CN1423202A - 嵌入式安全模块及其安全保护方法 - Google Patents

嵌入式安全模块及其安全保护方法 Download PDF

Info

Publication number
CN1423202A
CN1423202A CN 01138249 CN01138249A CN1423202A CN 1423202 A CN1423202 A CN 1423202A CN 01138249 CN01138249 CN 01138249 CN 01138249 A CN01138249 A CN 01138249A CN 1423202 A CN1423202 A CN 1423202A
Authority
CN
China
Prior art keywords
security module
security
circuit
computing machine
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN 01138249
Other languages
English (en)
Other versions
CN1243312C (zh
Inventor
刘毅
吕永康
张焕国
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
JETWAY Information Security Industry Co., Ltd.
Original Assignee
WUHAN RUIDA ELECTRONIC CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by WUHAN RUIDA ELECTRONIC CO Ltd filed Critical WUHAN RUIDA ELECTRONIC CO Ltd
Priority to CN 01138249 priority Critical patent/CN1243312C/zh
Publication of CN1423202A publication Critical patent/CN1423202A/zh
Application granted granted Critical
Publication of CN1243312C publication Critical patent/CN1243312C/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明涉及一种嵌入式安全模块及其安全保护方法,属于信息安全技术领域。所述安全模块,包括用于安全管理的中央处理器(CPU);还有存储器;和用于与外部传递信息的输入、输出单元;以及管理、控制计算机的底层硬件的安全控制单元。其安全保护方法,是安全模块依据其输入输出单元传送到安全模块的用户权限的信息,通过安全控制单元输出控制信号开启或关闭或控制计算机底层的硬件设备的方法。本发明优点在于,计算机的硬件资源不再是完全开放的,而是由安全模块来管理控制,从硬件底层对计算机进行安全保护,对不同身份的用户的使用权限进行限制。

Description

嵌入式安全模块及其安全保护方法
                          技术领域
本发明涉及一种嵌入式安全模块及其安全保护方法,属于信息安全技术领域,特别适合对计算机信息安全要求严格的场合使用。
                          背景技术
现有的计算机系统构架中,对任何标准设备的访问都是开放的,像软盘驱动器,硬盘驱动器,PCI设备,USB设备。这些设备的读写方式和通讯协议都是公开的,它允许任何用户直接访问这些设备,并可直接从这些设备中读取信息。由于这种开放式的构架,使得一些恶意的攻击者有可能通过直接读写这些硬件设备获取计算机存储的信息,或破坏这些信息。比如一个攻击者可以直接通过底层的程序直接操作硬盘驱动器直接从硬盘磁道扇区中读出数据,通过这种方法可以将整个硬盘的数据读出,加以分析,从中提取需要的资料,或者通过简单的低级格式化程序破坏整个硬盘数据。由于这种攻击行为可以不依赖于特定的操作系统,这使得任何基于操作系统及其上层软件的防护都无法防止这种攻击行为。一个熟悉计算机系统的人甚至可以修改BIOS或从新编写底层驱动程序,从而使这种攻击行为可以不依赖于BIOS,从而避开某些BIOS的限制,或者通过修改BIOS对计算机进行破坏,象以前爆发的CIH病毒就是修改BIOS的例子。
                          发明内容
本发明的目的在于,解决上述计算机安全的问题,提供一种计算机安全保护装置即嵌入式安全模块及其安全保护方法。所述嵌入式安全模块是作为计算机信息安全保护的核心部分,它能够管理控制计算机的底层硬件设备,具有用户权限或身份信息输入接口,能够对不同身份的用户使用计算机底层硬件的权限控制。提供所述的安全保护方法的目的是适应安全模块正常工作的需要。
本发明的一种嵌入式安全模块的技术方案是这样实现的:它包括一个用于安全管理的中央处理器(CPU);还有存储器和用于与外部传递信息的输入、输出单元;以及管理、控制计算机的底层硬件的安全控制单元。
适合于本发明的安全保护方法是:所述的安全模块依据其输入输出单元传送到安全模块的用户权限信息,通过安全控制模块输出控制信号开启或关闭或控制计算机底层的硬件设备。
本发明的优点在于:计算机的硬件资源不再是完全开放的,而是由安全模块来管理控制,从硬件底层对计算机进行安全保护,对不同身份的用户的使用权限进行限制。
                          附图说明
图1是安全模块结构示意图;
图2是与安全模块配套的计算机控制部分示意图;
图3是更具体的实施例构成部件示意图;
图4是安全模块工作流程和安全保护方法示意图。
                          具体实施方式
如图1所示,本发明的安全模块是硬件模块,还可以是包含安全模块部件的芯片,或包含安全模块部件的其他封装形式的器件;安全模块是嵌入于计算机内对计算机实施安全控制,还可以是外挂在计算机外;安全模块有一个中央处理器(CPU)1,它是基于X86的内核的处理器,还可以是,ARM.MIPS.POWERPC内核的处理器,或其他专用处理器;有一个存储器2,它是如图3随机存储器2.1和电可擦写的存储器2.2或/和只读存储器;还有图1所示输入输出单元3,它是用户专有信息输入设备接口3.3,连接计算机用于模块与计算机间交换信息的接口3.1、3.2;如图所示的用户专有信息输入设备是IC卡读卡器5,还可以是指纹识别设备,声音识别设备,及其他光电识别设备的一种或多种。还有时钟电路3.4或/和报警电路3.5,时钟电路3.4是为安全模块提供时间基准的电路,报警电路是安全模块检测到异常通知用户的电路;安全模块与计算机之间交换的信息可以是计算机与模块之间传递的命令信息,还可以是计算机交由模块处理的数据信息。这种处理是加密、和解密等。如图1所示,安全模块的安全控制单元4是一个连接到计算机并对计算机底层硬件管理控制的电路;该电路的控制总线如图3所示是I2C总线4.1,还可以是USB总线,或串行总线,或并行总线,或其他专用总线的一种或多种;所述的管理的计算机底层硬件可以是如图2所示的USB设备16,PCI设备12,硬盘驱动器20,软盘驱动器22,串行通讯设备14,并行通讯设备10,键盘、鼠标8及其他可控设备18的一种或多种。
本发明安全模块配套的计算机或类似设备包括至少一个如图2所示的开关电路6,该电路至少由一个能与安全模块的控制单元4连接的信号,通过此信号控制开关电路7、9、10等打开或关闭计算机相应的硬件资源。所述的类似设备可以是工控设备。
如图3所示是本发明安全模块更具体的实施例。本实施例安全模块由一个中央处理器1,存储器2有一个随机存储器2.1,一个电可擦写存储器2.2,输入输出单元3还有一个实时时钟电路3.4,一个报警电路3.5,一个IC卡的接口电路3.3;安全控制单元4是I2C总线控制器4.1。中央处理器1用于安全处理,随机存储器2.1用于存储程序临时数据,电可擦写存储器2.2用于存储程序本身和需存储的数据信息,实时时钟电路3.4用于给安全模块提供一个时间基准,报警电路3.5通过报警提示异常情况,7816总线控制器3.3作为一种身份认证接口提供给安全模块用户专有信息。安全控制电路使用的是I2C总线控制器4.1输出控制信号,该控制信号通过该总线控制器连接到计算机主板上的开关电路6上(如图2所示),该开关电路还包含一个有I2C总线接口的GPIO扩展电路和与该扩展电路输出端连接的开关电路(如图2的7、9、11、15、19、21、13、17),该开关电路控制计算机的软盘驱动器22、硬盘驱动器20、PCI设备12、USB设备16、串行通讯设备14、并行通讯设备10、键盘、鼠标3开启/关闭,该开关电路并且连接到计算机的开机关机电路23和复位电路24取代原计算机的开机、关机按钮25、复位开关按钮26。
如图4所示的是安全模块工作流程和安全保护方法示意图:
图中,在计算机系统正常工作前,安全模块首先启动,在安全模块启动后即执行自检程序,当自检出现异常后,安全模块通过报警电路报警,等待用户处理,当自检正常后,安全模块等待用户插入IC卡,用户插入IC卡后,安全模块验证IC卡的合法性,只有IC卡合法安全模块(ESM)才通过安全控制电路给计算机加电、等待计算机运行;计算机加电后开始进入BIOS程序;BIOS完成计算机自身初始化后,弹出一个要求用户输入密码的界面,用户输入密码后,计算机将此密码通过输入、输出端口传送到安全模块,并向安全模块发出验证密码的命令,安全模块开始认证程序,从IC卡中读取密码信息并与用户输入密码进行验证,如果认证错误,安全模块通知计算机并要求用户重新输入密码;认证正确后,安全模块从IC卡中取出用户权限数据,安全模块依据用户权限数据开启计算机相应底层硬件设备,此过程完成后通知BIOS继续执行BIOS程序;BIOS完成自身程序后将控制权交给操作系统,操作系统从安全模块中取出用户权限等信息,开始应用程序;当应用程序检测到异常情况,应用程序通过操作系统通知安全模块,安全模块报警,并将异常情况记录、存储在电可擦写的存储器中,记录的时间是由安全模块本身的实时时钟提供,并根据异常情况的等级关闭相应的计算机硬件底层设备。总之,所述的安全模块的安全保护方法,是安全模块依据其输入输出单元传送到安全模块的用户权限信息,通过安全控制单元输出控制信号开启或关闭或控制计算机底层的硬件设备的方法。

Claims (10)

1、一种嵌入式安全模块及其安全保护方法,其特征在于,它包括:
一个用于安全管理的中央处理器(CPU)(1);
还有存储器(2);和
用于与外部传递信息的输入、输出单元(3);以及
管理、控制计算机底层硬件的安全控制单元(4)。
2、根据权利要求1所述的安全模块,其特征在于,所述的中央处理器(CPU)(1)是基于X86内核的处理器,还可以是ARM、MIPS、POWER PC内核的处理器,或其他专用处理器。
3、根据权利要求1所述的安全模块,其特征在于,所述的存储器(2),是随机存储器和电可擦写的存储器,或/和只读存储器。
4、根据权利要求1所述的安全模块,其特征在于,所述的输入、输出单元(3)是与用户专有信息输入设备接口和连接计算机用于安全模块与计算间交换信息的接口;所述的用户专有信息输入设备是IC卡读卡器,或/和指纹、声音、图象等识别设备,以及其他光、电识别设备;所述的安全模块与计算机之间交换的信息可以是计算机与模块之间传递的命令信息,或计算机交由模块处理的数据信息。
5、根据权利要求1所述的安全模块,其特征在于,它还有一个时钟电路(3.4),或/和报警电路(3.5);所述的时钟电路(3.4)是安全模块提供时间基准的电路;所述的报警电路(3.5)是安全模块检测到异常情况通知用户的电路。
6、根据权利要求1所述的安全模块,其特征在于,所述的安全控制单元(4)是一个连接到计算机并对计算机底层硬件管理控制的电路;该电路的控制总线是I2C总线(4.1)、PCI总线、USB总线、串行总线、并行总线、或其它专用总线的一种或多种,所管理的计算机底层硬件可以是USB设备(6),PCI设备(12),硬盘驱动器(20),软件驱动器(2),串行通讯设备(14),并行通讯设备(10),键盘、鼠标(8)、及其他可控设备的一种或多种。
7、根据权利要求1所述的安全模块,其特征在于,其安全控制单元(4)与受控的计算机或类似的设备连接。
8、一种与权利要求7所述的安全模块相匹配的计算机或类似的设备,其特征在于,它有至少一个开关电路,该电路至少有一个能与安全模块的安全控制单元(4)连接的输入接口,所述的开关电路是控制计算机底层硬件开启/关闭的电路,所述的硬件包括硬、软盘驱动器,键盘,鼠标、打印机等,PCI设备、USB设备的一种或多种,是由安全模块控制管理的硬件;所述的类似设备可以是工控设备。
9、根据权利要求1所述的安全模块,其特征在于,安全模块它是硬件模块,或包含安全模块的部件的芯片,或包含安全模块部件的其他封装形式的器件。
10、适合于权利要求1所述安全模块的安全保护方法,其特征在于,该方法是安全模块依据其输入输出单元传送到安全模块的用户权限信息,通过安全控制单元输出控制信号开启或关闭或控制计算机底层的硬件设备的方法。
CN 01138249 2001-12-05 2001-12-05 嵌入式安全模块 Expired - Fee Related CN1243312C (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 01138249 CN1243312C (zh) 2001-12-05 2001-12-05 嵌入式安全模块

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 01138249 CN1243312C (zh) 2001-12-05 2001-12-05 嵌入式安全模块

Publications (2)

Publication Number Publication Date
CN1423202A true CN1423202A (zh) 2003-06-11
CN1243312C CN1243312C (zh) 2006-02-22

Family

ID=4674466

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 01138249 Expired - Fee Related CN1243312C (zh) 2001-12-05 2001-12-05 嵌入式安全模块

Country Status (1)

Country Link
CN (1) CN1243312C (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103049715A (zh) * 2013-01-04 2013-04-17 上海瑞达安全集成电路有限公司 外设可控制使能的计算机
CN105162620A (zh) * 2015-08-04 2015-12-16 南京百敖软件有限公司 一种实现异架构下系统监控的方法
CN106302397A (zh) * 2016-07-29 2017-01-04 北京北信源软件股份有限公司 一种基于设备指纹的设备识别系统
CN107203716A (zh) * 2017-05-03 2017-09-26 中国科学院信息工程研究所 一种Linux内核轻量级结构化保护方法及装置
CN109902513A (zh) * 2019-03-05 2019-06-18 黄冈职业技术学院 一种智能化计算机安全系统
CN111566644A (zh) * 2017-12-27 2020-08-21 西门子股份公司 用于硬件安全性模块的接口
CN111783113A (zh) * 2020-06-22 2020-10-16 济南浪潮高新科技投资发展有限公司 一种基于SAS Controller的数据访问权限控制方法

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101320410B (zh) * 2008-05-20 2010-09-08 北京深思洛克软件技术股份有限公司 一种嵌入式系统版权保护的方法

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103049715A (zh) * 2013-01-04 2013-04-17 上海瑞达安全集成电路有限公司 外设可控制使能的计算机
CN105162620A (zh) * 2015-08-04 2015-12-16 南京百敖软件有限公司 一种实现异架构下系统监控的方法
CN105162620B (zh) * 2015-08-04 2018-11-27 南京百敖软件有限公司 一种实现异架构下系统监控的方法
CN106302397A (zh) * 2016-07-29 2017-01-04 北京北信源软件股份有限公司 一种基于设备指纹的设备识别系统
CN106302397B (zh) * 2016-07-29 2019-04-30 北京北信源软件股份有限公司 一种基于设备指纹的设备识别系统
CN107203716A (zh) * 2017-05-03 2017-09-26 中国科学院信息工程研究所 一种Linux内核轻量级结构化保护方法及装置
CN107203716B (zh) * 2017-05-03 2020-05-22 中国科学院信息工程研究所 一种Linux内核轻量级结构化保护方法及装置
CN111566644A (zh) * 2017-12-27 2020-08-21 西门子股份公司 用于硬件安全性模块的接口
US11755719B2 (en) 2017-12-27 2023-09-12 Siemens Aktiengesellschaft Interface for a hardware security module
CN109902513A (zh) * 2019-03-05 2019-06-18 黄冈职业技术学院 一种智能化计算机安全系统
CN111783113A (zh) * 2020-06-22 2020-10-16 济南浪潮高新科技投资发展有限公司 一种基于SAS Controller的数据访问权限控制方法

Also Published As

Publication number Publication date
CN1243312C (zh) 2006-02-22

Similar Documents

Publication Publication Date Title
RU2321055C2 (ru) Устройство защиты информации от несанкционированного доступа для компьютеров информационно-вычислительных систем
CN101281570B (zh) 一种可信计算系统
CN1154282C (zh) 安全bios
US9047486B2 (en) Method for virtualizing a personal working environment and device for the same
CN100489823C (zh) 用于禁用通用串行总线端口的方法和设备
RU2538329C1 (ru) Устройство создания доверенной среды для компьютеров информационно-вычислительных систем
CN100378609C (zh) 用于开启计算机系统硬盘驱动器的方法和装置
EP1573466B1 (en) Enhancing data integrity and security in a processor-based system
US6748544B1 (en) Discrete, background determination of the adequacy of security features of a computer system
CN101436247A (zh) 一种基于uefi的生物身份识别方法及系统
CN103400075A (zh) 基于硬件的反病毒扫描服务
CN103119560A (zh) 用于服务处理器复合体中的数据存储的基于需求的usb代理
TW200949685A (en) Apparatus and method for precluding execution of certain instructions in a secure execution mode microprocessor
CN101281572A (zh) Usb端口访问管理
CN103534707A (zh) 用于控制访问计算机系统的方法及其设备
GB2422223A (en) Enumerating a memory device as a human interface device to overcome system administrator blockage
CN101080722A (zh) 用于过滤访问部件核心逻辑的尝试的技术
CN101535957A (zh) 用于共享可信平台模块的系统和方法
CN1243312C (zh) 嵌入式安全模块
CN106716333A (zh) 用于完成安全擦除操作的方法
CN101140545B (zh) 情报处理装置、外围装置及程序
CN102024115A (zh) 一种具有用户安全子系统的计算机
CN2526906Y (zh) 信息安全保护装置
NL9101594A (nl) Computer-systeem met beveiliging.
CN201203867Y (zh) 一种可信计算系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee

Owner name: JETWAY INFORMATION SECURITY INDUSTRY CO., LTD.

Free format text: FORMER NAME: WUHAN JETWAY INFORMATION SECURITY INDUSTRY CO., LTD.

CP01 Change in the name or title of a patent holder

Address after: 430070 Hubei Province, Wuhan city Wuchang District Wuluo Road No. 628 A Asia Trade Plaza, 27 floor

Patentee after: JETWAY Information Security Industry Co., Ltd.

Address before: 430070 Hubei Province, Wuhan city Wuchang District Wuluo Road No. 628 A Asia Trade Plaza, 27 floor

Patentee before: Ruida Electronics Co., Ltd., Wuhan

PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Electronic tag, vehicle identification module and embedded safety module separation method

Effective date of registration: 20111228

Granted publication date: 20060222

Pledgee: Guangdong Development Bank, Limited by Share Ltd, Wuhan, East Lake branch

Pledgor: Ruida information security industry, Limited by Share Ltd|Shanghai Ruida safety integrated circuit Co., Ltd.

Registration number: 2011990000522

PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20140304

Granted publication date: 20060222

Pledgee: Guangdong Development Bank, Limited by Share Ltd, Wuhan, East Lake branch

Pledgor: Ruida information security industry, Limited by Share Ltd|Shanghai Ruida safety integrated circuit Co., Ltd.

Registration number: 2011990000522

PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Electronic tag, vehicle identification module and embedded safety module separation method

Effective date of registration: 20140304

Granted publication date: 20060222

Pledgee: Guangdong Development Bank, Limited by Share Ltd, Wuhan, Wuchang branch

Pledgor: JETWAY Information Security Industry Co., Ltd.

Registration number: 2014990000132

PLDC Enforcement, change and cancellation of contracts on pledge of patent right or utility model
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20060222

Termination date: 20181205