[发明专利]USB嵌入式可信赖私有信息处理装置及系统

说明书

技术领域

本发明涉及一种私有信息处理装置及系统，具体涉及一种USB嵌入式可信赖私有信息处理装置及一种可携带式可信赖私有信息处理系统。

背景技术

私有信息的安全性日益成为单位、企业和个人关注的热点安全问题。用户总是希望能在一个可信赖的计算环境下进行敏感信息的处理，如单位公文信息处理、商务信息处理、个人理财和个人信息（如图片、视频和文档）等。但在绝大多数情况下，处理私有信息的计算平台软硬件环境由于结构简化，导致资源的任意使用，尤其执行代码可修改、恶意程序可被植入，木马、病毒、黑客等安全威胁始终存在；更为严重的是，对合法的用户没有进行严格的访问控制，造成越权访问，从而造成敏感信息泄露或关键数据丢失。因此，为私有信息系统提供一个安全可信赖的计算环境显得尤为重要。

目前为计算环境安全提供的各种安全防护手段包括防火墙、入侵检测系统、安全路由器、安全网关、杀毒软件等。上述安全防护模式多为被动防御模式，面对层出不穷的系统攻击方式，传统的安全防护手段并不能从根本上解决问题，所发挥的安全效能也大打折扣。而且，仅仅依靠一种或几种安全防护软件无法从根本上构造可信赖的计算环境，保证私有信息系统的安全。

发明内容

本发明的目的在于克服现有安全产品被动防御模式的不足，造成处理私有信息时会面临各种安全威胁而提供一种可携带式的可信赖私有信息处理系统。该系统为单位、企业或个人处理私有信息提供了可信赖的计算环境。该系统物理外形和普通的USB存储盘相似，用户可以在任意一台带有计算资源(CPU)的PC机或笔记本电脑上插入并运行该系统，就可切换到一个可信赖的计算环境，即使本人不携带任何电脑，也可以在其他人的计算机上放心的进行敏感的私有信息处理，不再担心木马、病毒的侵入和破坏，即使系统丢失也不会造成敏感信息的泄漏。

本发明采用以下技术方案：

一种可携带式可信赖私有信息处理系统，以USB嵌入式可信赖私有信息处理装置作为整个系统的硬件基础和安全支撑，以自裁剪的LINUX操作系统和私有信息处理组件作为整个系统的软件基础。

根据本发明的第一方面，提供一种USB嵌入式可信赖私有信息处理装置，I   其物理组成包括：安全芯片，用于抵御物理攻击，且具有用于与计算机USB接口连接以实现与计算机终端之间通信的USB接口；Flash存储芯片，通过存储器接口与安全芯片连接，以用于数据的安全存储；以及安全COS，用于实现逻辑上的安全功能，其逻辑组成包括：启动区，用于对计算机终端进行启动引导；    USB智能钥匙区，提供密码服务及提供标准的可信密码模块，并用于存储和管理密钥以及通过口令机制实现权限管理；隐藏区，用于存储安全管理策略和密钥材料；加密区，用于作为加密U盘，以加密文件。

所述启动区包含自裁剪的LINUX操作系统和私有信息处理组件。

所述可信密码模块包括可信度量、可信存储以及可信报告，所述密码服务包括基于分组算法的加解密、基于对称算法的签名/验签。

私有信息处理组件提供银行标准智能钥匙的密码服务和处理私有信息的应用组件。

所述应用组件包括字处理组件、图片处理组件、PDF阅读器组件、浏览器组件和邮件客户端组件。

所述密钥材料包括密码卡主控程序、密码算法代码和工作密钥，所述安全管理策略包括引导启动安全策略、端口控制策略、网络过滤策略。

根据本发明的第二方面，提供一种可携带式可信赖私有信息处理系统，其基于根据本发明第一方面的所述一种USB嵌入式可信赖私有信息处理装置以提供硬件基础和安全支撑，基于自裁剪的LINUX操作系统和私有信息处理组件作为该系统的软件基础，其中设置计算机终端的BIOS，以使得该计算机终端指定以USB接口引导启动；插入所述可携带式可信赖私有信息处理装置；计算机终端开机加电；正确输入身份保护PIN码，所述系统释放出所述USB嵌入式可信赖私有信息处理装置启动区的自裁剪LINUX操作系统，在安全COS的支持下，系统依次度量操作系统内核、系统重要进程以及私有信息处理组件的完整性，如果完整，安全引导所述自裁剪的LINUX操作系统至安全可靠的环境，使用系统提供的加密U盘功能，安全存储私有信息，并利用提供的智能钥匙、私有信息处理组件进行网上银行交易以及私有文档信息处理；如果不完整，停止引导和启动系统。

其中，加密U盘的存储区对用户不可见，通过用户认证，将加密后的用户数据存储于加密U盘的存储区，并且从该存储区导出时，需要解密。