本实用新型专利技术公开了一种USB嵌入式可信赖私有信息处理装置及系统,所述系统以USB嵌入式可信赖私有信息处理装置作为整个系统的硬件基础和安全支撑,以自裁剪的LINUX操作系统和私有信息处理组件作为整个系统的软件基础,USB嵌入式可信赖私有信息处理装置物理组成包括安全芯片、Flash存储芯片及安全COS;其逻辑组成包括启动区、USB智能钥匙区、隐藏区和加密区,当计算机终端设置为从USB端口引导并通过本系统启动运行时,通过可信引导与度量,确保整个计算环境是可信赖的;当计算机终端不从本系统启动引导时,本系统可单独作为加密U盘使用;本实用新型专利技术解决了个人私有信息处理的安全问题,构建出可信赖的计算环境。(*该技术在2021年保护过期,可自由使用*)
【技术实现步骤摘要】
本技术涉及一种私有信息处理装置及系统,具体涉及一种USB嵌入式可信赖私有信息处理装置及一种可携带式可信赖私有信息处理系统。
技术介绍
私有信息的安全性日益成为单位、企业和个人关注的热点安全问题。用户总是希望能在一个可信赖的计算环境下进行敏感信息的处理,如单位公文信息处理、商务信息处理、个人理财和个人信息(如图片、视频和文档)等。但在绝大多数情况下,处理私有信息的计算平台软硬件环境由于结构简化,导致资源的任意使用,尤其执行代码可修改、恶意程序可被植入,木马、病毒、黑客等安全威胁始终存在;更为严重的是,对合法的用户没有进行严格的访问控制,造成越权访问,从而造成敏感信息泄露或关键数据丢失。因此,为私有信息系统提供一个安全可信赖的计算环境显得尤为重要。目前为计算环境安全提供的各种安全防护手段包括防火墙、入侵检测系统、安全路由器、安全网关、杀毒软件等。上述安全防护模式多为被动防御模式,面对层出不穷的系统攻击方式,传统的安全防护手段并不能从根本上解决问题,所发挥的安全效能也大打折扣。而且,仅仅依靠一种或几种安全防护软件无法从根本上构造可信赖的计算环境,保证私有信息系统的安全。
技术实现思路
本技术的目的在于克服现有安全产品被动防御模式的不足,造成处理私有信息时会面临各种安全威胁而提供一种可携带式的可信赖私有信息处理系统。该系统为单位、企业或个人处理私有信息提供了可信赖的计算环境。该系统物理外形和普通的USB存储盘相似,用户可以在任意一台带有计算资源(CPU)的PC机或笔记本电脑上插入并运行该系统,就可切换到一个可信赖的计算环境,即使本人不携带任何电脑,也可以在其他人的计算机上放心的进行敏感的私有信息处理,不再担心木马、病毒的侵入和破坏,即使系统丢失也不会造成敏感信息的泄漏。本技术采用以下技术方案一种可携带式可信赖私有信息处理系统,以USB嵌入式可信赖私有信息处理装置作为整个系统的硬件基础和安全支撑,以自裁剪的LINUX操作系统和私有信息处理组件作为整个系统的软件基础。根据本技术的第一方面,提供一种USB嵌入式可信赖私有信息处理装置,I 其物理组成包括安全芯片,用于抵御物理攻击,且具有用于与计算机USB接口连接以实现与计算机终端之间通信的USB接口 ;Flash存储芯片,通过存储器接口与安全芯片连接,以用于数据的安全存储;以及安全COS,用于实现逻辑上的安全功能,其逻辑组成包括启动区,用于对计算机终端进行启动引导; USB智能钥匙区,提供密码服务及提供标准的可信密码模块,并用于存储和管理密钥以及通过口令机制实现权限管理;隐藏区,用于存储安全管理策略和密钥材料;加密区,用于作为加密U盘,以加密文件。所述启动区包含自裁剪的LINUX操作系统和私有信息处理组件。所述可信密码模块包括可信度量、可信存储以及可信报告,所述密码服务包括基于分组算法的加解密、基于对称算法的签名/验签。私有信息处理组件提供银行标准智能钥匙的密码服务和处理私有信息的应用组件。所述应用组件包括字处理组件、图片处理组件、PDF阅读器组件、浏览器组件和邮件客户端组件。所述密钥材料包括密码卡主控程序、密码算法代码和工作密钥,所述安全管理策略包括引导启动安全策略、端口控制策略、网络过滤策略。根据本技术的第二方面,提供一种可携带式可信赖私有信息处理系统,其基于根据本技术第一方面的所述一种USB嵌入式可信赖私有信息处理装置以提供硬件基础和安全支撑,基于自裁剪的LINUX操作系统和私有信息处理组件作为该系统的软件基础,其中设置计算机终端的BIOS,以使得该计算机终端指定以USB接口引导启动;插入所述可携带式可信赖私有信息处理装置;计算机终端开机加电;正确输入身份保护PIN码,所述系统释放出所述USB嵌入式可信赖私有信息处理装置启动区的自裁剪LINUX操作系统,在安全COS的支持下,系统依次度量操作系统内核、系统重要进程以及私有信息处理组件的完整性,如果完整,安全引导所述自裁剪的LINUX操作系统至安全可靠的环境,使用系统提供的加密U盘功能,安全存储私有信息,并利用提供的智能钥匙、私有信息处理组件进行网上银行交易以及私有文档信息处理;如果不完整,停止引导和启动系统。其中,加密U盘的存储区对用户不可见,通过用户认证,将加密后的用户数据存储于加密U盘的存储区,并且从该存储区导出时,需要解密。进一步包括计算机终端不设置为从USB端口启动,则插入计算机终端的所述系统仅用作为加密U盘,且需要进行用户认证。本技术的有益效果是在系统启动和运行过程中对重要进程、组件进行可信度量,保证系统不被恶意篡改和使用,保证敏感、私有信息的数据安全,为用户提供可信赖的私有信息处理环境。同时, 还提供各种私有信息处理软件,包括文字处理、图片、视频处理、PDF文档处理、浏览器、邮件客户端等,并提供的银行标准的智能钥匙KEY功能,方便用户安全开展网上银行业务。本技术可解决电子政务、电子商务、网上银行和个人敏感信息处理的安全问题。本技术基于自裁剪的安全Linux操作系统,可方便存储在USB接口的固件中,微型便携。使用者需要处理私有或敏感信息时,仅需将该系统插入到任意一台带有计算资源 (CPU)的PC机或笔记本电脑上,就可切换到一个可信赖的计算环境,即使本人不携带任何电脑,也可以在其他人的计算机上放心的进行信息处理。本技术的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述,并且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显而易见的,或者可以从本技术的实践中得到教导。本技术的目标和其他优点可以通过下面的说明书或者附图中所特别指出的结构来实现和获得。附图说明图1为一种USB嵌入式可信赖私有信息处理装置物理组成图。图2为一种USB嵌入式可信赖私有信息处理装置功能组成图。图3为一种可携带式可信赖私有信息处理系统可信引导与度量流程图。具体实施方式以下结合附图和实施例对本技术做进一步描述本技术以作为整个系统的硬件基础和安全支撑,以自裁剪的LINUX操作系统和私有信息处理组件作为整个系统的软件基础。如图1所示,USB嵌入式可信赖私有信息处理装置物理组成包括安全芯片、Flash 存储芯片及安全COS。安全芯片通过USB接口与计算机的USB端口连接,完成与计算机之间的高速通信。同时安全芯片通过存储器接口与Flash存储芯片连接,实现安全存储功能。 安全芯片在物理上能够抵御物理攻击,在逻辑上USB嵌入式可信赖私有信息处理装置的安全功能由安全COS实现。如图2所示,USB嵌入式可信赖私有信息处理装置逻辑组成包括四个分区,启动区、USB智能钥匙区、隐藏区和加密区。启动区为用户提供可信赖的计算环境,包含所述的自裁剪的LINUX操作系统及所述私有信息处理组件;USB智能钥匙区为用户提供密码服务功能以及提供标准的可信密码模块TPM (可信度量、可信存储与可信报告)功能;隐藏区用于存放安全管理策略和密钥材料;加密区实现物理加密的加密U盘功能,存储加密文件。设置计算机终端的BIOS,使计算机终端只能从指定USB端口引导启动;插入所述可携带式可信赖私有信息处理系统插入至计算机指定的USB端口 ;如图3所示,计算机终端开机加电,系统从USB端口启动。用户本文档来自技高网...
【技术保护点】
1.一种USB嵌入式可信赖私有信息处理装置,其特征在于:其物理组成包括:安全芯片,用于抵御物理攻击,且具有用于与计算机USB接口连接以实现与计算机终端之间通信的USB接口;Flash存储芯片,通过存储器接口与安全芯片连接,以用于数据的安全存储;以及安全COS,用于实现逻辑上的安全功能,其逻辑组成包括: 启动区,用于对计算机终端进行启动引导; USB智能钥匙区,提供密码服务及提供标准的可信密码模块,并用于存储和管理密钥以及通过口令机制实现权限管理; 隐藏区,用于存储安全管理策略和密钥材料; 加密区,用于作为加密U盘,以加密文件。
【技术特征摘要】
【专利技术属性】
技术研发人员:董建强,
申请(专利权)人:郑州信大捷安信息技术股份有限公司,
类型:实用新型
国别省市:41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。