CN102223232A - 基于usb安全存储加密卡的可信系统构造方法及系统 - Google Patents
基于usb安全存储加密卡的可信系统构造方法及系统 Download PDFInfo
- Publication number
- CN102223232A CN102223232A CN2011101221934A CN201110122193A CN102223232A CN 102223232 A CN102223232 A CN 102223232A CN 2011101221934 A CN2011101221934 A CN 2011101221934A CN 201110122193 A CN201110122193 A CN 201110122193A CN 102223232 A CN102223232 A CN 102223232A
- Authority
- CN
- China
- Prior art keywords
- safe storage
- encrypted card
- user
- storage encrypted
- usb
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 238000003780 insertion Methods 0.000 claims description 5
- 230000037431 insertion Effects 0.000 claims description 5
- 230000006399 behavior Effects 0.000 abstract description 5
- 238000012795 verification Methods 0.000 abstract description 4
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开一种基于USB安全存储加密卡的可信系统构造方法及系统,根据所述方法和系统,首先对用户身份的合法性和需要自带的操作系统进行完整性验证,保证合法用户所启动的操作系统和办公系统是安全的,通过对用户所使用的应用程序进行完整性验证,对终端设备访问的网络数据进行认证,对外部端口接入的设备进行认证,保证用户的访问行为是可控的。
Description
技术领域
本发明涉及计算机网络安全领域,尤其涉及一种基于USB安全存储加密卡的可信系统构造方法及系统,该方法及系统利用USB安全存储加密卡,实现用户的身份验证、操作系统和办公系统的完整性的验证,对终端用户的使用的应用程序、网络接入、终端设备接入等用户行为进行控制,保证终端用户的访问行为是可控的。从而保证终端用户构建的系统是可信的。
背景技术
U盘(包括U盘、移动硬盘等)是常用的移动存储设备。当前的计算机,为了方便终端用户拷贝数据,大都配有USB端口。但这种操作方法,容易降低整个系统及终端设备的安全性。随着安全支付和安全办公的发展,既要保护USB移动存储设备中的个人隐私和敏感信息的机密性,防止移动存储设备和系统遭受木马病毒攻击,又要对终端设备进行加固,对用户的访问行为进行控制。也就是要求整个终端系统是安全的,用户的所有访问方式是可控的。本发明方法及系统,正是基于USB安全存储加密卡,构建可信系统的一种方法及系统,以保证终用户的访问方式是可控的。所述USB安全存储加密卡为本领域通用的USB安全存储加密卡,尤其是以郑州信大捷安信息技术有限公司于2010年7月1日申请的申请号201020265723.1,名称为“一种USB安全存储加密卡”为基础,该申请全部内容被结合于此作为参考。
发明内容
根据本发明一方面,为了终端用户在一个可信环境下进行办公、支付等不同的行为,而提供一种基于USB安全存储加密卡的可信系统构造方法,该方法包括:在终端设备系统启动前,插入USB安全存储加密卡,以使用USB安全存储加密卡对用户身份的合法性和USB安全存储卡自带的操作系统的完整性进行认证,以用于保证终端设备的使用者是合法的,用户所使用的操作系统是安全的;认证通过后,启用USB安全存储加密卡自带的操作系统和办公系统进行办公;使用USB安全存储加密卡,对用户所要执行的应用程序的完整性进行验证以保证用户执行应用程序的操作方式是可控的;使用USB安全存储加密卡,对终端设备的网络接入进行验证以保证用户接入网络的操作方式是可控的;使用USB安全存储加密卡,对外部端口接入的终端设备,进行验证以保证用户通过外部端口访问系统的操作方式是可控的。
根据本发明的另一方面,提供一种基于USB安全存储加密卡的可信系统构造系统,该系统包括:认证装置,用于在终端设备系统启动前,插入USB安全存储加密卡,以使用USB安全存储加密卡对用户身份的合法性和USB安全存储卡自带的操作系统的完整性进行认证,以用于保证终端设备的使用者是合法的,用户所使用的操作系统是安全的;办公系统启动装置,用于在认证通过后,启用USB安全存储加密卡自带的操作系统和办公系统进行办公;应用程序启动认证装置,用于使用USB安全存储加密卡,对用户所要执行的应用程序的完整性进行验证以保证用户执行应用程序的操作方式是可控的;网络接入认证装置,用于使用USB安全存储加密卡,对终端设备的网络接入进行验证以保证用户接入网络的操作方式是可控的;端口接入控制装置,使用USB安全存储加密卡,对外部端口接入的终端设备,进行验证以保证用户通过外部端口访问系统的操作方式是可控的。
其中所述外部端口至少包括以下类型端口之一:USB、串口、红外。
综上所述,该方法及系统是为用户提供一种构建可信系统的一种方法及系统,该方法及系统保证终端用户的访问方式是可控的,从而使得终端系统免受木马病毒的攻击。
本发明的积极效果:
实现用户运行环境的定制,保证了合法用户的操作方式是可控的。该方法及系统避免了终端运行环境的变更带来的安全问题,防止终端感染木马以及其他窃取终端用户信息的网络攻击。
附图说明:
图1 是基于USB安全存储加密卡构建可信系统的流程。
根据本发明,是基于USB安全存储加密卡,设计了启动程序引导、用户身份认证、操作系统完整性验证、应用程序完整验证、网络数据验证、终端设备验证和VPN接入验证的方法。从而为用户提供了构建可信系统的方法。具体实施步骤如下:
1)基于USB安全存储加密卡的认证启动:终端设备系统启动前,插入USB安全存储加密卡,USB安全存储加密卡对用户身份进行认证。同时,USB安全存储加密卡对自带的操作系统进行完整性验证。用户身份的合法性和操作系统的完整性,都通过验证后,方可启动终端设备系统;否则不能启动终端设备系统。
其中,所述USB安全存储加密卡自带操作系统包括两部分:被植入的自主研发的微型操作系统,另一部分为被嵌入被裁剪的Windows XP Embedded操作系统,其中USB安全存储加密卡的微型操作系统对Windows XP Embedded操作系统启动顺序中的关键文件进行摘要计算,当用户插入USB安全存储加密卡后,先启动USB安全存储加密卡内的微型操作系统,然后对Windows XP Embedded操作系统进行可信认证。如果认证通过,那么USB安全存储加密卡内的微型操作系统启动结束之后,主动切换到Windows XP Embedded操作系统,从而运行用户的运行环境。如果未能通过认证,操作系统会自动关闭。
其中裁剪的Windows XP Embedded操作系统是基于Windows 5.0.1内核,完全兼容Windows XP,两者的区别仅在于前者是可裁剪的,将存在网络风险和安全隐患的部分组件裁剪掉,系统不但小巧,而且安全可靠,并且裁剪后的Windows XP Embedded操作系统基于Win32技术,完全兼容目前流行的Windows XP的应用程序。
2)启动办公系统:用户需要进行日常办公时,启动USB安全存储加密卡自带的操作系统和办公系统,进行日常办公。用户不使用其他的存储介质(硬盘、光盘、其他U盘等)。
3)应用程序启动认证:终端设备系统成功启动后,用户需要执行其他应用程序时,首先使用USB安全存储加密卡,对所要执行的应用程序的完整性进行验证。如果通过验证,可运行该应用程序;否则,不能执行该应用程序。
4)网络接入认证:终端设备系统成功启动后,用户需要网络访问时,USB安全存储卡加密卡对网络数据进行认证。如果通过认证,则可以访问网络;否则,不能访问网络。
5)端口接入控制:终端设备系统成功启动后,外部端口(如USB、串口、红外等)需要接入终端设备时,USB安全存储加密卡对外部端口进行验证。如果通过验证,可正常接入;否则,不能接入。
通过本发明,可以实现用户运行环境的定制,保证了合法用户的操作方式是可控的。本发明避免了终端运行环境的变更带来的安全问题,防止终端感染木马以及其他窃取终端用户信息的网络攻击。
尽管已经参考优选实施例对本发明进行阐述,本领域技术人员应该理解,可以针对本发明进行不同的修改和变形而不脱离本发明的范围。
Claims (6)
1.一种基于USB安全存储加密卡的可信系统构造方法,其特征在于:
-在终端设备系统启动前,插入USB安全存储加密卡,以使用USB安全存储加密卡对用户身份的合法性和USB安全存储卡自带的操作系统的完整性进行认证,以用于保证终端设备的用户是合法的,用户所使用的操作系统是安全的;
-认证通过后,启用USB安全存储加密卡自带的操作系统和办公系统进行办公;
-使用USB安全存储加密卡,对用户所要执行的应用程序的完整性进行验证以保证用户执行应用程序的操作方式是可控的;
-使用USB安全存储加密卡,对终端设备的网络接入进行验证以保证用户接入网络的操作方式是可控的;
-使用USB安全存储加密卡,对外部端口接入的终端设备,进行验证以保证用户通过外部端口访问系统的操作方式是可控的。
2.如权利要求1所述的方法,其特征在于:其中所述外部端口至少包括以下类型端口之一:USB、串口、红外。
3.如权利要求1所述的方法,其特征在于:其中所述USB安全存储加密卡自带操作系统包括两部分:一部分为被植入的微型操作系统,另一部分为被嵌入裁剪的Windows XP Embedded操作系统,其中所述USB安全存储加密卡的微型操作系统对Windows XP Embedded操作系统启动顺序中的关键文件进行摘要计算,当用户插入USB安全存储加密卡后,先启动所述USB安全存储加密卡内的微型操作系统,然后对Windows XP Embedded操作系统进行可信认证。
4.一种基于USB安全存储加密卡的可信系统构造系统,其特征在于:
-认证装置,用于在终端设备系统启动前,插入USB安全存储加密卡,以使用USB安全存储加密卡对用户身份的合法性和USB安全存储卡自带的操作系统的完整性进行认证,以用于保证终端设备的用户是合法的,用户所使用的操作系统是安全的;
-办公系统启动装置,用于在认证通过后,启用USB安全存储加密卡自带的操作系统和办公系统进行办公;
-应用程序启动认证装置,用于使用USB安全存储加密卡,对用户所要执行的应用程序的完整性进行验证以保证用户执行应用程序的操作方式是可控的;
-网络接入认证装置,用于使用USB安全存储加密卡,对终端设备的网络接入进行验证以保证用户接入网络的操作方式是可控的;
-端口接入控制装置,使用USB安全存储加密卡,对外部端口接入的终端设备进行验证以保证用户通过外部端口访问系统的操作方式是可控的。
5.如权利要求4所述的系统,其特征在于:其中所述外部端口至少包括以下类型端口之一:USB、串口、红外。
6.如权利要求4所述的系统,其特征在于:其中所述USB安全存储加密卡自带操作系统包括两部分:一部分为植入的微型操作系统,另一部分为嵌入被裁剪的Windows XP Embedded操作系统,其中USB安全存储加密卡的微型操作系统对Windows XP Embedded操作系统启动顺序中的关键文件进行摘要计算,当用户插入所述USB安全存储加密卡后,先启动所述USB安全存储加密卡内的微型操作系统,然后对Windows XP Embedded操作系统进行可信认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110122193 CN102223232B (zh) | 2011-05-12 | 2011-05-12 | 基于usb安全存储加密卡的可信系统构造方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110122193 CN102223232B (zh) | 2011-05-12 | 2011-05-12 | 基于usb安全存储加密卡的可信系统构造方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102223232A true CN102223232A (zh) | 2011-10-19 |
| CN102223232B CN102223232B (zh) | 2013-09-18 |
Family
ID=44779665
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201110122193 Active CN102223232B (zh) | 2011-05-12 | 2011-05-12 | 基于usb安全存储加密卡的可信系统构造方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102223232B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103345595A (zh) * | 2013-06-26 | 2013-10-09 | 深圳市慧锐通智能电器股份有限公司 | 程序加密方法与程序加密系统 |
| CN103488938A (zh) * | 2013-09-25 | 2014-01-01 | 江苏众瀛联合数据科技有限公司 | 安全验证的方法和系统 |
| CN103678986A (zh) * | 2013-11-14 | 2014-03-26 | 安徽云盾信息技术有限公司 | 一种固化操作系统的移动加密设备及实现方法 |
| CN108449181A (zh) * | 2018-04-03 | 2018-08-24 | 深圳市宝尔爱迪科技有限公司 | 带加密系统的终端设备及其系统启动方法 |
| CN109086620A (zh) * | 2018-07-19 | 2018-12-25 | 郑州信大捷安信息技术股份有限公司 | 基于移动存储介质的物理隔离双系统构建方法 |
| CN110324315A (zh) * | 2019-05-30 | 2019-10-11 | 北京百度网讯科技有限公司 | 离线鉴权系统及其方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007129869A1 (en) * | 2006-05-10 | 2007-11-15 | Dm Plus Co., Ltd. | Vip membership service system |
| CN101122936A (zh) * | 2007-09-21 | 2008-02-13 | 武汉大学 | 一种可信机制上的嵌入式平台引导 |
| CN101964978A (zh) * | 2010-10-26 | 2011-02-02 | 郑州信大捷安信息技术有限公司 | 基于安全tf卡的增强移动终端系统安全性的加固方法 |
| CN102004876A (zh) * | 2009-12-31 | 2011-04-06 | 郑州信大捷安信息技术有限公司 | 可容忍非信任组件的安全终端加固模型及加固方法 |
| CN202077041U (zh) * | 2011-05-12 | 2011-12-14 | 郑州信大捷安信息技术股份有限公司 | 基于usb安全存储加密卡的可信系统 |
-
2011
- 2011-05-12 CN CN 201110122193 patent/CN102223232B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007129869A1 (en) * | 2006-05-10 | 2007-11-15 | Dm Plus Co., Ltd. | Vip membership service system |
| CN101122936A (zh) * | 2007-09-21 | 2008-02-13 | 武汉大学 | 一种可信机制上的嵌入式平台引导 |
| CN102004876A (zh) * | 2009-12-31 | 2011-04-06 | 郑州信大捷安信息技术有限公司 | 可容忍非信任组件的安全终端加固模型及加固方法 |
| CN101964978A (zh) * | 2010-10-26 | 2011-02-02 | 郑州信大捷安信息技术有限公司 | 基于安全tf卡的增强移动终端系统安全性的加固方法 |
| CN202077041U (zh) * | 2011-05-12 | 2011-12-14 | 郑州信大捷安信息技术股份有限公司 | 基于usb安全存储加密卡的可信系统 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103345595A (zh) * | 2013-06-26 | 2013-10-09 | 深圳市慧锐通智能电器股份有限公司 | 程序加密方法与程序加密系统 |
| CN103345595B (zh) * | 2013-06-26 | 2015-03-18 | 慧锐通智能科技股份有限公司 | 程序加密方法与程序加密系统 |
| CN103488938A (zh) * | 2013-09-25 | 2014-01-01 | 江苏众瀛联合数据科技有限公司 | 安全验证的方法和系统 |
| CN103678986A (zh) * | 2013-11-14 | 2014-03-26 | 安徽云盾信息技术有限公司 | 一种固化操作系统的移动加密设备及实现方法 |
| CN108449181A (zh) * | 2018-04-03 | 2018-08-24 | 深圳市宝尔爱迪科技有限公司 | 带加密系统的终端设备及其系统启动方法 |
| CN109086620A (zh) * | 2018-07-19 | 2018-12-25 | 郑州信大捷安信息技术股份有限公司 | 基于移动存储介质的物理隔离双系统构建方法 |
| CN109086620B (zh) * | 2018-07-19 | 2021-03-23 | 郑州信大捷安信息技术股份有限公司 | 基于移动存储介质的物理隔离双系统构建方法 |
| CN110324315A (zh) * | 2019-05-30 | 2019-10-11 | 北京百度网讯科技有限公司 | 离线鉴权系统及其方法 |
| CN110324315B (zh) * | 2019-05-30 | 2021-11-30 | 北京百度网讯科技有限公司 | 离线鉴权系统及其方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102223232B (zh) | 2013-09-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9047486B2 (en) | Method for virtualizing a personal working environment and device for the same | |
| US8898477B2 (en) | System and method for secure firmware update of a secure token having a flash memory controller and a smart card | |
| CN102223232B (zh) | 基于usb安全存储加密卡的可信系统构造方法及系统 | |
| CN100454246C (zh) | 使用状态证实的受保护操作系统引导的系统和方法 | |
| RU2542930C2 (ru) | Защищенная загрузка и конфигурирование подсистемы с нелокального запоминающего устройства | |
| CN107438849B (zh) | 用于验证电子设备的完整性的系统和方法 | |
| CN101256608B (zh) | 安全操作方法和系统 | |
| US20090193211A1 (en) | Software authentication for computer systems | |
| CN103189877B (zh) | 软件认证 | |
| US20130007465A1 (en) | Apparatus, Systems and Method for Virtual Desktop Access and Management | |
| KR20060134037A (ko) | 이용 인증 방법, 이용 인증 프로그램을 저장한 컴퓨터 판독 가능 기록 매체, 정보 처리 장치 및 기록 매체 | |
| CN102346831A (zh) | Android操作系统的手持设备隐私加密保护方法 | |
| CN101517587A (zh) | 持久安全系统及方法 | |
| US20090287917A1 (en) | Secure software distribution | |
| CN102289622A (zh) | 基于认证策略文件和硬件信息收集的可信开机启动方法 | |
| CN107273150B (zh) | 预加载固件下载写入方法及装置 | |
| EP2338244B1 (en) | Use of a secure element for writing to and reading from machine readable credentials | |
| CN101859373A (zh) | 一种移动可信终端安全接入方法 | |
| US10392833B2 (en) | Hybrid physical and logical locking device and mechanism | |
| CN202077041U (zh) | 基于usb安全存储加密卡的可信系统 | |
| CN110807186B (zh) | 一种存储设备安全存储的方法、装置、设备和存储介质 | |
| CN112613011A (zh) | U盘系统认证方法、装置、电子设备及存储介质 | |
| KR20110085894A (ko) | 소프트웨어 애플리케이션의 실행 방법 및 소프트웨어 애플리케이션을 위한 저장 디바이스 | |
| TW201738802A (zh) | 用以防止檔案的未授權利用及控制存取的可卸式安全裝置及方法 | |
| US10764064B2 (en) | Non-networked device performing certificate authority functions in support of remote AAA |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 450001 Henan city of Zhengzhou Province, West Zheng Dong new things are integrated services northbound Zhengzhou national trunk highway logistics building 14 floors of A towers Applicant after: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd. Address before: 450001 No. 11 Lianhua street, hi tech Development Zone, Henan, Zhengzhou Applicant before: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd. |
|
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 450046 Henan city of Zhengzhou Province, East West northbound Zheng Dong new district are integrated services Zhengzhou national trunk highway logistics building 14 floors of A towers Applicant after: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd. Address before: 450001 Henan city of Zhengzhou Province, West Zheng Dong new things are integrated services northbound Zhengzhou national trunk highway logistics building 14 floors of A towers Applicant before: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Trusted system building method and system based on USB safety memory encryption card Effective date of registration: 20180206 Granted publication date: 20130918 Pledgee: Bank of Communications Ltd. Henan branch Pledgor: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd. Registration number: 2018410000003 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20181105 Granted publication date: 20130918 Pledgee: Bank of Communications Ltd. Henan branch Pledgor: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd. Registration number: 2018410000003 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Construction Method and System of Trusted System Based on USB Secure Storage Encryption Card Granted publication date: 20130918 Pledgee: Bank of Zhengzhou Co.,Ltd. Zhongyuan Science and Technology City Sub branch Pledgor: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd. Registration number: Y2024980007004 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |