專利名稱:提高信息安全裝置安全性的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域�����,特別涉及一種提高信息安全裝置安全性的方法及系統(tǒng)���。
技術(shù)背景近幾年���,隨著互聯(lián)網(wǎng)技術(shù)與電子商務(wù)的快速發(fā)展,越來(lái)越多的商務(wù)活動(dòng)轉(zhuǎn)移到網(wǎng)絡(luò)上開 展��,例如網(wǎng)上政府辦公���、網(wǎng)上銀行和網(wǎng)上購(gòu)物等等�。與此同時(shí)�,越來(lái)越多涉及個(gè)人隱私和 商業(yè)秘密的信息需要通過(guò)網(wǎng)絡(luò)來(lái)進(jìn)行傳遞,然而病毒��、黑客以及網(wǎng)頁(yè)仿冒詐騙等惡意威脅�, 給在線交易的安全性帶來(lái)了極大的挑戰(zhàn)�,致使網(wǎng)絡(luò)安全問(wèn)題變得舉足輕重���。信息安全裝置(簡(jiǎn)稱"裝置")是一種帶有處理器和存儲(chǔ)器的小型硬件設(shè)備��,它通過(guò)計(jì)算 機(jī)的數(shù)據(jù)通訊接口與主機(jī)連接����。它具有密鑰生成���、安全存儲(chǔ)密鑰���、預(yù)置加密算法等功能����。信 息安全裝置與密鑰相關(guān)的運(yùn)算完全在裝置內(nèi)部運(yùn)行,而且信息安全裝置具有抗攻擊的特性�, 安全性極高。信息安全裝置生產(chǎn)商��、軟件系統(tǒng)開發(fā)商或者最終用戶可以將一些重要信息存儲(chǔ) 到信息安全裝置中��,用以保證安全性或者防止遺忘����。目前�����,較高端的信息安全裝置是可編程 的�,即可以實(shí)現(xiàn)在信息安全裝置中運(yùn)行預(yù)先存入其中的代碼�。信息安全操作包括數(shù)據(jù)交互, 如對(duì)寫入的數(shù)據(jù)在信息安全裝置中進(jìn)行加密或?qū)ψx取的數(shù)據(jù)在信息安全裝置內(nèi)進(jìn)行解密�;身 份認(rèn)證信息處理,如存儲(chǔ)/驗(yàn)證密碼信息���、存儲(chǔ)/驗(yàn)證簽名�����、存儲(chǔ)/驗(yàn)證證書���、權(quán)限管理;預(yù)置 代碼進(jìn)行數(shù)據(jù)運(yùn)算�,如預(yù)置不能被讀出信息安全裝置并在其內(nèi)部運(yùn)行進(jìn)行數(shù)據(jù)運(yùn)算的用戶軟 件部分片斷、預(yù)置軟件保護(hù)應(yīng)用接口函數(shù)(信息安全裝置和軟件開發(fā)商應(yīng)用之間的接口級(jí)函 數(shù))等等�。通常信息安全裝置中會(huì)內(nèi)置安全設(shè)計(jì)芯片來(lái)實(shí)現(xiàn)信息安全功能。安全設(shè)計(jì)芯片除了具有 通用嵌入式微控制器的各種特性外�����,在芯片設(shè)計(jì)時(shí)會(huì)針對(duì)安全性能方面在結(jié)構(gòu)上做一些特殊 處理,例如采用特定的安全內(nèi)核��,該安全內(nèi)核能夠支持多個(gè)擁有不同權(quán)限定義的狀態(tài)���,用 于實(shí)現(xiàn)對(duì)硬件資源訪問(wèn)權(quán)限的管理���;或者支持指令執(zhí)行時(shí)間的隨機(jī)化;或者采用能夠?qū)崿F(xiàn)支 持芯片狀態(tài)轉(zhuǎn)換的中斷系統(tǒng)��,從而實(shí)現(xiàn)對(duì)不同層次的安全級(jí)別的控制����,以支持多應(yīng)用的實(shí)現(xiàn); 或者帶有MMU (Memory ManagementUnit-存儲(chǔ)器管理單元)��,用于實(shí)現(xiàn)邏輯地址�����、物理地址 的隔離和地址映射�,從體系結(jié)構(gòu)上支持多應(yīng)用、安全性的設(shè)計(jì)實(shí)現(xiàn)����,與內(nèi)核支持的不同狀態(tài)
一起有機(jī)地組成一個(gè)硬件防火墻����;或者采用能支持系統(tǒng)數(shù)據(jù)庫(kù)與用戶程序的接口及權(quán)限傳遞 和切換的中斷系統(tǒng)�����;或者采用非易失性存儲(chǔ)介質(zhì)等等�。在現(xiàn)有技術(shù)中,信息安全裝置可以與任何一臺(tái)裝有驅(qū)動(dòng)程序的計(jì)算機(jī)或其他設(shè)備連接后 使用����。但是,這在一定程度上也增加了裝置中存儲(chǔ)的敏感信息泄露和裝置被非法使用等方面 的風(fēng)險(xiǎn)���,形成了一定的安全漏洞�����。發(fā)明內(nèi)容為了使信息安全裝置具有更高的安全性�,本發(fā)明提供了一種提高信息安全裝置安全性的 方法����,所述方法包括可連接外設(shè)的預(yù)定目標(biāo)設(shè)備使用預(yù)先安裝的監(jiān)控程序檢查相連接的信息安全裝置是否存 儲(chǔ)有特征值��,如果沒有�����,則所述監(jiān)控程序?qū)⑺鲱A(yù)定目標(biāo)設(shè)備的特征值寫入所述信息安全裝 置���,并允許操作所述信息安全裝置,否則檢查所述預(yù)定目標(biāo)設(shè)備的特征值與所述信息安全裝 置內(nèi)存儲(chǔ)的特征值是否相同�����,如果相同�����,則允許操作所述信息安全裝置�����,否則禁止操作所述 信息安全裝置���。所述監(jiān)控程序?qū)⑺鲱A(yù)定目標(biāo)設(shè)備的特征值寫入所述信息安全裝置的步驟具體包括 所述信息安全裝置聲明自身為移動(dòng)存儲(chǔ)設(shè)備; 自動(dòng)啟動(dòng)所述信息安全裝置中的自動(dòng)運(yùn)行程序; 所述自動(dòng)運(yùn)行程序啟動(dòng)所述監(jiān)控程序�����;所述監(jiān)控程序?qū)⑺鲱A(yù)定目標(biāo)設(shè)備的特征值寫入所述信息安全裝置����。所述可連接外設(shè)的預(yù)定目標(biāo)設(shè)備使用預(yù)先安裝的監(jiān)控程序檢査相連接的信息安全裝置是 否存儲(chǔ)有特征值的步驟之前還包括在將信息安全裝置連接到預(yù)定目標(biāo)設(shè)備之前,將特征值 寫入信息安全裝置中��。所述檢查所述預(yù)定目標(biāo)設(shè)備的特征值與所述信息安全裝置內(nèi)存儲(chǔ)的特征值是否相同的步 驟具體為所述監(jiān)控程序獲取所述預(yù)定目標(biāo)設(shè)備的特征值和所述信息安全裝置內(nèi)存儲(chǔ)的特征 值����,比對(duì)兩個(gè)特征值是否相同。所述檢查所述預(yù)定目標(biāo)設(shè)備的特征值與所述信息安全裝置內(nèi)存儲(chǔ)的特征值是否相同的步 驟具體包括-所述監(jiān)控程序獲取所述預(yù)定目標(biāo)設(shè)備的特征值�,并將所述預(yù)定目標(biāo)設(shè)備的特征值發(fā)送給 所述信息安全裝置;所述信息安全裝置比對(duì)接收到的特征值與自身存儲(chǔ)的特征值是否相同�。
所述預(yù)定目標(biāo)設(shè)備的特征值和所述信息安全裝置內(nèi)存儲(chǔ)的特征值是可變的。 所述預(yù)定目標(biāo)設(shè)備存儲(chǔ)日志信息��。 所述預(yù)定目標(biāo)設(shè)備具體為計(jì)算機(jī)���、PDA或智能手機(jī)��。所述信息安全裝置通過(guò)USB接口���、串行ATA接口�、藍(lán)牙無(wú)線接口�����、紅外接口或RF射頻 接口與所述預(yù)定目標(biāo)設(shè)備連接��。本發(fā)明還提供了一種提高信息安全裝置安全性的系統(tǒng)���,所述系統(tǒng)包括信息安全裝置����、預(yù) 定目標(biāo)設(shè)備和比對(duì)模塊��;所述預(yù)定目標(biāo)設(shè)備包括獲取模塊��、寫入模塊和檢査模塊�;所述信息 安全裝置包括存儲(chǔ)模塊;所述獲取模塊用于獲取所述預(yù)定目標(biāo)設(shè)備的特征值��,并將所述預(yù)定目標(biāo)設(shè)備的特征值發(fā) 送給所述寫入模塊����;所述檢查模塊用于在所述信息安全裝置與預(yù)定目標(biāo)設(shè)備建立連接后���,檢查所述存儲(chǔ)模塊 是否存儲(chǔ)有特征值�,并將檢査結(jié)果發(fā)送給所述寫入模塊和比對(duì)模塊;所述寫入模塊用于存儲(chǔ)接收到的所述預(yù)定目標(biāo)設(shè)備的特征值�,并在接收到所述檢査模塊 發(fā)送的所述存儲(chǔ)模塊沒有所述特征值的檢查結(jié)果后,將所述預(yù)定目標(biāo)設(shè)備的特征值寫入到所 述存儲(chǔ)模塊中�;所述比對(duì)模塊用于接收到所述檢査模塊發(fā)送的所述存儲(chǔ)模塊含有所述特征值的檢查結(jié)果 后,比對(duì)所述寫入模塊存儲(chǔ)的所述預(yù)定目標(biāo)設(shè)備的特征值與所述存儲(chǔ)模塊中存儲(chǔ)的特征值是 否相同���;所述存儲(chǔ)模塊用于存儲(chǔ)預(yù)定目標(biāo)設(shè)備的特征值�����。所述系統(tǒng)還包括預(yù)先寫入模塊��,所述預(yù)先寫入模塊用于從預(yù)先存儲(chǔ)了至少一個(gè)預(yù)定目標(biāo) 設(shè)備的特征值的計(jì)算機(jī)中選擇出一個(gè)特征值�,并將其寫入到所述存儲(chǔ)模塊中�����。 所述比對(duì)模塊包括捕獲單元和比對(duì)單元所述捕獲單元用于捕獲出所述寫入模塊中存儲(chǔ)的預(yù)定目標(biāo)設(shè)備的特征值和存儲(chǔ)模塊中存 儲(chǔ)的特征值���,并發(fā)送給所述比對(duì)單元�����;所述比對(duì)單元用于對(duì)接收到的所述捕獲單元捕獲的特征值進(jìn)行比對(duì)���,如果相同�����,則允許 操作所述信息安全裝置�,否則禁止操作所述信息安全裝置���。所述比對(duì)模塊包括索取單元�、提取單元和比對(duì)單元����;所述索取單元用于索取所述存儲(chǔ)模塊中存儲(chǔ)的特征值,并發(fā)送給所述比對(duì)單元�����; 所述提取單元用于提取出所述寫入模塊存儲(chǔ)的預(yù)定目標(biāo)設(shè)備的特征值���,并發(fā)送給所述比 對(duì)單元�����;
所述比對(duì)單元用于對(duì)接收到的所述索取單元索取的特征值和所述提取單元提取的特征值 進(jìn)行比對(duì)��,如果相同�,則允許操作所述信息安全裝置�����,否則禁止操作所述信息安全裝置���。有益效果本發(fā)明通過(guò)將信息安全裝置與特定設(shè)備綁定�,使信息安全裝置只能與綁定的 設(shè)備結(jié)合使用�,從而進(jìn)一步提高了信息安全裝置的安全性,降低了敏感信息泄露和裝置被濫 用的風(fēng)險(xiǎn)���。
圖1是本發(fā)明實(shí)施例1提供的提高信息安全裝置安全性的方法流程圖��; 圖2是本發(fā)明實(shí)施例2提供的提高信息安全裝置安全性的方法流程圖�����; 圖3是本發(fā)明實(shí)施例3提供的提高信息安全裝置安全性的方法流程圖����; 圖4是本發(fā)明實(shí)施例4提供的提高信息安全裝置安全性的方法流程圖; 圖5是本發(fā)明實(shí)施例5提供的提高信息安全裝置安全性的系統(tǒng)結(jié)構(gòu)示意圖�����; 圖6是本發(fā)明實(shí)施例6提供的提高信息安全裝置安全性的系統(tǒng)結(jié)構(gòu)示意圖���。
具體實(shí)施方式
為使本發(fā)明的目的���、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對(duì)本發(fā)明實(shí)施方式作進(jìn) 一步地詳細(xì)描述�����。本發(fā)明提供的提高信息安全裝置安全性的方法�����,可以應(yīng)用于可連接外設(shè)的設(shè)備����,例如計(jì)算機(jī)、PDA (Personal Digital Assistant-個(gè)人數(shù)字助理)、智能手機(jī)等�����,為了更加清楚地描述 本發(fā)明所提供的技術(shù)方案�,下面實(shí)施例選用的可連接外設(shè)的設(shè)備具體為計(jì)算機(jī)。計(jì)算機(jī)包括 臺(tái)式電腦����、筆記本電腦�����、服務(wù)器或?qū)S脵C(jī)等�。計(jì)算機(jī)的特征值是能表明計(jì)算機(jī)唯一性的標(biāo)識(shí), 它可以是計(jì)算機(jī)的屬性信息����,例如硬盤序列號(hào)、主板序列號(hào)����、CPU序列號(hào)、操作系統(tǒng)序列號(hào) 或網(wǎng)卡序列號(hào)等�����,還可以是由計(jì)算機(jī)的屬性信息和唯一性信息(例如時(shí)間信息、日期信息等) 組合生成的信息���。信息安全裝置必須是其所連接的計(jì)算機(jī)等設(shè)備認(rèn)可的設(shè)備(如連接的計(jì)算 機(jī)系統(tǒng)中存儲(chǔ)著信息安全裝置的生產(chǎn)廠商標(biāo)志或產(chǎn)品序列號(hào)等信息)�,信息安全裝置才能和計(jì) 算機(jī)等目標(biāo)設(shè)備進(jìn)行綁定�����。綁定信息安全裝置與預(yù)定目標(biāo)計(jì)算機(jī)����,具體可以通過(guò)將預(yù)定目標(biāo) 計(jì)算機(jī)的特征值寫入信息安全裝置來(lái)實(shí)現(xiàn)。 實(shí)施例1參見圖l��,本發(fā)明提供的一種提高信息安全裝置安全性的方法��,具體包括以下步驟 步驟101:預(yù)先在預(yù)定目標(biāo)計(jì)算機(jī)上安裝監(jiān)控程序�����;
監(jiān)控程序是指一個(gè)在計(jì)算機(jī)系統(tǒng)中運(yùn)行的程序或服務(wù)���,用于檢測(cè)信息安全裝置是否與預(yù)定目標(biāo)計(jì)算機(jī)建立連接����;監(jiān)控程序在檢測(cè)到信息安全裝置與預(yù)定目標(biāo)計(jì)算機(jī)建立連接時(shí),會(huì)進(jìn)行檢査或/和比對(duì)����;步驟102:將信息安全裝置與預(yù)定目標(biāo)計(jì)算機(jī)建立連接;信息安全裝置可以通過(guò)USB接口��,或串行ATA接口���,或藍(lán)牙無(wú)線接口�����,或紅外接口,或RF射頻接口與預(yù)定目標(biāo)計(jì)算機(jī)連接�;步驟103:監(jiān)控程序檢測(cè)到信息安全裝置與預(yù)定目標(biāo)計(jì)算機(jī)建立連接;步驟104:監(jiān)控程序檢査信息安全裝置是否被綁定���,如果是�����,則執(zhí)行步驟106�,否則執(zhí)行步驟105;監(jiān)控程序通過(guò)檢査信息安全裝置內(nèi)是否存儲(chǔ)有特征值來(lái)判斷信息安全裝置是否被綁定; 步驟105:監(jiān)控程序?qū)㈩A(yù)定目標(biāo)計(jì)算機(jī)的特征值寫入信息安全裝置�,執(zhí)行步驟107;預(yù)定目標(biāo)計(jì)算機(jī)的特征值可以是預(yù)定目標(biāo)計(jì)算機(jī)的屬性信息,例如硬盤序列號(hào)�����、主板序列號(hào)��、CPU序列號(hào)����、操作系統(tǒng)序列號(hào)或網(wǎng)卡序列號(hào),還可以是由預(yù)定目標(biāo)計(jì)算機(jī)的屬性信息 和唯一性信息(例如時(shí)間信息���、日期信息等)組合生成的信息等��;步驟106:檢査已連接的預(yù)定目標(biāo)計(jì)算機(jī)是否為與信息安全裝置綁定的計(jì)算機(jī)��,如果是��, 執(zhí)行步驟107,否則執(zhí)行步驟108;檢査已連接的預(yù)定目標(biāo)計(jì)算機(jī)是否為與信息安全裝置綁定的計(jì)算機(jī)具體可以通過(guò)如下兩種不同方式來(lái)實(shí)現(xiàn)1) 通過(guò)己安裝在預(yù)定目標(biāo)計(jì)算機(jī)上的監(jiān)控程序來(lái)獲取已連接的預(yù)定目標(biāo)計(jì)算機(jī)的特征值和信息安全裝置內(nèi)存儲(chǔ)的特征值���;比對(duì)兩個(gè)特征值是否相同,如果相同��,執(zhí)行步驟107,否則執(zhí)行步驟108;2) 通過(guò)巳安裝在預(yù)定目標(biāo)計(jì)算機(jī)上的監(jiān)控程序來(lái)獲取預(yù)定目標(biāo)計(jì)算機(jī)的特征值�,并將 該特征值發(fā)送給信息安全裝置;信息安全裝置將接收到的特征值與自身存儲(chǔ)的特征值進(jìn)行比 對(duì)��,如果兩個(gè)特征值相同���,執(zhí)行步驟107���,否則執(zhí)行步驟108;步驟107:允許操作信息安全裝置; 步驟108:禁止操作信息安全裝置��。實(shí)施例2參見圖2�����,本發(fā)明還提供了一種提高信息安全裝置安全性的方法���,具體包括以下步驟 步驟201:預(yù)先在預(yù)定目標(biāo)計(jì)算機(jī)上安裝監(jiān)控程序; 監(jiān)控程序是指一個(gè)在計(jì)算機(jī)系統(tǒng)中運(yùn)行的程序或服務(wù)�,用于檢測(cè)信息安全裝置是否與預(yù) 定目標(biāo)計(jì)算機(jī)建立連接;監(jiān)控程序在檢測(cè)到信息安全裝置與預(yù)定目標(biāo)計(jì)算機(jī)建立連接時(shí)���,會(huì) 進(jìn)行檢査或/和比對(duì)���;步驟202:將信息安全裝置與預(yù)定目標(biāo)計(jì)算機(jī)建立連接���;信息安全裝置可以通過(guò)USB接口,或串行ATA接口���,或藍(lán)牙無(wú)線接口�����,或紅外接口�����, 或RF射頻接口與預(yù)定目標(biāo)計(jì)算機(jī)連接���;步驟203:信息安全裝置連接到預(yù)定目標(biāo)計(jì)算機(jī)后,聲明自身為移動(dòng)存儲(chǔ)設(shè)備�����; 例如信息安全裝置可以聲明自身為光驅(qū)或U盤��; 步驟204:自動(dòng)啟動(dòng)信息安全裝置中的自動(dòng)運(yùn)行程序�;自動(dòng)運(yùn)行功能(Autorun)對(duì)光盤�、硬盤和海量存儲(chǔ)等設(shè)備進(jìn)行的操作變得更容易�����;由于 自動(dòng)運(yùn)行程序中包含了需要自動(dòng)運(yùn)行的命令���,如改變驅(qū)動(dòng)器圖標(biāo)�、運(yùn)行程序文件��、可選快捷 菜單等內(nèi)容�,所以當(dāng)帶有自動(dòng)運(yùn)行程序的光盤或海量存儲(chǔ)等設(shè)備連接到計(jì)算機(jī)上時(shí),自動(dòng)運(yùn) 行程序會(huì)裝載相應(yīng)文件����,例如GIF、 JPEG���、 HTML文件���、PDF文件,實(shí)現(xiàn)自動(dòng)運(yùn)行功能�;自 動(dòng)運(yùn)行程序還可以顯示啟動(dòng)界面等���,為使用者提供了很大的便利�;自動(dòng)運(yùn)行程序可以由信息 安全裝置生產(chǎn)商或軟件系統(tǒng)開發(fā)商預(yù)先寫入信息安全裝置中;步驟205:自動(dòng)運(yùn)行程序啟動(dòng)監(jiān)控程序����;步驟206:監(jiān)控程序檢查信息安全裝置是否被綁定,如果是�����,則執(zhí)行步驟208����,否則執(zhí)行 步驟207;監(jiān)控程序通過(guò)檢査信息安全裝置內(nèi)是否存儲(chǔ)有特征值來(lái)判斷信息安全裝置是否被綁定;步驟207:監(jiān)控程序?qū)㈩A(yù)定目標(biāo)計(jì)算機(jī)的特征值寫入信息安全裝置��,執(zhí)行步驟209;預(yù)定目標(biāo)計(jì)算機(jī)的特征值可以是預(yù)定目標(biāo)計(jì)算機(jī)的屬性信息��,例如硬盤序列號(hào)��、主板序 列號(hào)��、CPU序列號(hào)����、操作系統(tǒng)序列號(hào)或網(wǎng)卡序列號(hào)����,還可以是由預(yù)定目標(biāo)計(jì)算機(jī)的屬性信息 和唯一性信息(例如時(shí)間信息����、日期信息等)組合生成的信息等;步驟208:檢查已連接的預(yù)定目標(biāo)計(jì)算機(jī)是否為與信息安全裝置綁定的計(jì)算機(jī)��,如果是, 則執(zhí)行步驟209��,否則執(zhí)行步驟210;檢查己連接的預(yù)定目標(biāo)計(jì)算機(jī)是否為與信息安全裝置綁定的計(jì)算機(jī)具體可以通過(guò)如下兩 種不同方式來(lái)實(shí)現(xiàn)1)通過(guò)已安裝在預(yù)定目標(biāo)計(jì)算機(jī)上的監(jiān)控程序來(lái)獲取已連接的預(yù)定目標(biāo)計(jì)算機(jī)的特征值和信息安全裝置內(nèi)存儲(chǔ)的特征值����;比對(duì)兩個(gè)特征值是否相同,如果相同�,執(zhí)行步驟209, 否則執(zhí)行步驟210;
2)通過(guò)已安裝在預(yù)定目標(biāo)計(jì)算機(jī)上的監(jiān)控程序來(lái)獲取預(yù)定目標(biāo)計(jì)算機(jī)的特征值��,并將 該特征值發(fā)送給信息安全裝置���;信息安全裝置將接收到的特征值與自身存儲(chǔ)的特征值進(jìn)行比 對(duì)��,如果兩個(gè)特征值相同��,執(zhí)行步驟209���,否則執(zhí)行歩驟210;步驟209:允許操作信息安全裝置;步驟210:禁止操作信息安全裝置���。實(shí)施例3參見圖3��,本發(fā)明還提供了一種提高信息安全裝置安全性的方法�,具體包括以下步驟 步驟301:在計(jì)算機(jī)上安裝管理程序����;管理程序是指一個(gè)在計(jì)算機(jī)系統(tǒng)中運(yùn)行的程序或服務(wù),用于從預(yù)先存儲(chǔ)了至少一個(gè)預(yù)定 目標(biāo)設(shè)備的特征值的計(jì)算機(jī)中選擇出一個(gè)特征值�����,并將其寫入信息安全裝置�; 步驟302:將信息安全裝置與計(jì)算機(jī)建立連接;信息安全裝置可以通過(guò)USB接口����,或串行ATA接口,或藍(lán)牙無(wú)線接口�,或紅外接口, 或RF射頻接口與計(jì)算機(jī)連接;與信息安全裝置建立連接的計(jì)算機(jī)可以是任意一臺(tái)計(jì)算機(jī)�;步驟303:管理程序從計(jì)算機(jī)中提取出預(yù)定目標(biāo)計(jì)算機(jī)的特征值,并將其寫入信息安全 裝置中��;預(yù)定目標(biāo)設(shè)備的特征值為表明預(yù)定目標(biāo)設(shè)備唯一性的標(biāo)識(shí)����,它可以是預(yù)定目標(biāo)計(jì)算機(jī)的 屬性信息,例如硬盤序列號(hào)�、主板序列號(hào)、CPU序列號(hào)�����、操作系統(tǒng)序列號(hào)或網(wǎng)卡序列號(hào)����,還 可以是由預(yù)定目標(biāo)計(jì)算機(jī)的屬性信息和唯一性信息(例如時(shí)間信息、日期信息等)組合生成 的信息等��,并且該預(yù)定目標(biāo)設(shè)備的特征值預(yù)先存儲(chǔ)在計(jì)算機(jī)中���; 一臺(tái)計(jì)算機(jī)中可以存儲(chǔ)多個(gè) 預(yù)定目標(biāo)計(jì)算機(jī)的特征值����,以便實(shí)現(xiàn)多個(gè)預(yù)定目標(biāo)計(jì)算機(jī)與信息安全裝置的綁定;步驟304:解除計(jì)算機(jī)與信息安全裝置的連接�����;步驟305:在預(yù)定目標(biāo)計(jì)算機(jī)上安裝監(jiān)控程序���,并建立預(yù)定目標(biāo)計(jì)算機(jī)與信息安全裝置 的連接;監(jiān)控程序是指一個(gè)在計(jì)算機(jī)系統(tǒng)中運(yùn)行的程序或服務(wù)���,用于檢測(cè)信息安全裝置是否與預(yù) 定目標(biāo)計(jì)算機(jī)建立連接��;監(jiān)控程序在檢測(cè)到信息安全裝置與預(yù)定目標(biāo)計(jì)算機(jī)建立連接時(shí)��,會(huì) 進(jìn)行檢査或/和比對(duì)����;信息安全裝置可以通過(guò)USB接口��,或串行ATA接口��,或藍(lán)牙無(wú)線接口�����,或紅外接口, 或RF射頻接口與預(yù)定目標(biāo)計(jì)算機(jī)連接�����;步驟306:監(jiān)控程序檢測(cè)到信息安全裝置與預(yù)定目標(biāo)計(jì)算機(jī)建立連接�; 步驟307:監(jiān)控程序檢査到信息安全裝置已被綁定;步驟308:檢査已連接的預(yù)定目標(biāo)計(jì)算機(jī)是否為與信息安全裝置綁定的計(jì)算機(jī)�����,如果是��, 執(zhí)行步驟309�,否則執(zhí)行步驟310;檢査己連接的預(yù)定目標(biāo)計(jì)算機(jī)是否為與信息安全裝置綁定的計(jì)算機(jī)具體可以通過(guò)如下兩 種不同方式來(lái)實(shí)現(xiàn)1) 通過(guò)已安裝在預(yù)定目標(biāo)計(jì)算機(jī)上的監(jiān)控程序來(lái)獲取已連接的預(yù)定目標(biāo)計(jì)算機(jī)的特征 值和信息安全裝置內(nèi)存儲(chǔ)的特征值;比對(duì)兩個(gè)特征值是否相同����,如果相同,執(zhí)行步驟309, 否則執(zhí)行步驟310;2) 通過(guò)已安裝在預(yù)定目標(biāo)計(jì)算機(jī)上的監(jiān)控程序來(lái)獲取預(yù)定目標(biāo)計(jì)算機(jī)的特征值�,并將 該特征值發(fā)送給信息安全裝置;信息安全裝置將接收到的特征值與自身存儲(chǔ)的特征值進(jìn)行比 對(duì)����,如果兩個(gè)特征值相同,執(zhí)行步驟309����,否則執(zhí)行步驟310;步驟309:允許操作信息安全裝置��; 步驟310:禁止操作信息安全裝置�。實(shí)施例4參見圖4���,本發(fā)明還提供了一種提高信息安全裝置安全性的方法��,具體包括以下步驟-步驟401:預(yù)先在預(yù)定目標(biāo)計(jì)算機(jī)上安裝監(jiān)控程序�����; 歩驟402:將信息安全裝置與預(yù)定目標(biāo)計(jì)算機(jī)建立連接;信息安全裝置可以通過(guò)USB接口�����,或串行ATA接口�,或藍(lán)牙無(wú)線接口,或紅外接口����,或RF射頻接口與預(yù)定目標(biāo)計(jì)算機(jī)連接;步驟403:監(jiān)控程序檢測(cè)到信息安全裝置與預(yù)定目標(biāo)計(jì)算機(jī)建立連接��;步驟404:監(jiān)控程序檢査信息安全裝置是否被綁定,如果是�����,則執(zhí)行步驟409�����,否則執(zhí)行步驟405;監(jiān)控程序通過(guò)檢査信息安全裝置內(nèi)是否存儲(chǔ)有特征值來(lái)判斷信息安全裝置是否被綁定�; 步驟405:監(jiān)控程序根據(jù)預(yù)定目標(biāo)計(jì)算機(jī)的屬性信息和唯一性信息生成新的預(yù)定目標(biāo)計(jì)算機(jī)的特征值;例如根據(jù)預(yù)定目標(biāo)計(jì)算機(jī)的硬盤序列號(hào)和時(shí)間信息生成新的預(yù)定目標(biāo)計(jì)算機(jī)的特征值�����;步驟406:監(jiān)控程序?qū)㈩A(yù)定目標(biāo)計(jì)算機(jī)的特征值寫入信息安全裝置���; 步驟407:信息安全裝置保存新的預(yù)定目標(biāo)計(jì)算機(jī)的特征值���; 步驟408:預(yù)定目標(biāo)計(jì)算機(jī)記錄日志信息;
日志信息的內(nèi)容具體包括預(yù)定目標(biāo)計(jì)算機(jī)與信息安全裝置的綁定時(shí)間��,預(yù)定目標(biāo)計(jì)算機(jī) 的屬性信息和寫入信息安全裝置的預(yù)定目標(biāo)計(jì)算機(jī)的特征值等等�。步驟409:檢查已連接的預(yù)定目標(biāo)計(jì)算機(jī)是否為與信息安全裝置綁定的計(jì)算機(jī),如果是���, 執(zhí)行步驟410�����,否則執(zhí)行步驟411;檢查已連接的預(yù)定目標(biāo)計(jì)算機(jī)是否為與信息安全裝置綁定的計(jì)算機(jī)具體可以通過(guò)如下兩 種不同方式來(lái)實(shí)現(xiàn)-1) 通過(guò)已安裝在預(yù)定目標(biāo)計(jì)算機(jī)上的監(jiān)控程序來(lái)獲取已連接的預(yù)定目標(biāo)計(jì)算機(jī)的特征 值和信息安全裝置內(nèi)存儲(chǔ)的特征值�;比對(duì)兩個(gè)特征值是否相同,如果相同���,執(zhí)行步驟410����, 否則執(zhí)行步驟411;2) 通過(guò)巳安裝在預(yù)定目標(biāo)計(jì)算機(jī)上的監(jiān)控程序來(lái)獲取預(yù)定目標(biāo)計(jì)算機(jī)的特征值�����,并將 該特征值發(fā)送給信息安全裝置��;信息安全裝置將接收到的特征值與自身存儲(chǔ)的特征值進(jìn)行比 對(duì)��,如果兩個(gè)特征值相同��,執(zhí)行步驟410���,否則執(zhí)行歩驟411;步驟410:允許操作信息安全裝置����; 步驟4U:禁止操作信息安全裝置���。實(shí)施例5:參見圖5���,本發(fā)明還提供了一種提高信息安全裝置安全性的系統(tǒng),該系統(tǒng)包括信息安全 裝置�����、預(yù)定目標(biāo)設(shè)備和比對(duì)模塊505;預(yù)定目標(biāo)設(shè)備包括獲取模塊501�����、寫入模塊502和檢査 模塊503;信息安全裝置包括存儲(chǔ)模塊504;比對(duì)模塊505位于信息安全裝置內(nèi)部����。獲取模塊501用于獲取預(yù)定目標(biāo)設(shè)備的特征值,并將預(yù)定目標(biāo)設(shè)備的特征值發(fā)送給寫入 模塊502;檢查模塊503用于在信息安全裝置與預(yù)定目標(biāo)設(shè)備建立連接后����,檢查存儲(chǔ)模塊504是否 存儲(chǔ)有特征值,并將檢査結(jié)果發(fā)送給寫入模塊502和比對(duì)模塊505;寫入模塊502用于存儲(chǔ)接收到的預(yù)定目標(biāo)設(shè)備的特征值����,并在接收到檢査模塊503發(fā)送 的存儲(chǔ)模塊504沒有特征值的檢査結(jié)果后��,將預(yù)定目標(biāo)設(shè)備的特征值寫入到存儲(chǔ)模塊504中���;比對(duì)模塊505用于接收到檢査模塊503發(fā)送的存儲(chǔ)模塊504含有特征值的檢査結(jié)果后, 比對(duì)寫入模塊502存儲(chǔ)的預(yù)定目標(biāo)設(shè)備的特征值與存儲(chǔ)模塊504中存儲(chǔ)的特征值是否相同����;存儲(chǔ)模塊504用于存儲(chǔ)預(yù)定目標(biāo)設(shè)備的特征值。系統(tǒng)還包括預(yù)先寫入模塊��,預(yù)先寫入模塊用于從預(yù)先存儲(chǔ)了至少一個(gè)預(yù)定目標(biāo)設(shè)備的特 征值的計(jì)算機(jī)中選擇出一個(gè)特征值���,并將其寫入到存儲(chǔ)模塊504中����。
比對(duì)模塊505包括索取單元����、提取單元和比對(duì)單元����; 索取單元用于索取存儲(chǔ)模塊504中存儲(chǔ)的特征值�,并發(fā)送給比對(duì)單元����; 提取單元用于提取出寫入模塊502存儲(chǔ)的特征值,并發(fā)送給比對(duì)單元�����; 比對(duì)單元用于對(duì)接收到的索取單元索取的特征值和提取單元提取的特征值進(jìn)行比對(duì)���,如 果相同��,則允許操作信息安全裝置��,否則禁止操作信息安全裝置���。實(shí)施例6:參見圖6,本發(fā)明還提供了一種提高信息安全裝置安全性的系統(tǒng)�,該系統(tǒng)包括信息安全 裝置、預(yù)定目標(biāo)設(shè)備和比對(duì)模塊606;預(yù)定目標(biāo)設(shè)備包括獲取模塊601����、寫入模塊604和檢査 模塊605;信息安全裝置包括存儲(chǔ)模塊607;比對(duì)模塊606位于預(yù)定目標(biāo)設(shè)備內(nèi)部。獲取模塊601用于獲取預(yù)定目標(biāo)設(shè)備的特征值,并將預(yù)定目標(biāo)設(shè)備的特征值發(fā)送給寫入 模塊604;檢查模塊605用于在信息安全裝置與預(yù)定目標(biāo)設(shè)備建立連接后�����,檢査存儲(chǔ)模塊607是否 存儲(chǔ)有特征值����,并將檢査結(jié)果發(fā)送給寫入模塊604和比對(duì)模塊606;寫入模塊604用于存儲(chǔ)接收到的預(yù)定目標(biāo)設(shè)備的特征值,并在接收到檢查模塊605發(fā)送 的存儲(chǔ)模塊607沒有特征值的檢查結(jié)果后����,將預(yù)定目標(biāo)設(shè)備的特征值寫入到存儲(chǔ)模塊607中;比對(duì)模塊606用于接收到檢査模塊605發(fā)送的存儲(chǔ)模塊607含有特征值的檢査結(jié)果后����, 比對(duì)寫入模塊604存儲(chǔ)的預(yù)定目標(biāo)設(shè)備的特征值與存儲(chǔ)模塊607中存儲(chǔ)的特征值是否相同;存儲(chǔ)模塊607用于存儲(chǔ)預(yù)定目標(biāo)設(shè)備的特征值��。預(yù)定目標(biāo)設(shè)備還包括特征值生成模塊602����,特征值生成模塊602用于生成并存儲(chǔ)新的預(yù) 定目標(biāo)設(shè)備的特征值。預(yù)定目標(biāo)設(shè)備還包括日志記錄模塊603��,日志記錄模塊603用于保存日志信息���;日志信息的內(nèi)容包括預(yù)定目標(biāo)設(shè)備與信息安全裝置的綁定時(shí)間�,預(yù)定目標(biāo)設(shè)備的屬性信 息和寫入信息安全裝置的預(yù)定目標(biāo)設(shè)備的特征值等等��。比對(duì)模塊606包括捕獲單元和比對(duì)單元���;捕獲單元用于捕獲出寫入模塊604和存儲(chǔ)模塊607中存儲(chǔ)的預(yù)定目標(biāo)設(shè)備的特征值���,并 發(fā)送給比對(duì)單元;比對(duì)單元用于對(duì)接收到的捕獲單元捕獲的特征值進(jìn)行比對(duì)��,如果相同�����,則允許操作信息 安全裝置�����,否則禁止操作信息安全裝置��。以上所述僅為本發(fā)明的較佳實(shí)施例�,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之 內(nèi)����,所作的任何修改�、等同替換����、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)���。
權(quán)利要求
1.一種提高信息安全裝置安全性的方法����,其特征在于���,所述方法包括可連接外設(shè)的預(yù)定目標(biāo)設(shè)備使用預(yù)先安裝的監(jiān)控程序檢查相連接的信息安全裝置是否存儲(chǔ)有特征值����,如果沒有����,則所述監(jiān)控程序?qū)⑺鲱A(yù)定目標(biāo)設(shè)備的特征值寫入所述信息安全裝置,并允許操作所述信息安全裝置�,否則檢查所述預(yù)定目標(biāo)設(shè)備的特征值與所述信息安全裝置內(nèi)存儲(chǔ)的特征值是否相同,如果相同����,則允許操作所述信息安全裝置����,否則禁止操作所述信息安全裝置����。
2. 如權(quán)利要求1所述的提高信息安全裝置安全性的方法����,其特征在于,所述監(jiān)控程序?qū)?所述預(yù)定目標(biāo)設(shè)備的特征值寫入所述信息安全裝置的步驟具體包括-所述信息安全裝置聲明自身為移動(dòng)存儲(chǔ)設(shè)備�; 自動(dòng)啟動(dòng)所述信息安全裝置中的自動(dòng)運(yùn)行程序; 所述自動(dòng)運(yùn)行程序啟動(dòng)所述監(jiān)控程序���;所述監(jiān)控程序?qū)⑺鲱A(yù)定目標(biāo)設(shè)備的特征值寫入所述信息安全裝置����。
3. 如權(quán)利要求1所述的提高信息安全裝置安全性的方法����,其特征在于,所述可連接外設(shè) 的預(yù)定目標(biāo)設(shè)備使用預(yù)先安裝的監(jiān)控程序檢査相連接的信息安全裝置是否存儲(chǔ)有特征值的步 驟之前還包括在將信息安全裝置連接到預(yù)定目標(biāo)設(shè)備之前����,將特征值寫入信息安全裝置中�。
4. 如權(quán)利要求1或3所述的提高信息安全裝置安全性的方法�����,其特征在于���,所述檢査所 述預(yù)定目標(biāo)設(shè)備的特征值與所述信息安全裝置內(nèi)存儲(chǔ)的特征值是否相同的步驟具體為所述 監(jiān)控程序獲取所述預(yù)定目標(biāo)設(shè)備的特征值和所述信息安全裝置內(nèi)存儲(chǔ)的特征值��,比對(duì)兩個(gè)特 征值是否相同���。
5. 如權(quán)利要求1或3所述的提高信息安全裝置安全性的方法,其特征在于��,所述檢査所 述預(yù)定目標(biāo)設(shè)備的特征值與所述信息安全裝置內(nèi)存儲(chǔ)的特征值是否相同的步驟具體包括-所述監(jiān)控程序獲取所述預(yù)定目標(biāo)設(shè)備的特征值�,并將所述預(yù)定目標(biāo)設(shè)備的特征值發(fā)送給 所述信息安全裝置;所述信息安全裝置比對(duì)接收到的特征值與自身存儲(chǔ)的特征值是否相同���。
6. 如權(quán)利要求1所述的提高信息安全裝置安全性的方法���,其特征在于,所述預(yù)定目標(biāo)設(shè) 備的特征值和所述信息安全裝置內(nèi)存儲(chǔ)的特征值是可變的�����。
7. 如權(quán)利要求1所述的提高信息安全裝置安全性的方法,其特征在于�,所述預(yù)定目標(biāo)設(shè) 備存儲(chǔ)日志信息。
8. 如權(quán)利要求1所述的提高信息安全裝置安全性的方法�����,其特征在于���,所述預(yù)定目標(biāo)設(shè) 備具體為計(jì)算機(jī)、PDA或智能手機(jī)�����。
9. 如權(quán)利要求1所述的提高信息安全裝置安全性的方法�����,其特征在于�����,所述信息安全裝 置通過(guò)USB接口���、串行ATA接口�����、藍(lán)牙無(wú)線接口�、紅外接口或RF射頻接口與所述預(yù)定目標(biāo) 設(shè)備連接。
10. —種提高信息安全裝置安全性的系統(tǒng)���,其特征在于��,所述系統(tǒng)包括信息安全裝置��、 預(yù)定目標(biāo)設(shè)備和比對(duì)模塊�����;所述預(yù)定目標(biāo)設(shè)備包括獲取模塊�����、寫入模塊和檢査模塊��;所述信 息安全裝置包括存儲(chǔ)模塊���;所述獲取模塊用于獲取所述預(yù)定目標(biāo)設(shè)備的特征值���,并將所述預(yù)定目標(biāo)設(shè)備的特征值發(fā) 送給所述寫入模塊;所述檢査模塊用于在所述信息安全裝置與預(yù)定目標(biāo)設(shè)備建立連接后��,檢査所述存儲(chǔ)模塊 是否存儲(chǔ)有特征值����,并將檢査結(jié)果發(fā)送給所述寫入模塊和比對(duì)模塊;所述寫入模塊用于存儲(chǔ)接收到的所述預(yù)定目標(biāo)設(shè)備的特征值��,并在接收到所述檢査模塊 發(fā)送的所述存儲(chǔ)模塊沒有所述特征值的檢查結(jié)果后��,將所述預(yù)定目標(biāo)設(shè)備的特征值寫入到所 述存儲(chǔ)模塊中��;所述比對(duì)模塊用于接收到所述檢査模塊發(fā)送的所述存儲(chǔ)模塊含有所述特征值的檢查結(jié)果 后����,比對(duì)所述寫入模塊存儲(chǔ)的所述預(yù)定目標(biāo)設(shè)備的特征值與所述存儲(chǔ)模塊中存儲(chǔ)的特征值是 否相同�;所述存儲(chǔ)模塊用于存儲(chǔ)預(yù)定目標(biāo)設(shè)備的特征值。
11. 如權(quán)利要求10所述的提高信息安全裝置安全性的系統(tǒng)�����,其特征在于����,所述系統(tǒng)還包 括預(yù)先寫入模塊�����,所述預(yù)先寫入模塊用于從預(yù)先存儲(chǔ)了至少一個(gè)預(yù)定目標(biāo)設(shè)備的特征值的計(jì)算機(jī)中選擇出一個(gè)特征值����,并將其寫入到所述存儲(chǔ)模塊中����。
12. 如權(quán)利要求10所述的提高信息安全裝置安全性的系統(tǒng),其特征在于����,所述比對(duì)模塊 包括捕獲單元和比對(duì)單元;所述捕獲單元用于捕獲出所述寫入模塊中存儲(chǔ)的預(yù)定目標(biāo)設(shè)備的特征值和存儲(chǔ)模塊中存 儲(chǔ)的特征值�,并發(fā)送給所述比對(duì)單元;所述比對(duì)單元用于對(duì)接收到的所述捕獲單元捕獲的特征值進(jìn)行比對(duì)���,如果相同��,則允許 操作所述信息安全裝置�,否則禁止操作所述信息安全裝置。
13. 如權(quán)利要求10所述的提高信息安全裝置安全性的系統(tǒng)����,其特征在于,所述比對(duì)模塊 包括索取單元���、提取單元和比對(duì)單元���;所述索取單元用于索取所述存儲(chǔ)模塊中存儲(chǔ)的特征值,并發(fā)送給所述比對(duì)單元��; 所述提取單元用于提取出所述寫入模塊存儲(chǔ)的預(yù)定目標(biāo)設(shè)備的特征值�,并發(fā)送給所述比 對(duì)單元;所述比對(duì)單元用于對(duì)接收到的所述索取單元索取的特征值和所述提取單元提取的特征值 進(jìn)行比對(duì)�����,如果相同����,則允許操作所述信息安全裝置�����,否則禁止操作所述信息安全裝置。
全文摘要
本發(fā)明公開了一種提高信息安全裝置安全性的方法及系統(tǒng)�,屬于信息安全領(lǐng)域。所述方法包括預(yù)定目標(biāo)設(shè)備使用預(yù)先安裝的監(jiān)控程序檢查相連接的信息安全裝置是否存儲(chǔ)有特征值�����,如果沒有���,則監(jiān)控程序?qū)㈩A(yù)定目標(biāo)設(shè)備的特征值寫入信息安全裝置�����,并允許操作信息安全裝置����,否則檢查特征值與信息安全裝置內(nèi)存儲(chǔ)的特征值是否相同���,如果相同�����,則允許操作信息安全裝置��,否則禁止操作信息安全裝置���。所述系統(tǒng)包括信息安全裝置����、預(yù)定目標(biāo)設(shè)備和比對(duì)模塊��。本發(fā)明通過(guò)將信息安全裝置與特定設(shè)備綁定���,使信息安全裝置只能與綁定的設(shè)備結(jié)合使用����,從而進(jìn)一步提高了信息安全裝置的安全性����,降低了敏感信息泄露和裝置被濫用的風(fēng)險(xiǎn)。
文檔編號(hào)H04L12/26GK101150459SQ20071017656
公開日2008年3月26日 申請(qǐng)日期2007年10月30日 優(yōu)先權(quán)日2007年10月30日
發(fā)明者于華章, 舟 陸 申請(qǐng)人:北京飛天誠(chéng)信科技有限公司