CN101018131B - 一种具有功能选择装置的信息安全设备及其控制方法 - Google Patents
一种具有功能选择装置的信息安全设备及其控制方法 Download PDFInfo
- Publication number
- CN101018131B CN101018131B CN2007100640120A CN200710064012A CN101018131B CN 101018131 B CN101018131 B CN 101018131B CN 2007100640120 A CN2007100640120 A CN 2007100640120A CN 200710064012 A CN200710064012 A CN 200710064012A CN 101018131 B CN101018131 B CN 101018131B
- Authority
- CN
- China
- Prior art keywords
- safety devices
- information safety
- module
- described information
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 99
- 230000008569 process Effects 0.000 claims abstract description 71
- 230000006870 function Effects 0.000 claims description 119
- 230000015654 memory Effects 0.000 claims description 30
- 238000013461 design Methods 0.000 claims description 28
- 238000004891 communication Methods 0.000 claims description 11
- 238000004088 simulation Methods 0.000 claims description 11
- 230000002596 correlated effect Effects 0.000 claims description 9
- 238000002224 dissection Methods 0.000 claims description 8
- 238000007726 management method Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 230000000875 corresponding effect Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000004880 explosion Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000033228 biological regulation Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 241000218691 Cupressaceae Species 0.000 description 1
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000003756 stirring Methods 0.000 description 1
- 230000033772 system development Effects 0.000 description 1
Images
Abstract
本发明公开了一种具有功能选择装置的信息安全设备及其控制方法,属于信息安全领域。为了解决具有功能选择装置的信息安全设备能够在Windows操作系统下,不受用户权限限制,普通用户也可以使用的问题,本发明提供了一种具有功能选择装置的信息安全设备,它包括控制模块、USB接口模块、功能选择模块、SCSI协议处理模块、自动运行模块、不受限协议处理模块、信息安全模块。本发明还提出了一种具有功能选择装置的信息安全设备的控制方法。采用本发明的信息安全设备不会受到用户权限的限制,而且不需要安装驱动程序,方便易用。
Description
技术领域
本发明涉及信息安全领域,特别涉及一种具有功能选择装置的信息安全设备及其控制方法。
背景技术
由于Windows操作系统是一个支持多用户、多任务的操作系统,使得安全问题成为了非常关键的问题,因此Window操作系统需要对用户进行权限设置。权限是指用户对系统资源的访问权利。权限的设置是基于用户和进程而言的,不同的用户访问计算机具有不同的权限。Windows的用户被分成许多组,常见的用户组有以下几种:
Administrator:管理员组,默认情况下,Administrator中的用户对计算机/域有不受限制的完全访问权。
System:拥有和Administrator一样的,甚至比其还高的权限,具有系统和系统级的服务正常运行所需要的权限。
Power User:高级用户组,在权限设置中,这个组的权限是仅次于Administrator的。PowerUser可以执行除了为Administrator组保留的任务外的其他任何操作系统任务。
User:普通用户组,这个组的用户无法对计算机系统进行改动。
Guest:来宾组,来宾帐户的限制要比普通User帐号更多。
通常习惯称Administrator、System和Power User为超级用户,User和Guest为非超级用户。
随着人们安全意识的不断提高,各种加密算法也应运而生,常用的加密算法主要有散列算法、对称加密算法和非对称加密算法。散列算法是一种无需密钥参与的单向算法,可以将任意长度的数据进行变换,输出成固定长度的数据摘要,其具有较长的散列码以及能抗击特殊密码分析攻击的特性。目前比较常用的散列算法有HMAC算法、MD5算法、MD2算法、SHA1算法、SHA256算法等。对称加密算法(或叫单密钥加密算法)中,只有一个密钥用来加密和解密信息,尽管单密钥加密是一个简单的过程,但是双方都必须完全的相信对方,并都持有这个密钥的备份,通过对称加密算法对数据加密后,可以利用该密钥对加密结果进行解密。目前比较常用的对称加密算法有DES算法、3DES算法、RC4算法、RC5算法等。非对称加密算法(公钥加密算法)在加密的过程中使用一对密钥,而不像对称加密算法只使用一个单独的密钥,一对密钥中一个用于加密,另一个用来解密,即如用A加密,则用B解密;如果用B加密,则要用A解密。目前比较常用的非对称加密算法有RSA算法、DSA算法、椭圆曲线算法等。
近几年,随着互联网技术与电子商务的快速发展,越来越多的商务活动转移到网络上开展,例如网上政府办公、网上银行、网上购物等等,与此同时,越来越多涉及个人隐私和商业秘密的信息需要通过网络传递。然而病毒、黑客以及网页仿冒诈骗等恶意威胁,给在线交易的安全性带来了极大的挑战,致使网络安全问题变的举足轻重。
信息安全设备(简称设备)是一种带有处理器和存储器的小型硬件装置,它通过计算机的数据通讯接口与主机连接。它具有密钥生成、安全存储密钥、预置加密算法等功能。信息安全设备与密钥相关的运算完全在装置内部运行,且信息安全设备具有抗攻击的特性,安全性极高。信息安全设备一般通过USB接口与计算机相连,通常被称为USB KEY或USB Token。信息安全设备生产商、软件系统开发商或者最终用户可以将一些重要信息存储到信息安全设备中,用以保证安全性或者防止遗忘。目前,较高端的信息安全设备是可编程的,即可以实现在信息安全设备中运行预先存入其中的代码。
一般信息安全设备中会内置安全设计芯片来实现信息安全功能。安全设计芯片除了具有通用嵌入式微控制器的各种特性外,更多的是在安全性能方面,安全设计芯片在芯片设计时会针对安全性能方面在结构上做一些特殊处理,比如安全芯片会采用特定的安全内核,该安全内核能够支持多个拥有不同权限定义的状态,用于实现对硬件资源访问权限的管理;以及支持指令执行时间(指令周期)的随机化;其中断系统能够实现支持芯片状态的转换,从而实现对不同层次的安全级别的控制,以支持多应用的实现;它还可以带有MMU单元(Memory Management Unit-存储器管理单元),用于实现逻辑地址、物理地址的隔离,及地址映射,从体系结构上支持应用(多应用)、安全性的设计实现,与内核支持的不同状态一起有机的组成一个硬件防火墙;其中断系统还能支持系统数据库与用户程序的接口及权限传递和切换;其存储介质方面也会采用非易失性存储介质等等。安全设计芯片一般都要求符合相关的标准及通过相关的认证等以保证其安全性能,比如TCG TPM v1.2规范,ISO15408国际标准,中国密码管理委员会标准等等。目前市面上有很多款安全设计芯片可供选择,其中意法半导体的ST19WP18微控制器,已通过“公共标准”评估保障级EAL5+(增强版)的认证,这是ISO15408国际标准关于此类产品的最高的标准之一。
现有信息安全设备的通讯可以通过SCSI(Small Computer System Interface-小型主机系统接口)命令的方式来实现,SCSI是主机连接外接设备的一种接口标准,能够提供更快的数据传输率。SCSI为方便开发者使用预留了扩展命令,为完成信息安全设备的SCSI通讯,开发者将SCSI扩展命令设计成信息安全设备的命令,以完成信息安全设备的功能,但是在Windows 2000及以上操作系统下,普通用户没有权限使用SCSI扩展命令,这就给SCSI设备的使用带来了很多的不便。
自动运行功能(Autorun)是USB-SCSI类设备所自带的一个功能,它使得对光盘、硬盘和海量存储等设备进行的操作变得更容易,一般习惯称此种能够自动运行起来的程序为Autorun程序。由于Autorun程序中包含了需要自动运行的命令,如改变驱动器图标、运行程序文件、可选快捷菜单等内容,所以当带有Autorun程序的光盘或海量存储等设备连接到计算机上时,Autorun程序会装载相应文件,例如GIF、JPEG、HTML文件、PDF文件,实现自动运行功能,Autorun程序还可以显示启动界面等。
CCID(USB Chip/Smart Card Interface Devices-USB芯片智能卡接口设备)标准是由几大国际级IT企业共同制定的一个标准,它提供了一种智能卡读写设备与主机或其它嵌入式主机实现相互通讯的可能。CCID标准规定了CCID设备是一种芯片/智能卡接口设备,设备通过USB接口与主机或其它嵌入式主机连接,进行符合CCID标准的数据通讯,同时设备通过符合7816标准协议的接口与智能卡进行通讯。微软公司在其Windows 2000及以上的操作系统上提供并支持CCID驱动,使设备生产厂商可以轻松的开发使用符合CCID接口标准的设备。同时,CCID接口标准支持PC(Personal Computer-个人计算机)/SC(Smart Card-智能卡)接口调用,使广大开发者可以方便的对信息安全设备进行开发操作,在其它开源操作系统如LINUX的众多版本上,也有许多开源的CCID驱动可供开发者和使用者使用。
HID(Human Interface Device-人机接口设备)类是Windows操作系统完全支持的第一批USB设备类型中的一种,在运行Windows 98或更高版本的计算机上,应用程序可以与使用操作系统内置驱动的HID设备通信,由于这个原因,符合HID类的USB设备才得以很容易的设置并运行。但是HID设备不是必须要有人机接口的,它只是需要能在HID类规范的限制内起到一定作用,HID类的主要功能和限制如下:交换的数据驻留在被称为报告的结构中;每个事务包含一个小到中等量的数据;设备可以在不可预期的时间里发送信息到计算机中等等。尽管很多HID设备主要是从设备发送数据到主机,其实HID设备也可以从主机接收数据,所以可以说任何工作在HID类的限制之内的设备都可以称为HID设备,这些设备既可以发送数据到计算机,也可以从计算机接收配置设备的请求,主要负责接收数据的例子是远程显示器、远程设备的控制面板,及从主机接收偶尔或周期性命令的任何类型的设备。HID设备可以是设备支持的多个USB接口之一,既可以是低速设备也可以是全速设备。微软公司在其Windows98及以上的操作系统上提供并支持HID驱动,使设备生产厂商可以轻松的开发使用符合HID接口标准的设备。
描述符是数据结果或信息的格式化块,它可以使主机知道这个设备,每个描述符包含了关于这个设备的整体信息或者一个元素的信息。
按照SCSI协议标准,符合USB-SCSI接口标准的设备其描述符的特征是:在接口描述符中,字节0是描述符的字节长度,值为09h;字节1是描述符类型,值为04h;字节4是支持的终端号;字节5是类代码,值为08h;字节6为子类代码,值为00h;字节7是协议代码,值为50h。在类型描述符中,字节0是描述符的字节长度,字节2是SCSI规范的版本号。符合SCSI接口标准的设备的其它描述符中的字节,如设备描述符、配置描述符中的字节以及上述接口描述符和类型描述符中的其它字节仍按照USB协议中的规定设置。
按照CCID协议标准,符合CCID接口标准的设备其描述符的特征是:在接口描述符中,字节0是描述符的字节长度,值为09h;字节1是固定终端,值为04h;字节4代表其支持的终端号(除了终端0),值为02h或03h;字节5是类代码,值为0Bh;字节6为子类代码,值为00h;字节7是协议代码,值为00h。在类型描述符中,字节0是描述符的字节长度,值为36h,字节2是CCID规范的版本号,它是用二进制代码表示的小数,值为0100h,字节52是PIN码支持,值为00h-03h。符合CCID接口标准的设备的其它描述符中的字节,如设备描述符、配置描述符中的字节以及上述接口描述符和类型描述符中的其它字节仍按照USB协议中的规定设置。
按照HID协议标准,符合HID接口标准的设备其描述符的特征是:在接口描述符中,字节0是描述符的字节长度,值为09h;字节1是描述符类型,值为04h;字节4是支持的终端号,值为01h;字节5是类代码,值为03h;字节6是子类代码,值为00h;字节7是协议代码,值为00h。在类型描述符中,字节0是描述符的字节长度;字节1为HID类,值为21h;字节2是HID规范发布号,它采用二进制编码的十进制格式,比如1.0版本是0100h,1.1版本是0110h。符合HID接口标准的设备的其它描述符中的字节,如设备描述符、配置描述符中的字节以及上述接口描述符和类型描述符中的其它字节仍按照USB协议中的规定设备。
在公开日为2006.7.26,申请号为200610002400.1的“通用串行总线人机交互类的信息安全设备及其控制方法”专利中,公开了一种基于通用串行总线人机交互类的信息安全设备及其控制方法,通过包括内置有人机接口设备描述符的主控芯片,和与所述主控芯片相连的USB接口模块,使其本身可以做到小巧便携易用,而功能却很强大。HID设备目前已经得到了广泛的应用,比如在移动硬盘、U盘、键盘、鼠标等多种产品上都已有应用。
HID设备和CCID设备有诸多优点,比如HID设备和CCID设备不会受到用户权限的限制,在Windows操作系统下,普通用户和管理员用户都可以实现对HID设备和CCID设备进行访问和相应的操作;而且设备用户不需要安装驱动程序就可以随时随地使用,不需要管理版本不断升级的驱动程序,不需要考虑不同产品驱动程序的兼容问题,不需要面对驱动程序引起的操作系统使用风险,不需要担心驱动程序的安装卸载对系统产生的污染。一般地,当主机系统支持智能卡登录时,会选用CCID协议,当主机系统不支持智能卡登录时,会选用HID协议。由于HID设备以及CCID设备的上述优点使得其应用越来越广泛,但是同时也提出了一个新的问题,即HID设备和CCID设备并不能像USB-SCSI设备那样具有自动运行的功能,即不能实现对设备相关应用程序的自动安装。
为了解决信息安全设备能够在Windows操作系统下,不受用户权限限制,普通用户也可以使用的问题,即实现信息安全设备具有如下两种特性:USB-SCSI设备的自动安装特性,及HID设备/CCID设备在Windows操作系统下普通用户也可以使用的特性,目前主要的解决方式是在HID类信息安全设备/CCID类信息安全设备内部增加用以实现光盘功能的U盘部分电路,以及集线器(HUB)部分电路实现。但是当将此种设备与主机连接后,在系统枚举时会同时向主机报告为HID设备类型/CCID设备类型和SCSI设备类型两种设备类型,容易造成用户误解,更重要的是,由于增加了集线器部分电路和U盘部分电路,成本增高,可靠性也有所降低。
发明内容
为了解决具有功能选择装置的信息安全设备能够在Windows操作系统下,不受用户权限限制,普通用户也可以使用的问题,本发明提供了一种具有功能选择装置的信息安全设备以及控制方法。
一种具有功能选择装置的信息安全设备,所述信息安全设备包括控制模块、USB接口模块、功能选择模块、SCSI协议处理模块、与所述SCSI协议处理模块相连的自动运行模块、HID协议或CCID协议处理模块、与所述HID协议或CCID协议处理模块相连的信息安全模块,所述控制模块分别与所述USB接口模块、功能选择模块、SCSI协议处理模块、HID协议或CCID协议处理模块相连;
所述USB接口模块用于通过USB接口将所述信息安全设备与主机建立连接,解析并处理USB通信协议;
所述功能选择模块用于获得用户对功能选择装置的操作状态,并将操作状态通知给所述控制模块;
所述控制模块用于控制所述信息安全设备的工作模式,及对数据进行处理;
所述SCSI协议处理模块内置有SCSI接口设备描述符,用于向主机声明自身为SCSI设备类型,并解析处理SCSI命令;
所述自动运行模块用于自动启动并运行Autorun程序;
所述HID协议或CCID协议处理模块内置有在Windows操作系统下HID或CCID接口协议相关的设备描述符,用于解析和处理相关协议命令;
所述信息安全模块用于根据访问所述信息安全设备的用户身份信息对其访问权限进行管理控制,和进行加和/或解密运算。
所述信息安全模块还包括密钥数据存储单元,所述密钥数据存储单元用于存储密钥数据,所述密钥数据包括数字证书、密钥和用户私有数据。
所述信息安全模块还包括用户程序存储单元,所述用户程序存储单元用于实现用户自定义算法的写入和调用。
所述Autorun程序由所述信息安全设备的生产商预先编写,并预先存储在所述信息安全设备中。
所述自动运行模块包括检测单元和应用程序安装单元,所述检测单元用于Autorun程序检测主机中是否已经安装了与所述信息安全设备相关的应用程序,所述应用程序安装单元用于当所述检测单元未检测到主机中安装了与所述信息安全设备相关的应用程序时,Autorun程序向主机中安装与所述信息安全设备相关的应用程序。
所述信息安全设备相关的应用程序由所述信息安全设备的生产商预先编写,并预先存储在所述信息安全设备中。
所述信息安全设备相关的应用程序还包括监控程序,所述监控程序用于判断当前主机系统的用户权限。
所述SCSI协议处理模块还与所述信息安全模块相连,所述自动运行模块还包括用户权限判断单元,所述用户权限判断单元用于利用Autorun程序或监控程序判断当前主机系统的用户权限。
所述信息安全模块为安全设计芯片,所述安全设计芯片包括智能卡芯片。
所述信息安全模块与所述功能选择模块、HID协议或CCID协议处理模块、SCSI协议处理模块、控制模块、自动运行模块、USB接口模块中的一个或几个集成在一颗芯片中。
所述芯片为安全设计芯片,所述安全设计芯片包括智能卡芯片。
所述USB接口模块为USB接口芯片。
所述信息安全设备还包括状态存储模块和复位USB总线模块,所述状态存储模块与所述控制模块相连,所述复位USB总线模块分别与所述控制模块、USB接口模块相连;
所述状态存储模块用于存储用户对功能选择装置的操作状态;
所述复位USB总线模块用于控制USB总线模拟一次所述信息安全设备的拔插事件。
一种具有功能选择装置的信息安全设备的控制方法,所述方法包括:
步骤A:将所述信息安全设备与主机建立连接;
步骤B:根据功能选择装置的状态,判断出所述信息安全设备的设备类型,如果所述信息安全设备为SCSI设备类型,则自动启动并运行Autorun程序;
其中,所述自动启动并运行Autorun程序具体包括:
自动启动Autorun程序;
所述Autorun程序检测所述主机中是否已经安装了与所述信息安全设备相关的应用程序,如果所述主机中未安装与所述信息安全设备相关的应用程序,则所述Autorun程序安装与所述信息安全设备相关的应用程序到所述主机中;如果所述主机中已经安装了与所述信息安全设备相关的应用程序,则所述信息安全设备等待用户进行功能选择操作;
如果所述信息安全设备为HID或CCID设备类型,则所述信息安全设备在HID协议或CCID协议下与所述主机执行信息安全操作。
所述Autorun程序由所述信息安全设备的生产商预先编写,并预先存储在所述信息安全设备中。
所述信息安全设备相关的应用程序由所述信息安全设备的生产商预先编写,并预先存储在所述信息安全设备中。
所述信息安全设备相关的应用程序还包括监控程序,所述监控程序用于判断当前主机系统的用户权限。
所述Autorun程序安装与所述信息安全设备相关的应用程序到所述主机中之后还包括:所述Autorun程序或监控程序判断出当前主机系统的用户权限,如果所述用户权限为超级用户,则所述信息安全设备通过SCSI设备命令与所述主机进行交互,执行信息安全操作;如果所述用户权限为非超级用户,则所述信息安全设备等待用户进行功能选择操作。
一种具有功能选择装置的信息安全设备的控制方法,所述方法包括:
步骤A:将所述信息安全设备与主机建立连接,声明自身为SCSI设备类型;
步骤B:自动启动Autorun程序,所述Autorun程序检测所述主机中是否已经安装了与所述信息安全设备相关的应用程序,如果所述主机中未安装与所述信息安全设备相关的应用程序,则所述Autorun程序安装与所述信息安全设备相关的应用程序到所述主机中;如果所述主机中已经安装了与所述信息安全设备相关的应用程序,则所述信息安全设备等待用户进行功能选择操作;
步骤C:所述主机提示用户进行功能选择操作,所述信息安全设备接收到用户的选择操作后,声明自身为HID或CCID设备类型,执行信息安全操作;
或,判断当前主机系统的用户权限,根据判断结果执行信息安全操作。
所述Autorun程序由所述信息安全设备的生产商预先编写,并预先存储在所述信息安全设备中。
所述信息安全设备相关的应用程序由所述信息安全设备的生产商预先编写,并预先存储在所述信息安全设备中。
所述信息安全设备相关的应用程序还包括监控程序,所述监控程序用于判断当前主机系统的用户权限。
所述步骤C具体为:
所述主机提示用户进行功能选择操作,所述信息安全设备接收到用户对功能选择装置的操作后,记录下用户对所述功能选择装置的操作状态,然后进行USB总线的复位,所述信息安全设备根据所记录的所述功能选择装置的操作状态,判断出并声明自身为HID或CCID设备类型,执行信息安全操作;
或,所述Autorun程序或监控程序判断出当前主机系统的用户权限,如果所述用户权限为超级用户,则所述信息安全设备通过SCSI设备命令与所述主机进行交互,执行信息安全操作;如果所述用户权限为非超级用户,则所述主机提示用户进行功能选择操作,所述信息安全设备接收到用户对功能选择装置的操作后,记录下用户对所述功能选择装置的操作状态,然后进行USB总线的复位,所述信息安全设备根据所记录的所述功能选择装置的操作状态,判断出并声明自身为HID或CCID设备类型,执行信息安全操作。
有益效果:本发明提供的一种具有功能选择装置的信息安全设备及其控制方法,不会受到用户权限的限制,本发明所述的信息安全设备及其控制方法可以在Windows98、Windows2000、Windows xp、Windows2003、Windows Vista及以上操作系统下使用,不需要安装驱动程序,不需要用户手动安装软件,不需要光盘、安装包,同时在超级用户和非超级用户帐号下均可以使用。
附图说明
图1是本发明实施例1提供的一种具有开关装置的信息安全设备的结构框图;
图2是本发明实施例2提供的一种具有按钮装置的信息安全设备的结构框图;
图3是本发明实施例提供的一种具有按钮装置的信息安全设备的一种优选方案电路连接图;
图4是本发明实施例提供的一种具有功能选择装置的一种开关电路连接图;
图5是本发明实施例提供的一种具有功能选择装置的一种按钮电路连接图;
图6是本发明实施例3提供的一种具有开关装置的信息安全设备控制方法流程图;
图7是本发明实施例4提供的一种具有按钮装置的信息安全设备控制方法流程图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明,但不作为对本发明的限定。
实施例1
本实施例提供了一种具有开关装置的信息安全设备100,如图1所示,包括控制模块102、USB接口模块101、功能选择模块105、SCSI协议处理模块103、与SCSI协议处理模块相连的自动运行模块104、HID协议处理模块106、与HID协议处理模块相连的信息安全模块107;其中控制模块分别与USB接口模块、功能选择模块、SCSI协议处理模块、HID协议处理模块相连。
USB接口模块101用于通过USB接口将信息安全设备与主机建立连接,解析并处理USB通信协议。
功能选择模块105用于获得用户对开关装置的操作状态,并将操作状态通知给控制模块。
控制模块102用于控制信息安全设备的工作模式,及对数据进行处理。
SCSI协议处理模块103内置有SCSI接口设备描述符,用于向主机声明自身为SCSI设备类型,并解析处理SCSI命令。
自动运行模块104用于自动启动并运行Autorun程序,Autorun程序由所述信息安全设备的生产商预先编写,并预先存储在所述信息安全设备中;自动运行模块104包括检测单元和应用程序安装单元,检测单元利用Autorun程序检测主机中是否已经安装了与信息安全设备相关的应用程序,应用程序安装单元用于当检测单元未检测到主机中安装了与信息安全设备相关的应用程序时,利用Autorun程序向主机中安装与信息安全设备相关的应用程序。信息安全设备相关的应用程序由信息安全设备的生产商预先编写,并存储在信息安全设备中;信息安全设备相关的应用程序还包括监控程序,监控程序用于判断当前主机系统的用户权限。
自动运行模块还包括用户权限判断单元,用户权限判断单元利用Autorun程序或监控程序判断当前主机系统的用户权限。
HID协议处理模块106内置有HID接口设备描述符,用于向主机声明自身为HID设备类型,并解析处理HID命令。
信息安全模块107用于根据访问信息安全设备的用户身份信息对其访问权限进行管理控制,和进行加/解密运算;信息安全模块107包括密钥数据存储单元,用于存储密钥数据,密钥数据包括数字证书、密钥和用户私有数据;信息安全模块107还包括用户程序存储单元,用于实现用户自定义算法的写入和调用。信息安全模块可以是安全设计芯片,包括智能卡芯片。另外,信息安全模块107还可以与SCSI协议处理模块103相连。
在实际的产品设计中,可以有多种实现形式,信息安全模块可以与HID协议处理模块、SCSI协议处理模块、控制模块、自动运行模块、USB接口模块中的一个或几个集成在一颗芯片(可以是安全设计芯片,包括智能卡芯片)中实现;功能选择模块可以用开关电路实现;USB接口模块还可以是与主控芯片分立的USB接口芯片。比如可以利用一颗安全设计芯片(包括智能卡芯片)实现信息安全模块、HID协议处理模块、SCSI协议处理模块的功能,利用一颗通用单片机实现控制模块的功能,利用存储芯片存储与信息安全设备相关的应用程序和Autorun程序,实现信息安全模块功能和自动运行模块的功能,再利用一颗USB协议芯片来实现USB接口模块的功能;本实施例提供的具有开关装置的信息安全设备还可以利用一颗安全设计芯片(包括智能卡芯片)实现控制模块、USB接口模块、HID协议处理模块及SCSI协议处理模块的功能,利用存储芯片实现信息安全模块、自动运行模块的功能等多种方式实现。上述存储芯片的存储介质可以是RAM(随机存储器)、ROM(只读存储器)、EPROM(可擦可编程只读存储器)、EEPROM(电子可擦可编程只读存储器)和FLASH(闪存存储器)。
本实施例中的HID协议处理模块106可以由在Windows操作系统下不受用户权限限制的接口协议相对应的协议处理模块来替换,比如内置有CCID接口设备描述符,用于向主机声明自身为CCID设备类型,并解析处理CCID命令的CCID协议处理模块。
本实施例提供一种开关电路的优选方案,如图4所示,信息安全设备由主控芯片和开关电路两部分构成,本方案中选用中兴公司的Z32H256SU系列芯片,Z32H256SU主控芯片可以实现对信息安全设备工作模式的控制,及对数据进行处理。如图4所示,电路板上安装有主控芯片Z32H256SU芯片401,开关406。主控芯片Z32H256SU芯片的GND低电平管脚405与开关406上的1处相连,主控芯片Z32H256SU芯片的VCC高电平管脚403与开关2相连,I/O接口404与开关406相连,用以实现通过开关电路来控制主控芯片Z32H256SU芯片。当开关被拨到2处,I/O接口、开关和VCC形成回路,主控芯片Z32H256SU检测到I/O接口为高电平时,信息安全设备的功能选择到SCSI协议工作状态。当开关被拨到1处,I/O接口、开关和GND形成回路,主控芯片Z32H256SU检测到I/O接口为低电平时,信息安全设备的功能选择到HID协议工作状态。
实施例2:
本实施例提供了一种具有按钮装置的信息安全设备200,如图2所示,包括控制模块202、USB接口模块20、与USB接口模块相连的复位USB总线模块207、状态存储模块205、功能选择模块206、SCSI协议处理模块203、与SCSI协议处理模块相连的自动运行模块204、HID协议处理模块208、与HID协议处理模块相连的信息安全模块209。其中控制模块分别与USB接口模块、状态存储模块、功能选择模块、HID协议处理模块、复位USB总线模块、SCSI协议处理模块相连。
USB接口模块201用于通过USB接口将信息安全设备与主机建立连接,解析并处理USB通信协议。
功能选择模块206用于获得用户对按钮装置的操作状态,并将操作状态通知给控制模块。
控制模块202用于控制信息安全设备的工作模式,及对数据进行处理。
SCSI协议处理模块203内置有SCSI接口设备描述符,用于向主机声明自身为SCSI设备类型,并解析处理SCSI指令。
自动运行模块204用于自动启动并运行Autorun程序,Autorun程序由所述信息安全设备的生产商预先编写,并预先存储在所述信息安全设备中;自动运行模块104包括检测单元和应用程序安装单元,检测单元利用Autorun程序检测主机中是否已经安装了与信息安全设备相关的应用程序,应用程序安装单元用于当检测单元未检测到主机中安装了与信息安全设备相关的应用程序时,利用Autorun程序向主机中安装与信息安全设备相关的应用程序。信息安全设备相关的应用程序由信息安全设备的生产商预先编写,并存储在信息安全设备中;信息安全设备相关的应用程序还包括监控程序,监控程序用于判断当前主机系统的用户权限。
自动运行模块还包括用户权限判断单元,用户权限判断单元利用Autorun程序或监控程序判断当前主机系统的用户权限。
状态存储模块205用于存储信息安全设备的工作状态。
复位USB总线模块207用于控制USB总线模拟一次信息安全设备的拔插事件,复位USB总线模块通过控制USB信号线上的电平变化来实现在USB总线上模拟一次信息安全设备的拔插事件。
HID协议处理模块208内置有HID接口设备描述符,用于向主机声明自身为HID设备类型,并解析处理HID指令。
信息安全模块209用于根据访问信息安全设备的用户身份信息对其访问权限进行管理控制,和进行加/解密运算;信息安全模块209包括密钥数据存储单元,用于存储密钥数据,密钥数据包括数字证书、密钥和用户私有数据;信息安全模块209还包括用户程序存储单元,用于实现用户自定义算法的写入和调用。信息安全模块可以是安全设计芯片,包括智能卡芯片。另外,信息安全模块209还可以与SCSI协议处理模块相连。
在实际的产品设计中,可以有多种实现形式,信息安全模块可以与HID协议处理模块、SCSI协议处理模块、控制模块、自动运行模块、复位USB总线模块、USB接口模块中的一个或几个集成在一颗芯片(可以是安全设计芯片,包括智能卡芯片)中实现;功能选择模块可以用按钮电路实现;USB接口模块也可以是与主控芯片分立的USB接口芯片。比如可以利用一颗安全设计芯片(包括智能卡芯片)实现信息安全模块、HID协议处理模块、SCSI协议处理模块的功能,利用一颗通用单片机实现控制模块的功能,利用复位电路实现控制USB总线模拟一次所述设备的拔插事件,利用存储芯片存储的Autorun程序,实现自动运行模块的功能,再利用一颗USB协议芯片实现USB接口模块的功能;本实施例提供的具有按钮装置的信息安全设备还可以利用存储芯片存储自动运行程序,再利用一颗安全设计芯片(包括智能卡芯片)实现信息安全模块、控制模块、USB接口模块、复位USB总线模块、HID协议处理模块及SCSI协议处理模块的功能。上述存储芯片的存储介质可以是RAM(随机存储器)、ROM(只读存储器)、EPROM(可擦可编程只读存储器)、EEPROM(电子可擦可编程只读存储器)和FLASH(闪存存储器)。
本实施例中的HID协议处理模块208可以由在Windows操作系统下不受用户权限限制的接口协议相对应的协议处理模块来替换,比如内置有CCID接口设备描述符,用于向主机声明自身为CCID设备类型,并解析处理CCID指令的CCID协议处理模块。
实施例1与实施例2中的主机可以是台式电脑、笔记本电脑、服务器或专用机。本发明实施例实现的可自动安装的信息安全设备也可以与其它外部设备进行连接,外部设备可以但不限于是读卡器、通讯设备、数码相机、主机外设或其它专用设备。
本实施例提供了一个优选方案,如图3,信息安全设备由外壳部分和装于其内的电路板两部分构成,电路板上的核心部件为带有USB接口的智能卡芯片(本方案中选用中兴公司的Z32H256SU芯片)、USB总线复位电路、大容量存储芯片(本方案选用SPANSION公司的S25FL004芯片),及USB接头;如图3所示,电路板上安装有主控芯片Z32H256SU(301),电阻R(302),大容量FLASH芯片S25FL004(304)以及USB接头(303),USB接头用于提供信息安全设备与主机进行通信的接头。主控芯片Z32H256SU的D+管脚(USB数据串正端)与USB接头的D+管脚(USB数据串正端)相连,主控芯片Z32H256SU的D-管脚(USB数据串负端)与USB接头的D-管脚(USB数据串负端)相连,用以实现主控芯片Z32H256SU通过USB接头与主机进行通信,其中管脚D+和管脚D-为USB的两根信号线,负责与USB总线上的设备交换数据。主控芯片Z32H256SU利用一个I/O管脚通过电阻R(302)连接到USB接头的D+管脚(USB数据串正端),实现USB总线复位操作;也可以将Z32H256SU芯片的I/O管脚通过电阻R(302)连接到USB接头的D-管脚(USB数据串负端)来实现USB总线的复位操作;当将其连接到USB接头的D-管脚上时,信息安全设备被指定为低速USB设备(此时能够支持USB的1.5Mbps低速模式进行数据传输),当将其连接到USB接头的D+管脚上时,信息安全设备被指定为全速USB设备(此时能够支持USB的12Mbps全速模式进行数据传输);USB总线复位原理是先给Z32H256SU芯片的I/O管脚一个低电平,之后再给该I/O管脚一个高电平,通过控制USB信号线上的电平变化来实现USB总线模拟一次信息安全设备的拔插事件,这里也可以通过让I/O管脚处于高阻状态来实现USB总线模拟一次信息安全设备的拔插事件。
主控芯片Z32H256SU外扩一大容量FLASH芯片S25FL004,用来存储Autorun程序以及与信息安全设备相关的应用程序等。
主控芯片Z32H256SU能够控制信息安全设备的工作模式,及对数据进行处理。另外,本优选方案中选用的Z32H256SU主控芯片中带有32KB的EEPROM用于存储数据和程序,以及256KB的FLASH用于存储程序、函数库、不常变动数据等,由于其存储空间为非易失性存储介质类型,可以实现多次擦写,为程序的升级提供了便利,同时由于其非易失特性,也使得固件程序的存储更加安全可靠,所以也可以将与信息安全相关的固件程序存储在Z32H256SU芯片中,用于实现信息安全模块的功能。
上述优选方案的结构只是本发明的一个特例,在具体实施时,可以采用具有内置USB复位功能的安全设计芯片来实现,比如Cypress公司的CY7C63813或者MOTOROLA公司的MOTO9085B8/JB16芯片都可以实现内置USB复位功能,在实现时,只需向USB复位寄存器写值便可以实现USB信号线上的电平变化,从而控制USB总线上模拟一次信息安全设备的拔插事件,即将USB总线复位模块与控制模块集成在一颗芯片(可以是安全设计芯片,包括智能卡芯片)中实现,此时,电路板上就可以省掉USB复位电路部分。
在具体实施时,USB接口模块也可以是与安全设计芯片分立的USB协议芯片,比如飞利浦的USB接口芯片PDIUSBD12。
本实施例提供一种按钮电路优选方案,如图5所示,信息安全设备由主控芯片和按钮两部分构成,本方案中选用中兴公司的Z32H256SU系列芯片,Z32H256SU主控芯片可以实现对信息安全设备工作模式的控制,及对数据进行处理。如图5所示,电路板上安装有主控芯片Z32H256SU芯片501,按钮506。当按钮被按下时,按钮506与1、2相连接,I/O接口、1、2与VCC形成回路,此时Z32H256SU主控芯片检测I/O接口为高电平;当按钮被松开时,I/O接口与GND形成回路,此时Z32H256SU主控芯片检测I/O接口为低电平。Z32H256SU主控芯片检测到了I/O接口的高低电平的变化,从而判断出用户对按钮的操作状态。
实施例3:
本实施例提出了一种具有开关装置的信息安全设备的控制方法,如图6所示,具体包括如下步骤:
步骤601:将信息安全设备通过USB接口与主机建立连接。
步骤602:根据开关装置所处的状态,判断信息安全设备为何种设备类型,如果该设备为SCSI设备类型,则执行步骤603;如果该设备为HID设备类型,则执行步骤610。
步骤603:信息安全设备声明自身为SCSI设备类型。
主机向信息安全设备发送设备类型请求,信息安全设备向主机报告设备描述符为SCSI设备描述符,声明自身为SCSI设备类型。
步骤604:自动启动Autorun程序。
Autorun程序由信息安全设备生产商预先编写,并存储在信息安全设备中。
步骤605:Autorun程序检测主机中是否已经安装了与信息安全设备相关的应用程序,如果主机中已经安装了与信息安全设备相关的应用程序,则执行步骤607,如果主机中未安装与信息安全设备相关的应用程序,则执行步骤606。
信息安全设备相关的应用程序包括监控程序,为预先存储在信息安全设备中,并由信息安全设备生产商预先编写好的;如果主机中已经安装有信息安全设备相关的应用程序,则当主机开启时,监控程序便会自动启动。
步骤606:Autorun程序安装与信息安全设备相关的应用程序到主机中。
当信息安全设备相关应用程序安装完毕后,监控程序便会自动启动。
步骤607:Autorun程序或监控程序判断当前主机系统的用户权限,如果当前主机系统工作在超级用户权限下,执行步骤608;如果当前主机系统工作在非超级用户权限下,执行步骤609。
判断当前主机系统的用户权限可以通过调用主机系统自带的函数来进行,例如,可以直接调用如下系统函数实现:
#include<Windows.h>
CheckTokenMembership(NULL,AdministratorsGroup,&b);
也可以调用如下系统函数实现:
#include<Windows.h>
GetUserName(lpszSystemInfo,&cchBuff);
步骤608:信息安全设备与主机之间通过SCSI设备命令执行信息安全操作。
步骤609:主机提示用户拨动信息安全设备上的开关装置,并拔插信息安全设备。
用户拨动开关装置并拔插信息安全设备,信息安全设备接收到用户的操作后,信息安全设备由SCSI设备类型切换到HID设备类型。
步骤610:信息安全设备声明自身为HID设备类型。
主机向信息安全设备发送设备类型请求,信息安全设备向主机报告设备描述符为HID设备描述符,声明自身为HID设备类型。
步骤611:信息安全设备与主机之间通过HID设备命令执行信息安全操作。
步骤608和步骤611中的信息安全操作包括数据交互,包括对写入的数据在信息安全设备中进行加密或对读取的数据在信息安全设备内进行解密;还包括身份认证信息处理,存储/验证密码信息、存储/验证签名、存储/验证证书、权限管理;还包括预置代码进行数据运算,其中预置代码包括预置用户软件部分片断,用户软件部分片断不能被读出信息安全设备,并在其内部运行进行数据运算,以及预置软件保护应用接口函数,软件保护应用接口函数是信息安全设备和软件开发商应用之间的接口级函数等等。
本实施例中的HID协议可以由在Windows操作系统下不受用户权限限制的接口协议来替换,比如CCID协议,步骤610至611可以由下面的步骤替换:
步骤610′:信息安全设备声明自身为CCID设备类型。
主机向信息安全设备发送设备类型请求,信息安全设备向主机报告设备描述符为CCID设备描述符,声明自身为CCID设备类型。
步骤611′:信息安全设备与主机之间通过CCID设备命令进行信息安全操作。
实施例4:
本实施例还提出了一种具有按钮装置的信息安全设备的控制方法,如图7所示,具体包括如下步骤:
步骤701:将信息安全设备通过USB接口与主机建立连接。
步骤702:信息安全设备声明自身为SCSI设备类型。
主机向信息安全设备发送设备类型请求,信息安全设备向主机报告设备描述符为SCSI设备描述符,声明自身为SCSI设备类型。
步骤703:自动启动Autorun程序。
Autorun程序由信息安全设备生产商预先编写,并存储在信息安全设备中。
步骤704:Autorun程序检测主机中是否已经安装了与信息安全设备相关的应用程序,如果主机中已经安装了与信息安全设备相关的应用程序,则执行步骤706,如果主机中未安装与信息安全设备相关的应用程序,则执行步骤705。
信息安全设备相关的应用程序包括监控程序,为预先存储在信息安全设备中,并由信息安全设备生产商预先编写好的;如果主机中已经安装有信息安全设备相关的应用程序,则当主机开启时,监控程序便会自动启动。
步骤705:Autorun程序安装与信息安全设备相关的应用程序到主机中。
当应用程序安装完毕后,监控程序便会自动启动。
步骤706:Autorun程序或监控程序判断当前主机系统的用户权限,如果当前主机系统工作在超级用户权限下,则执行步骤711;如果当前主机系统工作在非超级用户权限下,则执行步骤707。
判断当前主机系统的用户权限可以通过调用主机系统自带的函数来进行,例如,可以直接调用如下系统函数实现:
#include<Windows.h>
CheckTokenMembership(NULL,AdministratorsGroup,&b);
也可以调用如下系统函数实现:
#include<Windows.h>
GetUserName(lpszSystemInfo,&cchBuff);
步骤707:主机提示用户操作信息安全设备上的按钮装置。
步骤708:信息安全设备接收到用户的操作。
信息安全设备由SCSI设备类型切换到HID设备类型。
步骤709:控制USB总线模拟一次信息安全设备的拔插事件,并声明自身为HID设备类型。
步骤710:信息安全设备与主机之间通过HID设备命令执行信息安全操作。
步骤711:信息安全设备与主机之间通过SCSI设备命令执行信息安全操作。
信息安全操作包括数据交互,包括对写入的数据在信息安全设备中进行加密或对读取的数据在信息安全设备内进行解密;还包括身份认证信息处理,存储/验证密码信息、存储/验证签名、存储/验证证书、权限管理;还包括预置代码进行数据运算,其中预置代码包括预置用户软件部分片断,用户软件部分片断不能被读出信息安全设备,并在其内部运行进行数据运算,以及预置软件保护应用接口函数,软件保护应用接口函数是信息安全设备和软件开发商应用之间的接口级函数等等。
步骤708至步骤710具体为:信息安全设备接收到用户对按钮装置的操作后,记录下用户对按钮装置的操作状态,然后进行USB总线的复位,信息安全设备根据所记录的按钮装置的操作状态,判断出并声明自身为HID设备类型,执行信息安全操作。
本实施例中的HID协议可以由在Window操作系统下不受用户权限限制的接口协议来替换,比如CCID协议,步骤709至710可以由下面的步骤替换:
步骤709′:控制USB总线模拟一次信息安全设备的拔插事件,并声明自身为CCID设备类型。
步骤710′:信息安全设备与主机之间通过CCID设备命令进行信息安全操作。
本实施例还可以在执行完步骤705后,不用判断当前主机系统的用户权限,而由主机提示用户操作信息安全设备上的按钮装置,将信息安全设备由SCSI设备类型切换到HID设备类型,信息安全设备与主机之间通过HID设备命令执行信息安全操作,其具体步骤如下:
步骤706″:主机提示用户操作信息安全设备上的按钮装置。
步骤707″:信息安全设备接收到用户的操作。
步骤708″:控制USB总线模拟一次信息安全设备的拔插事件,并声明自身为HID设备类型。
步骤709″:信息安全设备与主机之间通过HID设备命令执行信息安全操作。
以上所述的实施例只是本发明较优选的具体实施方式,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。
Claims (23)
1.一种具有功能选择装置的信息安全设备,其特征在于,所述信息安全设备包括控制模块、USB接口模块、功能选择模块、SCSI协议处理模块、与所述SCSI协议处理模块相连的自动运行模块、HID协议或CCID协议处理模块、与所述HID协议或CCID协议处理模块相连的信息安全模块,所述控制模块分别与所述USB接口模块、功能选择模块、SCSI协议处理模块、HID协议或CCID协议处理模块相连;
所述USB接口模块用于通过USB接口将所述信息安全设备与主机建立连接,解析并处理USB通信协议;
所述功能选择模块用于获得用户对功能选择装置的操作状态,并将操作状态通知给所述控制模块;
所述控制模块用于控制所述信息安全设备的工作模式,及对数据进行处理;
所述SCSI协议处理模块内置有SCSI接口设备描述符,用于向主机声明自身为SCSI设备类型,并解析处理SCSI命令;
所述自动运行模块用于自动启动并运行Autorun程序;
所述HID协议或CCID协议处理模块内置有在Windows操作系统下HID或CCID接口协议相关的设备描述符,用于解析和处理相关协议命令;
所述信息安全模块用于根据访问所述信息安全设备的用户身份信息对其访问权限进行管理控制,和进行加和/或解密运算。
2.如权利要求1所述的具有功能选择装置的信息安全设备,其特征在于,所述信息安全模块还包括密钥数据存储单元,所述密钥数据存储单元用于存储密钥数据,所述密钥数据包括数字证书、密钥和用户私有数据。
3.如权利要求1所述的具有功能选择装置的信息安全设备,其特征在于,所述信息安全模块还包括用户程序存储单元,所述用户程序存储单元用于实现用户自定义算法的写入和调用。
4.如权利要求1所述的具有功能选择装置的信息安全设备,其特征在于,所述Autorun程序由所述信息安全设备的生产商预先编写,并预先存储在所述信息安全设备中。
5.如权利要求1所述的具有功能选择装置的信息安全设备,其特征在于,所述自动运行模块包括检测单元和应用程序安装单元,所述检测单元用于Autorun程序检测主机中是否已经安装了与所述信息安全设备相关的应用程序,所述应用程序安装单元用于当所述检测单元未检测到主机中安装了与所述信息安全设备相关的应用程序时,Autorun程序向主机中安装与所述信息安全设备相关的应用程序。
6.如权利要求5所述的具有功能选择装置的信息安全设备,其特征在于,所述信息安全设备相关的应用程序由所述信息安全设备的生产商预先编写,并预先存储在所述信息安全设备中。
7.如权利要求5所述的具有功能选择装置的信息安全设备,其特征在于,所述信息安全设备相关的应用程序还包括监控程序,所述监控程序用于判断当前主机系统的用户权限。
8.如权利要求5或7所述的具有功能选择装置的信息安全设备,其特征在于,所述SCSI协议处理模块还与所述信息安全模块相连,所述自动运行模块还包括用户权限判断单元,所述用户权限判断单元用于利用Autorun程序或监控程序判断当前主机系统的用户权限。
9.如权利要求1-3中任意一项权利要求所述的具有功能选择装置的信息安全设备,其特征在于,所述信息安全模块为安全设计芯片,所述安全设计芯片包括智能卡芯片。
10.如权利要求1-3中任意一项权利要求所述的具有功能选择装置的信息安全设备,其特征在于,所述信息安全模块与所述功能选择模块、HID协议或CCID协议处理模块、SCSI协议处理模块、控制模块、自动运行模块、USB接口模块中的一个或几个集成在一颗芯片中。
11.如权利要求10所述的具有功能选择装置的信息安全设备,其特征在于,所述芯片为安全设计芯片,所述安全设计芯片包括智能卡芯片。
12.如权利要求1-3中任意一项权利要求所述的具有功能选择装置的信息安全设备,其特征在于,所述USB接口模块为USB接口芯片。
13.如权利要求1所述的具有功能选择装置的信息安全设备,其特征在于,所述信息安全设备还包括状态存储模块和复位USB总线模块,所述状态存储模块与所述控制模块相连,所述复位USB总线模块分别与所述控制模块、USB接口模块相连;
所述状态存储模块用于存储用户对功能选择装置的操作状态;
所述复位USB总线模块用于控制USB总线模拟一次所述信息安全设备的拔插事件。
14.一种具有功能选择装置的信息安全设备的控制方法,其特征在于,所述方法包括:
步骤A:将所述信息安全设备与主机建立连接;
步骤B:根据功能选择装置的状态,判断出所述信息安全设备的设备类型,如果所述信息安全设备为SCSI设备类型,则自动启动并运行Autorun程序;
其中,所述自动启动并运行Autorun程序具体包括:
自动启动Autorun程序;
所述Autorun程序检测所述主机中是否已经安装了与所述信息安全设备相关的应用程序,如果所述主机中未安装与所述信息安全设备相关的应用程序,则所述Autorun程序安装与所述信息安全设备相关的应用程序到所述主机中;如果所述主机中已经安装了与所述信息安全设备相关的应用程序,则所述信息安全设备等待用户进行功能选择操作;
如果所述信息安全设备为HID或CCID设备类型,则所述信息安全设备在HID协议或CCID协议下与所述主机执行信息安全操作。
15.如权利要求14所述的具有功能选择装置的信息安全设备的控制方法,其特征在于,所述Autorun程序由所述信息安全设备的生产商预先编写,并预先存储在所述信息安全设备中。
16.如权利要求15所述的具有功能选择装置的信息安全设备的控制方法,其特征在于,所述信息安全设备相关的应用程序由所述信息安全设备的生产商预先编写,并预先存储在所述信息安全设备中。
17.如权利要求15所述的具有功能选择装置的信息安全设备的控制方法,其特征在于,所述信息安全设备相关的应用程序还包括监控程序,所述监控程序用于判断当前主机系统的用户权限。
18.如权利要求15或17所述的具有功能选择装置的信息安全设备的控制方法,其特征在于,所述Autorun程序安装与所述信息安全设备相关的应用程序到所述主机中之后还包括:所述Autorun程序或监控程序判断出当前主机系统的用户权限,如果所述用户权限为超级用户,则所述信息安全设备通过SCSI设备命令与所述主机进行交互,执行信息安全操作;如果所述用户权限为非超级用户,则所述信息安全设备等待用户进行功能选择操作。
19.一种具有功能选择装置的信息安全设备的控制方法,其特征在于,所述方法包括:
步骤A:将所述信息安全设备与主机建立连接,声明自身为SCSI设备类型;
步骤B:自动启动Autorun程序,所述Autorun程序检测所述主机中是否已经安装了与所述信息安全设备相关的应用程序,如果所述主机中未安装与所述信息安全设备相关的应用程序,则所述Autorun程序安装与所述信息安全设备相关的应用程序到所述主机中;如果所述主机中已经安装了与所述信息安全设备相关的应用程序,则所述信息安全设备等待用户进行功能选择操作;
步骤C:所述主机提示用户进行功能选择操作,所述信息安全设备接收到用户的选择操作后,声明自身为HID或CCID设备类型,执行信息安全操作;
或,判断当前主机系统的用户权限,根据判断结果执行信息安全操作。
20.如权利要求19所述的具有功能选择装置的信息安全设备的控制方法,其特征在于,所述Autorun程序由所述信息安全设备的生产商预先编写,并预先存储在所述信息安全设备中。
21.如权利要求19所述的具有功能选择装置的信息安全设备的控制方法,其特征在于,所述信息安全设备相关的应用程序由所述信息安全设备的生产商预先编写,并预先存储在所述信息安全设备中。
22.如权利要求19所述的具有功能选择装置的信息安全设备的控制方法,其特征在于,所述信息安全设备相关的应用程序还包括监控程序,所述监控程序用于判断当前主机系统的用户权限。
23.如权利要求19或22所述的具有功能选择装置的信息安全设备的控制方法,其特征在于,所述步骤C具体为:
所述主机提示用户进行功能选择操作,所述信息安全设备接收到用户对功能选择装置的操作后,记录下用户对所述功能选择装置的操作状态,然后进行USB总线的复位,所述信息安全设备根据所记录的所述功能选择装置的操作状态,判断出并声明自身为HID或CCID设备类型,执行信息安全操作;
或,所述Autorun程序或监控程序判断出当前主机系统的用户权限,如果所述用户权限为超级用户,则所述信息安全设备通过SCSI设备命令与所述主机进行交互,执行信息安全操作;如果所述用户权限为非超级用户,则所述主机提示用户进行功能选择操作,所述信息安全设备接收到用户对功能选择装置的操作后,记录下用户对所述功能选择装置的操作状态,然后进行USB总线的复位,所述信息安全设备根据所记录的所述功能选择装置的操作状态,判断出并声明自身为HID或CCID设备类型,执行信息安全操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100640120A CN101018131B (zh) | 2007-02-16 | 2007-02-16 | 一种具有功能选择装置的信息安全设备及其控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100640120A CN101018131B (zh) | 2007-02-16 | 2007-02-16 | 一种具有功能选择装置的信息安全设备及其控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101018131A CN101018131A (zh) | 2007-08-15 |
| CN101018131B true CN101018131B (zh) | 2010-11-03 |
Family
ID=38726902
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100640120A Active CN101018131B (zh) | 2007-02-16 | 2007-02-16 | 一种具有功能选择装置的信息安全设备及其控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101018131B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101369302B (zh) * | 2008-09-24 | 2011-04-27 | 北京飞天诚信科技有限公司 | 一种控制信息安全设备访问权限的方法和系统 |
| CN101420299B (zh) * | 2008-11-28 | 2010-09-01 | 北京飞天诚信科技有限公司 | 提高智能密钥设备稳定性的方法和智能密钥设备 |
| CN101901197B (zh) * | 2009-05-31 | 2012-08-22 | 深圳市文鼎创数据科技有限公司 | 信息安全设备、控制方法及系统 |
| CN101699416B (zh) * | 2009-10-30 | 2011-05-18 | 北京飞天诚信科技有限公司 | 主机与多卡座读卡器的通信方法和系统 |
| WO2011050740A1 (zh) * | 2009-10-30 | 2011-05-05 | 北京飞天诚信科技有限公司 | 多卡座读卡器的识别方法及其与主机的通信方法和系统 |
| CN102024106B (zh) * | 2010-11-17 | 2014-01-15 | 曙光云计算技术有限公司 | 一种在加密卡内执行用户定制代码的方法和加密卡 |
| CN102736992B (zh) * | 2011-04-15 | 2015-01-21 | 深圳市文鼎创数据科技有限公司 | 智能密钥设备自适应驱动的方法、装置及智能密钥设备 |
| CN106201446A (zh) * | 2015-04-30 | 2016-12-07 | 小米科技有限责任公司 | 实现电子设备的辅助功能的方法及装置 |
| CN110837664B (zh) * | 2018-08-15 | 2023-07-21 | 旺宏电子股份有限公司 | 多芯片封装模块、其控制方法及安全芯片 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2636326Y (zh) * | 2003-06-13 | 2004-08-25 | 北京时代卓易科技发展有限公司 | 基于通用串行总线接口的安全加密和存储装置 |
| CN1808973A (zh) * | 2006-01-27 | 2006-07-26 | 北京飞天诚信科技有限公司 | 通用串行总线人机交互类的信息安全设备及其控制方法 |
| EP1703433A1 (en) * | 2005-03-15 | 2006-09-20 | O2 Micro, Inc. | Method and apparatus for contactless ICC connectivity |
| CN1889434A (zh) * | 2006-07-21 | 2007-01-03 | 胡祥义 | 一种安全高效网络用户身份鉴别的方法 |
-
2007
- 2007-02-16 CN CN2007100640120A patent/CN101018131B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2636326Y (zh) * | 2003-06-13 | 2004-08-25 | 北京时代卓易科技发展有限公司 | 基于通用串行总线接口的安全加密和存储装置 |
| EP1703433A1 (en) * | 2005-03-15 | 2006-09-20 | O2 Micro, Inc. | Method and apparatus for contactless ICC connectivity |
| CN1808973A (zh) * | 2006-01-27 | 2006-07-26 | 北京飞天诚信科技有限公司 | 通用串行总线人机交互类的信息安全设备及其控制方法 |
| CN1889434A (zh) * | 2006-07-21 | 2007-01-03 | 胡祥义 | 一种安全高效网络用户身份鉴别的方法 |
Non-Patent Citations (1)
| Title |
|---|
| CN 1889434 A,全文. |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101018131A (zh) | 2007-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100462949C (zh) | 一种可自动安装的信息安全设备及其控制方法 | |
| CN101018131B (zh) | 一种具有功能选择装置的信息安全设备及其控制方法 | |
| CN100555298C (zh) | 虚拟个人办公环境的方法和设备 | |
| CN101266590B (zh) | 动态切换设备配置的方法和系统 | |
| US6996710B1 (en) | Platform and method for issuing and certifying a hardware-protected attestation key | |
| CN101154256B (zh) | 启动可信共存环境的方法和装置 | |
| CN100437618C (zh) | 一种便携式信息安全设备 | |
| US6581162B1 (en) | Method for securely creating, storing and using encryption keys in a computer system | |
| US5949882A (en) | Method and apparatus for allowing access to secured computer resources by utilzing a password and an external encryption algorithm | |
| CN100452003C (zh) | 多接口和可自动安装的信息安全设备及其控制方法 | |
| US8918652B2 (en) | System and method for BIOS and controller communication | |
| CN101587519B (zh) | 一种实现多功能信息安全设备的系统及方法 | |
| US9015454B2 (en) | Binding data to computers using cryptographic co-processor and machine-specific and platform-specific keys | |
| US20110093693A1 (en) | Binding a cryptographic module to a platform | |
| WO2019209630A1 (en) | File processing method and system, and data processing method | |
| US20080022099A1 (en) | Information transfer | |
| CN109804598B (zh) | 信息处理的方法、系统及计算机可读介质 | |
| US20170201373A1 (en) | Systems and methods for management controller management of key encryption key | |
| CN103488919A (zh) | 一种可执行程序的保护方法及装置 | |
| US20200313893A1 (en) | Cryptographic hardware watchdog | |
| CN101383833B (zh) | 提高智能密钥装置pin码输入安全性的装置和方法 | |
| CN104346572A (zh) | 一种通用的外置式智能终端安全运行环境构建方法 | |
| CN101150459A (zh) | 提高信息安全装置安全性的方法及系统 | |
| CN103810442A (zh) | 保护基本输入输出系统的设备与方法 | |
| CN201078772Y (zh) | 多接口和可自动安装的信息安全设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: FEITIAN CHENGXIN TECHNOLOGY CO., LTD. Free format text: FORMER NAME: BEIJING FEITIAN CHENGXIN SCIENCE + TECHNOLOGY CO. LTD. |
|
| CP03 | Change of name, title or address |
Address after: 100085 Beijing city Haidian District Xueqing Road No. 9 Ebizal building B block 17 layer Patentee after: Feitian Technologies Co.,Ltd. Address before: 100083, Haidian District, Xueyuan Road, No. 40 research, 7 floor, 5 floor, Beijing Patentee before: FEITIAN TECHNOLOGIES Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 17th floor, building B, Huizhi building, No.9, Xueqing Road, Haidian District, Beijing 100085 Patentee after: Feitian Technologies Co.,Ltd. Country or region after: China Address before: 100085 17th floor, block B, Huizhi building, No.9 Xueqing Road, Haidian District, Beijing Patentee before: Feitian Technologies Co.,Ltd. Country or region before: China |
|
| OL01 | Intention to license declared |