一种可自动安装的信息安全设备及其控制方法技术

本发明专利技术公开了一种可自动安装的信息安全设备及其控制方法，属于信息安全领域。为了解决具有自动安装功能的信息安全设备能够在Ｗｉｎｄｏｗｓ操作系统下，不受用户权限限制，普通用户也可以使用的问题，本发明专利技术提供了一种可自动安装的信息安全设备，它包括控制模块、ＵＳＢ接口模块、工作模式切换模块、ＳＣＳＩ协议处理模块、自动运行模块、不受限协议处理模块、信息安全模块和复位ＵＳＢ总线模块。本发明专利技术还提出了一种可自动安装的信息安全设备的控制方法。采用本发明专利技术的信息安全设备不仅降低了投入的成本，而且还大大地提高了易用性。

【技术实现步骤摘要】

本专利技术涉及信息安全领域，特别涉及。
技术介绍
由于Windows操作系统是一个支持多用户、多任务的操作系统，使得安全问题成为了非常关键的问题，因此Window操作系统需要对用户进行权限设置。权限是指用户对系统资源的访问权利。权限的设置是基于用户和进程而言的，不同的用户访问计算机具有不同的权限。Windows的用户被分成许多组，常见的用户组有以下几种Administrator管理员组，默认情况下，Administrator中的用户对计算机/域有不受限制的完全访问权。System拥有和Administrator一样的，甚至比其还高的权限，具有系统和系统级的服务正常运行所需要的权限。PowerUser高级用户组，在权限设置中，这个组的权限是仅次于Administrator的。PowerUser可以执行除了为Administrator组保留的任务外的其他任何操作系统任务。User普通用户组，这个组的用户无法对计算机系统进行改动。Guest来宾组，来宾帐户的限制要比普通User帐号更多。通常习惯称Administrator、System和Power User为超级用户，User和Guest为非超级用户。随着人们安全意识的不断提高，各种加密算法也应运而生，常用的加密算法主要有散列算法、对称加密算法和非对称加密算法。散列算法是一种无需密钥参与的单向算法，可以将任意长度的数据进行变换，输出成固定长度的数据摘要，其具有较长的散列码以及能抗击特殊密码分析攻击的特性。目前比较常用的散列算法有HMAC算法、MD5算法、MD2算法、SHA1算法、SHA256算法等。对称加密算法(或叫单密钥加密算法)中，只有一个密钥用来加密和解密信息，尽管单密钥加密是一个简单的过程，但是双方都必须完全的相信对方，并都持有这个密钥的备份，通过对称加密算法对数据加密后，可以利用该密钥对加密结果进行解密。目前比较常用的对称加密算法有DES算法、3DES算法、RC4算法、RC5算法等。非对称加密算法(公钥加密算法)在加密的过程中使用一对密钥，而不像对称加密算法只使用一个单独的密钥，一对密钥中一个用于加密，另一个用来解密，即如用A加密，则用B解密；如果用B加密，则要用A解密。目前比较常用的非对称加密算法有RSA算法、DSA算法、椭圆曲线算法等。近几年，随着互联网技术与电子商务的快速发展，越来越多的商务活动转移到网络上开展，例如网上政府办公、网上银行、网上购物等等，与此同时，越来越多涉及个人隐私和商业秘密的信息需要通过网络传递。然而病毒、黑客以及网页仿冒诈骗等恶意威胁，给在线交易的安全性带来了极大的挑战，致使网络安全问题变的举足轻重。信息安全设备(简称设备)是一种带有处理器和存储器的小型硬件装置，它通过计算机的数据通讯接口与主机连接。它具有密钥生成、安全存储密钥、预置加密算法等功能。信息安全设备与密钥相关的运算完全在装置内部运行，且信息安全设备具有抗攻击的特性，安全性极高。信息安全设备一般通过USB接口与计算机相连，通常被称为USB KEY或USB Token。信息安全设备生产商、软件系统开发商或者最终用户可以将一些重要信息存储到信息安全设备中，用以保证安全性或者防止遗忘。目前，较高端的信息安全设备是可编程的，即可以实现在信息安全设备中运行预先存入其中的代码。一般信息安全设备中会内置安全设计芯片来实现信息安全功能。安全设计芯片除了具有通用嵌入式微控制器的各种特性外，更多的是在安全性能方面，安全设计芯片在芯片设计时会针对安全性能方面在结构上做一些特殊处理，比如安全芯片会采用特定的安全内核，该安全内核能够支持多个拥有不同权限定义的状态，用于实现对硬件资源访问权限的管理；以及支持指令执行时间(指令周期)的随机化；其中断系统能够实现支持芯片状态的转换，从而实现对不同层次的安全级别的控制，以支持多应用的实现；它还可以带有MMU单元(Memory Management Unit-存储器管理单元)，用于实现逻辑地址、物理地址的隔离，及地址映射，从体系结构上支持应用(多应用)、安全性的设计实现，与内核支持的不同状态一起有机的组成一个硬件防火墙；其中断系统还能支持系统数据库与用户程序的接口及权限传递和切换；其存储介质方面也会采用非易失性存储介质等等。安全设计芯片一般都要求符合相关的标准及通过相关的认证等以保证其安全性能，比如TCG TPM v1.2规范，ISO15408国际标准，中国密码管理委员会标准等等。目前市面上有很多款安全设计芯片可供选择，其中意法半导体的ST19WP18微控制器，已通过“公共标准”评估保障级EAL5+(增强版)的认证，这是ISO15408国际标准关于此类产品的最高的标准之一。由于信息安全设备的上述结构特点，使得其在信息安全领域有着广泛的应用，信息安全操作一般包括数据交互(对写入的数据在所述信息安全设备内进行加密或对读取的数据在所述信息安全设备内进行解密)；身份认证信息处理、存储/验证密码信息、存储/验证签名、存储/验证证书、权限管理；以及预置代码进行数据运算等，其中预置代码包括预置用户软件部分片断(用户软件部分片断不能被读出信息安全设备，并在信息安全设备内部运行进行数据运算)，和预置软件保护应用接口函数(软件保护应用接口函数为信息安全设备和软件开发商应用之间的接口级函数)等多种操作。硬件标识是存储于信息安全设备内部或标于信息安全设备上，由设备生产商自己定义的一种全球唯一的标识号码，可以被读取。硬件标识包括信息安全设备的产品编号(PID号)和厂商编号(VID号)等，依据产品编号(PID号)和厂商编号(VID号)就可以区分出设备的生产厂商及产品类型等信息。现有信息安全设备的通讯可以通过SCSI(Small Computer System Interface-小型主机系统接口)命令的方式来实现，SCSI是主机连接外接设备的一种接口标准，能够提供更快的数据传输率。SCSI为方便开发者使用预留了扩展命令，为完成信息安全设备的SCSI通讯，开发者将SCSI扩展命令设计成信息安全设备的命令，以完成信息安全设备的功能，但是在Windows 2000及以上操作系统下，普通用户没有权限使用SCSI扩展命令，这就给SCSI设备的使用带来了很多的不便。自动运行功能(Autorun)是USB-SCSI类设备所自带的一个功能，它使得对光盘、硬盘和海量存储等设备进行的操作变得更容易，一般习惯称此种能够自动运行起来的程序为Autorun程序。由于Autorun程序中包含了需要自动运行的命令，如改变驱动器图标、运行程序文件、可选快捷菜单等内容，所以当带有Autorun程序的光盘或海量存储等设备连接到计算机上时，Autorun程序会装载相应文件，例如GIF、JPEG、HTML文件、PDF文件，实现自动运行功能，Autorun程序还可以显示启动界面等。CCID(USB Chip/Smart Card Interface Devices-USB芯片智能卡接口设备)标准是由几大国际级IT企业共同制定的一个标准，它提供了一种智能卡读写设备与主机或其它嵌入式主机实现相互通讯的可能。CCID标准规定了CCID设备是一种芯片/智能卡接口设备，设备通过USB接口与主机或其它嵌入式本文档来自技高网...

【技术保护点】
一种可自动安装的信息安全设备，其特征在于，所述信息安全设备包括控制模块、ＵＳＢ接口模块、工作模式切换模块、ＳＣＳＩ协议处理模块、与所述ＳＣＳＩ协议处理模块相连的自动运行模块、不受限协议处理模块、与所述不受限协议处理模块相连的信息安全模块，及与所述ＵＳＢ接口模块相连的复位ＵＳＢ总线模块，所述控制模块分别与所述ＵＳＢ接口模块、复位ＵＳＢ总线模块、工作模式切换模块、ＳＣＳＩ协议处理模块、不受限协议处理模块相连；所述ＵＳＢ接口模块用于通过ＵＳＢ接口将所述信息安全设备与主机建立 连接，解析并处理ＵＳＢ通信协议；所述ＳＣＳＩ协议处理模块内置有ＳＣＳＩ接口设备描述符，用于向主机声明自身为ＳＣＳＩ设备类型，并解析处理ＳＣＳＩ命令；所述自动运行模块用于自动启动并运行Ａｕｔｏｒｕｎ程序；所述工作模式切 换模块用于接收工作模式切换命令，并将所述信息安全设备从默认的ＳＣＳＩ工作模式切换到不受限工作模式；所述复位ＵＳＢ总线模块用于控制ＵＳＢ总线模拟一次所述信息安全设备的拔插事件；所述不受限协议处理模块内置有在Ｗｉｎｄｏｗｓ操作系 统下不受用户权限限制的接口协议相关的设备描述符，用于向主机声明自身为相应设备类型，并解析和处理相关协议命令；所述信息安全模块用于根据访问所述信息安全设备的用户身份信息对其访问权限进行管理控制，和进行加／解密运算；所述控制模块 用于控制所述信息安全设备的工作模式，及对数据进行处理。...

【技术特征摘要】
1.一种可自动安装的信息安全设备，其特征在于，所述信息安全设备包括控制模块、USB接口模块、工作模式切换模块、SCSI协议处理模块、与所述SCSI协议处理模块相连的自动运行模块、不受限协议处理模块、与所述不受限协议处理模块相连的信息安全模块，及与所述USB接口模块相连的复位USB总线模块，所述控制模块分别与所述USB接口模块、复位USB总线模块、工作模式切换模块、SCSI协议处理模块、不受限协议处理模块相连；所述USB接口模块用于通过USB接口将所述信息安全设备与主机建立连接，解析并处理USB通信协议；所述SCSI协议处理模块内置有SCSI接口设备描述符，用于向主机声明自身为SCSI设备类型，并解析处理SCSI命令；所述自动运行模块用于自动启动并运行Autorun程序；所述工作模式切换模块用于接收工作模式切换命令，并将所述信息安全设备从默认的SCSI工作模式切换到不受限工作模式；所述复位USB总线模块用于控制USB总线模拟一次所述信息安全设备的拔插事件；所述不受限协议处理模块内置有在Windows操作系统下不受用户权限限制的接口协议相关的设备描述符，用于向主机声明自身为相应设备类型，并解析和处理相关协议命令；所述信息安全模块用于根据访问所述信息安全设备的用户身份信息对其访问权限进行管理控制，和进行加/解密运算；所述控制模块用于控制所述信息安全设备的工作模式，及对数据进行处理。2.如权利要求1所述的可自动安装的信息安全设备，其特征在于，所述信息安全模块还包括密钥数据存储单元，所述密钥数据存储单元用于存储密钥数据，所述密钥数据包括数字证书、密钥和用户私有数据。3.如权利要求1所述的可自动安装的信息安全设备，其特征在于，所述信息安全模块还包括用户程序存储单元，所述用户程序存储单元用于实现用户自定义算法的写入和调用。4.如权利要求1所述的可自动安装的信息安全设备，其特征在于，所述Autorun程序由所述信息安全设备的生产商预先编写，并预先存储在所述信息安全设备中。5.如权利要求1所述的可自动安装的信息安全设备，其特征在于，所述工作模式切换命令为在Windows操作系统下不受用户权限限制的光盘控制指令。6.如权利要求1所述的可自动安装的信息安全设备，其特征在于，所述复位USB总线模块通过控制USB信号线上的电平变化来实现在USB总线上模拟一次所述信息安全设备的拔插事件。7.如权利要求1所述的可自动安装的信息安全设备，其特征在于，所述不受限工作模式具体为HID工作模式，所述不受限协议处理模块为HID协议处理模块；所述HID协议处理模块内置有HID接口设备描述符，用于向主机声明自身为HID设备类型，并解析处理HID命令。8.如权利要求1所述的可自动安装的信息安全设备，其特征在于，所述不受限工作模式具体为CCID工作模式，所述不受限协议处理模块为CCID协议处理模块；所述CCID协议处理模块内置有CCID接口设备描述符，用于向主机声明自身为CCID设备类型，并解析处理CCID命令。9.如权利要求1所述的可自动安装的信息安全设备，其特征在于，所述自动运行模块包括检测单元和应用程序安装单元，所述检测单元用于Autorun程序检测主机中是否已经安装了与所述信息安全设备相关的应用程序，应用程序安装单元用于当所述检测单元未检测到主机中安装了与所述信息安全设备相关的应用程序时，Autorun程序向主机中安装与所述信息安全设备相关的应用程序。10.如权利要求9所述的可自动安装的信息安全设备，其特征在于，所述信息安全设备相关的应用程序由所述信息安全设备的生产商预先编写，并预先存储在所述信息安全设备中。11.如权利要求9所述的可自动安装的信息安全设备，其特征在于，所述信息安全设备相关的应用程序还包括监控程序，所述监控程序用于向所述信息安全设备发送工作模式切换命令和/或判断当前主机系统的用户权限。12.如权利要求9或11所述的可自动安装的信息安全设备，其特征在于，所述SCSI协议处理模块还与所述信息安全模块相连，所述自动运行模块还包括工作模式选定单元；所述工作模式选定单元用于Autorun程序或监控程序判断当前主机系统的用户权限，并依据所述当前主机系统的用户权限选定所述信息安全设备的工作模式，当所述当前主机系统工作在超级用户权限下，选定所述信息安全设备继续工作在SCSI工作模式；当所述当前主机系统工作在非超级用户权限下，选定所述信息安全设备工作在不受限工作模式。13.如权利要求1所述的可自动安装的信息安全设备，其特征在于，所述工作模式切换模块还包括设备判断单元，所述设备判断单元用于判断与主机连接的SCSI类型设备是否为所述信息安全设备。14.如权利要求1-3中任意一项权利要求所述的可自动安装的信息安全设备，其特征在于，所述信息安全模块为安全设计芯片，所述安全设计芯片...

【专利技术属性】
技术研发人员：陆舟，于华章，
申请(专利权)人：北京飞天诚信科技有限公司，
类型：发明
国别省市：11[中国|北京]