技術領域

本發明涉及移動加密設備技術領域，尤其是一種固化操作系統的移動加密設備及實現方法。

背景技術

原來的移動加密設備插入PC機中，通過安全模塊進行加密處理，但是移動加密設備都是采用PC機中的處理器、內存、操作系統和PC機固有的存儲設備，其不足在于：由于采用了PC機上的操作系統和PC機固有的存儲設備，在通過安全模塊進行加密處理時，會存在較大的安全隱患。

發明內容

本發明要解決上述現有技術的缺點，提供一種固化操作系統的移動加密設備及實現方法。

本發明解決其技術問題采用的技術方案：這種固化操作系統的移動加密設備，所述的移動加密設備包括安全模塊、MOD模塊和SSD模塊，其中MOD模塊和SSD模塊與FLASH模塊相連接，MOD模塊用于存儲操作系統和應用程序，SSD模塊用于存儲用戶配置文件，安全模塊用于加密確保信息的安全，移動加密設備設有與客戶PC機相插接的USB接口模塊。

所述的移動加密設備通過客戶PC機和互聯網與企業CA服務器相連接，企業CA服務器與云服務器相連接。

這種固化操作系統的移動加密設備的實現方法，該方法包括如下步驟:

（1）、將移動加密設備插入客戶PC機；

（2）、啟動基于MOD模塊中的操作系統，并調用SSD模塊中的用戶配置文件形成用戶桌面，并屏蔽客戶PC機中固有的存儲設備；

（3）、通過安全模塊與企業CA服務器建立安全的VPN。

將移動加密設備插入企業CA服務器，通過企業CA服務器進行配置各級權限、簽發員工證書和配置DOM模塊及SSD模塊的用戶配置文件。

本發明有益的效果是：由于移動加密設備采用了獨立的操作系統，并屏蔽客戶PC機中固有的存儲設備，同時通過安全模塊進行加密處理，因此，安全性大大提高，用戶只需要拿著此移動加密設備可以在任何一臺不可信任的設備環境中進行安全操作，不會出現滿泄密的問題。

附圖說明

圖1是本發明的結構示意圖。

具體實施方式

下面結合實施例對本發明作進一步說明：

如圖1所示，這種固化操作系統的移動加密設備，所述的移動加密設備包括安全模塊、MOD模塊和SSD模塊，其中MOD模塊和SSD模塊與FLASH模塊相連接，MOD模塊用于存儲操作系統和應用程序，SSD模塊用于存儲用戶配置文件，安全模塊用于加密確保信息的安全，移動加密設備設有與客戶PC機相插接的USB接口模塊。所述的移動加密設備通過客戶PC機和互聯網與企業CA服務器相連接，企業CA服務器與云服務器相連接。

這種固化操作系統的移動加密設備的實現方法，該方法包括如下步驟:

（1）、使用前，將移動加密設備插入企業CA服務器，通過企業CA服務器進行配置各級權限、簽發員工證書和配置DOM模塊及SSD模塊的用戶配置文件；用戶證書及倒入企業根證書,云盾DOM初始化并初始化SSD個人配置文件；

（2）、將移動加密設備插入客戶PC機（需要客戶PC機設置成U盤啟動）；

（3）、啟動基于MOD模塊中的操作系統，并調用SSD模塊中的用戶配置文件形成用戶桌面，并屏蔽客戶PC機中固有的存儲設備；

（4）、通過安全模塊與企業CA服務器建立安全的VPN。

通過企業CA服務器的企業員工證書實現信息加密中的密鑰使用，確保信息的保密性，通過企業CA服務器的企業員工證書實現信息簽名認證，確保信息的真實性和完整性。

本發明是基于兩對非對稱密鑰雙重加密的應用環境。

1、加密云盤客戶端進行文件本地加密保存。

2、在每個USB的加密設備上，經過用戶的初始化操作后，會生成一對非對稱密鑰，保存在內部的非易失存儲區內，它被稱作”鑒權密鑰對”。其中的私鑰不可以被導出，而公鑰匙以被導出。

3、在服務器上，有一個超級加密設備，內部包含一對超級加密非對稱密鑰。

4、本地文件加密的對稱密鑰需要經過兩道加密過程：

①先使用“鑒權密鑰對”的公鑰對對稱密鑰進行加密。

②再將加密結果發送給服務器，用服務器的超級加密公鑰進行二次加密，并返回給客戶端，作為加密文件的文件頭信息。

5、本地加密文的對稱密鑰解密也需要兩個過程：

1)客戶端先通過“鑒權密鑰對”登錄到服務器；

2)登錄成功后，客戶端將文件頭信息發送給服務器，服務器使用超級加密私鑰對文件頭解密，返回給客戶端。

3)客戶端使用“鑒權密鑰對”中的私鑰對得到的數據解密，得到對稱密鑰。