本发明专利技术涉及一种具有用户安全子系统的计算机,属于计算机终端信息安全技术领域。包括计算机主板和用户安全子系统,用户安全子系统通过通用串行总线接口与计算机主板进行数据通信。用户安全子系统中的第二中央处理器对计算机主板的数据进行加密运算,对安全芯片进行身份认证;检查计算机主板的基本输入输出系统的完整性;只存储器存储身份信息和密钥,第二随机存储器存储加密运算的程序及数据,硬盘存储加密后的数据,可擦写存储器存储加密算法。本发明专利技术计算机可确保用户、用户安全子系统和计算机三者的合法性,提高安全计算机的安全防护级别。
【技术实现步骤摘要】
本专利技术涉及一种具有用户安全子系统的计算机,属于计算机终端信息安全技术 领域。
技术介绍
通用计算机的开放性、易用性和标准化等特点使其存在着先天性的安全设计缺 陷。目前通用计算机的安全性主要依赖于操作系统的用户口令,由于口令很容易被猜 测、窃取、截获、破译,而且不能抵御字典式猜测攻击,因此非法用户很容易冒充合法 用户进入计算机系统肆意进行破坏。另外,通用计算机对合法用户也无法进行严格的身 份认证,导致内部用户可以越权访问,引发信息泄露安全事故。由于内部人员往往具有 合法的身份,在窃取或破坏信息时不易被发觉,事后也难以被发现,因此会造成比黑客 攻击和病毒感染更大的破坏。为了从计算机体系结构上提高安全防护能力,Intel、微软、IBM和HP等公司发 起成立了可信计算组织,并提出一种基于可信平台模块(以下简称TPM)的安全计算机如 图1所示的解决方案,通过TPM安全芯片提供的身份认证、安全存储、数据加密和数字 签名等安全功能来增强计算机的安全防护能力。已有的TPM安全芯片由于采用LPC (Low Pin Count)少针脚型总线与计算机主板南桥芯片通讯,因此数据传输速率较低,无法实时进行文件加密/解密运算。基于TPM 的安全计算机进行文件加密/解密运算时,数据加密/解密运算仍然由主机CPU完成, 因此密钥不得不离开安全芯片而进入计算机操作系统环境,容易受到黑客程序的跟踪和 攻击。
技术实现思路
本专利技术的目的是提出一种具有用户安全子系统的计算机,以解决目前安全计算 机的TPM不能实时进行文件加密、主机进行文件加密时密钥进入计算机环境、输入输出 安全防护和底层身份认证等问题。本专利技术提出的具有用户安全子系统的计算机,包括显示器、键盘、鼠标和计算 机主板,所述的计算机主板由第一中央处理器、北桥芯片、南桥芯片、第一随机存储器 和安全芯片,所述的北桥芯片分别与第一随机存储器、南桥芯片、第一随机存储器和显 示器相连接,所述的安全芯片与南桥芯片相连接,所述的键盘和鼠标分别与南桥芯片相 连接;还包括用户安全子系统,用户安全子系统通过通用串行总线接口与计算机主板 进行数据通信;所述的用户安全子系统包括第二中央处理器、只读存储器、第二随机存 储器、可擦写存储器、硬盘和通用串行总线接口 ;其中的第二中央处理器用于对第一中央处理器存储的数据进行加密运算,得 到加密后的数据;对计算机主板中的安全芯片进行身份认证;检查计算机主板的基本输入输出系统BIOS的完整性;其中的只读存储器用于存储第二中央处理器中的用户安全子系统的身份信息和密钥,只读存储器与第二中央处理器相连接;其中的第二随机存储器用于存储第二中央处理器进行加密运算的程序及数据, 第二随机存储器与第二中央处理器相连接;其中的硬盘用于存储第二中央处理器的加密后数据,所述的硬盘与第二中央处 理器相连接;其中的可擦写存储器用于存储用户安全子系统的加密算法,可擦写存储器与第 二中央处理器相连接。本专利技术提出的具有用户安全子系统的计算机,其中的用户安全子系统使用 USB (Universal Serial BUS)通用串行总线与计算机主机通讯,为计算机提供了独立于主机 操作系统的安全运算和存储环境,数据的加密/解密运算、密钥的生成、使用和保存全 部在用户安全子系统内部进行,不进入计算机系统环境,可完全杜绝黑客程序的跟踪和 攻击。此外,用户安全子系统也是安全计算机的重要组成部分,只有将用户安全子系统 接入计算机,在BIOS底层与安全芯片相互进行高强度的身份认证后,安全计算机才能启 动和运行。由于用户安全子系统完全掌握在用户手中,因此可确保持有安全子系统的授 权用户才能使用计算机。本专利技术计算机中的用户安全子系统,具有全球唯一的64位硬件 ID号,采用密码算法与计算机主板上的安全芯片在BIOS底层进行高强度的身份认证。 在操作系统载入之前就能确定用户身份,可确保授权用户安全使用计算机。附图说明图1是已有的基于可信平台模块的安全计算机结构示意图。图2是本专利技术提出的计算机的结构框图。图3是本专利技术计算机中用户安全子系统的结构框图。具体实施例方式本专利技术提出的具有用户安全子系统的计算机,其结构框图如图2所示,包括显 示器、键盘、鼠标和计算机主板,所述的计算机主板由第一中央处理器、北桥芯片、南 桥芯片、第一随机存储器和安全芯片,所述的北桥芯片分别与第一随机存储器、南桥芯 片、第一随机存储器和显示器相连接,所述的安全芯片与南桥芯片相连接,所述的键盘 和鼠标分别与南桥芯片相连接;还包括用户安全子系统,其结构框图如图3所示,用户安全子系统通过通用串 行总线接口与计算机主板进行数据通信;所述的用户安全子系统包括第二中央处理器、 只读存储器、第二随机存储器、可擦写存储器、硬盘和通用串行总线接口;所述的第二中央处理器用于对第一中央处理器存储的数据进行加密运算,得 到加密后数据;对计算机主板中的安全芯片进行身份认证;检查计算机主板的基本输 入、输出系统的完整性;所述的只读存储器用于存储第二中央处理器中的用户安全子系统的身份信息和 密钥,只读存储器与第二中央处理器相连接;所述的第二随机存储器用于存储第二中央处理器进行加密运算的程序及数据, 第二随机存储器与第二中央处理器相连接;所述的硬盘 用于存储第二中央处理器的加密后数据,所述的硬盘与第二中央处 理器相连接;所述的可擦写存储器用于存储用户安全子系统的加密算法,可擦写存储器与第 二中央处理器相连接。本专利技术计算机中的用户安全子系统,是一个封闭的嵌入式计算机系统,可完成 对称或非对称密码算法的身份认证、加密/解密运算。数据加密运算和存储全部在安全 子系统内部进行,不进入计算机环境,完全杜绝黑客程序的跟踪和攻击。密钥以密文形 式存放在安全子系统内的只读存储器ROM中,安全子系统的嵌入式软件系统安全管理模 块可有效防止攻击者利用软件方式窃取或篡改安全子系统中的机密信息,使非法用户无 法复制或伪造安全子系统。计算机加电启动后,安全BIOS程序首先对用户进行初步的身份认证,用户输入 正确的口令密码后,安全BIOS程序检测用户安全子系统,并利用安全芯片和用户安全子 系统提供的高强度密码算法相互进行身份认证。BIOS层的硬件身份认证完成后,用户安全子系统根据存储在子系统内部的 BIOS镜像文件,对计算机BIOS程序文件进行检测,判断BIOS文件是否被恶意更改。BIOS文件检测完成后,BIOS根据安全子系统的用户权限信息对I/O接口进行初 始化,对相应的网络接口、USB接口进行开启或禁止操作,然后启动计算机系统,引导 操作系统加载。从计算机系统开机起,只有接入授权的用户安全子系统,系统才能正常工作。 当用户在使用过程中将安全子系统拔出时,系统自动挂起,同时关闭所有I/O端口。本专利技术的计算机中,安全子系统中的第二中央处理器采用ARM公司的ARMll 嵌入式处理器,第二随机存储器采用Kingsont公司的DDRl IG内存,只读存储器采用 WINBOND公司的29C0404M芯片,可擦写只读存储器采用Intel公司的27512芯片,通用 串行接口采用CYPRESS公司的CY7C68001通用USB2.0接口控制器,硬盘与第二中央处 理器的接口采用Silicon Image公司的3112A本文档来自技高网...
【技术保护点】
一种具有用户安全子系统的计算机,包括显示器、键盘、鼠标和计算机主板,所述的计算机主板由第一中央处理器、北桥芯片、南桥芯片、第一随机存储器和安全芯片,所述的北桥芯片分别与第一随机存储器、南桥芯片、第一随机存储器和显示器相连接,所述的安全芯片与南桥芯片相连接,所述的键盘和鼠标分别与南桥芯片相连接;其特征在于还包括用户安全子系统,用户安全子系统通过通用串行总线接口与计算机主板进行数据通信;所述的用户安全子系统包括第二中央处理器、只读存储器、第二随机存储器、可擦写存储器、硬盘和通用串行总线接口;所述的第二中央处理器用于:对第一中央处理器存储到安全子系统硬盘的数据进行加密运算,得到加密后数据;对计算机主板中的安全芯片进行身份认证;检查计算机主板的基本输入输出系统的完整性;所述的只读存储器用于存储第二中央处理器中的用户安全子系统的身份信息和密钥,只读存储器与第二中央处理器相连接;所述的第二随机存储器用于存储第二中央处理器进行加密运算的程序及数据,第二随机存储器与第二中央处理器相连接;所述的硬盘用于存储第二中央处理器的加密后数据,所述的硬盘与第二中央处理器相连接;所述的可擦写存储器用于存储用户安全子系统的加密算法,可擦写存储器与第二中央处理器相连接。...
【技术特征摘要】
【专利技术属性】
技术研发人员:高宏,王庆,
申请(专利权)人:紫光股份有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。