專利名稱:一種便攜式信息安全設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域�,特別涉及一種便攜式信息安全設(shè)備。
背景技術(shù):
近幾年���,隨著互聯(lián)網(wǎng)技術(shù)與電子商務(wù)的快速發(fā)展��,越來(lái)越多的商務(wù)活動(dòng)轉(zhuǎn)移到網(wǎng)絡(luò)上開展��,例如網(wǎng)上政府辦公�、網(wǎng)上數(shù)字銀行����、網(wǎng)上購(gòu)物等等,與此同時(shí)���,越來(lái)越多涉及個(gè)人隱私和商業(yè)秘密的信息需要通過網(wǎng)絡(luò)傳遞��。然而病毒����、黑客、網(wǎng)絡(luò)交易以及網(wǎng)頁(yè)仿冒詐騙等惡意威脅��,給在線交易的安全性帶來(lái)了極大的挑戰(zhàn)���。
信息安全設(shè)備是一種帶有處理器和存儲(chǔ)器的小型硬件裝置,它通過計(jì)算機(jī)的數(shù)據(jù)通訊接口與計(jì)算機(jī)連接�。它具有密鑰生成、安全存儲(chǔ)密鑰�����、預(yù)置加密算法等功能����。信息安全設(shè)備與密鑰相關(guān)的運(yùn)算完全在裝置內(nèi)部運(yùn)行,且信息安全設(shè)備具有抗攻擊的特性�,安全性極高。信息安全設(shè)備一般通過USB接口與計(jì)算機(jī)相連�,通常被稱為USB KEY或USB Token。信息安全設(shè)備生產(chǎn)商�、軟件系統(tǒng)開發(fā)商或者最終用戶可以將一些重要信息存儲(chǔ)到信息安全設(shè)備中,用以保證安全性或者防止遺忘�����。目前����,較高端的信息安全設(shè)備是可編程的����,即可以實(shí)現(xiàn)在信息安全設(shè)備中運(yùn)行預(yù)先存入其中的代碼�����。
一般信息安全設(shè)備中會(huì)內(nèi)置安全設(shè)計(jì)芯片來(lái)實(shí)現(xiàn)信息安全功能�。安全設(shè)計(jì)芯片除了具有通用嵌入式微控制器的各種特性外,更多的是在安全性能方面����,安全設(shè)計(jì)芯片在芯片設(shè)計(jì)時(shí)會(huì)針對(duì)安全性能方面在結(jié)構(gòu)上做一些特殊處理,比如安全芯片會(huì)采用特定的安全內(nèi)核���,該安全內(nèi)核能夠支持多個(gè)擁有不同權(quán)限定義的狀態(tài)�,用于實(shí)現(xiàn)對(duì)硬件資源訪問權(quán)限的管理�;以及支持指令執(zhí)行時(shí)間(指令周期)的隨機(jī)化;其中斷系統(tǒng)能夠?qū)崿F(xiàn)支持芯片狀態(tài)的轉(zhuǎn)換����,從而實(shí)現(xiàn)對(duì)不同層次的安全級(jí)別的控制,以支持多應(yīng)用的實(shí)現(xiàn);還可以帶有MMU單元(memory management unit�,存儲(chǔ)器管理單元),用于實(shí)現(xiàn)邏輯地址��、物理地址的隔離����,及地址映射���,從體系結(jié)構(gòu)上支持應(yīng)用(多應(yīng)用)���、安全性的設(shè)計(jì)實(shí)現(xiàn),與內(nèi)核支持的不同狀態(tài)一起有機(jī)的組成一個(gè)硬件防火墻�����;其中斷系統(tǒng)還能支持系統(tǒng)數(shù)據(jù)庫(kù)與用戶程序的接口及權(quán)限傳遞和切換��;其存儲(chǔ)介質(zhì)方面也會(huì)采用非易失性存儲(chǔ)介質(zhì)等等�����。安全設(shè)計(jì)芯片一般都要求符合相關(guān)的標(biāo)準(zhǔn)及通過相關(guān)的認(rèn)證等以保證其安全性能��,比如TCG TPM v1.2規(guī)范,ISO15408國(guó)際標(biāo)準(zhǔn)�����,中國(guó)密碼管理委員會(huì)標(biāo)準(zhǔn)等等�����。目前市面上有很多款安全設(shè)計(jì)芯片可供選擇��,其中意法半導(dǎo)體的ST19WP18微控制器���,已通過“公共標(biāo)準(zhǔn)”評(píng)估保障級(jí)EAL5+(增強(qiáng)版)的認(rèn)證�,這是ISO15408國(guó)際標(biāo)準(zhǔn)關(guān)于此類產(chǎn)品的最高的標(biāo)準(zhǔn)之一����。
一般信息安全設(shè)備中會(huì)內(nèi)置安全設(shè)計(jì)芯片來(lái)實(shí)現(xiàn)信息安全功能。信息安全采用集成電路技術(shù)后���,使得信息安全得到了更好的保護(hù)���,被保護(hù)信息的安全度也因此而有所提高,基于此概念設(shè)計(jì)的專用于信息安全保護(hù)方面的芯片習(xí)慣上被稱為安全設(shè)計(jì)芯片���。安全設(shè)計(jì)芯片一般通過下列三種方式來(lái)實(shí)現(xiàn)被保護(hù)信息的處理將信息處理算法完全用硬件實(shí)現(xiàn)(邏輯加密型)���,將信息處理算法完全用軟件實(shí)現(xiàn)(智能型)��,將信息處理算法部分用硬件��、部分用軟件來(lái)實(shí)現(xiàn)(可編程邏輯加密型)��。
當(dāng)前在計(jì)算機(jī)系統(tǒng)里使用的最廣泛的硬盤接口是集成磁盤電子接口�����,簡(jiǎn)稱IDE接口(Integrated Drive Electronics)。IDE接口�����,更準(zhǔn)確的稱呼是ATA(Advanced TechnologyAttachment-高級(jí)技術(shù)配件)接口��,目前通用的是并行接口方式�����,也稱并行ATA(Parallel ATA)接口�,該接口起始于1986年����,在1988年形成標(biāo)準(zhǔn)����,主要提供一種規(guī)范方法使磁盤附屬到個(gè)人計(jì)算機(jī),近些年來(lái)��,為了滿足處理單元對(duì)硬盤數(shù)據(jù)訪問速度的提高�����,ATA接口技術(shù)的不斷發(fā)展�����,已形成多種標(biāo)準(zhǔn)規(guī)范�,如ATA/ATAPI,EIDE���,ATA-2��,高速ATA��,ATA-3����,Ultra ATA,UltraDMA���,ATA/ATAPI-4��,ATA/ATAPI-5�����,ATA/ATAPI-6等�。
并行ATA接口在當(dāng)前臺(tái)式計(jì)算機(jī)以及便攜式計(jì)算機(jī)內(nèi)部的硬盤之間連接占據(jù)統(tǒng)治地位�����,是因?yàn)樗?jiǎn)單��、低成本等因素�,然而并行ATA接口有一系列的限制因素�����,使人疲憊于不斷增加其性能���。這些受限的因素包括高針數(shù)��,40針80芯電纜����,且電纜長(zhǎng)度短,不方便硬盤的接入及系統(tǒng)的散熱要求����,以及并行ATA接口的其他特性使該接口的數(shù)據(jù)傳輸速率在過去不能得到較快的發(fā)展,以致于并行ATA接口正接近于它的性能容量�,不能滿足計(jì)算機(jī)對(duì)數(shù)據(jù)傳輸速度的進(jìn)一步增加需求。
基于這些因素����,為滿足下一代接口技術(shù)發(fā)展的需求,串行ATA接口發(fā)展為下一代ATA規(guī)范��。SATA(Serial Advanced Techno logy Attachmen-串行高級(jí)技術(shù)配件)接口技術(shù)�����,即SerialATA��,是最近兩年在存儲(chǔ)領(lǐng)域新發(fā)展起來(lái)的技術(shù)����。Serial ATA��,采用“序列式”的結(jié)構(gòu)����,把若干比特位數(shù)據(jù)打包�,然后采用比并行式更高的速度,以數(shù)據(jù)分組的形式傳輸至主機(jī)����,進(jìn)行數(shù)據(jù)傳輸。
SATA接口具有如下的主要特征1.高速度現(xiàn)行的并行ATA接口很少會(huì)達(dá)到數(shù)據(jù)線最大的帶寬����,即使是ATA/133硬盤,也不會(huì)真正達(dá)到133MB/S的速率�����,最多也就只能達(dá)到60MB/S的穩(wěn)定傳輸速率�,而串行ATA最大將實(shí)現(xiàn)600MB/S的傳輸速率���。
2.點(diǎn)對(duì)點(diǎn)通信方式由于串行ATA采用點(diǎn)對(duì)點(diǎn)的傳輸協(xié)議��,所以不存在主/從問題�,這樣每個(gè)驅(qū)動(dòng)器不僅能獨(dú)享帶寬,而且使拓展ATA設(shè)備更加便利�����,用戶不需要再為設(shè)置硬盤主從跳線而苦惱�,只要增加通道數(shù)目,即可連接多臺(tái)設(shè)備��。
3.支持熱插拔SATA支持熱插拔���,像USB和IEEE1394一樣���,在不關(guān)機(jī)的情況下就能完成增加或移除硬盤的工作,并且不會(huì)對(duì)硬盤和控制器造成損壞�����。
4.內(nèi)置數(shù)據(jù)校驗(yàn)SATA在傳輸總線的兩頭都引入了全新的CRC(循環(huán)冗余校驗(yàn))保護(hù)系統(tǒng)�����,SATA的雙向CRC校驗(yàn)對(duì)一般家庭用戶用處可能不大,但對(duì)于高端工作站和服務(wù)器來(lái)說卻是至關(guān)重要的�。
SATA接口是并行ATA接口的發(fā)展,該技術(shù)相對(duì)并行ATA有一個(gè)低得多的針腳數(shù)�,線纜更軟,提供硬盤更長(zhǎng)的接入線纜�����,方便硬盤接入主機(jī)系統(tǒng)����,且支持熱插拔,此外���,SATA接口采用較低針腳數(shù)也有益于主板包括芯片及其它集成的硅零部件在內(nèi)的系統(tǒng)設(shè)計(jì)��,便于外置和移動(dòng)使用�����,能夠滿足下一代接口技術(shù)發(fā)展的需要�����。
在移動(dòng)存儲(chǔ)方面,eSATA(External Serial ATA-外接串行高級(jí)技術(shù)配件)技術(shù)也開始走入我們的視線�,即將SATA端口由主板內(nèi)引出到機(jī)箱外面來(lái)��。eSATA作為SATA接口的外部擴(kuò)展規(guī)范���,eSATA的優(yōu)勢(shì)也是顯而易見的,和常見的USB2.0和IEEE1394兩種常見外置接口相比�,eSATA最大的優(yōu)勢(shì)就是數(shù)據(jù)傳輸能力,eSATAd的傳輸速率可達(dá)到300MB/s��,遠(yuǎn)遠(yuǎn)高于USB2.0的480Mbp/s和IEEE 1394的400Mbp/s���,并且依然保持方便的熱插拔功能�,即用戶是不需要關(guān)機(jī)便能隨時(shí)接上或移除SATA裝置�,十分方便。隨著eSATA的出現(xiàn)����,外置接口的傳輸率也首次遠(yuǎn)遠(yuǎn)大于了硬盤等設(shè)備的內(nèi)部傳輸率。目前����,包括希捷等在內(nèi)的多家存儲(chǔ)廠商都開始把自己的業(yè)務(wù)重點(diǎn)轉(zhuǎn)向外置式硬盤,在CES2006上�����,希捷就展示了最新研發(fā)的eSATA按鍵備份系列外置硬盤,其中500GB容量產(chǎn)品的接口速度高達(dá)300MB/s�����;此外����,Data-Tec、I-O DATA等公司也紛紛推出了各自的eSATA外置硬盤或DVD刻錄機(jī)���,與此同時(shí)����,市場(chǎng)上也出現(xiàn)了帶有eSATA接口的主板產(chǎn)品�,如華擎的775XFire-eSATA2、ASUS的P5W DH等����,另外Seagate公司也設(shè)計(jì)生產(chǎn)了eSATA外置硬盤等產(chǎn)品。
目前廣泛使用的USB Key存在如下不足之處1.由于目前USB的最大傳輸速度只能達(dá)到10MB/S���,大大地限制了數(shù)據(jù)傳輸?shù)乃俣取?br> 2.USB技術(shù)是基于主/從式傳輸協(xié)議���,相對(duì)點(diǎn)對(duì)點(diǎn)的傳輸協(xié)議而言�,會(huì)占用較多CPU資源�。
發(fā)明內(nèi)容為了解決USB Key數(shù)據(jù)傳輸速度低��,以及USB主/從傳輸協(xié)議會(huì)占用較多CPU資源的問題��,同時(shí)也為滿足下一代接口技術(shù)的發(fā)展需要��,本發(fā)明提供了一種基于外接串行ATA協(xié)議的便攜式信息安全設(shè)備���,具體說是將目前廣泛使用的信息安全設(shè)備采用外接串行ATA技術(shù)實(shí)現(xiàn)���。所述信息安全設(shè)備包括eSATA接口單元、存儲(chǔ)單元����、權(quán)限管理單元、算法單元和控制單元���;所述eSATA接口單元用于將信息安全設(shè)備與主機(jī)通過eSATA接口建立連接�����,并按照外接串行ATA協(xié)議與主機(jī)進(jìn)行通信�����,提供數(shù)據(jù)發(fā)送到eSATA定義總線和從eSATA定義總線接收數(shù)據(jù)的接口���;所述存儲(chǔ)單元用于存儲(chǔ)所述信息安全設(shè)備的內(nèi)部數(shù)據(jù)����;所述權(quán)限管理單元用于根據(jù)訪問信息安全設(shè)備的用戶身份信息對(duì)其訪問權(quán)限進(jìn)行管理和控制���;所述算法單元用于進(jìn)行加/解密運(yùn)算�����;所述控制單元用于控制所述eSATA接口單元與主機(jī)間的通信��,控制所述權(quán)限管理單元對(duì)信息安全設(shè)備的訪問操作����,以及對(duì)所述存儲(chǔ)單元中存儲(chǔ)的數(shù)據(jù)進(jìn)行控制和處理�����。
所述存儲(chǔ)單元還用于存儲(chǔ)密鑰數(shù)據(jù),所述密鑰數(shù)據(jù)包括數(shù)字證書����、密鑰和用戶私有數(shù)據(jù)。
所述存儲(chǔ)單元還用于存儲(chǔ)用戶程序�,所述用戶程序用來(lái)實(shí)現(xiàn)用戶自定義算法的寫入和調(diào)用。
所述算法單元根據(jù)所述密鑰數(shù)據(jù)進(jìn)行加/解密運(yùn)算���。
所述控制單元為安全設(shè)計(jì)芯片,所述安全設(shè)計(jì)芯片包括智能卡芯片����。
所述控制單元與存儲(chǔ)單元、權(quán)限管理單元�����、算法單元和eSATA接口單元中的一個(gè)或幾個(gè)集成在一顆芯片中����。
所述芯片為安全設(shè)計(jì)芯片,所述安全設(shè)計(jì)芯片包括智能卡芯片��。
所述eSATA接口單元為分立的eSATA協(xié)議轉(zhuǎn)換芯片�����。
有益效果1.由于信息安全設(shè)備與主機(jī)按照eSATA協(xié)議進(jìn)行通信,而eSATA標(biāo)準(zhǔn)的傳輸速率可達(dá)到300MB/s���,大大地提高了數(shù)據(jù)的傳輸速度��。
2.由于eSATA使用的是點(diǎn)對(duì)點(diǎn)的傳輸協(xié)議��,所以不存在主/從問題����,節(jié)約了系統(tǒng)資源�����。
3.由于eSATA支持熱插拔���,所以信息安全設(shè)備與計(jì)算機(jī)的斷開和連接都無(wú)需考慮計(jì)算機(jī)的運(yùn)行狀態(tài)����,使用非常方便���,同時(shí)也符合下一代接口技術(shù)的發(fā)展需求����。
圖1是本發(fā)明實(shí)施例提供的便攜式信息安全設(shè)備的結(jié)構(gòu)圖;圖2是本發(fā)明實(shí)施例提供的信息安全設(shè)備的控制方法流程圖�����。
具體實(shí)施方式下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步說明�,但不作為對(duì)本發(fā)明的限定。
實(shí)施例1如圖1所示�,本發(fā)明實(shí)施例提供了一種基于eSATA協(xié)議的信息安全設(shè)備102,它包括eSATA接口單元103��、控制單元104���、存儲(chǔ)單元105、權(quán)限管理單元106和算法單元107��?��?刂茊卧?04分別與eSATA接口單元103�、存儲(chǔ)單元105����、權(quán)限管理單元106和算法單元107相連��?;趀SATA協(xié)議的信息安全設(shè)備102通過eSATA協(xié)議與主機(jī)101進(jìn)行通信�����。
控制單元104用于對(duì)數(shù)據(jù)信息進(jìn)行控制和處理���?��?刂茊卧?04內(nèi)置有安全模塊,安全模塊用于提供信息安全保護(hù)���,控制單元可以為安全設(shè)計(jì)芯片��,例如智能卡芯片���。控制單元104通過eSATA接口單元103與主機(jī)101進(jìn)行通信���,并依據(jù)權(quán)限管理單元106管理和控制對(duì)信息安全設(shè)備102的訪問操作�����,以及對(duì)存儲(chǔ)單元105中存儲(chǔ)的數(shù)據(jù)進(jìn)行控制和處理�。
eSATA接口單元103用于與主機(jī)101建立連接,并按照eSATA協(xié)議進(jìn)行通信���,提供信息安全設(shè)備102數(shù)據(jù)輸入/輸出的端口�,將數(shù)據(jù)發(fā)送到eSATA定義的總線和從eSATA定義的總線接收數(shù)據(jù)�。eSATA接口單元103支持遵從eSATA標(biāo)準(zhǔn)的eSATA功能,并在eSATA總線上進(jìn)行設(shè)備的標(biāo)識(shí)�、列舉、配置和登記信息安全設(shè)備102所需的eSATA接口功能�����。
存儲(chǔ)單元105用于存儲(chǔ)內(nèi)部數(shù)據(jù)�;還包括存儲(chǔ)密鑰數(shù)據(jù)����,密鑰數(shù)據(jù)具體包括數(shù)字證書、密鑰和用戶私有數(shù)據(jù)等��;還可以用于存儲(chǔ)用戶程序���,用戶程序是用來(lái)實(shí)現(xiàn)用戶自定義算法的寫入和調(diào)用的��,比如用來(lái)存儲(chǔ)預(yù)置的加/解密算法�,或者用戶自定義的算法,或者存儲(chǔ)部分用戶代碼等等���。
權(quán)限管理單元106用于依據(jù)訪問信息安全設(shè)備的用戶身份信息對(duì)其訪問權(quán)限進(jìn)行管理與控制����。
算法單元107用于實(shí)現(xiàn)加/解密處理�;存儲(chǔ)單元105的存儲(chǔ)介質(zhì)可為RAM、ROM�����、EPROM�����、EEPROM�、FLASH中的一個(gè)或幾個(gè)組成。
由于eSATA接口標(biāo)準(zhǔn)支持熱插拔的功能��,如同USB和IEEE1394一樣�,在主機(jī)不關(guān)機(jī)的情況下就能完成添加或移除信息安全設(shè)備的動(dòng)作,并且不會(huì)對(duì)信息安全設(shè)備102和其內(nèi)的存儲(chǔ)單元105造成損壞,為用戶的移動(dòng)使用提供了便利��。
在實(shí)際的產(chǎn)品設(shè)計(jì)中����,可以有多種實(shí)現(xiàn)形式,比如可以利用安全設(shè)計(jì)芯片實(shí)現(xiàn)控制模塊的功能����,利用存儲(chǔ)芯片實(shí)現(xiàn)存儲(chǔ)單元、權(quán)限管理單元和算法單元的功能����,再利用一顆eSATA協(xié)議轉(zhuǎn)換芯片實(shí)現(xiàn)eSATA接口單元的功能;也可以將控制單元與存儲(chǔ)單元��、權(quán)限管理單元��、算法單元和eSATA接口單元中的一個(gè)或幾個(gè)集成在一顆芯片(可以是安全設(shè)計(jì)芯片�,包括智能卡芯片)中實(shí)現(xiàn)等。
本發(fā)明實(shí)施例的一個(gè)優(yōu)選方案是采用帶eSATA接口的智能卡芯片來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)信息的總體控制和處理�,可以實(shí)現(xiàn)信息安全設(shè)備與主機(jī)間的通信��、對(duì)接收到的數(shù)據(jù)信息進(jìn)行解析及處理���,以及訪問權(quán)限管理�,另外,用來(lái)實(shí)現(xiàn)加/解密處理的算法等程序也存放在智能卡芯片中可修改的存儲(chǔ)區(qū)中��,以便于后期可以對(duì)其進(jìn)行功能升級(jí)等操作����。當(dāng)用于身份認(rèn)證等需要用到密鑰數(shù)據(jù)的應(yīng)用時(shí),數(shù)字證書�����、公鑰密鑰或用戶私鑰等私有數(shù)據(jù)也會(huì)被存放在智能卡芯片的存儲(chǔ)區(qū)中�����。
對(duì)于帶有eSATA接口的智能卡芯片���,其eSATA接口完全遵從eSATA(External Serial ATA-外接串行高級(jí)技術(shù)配件)協(xié)議��,用于將信息安全設(shè)備與主機(jī)建立連接�����,并按照eSATA協(xié)議與主機(jī)進(jìn)行通信����,提供數(shù)據(jù)發(fā)送到eSATA定義總線和從eSATA定義總線接收數(shù)據(jù)的接口。目前市面上能夠提供符合eSATA協(xié)議的eSATA控制芯片有Silicon Image Inc.的Sil3531����,能夠提供一路符合eSATA協(xié)議的eSATA接口,支持最高傳輸速度達(dá)300MB/s����,另外,Silicon ImageInc.還提供了支持2路符合eSATA協(xié)議的eSATA接口控制芯片���,如Sil3132�、Sil3512等����。
將信息安全設(shè)備102通過智能卡芯片中提供的eSATA接口與主機(jī)相連后,主機(jī)便通過eSATA接口向信息安全設(shè)備進(jìn)行供電���,正常使用��。這種采用帶有eSATA的智能卡芯片實(shí)現(xiàn)信息安全設(shè)備的方案中��,由于采用了整體封裝�����,所以從整體上提升了系統(tǒng)性能��。
在信息安全設(shè)備102與主機(jī)101相連接時(shí)�����,會(huì)產(chǎn)生一個(gè)標(biāo)準(zhǔn)的SATA列舉過程�����,在這個(gè)過程中�����,主機(jī)101對(duì)信息安全設(shè)備102的配置模式進(jìn)行配置�。本發(fā)明實(shí)施例的信息安全設(shè)備102與主機(jī)101之間接口采用eSATA標(biāo)準(zhǔn)��,按照eSATA接口協(xié)議的工作流程���,與主機(jī)操作系統(tǒng)配合對(duì)信息安全設(shè)備進(jìn)行初始化工作�,由主機(jī)為信息安全設(shè)備102分配盤符����,并按照主機(jī)操作系統(tǒng)的要求����,進(jìn)行接口標(biāo)準(zhǔn)操作�,對(duì)信息安全設(shè)備102進(jìn)行配置,然后��,信息安全設(shè)備執(zhí)行相應(yīng)的操作指令���,如數(shù)據(jù)交互操作���,或身份認(rèn)證信息處理操作,以及預(yù)置代碼操作等�。
上述優(yōu)選方案的結(jié)構(gòu)只是本發(fā)明的一個(gè)特例,在具體實(shí)施時(shí)��,eSATA接口單元103也可以設(shè)置在分立的eSATA協(xié)議轉(zhuǎn)換芯片中��,可應(yīng)用的協(xié)議轉(zhuǎn)換芯片種類比較多�,比如USB協(xié)議轉(zhuǎn)eSATA的橋接芯片有Sunplus公司的SPIF216A和SPIF215A等,另外還有PATA協(xié)議轉(zhuǎn)eSATA協(xié)議的橋接芯片等�。
主機(jī)101可以是臺(tái)式電腦、筆記本電腦�、服務(wù)器或?qū)S脵C(jī)���。本發(fā)明實(shí)施例實(shí)現(xiàn)的基于eSATA協(xié)議的信息安全設(shè)備也可以與其它外部設(shè)備進(jìn)行連接,外部設(shè)備可以但不限于是讀卡器��、通訊設(shè)備���、數(shù)碼相機(jī)、計(jì)算機(jī)外設(shè)或其它專用設(shè)備�。
實(shí)施例2參見圖2,是基于eSATA協(xié)議的信息安全設(shè)備的控制方法����,包括以下具體步驟。
步驟201將信息安全設(shè)備通過eSATA接口與主機(jī)建立連接�。
步驟202主機(jī)通過SATA接口向信息安全設(shè)備供電。
主機(jī)對(duì)應(yīng)的SATA接口連接器檢測(cè)到有設(shè)備接入�,即向接入的信息安全設(shè)備供電。
步驟203信息安全設(shè)備獲取設(shè)備描述符���。
主機(jī)向信息安全設(shè)備發(fā)出問詢指令��,問詢信息安全設(shè)備的描述符�����,信息安全設(shè)備根據(jù)問詢指令���,從其eSATA接口單元中獲取設(shè)備描述符���,該設(shè)備描述符含有標(biāo)志,表明信息安全設(shè)備允許一個(gè)或多個(gè)盤符��。信息安全設(shè)備將該設(shè)備描述符返回給主機(jī)����。
步驟204主機(jī)為信息安全設(shè)備分配地址。
主機(jī)接收到該設(shè)備描述符后�,為信息安全設(shè)備分配邏輯地址。
步驟205信息安全設(shè)備獲得配置端點(diǎn)接口描述符�����。
主機(jī)再次發(fā)出問詢指令�,問詢配置、端點(diǎn)和接口描述符���,信息安全設(shè)備根據(jù)該問詢指令獲得上述描述符�����,并將該描述符返回給主機(jī)�����。描述符包含支持最大邏輯單元數(shù)的信息��,即要求產(chǎn)生多少個(gè)盤符的標(biāo)志���。
步驟206檢驗(yàn)描述符是否規(guī)范,如果不規(guī)范���,則執(zhí)行步驟207�,如果規(guī)范����,則執(zhí)行步驟208。
步驟207禁止配置該設(shè)備����,并進(jìn)行再次問訊,執(zhí)行步驟203����。
步驟208主機(jī)發(fā)命令準(zhǔn)許設(shè)備配置���。
主機(jī)向信息安全設(shè)備發(fā)出準(zhǔn)許配置設(shè)備的質(zhì)量,開始進(jìn)行一系列信息安全設(shè)備配置操作���。
步驟209主機(jī)發(fā)命令查詢?cè)O(shè)備相關(guān)信息���。
主機(jī)發(fā)出問詢指令,問詢?cè)O(shè)備相關(guān)信息����,該信息包括設(shè)備廠商名、產(chǎn)品名等���,啟動(dòng)相應(yīng)設(shè)備驅(qū)動(dòng)程序�����,選擇接口�����、端點(diǎn)(管道)�,確定傳輸方式。
步驟210信息安全設(shè)備回答查詢結(jié)果����。
信息安全設(shè)備應(yīng)答該問詢指令,返回上述信息���。
步驟211主機(jī)為信息安全設(shè)備分配盤符���。
主機(jī)操作系統(tǒng)根據(jù)信息安全設(shè)備的要求,為信息安全設(shè)備分配一個(gè)或多個(gè)盤符�。至此,主機(jī)對(duì)信息安全設(shè)備的識(shí)別���、配置過程完畢。
步驟212將用戶提供的認(rèn)證信息與信息安全設(shè)備中存儲(chǔ)的認(rèn)證信息進(jìn)行比對(duì)���。如果比對(duì)結(jié)果一致��,則執(zhí)行步驟213��,否則提示錯(cuò)誤����,異常處理。
將用戶提供的認(rèn)證信息與信息安全設(shè)備中存儲(chǔ)的用戶認(rèn)證信息進(jìn)行比對(duì)��,根據(jù)比對(duì)結(jié)果判斷用戶是否具有信息安全設(shè)備的訪問權(quán)限�����。用戶可以通過輸入PIN碼或生物特征信息的方式進(jìn)行合法身份的驗(yàn)證��。
步驟213主機(jī)發(fā)出對(duì)信息安全設(shè)備的操作指令�。
主機(jī)發(fā)出操作指令到信息安全設(shè)備的eSATA接口,請(qǐng)求信息安全設(shè)備服務(wù)���。
步驟214信息安全設(shè)備接收指令�。
信息安全設(shè)備通過其eSATA接口接收主機(jī)的操作指令��。
步驟215信息安全設(shè)備執(zhí)行操作指令��。
信息安全設(shè)備解釋�����、執(zhí)行該操作指令����。
步驟216信息安全設(shè)備向主機(jī)返回指令執(zhí)行結(jié)果或信息����。
信息安全設(shè)備將操作指令執(zhí)行結(jié)果�����、系統(tǒng)信息�����、操作數(shù)據(jù)等返回給主機(jī)��。
步驟217主機(jī)檢測(cè)用戶是否移除信息安全設(shè)備�,如果是,則執(zhí)行步驟318��,否則重復(fù)執(zhí)行操作指令的過程����,直到用戶移除��、關(guān)閉信息安全設(shè)備�����。
步驟218主機(jī)停止向信息安全設(shè)備供電。
在接收到用戶移除�、關(guān)閉信息安全設(shè)備的信號(hào)后,主機(jī)和信息安全設(shè)備完成所有操作任務(wù)��,停止供電�,此時(shí)信息安全設(shè)備與主機(jī)斷開連接。
當(dāng)用戶把信息安全設(shè)備從主機(jī)的SATA接口拔出時(shí)�,主機(jī)操作系統(tǒng)自動(dòng)檢測(cè)到該設(shè)備已經(jīng)從主機(jī)拔出,主機(jī)操作系統(tǒng)消除與信息安全設(shè)備對(duì)應(yīng)的設(shè)備符�����。
在上述流程中��,步驟215信息安全設(shè)備執(zhí)行操作指令包括以下內(nèi)容1.數(shù)據(jù)交互操作數(shù)據(jù)交互操作具體包括對(duì)寫入的數(shù)據(jù)在信息安全設(shè)備內(nèi)進(jìn)行加密�����,或?qū)ψx取的數(shù)據(jù)在信息安全設(shè)備內(nèi)進(jìn)行解密�����。數(shù)據(jù)加密和數(shù)據(jù)解密算法可以是RSA�����、DES、3DES��、SCB2��、SSF33��、AES��、ECC算法中的任意一種或任意幾種�����。在對(duì)數(shù)據(jù)加密和解密時(shí)��,程序存儲(chǔ)單元中的固件程序會(huì)利用其中存儲(chǔ)的算法����,結(jié)合密鑰數(shù)據(jù)存儲(chǔ)單元中存儲(chǔ)的密鑰實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密和解密操作。
2.身份認(rèn)證信息處理操作身份認(rèn)證信息處理主要包括存儲(chǔ)/驗(yàn)證密碼信息���、存儲(chǔ)/驗(yàn)證簽名�、存儲(chǔ)/驗(yàn)證數(shù)字證書和權(quán)限管理����。其主要應(yīng)用在身份認(rèn)證領(lǐng)域,利用密鑰數(shù)據(jù)存儲(chǔ)單元中存儲(chǔ)的數(shù)字證書��、密鑰或用戶私有數(shù)據(jù)進(jìn)行安全的身份認(rèn)證���,主要可以實(shí)現(xiàn)如下功能a.控制訪問網(wǎng)絡(luò)通過識(shí)別信息安全設(shè)備中含有的硬件信息或密鑰數(shù)據(jù)存儲(chǔ)單元中存儲(chǔ)的用戶驗(yàn)證信息����,來(lái)控制用戶訪問網(wǎng)絡(luò)���。
b.用于驗(yàn)證和鑒別文件發(fā)送者身份的數(shù)字簽名或證明���,防止被中途篡改。
c.存儲(chǔ)密碼信息儲(chǔ)存用戶密碼信息�,防止用戶手動(dòng)輸入密碼時(shí)帶來(lái)的風(fēng)險(xiǎn)。
d.遠(yuǎn)程登陸銀行等網(wǎng)站可以利用簽名信息來(lái)識(shí)別用戶的合法性�。
e.控制文件的訪問可以在一些文件中加入訪問控制信息,防止非法訪問或運(yùn)行信息安全設(shè)備��。
f.控制登陸到特定的應(yīng)用系統(tǒng)軟件系統(tǒng)開發(fā)商可以將此功能用于自己的產(chǎn)品���,即可以利用信息安全設(shè)備自動(dòng)登陸特定的應(yīng)用系統(tǒng)�。
利用信息安全設(shè)備實(shí)現(xiàn)身份認(rèn)證的主要作用是保護(hù)重要數(shù)據(jù)、敏感數(shù)據(jù)永遠(yuǎn)都不會(huì)被讀出到裝置之外��,其好處是a.用戶可以不必記憶冗長(zhǎng)的密碼�。安全的密碼一定有字母和數(shù)字組成足夠復(fù)雜的字符串,而且是時(shí)常更新的���,而用信息安全設(shè)備來(lái)存儲(chǔ)密碼信息可以免去用戶使用中的麻煩��。
b.提供雙因子認(rèn)證的保險(xiǎn)措施�,即使用戶的密碼或信息安全設(shè)備的丟失���,都不會(huì)給用戶帶來(lái)風(fēng)險(xiǎn)����。
c.密鑰存儲(chǔ)在密鑰數(shù)據(jù)存儲(chǔ)單元中���,不可導(dǎo)出��,保證了安全性�����。
3.預(yù)置代碼操作預(yù)置的代碼���,會(huì)被存儲(chǔ)在程序存儲(chǔ)單元中,實(shí)現(xiàn)了對(duì)軟件產(chǎn)品的保護(hù)�。預(yù)置代碼包括預(yù)置用戶軟件部分片斷,用戶軟件部分片斷不能被讀出信息安全設(shè)備�,并使之在設(shè)備內(nèi)部運(yùn)行,與外部軟件交互�,依次來(lái)控制軟件保證其合法運(yùn)行。它可以實(shí)現(xiàn)如下軟件保護(hù)功能a.寫文件包括用戶的代碼片斷��,或者該片斷運(yùn)行時(shí)所需要的數(shù)據(jù)��。
b.讀文件包括代碼片斷運(yùn)行時(shí)的數(shù)據(jù)文件�����,但不是該代碼片斷本身�。
c.運(yùn)行文件即用戶寫入的代碼片斷在信息安全設(shè)備內(nèi)運(yùn)行,并保證其運(yùn)行的一切數(shù)據(jù)和相關(guān)信息保留在該設(shè)備內(nèi)��,而只返回結(jié)果���。
預(yù)置代碼還包括預(yù)置軟件保護(hù)應(yīng)用接口函數(shù)�,軟件保護(hù)應(yīng)用接口函數(shù)是信息安全設(shè)備和軟件系統(tǒng)開發(fā)商應(yīng)用之間的接口函數(shù)����,這個(gè)應(yīng)用接口函數(shù)主要由軟件系統(tǒng)開發(fā)商使用����。它主要具備如下功能
a.打開設(shè)備打開信息安全設(shè)備����,建立與其的通訊通道。
b.關(guān)閉設(shè)備當(dāng)主機(jī)不再使用該設(shè)備的時(shí)候�����,關(guān)閉該設(shè)備并清除設(shè)備狀態(tài)信息�。
c.送命令實(shí)現(xiàn)對(duì)信息安全設(shè)備的所有設(shè)置工作,即所有軟件保護(hù)功能的實(shí)現(xiàn)���。
利用信息安全設(shè)備采用預(yù)置代碼方式進(jìn)行軟件保護(hù)�����,關(guān)鍵是對(duì)于預(yù)置代碼即保護(hù)程序的部分不會(huì)出現(xiàn)在主機(jī)的內(nèi)存中����,這樣帶來(lái)的好處是a.防止程序的非法拷貝主機(jī)上的程序離開軟件保護(hù)就是不完整的�,即不能正常使用��。
b.防止程序被非法跟蹤或調(diào)試使軟件的關(guān)鍵代碼不會(huì)在主機(jī)中運(yùn)行��,所有的調(diào)試軟件都無(wú)法得到該段程序的運(yùn)行狀態(tài)����。
c.防止被轉(zhuǎn)儲(chǔ)軟件最易被破解的途徑是在運(yùn)行的過程中�,傳統(tǒng)的加殼保護(hù)的軟件�����,經(jīng)常被內(nèi)存轉(zhuǎn)儲(chǔ)而將代碼還原回來(lái)��。
d.防止反編譯無(wú)論反編譯的技術(shù)有多高��,都無(wú)法得到該預(yù)置代碼片斷����。
在本控制方法中程序存儲(chǔ)單元中存儲(chǔ)的固件程序用來(lái)實(shí)現(xiàn)識(shí)別設(shè)備、等待并接收來(lái)自主機(jī)的數(shù)據(jù)�����、解析并處理數(shù)據(jù)�、返回給主機(jī)數(shù)據(jù)�、以及設(shè)備同主機(jī)斷開連接��。
以上所述的實(shí)施例只是本發(fā)明較優(yōu)選的具體實(shí)施方式
�,本領(lǐng)域的技術(shù)人員在本發(fā)明技術(shù)方案范圍內(nèi)進(jìn)行的通常變化和替換都應(yīng)包含在本發(fā)明的保護(hù)范圍內(nèi)。
權(quán)利要求
1.一種便攜式信息安全設(shè)備��,其特征在于��,所述信息安全設(shè)備包括eSATA接口單元�、存儲(chǔ)單元、權(quán)限管理單元�����、算法單元和控制單元�����;所述eSATA接口單元用于將信息安全設(shè)備與主機(jī)通過eSATA接口建立連接��,并按照外接串行ATA協(xié)議與主機(jī)進(jìn)行通信�,提供數(shù)據(jù)發(fā)送到eSATA定義總線和從eSATA定義總線接收數(shù)據(jù)的接口;所述存儲(chǔ)單元用于存儲(chǔ)所述信息安全設(shè)備的內(nèi)部數(shù)據(jù)����;所述權(quán)限管理單元用于根據(jù)訪問信息安全設(shè)備的用戶身份信息對(duì)其訪問權(quán)限進(jìn)行管理和控制�����;所述算法單元用于進(jìn)行加/解密運(yùn)算�;所述控制單元用于控制所述eSATA接口單元與主機(jī)間的通信�,控制所述權(quán)限管理單元對(duì)信息安全設(shè)備的訪問操作,以及對(duì)所述存儲(chǔ)單元中存儲(chǔ)的數(shù)據(jù)進(jìn)行控制和處理����。
2.如權(quán)利要求
1所述的便攜式信息安全設(shè)備����,其特征在于,所述存儲(chǔ)單元還用于存儲(chǔ)密鑰數(shù)據(jù)�����,所述密鑰數(shù)據(jù)包括數(shù)字證書�、密鑰和用戶私有數(shù)據(jù)。
3.如權(quán)利要求
1所述的便攜式信息安全設(shè)備���,其特征在于���,所述存儲(chǔ)單元還用于存儲(chǔ)用戶程序��,所述用戶程序用來(lái)實(shí)現(xiàn)用戶自定義算法的寫入和調(diào)用�����。
4.如權(quán)利要求
2所述的便攜式信息安全設(shè)備��,其特征在于��,所述算法單元根據(jù)所述密鑰數(shù)據(jù)進(jìn)行加/解密運(yùn)算�����。
5.如權(quán)利要求
1-4中任意一項(xiàng)權(quán)利要求
所述的便攜式信息安全設(shè)備�,其特征在于����,所述控制單元為安全設(shè)計(jì)芯片,所述安全設(shè)計(jì)芯片包括智能卡芯片�����。
6.如權(quán)利要求
1-4中任意一項(xiàng)權(quán)利要求
所述的便攜式信息安全設(shè)備���,其特征在于�����,所述控制單元與存儲(chǔ)單元����、權(quán)限管理單元、算法單元和eSATA接口單元中的一個(gè)或幾個(gè)集成在一顆芯片中�����。
7.如權(quán)利要求
6所述的便攜式信息安全設(shè)備����,其特征在于�����,所述芯片為安全設(shè)計(jì)芯片���,所述安全設(shè)計(jì)芯片包括智能卡芯片�。
8.如權(quán)利要求
1-4中任意一項(xiàng)權(quán)利要求
所述的便攜式信息安全設(shè)備���,其特征在于��,所述eSATA接口單元為分立的eSATA協(xié)議轉(zhuǎn)換芯片���。
專利摘要
本發(fā)明公開了一種便攜式信息安全設(shè)備�,屬于信息安全領(lǐng)域�。為了解決USB Key數(shù)據(jù)傳輸速度低,和在USB主/從傳輸協(xié)議下�,會(huì)占用較多CPU資源的問題,同時(shí)也為了滿足下一代接口技術(shù)的發(fā)展���,本發(fā)明提供了一種基于串行ATA協(xié)議的便攜式信息安全設(shè)備����,便攜式信息安全設(shè)備包括eSATA接口單元��、存儲(chǔ)單元��、權(quán)限管理單元�、算法單元和控制單元。
文檔編號(hào)G06F13/38GK1996328SQ200610169855
公開日2007年7月11日 申請(qǐng)日期2006年12月29日
發(fā)明者陸舟, 于華章 申請(qǐng)人:北京飛天誠(chéng)信科技有限公司導(dǎo)出引文BiBTeX, EndNote, RefMan