不被過濾和察覺。

三、通過升級硬件實現(xiàn)完美的電話與數(shù)據(jù)安全通信，特點是同時具備電話鏈路加密的易用，網(wǎng)絡通話的高安全，并能實現(xiàn)各種安全擴展服務。

7基于目前限定的條件，實現(xiàn)最大程度的安全加密是本平臺的特點。（常規(guī)情況在無損的網(wǎng)絡或數(shù)據(jù)通道才能實現(xiàn)完整數(shù)據(jù)加密。在沒有定制硬件服務，在語音有損傳輸通道上直接實現(xiàn)加密是做不到的，這里使用了特殊的加擾模式）1、保障通話環(huán)境安全，保障系統(tǒng)安全，防止后臺不良程序竊聽；2、加密接收方號碼，通過400總機解密轉換，防止竊取對話方信息；通話雙方也可采用自定義號碼，由中心安全轉接3、語音加擾，混入隨機噪聲，通過總機按設置條件進行轉接控制，雙方安全通話。4、兼容普通電話，通過總機解密也能轉接到普通電話，從發(fā)起方到總機這一段線路是保障安全的。5、普通電話轉安全通話，通過總機加密轉接到安全電話，從接收方到總機這一段是保障安全的。一、基于電話鏈路加擾的安全通信服務平臺8安全手機發(fā)起方安全手機接收方服務中心發(fā)起方通過軟件或鍵盤撥出前綴400XXX號碼+接收方號碼（接收方可以自定義號碼）應用按設置條件進行隨機加擾

服務中心接收到號碼后翻譯成真實號碼，根據(jù)設置條件安全轉接

接收方收到前綴400XXX

號碼，由應用按照設置條

件進行解擾一、基于電話鏈路加擾的安全通信服務平臺二、基于網(wǎng)絡的安全通信服務平臺總體結構示意圖可信移動通信安全性-系統(tǒng)安全密鑰中心：生成服務器端用組合公鑰認證模塊及終端用組合公鑰SAM卡服務器端：各種業(yè)務的服務支撐，組合公鑰加密及認證，系統(tǒng)管理移動終端：支持蘋果IOS系統(tǒng)、安卓系統(tǒng)和塞班S60以上系統(tǒng)的機型。無線網(wǎng)絡:提供通信鏈路的公眾或專用無線網(wǎng)絡，可以跨網(wǎng)絡互通可信移動VoIP通信-安全策略CPK網(wǎng)關建立基于CPK認證體系，實現(xiàn)海量（1048，快速（ms級），高效，跨域認證?？梢詫崿F(xiàn)跨域復雜授權，支持多種應用，部署簡單。CPK后臺服務器基于用戶的提供的ID(CPK證書)，對用戶進行認證，授權，計帳。掛失處理：CPKID可以綁定用戶手機唯一串號，手機卡遺失后，掛失即可廢除CPKID，廢除后的CPKID無法接入SIP服務器與其他手機進行可信語音。防黑客攻擊：客戶端軟件綁定特定ID的手機串號進行數(shù)字簽名，客戶端軟件和手機相互認證，只有數(shù)字簽名通過的軟件才能調用程序，有效防止木馬，偽造等黑客攻擊?？尚乓苿油ㄐ?可信通信過程通信過程

1.基于CPK的安全VoIP的在SIP代理和用戶之間，用戶和用戶之間通過CPK私鑰進行簽名，實現(xiàn)實體之間的認證

2.然后進行密鑰交換傳輸，為即將進行的會話進行準備

3.最后在用戶之間進行點對點的加密語音數(shù)據(jù)傳送，實現(xiàn)安全的VoIP通訊。保密智能手機完成語音采集、編碼、壓縮、加密，以加密IP方式傳送CPK體系提供用戶認證，簽名協(xié)議，密鑰傳輸協(xié)議和數(shù)據(jù)加密過程?？尚乓苿油ㄐ畔到y(tǒng)安全性-防竊聽攻擊采用端到端語音VOIP加密，通信鏈路上所有數(shù)據(jù)均加密傳輸通信密鑰采用CPK密鑰交換協(xié)議，基于ECC算法及真隨機數(shù)發(fā)生器生成。實現(xiàn)一次一密，一機一密，也可以根據(jù)要求定時協(xié)商更換密鑰。通信語音內容IP數(shù)據(jù)加密算法可以選用公開算法或者不公開算法，目前支持自主SSF33算法，同時也支持國際標準的AES（256bit）,3DES等，也可以使用戶指定專用加密算法。CPK體系提供認證及密鑰管理機制，具體加密算法用戶可以根據(jù)安全等級要求自行指定。選定認證體系和加密算法后的終端作為定型安全產(chǎn)品需要進行相關產(chǎn)品資質鑒定?？尚乓苿油ㄐ畔到y(tǒng)-網(wǎng)絡支持網(wǎng)絡特性實際帶寬可運行業(yè)務GPRS2.5G全網(wǎng)覆蓋30-40kbps加密VoIPCDMA2.5G全網(wǎng)覆蓋50-70kbps加密VoIP,數(shù)據(jù)EDGE2.75G大部分覆蓋30+110kbps加密VoIP,數(shù)據(jù)3G/4G3G/4G300kbps-3Mbps加密VoIP,數(shù)據(jù)可信移動通信系統(tǒng)-與現(xiàn)有加密手機對比方式支持網(wǎng)絡內容安全性體系安全特點CPKVoIP>20bps的任意無線網(wǎng)絡2.5G/2.75G/3G/WiFiCPK認證及密鑰交換，加密算法，保證內容安全，算法密鑰皆可更換CPK體系的認證終端遺失不影響系統(tǒng)安全性海量，快速，體系安全，部署升級靈活，可擴展性強，智能平臺，CDMA基帶擾碼CDMA，需要基站修改對稱加密機破解終端則攻破系統(tǒng)需改造基站，兼容性擴展性有限語音安全模塊GSM密鑰交換，算法固定僅有加密，無認證，可偽造攻擊專用加密設備，功耗，擴展性兼容性有限關鍵技術及產(chǎn)品8為保障安全手機和普通手機在外網(wǎng)應用時通話的安全性，通過在基帶芯片DSP植入動態(tài)加密庫，或采用集成了標識認證安全芯片的專用安全藍牙耳機，直接加密用戶語音并針對移動通訊網(wǎng)絡優(yōu)化并進行冗余處理，保障加密的語音在失真環(huán)境下傳輸仍然能夠保障有效的識別。普通手機或藍牙耳機在通話中是沒有加密措施的，只要對方使用手機或者任意藍牙耳機接聽電話，都可以聽到通話內容。為了把通話內容限制在特定的手機或藍牙耳機間才能正常傳輸，而對方如果使用普通手機接聽或者使用不同類型的藍牙耳機接聽都不能聽到正常的語音，我們需要用高強度的數(shù)據(jù)防護加固系統(tǒng)對基帶語音處理或安全藍牙耳機進行語音加密。三、基于硬件的安全通信服務平臺16安全手機發(fā)起方安全手機接收方服務中心發(fā)起方通過軟件或鍵盤撥出前綴400XXX號碼+接收方號碼（接收方可以自定義號碼）發(fā)現(xiàn)前綴400XXX號碼，與基帶配合的加密芯片激活加密通話

服務中心接收到號碼后翻譯成真實號碼，根據(jù)設置條件安全轉接

接收方收到前綴400XXX

號碼，與基帶配合的加密芯片激活加密通話產(chǎn)品實現(xiàn)方案8由于這種設計需要增加對語音數(shù)據(jù)的編程處理，因此我們需要采用可編程的基帶芯片或藍牙芯片平臺。同時因為語音數(shù)據(jù)的處理需要高速而連續(xù)的進行，采用DSP來實現(xiàn)，我們在藍牙芯片平臺上集成了安全DSP模塊。內置64MIPS處理器和16位立體聲編解碼器，最大支持32M外置Flash存儲器，以及48K字節(jié)內置RAM。

采用高通整合了基帶芯片的主芯片組，包括8936，8939，8974，8994系列的手機方案都可以。

其它帶有動態(tài)DSP的基帶芯片也可以評估。使用的通訊制式以及頻段沒有特別要求，可以最大限度的兼容使用者現(xiàn)有的手機以及網(wǎng)絡系統(tǒng)。產(chǎn)品實現(xiàn)方案8通話雙方的安全手機經(jīng)過客戶自定義設置初始連接密碼和連接過程中的動態(tài)交換密碼，能夠嚴格的限制通話的范圍。必須是同樣連接密碼并相互握手通訊后的安全手機，才能建立起有效的動態(tài)加密通話，通話雙方才能聽到對方正確的通話語音。如果一方使用安全手機通話，而另一方直接使用普通手機或者不合乎要求的藍牙耳機來接聽，那么另一方只能聽到無序的雜音，而不能正確的聽到正常的語音。

系統(tǒng)使用抗LPE-RTP壓縮復合變換，一個安全通話的系統(tǒng)構成如下圖所示：

抗LPE-RTP安全通話系統(tǒng)加密采用隨機協(xié)商式：就是每次加密通話前，通話雙方事先商定密鑰，然后在安全藍牙耳機與手機配對時輸入密鑰，通話中的加密密鑰就采用輸入的連接密鑰和動態(tài)交換密鑰來進行。產(chǎn)品結構框圖系統(tǒng)實現(xiàn)模塊功能安全手機或安全藍牙耳機上為了實現(xiàn)系統(tǒng)的加密功能，軟件實現(xiàn)分為5個模塊：1、在XAP處理器和VM虛擬機上加解密DSP程序插件：這個插件用來將VM虛擬機程序和DSP程序進行關聯(lián)，使得工作中的語音數(shù)據(jù)流向可以重定向到加解密程序。2、在DSP處理器上主控加解密程序：主要完成語音數(shù)據(jù)的加解密工作。動態(tài)密鑰交換與抗量子隨機缺失模塊：主要用于完美解決傳輸層安全。參數(shù)管理模塊：主要完成密鑰等參數(shù)的讀寫和管理。消息管理模塊：主要完成消息的接收和發(fā)送。當輸入的聲音經(jīng)過CODEC編碼后，明文在消息包中傳遞，由于我們在虛擬機中的插件應用將消息流重定向到了DSP處理程序，因此明文消息會傳遞給我們的加密主控程序模塊。在我們的主控程序模塊中，經(jīng)過加密后的數(shù)據(jù)會傳送給射頻模塊，經(jīng)過編碼成加擾格式而后從天線發(fā)送出去。

另一方面，當天線收到對方發(fā)送的數(shù)據(jù)后，加密芯片先將獲取的密文數(shù)據(jù)重定向到我們的DSP主控程序。主控程序經(jīng)過解密后的明文數(shù)據(jù)，發(fā)送給CODEC，經(jīng)過解碼后通過安全手機或藍牙耳機的SPK播放出來。

公司技術及產(chǎn)品6技術創(chuàng)新性

★

規(guī)模化標識認證，超億億級，達10的77次方；

★

抗量子攻擊，可達世界最高安全強度；

★建設及維護成本是現(xiàn)有認證系統(tǒng)的十分之一；

★兼容性強，可以與現(xiàn)有系統(tǒng)兼容。

★可擴展性強，實現(xiàn)跨域認證。公司技術及產(chǎn)品7與現(xiàn)有PKI技術比較

CPK技術PKI技術安全性不隨用戶數(shù)量的增加而降低用戶數(shù)量達到一定規(guī)模后安全性降低規(guī)模性海量（10的77次方，百億級以上）小（10的5次方，十萬級）認證效率高（認證過程僅需要三步，密碼同步過程毫秒級）低（認證過程需要十三步，密碼同步過程超過10秒）建設及維護成本低（低于PKI同等規(guī)模的十分之一）高兼容性強弱是否必需第三方不需要必需可否點到點認證支持不支持是否必需在線認證不需要必需公司技術及產(chǎn)品8技術成熟性與成功案例

★國家密碼局將CPK算法列為商密算法，國家五部委列為高技術產(chǎn)業(yè)化重點支持領域；

★基于CPK技術的手機與電腦安全系統(tǒng)已在國家重要安全部門廣泛使用；

★基于CPK技術的手機銀行系統(tǒng)已在中國金融電子化公司的托管平臺上通

過測試；

五部委高技術重點領域指南9主要資質證書公司主要資質證書27我們的客戶15手機網(wǎng)絡安全通信加密系統(tǒng)銷售

★該領域目前無競爭對手★主要項目列表項目名稱客戶名稱地區(qū)時間狀態(tài)3G網(wǎng)絡保密電話系統(tǒng)某涉密單位北京2010完成3G網(wǎng)絡保密電話系統(tǒng)某涉密單位新疆2011完成3G網(wǎng)絡保密電話系統(tǒng)某涉密單位西藏2012完成3G網(wǎng)絡保密電話系統(tǒng)某涉密單位福建/天津/內蒙古2012完成3G網(wǎng)絡保密電話系統(tǒng)公安部禁毒局云南2013完成3G網(wǎng)絡保密電話系統(tǒng)某涉密單位上海2014進行中1、產(chǎn)品銷售：安全通信系統(tǒng)及虎符令牌在國安系統(tǒng)銷售，得到用戶一致好評。用戶使用報告：公司業(yè)績2、項目合作：（1）與中國金融電子化公司合作的金融云平臺項目得到國家發(fā)改委安全專項支持，預計2014年通

過驗收并正式投入運營；（2）與中電科長江數(shù)據(jù)股份有限公司達成了戰(zhàn)略合作意向，在智慧城市、物聯(lián)網(wǎng)、電子商務等領

域進行全面合作；（3）與邁半克公司合作，為金融產(chǎn)品超市提供標識認證服務，項目進行中；（4）與晨訊科技集團有限公司合作，正在開發(fā)國內首款安全定制手機。主要合作伙伴：市場前景121、應用領域能夠在安