CN102184358B - Usb嵌入式可信赖私有信息处理装置及系统 - Google Patents
Usb嵌入式可信赖私有信息处理装置及系统 Download PDFInfo
- Publication number
- CN102184358B CN102184358B CN2011101086951A CN201110108695A CN102184358B CN 102184358 B CN102184358 B CN 102184358B CN 2011101086951 A CN2011101086951 A CN 2011101086951A CN 201110108695 A CN201110108695 A CN 201110108695A CN 102184358 B CN102184358 B CN 102184358B
- Authority
- CN
- China
- Prior art keywords
- private information
- information processing
- usb
- credible
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 40
- 238000000034 method Methods 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 16
- 230000006870 function Effects 0.000 claims description 12
- 108700039691 Genetic Promoter Regions Proteins 0.000 claims description 9
- 239000000463 material Substances 0.000 claims description 5
- 238000001914 filtration Methods 0.000 claims description 2
- 230000007246 mechanism Effects 0.000 claims description 2
- 238000001629 sign test Methods 0.000 claims description 2
- 238000005259 measurement Methods 0.000 abstract 1
- 241000700605 Viruses Species 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种USB嵌入式可信赖私有信息处理装置及系统。所述系统以USB嵌入式可信赖私有信息处理装置作为整个系统的硬件基础和安全支撑,以自裁剪的LINUX操作系统和私有信息处理组件作为整个系统的软件基础。USB嵌入式可信赖私有信息处理装置物理组成包括安全芯片、Flash存储芯片及安全COS;其逻辑组成包括启动区、USB智能钥匙区、隐藏区和加密区。当计算机终端设置为从USB端口引导并通过本系统启动运行时,通过可信引导与度量,确保整个计算环境是可信赖的;当计算机终端不从本系统启动引导时,本系统可单独作为加密U盘使用。本发明解决了个人私有信息处理的安全问题,构建出可信赖的计算环境。
Description
技术领域
本发明涉及一种私有信息处理装置及系统,具体涉及一种USB嵌入式可信赖私有信息处理装置及一种可携带式可信赖私有信息处理系统。
背景技术
私有信息的安全性日益成为单位、企业和个人关注的热点安全问题。用户总是希望能在一个可信赖的计算环境下进行敏感信息的处理,如单位公文信息处理、商务信息处理、个人理财和个人信息(如图片、视频和文档)等。但在绝大多数情况下,处理私有信息的计算平台软硬件环境由于结构简化,导致资源的任意使用,尤其执行代码可修改、恶意程序可被植入,木马、病毒、黑客等安全威胁始终存在;更为严重的是,对合法的用户没有进行严格的访问控制,造成越权访问,从而造成敏感信息泄露或关键数据丢失。因此,为私有信息系统提供一个安全可信赖的计算环境显得尤为重要。
目前为计算环境安全提供的各种安全防护手段包括防火墙、入侵检测系统、安全路由器、安全网关、杀毒软件等。上述安全防护模式多为被动防御模式,面对层出不穷的系统攻击方式,传统的安全防护手段并不能从根本上解决问题,所发挥的安全效能也大打折扣。而且,仅仅依靠一种或几种安全防护软件无法从根本上构造可信赖的计算环境,保证私有信息系统的安全。
发明内容
本发明的目的在于克服现有安全产品被动防御模式的不足,造成处理私有信息时会面临各种安全威胁而提供一种可携带式的可信赖私有信息处理系统。该系统为单位、企业或个人处理私有信息提供了可信赖的计算环境。该系统物理外形和普通的USB存储盘相似,用户可以在任意一台带有计算资源(CPU)的PC机或笔记本电脑上插入并运行该系统,就可切换到一个可信赖的计算环境,即使本人不携带任何电脑,也可以在其他人的计算机上放心的进行敏感的私有信息处理,不再担心木马、病毒的侵入和破坏,即使系统丢失也不会造成敏感信息的泄漏。
本发明采用以下技术方案:
一种USB嵌入式可信赖私有信息处理装置,其特征在于:
其物理组成包括:
安全芯片,用于抵御物理攻击,且具有用于与计算机USB接口连接以实现与计算机终端之间通信的USB接口;
Flash存储芯片,通过存储器接口与安全芯片连接,以用于数据的安全存储;以及
安全COS,用于实现逻辑上的安全功能,
其逻辑组成包括:
启动区,用于对计算机终端进行启动引导;所述启动区包含自裁剪的LINUX操作系统和私有信息处理组件;私有信息处理组件提供银行标准智能钥匙的密码服务和处理私有信息的应用组件;其中所述应用组件包括字处理组件、图片处理组件、PDF阅读器组件、浏览器组件和邮件客户端组件;
USB智能钥匙区,提供密码服务及提供标准的可信密码模块,并用于存储和管理密钥以及通过口令机制实现权限管理;所述可信密码模块包括可信度量、可信存储以及可信报告,所述密码服务包括基于分组算法的加解密、基于对称算法的签名/验签;
隐藏区,用于存储安全管理策略和密钥材料;其中所述密钥材料包括密码卡主控程序、密码算法代码和工作密钥,所述安全管理策略包括引导启动安全策略、端口控制策略、网络过滤策略;
加密区,用于作为加密U盘,以加密文件。
一种可携带式可信赖私有信息处理系统,其特征在于:基于如权利要求1所述一种USB嵌入式可信赖私有信息处理装置以提供硬件基础和安全支撑,基于自裁剪LINUX操作系统和私有信息处理组件作为该系统的软件基础,
设置计算机终端的BIOS,以使得该计算机终端指定以USB接口引导启动;
插入所述USB嵌入式可信赖私有信息处理装置;
计算机终端开机加电;
正确输入身份保护PIN码,所述系统释放出所述USB嵌入式可信赖私有信息处理装置启动区的自裁剪LINUX操作系统,在安全COS的支持下,该系统依次度量操作系统内核、系统重要进程以及私有信息处理组件的完整性,其中私有信息处理组件提供银行标准智能钥匙的密码服务和处理私有信息的应用组件;所述应用组件包括字处理组件、图片处理组件、PDF阅读器组件、浏览器组件和邮件客户端组件;
如果完整,安全引导所述自裁剪的LINUX操作系统至安全可靠的环境,使用系统提供的加密U盘功能,安全存储私有信息,并利用提供的智能钥匙、私有信息处理组件进行网上银行交易以及私有文档信息处理;如果不完整,停止引导和启动系统;其中加密U盘的存储区对用户不可见,通过用户认证,将加密后的用户数据存储于加密U盘的存储区,并且从该存储区导出时,需要解密;
计算机终端不设置为从USB端口启动,则插入计算机终端的所述系统仅用作为加密U盘,且需要进行用户认证。
本发明的有益效果是:
在系统启动和运行过程中对重要进程、组件进行可信度量,保证系统不被恶意篡改和使用,保证敏感、私有信息的数据安全,为用户提供可信赖的私有信息处理环境。同时,还提供各种私有信息处理软件,包括文字处理、图片、视频处理、PDF文档处理、浏览器、邮件客户端等,并提供的银行标准的智能钥匙KEY功能,方便用户安全开展网上银行业务。
本发明可解决电子政务、电子商务、网上银行和个人敏感信息处理的安全问题。本发明基于自裁剪的安全Linux操作系统,可方便存储在USB接口的固件中,微型便携。使用者需要处理私有或敏感信息时,仅需将该系统插入到任意一台带有计算资源(CPU)的PC机或笔记本电脑上,就可切换到一个可信赖的计算环境,即使本人不携带任何电脑,也可以在其他人的计算机上放心的进行信息处理。
本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述,并且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显而易见的,或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书或者附图中所特别指出的结构来实现和获得。
附图说明:
图1 为一种USB嵌入式可信赖私有信息处理装置物理组成图。
图2为一种USB嵌入式可信赖私有信息处理装置功能组成图。
图3为一种可携带式可信赖私有信息处理系统可信引导与度量流程图。
具体实施方式:
下面结合附图和实施例对本发明做进一步描述:
本发明以作为整个系统的硬件基础和安全支撑,以自裁剪的LINUX操作系统和私有信息处理组件作为整个系统的软件基础。
如图1所示,USB嵌入式可信赖私有信息处理装置物理组成包括安全芯片、Flash存储芯片及安全COS。安全芯片通过USB接口与计算机的USB端口连接,完成与计算机之间的高速通信。同时安全芯片通过存储器接口与Flash存储芯片连接,实现安全存储功能。安全芯片在物理上能够抵御物理攻击,在逻辑上USB嵌入式可信赖私有信息处理装置的安全功能由安全COS实现。
如图2所示,USB嵌入式可信赖私有信息处理装置逻辑组成包括四个分区,启动区、USB智能钥匙区、隐藏区和加密区。启动区为用户提供可信赖的计算环境,包含所述的自裁剪的LINUX操作系统及所述私有信息处理组件; USB智能钥匙区为用户提供密码服务功能以及提供标准的可信密码模块TPM(可信度量、可信存储与可信报告)功能;隐藏区用于存放安全管理策略和密钥材料;加密区实现物理加密的加密U盘功能,存储加密文件。
设置计算机终端的BIOS,使计算机终端只能从指定USB端口引导启动;
插入所述可携带式可信赖私有信息处理系统插入至计算机指定的USB端口;
如图3所示,计算机终端开机加电,系统从USB端口启动。用户输入身份保护PIN码,如正确,所述可携带式可信赖私有信息处理系统释放出USB嵌入式可信系统启动区的LINUX操作系统;如连续三次错误,系统锁死;在安全COS的支持下,可携带式可信赖私有信息处理系统依次度量操作系统内核、系统重要进程以及私有信息处理组件的完整性,如完整,安全引导LINUX操作系统至安全可靠的环境,如不完整,停止引导和启动操作系统;
可携带式可信赖私有信息处理系统正常运行,用户使用系统提供加密U盘功能,安全存储私有信息;并利用提供的智能钥匙、私有信息处理组件等,放心进行网上银行交易以及处理各种文字、图片、视频等私有文档信息。
如果计算机终端不设置为从USB端口启动,当计算机终端自身所带的操作系统启动运行后,再插入所述可携带式可信赖私有信息处理系统,这时可携带式可信赖私有信息处理系统的提供的功能仅为加密U盘,插入时系统会自动安装加密U盘管理软件,输入用户口令,如果用户认证通过,加密U盘区方可使用。
自裁剪的LINUX操作系统和私有信息处理组件集成在USB嵌入式可信赖私有信息处理装置,私有信息处理组件提供银行标准智能钥匙的密码服务和处理私有信息的各种应用组件(字处理、图片处理、PDF阅读器、浏览器、邮件客户端等)。
尽管已经参考优选实施例对本发明进行阐述,本领域技术人员应该理解,可以针对本发明进行不同的修改和变形而不脱离本发明的范围。
Claims (2)
1.一种USB嵌入式可信赖私有信息处理装置,其特征在于:
其物理组成包括:安全芯片,用于抵御物理攻击,且具有用于与计算机USB接口连接以实现与计算机终端之间通信的USB接口;Flash存储芯片,通过存储器接口与安全芯片连接,以用于数据的安全存储;以及安全COS,用于实现逻辑上的安全功能,其逻辑组成包括:
启动区,用于对计算机终端进行启动引导;所述启动区包含自裁剪的LINUX操作系统和私有信息处理组件;私有信息处理组件提供银行标准智能钥匙的密码服务和处理私有信息的应用组件;其中所述应用组件包括字处理组件、图片处理组件、PDF阅读器组件、浏览器组件和邮件客户端组件;USB智能钥匙区,提供密码服务及提供标准的可信密码模块,并用于存储和管理密钥以及通过口令机制实现权限管理;所述可信密码模块包括可信度量、可信存储以及可信报告,所述密码服务包括基于分组算法的加解密、基于对称算法的签名/验签;
隐藏区,用于存储安全管理策略和密钥材料;其中所述密钥材料包括密码卡主控程序、密码算法代码和工作密钥,所述安全管理策略包括引导启动安全策略、端口控制策略、网络过滤策略;加密区,用于作为加密U盘,以加密文件。
2.一种可携带式可信赖私有信息处理系统,其特征在于:基于如权利要求1所述一种USB嵌入式可信赖私有信息处理装置以提供硬件基础和安全支撑,基于自裁剪LINUX操作系统和私有信息处理组件作为该系统的软件基础,设置计算机终端的BIOS,以使得该计算机终端指定以USB接口引导启动;插入所述USB嵌入式可信赖私有信息处理装置;计算机终端开机加电;正确输入身份保护PIN码,所述系统释放出所述USB嵌入式可信赖私有信息处理装置启动区的自裁剪LINUX操作系统,在安全COS的支持下,该系统依次度量操作系统内核、系统重要进程以及私有信息处理组件的完整性,其中私有信息处理组件提供银行标准智能钥匙的密码服务和处理私有信息的应用组件;所述应用组件包括字处理组件、图片处理组件、PDF阅读器组件、浏览器组件和邮件客户端组件;如果完整,安全引导所述自裁剪的LINUX操作系统至安全可靠的环境,使用系统提供的加密U盘功能,安全存储私有信息,并利用提供的智能钥匙、私有信息处理组件进行网上银行交易以及私有文档信息处理;如果不完整,停止引导和启动系统;其中加密U盘的存储区对用户不可见,通过用户认证,将加密后的用户数据存储于加密U盘的存储区,并且从该存储区导出时,需要解密;
计算机终端不设置为从USB端口启动,则插入计算机终端的所述系统仅用作为加密U盘,且需要进行用户认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011101086951A CN102184358B (zh) | 2011-04-28 | 2011-04-28 | Usb嵌入式可信赖私有信息处理装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011101086951A CN102184358B (zh) | 2011-04-28 | 2011-04-28 | Usb嵌入式可信赖私有信息处理装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102184358A CN102184358A (zh) | 2011-09-14 |
| CN102184358B true CN102184358B (zh) | 2013-02-13 |
Family
ID=44570533
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011101086951A Active CN102184358B (zh) | 2011-04-28 | 2011-04-28 | Usb嵌入式可信赖私有信息处理装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102184358B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102184357B (zh) * | 2011-04-28 | 2014-03-19 | 郑州信大捷安信息技术股份有限公司 | 一种可携带式可信赖私有信息处理系统 |
| CN102722669B (zh) * | 2012-05-28 | 2015-05-20 | 清华大学 | 操作系统的完整性验证方法 |
| CN103632080B (zh) * | 2013-11-06 | 2016-08-17 | 国家电网公司 | 一种基于USBKey的移动数据应用安全保护方法 |
| CN104023028A (zh) * | 2014-06-19 | 2014-09-03 | 江苏威盾网络科技有限公司 | 一种基于web电子邮件的反窃听的方法 |
| CN104598811A (zh) * | 2015-01-23 | 2015-05-06 | 浙江远望软件有限公司 | 一种程序安全运行环境的启动方法 |
| CN104573570B (zh) * | 2015-01-24 | 2017-05-10 | 浙江远望软件有限公司 | 一种由读卡器生成随机校验码的文件存储与访问方法 |
| CN109241785A (zh) * | 2018-09-18 | 2019-01-18 | 鸿秦(北京)科技有限公司 | 基于usb嵌入式操作系统的安全存储系统 |
| CN109977038B (zh) * | 2019-03-19 | 2021-02-05 | 湖南麒麟信安科技股份有限公司 | 一种加密u盘的访问控制方法、系统及介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127111A (zh) * | 2006-08-18 | 2008-02-20 | 中信银行 | 网上银行u盘key加密、认证的装置和方法 |
| CN101877246A (zh) * | 2009-04-28 | 2010-11-03 | 许燕 | 加密u盘实现方法 |
| CN102004876B (zh) * | 2009-12-31 | 2012-07-18 | 郑州信大捷安信息技术股份有限公司 | 可容忍非信任组件的安全终端加固模型及加固方法 |
| CN201716734U (zh) * | 2010-07-21 | 2011-01-19 | 郑州信大捷安信息技术有限公司 | Usb安全存储加密装置 |
-
2011
- 2011-04-28 CN CN2011101086951A patent/CN102184358B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN102184358A (zh) | 2011-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102184357B (zh) | 一种可携带式可信赖私有信息处理系统 | |
| CN102184358B (zh) | Usb嵌入式可信赖私有信息处理装置及系统 | |
| US11947688B2 (en) | Secure computing system | |
| Dai et al. | SBLWT: A secure blockchain lightweight wallet based on trustzone | |
| US10162975B2 (en) | Secure computing system | |
| US8261072B2 (en) | Method and system for secure external TPM password generation and use | |
| US7900252B2 (en) | Method and apparatus for managing shared passwords on a multi-user computer | |
| US8335931B2 (en) | Interconnectable personal computer architectures that provide secure, portable, and persistent computing environments | |
| US10650139B2 (en) | Securing temporal digital communications via authentication and validation for wireless user and access devices with securitized containers | |
| US20120047503A1 (en) | Method for virtualizing a personal working environment and device for the same | |
| US20110265156A1 (en) | Portable security device protection against keystroke loggers | |
| US11269984B2 (en) | Method and apparatus for securing user operation of and access to a computer system | |
| US10747885B2 (en) | Technologies for pre-boot biometric authentication | |
| CN102195940A (zh) | 一种基于虚拟机技术安全输入和提交数据的方法和系统 | |
| US20170201528A1 (en) | Method for providing trusted service based on secure area and apparatus using the same | |
| CN202067261U (zh) | Usb嵌入式可信赖私有信息处理装置及系统 | |
| Neubauer et al. | A roadmap for personal identity management | |
| CN202093522U (zh) | 一种可携带式可信赖私有信息处理系统 | |
| WO2019133326A1 (en) | Securing temporal digital communications | |
| US11822648B2 (en) | Systems and methods for remote anomaly data scanner for cyber-physical systems | |
| JP5355351B2 (ja) | コンピュータ | |
| TW200841206A (en) | Method and system for secure external TPM password generation and use | |
| JP2006092081A (ja) | 不特定者または多数者が利用するパソコンの安全な起動利用方法及びそのような利用を実現する記録媒体 | |
| Abdumalikov | WINDOWS SECURITY IN THE WORLD OF SPREAD VULNERABILITIES | |
| Ming-wei et al. | A trusted portable computing device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 450001 Henan city of Zhengzhou Province, West Zheng Dong new things are integrated services northbound Zhengzhou national trunk highway logistics building 14 floors of A towers Applicant after: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd. Address before: 450001 No. 11 Lianhua street, hi tech Development Zone, Henan, Zhengzhou Applicant before: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd. |
|
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 450046 Henan city of Zhengzhou Province, East West northbound Zheng Dong new district are integrated services Zhengzhou national trunk highway logistics building 14 floors of A towers Applicant after: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd. Address before: 450001 Henan city of Zhengzhou Province, West Zheng Dong new things are integrated services northbound Zhengzhou national trunk highway logistics building 14 floors of A towers Applicant before: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: USB (Universal Serial Bus) embedded trustworthiness private information processing device and system Effective date of registration: 20180206 Granted publication date: 20130213 Pledgee: Bank of Communications Ltd. Henan branch Pledgor: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd. Registration number: 2018410000003 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20181105 Granted publication date: 20130213 Pledgee: Bank of Communications Ltd. Henan branch Pledgor: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd. Registration number: 2018410000003 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: USB embedded trusted private information processing device and system Granted publication date: 20130213 Pledgee: Bank of Zhengzhou Co.,Ltd. Zhongyuan Science and Technology City Sub branch Pledgor: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd. Registration number: Y2024980007004 |