CN101587519B - 一种实现多功能信息安全设备的系统及方法 - Google Patents
一种实现多功能信息安全设备的系统及方法 Download PDFInfo
- Publication number
- CN101587519B CN101587519B CN2008101120645A CN200810112064A CN101587519B CN 101587519 B CN101587519 B CN 101587519B CN 2008101120645 A CN2008101120645 A CN 2008101120645A CN 200810112064 A CN200810112064 A CN 200810112064A CN 101587519 B CN101587519 B CN 101587519B
- Authority
- CN
- China
- Prior art keywords
- information safety
- safety devices
- equipment
- main frame
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 238000004891 communication Methods 0.000 claims description 15
- 238000013461 design Methods 0.000 claims description 13
- 230000008569 process Effects 0.000 claims description 11
- 230000008676 import Effects 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 4
- 230000003993 interaction Effects 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 2
- 238000009434 installation Methods 0.000 abstract description 7
- 230000003287 optical effect Effects 0.000 abstract 1
- 230000006870 function Effects 0.000 description 16
- 230000008859 change Effects 0.000 description 3
- 238000004880 explosion Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000033228 biological regulation Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000033772 system development Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Images
Abstract
本发明公开了一种实现多功能信息安全设备的系统及方法,属于信息安全领域。利用本发明所提供的方法可以在Windows98PE、Windows2000、Windows XP、Windows2003、WindowsVista及以上操作系统下使用,不需要安装驱动程序,不需要用户手动安装软件,不需要光盘、安装包,同时在超级用户和非超级用户账号下均可以使用;规避通过SCSI协议访问信息安全设备带来的管理员权限问题;使现有技术中的信息安全设备能够在Windows操作系统下,不受用户权限限制,且无需用户进行手动切换,即可在使用过程中同时具有USB-SCSI设备类型的自动安装功能以及HID设备/CCID设备类型的功能。所述系统包括:主机模块和信息安全设备。
Description
技术领域
本发明涉及信息安全领域,特别涉及一种实现多功能信息安全设备的系统及方法。
背景技术
由于Windows操作系统是一个支持多用户、多任务的操作系统,使得安全问题成为了非常关键的问题,因此Window操作系统需要对用户进行权限设置。权限是指用户对系统资源的访问权利。权限的设置是基于用户和进程而言的,不同的用户访问计算机具有不同的权限。Windows的用户被分成许多组,常见的用户组有以下几种:
Administrator:管理员组,默认情况下,Administrator中的用户对计算机/域有第一制的完全访问权。
System:拥有和Administrator一样的,甚至比其还高的权限,具有系统和系统级的服务正常运行所需要的权限。
PowerUser:高级用户组,在权限设置中,这个组的权限是仅次于Administrator的。PowerUser可以执行除了为Administrator组保留的任务外的其他任何操作系统任务。
User:普通用户组,这个组的用户无法对计算机系统进行改动。
Guest:来宾组,来宾帐户的限制要比普通User账号更多。
通常习惯称Administrator、System和Power User为超级用户,User和Guest为非超级用户。
信息安全设备(简称设备)是一种带有处理器和存储器的小型硬件装置,它通过计算机的数据通讯接口与主机连接。它具有密钥生成、安全存储密钥、预置加密算法等功能。信息安全设备与密钥相关的运算完全在装置内部运行,且信息安全设备具有抗攻击的特性,安全性极高。信息安全设备一般通过USB接口与计算机相连,通常被称为USB KEY或USB Token。信息安全设备生产商、软件系统开发商或者最终用户可以将一些重要信息存储到信息安全设备中,用以保证安全性或者防止遗忘。目前,较高端的信息安全设备是可编程的,即可以实现在信息安全设备中运行预先存入其中的代码。
一般信息安全设备中会内置安全设计芯片来实现信息安全功能。安全设计芯片除了具有通用嵌入式微控制器的各种特性外,更多的是在安全性能方面,安全设计芯片在芯片设计时会针对安全性能方面在结构上做一些特殊处理,比如安全芯片会采用特定的安全内核,该安全内核能够支持多个拥有不同权限定义的状态,用于实现对硬件资源访问权限的管理;以及支持指令执行时间(指令周期)的随机化;其中断系统能够实现支持芯片状态的转换,从而实现对不同层次的安全级别的控制,以支持多应用的实现;它还可以带有MMU单元(Memory ManagementUnit-存储器管理单元),用于实现逻辑地址、物理地址的隔离,及地址映射,从体系结构上支持应用(多应用)、安全性的设计实现,与内核支持的不同状态一起有机的组成一个硬件防火墙;其中断系统还能支持系统数据库与用户程序的接口及权限传递和切换;其存储介质方面也会采用非易失性存储介质等等。
现有信息安全设备的通讯可以通过SCSI(Small Computer System Interface-小型主机系统接口)命令的方式来实现,SCSI是主机连接外接设备的一种接口标准,能够提供更快的数据传输率。SCSI为方便开发者使用预留了扩展命令,为完成信息安全设备的SCSI通讯,开发者将SCSI扩展命令设计成信息安全设备的命令,以完成信息安全设备的功能,但是在Windows 2000及以上操作系统下,普通用户没有权限使用SCSI扩展命令,这就给SCSI设备的使用带来了很多的不便。
自动运行功能(Autorun)是USB-SCSI类设备所自带的一个功能,它使得对光盘、硬盘和海量存储等设备进行的操作变得更容易,一般习惯称此种能够自动运行起来的程序为Autorun程序。由于Autorun程序中包含了需要自动运行的命令,如改变驱动器图标、运行程序文件、可选快捷菜单等内容,所以当带有Autorun程序的光盘或海量存储等设备连接到计算机上时,Autorun程序会装载相应文件,例如GIF、JPEG、HTML文件、PDF文件,实现自动运行功能,Autorun程序还可以显示启动界面等。
CCID(USB Chip/Smart Card Interface Devices-USB芯片智能卡接口设备)标准是由几大国际级IT企业共同制定的一个标准,它提供了一种智能卡读写设备与主机或其它嵌入式主机实现相互通讯的可能。CCID标准规定了CCID设备是一种芯片/智能卡接口设备,设备通过USB接口与主机或其它嵌入式主机连接,进行符合CCID标准的数据通讯,同时设备通过符合7816标准协议的接口与智能卡进行通讯。微软公司在其Windows 2000及以上的操作系统上提供并支持CCID驱动,使设备生产厂商可以轻松的开发使用符合CCID接口标准的设备。同时,CCID接口标准支持PC(Personal Computer-个人计算机)/SC(Smart Card-智能卡)接口调用,使广大开发者可以方便的对信息安全设备进行开发操作,在其它开源操作系统如LINUX的众多版本上,也有许多开源的CCID驱动可供开发者和使用者使用。
HID(Human Interface Device-人机接口设备)类是Windows操作系统完全支持的第一批USB设备类型中的一种,在运行Windows 98或更高版本的计算机上,应用程序可以与使用操作系统内置驱动的HID设备通信,由于这个原因,符合HID类的USB设备才得以很容易的设置并运行。但是HID设备不是必须要有人机接口的,它只是需要能在HID类规范的限制内起到一定作用,HID类的主要功能和限制如下:交换的数据驻留在被称为报告的结构中;每个事务包含一个小到中等量的数据;设备可以在不可预期的时间里发送信息到计算机中等等。尽管很多HID设备主要是从设备发送数据到主机,其实HID设备也可以从主机接收数据,所以可以说任何工作在HID类的限制之内的设备都可以称为HID设备,这些设备既可以发送数据到计算机,也可以从计算机接收配置设备的请求,主要负责接收数据的例子是远程显示器、远程设备的控制面板,及从主机接收偶尔或周期性命令的任何类型的设备。HID设备可以是设备支持的多个USB接口之一,既可以是低速设备也可以是全速设备。微软公司在其Windows98及以上的操作系统上提供并支持HID驱动,使设备生产厂商可以轻松的开发使用符合HID接口标准的设备。
描述符是数据结果或信息的格式化块,它可以使主机知道这个设备,每个描述符包含了关于这个设备的整体信息或者一个元素的信息。
按照SCSI协议标准,符合USB-SCSI接口标准的设备其描述符的特征是:在接口描述符中,字节0是描述符的字节长度,值为09h;字节1是描述符类型,值为04h;字节4是支持的终端号;字节5是类代码,值为08h;字节6为子类代码,值为00h;字节7是协议代码,值为50h。在类型描述符中,字节0是描述符的字节长度,字节2是SCSI规范的版本号。符合SCSI接口标准的设备的其它描述符中的字节,如设备描述符、配置描述符中的字节以及上述接口描述符和类型描述符中的其它字节仍按照USB协议中的规定设置。
按照CCID协议标准,符合CCID接口标准的设备其描述符的特征是:在接口描述符中,字节0是描述符的字节长度,值为09h;字节1是固定终端,值为04h;字节4代表其支持的终端号(除了终端0),值为02h或03h;字节5是类代码,值为0Bh;字节6为子类代码,值为00h;字节7是协议代码,值为00h。在类型描述符中,字节0是描述符的字节长度,值为36h,字节2是CCID规范的版本号,它是用二进制代码表示的小数,值为0100h,字节52是PIN码支持,值为00h-03h。符合CCID接口标准的设备的其它描述符中的字节,如设备描述符、配置描述符中的字节以及上述接口描述符和类型描述符中的其它字节仍按照USB协议中的规定设置。
按照HID协议标准,符合HID接口标准的设备其描述符的特征是:在接口描述符中,字节0是描述符的字节长度,值为09h;字节1是描述符类型,值为04h;字节4是支持的终端号,值为01h;字节5是类代码,值为03h;字节6是子类代码,值为00h;字节7是协议代码,值为00h。在类型描述符中,字节0是描述符的字节长度;字节1为HID类,值为21h;字节2是HID规范发布号,它采用二进制编码的十进制格式,比如1.0版本是0100h,1.1版本是0110h。符合HID接口标准的设备的其它描述符中的字节,如设备描述符、配置描述符中的字节以及上述接口描述符和类型描述符中的其它字节仍按照USB协议中的规定设备。
HID设备和CCID设备有诸多优点,比如HID设备和CCID设备不会受到用户权限的限制,在Windows操作系统下,普通用户和管理员用户都可以实现对HID设备和CCID设备进行访问和相应的操作;而且设备用户不需要安装驱动程序就可以随时随地使用,不需要管理版本不断升级的驱动程序,不需要考虑不同产品驱动程序的兼容问题,不需要面对驱动程序引起的操作系统使用风险,不需要担心驱动程序的安装卸载对系统产生的污染。一般地,当主机系统支持智能卡登录时,会选用CCID协议,当主机系统不支持智能卡登录时,会选用HID协议。由于HID设备以及CCID设备的上述优点使得其应用越来越广泛,但是同时也提出了一个新的问题,即HID设备和CCID设备并不能像USB-SCSI设备那样具有自动运行的功能,即不能实现对设备相关应用程序的自动安装。
在现有技术中,访问信息安全设备通常需要一定的权限,为了解决信息安全设备能够在Windows操作系统下,不受用户权限限制,普通用户也可以使用的问题,即实现信息安全设备具有USB-SCSI设备的自动安装特性,及HID设备/CCID设备在Windows操作系统下普通用户也可以使用的特性,目前主要的解决案是:
1).在HID类信息安全设备/CCID类信息安全设备内部增加用以实现光盘功能的U盘部分电路,以及集线器(HUB)部分电路实现,但是由于这种方法增加了集线器部分电路和U盘部分电路,成本增高,可靠性也有所降低;
2).使信息安全设备实现SCSI和HID/CCID的相互转换过程,然而采用这种技术方案在同一时刻只能有SCSI设备或者HID/CCID设备进行工作,系统中不能同时出现两种设备,而是需要用户手动进行切换。
发明内容
为了解决现有技术的不足,本发明提供了一种实现多功能信息安全设备的系统及方法,使现有技术中的信息安全设备能够在Windows操作系统下,不受用户权限限制,且无需用户进行手动切换,即可在使用过程中同时具有USB-SCSI设备类型的自动安装功能以及HID设备/CCID设备类型的功能。
一种实现多功能信息安全设备的系统包括主机模块和信息安全设备,所述信息安全设备包括USB接口模块、协议处理模块、第一设备模块、第二设备模块,所述协议处理模块包括设备描述单元和配置描述单元,所述配置描述单元包括第一设备接口描述符和第二设备接口描述符;
所述设备描述符单元,用于向主机声明所述信息安全设备为一个复合设备;
所述第一设备接口描述符和第一设备模块相连,用于向主机声明自身为第一设备类型,以及解析和处理第一设备类型相关协议命令;
所述第二设备接口描述符和第二设备模块相连,用于向主机声明自身为第二设备类型,并解析和处理第二设备类型相关协议命令。
所述第一设备模块为智能密钥模块,所述第二设备模块为自动运行模块;
所述智能密钥模块,用于根据访问所述信息安全设备的用户身份信息对其进行身份认证,执行所述用户通过所述主机模块发送的操作命令,产生加/解密密钥、对数据进行加/解密运算,
所述自动运行模块用于自动启动并运行Autorun程序。
所述USB接口模块为USB接口芯片,用于通过USB接口将所述信息安全设备与主机建立连接,解析并处理USB通信协议。
所述第一设备接口描述符为HID/CCID设备描述符,所述第一设备类型为HID/CCID设备类型,所述第一设备类型相关协议命令为HID/CCID设备类型相关协议命令;
所述第二设备接口描述符为SCSI设备描述符,所述第二设备类型为SCSI设备类型,所述第二设备类型相关协议命令为SCSI设备类型相关协议命令。
所述智能密钥模块,包括存储单元、控制单元,所述存储单元与所述控制单元相连,所述控制单元用于协调和控制所述智能密钥模块中各单元间的工作。
所述存储单元,包括密钥数据存储区,所述密钥数据存储区用于存储密钥数据,所述密钥数据包括数字证书、密钥和用户私有数据。
所述存储单元还包括用户程序存储区,所述用户程序存储区用于实现用户自定义算法的写入和调用。
所述智能密钥模块为安全设计芯片,所述安全设计芯片包括智能卡芯片。
所述自动运行模块包括检测单元和应用程序安装单元;
所述Autorun程序为预先编写并存储在所述信息安全设备中的程序,用于将所述与信息安全设备相关的应用程序安装到所述主机模块中。
所述检测单元用于Autorun程序检测主机中是否已经安装了与所述信息安全设备相关的应用程序。
所述应用程序安装单元用于当所述检测单元未检测到主机中安装了与所述信息安全设备相关的应用程序时,Autorun程序向主机中安装与所述信息安全设备相关的应用程序。
与所述信息安全设备相关的应用程序为预先编写并存储在所述信息安全设备中的程序。
与所述信息安全设备相关的应用程序还包括监控程序,用于监控所述信息安全设备与主机的连接关系。
一种实现多功能信息安全设备的方法,其特征在于,所述方法包括:
步骤A:信息安全设备与主机建立连接,声明自身为两个无驱设备;
步骤B:自动启动所述信息安全设备中的Autorun程序,所述Autorun程序检测所述主机中是否已经安装了与所述信息安全设备相关的应用程序,如果所述主机中未安装与所述信息安全设备相关的应用程序,则所述Autorun程序安装与所述信息安全设备相关的应用程序到所述主机中;如果所述主机中已经安装了与所述信息安全设备相关的应用程序,则所述信息安全设备等待用户输入操作命令;
步骤C:所述用户通过所述主机向所述信息安全设备发送第一设备类型指令,与所述信息安全设备进行数据通信,所述信息安全设备执行所述指令,或者用户通过所述主机向所述信息安全设备发送第二设备类型指令,与所述信息安全设备进行数据通信,所述信息安全设备执行所述指令。
所述信息安全设备为无需安装驱动程序和应用程序的设备。
所述信息安全设备通过USB接口与所述主机连接。
所述Autorun程序为预先编写并存储在所述信息安全设备中的程序,用于将所述与信息安全设备相关的应用程序安装到所述主机中,所述自动启动并运行Autorun程序具体包括:
步骤B1:自动启动Autorun程序;
步骤B2:所述Autorun程序检测所述主机中是否已经安装了与所述信息安全设备相关的应用程序,如果所述主机中未安装与所述信息安全设备相关的应用程序,则所述Autorun程序安装与所述信息安全设备相关的应用程序到所述主机中;如果所述主机中已经安装了与所述信息安全设备相关的应用程序,则所述信息安全设备等待用户输入操作命令。
与所述与信息安全设备相关的应用程序为预先编写并存储在所述信息安全设备中的程序。
与所述信息安全设备相关的应用程序还包括监控程序,所述监控程序用于监控所述信息安全设备与主机的连接关系。
与所述信息安全设备相关的应用程序还包括监控程序,所述监控程序用于所述信息安全设备当前的工作模式。
所述第一设备类型为HID/CCID设备类型,所述第二设备类型为SCSI设备类型。
所述主机通过HID/CCID协议或SCSI协议与所述信息安全设备进行数据通信。
在步骤C之前还包括如下步骤:
提示用户输入身份认证信息;
所述信息安全设备内部验证用户输入的身份认证信息是否合法;
若所述身份认证信息合法,则允许所述用户使用所述信息安全设备;
若所述身份认证信息不合法,所述信息安全设备内部程序判断本次用户失败的验证次数是否达到设定值,若达到所述设定值,提示出错信息,否则提示所述用户再次输入身份认证信息。
所述步骤C具体为:
步骤C1:所述Autorun程序或监控程序判断出当前信息安全设备在第一设备工作模式下,所述主机等待用户输入操作命令,并根据接收到的所述用户操作指令向所述信息安全设备发送第一设备类型指令,所述信息安全设备接收到所述第一设备类型指令后,执行所述用户输入的操作命令;
步骤C2:所述Autorun程序或监控程序判断出当前信息安全设备在第二设备工作模式下,所述用户通过所述主机向所述信息安全设备发送第二设备类型指令,所述信息安全设备响应主机发送的第二设备类型指令,与所述主机进行数据交互,执行操作。
所述第一设备工作模式为HID设备工作模式或CCID设备工作模式,所述第二设备工作模式为SCSI设备工作模式。
有益效果:本发明提供的一种实现多功能信息安全设备的系统及方法,不会受到用户权限的限制,本发明所述的信息安全设备及其控制方法可以在Windows98PE、Windows2000、Windows XP、Windows2003、Windows Vista及以上操作系统下使用,不需要安装驱动程序,不需要用户手动安装软件,不需要光盘、安装包,同时在超级用户和非超级用户账号下均可以使用;规避通过SCSI协议访问信息安全设备带来的管理员权限问题;使现有技术中的信息安全设备能够在Windows操作系统下,不受用户权限限制,且无需用户进行手动切换,即可在使用过程中同时具有USB-SCSI设备类型的自动安装功能以及HID设备/CCID设备类型的功能。
附图说明
图1是本发明实施例1提供的一种实现多功能信息安全设备的系统功能结构框图;
图2是本发明实施例2提供的一种实现多功能信息安全设备的方法流程图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明,但不作为对本发明的限定。在本发明具体实施方式中,信息安全设备为USB Key。
实施例1
如图1所示,本实施例提供了一种实现多功能信息安全设备的系统,包括主机模块1和USB Key 2,USB Key 2包括USB接口模块21、协议处理模块22、智能密钥模块23、自动运行模块24,协议处理模块22包括设备描述单元221和配置描述单元222,配置描述单元222包括HID/CCID设备接口描述符和SCSI设备接口描述符,HID/CCID设备接口描述符与智能密钥模块23相连,SCSI设备接口描述符与自动运行模块24连。
在USB Key 2中,
USB接口模块21用于通过USB接口将USB Key 2与主机模块1建立连接,解析并处理USB通信协议;
USB接口模块21为USB接口芯片。
设备描述符单元,用于向主机声明USB Key 2为一个复合设备;
配置描述符单元包括HID/CCID设备接口描述符和SCSI设备接口描述符;
HID/CCID设备接口描述符与智能密钥模块23相连,用于向主机声明自身为HID/CCID设备类型,以及解析和处理HID/CCID设备类型相关协议命令;
SCSI设备接口描述符与自动运行模块24相连,用于向主机声明自身为SCSI设备类型,并解析和处理SCSI设备类型相关协议命令。
智能密钥模块23,用于根据访问USB Key 2的用户身份信息对其进行身份认证,执行用户通过主机模块1发送的操作命令,产生加/解密密钥、对数据进行加/解密运算;
智能密钥模块23,包括存储单元231、控制单元232,存储单元231与控制单元232相连,控制单元232用于协调和控制智能密钥模块23中各单元间的工作;
存储单元231,包括明文数据存储区和密文数据存储区,密文数据存储区用于存储密钥数据,密钥数据包括数字证书、密钥和用户私有数据以及经过加密处理后的数据;
存储单元231还包括用户程序存储区,用户程序存储区用于实现用户自定义算法的写入和调用;
智能密钥模块23为安全设计芯片,安全设计芯片包括智能卡芯片;
芯片为安全设计芯片,安全设计芯片包括智能卡芯片。
自动运行模块24用于自动启动并运行Autorun程序;
Autorun程序为预先编写并存储在USB Key 2中的程序,用于将与USB Key 2相关的应用程序安装到主机模块中;
自动运行模块24包括检测单元241和应用程序安装单元242;
检测单元241用于Autorun程序检测主机中是否已经安装了与USB Key 2相关的应用程序;
应用程序安装单元242用于当检测单元241未检测到主机中安装了与USB Key 2相关的应用程序时,Autorun程序向主机中安装与USB Key 2相关的应用程序;
与USB Key 2相关的应用程序为预先编写并存储在USB Key 2中的程序;
与USB Key 2相关的应用程序还包括监控程序,监控程序用于监控USB Key 2与主机模块1的连接关系。
实施例2
如图2所示,本实施例提供了一种实现多功能信息安全设备的方法,具体包括如下步骤:
步骤201:将USB Key与主机建立连接;
步骤202:USB Key声明自身为HID设备类型和SCSI设备类型;
在本实施例中,USB Key通过向主机报告设备描述符为HID设备描述符和SCSI设备描述符,声明自身为HID设备类型和SCSI设备类型。
步骤203:自动启动Autorun程序;
Autorun程序由USB Key生产商预先编写,并存储在USB Key中。
步骤204:Autorun程序检测主机中是否已经安装了与USB Key相关的应用程序,如果主机中已经安装了与USB Key相关的应用程序,则执行步骤206,如果主机中未安装与USBKey相关的应用程序,则执行步骤205。
USB Key相关的应用程序包括监控程序,为预先存储在USB Key中,并由USB Key生产商预先编写好的;如果主机中已经安装有USB Key相关的应用程序,则当主机开启时,监控程序便会自动启动。
步骤205:主机中未安装与USB Key相关的应用程序,Autorun程序安装与USB Key相关的应用程序到主机中;
当USB Key相关应用程序安装完毕后,监控程序便会自动启动。
步骤206:主机中已经安装了与USB Key相关的应用程序,USB Key与主机之间通过SCSI设备命令执行安全操作;
步骤207:用户通过主机向USB Key发送HID设备类型操作指令;
步骤208:系统提示用户输入身份认证信息;
其中,身份认证信息包括:PIN码信息、用户自定义密码、用户生物特征信息等。
步骤209:用户输入PIN码;
步骤210:USB Key设备内部根据用户输入的PIN码对其进行身份认证,判断用户身份是否合法,若合法,则执行步骤210,否则执行步骤212;
步骤211:USB Key设备判断用户身份合法,USB Key内部通过解析HID设备类型相关协议命令,响应用户操作指令,执行安全操作;
步骤212:USB Key设备判断用户身份不合法,USB Key设备内部程序判断本次用户失败的验证次数是否达到设定值,在本实施例中,验证次数的设定值为3次,若达到该设定值,则执行步骤213,否则返回步骤208,要求用户再次输入身份认证信息;
步骤213:USB Key设备内部程序判断本次用户失败的验证次数达到设定值,计算机进入异常处理状态;
步骤207和步骤211中的安全操作包括:数据交互,包括对写入的数据在USB Key中进行加密或对读取的数据在USB Key内进行解密;存储/验证密码信息、存储/验证签名、存储/验证证书、权限管理;还包括预置代码进行数据运算,其中预置代码包括预置用户软件部分片断,用户软件部分片断不能被读出USB Key,并在其内部运行进行数据运算,以及预置软件保护应用接口函数,软件保护应用接口函数是USB Key和软件开发商应用之间的接口级函数等等。
本实施例中的HID协议可以由在Windows操作系统下CCID接口协议来替换,步骤207至211可以由下面的步骤替换:
步骤207′:用户通过主机向USB Key发送CCID设备类型操作指令;
步骤208′:系统提示用户输入身份认证信息;
其中,身份认证信息包括:PIN码信息、用户自定义密码、用户生物特征信息等。
步骤209′:用户输入PIN码;
步骤210′:USB Key设备内部根据用户输入的PIN码对其进行身份认证,判断用户身份是否合法,若合法,则执行步骤210′,否则执行步骤212′;
步骤211′:USB Key设备判断用户身份合法,USB Key内部通过解析CCID设备类型相关协议命令,响应用户操作指令,执行安全操作。
以上对本发明所提供的一种实现多功能信息安全设备的系统及方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本发明的限制。
Claims (19)
1.一种实现多功能信息安全设备的系统,其特征在于,包括主机模块和信息安全设备,所述信息安全设备包括USB接口模块、协议处理模块、第一设备模块、第二设备模块,所述协议处理模块包括设备描述符单元和配置描述单元,所述配置描述单元包括第一设备接口描述符和第二设备接口描述符;
所述设备描述符单元,用于向主机声明所述信息安全设备为一个复合设备;
所述第一设备接口描述符和第一设备模块相连,用于向主机声明自身为第一设备类型,以及解析和处理第一设备类型相关协议命令;
所述第二设备接口描述符和第二设备模块相连,用于向主机声明自身为第二设备类型,并解析和处理第二设备类型相关协议命令;
所述第一设备模块为智能密钥模块,所述第二设备模块为自动运行模块;
所述智能密钥模块,用于根据访问所述信息安全设备的用户身份信息对其进行身份认证,执行用户通过所述主机模块发送的操作命令,产生加/解密密钥、对数据进行加/解密运算,
所述自动运行模块用于自动启动并运行Autorun程序;
所述自动运行模块包括检测单元和应用程序安装单元;
所述Autorun程序为预先编写并存储在所述信息安全设备中的程序,用于将与所述信息安全设备相关的应用程序安装到所述主机模块中;
所述检测单元用于Autorun程序检测主机中是否已经安装了与所述信息安全设备相关的应用程序;
所述应用程序安装单元用于当所述检测单元未检测到主机中安装了与所述信息安全设备相关的应用程序时,Autorun程序向主机中安装与所述信息安全设备相关的应用程序;
与所述信息安全设备相关的应用程序为预先编写并存储在所述信息安全设备中的程序,包括监控程序,用于监控所述信息安全设备与主机的连接关系。
2.如权利要求1所述的实现多功能信息安全设备的系统,其特征在于,所述USB接口模块为USB接口芯片,用于通过USB接口将所述信息安全设备与主机建立连接,解析并处理USB通信协议。
3.如权利要求1所述的实现多功能信息安全设备的系统,其特征在于,所述第一设备接口描述符为HID/CCID设备描述符,所述第一设备类型为HID/CCID设备类型,所述第一设备类型相关协议命令为HID/CCID设备类型相关协议命令。
4.如权利要求1所述的实现多功能信息安全设备的系统,其特征在于,所述第二设备接口描述符为SCSI设备描述符,所述第二设备类型为SCSI设备类型,所述第二设备类型相关协议命令为SCSI设备类型相关协议命令。
5.如权利要求1所述的实现多功能信息安全设备的系统,其特征在于,所述智能密钥模块,包括存储单元、控制单元,所述存储单元与所述控制单元相连,所述控制单元用于协调和控制所述智能密钥模块中各单元间的工作。
6.如权利要求5所述的实现多功能信息安全设备的系统,其特征在于,所述存储单元,包括密钥数据存储区,所述密钥数据存储区用于存储密钥数据,所述密钥数据包括数字证书、密钥和用户私有数据。
7.如权利要求5所述的实现多功能信息安全设备的系统,其特征在于,所述存储单元还包括用户程序存储区,所述用户程序存储区用于实现用户自定义算法的写入和调用。
8.如权利要求1所述的实现多功能信息安全设备的系统,其特征在于,所述智能密钥模块为安全设计芯片,所述安全设计芯片包括智能卡芯片。
9.一种实现多功能信息安全设备的方法,其特征在于,所述方法包括:
步骤A:信息安全设备与主机建立连接,声明自身为两个无驱设备;
步骤B:自动启动所述信息安全设备中的Autorun程序,所述Autorun程序检测所述主机中是否已经安装了与所述信息安全设备相关的应用程序,如果所述主机中未安装与所述信息安全设备相关的应用程序,则所述Autorun程序安装与所述信息安全设备相关的应用程序到所述主机中;如果所述主机中已经安装了与所述信息安全设备相关的应用程序,则所述信息安全设备等待用户输入操作命令;
步骤C:所述用户通过所述主机向所述信息安全设备发送第一设备类型指令,与所述信息安全设备进行数据通信,所述信息安全设备执行所述第一设备类型指令,或者用户通过所述主机向所述信息安全设备发送第二设备类型指令,与所述信息安全设备进行数据通信,所述信息安全设备执行所述第一设备类型指令;
所述步骤C具体为:
步骤C1:Autorun程序或监控程序判断出当前信息安全设备在第一设备工作模式下,所述主机等待用户输入操作命令,并根据接收到的所述用户输入的操作指令向所述信息安全设备发送第一设备类型指令,所述信息安全设备接收到所述第一设备类型指令后,执行所述用户输入的操作命令;
步骤C2:所述Autorun程序或监控程序判断出当前信息安全设备在第二设备工作模式下,所述用户通过所述主机向所述信息安全设备发送第二设备类型指令,所述信息安全设备响应主机发送的第二设备类型指令,与所述主机进行数据交互,执行操作。
10.如权利要求9所述的实现多功能信息安全设备的方法,其特征在于,所述信息安全设备为无需安装驱动程序和应用程序的设备。
11.如权利要求9所述的实现多功能信息安全设备的方法,其特征在于,所述信息安全设备通过USB接口与所述主机连接。
12.如权利要求9所述的实现多功能信息安全设备的方法,其特征在于,所述Autorun程序为预先编写并存储在所述信息安全设备中的程序,用于将与所述信息安全设备相关的应用程序安装到所述主机中,所述自动启动所述信息安全设备中的Autorun程序具体包括:
步骤B1:自动启动Autorun程序;
步骤B2:所述Autorun程序检测所述主机中是否已经安装了与所述信息安全设备相关的应用程序,如果所述主机中未安装与所述信息安全设备相关的应用程序,则所述Autorun程序安装与所述信息安全设备相关的应用程序到所述主机中;如果所述主机中已经安装了与所述信息安全设备相关的应用程序,则所述信息安全设备等待用户输入操作命令。
13.如权利要求9所述的实现多功能信息安全设备的方法,其特征在于,与所述信息安全设备相关的应用程序为预先编写并存储在所述信息安全设备中的程序。
14.如权利要求9所述的实现多功能信息安全设备的方法,其特征在于,与所述信息安全设备相关的应用程序包括监控程序,所述监控程序用于监控所述信息安全设备与主机的连接关系。
15.如权利要求9所述的实现多功能信息安全设备的方法,其特征在于,与所述信息安全设备相关的应用程序还包括监控程序,所述监控程序用于所述信息安全设备当前的工作模式。
16.如权利要求9所述的实现多功能信息安全设备的方法,其特征在于,第一设备类型为HID/CCID设备类型,第二设备类型为SCSI设备类型。
17.如权利要求9所述的实现多功能信息安全设备的方法,其特征在于,所述主机通过HID/CCID协议或SCSI协议与所述信息安全设备进行数据通信。
18.如权利要求9所述的实现多功能信息安全设备的方法,其特征在于,在步骤C之前还包括如下步骤:
提示用户输入身份认证信息;
所述信息安全设备内部验证用户输入的身份认证信息是否合法;
若所述身份认证信息合法,则允许所述用户使用所述信息安全设备;
若所述身份认证信息不合法,所述信息安全设备的内部程序判断本次用户失败的验证次数是否达到设定值,若达到所述设定值,提示出错信息,否则提示所述用户再次输入身份认证信息。
19.如权利要求9所述的实现多功能信息安全设备的方法,其特征在于,所述第一设备工作模式为HID设备工作模式或CCID设备工作模式,所述第二设备工作模式为SCSI设备工作模式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101120645A CN101587519B (zh) | 2008-05-21 | 2008-05-21 | 一种实现多功能信息安全设备的系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101120645A CN101587519B (zh) | 2008-05-21 | 2008-05-21 | 一种实现多功能信息安全设备的系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101587519A CN101587519A (zh) | 2009-11-25 |
| CN101587519B true CN101587519B (zh) | 2011-05-18 |
Family
ID=41371764
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101120645A Active CN101587519B (zh) | 2008-05-21 | 2008-05-21 | 一种实现多功能信息安全设备的系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101587519B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101814057B (zh) * | 2010-04-01 | 2012-11-07 | 北京深思洛克软件技术股份有限公司 | 一种驱动信息安全设备的方法及信息安全设备 |
| CN101872334A (zh) * | 2010-05-26 | 2010-10-27 | 北京飞天诚信科技有限公司 | 一种复合型usb设备及其实现方法 |
| CN102377567A (zh) * | 2010-08-17 | 2012-03-14 | 青岛高校信息产业有限公司 | 智能密码钥匙系统 |
| CN102063389A (zh) * | 2010-08-30 | 2011-05-18 | 深圳市文鼎创数据科技有限公司 | 智能安全设备驱动切换方法和智能安全设备 |
| CN102591839B (zh) * | 2012-01-15 | 2015-02-25 | 北京深思洛克软件技术股份有限公司 | 一种usb多协议自适应的方法 |
| KR101588778B1 (ko) * | 2013-12-30 | 2016-01-27 | 현대자동차 주식회사 | 차량단말기와 휴대용단말기의 연동시스템 및 방법 |
| CN105786729B (zh) * | 2016-02-19 | 2018-11-09 | 深圳市文鼎创数据科技有限公司 | 命令处理方法及装置 |
| CN107241192B (zh) * | 2017-05-27 | 2019-08-30 | 飞天诚信科技股份有限公司 | 一种使用指纹key进行登录的方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1703433A1 (en) * | 2005-03-15 | 2006-09-20 | O2 Micro, Inc. | Method and apparatus for contactless ICC connectivity |
| CN101013406A (zh) * | 2007-02-12 | 2007-08-08 | 北京飞天诚信科技有限公司 | 一种可自动安装的信息安全设备及其控制方法 |
-
2008
- 2008-05-21 CN CN2008101120645A patent/CN101587519B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1703433A1 (en) * | 2005-03-15 | 2006-09-20 | O2 Micro, Inc. | Method and apparatus for contactless ICC connectivity |
| CN101013406A (zh) * | 2007-02-12 | 2007-08-08 | 北京飞天诚信科技有限公司 | 一种可自动安装的信息安全设备及其控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101587519A (zh) | 2009-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100462949C (zh) | 一种可自动安装的信息安全设备及其控制方法 | |
| CN101587519B (zh) | 一种实现多功能信息安全设备的系统及方法 | |
| CN101266590B (zh) | 动态切换设备配置的方法和系统 | |
| EP3582129B1 (en) | Technologies for secure hardware and software attestation for trusted i/o | |
| US11093258B2 (en) | Method for trusted booting of PLC based on measurement mechanism | |
| CN101018131B (zh) | 一种具有功能选择装置的信息安全设备及其控制方法 | |
| US8332604B2 (en) | Methods to securely bind an encryption key to a storage device | |
| CN102439573B (zh) | 用于支持非虚拟化系统中的存储器增长的互操作系统存储器热交换 | |
| CN100452003C (zh) | 多接口和可自动安装的信息安全设备及其控制方法 | |
| CN101071463A (zh) | 虚拟个人办公环境的方法和设备 | |
| US7277972B2 (en) | Data processing system with peripheral access protection and method therefor | |
| US8321657B2 (en) | System and method for BIOS and controller communication | |
| CN104951701B (zh) | 一种基于usb控制器的终端设备操作系统引导的方法 | |
| EP1832977A2 (en) | Platform boot with bridge support | |
| CN103119560A (zh) | 用于服务处理器复合体中的数据存储的基于需求的usb代理 | |
| CN102081534A (zh) | 自动模块化且安全的引导固件更新 | |
| JP2010182196A (ja) | 情報処理装置およびファイル検証システム | |
| CN101382904A (zh) | 一种智能密钥设备实现自动安装的方法和系统 | |
| WO2018064628A2 (en) | Systems, apparatuses, and methods for platform security | |
| CN101369302B (zh) | 一种控制信息安全设备访问权限的方法和系统 | |
| CN101150459B (zh) | 提高信息安全装置安全性的方法及系统 | |
| CN104346572A (zh) | 一种通用的外置式智能终端安全运行环境构建方法 | |
| CN201078772Y (zh) | 多接口和可自动安装的信息安全设备 | |
| CN112181860B (zh) | 具有快闪存储器仿真功能的控制器及其控制方法 | |
| US20090187898A1 (en) | Method for securely updating an autorun program and portable electronic entity executing it |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: FEITIAN CHENGXIN TECHNOLOGY CO., LTD. Free format text: FORMER NAME: BEIJING FEITIAN CHENGXIN SCIENCE + TECHNOLOGY CO. LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 100085 Beijing city Haidian District Xueqing Road No. 9 Ebizal building B block 17 layer Patentee after: Feitian Technologies Co.,Ltd. Address before: 100085 Beijing city Haidian District Xueqing Road No. 9 Ebizal building B block 17 layer Patentee before: FEITIAN TECHNOLOGIES Co.,Ltd. |
|
| CP03 | Change of name, title or address |
Address after: 17th floor, building B, Huizhi building, No.9, Xueqing Road, Haidian District, Beijing 100085 Patentee after: Feitian Technologies Co.,Ltd. Country or region after: China Address before: 100085 17th floor, block B, Huizhi building, No.9 Xueqing Road, Haidian District, Beijing Patentee before: Feitian Technologies Co.,Ltd. Country or region before: China |
|
| CP03 | Change of name, title or address |