技術領域

本發明涉及一種私有信息處理裝置及系統，具體涉及一種USB嵌入式可信賴私有信息處理裝置及一種可攜帶式可信賴私有信息處理系統。

背景技術

私有信息的安全性日益成為單位、企業和個人關注的熱點安全問題。用戶總是希望能在一個可信賴的計算環境下進行敏感信息的處理，如單位公文信息處理、商務信息處理、個人理財和個人信息（如圖片、視頻和文檔）等。但在絕大多數情況下，處理私有信息的計算平臺軟硬件環境由于結構簡化，導致資源的任意使用，尤其執行代碼可修改、惡意程序可被植入，木馬、病毒、黑客等安全威脅始終存在；更為嚴重的是，對合法的用戶沒有進行嚴格的訪問控制，造成越權訪問，從而造成敏感信息泄露或關鍵數據丟失。因此，為私有信息系統提供一個安全可信賴的計算環境顯得尤為重要。

目前為計算環境安全提供的各種安全防護手段包括防火墻、入侵檢測系統、安全路由器、安全網關、殺毒軟件等。上述安全防護模式多為被動防御模式，面對層出不窮的系統攻擊方式，傳統的安全防護手段并不能從根本上解決問題，所發揮的安全效能也大打折扣。而且，僅僅依靠一種或幾種安全防護軟件無法從根本上構造可信賴的計算環境，保證私有信息系統的安全。

發明內容

本發明的目的在于克服現有安全產品被動防御模式的不足，造成處理私有信息時會面臨各種安全威脅而提供一種可攜帶式的可信賴私有信息處理系統。該系統為單位、企業或個人處理私有信息提供了可信賴的計算環境。該系統物理外形和普通的USB存儲盤相似，用戶可以在任意一臺帶有計算資源(CPU)的PC機或筆記本電腦上插入并運行該系統，就可切換到一個可信賴的計算環境，即使本人不攜帶任何電腦，也可以在其他人的計算機上放心的進行敏感的私有信息處理，不再擔心木馬、病毒的侵入和破壞，即使系統丟失也不會造成敏感信息的泄漏。

本發明采用以下技術方案：

一種可攜帶式可信賴私有信息處理系統，以USB嵌入式可信賴私有信息處理裝置作為整個系統的硬件基礎和安全支撐，以自裁剪的LINUX操作系統和私有信息處理組件作為整個系統的軟件基礎。

根據本發明的第一方面，提供一種USB嵌入式可信賴私有信息處理裝置，I???其物理組成包括：安全芯片，用于抵御物理攻擊，且具有用于與計算機USB接口連接以實現與計算機終端之間通信的USB接口；Flash存儲芯片，通過存儲器接口與安全芯片連接，以用于數據的安全存儲；以及安全COS，用于實現邏輯上的安全功能，其邏輯組成包括：啟動區，用于對計算機終端進行啟動引導；????USB智能鑰匙區，提供密碼服務及提供標準的可信密碼模塊，并用于存儲和管理密鑰以及通過口令機制實現權限管理；隱藏區，用于存儲安全管理策略和密鑰材料；加密區，用于作為加密U盤，以加密文件。

所述啟動區包含自裁剪的LINUX操作系統和私有信息處理組件。

所述可信密碼模塊包括可信度量、可信存儲以及可信報告，所述密碼服務包括基于分組算法的加解密、基于對稱算法的簽名/驗簽。

私有信息處理組件提供銀行標準智能鑰匙的密碼服務和處理私有信息的應用組件。

所述應用組件包括字處理組件、圖片處理組件、PDF閱讀器組件、瀏覽器組件和郵件客戶端組件。

所述密鑰材料包括密碼卡主控程序、密碼算法代碼和工作密鑰，所述安全管理策略包括引導啟動安全策略、端口控制策略、網絡過濾策略。

根據本發明的第二方面，提供一種可攜帶式可信賴私有信息處理系統，其基于根據本發明第一方面的所述一種USB嵌入式可信賴私有信息處理裝置以提供硬件基礎和安全支撐，基于自裁剪的LINUX操作系統和私有信息處理組件作為該系統的軟件基礎，其中設置計算機終端的BIOS，以使得該計算機終端指定以USB接口引導啟動；插入所述可攜帶式可信賴私有信息處理裝置；計算機終端開機加電；正確輸入身份保護PIN碼，所述系統釋放出所述USB嵌入式可信賴私有信息處理裝置啟動區的自裁剪LINUX操作系統，在安全COS的支持下，系統依次度量操作系統內核、系統重要進程以及私有信息處理組件的完整性，如果完整，安全引導所述自裁剪的LINUX操作系統至安全可靠的環境，使用系統提供的加密U盤功能，安全存儲私有信息，并利用提供的智能鑰匙、私有信息處理組件進行網上銀行交易以及私有文檔信息處理；如果不完整，停止引導和啟動系統。

其中，加密U盤的存儲區對用戶不可見，通過用戶認證，將加密后的用戶數據存儲于加密U盤的存儲區，并且從該存儲區導出時，需要解密。