国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種具有用戶安全子系統(tǒng)的計算機的制作方法

      文檔序號:6336512閱讀:317來源:國知局
      專利名稱:一種具有用戶安全子系統(tǒng)的計算機的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及一種具有用戶安全子系統(tǒng)的計算機,屬于計算機終端信息安全技術(shù) 領(lǐng)域。
      背景技術(shù)
      通用計算機的開放性、易用性和標(biāo)準(zhǔn)化等特點使其存在著先天性的安全設(shè)計缺 陷。目前通用計算機的安全性主要依賴于操作系統(tǒng)的用戶口令,由于口令很容易被猜 測、竊取、截獲、破譯,而且不能抵御字典式猜測攻擊,因此非法用戶很容易冒充合法 用戶進入計算機系統(tǒng)肆意進行破壞。另外,通用計算機對合法用戶也無法進行嚴(yán)格的身 份認證,導(dǎo)致內(nèi)部用戶可以越權(quán)訪問,引發(fā)信息泄露安全事故。由于內(nèi)部人員往往具有 合法的身份,在竊取或破壞信息時不易被發(fā)覺,事后也難以被發(fā)現(xiàn),因此會造成比黑客 攻擊和病毒感染更大的破壞。為了從計算機體系結(jié)構(gòu)上提高安全防護能力,Intel、微軟、IBM和HP等公司發(fā) 起成立了可信計算組織,并提出一種基于可信平臺模塊(以下簡稱TPM)的安全計算機如 圖1所示的解決方案,通過TPM安全芯片提供的身份認證、安全存儲、數(shù)據(jù)加密和數(shù)字 簽名等安全功能來增強計算機的安全防護能力。已有的TPM安全芯片由于采用LPC (Low Pin Count)少針腳型總線與計算機主板
      南橋芯片通訊,因此數(shù)據(jù)傳輸速率較低,無法實時進行文件加密/解密運算?;赥PM 的安全計算機進行文件加密/解密運算時,數(shù)據(jù)加密/解密運算仍然由主機CPU完成, 因此密鑰不得不離開安全芯片而進入計算機操作系統(tǒng)環(huán)境,容易受到黑客程序的跟蹤和 攻擊。

      發(fā)明內(nèi)容
      本發(fā)明的目的是提出一種具有用戶安全子系統(tǒng)的計算機,以解決目前安全計算 機的TPM不能實時進行文件加密、主機進行文件加密時密鑰進入計算機環(huán)境、輸入輸出 安全防護和底層身份認證等問題。本發(fā)明提出的具有用戶安全子系統(tǒng)的計算機,包括顯示器、鍵盤、鼠標(biāo)和計算 機主板,所述的計算機主板由第一中央處理器、北橋芯片、南橋芯片、第一隨機存儲器 和安全芯片,所述的北橋芯片分別與第一隨機存儲器、南橋芯片、第一隨機存儲器和顯 示器相連接,所述的安全芯片與南橋芯片相連接,所述的鍵盤和鼠標(biāo)分別與南橋芯片相 連接;還包括用戶安全子系統(tǒng),用戶安全子系統(tǒng)通過通用串行總線接口與計算機主板 進行數(shù)據(jù)通信;所述的用戶安全子系統(tǒng)包括第二中央處理器、只讀存儲器、第二隨機存 儲器、可擦寫存儲器、硬盤和通用串行總線接口 ;其中的第二中央處理器用于對第一中央處理器存儲的數(shù)據(jù)進行加密運算,得 到加密后的數(shù)據(jù);對計算機主板中的安全芯片進行身份認證;檢查計算機主板的基本輸入輸出系統(tǒng)BIOS的完整性;其中的只讀存儲器用于存儲第二中央處理器中的用戶安全子系統(tǒng)的身份信息和密鑰,只讀存儲器與第二中央處理器相連接;其中的第二隨機存儲器用于存儲第二中央處理器進行加密運算的程序及數(shù)據(jù), 第二隨機存儲器與第二中央處理器相連接;其中的硬盤用于存儲第二中央處理器的加密后數(shù)據(jù),所述的硬盤與第二中央處 理器相連接;其中的可擦寫存儲器用于存儲用戶安全子系統(tǒng)的加密算法,可擦寫存儲器與第 二中央處理器相連接。本發(fā)明提出的具有用戶安全子系統(tǒng)的計算機,其中的用戶安全子系統(tǒng)使用 USB (Universal Serial BUS)通用串行總線與計算機主機通訊,為計算機提供了獨立于主機 操作系統(tǒng)的安全運算和存儲環(huán)境,數(shù)據(jù)的加密/解密運算、密鑰的生成、使用和保存全 部在用戶安全子系統(tǒng)內(nèi)部進行,不進入計算機系統(tǒng)環(huán)境,可完全杜絕黑客程序的跟蹤和 攻擊。此外,用戶安全子系統(tǒng)也是安全計算機的重要組成部分,只有將用戶安全子系統(tǒng) 接入計算機,在BIOS底層與安全芯片相互進行高強度的身份認證后,安全計算機才能啟 動和運行。由于用戶安全子系統(tǒng)完全掌握在用戶手中,因此可確保持有安全子系統(tǒng)的授 權(quán)用戶才能使用計算機。本發(fā)明計算機中的用戶安全子系統(tǒng),具有全球唯一的64位硬件 ID號,采用密碼算法與計算機主板上的安全芯片在BIOS底層進行高強度的身份認證。 在操作系統(tǒng)載入之前就能確定用戶身份,可確保授權(quán)用戶安全使用計算機。


      圖1是已有的基于可信平臺模塊的安全計算機結(jié)構(gòu)示意圖。圖2是本發(fā)明提出的計算機的結(jié)構(gòu)框圖。圖3是本發(fā)明計算機中用戶安全子系統(tǒng)的結(jié)構(gòu)框圖。
      具體實施例方式本發(fā)明提出的具有用戶安全子系統(tǒng)的計算機,其結(jié)構(gòu)框圖如圖2所示,包括顯 示器、鍵盤、鼠標(biāo)和計算機主板,所述的計算機主板由第一中央處理器、北橋芯片、南 橋芯片、第一隨機存儲器和安全芯片,所述的北橋芯片分別與第一隨機存儲器、南橋芯 片、第一隨機存儲器和顯示器相連接,所述的安全芯片與南橋芯片相連接,所述的鍵盤 和鼠標(biāo)分別與南橋芯片相連接;還包括用戶安全子系統(tǒng),其結(jié)構(gòu)框圖如圖3所示,用戶安全子系統(tǒng)通過通用串 行總線接口與計算機主板進行數(shù)據(jù)通信;所述的用戶安全子系統(tǒng)包括第二中央處理器、 只讀存儲器、第二隨機存儲器、可擦寫存儲器、硬盤和通用串行總線接口;所述的第二中央處理器用于對第一中央處理器存儲的數(shù)據(jù)進行加密運算,得 到加密后數(shù)據(jù);對計算機主板中的安全芯片進行身份認證;檢查計算機主板的基本輸 入、輸出系統(tǒng)的完整性;所述的只讀存儲器用于存儲第二中央處理器中的用戶安全子系統(tǒng)的身份信息和 密鑰,只讀存儲器與第二中央處理器相連接;
      所述的第二隨機存儲器用于存儲第二中央處理器進行加密運算的程序及數(shù)據(jù), 第二隨機存儲器與第二中央處理器相連接;所述的硬盤 用于存儲第二中央處理器的加密后數(shù)據(jù),所述的硬盤與第二中央處 理器相連接;所述的可擦寫存儲器用于存儲用戶安全子系統(tǒng)的加密算法,可擦寫存儲器與第 二中央處理器相連接。本發(fā)明計算機中的用戶安全子系統(tǒng),是一個封閉的嵌入式計算機系統(tǒng),可完成 對稱或非對稱密碼算法的身份認證、加密/解密運算。數(shù)據(jù)加密運算和存儲全部在安全 子系統(tǒng)內(nèi)部進行,不進入計算機環(huán)境,完全杜絕黑客程序的跟蹤和攻擊。密鑰以密文形 式存放在安全子系統(tǒng)內(nèi)的只讀存儲器ROM中,安全子系統(tǒng)的嵌入式軟件系統(tǒng)安全管理模 塊可有效防止攻擊者利用軟件方式竊取或篡改安全子系統(tǒng)中的機密信息,使非法用戶無 法復(fù)制或偽造安全子系統(tǒng)。計算機加電啟動后,安全BIOS程序首先對用戶進行初步的身份認證,用戶輸入 正確的口令密碼后,安全BIOS程序檢測用戶安全子系統(tǒng),并利用安全芯片和用戶安全子 系統(tǒng)提供的高強度密碼算法相互進行身份認證。BIOS層的硬件身份認證完成后,用戶安全子系統(tǒng)根據(jù)存儲在子系統(tǒng)內(nèi)部的 BIOS鏡像文件,對計算機BIOS程序文件進行檢測,判斷BIOS文件是否被惡意更改。BIOS文件檢測完成后,BIOS根據(jù)安全子系統(tǒng)的用戶權(quán)限信息對I/O接口進行初 始化,對相應(yīng)的網(wǎng)絡(luò)接口、USB接口進行開啟或禁止操作,然后啟動計算機系統(tǒng),引導(dǎo) 操作系統(tǒng)加載。從計算機系統(tǒng)開機起,只有接入授權(quán)的用戶安全子系統(tǒng),系統(tǒng)才能正常工作。 當(dāng)用戶在使用過程中將安全子系統(tǒng)拔出時,系統(tǒng)自動掛起,同時關(guān)閉所有I/O端口。本發(fā)明的計算機中,安全子系統(tǒng)中的第二中央處理器采用ARM公司的ARMll 嵌入式處理器,第二隨機存儲器采用Kingsont公司的DDRl IG內(nèi)存,只讀存儲器采用 WINBOND公司的29C0404M芯片,可擦寫只讀存儲器采用Intel公司的27512芯片,通用 串行接口采用CYPRESS公司的CY7C68001通用USB2.0接口控制器,硬盤與第二中央處 理器的接口采用Silicon Image公司的3112A控制器芯片,硬盤采用Seagate公司的500GB 筆記本硬盤。本發(fā)明安全計算機的工作原理是計算機加電啟動后,計算機主板安全BIOS程序模塊首先對用戶進行身份認證, 提示用戶輸入用戶名和PIN碼。用戶輸入正確的口令密碼后,安全BIOS程序檢測計算機 系統(tǒng)中是否接入用戶安全子系統(tǒng),并使用安全芯片提供的2048位RSA數(shù)字簽名密碼算法 對用戶安全子系統(tǒng)進行高強度身份認證。用戶安全子系統(tǒng)同時也使用2048位的RSA數(shù) 字簽名密碼算法對安全芯片進行高強度身份認證,在BIOS進行操作系統(tǒng)引導(dǎo)之前就進行 授權(quán)用戶和硬件的身份識別,可確保用戶、用戶安全子系統(tǒng)和計算機三者的合法性。用戶、用戶安全子系統(tǒng)和計算機三者之間的身份認證通過后,用戶安全子系統(tǒng) 根據(jù)存儲在子系統(tǒng)內(nèi)部的BIOS鏡像文件,對計算機BIOS程序文件進行檢測對比,判斷 BIOS文件是否被惡意更改,防止因BIOS受到惡意破壞而直接導(dǎo)致的硬件系統(tǒng)癱瘓。BIOS文件檢測通過后,BIOS根據(jù)安全子系統(tǒng)的用戶權(quán)限信息對I/O接口進行初始化,在操作系統(tǒng)啟動之前實現(xiàn)對計算機I/O輸入輸出接口的接管,對相應(yīng)的網(wǎng)絡(luò)接 口、USB接口進行開啟或禁止操作,然后啟動計算機系統(tǒng),引導(dǎo)操作系統(tǒng)加載。用戶將重要文件存入安全子系統(tǒng)時,安全子系統(tǒng)對數(shù)據(jù)進行加密處理后再存儲 到硬盤上。密鑰以密文形式存放在安全子系統(tǒng)內(nèi)的只讀存儲器ROM中,數(shù)據(jù)的加密運算 和存儲全部在安全子系統(tǒng)內(nèi)部進行,不進入計算機環(huán)境,可完全杜絕黑客程序的跟蹤和 攻擊。安全子系統(tǒng)的嵌入式軟件系統(tǒng)安全管理模塊可防止攻擊者利用軟件方式竊取或篡 改安全子系統(tǒng)中的機密信息,使非法用戶無法復(fù)制或偽造安全子系統(tǒng)。從計算機系統(tǒng)開機起,只有接入授權(quán)的用戶安全子系統(tǒng),系統(tǒng)才能正常工作。 當(dāng)用戶在使用過程中將安全子系統(tǒng)拔出時,系統(tǒng)自動掛起,同時關(guān)閉所有I/O端口。綜上所述,本發(fā)明在設(shè)計上對安全計算機進行了創(chuàng)新,不僅給安全計算機增加 了完全封閉的用戶安全子系統(tǒng),使文件的加密和存儲全部在安全子系統(tǒng)內(nèi)部進行,不進 入計算機環(huán)境,完全杜絕黑客程序的跟蹤和攻擊。另外,用戶安全子系統(tǒng)也是標(biāo)識用戶 身份的身份認證工具,在BIOS層與計算機安全芯片相互進行身份識別,可確保用戶、用 戶安全子系統(tǒng)和計算機三者的合法性,確保授權(quán)用戶安全訪問計算機機密信息,提高安 全計算機的安全防護級別。
      權(quán)利要求
      1. 一種具有用戶安全子系統(tǒng)的計算機,包括顯示器、鍵盤、鼠標(biāo)和計算機主板, 所述的計算機主板由第一中央處理器、北橋芯片、南橋芯片、第一隨機存儲器和安全芯 片,所述的北橋芯片分別與第一隨機存儲器、南橋芯片、第一隨機存儲器和顯示器相連 接,所述的安全芯片與南橋芯片相連接,所述的鍵盤和鼠標(biāo)分別與南橋芯片相連接;其特征在于還包括用戶安全子系統(tǒng),用戶安全子系統(tǒng)通過通用串行總線接口與計算 機主板進行數(shù)據(jù)通信;所述的用戶安全子系統(tǒng)包括第二中央處理器、只讀存儲器、第二 隨機存儲器、可擦寫存儲器、硬盤和通用串行總線接口 ;所述的第二中央處理器用于對第一中央處理器存儲到安全子系統(tǒng)硬盤的數(shù)據(jù)進行 加密運算,得到加密后數(shù)據(jù);對計算機主板中的安全芯片進行身份認證;檢查計算機主 板的基本輸入輸出系統(tǒng)的完整性;所述的只讀存儲器用于存儲第二中央處理器中的用戶安全子系統(tǒng)的身份信息和密 鑰,只讀存儲器與第二中央處理器相連接;所述的第二隨機存儲器用于存儲第二中央處理器進行加密運算的程序及數(shù)據(jù),第二 隨機存儲器與第二中央處理器相連接;所述的硬盤用于存儲第二中央處理器的加密后數(shù)據(jù),所述的硬盤與第二中央處理器 相連接;所述的可擦寫存儲器用于存儲用戶安全子系統(tǒng)的加密算法,可擦寫存儲器與第二中 央處理器相連接。
      全文摘要
      本發(fā)明涉及一種具有用戶安全子系統(tǒng)的計算機,屬于計算機終端信息安全技術(shù)領(lǐng)域。包括計算機主板和用戶安全子系統(tǒng),用戶安全子系統(tǒng)通過通用串行總線接口與計算機主板進行數(shù)據(jù)通信。用戶安全子系統(tǒng)中的第二中央處理器對計算機主板的數(shù)據(jù)進行加密運算,對安全芯片進行身份認證;檢查計算機主板的基本輸入輸出系統(tǒng)的完整性;只存儲器存儲身份信息和密鑰,第二隨機存儲器存儲加密運算的程序及數(shù)據(jù),硬盤存儲加密后的數(shù)據(jù),可擦寫存儲器存儲加密算法。本發(fā)明計算機可確保用戶、用戶安全子系統(tǒng)和計算機三者的合法性,提高安全計算機的安全防護級別。
      文檔編號G06F21/20GK102024115SQ201010554539
      公開日2011年4月20日 申請日期2010年11月19日 優(yōu)先權(quán)日2010年11月19日
      發(fā)明者王慶, 高宏 申請人:紫光股份有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1