可信安全移动存储装置,涉及信息安全技术领域。本实用新型专利技术包括移动存储设备和与移动存储设备相互连接的可信计算设备。移动存储设备包括:访问控制单元、密码学服务单元、数据存储单元和USB接口,移动存储设备与可信计算设备以数字签名和签名认证的方式进行身份绑定,可信计算设备包括相互连接的可信应用程序、可信OS?Kernel、可信Boot?Loader、可信BIOS/EFI和可信密码模块TCM,可信密码模块TCM作为可信计算设备的可信根,基于该可信根构建可信计算环境。同现有技术相比,本实用新型专利技术将移动存储设备和可信计算设备进行身份绑定,确保移动存储设备中的数据只能在局部范围内流转,有效防止数据泄密。(*该技术在2019年保护过期,可自由使用*)
【技术实现步骤摘要】
本技术涉及信息安全
,特别是可信安全移动存储装置。
技术介绍
近年来,移动存储技术发展迅速,不论是存储容量,还是读写的速度,都达到了一个非常高的水平。目前,市场上有两种移动存储设备深受消费者喜爱,一种俗称u盘,另一种俗称移动硬盘。这两类移动存储设备为用户提供便携的数据存储方案。U盘存储容量通 常在32MB和64GB之间变化。U盘与外界的数据传输通常遵循USB 1. 1和2. 0标准,传输 速率最高可达480Mbps。由于成本和价格的影响,市售普通U盘的容量一般不会太大,通常 为几个GB左右。为了满足低成本高容量的要求,移动硬盘逐步进入市场主流。移动硬盘采 用PC机或笔记本中常用的硬盘作为主要部件,外加数据转换电路和USB接口 。由于PC或 笔记本中的硬盘技术上非常成熟,以较低的价格就能获得较高的存储容量,通常能达到几 百个GB。移动硬盘通常采用USB接口,满足了用户即插即用、便携性的要求。 现有技术中的U盘和移动硬盘由于采用USB接口 ,用户可以非常方便地在不同的 具有USB接口的设备,如PC机、笔记本电脑和PDA等上使用,这为用户提供了极大的便利性 和通用性。但是,对于对数据的安全性和保密性有特殊需求的用户,如军队、保密部门、政 府机构、企业的研发设计部门等,U盘和移动硬盘的便携性和通用性却带来了很大的安全隐 患。有的企业员工通过U盘或移动硬盘可以非常容易地将企业的某些机密数据拷出,导致 机密数据泄密。为了防止泄密,有的企业将员工的电脑中的USB接口采用某些物理手段封 锁,从而禁止用户使用U盘和移动硬盘,这会给用户的正常数据传递带来困难。因此,U盘 和移动硬盘的便携、通用性和安全、保密性互相矛盾,使得用户要么牺牲便携和通用性,要 么牺牲安全和保密性。 近年来,随着可信计算技术的发展,可信计算设备(可信PC机、可信服务器、 可信手机等)逐步走向市场。可信计算设备通过在传统计算设备中嵌入可信安全模块 (如国际上通用的TPM(TrustedPlatform Module)模块和国内自主研发的TCM(Trusted Cryptogr即hyModule)模块)作为系统的安全根来构建可信计算平台。该可信计算平台能 够对外报告自身的身份,以用于身份鉴别。但是可信计算平台与移动存储装置的安全使用, 未见技术报导。
技术实现思路
为了解决上述现有技术中存在的问题,本技术的目的是提供一种可信安全移 动存储装置。它将移动存储设备和可信计算设备进行身份绑定,确保移动存储设备中的数 据只能在局部范围内流转,有效防止数据泄密。 为了达到上述专利技术目的,本技术的技术方案以如下方式实现 可信安全移动存储装置,它包括移动存储设备和与移动存储设备相互连接的可信计算设备。其结构特点是,所述移动存储设备包括 访问控制单元,具有相互连接的对数据传输进行控制的USB数据传输协议、访问控制协议以及数字签名和认证协议,提供访问控制和数据传输控制服务,USB数据传输协议对数据传输进行控制,访问控制协议判断外部可信计算设备的访问权限,数字签名和认证协议提供签发数字证书、导入和导出数字证书、数字签名以及验证数字签名服务; 密码学服务单元,与访问控制单元相互连接提供密码学服务,包括生成真随机数的随机数生成器、摘要算法、对称加密算法、非对称加密算法以及数字签名算法和数字签名验证算法; 数据存储单元,与访问控制单元相互连接,存储数据或信息; USB接口,与访问控制单元中相互连接,为移动存储设备与外部设备通讯的接口 ; 所述移动存储设备与可信计算设备以数字签名和签名认证的方式进行身份绑定, 可信计算设备包括相互连接的可信应用程序、可信OS Kernel、可信Boot Loader、可信 BI0S/EFI和可信密码模块TCM,可信密码模块TCM作为可信计算设备的可信根,基于该可信 根构建可信计算环境。 在上述可信安全移动存储装置中,所述移动存储设备和可信计算设备之间的身份绑定是指双方分别获取对方的数字证书,并进行数字签名和签名认证,只有相互认证通过后可信计算设备才可以从移动存储设备的数据存储单元中读出或写入数据。 在上述可信安全移动存储装置中,所述一个可信计算设备能同时绑定一个或多个移动存储设备,一个移动存储设备能同时绑定一个或多个可信计算设备。 在上述可信安全移动存储装置中,所述可信应用程序中包括外部设备访问代理程序,外部设备访问代理程序通过USB接口与移动存储设备访问控制单元的USB数据传输协议相互连接。 在上述可信安全移动存储装置中,所述可信根是指可信度量根、可信报告根和可 信存储根。 在上述可信安全移动存储装置中,所述可信计算设备是指可信PC机、可信服务器 或者可信手机。 在上述可信安全移动存储装置中,所述摘要算法采用MD5算法、SHA算法或者SM3 算法;对称加密算法采用DES算法、3DES算法、IDEA算法或、SMS4算法、SSF33算法或者SCB2 算法;对称加密算法采用RSA算法或者ECC算法;数字签名算法和签名验证算法采用DSA算 法、RSA算法、ECC签名或者签名验证算法。 本技术由于采用了上述结构,将移动存储设备通过数字签名和签名认证的方 式与可信计算设备进行身份绑定。只有经过身份绑定,可信计算设备才可以对移动存储设 备中的数据存储单元进行读写操作。本技术兼顾了移动存储设备的通用移动性和安全 保密性,适用于对数据保密性要求较高的用户。 以下结合附图和具体实施方式对本技术作进一步说明。附图说明图1是本技术的结构原理示意图; 图2是本技术实施例一的移动存储设备结构示意图; 图3是本技术实施例二的移动存储设备结构示意图。具体实施方式参看图l,本技术包括移动存储设备和与移动存储设备相互连接的可信PC 机、可信服务器或者可信手机等可信计算设备。移动存储设备与可信计算设备以数字签名 和签名认证的方式进行身份绑定,这种身份绑定是指双方分别获取对方的数字证书,并进 行数字签名和签名认证,只有相互认证通过后可信计算设备才可以从移动存储设备的数据 存储单元中读出或写入数据。 一个可信计算设备能同时绑定一个或多个移动存储设备,一 个移动存储设备能同时绑定一个或多个可信计算设备。可信计算设备包括相互连接的可信 应用程序、可信0S Kernel、可信Boot Loader、可信BI0S/EFI和可信密码模块TCM。可信 密码模块TCM作为可信计算设备的可信根,基于该可信根构建可信计算环境,可信根包括 可信度量根、可信报告根和可信存储根。可信应用程序中包括外部设备访问代理程序,外部 设备访问代理程序通过USB接口与移动存储设备访问控制单元的USB数据传输协议相互连 接。移动存储设备包括 访问控制单元,包括相互连接的对数据传输进行控制的USB数据传输协议、访问 控制协议以及数字签名和认证协议,提供访问控制和数据传输控制服务,USB数据传输协议 对数据传输进行控制,访问控制协议判断外部可信计算设备的访问权限,数字签名和认证 协议提供签发数字证书、导入和导出数字证书、数字签名以及验证数字签名服务; 密码学服务单元,与访问控制单元相互连接提供密码学服务,包括生成真随机数 的随机数生成器、摘要算法、对称加密算法、非对称本文档来自技高网...
【技术保护点】
可信安全移动存储装置,它包括移动存储设备和与移动存储设备相互连接的可信计算设备,其特征在于,所述移动存储设备包括:访问控制单元,具有相互连接的对数据传输进行控制的USB数据传输协议、访问控制协议以及数字签名和认证协议,提供访问控制和数据传输控制服务,USB数据传输协议对数据传输进行控制,访问控制协议判断外部可信计算设备的访问权限,数字签名和认证协议提供签发数字证书、导入和导出数字证书、数字签名以及验证数字签名服务;密码学服务单元,与访问控制单元相互连接提供密码学服务,包括生成真随机数的随机数生成器、摘要算法、对称加密算法、非对称加密算法以及数字签名算法和数字签名验证算法;数据存储单元,与访问控制单元相互连接,存储数据或信息;USB接口,与访问控制单元中相互连接,为移动存储设备与外部设备通讯的接口;所述移动存储设备与可信计算设备以数字签名和签名认证的方式进行身份绑定,可信计算设备包括相互连接的可信应用程序、可信OSKernel、可信BootLoader、可信BIOS/EFI和可信密码模块TCM,可信密码模块TCM作为可信计算设备的可信根,基于该可信根构建可信计算环境。
【技术特征摘要】
【专利技术属性】
技术研发人员:刘锋,周培军,李康清,郑必可,
申请(专利权)人:同方股份有限公司,
类型:实用新型
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。