本发明专利技术公开一种固定硬件安全单元及移动硬件安全单元的协作方法,包括以下步骤:设置表征使用者身份的移动硬件安全单元;设置表征平台身份的基于计算机或其他设备的固定硬件安全单元;所述移动硬件安全单元和固定硬件安全单元创建双向通信管道;所述移动硬件安全单元和固定硬件安全单元通过唯一识别信息的交互,实现互相绑定。本发明专利技术提供一种固定硬件安全单元及移动硬件安全单元的协作方法及系统以及计算机设备,用于满足基于固定硬件安全单元的安全方案能够与保证使用者身份安全的移动硬件安全单元相结合。
【技术实现步骤摘要】
本专利技术涉及一种硬件安全系统,尤指一种固定硬件安全单元及移动硬件 安全单元的协作方法及系统,以及应用固定硬件安全单元的计算机设备。
技术介绍
现有计算机和其他设备为了保证自身设备的安全,均在其内部设置安全 芯片,在安全芯片内部载入平台证书,平台证书对外用于提供平台身份标识。 当计算机或其他设备与第三方设备相通信时,安全芯片内部的平台证书可以 为第三方设备提供计算机或其他设备自身的身份标识。现有的基于计算机和其他设备的硬件安全芯片方案可以保证平台的安全 性,但由于安全芯片本身固化在PC或其他设备上,不方便移动,这导致基于 计算机和其他设备的硬件安全芯片的解决方案只能指定某台机器实现,不方 便用户或者使用者移动使用。现有USBKey和智能卡的证书、密钥》t置在USBKey和智能卡的安全芯 片内,该安全芯片作为一个黑匣子,该安全芯片对外提供身份认证和密码学 服务功能。在典型的网银应用里,USBKey、智能卡是作为使用者的身份标识 使用。USBKey里存在一个安全芯片,且该安全芯片需要得到银行或服务器的 认证。服务器发行的电子证书被安全的下载至USBKey,电子证书中含有签章 使用的密钥。使用者与银行或服务器连接的阶段,要通过口令或其他认证手 段如指紋等确认USBKey的使用者身份,获得密钥的使用权力。在使用者向 服务器提交数据时,例如"转帐到XX帐户XX元",该信息要被USBKey的 电子证书签章,作为确认使用者操作的重要依据。同时,USBKey里的安全芯 片,还可以产生使用者密钥,用该密钥加密的数据,只能被使用者授权的该 密钥解密。现有USBKey、智能卡方案标识使用者身份存在以下两种缺陷。 1、 USBKey、智能卡方案只能对使用者身份负责,并不能对整个运行的 环境的安全性负责。从本质上,其不能避免,计算机上运行的黑客程序窃取 USBKey、智能卡的口令。在USBKey、智能卡丢失,或者口令被窃取后,不 能保证使用者身份的安全性。52、 USBKey、智能卡方案使用通常是几位的可输入字符的口令,确认使用人的身份,这在整个安全体系里,是最弱的安全因子,有可能被暴力攻击破解。 '
技术实现思路
本专利技术的目的是提供一种固定硬件安全单元及移动硬件安全单元的协作方法及系统,以及应用固定硬件安全单元的计算机设备,用于满足固定硬件安全单元的安全方案能够与保证使用者身份安全的移动硬件安全单元结合。本专利技术提供一种固定硬件安全单元及移动硬件安全单元的协作方法,所述方法包括设置表征使用者身份的移动硬件安全单元;设置表征平台身份的基于计算机或其他设备的固定硬件安全单元;所述移动硬件安全单元和固定硬件安全单元创建双向通信管道;所述移动硬件安全单元和固定硬件安全单元通过唯一识别信息的交互,实现互相绑定。优选地,所述双向通信管道通是所述移动硬件安全单元和固定硬件安全单元过密钥协商或者公钥交换的手段创建。优选地,所述通信管道由所述移动硬件安全单元和/或固定硬件安全单元更新或者废除;或,由所述通信管道根据所述移动硬件安全单元和/或固定硬件安全单元设定的条件进行更新或者废除。优选地,所述唯一识别信息的交互具体为所述移动硬件安全单元唯一识别信息发送到所述固定硬件安全单元,所述固定硬件安全单元识别和记录所述移动硬件安全单元唯一识别信息;所迷固定硬件安全单元唯一识别信息发送到所述移动硬件安全单元,所述移动硬件安全单元识别和记录所述固定硬件安全单元唯一识别信息。优选地,所述移动^5更件安全单元唯一识别信息和/或所述固定^s更件安全单元唯一识别信息通过密码学的方法处理后,再进行交互。优选地,所述移动硬件安全单元和固定硬件安全单元对需要发送的信息进行二次加密。优选地,所述移动硬件安全单元和固定硬件安全单元对需要发送的明文6进行所述移动硬件安全单元和固定硬件安全单元的二次加密;所述移动硬件安全单元和固定硬件安全单元对向需要发送的表征身份信优选地,所述移动硬件安全单元和固定硬件安全单元通过唯一识别信息的交互,实现互相绑定之后,进一步包括绑定关系确立后,所述移动硬件安全单元和固定硬件安全单元均向服务器注册,所述服务器确认所述移动硬件安全单元和固定硬件安全单元的绑定关系。优选地,所述移动硬件安全单元和固定硬件安全单元向服务器注册包括以下步骤所述移动硬件安全单元将需要向服务器注册的信息打包发送给所述固定硬件安全单元;所述固定硬件安全单元将自身的注册信息连同所述移动硬件安全单元打包后的注册信息, 一同打包发送至所述服务器。优选地,所述移动硬件安全单元和固定硬件安全单元向服务器注册包括以下步骤所述移动^_件安全单元将需要向服务器注册的信息打包发送至所述服务器;所述固定^f更件安全单元将自身的注册信息和所述移动硬件安全单元的唯一识别信息一起打包发送至所述服务器。优选地,向所述服务器发送服务请求时,所述移动硬件安全单元和固定硬件安全单元在绑定关系下共同签章,同时表征平台身份和使用者身份。优选地,所述移动硬件安全单元和固定硬件安全单元对向所述服务器发送的内容进行二次加密。本专利技术提供一种固定硬件安全单元及移动硬件安全单元的协作系统,所述系统包括移动硬件安全单元、固定硬件安全单元、通信管道创建单元以及绑定单元;所述移动^/f牛安全单元,用于表征使用者身份;所述固定硬件安全单元,基于计算机或其他设备的硬件安全单元,用于表征平台身份;所述通信管道创建单元,用于在所述移动硬件安全单元和固定硬件安全单元之间创建双向通信管道;所述绑定单元,实现所述移动硬件安全单元和固定硬件安全单元通过交互自身的唯一识别信息,进行互相绑定。优选地,所述协作系统还包括条件设定单元,和/或更新单元,和/或废除单元,所述更新单元用于对所述双向通信管道进行更新或依据所述条件设定单元设定的更新条件对所述双向通信管道进行更新;所述废除单元用于对所述双向通信管道进行废除或依据所述条件设定单元设定的废除条件对所述双向通信管道进行废除。优选地,所述协作系统还包括处理单元,用于对所述移动硬件安全单元唯一识别信息和/或所述固定^:件安全单元唯一识别信息进行密码学的方法处理。本专利技术还提供一种计算机设备,所述计算机设备包括固化在所述计算机中的固定硬件安全单元,所述固定硬件安全单元内部载入平台证书,用于表征平台身份;通信管道;所述移动硬件安全单元和固定硬件安全单元通过唯一识别信息的交互,实现互相绑定。优选地,所述协作系统还包括条件设定单元,和/或更新单元,和/或废除单元,所述条件设定单元用于设定所述双向通信管道更新或废除的条件;所述更新单元用于对所述双向通信管道进行更新或依据所述条件设定单元设定的更新条件对所述双向通信管道进行更新;所述废除单元用于对所述双向通信管道进行废除或依据所述条件设定单元设定的废除条件对所述双向通信管道进行废除。优选地,所述协作系统还包括处理单元,用于对所述移动硬件安全单元唯一识别信息和/或所述固定硬件安全单元唯一识别信息进行密码学的方法处理。与上述现有技术相比,本专利技术实施例所述固定硬件安全单元及移动硬件安全单元的协作方法,由于在移动硬件安全单元和计算机硬件安全单元之向建立了通信管道,使得移动硬件安全单元和固定硬件安全单元之间能够安全的传输文件,并且将所述移动硬件安全单元和固定硬件安全单元进行本文档来自技高网...
【技术保护点】
一种固定硬件安全单元及移动硬件安全单元的协作方法,其特征在于,所述方法包括: 设置表征使用者身份的移动硬件安全单元; 设置表征平台身份的基于计算机或其他设备的固定硬件安全单元; 所述移动硬件安全单元和固定硬件安全单元创建双 向通信管道; 所述移动硬件安全单元和固定硬件安全单元通过唯一识别信息的交互,实现互相绑定。
【技术特征摘要】
【专利技术属性】
技术研发人员:李希喆,田宏萍,谢巍,谷云,毛兴中,于辰涛,
申请(专利权)人:联想北京有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。