CN202276360U - 一种基于安全芯片的可信移动存储系统 - Google Patents
一种基于安全芯片的可信移动存储系统 Download PDFInfo
- Publication number
- CN202276360U CN202276360U CN2011204342921U CN201120434292U CN202276360U CN 202276360 U CN202276360 U CN 202276360U CN 2011204342921 U CN2011204342921 U CN 2011204342921U CN 201120434292 U CN201120434292 U CN 201120434292U CN 202276360 U CN202276360 U CN 202276360U
- Authority
- CN
- China
- Prior art keywords
- trusted
- safety chip
- party
- credible
- storage device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
一种基于安全芯片的可信移动存储系统属于信息安全技术领域。该系统包括可信第三方、可信移动存储设备、可信用户主机三部分;所述各部分均内置安全芯片;所述可信第三方由内置安全芯片的第三方服务器,或内嵌安全芯片的安全计算机担任;所述的可信移动存储设备是内嵌安全芯片且能够存储数据,并能够与可信用户主机交互数据的可移动装置;所述的可信用户主机,是内嵌安全芯片的计算机,是可信移动存储设备的访问主体。本实用新型提供了一种基于安全芯片的可信移动存储系统。
Description
技术领域
本实用新型是一种基于安全芯片的可信移动存储系统,以可信计算技术和安全芯片技术为基础,提供一种安全的移动存储解决方案,属于信息安全技术领域。
背景技术
随着计算机技术的不断发展及相关应用需求的不断变化,计算机安全以及信息安全方面的问题越来越突出。可信计算技术和安全芯片技术的不断进步为解决信息安全问题提出了新思路。本实用新型提出的基于安全芯片的可信移动存储方法用于机密信息的存储和移动,在保证安全性与可靠性的前提下,提升了机密信息传输和存储的灵活性和可移动性。
安全芯片采用可信计算技术、SOC技术,内部结构主要包括微处理器、易失性存储器、非易失性存储器、硬件密码算法引擎等;安全芯片内部存储出厂发行时下发的EK证书和相关身份证书;EK密钥、存储根密钥等核心密钥永不出芯片,保证了密钥与机密数据的安全存储;密钥生成、加密解密、数字签名与验证等核心操作在芯片内部安全高效地完成。安全存储是采用可信技术对密钥和敏感数据进行保护存储;通过报告机制完成平台和用户身份证明,建立可信的身份体系;安全芯片的密钥管理功能包括密钥的生成、存储、更新、销毁等。此外,安全芯片的功能还包括可信度量、随机数生成、数据加解密等。
实用新型内容
本实用新型的目的是提供一种基于安全芯片的可信移动存储系统。
一种基于安全芯片的可信移动存储系统,由可信第三方、可信移动存储设备、可信用户主机三部分组成,可信移动存储系统组成框图如图1所示。所述的可信第三方、可信移动存储设备、可信用户主机均内置安全芯片。所述可信第三方由内置安全芯片的第三方服务器,或内嵌安全芯片的安全计算机担任;所述的可信移动存储设备是内嵌安全芯片且能够存储数据,并能够与可信用户主机交互数据的可移动装置;所述的可信用户主机,是内嵌安全芯片的计算机,是可信移动存储设备的访问主体。
所述的安全芯片采用可信计算技术和SOC技术,内部结构至少包括控制与执行部件、易失性存储部件、非易失性存储部件、非对称密码算法引擎部件、对称密码算法引擎部件、哈希算法引擎部件、随机数生成部件、I/O接口部件。安全芯片内部包含表征芯片唯一性的EK密钥对,所述EK密钥对为非对称密钥,包括EK公钥和EK私钥;所述EK公钥是EK证书的一部分,在安全芯片出厂发行时随EK证书下发至安全芯片,所述EK私钥在安全芯片出厂发行时注入安全芯片内部,所述EK私钥受到安全芯片保护,永远不出安全芯片。与所述EK证书在出厂发行时一同下发至安全芯片的还有发行证书,其内容至少包括安全芯片的设备唯一序列号。
可信第三方和可信移动存储设备以USB方式通信,可信第三方和可信用户主机通过以太网进行通信,可信用户主机与可信移动存储设备以USB方式通信。
本实用新型的目的是提供一种基于安全芯片的可信移动存储系统。
附图说明
图1可信移动存储系统组成框图。
图2可信移动存储系统各部分接口框图。
具体实施方式
1.可信移动存储系统组成:
可信第三方主机内置可信密码模块TCM安全芯片,所述的可信密码模块TCM安全芯片以直接嵌入主板或标准接口板卡连接的形式接入到主板,挂接在主板芯片组的标准总线上,构成可信第三方主机的安全子系统。
可信移动存储设备内置安全芯片,以集成于SOC芯片的安全功能模块或嵌入可信密码模块TCM安全芯片的形式嵌入到移动存储设备中,构成可信移动存储设备内的安全子系统。
可信用户主机内置可信密码模块TCM安全芯片,所述的可信密码模块TCM安全芯片以直接嵌入主板或标准接口板卡连接的形式接入到主板,挂接在主板芯片组的标准总线上,构成可信用户主机的安全子系统。
2.可信移动存储系统各部分通信方式
可信第三方和可信移动存储设备以USB方式通信,可信第三方和可信用户主机通过以太网进行通信,可信用户主机与可信移动存储设备以USB方式通信。可信移动存储系统各部分接口框图如图2所示。
3.典型实例
3.1可信第三方:
a)设备及器件选用:
主板支持LPC总线及接口的服务器
安全芯片:中兴SSX44
b)接口及其控制器:
LPC接口,LPC接口控制器由服务器主板芯片组内置
USB接口,USB接口控制器由服务器主板芯片组内置
以太网接口,以太网控制器由服务器主板芯片组内置
3.2可信移动存储设备:
a)器件选用:
安全芯片:Aone A980(SSX0803)安全芯片
非易失性存储器:W25系列SPI总线FLASH存储芯片,SPI接口控制器由A980处理器内置
b)主要组成结构:
控制器:Aone A980(SSX0803)内部集成32位RISC处理器
易失性存储器:Aone A980(SSX0803)片内RAM
非易失性存储器:Aone A980(SSX0803)片内FLASH
密码算法引擎:Aone A980(SSX0803)内部集成多种密码算法引擎
非对称算法引擎:SM2、RSA(1024~2048位),ECC(192~256位)
对称算法引擎:SM1、SSF33、SMS4、DES/3DES、AES
哈希算法引擎:SM3、SHA-1、SHA-256
随机数生成器:Aone A980(SSX0803)内部集成物理噪声真随机数发生器
USB接口控制器:Aone A980(SSX0803)内置USB接口控制器
SPI接口控制器:Aone A980(SSX0803)内置SPI接口控制器
3.3可信用户主机:
a)设备及器件选用:
主板支持LPC总线及接口的PC机
安全芯片:中兴SSX44
b)接口及其控制器:
LPC接口,LPC接口控制器由PC机主板芯片组内置
USB接口,USB接口控制器由PC机主板芯片组内置
以太网接口,以太网控制器由PC机主板芯片组内置
4.可信移动存储系统工作说明
所述的基于安全芯片的可信移动存储系统,至少包括以下过程:可信域建立、可信域成员的认证与添加、可信域成员之间的数据交互、可信域成员的移除、可信域的撤销。所述的可信域是一个逻辑集合,可信域成员是经过可信第三方认证与授权的可信用户主机、可信移动存储设备组成,只有属于同一可信域的可信域成员之间允许交互数据。
4.1可信域建立的步骤如下,其中的安全芯片均是指可信第三方的安全芯片:
a1)可信第三方的安全芯片的设备唯一序列号,与安全芯片的随机数生成部件产生的随机数一同,经过安全芯片的哈希算法引擎部件处理,生成可信第三方唯一标识信息,由安全芯片的非对称密码算法引擎部件加密保护;
a2)可信第三方的安全芯片的非对称密码算法引擎部件生成非对称密钥对,作为可信第三方根密钥;所述可信第三方根密钥包括公钥和私钥,所述可信第三方根密钥作为可信第三方认证授权信息,由安全芯片的非对称密码算法引擎部件加密保护;
a3)可信第三方由安全芯片的随机数生成部件产生用于生成可信域唯一标识信息的随机数,所述用于生成可信域唯一标识信息的随机数经过安全芯片的哈希算法引擎部件处理,生成可信域唯一标识信息,所述可信域唯一标识信息由安全芯片的对称密码算法引擎部件加密保护;
a4)可信第三方生成可信第三方根证书,所述可信第三方根证书至少包括可信第三方标识字段、可信第三方公钥字段、可信第三方根证书序列号字段、可信第三方根证书有效期字段、可信第三方自签名字段;所述可信第三方标识字段填充如a1)所述的可信第三方唯一标识信息,所述可信第三方公钥字段,填充如a2)所述的可信第三方根密钥的公钥,所述可信第三方根证书序列号字段填充可信第三方为可信第三方根证书产生的序列号,所述可信第三方根证书有效期字段填充由可信第三方设定的可信第三方根证书有效期,所述可信第三方自签名字段,填充安全芯片的哈希算法引擎部件和非对称密码算法引擎部件使用可信第三方根密钥的私钥,对所述可信第三方根证书的可信第三方标识字段、可信第三方公钥字段、可信第三方根证书序列号字段、可信第三方根证书有效期字段的数字签名;所述的可信第三方根证书,由安全芯片的对称密码算法引擎部件加密保护;
a5)可信第三方将可信域唯一标识信息存储于可信域数据库中相应的可信域记录中;所述的可信域数据库是可信第三方的功能模块,用于按记录存储可信域信息,所述可信域信息至少包括可信域唯一标识信息、可信域成员的安全芯片的设备唯一序列号、EK证书、发行证书;所述可信域数据库的内容存取时由安全芯片的非对称密码算法引擎部件或对称密码算法引擎部件加密解密;
4.2可信域成员的认证与添加步骤如下:
b1)可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件产生非对称的身份密钥对和加密密钥对;所述的身份密钥对包括身份公钥和身份私钥,所述身份密钥对作为所述的可信移动存储设备或可信用户主机的身份唯一标识信息,由可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件加密保护;所述加密密钥对作为所述的可信移动存储设备或可信用户主机的加密密钥,加密密钥包括公钥和私钥,所述的加密密钥由可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件加密保护;
b2)如b1)所述的可信移动存储设备或可信用户主机,提交身份唯一标识信息的身份公钥、加密密钥的公钥以及可信移动存储设备或可信用户主机的安全芯片的EK证书和发行证书,向可信第三方发起请求;所述EK证书至少包含EK公钥;
b3)可信第三方审核并验证如b2)所述可信移动存储设备或可信用户主机提交的安全芯片的EK证书和发行证书,若通过验证则可信第三方为发出申请的可信移动存储设备或可信用户主机生成可信域成员认证证书,否则终止可信域成员的认证与添加;所述的可信域成员认证证书至少包括证书主体标识字段、证书主体身份公钥字段、证书主体加密公钥字段、可信域标识字段、可信第三方标识字段、证书序列号字段、证书有效期字段、可信第三方认证签名字段;所述的证书主体标识字段填充所述可信移动存储设备或可信用户主机的安全芯片的发行证书中的设备唯一序列号,所述的证书主体身份公钥字段填充所述可信移动存储设备或可信用户主机的身份唯一标识信息的身份公钥,所述的证书主体加密公钥字段填充所述可信移动存储设备或可信用户主机的加密密钥的公钥,所述的可信域标识字段,填充由可信域数据库中读取的可信域唯一标识信息,所述的可信第三方标识字段,填充可信第三方唯一标识信息,所述的证书序列号字段填充可信第三方产生的认证证书序列号,所述的证书有效期字段填充由可信第三方设定的可信域成员认证证书的有效期,所述的可信第三方认证签名字段,填充由可信第三方的安全芯片的非对称密码算法引擎部件使用可信第三方认证授权信息的私钥,对所述的可信域成员认证证书的证书主体标识字段、证书主体身份公钥字段、证书主体加密公钥字段、可信域标识字段、可信第三方标识字段、证书序列号字段、证书有效期字段经可信第三方的安全芯片的哈希算法引擎部件运算的结果的数字签名值;所述的可信域成员认证证书和可信第三方根证书,由可信第三方的安全芯片的非对称密码算法引擎部件加密后下发至如b2)所述的发起请求的可信移动存储设备或可信用户主机,加密使用的密钥为b2)所述的可信移动存储设备或可信用户主机提交的安全芯片EK证书中的EK公钥;
b4)可信第三方将所述的可信移动存储设备或可信用户主机的安全芯片的设备唯一序列号、EK证书、发行证书以及如b3)所述生成的可信域成员认证证书存储到可信域数据库中对应的可信域记录中,所述的可信移动存储设备或可信用户主机成为可信域成员;
b5)如b1)所述的可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件,使用可信移动存储设备或可信用户主机的安全芯片的EK私钥,解密收到的可信第三方签发并加密的可信域成员认证证书和可信第三方根证书;可信移动存储设备或可信用户主机的安全芯片的对称密码算法引擎部件加密存储可信域成员认证证书和可信第三方根证书;
4.3可信域成员之间的数据交互,双方必须首先经过双向身份认证,确认通信对方属于同一可信域,双向身份认证的具体步骤如下:
c1)可信移动存储设备连接到可信用户主机,双方交换各自的可信域成员认证证书;
c2)可信移动存储设备和可信用户主机双方首先读取对方可信域成员认证证书各字段内容,获取对方的可信第三方认证签名、可信域成员认证证书的有效期、可信域唯一标识信息、可信第三方唯一标识信息、安全芯片的设备唯一序列号、身份唯一标识信息的身份公钥、加密密钥的公钥;然后双方由各自的可信第三方根证书中提取可信第三方根密钥的公钥,双方各自的安全芯片的非对称密码算法引擎部件和哈希算法引擎部件使用所述的提取的可信第三方根密钥的公钥验证对方的可信第三方认证签名,确认对方的可信域成员认证证书由可信第三方签发且完整而未被篡改;之后双方验证对方的可信域成员认证证书的有效期,若在有效期内则继续下一步,否则终止双向身份认证;最后双方比较对方和自己的可信域唯一标识信息与可信第三方唯一标识信息,确认是否一致,若一致则继续下一步,否则终止双向身份认证;
c3)可信移动存储设备的安全芯片的随机数生成部件产生设备端随机数R1,与如c2)所述获取的可信用户主机的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息一起构成验证信息1;可信移动存储设备的安全芯片的哈希算法引擎部件对验证信息1进行哈希计算,所述哈希计算的结果由可信移动存储设备的安全芯片的非对称密码算法引擎部件使用可信移动存储设备的身份唯一标识信息的身份私钥进行数字签名,得到身份签名1,所述身份签名1与所述的验证信息1一起构成身份验证消息1;然后可信移动存储设备的安全芯片的对称密码算法引擎部件随机地产生会话密钥1,并使用会话密钥1加密身份验证消息1产生消息密文1;之后,可信移动存储设备的安全芯片的非对称密码算法引擎部件使用如c2)所述获取的可信用户主机的加密密钥的公钥加密会话密钥1,所述加密后的会话密钥1与所述的消息密文1一起,发送至可信用户主机;
c4)可信用户主机的安全芯片的非对称密码算法引擎部件使用可信用户主机自身的加密密钥的私钥,解密收到的已加密的会话密钥1,可信用户主机的安全芯片的对称密码算法引擎部件使用会话密钥1解密如c3)所述的消息密文1,得到身份验证消息1;然后可信用户主机的安全芯片的哈希算法引擎部件对身份验证消息1中的验证信息1进行哈希运算,可信用户主机的安全芯片的非对称密码算法引擎部件使用如2)所述获取的可信移动存储设备的身份唯一标识信息的身份公钥,与所述的验证信息1的哈希运算的结果一起,对所述身份验证消息1中的身份签名1进行签名验证,若验证成功则继续,否则终止双向身份认证;之后,可信用户主机由身份验证消息1中的验证信息1获取设备端随机数R1’,并提取安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息,与可信用户主机自身的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息分别进行比较,若全部一致,则继续,否则终止双向身份认证;
c5)可信用户主机的安全芯片产生主机端随机数R2,与收到的设备端随机数R1’、如c2)所述获取的可信移动存储设备的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息一起构成验证信息2;可信用户主机的安全芯片的哈希算法引擎部件对验证信息2进行哈希计算,所述哈希计算的结果由可信用户主机的安全芯片的非对称密码算法引擎部件使用可信用户主机的身份唯一标识信息的身份私钥进行数字签名,得到身份签名2,所述身份签名2与所述的验证信息2一起构成身份验证消息2;然后可信用户主机的安全芯片的对称密码算法引擎部件随机地产生会话密钥2,并使用会话密钥2加密身份验证消息2产生消息密文2;之后,可信用户主机的安全芯片的非对称密码算法引擎部件使用如c2)所述获取的可信移动存储设备的加密密钥的公钥加密会话密钥2,所述加密后的会话密钥2与所述的消息密文2一起,发送至可信移动存储设备;
c6)可信移动存储设备的安全芯片的非对称密码算法引擎部件使用可信移动存储设备自身的加密密钥的私钥,解密收到的已加密的会话密钥2,可信移动存储设备的安全芯片的对称密码算法引擎部件使用会话密钥2解密如c5)所述的消息密文2,得到身份验证消息2;然后可信移动存储设备的安全芯片的哈希算法引擎部件对身份验证消息2中的验证信息2进行哈希运算,可信移动存储设备的安全芯片的非对称密码算法引擎部件使用可信用户主机的身份唯一标识信息的身份公钥,与所述的验证信息2的哈希运算的结果一起,对所述身份验证消息2中的身份签名2进行签名验证,若验证成功则继续,否则终止双向身份认证;之后,可信移动存储设备由身份验证消息2中的验证信息2获取设备端随机数R1”、安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息,与设备端随机数R1、可信移动存储设备自身的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息分别进行比较,若全部一致,则继续,否则终止双向身份认证;
c7)可信移动存储设备由身份验证消息2中的验证信息2获取主机端随机数R2’,将获取的主机端随机数R2’与可信用户主机的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息一起构成验证信息3;可信移动存储设备的安全芯片的哈希算法引擎部件对验证信息3进行哈希计算,所述哈希计算的结果由可信移动存储设备的安全芯片的非对称密码算法引擎部件使用可信移动存储设备的身份唯一标识信息的身份私钥进行数字签名,得到身份签名3,所述身份签名3与所述的验证信息3一起构成身份验证消息3;然后可信移动存储设备的安全芯片的对称密码算法引擎部件随机地产生会话密钥3,并使用会话密钥3加密身份验证消息3产生消息密文3;之后,可信移动存储设备的安全芯片的非对称密码算法引擎部件使用如c2)所述获取的可信用户主机的加密密钥的公钥加密会话密钥3,所述加密后的会话密钥3与所述的消息密文3一起,发送至可信用户主机;
c8)可信用户主机的安全芯片的非对称密码算法引擎部件使用可信用户主机自身的加密密钥的私钥,解密收到的已加密的会话密钥3,可信用户主机的安全芯片的对称密码算法引擎部件使用会话密钥3解密如c7)所述的消息密文3,得到身份验证消息3;然后可信用户主机的安全芯片的哈希算法引擎部件对身份验证消息3中的验证信息3进行哈希运算,可信用户主机的安全芯片的非对称密码算法引擎部件使用如2)所述获取的可信移动存储设备的身份唯一标识信息的身份公钥,与所述的验证信息3的哈希运算的结果一起,对所述身份验证消息3中的身份签名3进行签名验证,若验证成功则继续,否则终止双向身份认证;之后,可信用户主机由身份验证消息3中的验证信息3提取主机端随机数R2”、安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息,与主机端随机数R2、可信用户主机自身的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息分别进行比较,若全部一致,则双向身份认证成功完成,否则终止双向身份认证;
4.4完成所述的双向身份认证后,双方可以进行正常的数据交互,可信用户主机向可信移动存储设备传输数据的具体步骤如下:
d1)可信用户主机的安全芯片的对称密码算法引擎部件随机地产生数据会话密钥1,并由数据会话密钥1对需要传输的数据1加密,生成加密数据1;可信用户主机的安全芯片的非对称密码算法引擎部件使用可信移动存储设备的加密密钥的公钥,对数据会话密钥1加密后,与加密数据1一起发送至可信移动存储设备;
d2)可信移动存储设备的安全芯片的非对称密码算法引擎部件,使用可信移动存储设备的加密密钥的私钥解密对方发送的加密后的数据会话密钥1;可信移动存储设备的安全芯片的对称密码算法引擎部件使用数据会话密钥1解密加密数据1,得到数据明文1;
d3)可信移动存储设备的安全芯片的对称密码算法引擎部件,将数据明文1加密后存储;可信移动存储设备向可信用户主机传输数据的具体步骤如下:
e1)可信移动存储设备的安全芯片的对称密码算法引擎部件随机地产生数据会话密钥2,并由数据会话密钥2对需要传输的数据2加密,生成加密数据2;可信移动存储设备的安全芯片的非对称密码算法引擎部件使用可信用户主机的加密密钥的公钥,对数据会话密钥2加密后,与加密数据2一起发送至可信用户主机;
e2)可信用户主机的安全芯片的非对称密码算法引擎部件,使用可信用户主机的加密密钥的私钥解密对方发送的加密后的数据会话密钥2;可信用户主机的安全芯片的对称密码算法引擎部件使用数据会话密钥2解密加密数据2,得到数据明文2;
e3)可信用户主机的安全芯片的对称密码算法引擎部件,将数据明文2加密后存储;
4.5可信域成员的移除,具体步骤如下:
f1)已成为可信域成员的可信移动存储设备或可信用户主机向可信第三方提交自身的安全芯片的EK证书和发行证书以及可信域成员认证证书,发出移除请求;
f2)可信第三方由如f1)所述提交的可信域成员认证证书中提取可信域唯一标识信息和安全芯片的设备唯一序列号,可信第三方在可信域数据库中根据所述可信域唯一标识信息查询可信域的记录,在所述可信域的记录中由安全芯片的设备唯一序列号查询并读取相应可信域成员的安全芯片的EK证书和发行证书以及可信域成员认证证书,与如f1)所述提交的安全芯片的EK证书和发行证书以及可信域成员认证证书作比较,若一致则继续下一步,否则终止可信域成员的移除;
f3)可信第三方在可信域数据库中删除如f2)所述的可信域成员在可信域数据库中的可信域记录中存储的安全芯片的设备唯一序列号、EK证书、发行证书以及可信域成员认证证书,将所述的可信域成员由可信域移除,向所述的可信域成员发出移除可信域成员的命令;
f4)可信域成员执行如f3)所述的移除可信域成员的命令,销毁可信域成员自身存储的可信第三方根证书、可信域成员认证证书、身份唯一标识信息、加密密钥,完成可信域成员的移除;
4.6可信域的撤销,具体步骤如下:
g1)可信第三方在可信域数据库中查询需要撤销的可信域的记录,对所述可信域的记录中所有的可信域成员发出移除可信域成员的命令;
g2)可信域成员执行如g1)所述的移除可信域成员的命令,销毁可信域成员自身存储的可信第三方根证书、可信域成员认证证书、身份唯一标识信息、加密密钥,向可信第三方发送可信域成员移除成功的反馈;
g3)可信第三方收到如g1)所述的需要撤销的可信域的所有的可信域成员的可信域成员移除成功的反馈之后,可信第三方在可信域数据库中删除所述的需要撤销的可信域的记录,完成可信域的撤销。
Claims (1)
1.一种基于安全芯片的可信移动存储系统,其特征在于:其功能实体包括可信第三方、可信移动存储设备、可信用户主机;所述各功能实体均内置安全芯片;所述可信第三方由内置安全芯片的第三方服务器,或内嵌安全芯片的安全计算机担任;所述的可信移动存储设备是内嵌安全芯片且能够存储数据,并能够与可信用户主机交互数据的可移动装置;所述的可信用户主机,是内嵌安全芯片的计算机,是可信移动存储设备的访问主体;所述的安全芯片内部结构包括控制与执行部件、易失性存储部件、非易失性存储部件、非对称密码算法引擎部件、对称密码算法引擎部件、哈希算法引擎部件、随机数生成部件、I/O接口部件;
可信第三方和可信移动存储设备以USB方式通信,可信第三方和可信用户主机通过以太网进行通信,可信用户主机与可信移动存储设备以USB方式通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011204342921U CN202276360U (zh) | 2011-11-04 | 2011-11-04 | 一种基于安全芯片的可信移动存储系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011204342921U CN202276360U (zh) | 2011-11-04 | 2011-11-04 | 一种基于安全芯片的可信移动存储系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN202276360U true CN202276360U (zh) | 2012-06-13 |
Family
ID=46196696
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011204342921U Expired - Fee Related CN202276360U (zh) | 2011-11-04 | 2011-11-04 | 一种基于安全芯片的可信移动存储系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN202276360U (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105141614A (zh) * | 2015-09-07 | 2015-12-09 | 北京北信源软件股份有限公司 | 一种移动存储设备的访问权限控制方法及装置 |
| CN110059507A (zh) * | 2019-03-01 | 2019-07-26 | 北京亿赛通科技发展有限责任公司 | 一种实现智能安全u盘的系统及方法 |
| CN115422568A (zh) * | 2022-10-31 | 2022-12-02 | 南京芯驰半导体科技有限公司 | 一种基于SoC的文件加密方法及系统 |
-
2011
- 2011-11-04 CN CN2011204342921U patent/CN202276360U/zh not_active Expired - Fee Related
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105141614A (zh) * | 2015-09-07 | 2015-12-09 | 北京北信源软件股份有限公司 | 一种移动存储设备的访问权限控制方法及装置 |
| CN105141614B (zh) * | 2015-09-07 | 2019-05-21 | 北京北信源软件股份有限公司 | 一种移动存储设备的访问权限控制方法及装置 |
| CN110059507A (zh) * | 2019-03-01 | 2019-07-26 | 北京亿赛通科技发展有限责任公司 | 一种实现智能安全u盘的系统及方法 |
| CN115422568A (zh) * | 2022-10-31 | 2022-12-02 | 南京芯驰半导体科技有限公司 | 一种基于SoC的文件加密方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102427449B (zh) | 一种基于安全芯片的可信移动存储方法 | |
| US8806206B2 (en) | Cooperation method and system of hardware secure units, and application device | |
| CN106027503A (zh) | 一种基于tpm的云存储数据加密方法 | |
| CN108323230B (zh) | 一种传输密钥的方法、接收终端和分发终端 | |
| JP2008533882A (ja) | 暗号化キーをバックアップ及び復元する方法 | |
| CN106953732B (zh) | 芯片卡的密钥管理系统及方法 | |
| CN103560892A (zh) | 密钥生成方法和密钥生成装置 | |
| CN103595698B (zh) | 一种数字权益管理方法 | |
| WO2014187206A1 (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
| CN101651543A (zh) | 一种可信计算平台密钥迁移系统及其密钥迁移方法 | |
| CN103944881A (zh) | 一种云计算环境下云资源授权的方法 | |
| CN101924739A (zh) | 一种软件证书及私钥的加密存储并找回的方法 | |
| CN102025503A (zh) | 一种集群环境下数据安全实现方法和一种高安全性的集群 | |
| CN104268447A (zh) | 一种嵌入式软件的加密方法 | |
| CN114692218A (zh) | 一种面向个人用户的电子签章方法、设备和系统 | |
| CN103701787A (zh) | 一种基于公开密钥算法实现的用户名口令认证方法 | |
| CN102694650B (zh) | 一种基于身份加密的密钥生成方法 | |
| CN103825724A (zh) | 一种自动更新和恢复私钥的标识型密码系统及方法 | |
| CN104821883A (zh) | 一种基于非对称密码算法的保护隐私征信方法 | |
| TWI476629B (zh) | Data security and security systems and methods | |
| CN104125239A (zh) | 一种基于数据链路加密传输的网络认证方法和系统 | |
| CN202276360U (zh) | 一种基于安全芯片的可信移动存储系统 | |
| CN105022962A (zh) | 网盘数据内容加密保护的方法 | |
| CN101651538A (zh) | 一种基于可信密码模块的数据安全传输方法 | |
| CN103605919A (zh) | 软件认证文件生成方法和装置、软件认证方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120613 Termination date: 20131104 |