專利名稱:基于usb安全存儲加密卡的可信系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實用新型涉及計算機網(wǎng)絡安全領(lǐng)域�����,尤其涉及一種基于USB安全存儲加密卡的可信系統(tǒng)���,該系統(tǒng)利用USB安全存儲加密卡,實現(xiàn)用戶的身份驗證�、操作系統(tǒng)和辦公系統(tǒng)的完整性的驗證��,對終端用戶的使用的應用程序�����、網(wǎng)絡接入��、終端設(shè)備接入等用戶行為進行控制�����,保證終端用戶的訪問行為是可控的,從而保證終端用戶構(gòu)建的系統(tǒng)是可信的�。
背景技術(shù):
U盤(包括U盤��、移動硬盤等)是常用的移動存儲設(shè)備��。當前的計算機�����,為了方便終端用戶拷貝數(shù)據(jù)�,大都配有USB端口���。但這種操作方法�����,容易降低整個系統(tǒng)及終端設(shè)備的安全性�����。隨著安全支付和安全辦公的發(fā)展��,既要保護USB移動存儲設(shè)備中的個人隱私和敏感信息的機密性��,防止移動存儲設(shè)備和系統(tǒng)遭受木馬病毒攻擊���,又要對終端設(shè)備進行加固���,對用戶的訪問行為進行控制。也就是要求整個終端系統(tǒng)是安全的���,用戶的所有訪問方式是可控的����。本實用新型的系統(tǒng)��,正是基于USB安全存儲加密卡�����,構(gòu)建可信系統(tǒng),以保證終用戶的訪問方式是可控的�。所述USB安全存儲加密卡為本領(lǐng)域通用的USB安全存儲加密卡,尤其是以鄭州信大捷安信息技術(shù)有限公司于2010年7月1日申請的申請?zhí)?0102(^65723. 1�,名稱為“一種USB安全存儲加密卡”為基礎(chǔ)��,該申請全部內(nèi)容被結(jié)合于此作為參考�����。
發(fā)明內(nèi)容本實用新型目的在于克服現(xiàn)有技術(shù)中存在的不足而提供一種基于USB安全存儲加密卡的可信系統(tǒng)�。本實用新型目的是這樣實現(xiàn)的該系統(tǒng)包括認證裝置����,用于在終端設(shè)備系統(tǒng)啟動前,插入USB安全存儲加密卡����,以使用USB安全存儲加密卡對用戶身份的合法性和USB安全存儲卡自帶的操作系統(tǒng)的完整性進行認證�����,以用于保證終端設(shè)備的使用者是合法的��,用戶所使用的操作系統(tǒng)是安全的;辦公系統(tǒng)啟動裝置�,用于在認證通過后���,啟用USB安全存儲加密卡自帶的操作系統(tǒng)和辦公系統(tǒng)進行辦公;應用程序啟動認證裝置����,用于使用USB安全存儲加密卡���,對用戶所要執(zhí)行的應用程序的完整性進行驗證以保證用戶執(zhí)行應用程序的操作方式是可控的�;網(wǎng)絡接入認證裝置���,用于使用USB安全存儲加密卡,對終端設(shè)備的網(wǎng)絡接入進行驗證以保證用戶接入網(wǎng)絡的操作方式是可控的����;端口接入控制裝置,使用USB安全存儲加密卡����,對外部端口接入的終端設(shè)備�,進行驗證以保證用戶通過外部端口訪問系統(tǒng)的操作方式是可控的���。其中所述外部端口至少包括以下類型端口之一 USB���、串口、紅外��。綜上所述,該系統(tǒng)是為用戶提供一種構(gòu)建可信系統(tǒng)�,該系統(tǒng)保證終端用戶的訪問方式是可控的����,從而使得終端系統(tǒng)免受木馬病毒的攻擊�。本發(fā)明的積極效果實現(xiàn)用戶運行環(huán)境的定制��,保證了合法用戶的操作方式是可控的。該系統(tǒng)避免了終端運行環(huán)境的變更帶來的安全問題�����,防止終端感染木馬以及其他竊取終端用戶信息的網(wǎng)絡攻擊����。
圖1是基于USB安全存儲加密卡構(gòu)建可信系統(tǒng)的結(jié)構(gòu)示意圖�。本實用新型包括-認證裝置����,用于在終端設(shè)備系統(tǒng)啟動前���,插入USB安全存儲加密卡�,以使用USB安全存儲加密卡對用戶身份的合法性和USB安全存儲卡自帶的操作系統(tǒng)的完整性進行認證��, 以用于保證終端設(shè)備的用戶是合法的��,用戶所使用的操作系統(tǒng)是安全的;-辦公系統(tǒng)啟動裝置���,用于在認證通過后,啟用USB安全存儲加密卡自帶的操作系統(tǒng)和辦公系統(tǒng)進行辦公��;-應用程序啟動認證裝置���,用于使用USB安全存儲加密卡,對用戶所要執(zhí)行的應用程序的完整性進行驗證以保證用戶執(zhí)行應用程序的操作方式是可控的����;-網(wǎng)絡接入認證裝置��,用于使用USB安全存儲加密卡���,對終端設(shè)備的網(wǎng)絡接入進行驗證以保證用戶接入網(wǎng)絡的操作方式是可控的���;-端口接入控制裝置,使用USB安全存儲加密卡�,對外部端口接入的終端設(shè)備進行驗證以保證用戶通過外部端口訪問系統(tǒng)的操作方式是可控的�����。其中所述外部端口至少包括以下類型端口之一 USB����、串口�����、紅外����。一部分為植入的微型操作系統(tǒng),另一部分為嵌入被裁剪的Windows XP Embedded 操作系統(tǒng)�����,其中USB安全存儲加密卡的微型操作系統(tǒng)對Windows XP Embedded操作系統(tǒng)啟動順序中的關(guān)鍵文件進行摘要計算,當用戶插入所述USB安全存儲加密卡后�,先啟動所述 USB安全存儲加密卡內(nèi)的微型操作系統(tǒng)�,然后對Windows XP Embedded操作系統(tǒng)進行可信認證��。本實用新型基于USB安全存儲加密卡�����,設(shè)計了啟動程序引導�����、用戶身份認證��、操作系統(tǒng)完整性驗證�����、應用程序完整驗證��、網(wǎng)絡數(shù)據(jù)驗證�����、終端設(shè)備驗證和VPN接入驗證的方法����,從而為用戶提供了構(gòu)建可信系統(tǒng)���,具體實施步驟如下1)基于USB安全存儲加密卡的認證啟動終端設(shè)備系統(tǒng)啟動前���,插入USB安全存儲加密卡����,USB安全存儲加密卡對用戶身份進行認證��。同時,USB安全存儲加密卡對自帶的操作系統(tǒng)進行完整性驗證����。用戶身份的合法性和操作系統(tǒng)的完整性,都通過驗證后���,方可啟動終端設(shè)備系統(tǒng)�����;否則不能啟動終端設(shè)備系統(tǒng)。其中���,所述USB安全存儲加密卡自帶操作系統(tǒng)包括兩部分被植入的自主研發(fā)的微型操作系統(tǒng),另一部分為被嵌入被裁剪的Windows XP Embedded操作系統(tǒng)��,其中USB安全存儲加密卡的微型操作系統(tǒng)對Windows XP Embedded操作系統(tǒng)啟動順序中的關(guān)鍵文件進行摘要計算��,當用戶插入USB安全存儲加密卡后,先啟動USB安全存儲加密卡內(nèi)的微型操作系統(tǒng)��,然后對Windows XP Embedded操作系統(tǒng)進行可信認證���。如果認證通過,那么USB安全存儲加密卡內(nèi)的微型操作系統(tǒng)啟動結(jié)束之后����,主動切換到Windows XP Embedded操作系統(tǒng)����,從而運行用戶的運行環(huán)境���。如果未能通過認證���,操作系統(tǒng)會自動關(guān)閉�。其中裁剪的Windows XP Embedded操作系統(tǒng)是基于Windows 5. 0.1內(nèi)核�����,完全兼容Windows XP��,兩者的區(qū)別僅在于前者是可裁剪的���,將存在網(wǎng)絡風險和安全隱患的部分組件裁剪掉�����,系統(tǒng)不但小巧�����,而且安全可靠�,并且裁剪后的Windows XP Embedded操作系統(tǒng)基于Win32技術(shù),完全兼容目前流行的Windows XP的應用程序����。[0023]2)啟動辦公系統(tǒng)用戶需要進行日常辦公時,啟動USB安全存儲加密卡自帶的操作系統(tǒng)和辦公系統(tǒng)���,進行日常辦公。用戶不使用其他的存儲介質(zhì)(硬盤�����、光盤����、其他U盤等)�����。3)應用程序啟動認證終端設(shè)備系統(tǒng)成功啟動后,用戶需要執(zhí)行其他應用程序時���, 首先使用USB安全存儲加密卡���,對所要執(zhí)行的應用程序的完整性進行驗證���。如果通過驗證, 可運行該應用程序�;否則�����,不能執(zhí)行該應用程序����。4)網(wǎng)絡接入認證終端設(shè)備系統(tǒng)成功啟動后�����,用戶需要網(wǎng)絡訪問時,USB安全存儲卡加密卡對網(wǎng)絡數(shù)據(jù)進行認證�。如果通過認證����,則可以訪問網(wǎng)絡�����;否則,不能訪問網(wǎng)絡�����。5)端口接入控制終端設(shè)備系統(tǒng)成功啟動后����,外部端口(如USB�����、串口����、紅外等)需要接入終端設(shè)備時,USB安全存儲加密卡對外部端口進行驗證��。如果通過驗證�����,可正常接入�����; 否則��,不能接入。通過本實用新型可以實現(xiàn)用戶運行環(huán)境的定制����,保證了合法用戶的操作方式是可控的�。本實用新型避免了終端運行環(huán)境的變更帶來的安全問題�����,防止終端感染木馬以及其他竊取終端用戶信息的網(wǎng)絡攻擊。盡管已經(jīng)參考優(yōu)選實施例對本實用新型進行闡述���,本領(lǐng)域技術(shù)人員應該理解,可以針對本發(fā)明進行不同的修改和變形而不脫離本實用新型的范圍����。
權(quán)利要求1.一種基于USB安全存儲加密卡的可信系統(tǒng)構(gòu)造系統(tǒng)��,其特征在于-認證裝置�����,用于在終端設(shè)備系統(tǒng)啟動前��,插入USB安全存儲加密卡���,以使用USB安全存儲加密卡對用戶身份的合法性和USB安全存儲卡自帶的操作系統(tǒng)的完整性進行認證�,以用于保證終端設(shè)備的用戶是合法的����,用戶所使用的操作系統(tǒng)是安全的;-辦公系統(tǒng)啟動裝置�,用于在認證通過后��,啟用USB安全存儲加密卡自帶的操作系統(tǒng)和辦公系統(tǒng)進行辦公�;-應用程序啟動認證裝置,用于使用USB安全存儲加密卡����,對用戶所要執(zhí)行的應用程序的完整性進行驗證以保證用戶執(zhí)行應用程序的操作方式是可控的�����;-網(wǎng)絡接入認證裝置���,用于使用USB安全存儲加密卡,對終端設(shè)備的網(wǎng)絡接入進行驗證以保證用戶接入網(wǎng)絡的操作方式是可控的��;-端口接入控制裝置��,使用USB安全存儲加密卡�,對外部端口接入的終端設(shè)備進行驗證以保證用戶通過外部端口訪問系統(tǒng)的操作方式是可控的�。
2.如權(quán)利要求1所述的系統(tǒng)�,其特征在于其中所述外部端口至少包括以下類型端口之一 USB、串口����、紅外。
3.如權(quán)利要求1所述的系統(tǒng),其特征在于其中所述USB安全存儲加密卡自帶操作系統(tǒng)包括兩部分一部分為植入的微型操作系統(tǒng)����,另一部分為嵌入被裁剪的Windows XP Embedded操作系統(tǒng)����,其中USB安全存儲加密卡的微型操作系統(tǒng)對Windows XP Embedded操作系統(tǒng)啟動順序中的關(guān)鍵文件進行摘要計算,當用戶插入所述USB安全存儲加密卡后��,先啟動所述USB安全存儲加密卡內(nèi)的微型操作系統(tǒng),然后對Windows XP Embedded操作系統(tǒng)進行可信認證����。
專利摘要本實用新型公開一種基于USB安全存儲加密卡的可信系統(tǒng),包括認證裝置對用戶身份的合法性和需要自帶的操作系統(tǒng)進行完整性驗證�;辦公系統(tǒng)啟動裝置保證合法用戶所啟動的操作系統(tǒng)和辦公系統(tǒng)是安全的;應用程序啟動認證裝置通過對用戶所使用的應用程序進行完整性驗證�,網(wǎng)絡接入認證裝置對終端設(shè)備訪問的網(wǎng)絡數(shù)據(jù)進行認證�����;端口接入控制裝置進行驗證保證用戶通過外部端口訪問系統(tǒng)的操作方式是可控的�����,該系統(tǒng)保證終端用戶的訪問方式是可控的��,從而使得終端系統(tǒng)免受木馬病毒的攻擊�����。
文檔編號H04L9/32GK202077041SQ20112015035
公開日2011年12月14日 申請日期2011年5月12日 優(yōu)先權(quán)日2011年5月12日
發(fā)明者董建強 申請人:鄭州信大捷安信息技術(shù)股份有限公司