專利名稱:一種保護數(shù)據(jù)的設(shè)備和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實用新型涉及數(shù)據(jù)安全技術(shù)領(lǐng)域����,特別涉及一種保護數(shù)據(jù)的設(shè)備和系統(tǒng)�。
背景技術(shù):
隨著信息載體設(shè)備的普及,越來越多的自 動控制���、信息處理系統(tǒng)采用嵌入式架構(gòu)��,個人�、企業(yè)等社會組織對于信息載體設(shè)備的依賴程度也越來越高�。嵌入式設(shè)備是一種常用的信息載體設(shè)備,嵌入式設(shè)備的普及一方面提高了社會的生產(chǎn)效率����、便利了對生產(chǎn)的控制,另一方面也對系統(tǒng)中的各種信息記錄提出了安全保護上的具體要求��。近年來���,很多的信息安全廠商在數(shù)據(jù)保護技術(shù)上的研究和開發(fā)主要局限于如何保護嵌入式設(shè)備的數(shù)據(jù)在網(wǎng)絡(luò)中的安全���,比如對網(wǎng)絡(luò)中的數(shù)據(jù)庫、本地文件等數(shù)據(jù)的保護�。而作為信息存儲和管理載體的嵌入式設(shè)備自身的數(shù)據(jù)安全(特別是設(shè)備的物理安全)卻往往被忽視,導(dǎo)致數(shù)據(jù)泄漏的風(fēng)險較高���,難以實現(xiàn)真正的安全可靠���。特別是對于嵌入式移動設(shè)備,一旦遺失或被惡意盜取后���,設(shè)備中的數(shù)據(jù)極易泄露���,導(dǎo)致企業(yè)核心數(shù)據(jù)的丟失、給企業(yè)技術(shù)和商業(yè)機密造成了損失����。目前很多研發(fā)者和用戶開始意識到數(shù)據(jù)的商業(yè)價值和在企業(yè)價值鏈中的意義,針對上述問題�,提出了采用可信計算理論體系對信息載體設(shè)備進行保護。在硬件上��,增加加密的硬件設(shè)備�,如可信賴平臺模塊(Trusted Platform Module,TPM)芯片和USB_key等;在邏輯上�����,設(shè)置一個可信的安全根,該安全根可以視為安全系統(tǒng)中信任關(guān)系的“根”����,安全系統(tǒng)中所有相互信任或授權(quán)的活動都以安全根為基礎(chǔ)。現(xiàn)有的數(shù)據(jù)保護方案至少存在如下缺陷現(xiàn)有的可信計算理論體系解決方案��,需要在計算平臺上額外增設(shè)加密硬件設(shè)備����,如TPM芯片或USB-key等,硬件成本過高����,大多數(shù)的用戶都難以接受;且現(xiàn)有安全保護體系的實施和部署的操作復(fù)雜��,專業(yè)性過強�����,普通的IT管理人員通常難以獨立完成系統(tǒng)的配置和維護��,而一旦配置出現(xiàn)差錯��,可能會導(dǎo)致整個系統(tǒng)無法使用或者整個系統(tǒng)的安全性大大降低�。
實用新型內(nèi)容本實用新型提供了一種保護數(shù)據(jù)的設(shè)備和系統(tǒng)����,以解決現(xiàn)有方案硬件成本過高�,專業(yè)性過強的問題�。為達到上述目的,本實用新型實施例采用了如下技術(shù)方案本實用新型實施例提供了一種保護數(shù)據(jù)的設(shè)備�,所述設(shè)備包括初始化單元、引導(dǎo)控制單元��、環(huán)境因子獲取單元和加解密單元����,其中,所述初始化單元在所述設(shè)備一次初始化過程中�,通過環(huán)境因子獲取單元根據(jù)安全環(huán)境下設(shè)備的環(huán)境信息獲取環(huán)境因子,通過加解密單元利用安全環(huán)境下的環(huán)境因子對所述設(shè)備中的敏感數(shù)據(jù)進行加密���;在確認加密成功后�����,所述初始化單元銷毀所述環(huán)境因子����;所述引導(dǎo)控制單元在每次啟動所述設(shè)備時,通過環(huán)境因子獲取單元根據(jù)當(dāng)前環(huán)境下設(shè)備的環(huán)境信息獲取環(huán)境因子�����,通過加解密單元利用當(dāng)前環(huán)境下的環(huán)境因子對所述已加密的敏感數(shù)據(jù)進行解密���;當(dāng)解密成功時����,所述引導(dǎo)控制單元允許訪問所述設(shè)備中的數(shù)據(jù)�,當(dāng)解密失敗時,所述弓I導(dǎo)控制單元拒絕訪問所述設(shè)備中的數(shù)據(jù)���。進一步的���,所述設(shè)備還包括刪除模塊或者禁止啟動模塊,所述刪除模塊����,在加解密單元解密失敗時銷毀所述敏感數(shù)據(jù);所述禁止啟動模塊����,在加解密單元解密失敗時阻止所述設(shè)備啟動安全環(huán)境下的操作系統(tǒng)�����。 進一步的��,所述設(shè)備還包括報警通訊模塊和/或允許啟動模塊����,所述報警通訊模塊�����,在加解密單元解密失敗時����,發(fā)送報警信息�����;所述允許啟動模塊�����,在加解密單元解密失敗時,允許所述設(shè)備啟動非安全環(huán)境下的操作系統(tǒng)�����,所述非安全環(huán)境下的操作系統(tǒng)對所述敏感數(shù)據(jù)是無法訪問的����。進一步的,所述報警通訊模塊為短信卡��、彩信卡或全球定位系統(tǒng)GPS芯片中的一種或多種��。進一步的����,所述保護數(shù)據(jù)的設(shè)備為嵌入式設(shè)備,所述敏感數(shù)據(jù)為內(nèi)核和鏡像文件數(shù)據(jù)����。本實用新型實施例還提供了一種保護數(shù)據(jù)的系統(tǒng),其特征在于��,所述系統(tǒng)包括如上所述的保護數(shù)據(jù)的設(shè)備和與該保護數(shù)據(jù)的設(shè)備相連接的環(huán)境信息提取單元�。進一步的,所述環(huán)境信息提取單元包括如下至少一種提取設(shè)備的溫度環(huán)境信息的溫度采集器���、提取設(shè)備的濕度環(huán)境信息的濕度采集器����、提取設(shè)備的光照環(huán)境信息的光照采集器、提取設(shè)備使用者的生物特征信息的生物特征采集器�、提取設(shè)備的物理環(huán)境圖像信息的圖像采集器、提取設(shè)備的網(wǎng)絡(luò)環(huán)境信息的網(wǎng)絡(luò)探測服務(wù)器�����、提取設(shè)備與網(wǎng)絡(luò)服務(wù)器雙向身份認證信息的認證服務(wù)器��。進一步的��,所述系統(tǒng)還包括與所述保護數(shù)據(jù)的設(shè)備相連接的環(huán)境監(jiān)控服務(wù)器��,所述環(huán)境監(jiān)控服務(wù)器��,預(yù)先采集所述設(shè)備在安全環(huán)境下的身份信息�,在每次啟動所述設(shè)備之前���,采集所述設(shè)備在當(dāng)前環(huán)境下的身份信息���,根據(jù)安全環(huán)境下所述設(shè)備的身份信息驗證當(dāng)前環(huán)境下所述設(shè)備的身份信息,并根據(jù)驗證結(jié)果判斷所述設(shè)備是否為合法設(shè)備,若是��,允許所述設(shè)備接入安全環(huán)境����,若否,禁止所述設(shè)備接入安全環(huán)境��。本實用新型實施例的有益效果是本實用新型實施例通過在安全環(huán)境中提取安全環(huán)境因子并利用安全環(huán)境因子對設(shè)備中的非易失性敏感數(shù)據(jù)加密��,從而能夠?qū)⒃O(shè)備中的敏感數(shù)據(jù)與工作環(huán)境綁定��,不同的工作環(huán)境將提取出不同的環(huán)境因子��,因此一旦設(shè)備移出安全的工作環(huán)境�����,由于無法得到一致的環(huán)境因子而造成解密失敗�,進而通過拒絕訪問設(shè)備中的數(shù)據(jù)降低數(shù)據(jù)泄露的風(fēng)險。由于本方案無需增設(shè)額外的加密硬件設(shè)備���,通過與環(huán)境綁定的加解密機制實現(xiàn)對設(shè)備中的非易失性敏感數(shù)據(jù)的保護��,所以硬件成本較小�����,另外實施和部署本數(shù)據(jù)保護方案的操作也相對簡單�����,專業(yè)性要求較低����,降低了系統(tǒng)實施和部署的工作量及對人力資源的要求。
圖I為本實用新型實施例提供的環(huán)境因子獲取單元的工作方式示意圖���;圖2為本實用新型實施例提供的保護數(shù)據(jù)的系統(tǒng)的工作方式示意圖�����;[0029]圖3為本實用新型實施例提供的與環(huán)境綁定的雙系統(tǒng)設(shè)備啟動的一種工作方式示意圖;圖4為本實用新型實施例提供的一種雙系統(tǒng)操作機制示意圖���。
具體實施方式
為使本實用新型的目的�����、技術(shù)方案和優(yōu)點更加清楚��,下面將結(jié)合附圖對本實用新型實施方式作進一步地詳細描述�。本實用新型實施例以一種保護數(shù)據(jù)的系統(tǒng)為例來說明本方案提供的數(shù)據(jù)保護機制。本實施例提供的保護數(shù)據(jù)的系統(tǒng)包括數(shù)據(jù)所在的設(shè)備����,該設(shè)備包括初始化單元、引導(dǎo)控制單元�、環(huán)境因子獲取單元和加解密單元。所述初始化單元�,在所述設(shè)備一次初始化過程中,通過環(huán)境因子獲取單元根據(jù)安 全環(huán)境下設(shè)備的環(huán)境信息獲取環(huán)境因子��,通過加解密單元利用所述環(huán)境因子對所述設(shè)備中的敏感數(shù)據(jù)進行加密�����;在確認加密成功后���,所述初始化單元銷毀所述環(huán)境因子���。所述引導(dǎo)控制單元,在每次啟動所述設(shè)備時�����,通過環(huán)境因子獲取單元根據(jù)當(dāng)前環(huán)境下設(shè)備的環(huán)境信息獲取環(huán)境因子,通過加解密單元利用當(dāng)前環(huán)境下的環(huán)境因子對所述已加密的敏感數(shù)據(jù)進行解密�����;當(dāng)解密成功時����,所述引導(dǎo)控制單元允許訪問所述設(shè)備中的數(shù)據(jù),否則拒絕訪問所述設(shè)備中的數(shù)據(jù)����。上述安全環(huán)境可以為設(shè)備初次安裝時的工作環(huán)境,或者�����,上述安全環(huán)境可以為設(shè)備在初次安裝運行后根據(jù)實際需要所設(shè)定的工作環(huán)境��。本實施例中以安全環(huán)境選定為設(shè)備初次安裝時的工作環(huán)境為例進行說明�����。上述設(shè)備包括但不局限于各種嵌入式設(shè)備����,如嵌入式存儲設(shè)備、嵌入式手持終端(手機�、掌上電腦Pad)、嵌入式工業(yè)控制計算機等�。環(huán)境因子的提取上述環(huán)境因子的提取是指被保護的設(shè)備(如嵌入式設(shè)備)通過環(huán)境信息提取單元按照一定的邏輯與其工作環(huán)境(包括自然環(huán)境、設(shè)備物理環(huán)境���、服務(wù)器及軟件環(huán)境)進行交互��,從環(huán)境信息中完成特征提取�,最終生成一定長度的數(shù)據(jù)串作為環(huán)境因子的過程���。所識別的環(huán)境因素不同�,則環(huán)境信息提取單元與環(huán)境交互的方式也不同�����,可以采用的交互方式至少包括溫度環(huán)境精確測量��、光照強度測量��、視頻監(jiān)控拍攝的物理環(huán)境的圖像���、生物特征的測量����、網(wǎng)絡(luò)環(huán)境的測量、數(shù)據(jù)的掃描�、采用挑戰(zhàn)-響應(yīng)(Challenge/Response)認證機制與互聯(lián)網(wǎng)絡(luò)交互獲取密鑰等。這些因素的任意其一或者任意數(shù)量的組合相互作用最終形成系統(tǒng)對環(huán)境認知的環(huán)境因子�。參見圖1,環(huán)境因子獲取單元110與用來提取環(huán)境信息的外部設(shè)備112至115進行交互�����,該外部設(shè)備112至115為環(huán)境信息提取單元����。圖像采集器112能夠采集設(shè)備的物理環(huán)境的物理環(huán)境圖像信息,所提取的環(huán)境信息包括該物理環(huán)境圖像信息��。溫濕度采集設(shè)備113 (如溫度采集器)能夠?qū)υO(shè)備的溫度環(huán)境進行測量得到溫度環(huán)境信息��,所提取的環(huán)境信息包括該溫度環(huán)境信息���。溫濕度采集設(shè)備113 (如濕度采集器)還能夠?qū)υO(shè)備的濕度環(huán)境進行測量得到濕度環(huán)境信息��,所提取的環(huán)境信息包括該濕度環(huán)境信息��。圖像采集器112�、溫濕度采集設(shè)備113都可以通過直接的數(shù)據(jù)接口進行數(shù)據(jù)采集�,然后通過數(shù)據(jù)的誤差消除機制得到一個穩(wěn)定可信的數(shù)值作為環(huán)境因子或參與生成環(huán)境因子。網(wǎng)絡(luò)探測服務(wù)器114能夠采集設(shè)備的網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)環(huán)境信息����,所提取的環(huán)境信息包括該網(wǎng)絡(luò)環(huán)境信息。網(wǎng)絡(luò)探測服務(wù)器114由集成在嵌入式設(shè)備內(nèi)部的功能子模塊實現(xiàn)或者由設(shè)置在嵌入式設(shè)備外部的設(shè)備實現(xiàn)�。采集的網(wǎng)絡(luò)環(huán)境信息主要包括網(wǎng)絡(luò)的拓撲結(jié)構(gòu)、網(wǎng)絡(luò)中的各種服務(wù)器或特定主機的指紋信息(FingerPrint),如媒體接入控制(MAC)地址信息等���,將這些信息抽象后生成環(huán)境因子或參與生成環(huán)境因子����。認證服務(wù)器115與設(shè)備進行雙向身份認證��,在認證 通過后���,認證服務(wù)器生成一個作為雙向身份認證信息的數(shù)據(jù)塊����,將該數(shù)據(jù)塊發(fā)送至設(shè)備��,則所提取的環(huán)境信息包括該數(shù)據(jù)塊。例如����,認證服務(wù)器115與嵌入式設(shè)備直接可以通過挑戰(zhàn)-響應(yīng)的非對稱加密方法進行通道雙向的認證,同時讓認證服務(wù)器和嵌入式設(shè)備確認對方的身份��,然后在該非對稱加密數(shù)據(jù)通道中��,由認證服務(wù)器向嵌入式設(shè)備頒發(fā)一個數(shù)據(jù)塊���,將該數(shù)據(jù)塊作為環(huán)境因子或參與生成環(huán)境因子���。其中,挑戰(zhàn)-響應(yīng)認證機制是一種身份認證的方式�����,該方式下每次認證時認證服務(wù)器端都給客戶端發(fā)送一個不同的"挑戰(zhàn)"字串��,客戶端收到這個"挑戰(zhàn)"字串后�����,做出相應(yīng)的"應(yīng)答"���,以實現(xiàn)雙方身份的確認�����。進一步的���,除了對上述環(huán)境因素的測量之外,本系統(tǒng)還可以利用光照采集器對設(shè)備的光照環(huán)境進行測量得到光照強度信息�,所提取的環(huán)境信息包括該光照強度信息;或者����,利用生物特征采集器采集設(shè)備使用者的生物特征信息(如指紋、虹膜等)����,所提取的環(huán)境信息包括該生物特征信息等。環(huán)境因子獲取單元110直接將提取到的一種或多種環(huán)境信息作為所獲取到的環(huán)境因子��,或者�,環(huán)境因子獲取單元利用提取到的一種或多種環(huán)境信息生成環(huán)境因子,如環(huán)境因子獲取單元對一種或多種環(huán)境信息進行特征提取���,并按照預(yù)定算法生成一定長度的數(shù)據(jù)串�����,將該數(shù)據(jù)串作為環(huán)境因子���。生成的方式例如可以是通過對環(huán)境信息中環(huán)境變量具體數(shù)據(jù)進行特征提取��,屏蔽微觀可變因素后形成特征字串�����,將所有參與運算的各個環(huán)境變量數(shù)據(jù)對應(yīng)的特征字串進行雜湊運算�����,最終得到環(huán)境因子����,或者�����,也可以是通過對特征字串的取模運算等方法最終得到環(huán)境因子�。環(huán)境因子獲取單元110將該環(huán)境因子傳遞至加解密單元120,加解密單元120將環(huán)境因子作為加密或解密非易失性敏感數(shù)據(jù)的密鑰���。初始化單元上述初始化單元主要完成設(shè)備初次安裝時對環(huán)境信息的確認和環(huán)境信息的提取����,形成環(huán)境因子,并通過這個“環(huán)境因子”作為初始化密鑰對系統(tǒng)非易失性存儲介質(zhì)上的敏感數(shù)據(jù)進行加密��。該非易失性敏感數(shù)據(jù)為訪問設(shè)備在安全環(huán)境下的數(shù)據(jù)所必須的唯一性數(shù)據(jù)��,例如�����,上述非易失性敏感數(shù)據(jù)可以為啟動設(shè)備在安全環(huán)境下的操作系統(tǒng)所必須的唯一性數(shù)據(jù)���。對嵌入式設(shè)備時,所選取的非易失性敏感數(shù)據(jù)為內(nèi)核和鏡像文件數(shù)據(jù)(Ramdisk內(nèi)存盤中的數(shù)據(jù))���。而對設(shè)備中非易失性存儲介質(zhì)上的其他數(shù)據(jù)�,在操作系統(tǒng)層面��,采用環(huán)境因子按照預(yù)共享密鑰的方式實現(xiàn)加密處理����,完成可信性的傳遞�。初始化單元在邏輯上可以處在系統(tǒng)的應(yīng)用層����,在系統(tǒng)初次啟動的時候工作,并分別操作環(huán)境因子獲取單元和加解密單元完成系統(tǒng)的初次運行配置����,配置過程并不生成一個可保存的配置文件或數(shù)據(jù),而是通過提取環(huán)境數(shù)據(jù)特征的結(jié)果得到環(huán)境因子����,將環(huán)境因子作為密鑰直接加密需要保護的系統(tǒng)內(nèi)核和鏡像文件,加密成功后���,不保存該環(huán)境因子��。該初始化的結(jié)果不可以直接提取和逆向分析����。本實施例中初始化單元具有一種自毀功能���,在確認加密成功后���,銷毀所述安全環(huán)境因子�,刪除設(shè)備中存儲的未加密的所述非易失性敏感數(shù)據(jù)并禁止加密功能����。在系統(tǒng)的存儲介質(zhì)上對初始化單元所占用的數(shù)據(jù)存儲空間進行數(shù)據(jù)擦除操作。擦除的方法包括全零填充����、全I填充、隨機數(shù)填充等��。自毀過程的最后階段將對引導(dǎo)控制單元配置文件進行修改�,去掉與初始化單元相關(guān)的信息,并重新啟動設(shè)備����。引導(dǎo)控制單元引導(dǎo)控制單元主要完成系統(tǒng)啟動前的環(huán)境確認��,在嵌入式設(shè)備的操作系統(tǒng)內(nèi)核引導(dǎo)之前執(zhí)行環(huán)境確認動作�����,避免設(shè)備在沒有安全保護體系的環(huán)境中啟動(如設(shè)備移出指定 的運行環(huán)境)�����。所以引導(dǎo)控制單元可以通過調(diào)用上述相同的環(huán)境因子獲取單元實現(xiàn)環(huán)境因子的生成。同樣�,產(chǎn)生的輸出結(jié)果(環(huán)境因子)僅僅是一次性使用的解密密鑰,并不會在系統(tǒng)中進行保存���。首先環(huán)境因子獲取單元根據(jù)獲取到的環(huán)境信息提取一個環(huán)境因子��,用以解密存儲在設(shè)備非易失性存儲介質(zhì)上的操作系統(tǒng)內(nèi)核及其對應(yīng)的鏡像文件(Ramdisk)���。如果設(shè)備的工作環(huán)境發(fā)生變化,將無法生成正確的環(huán)境因子��,也就無法對存儲在非易失性存儲介質(zhì)上的數(shù)據(jù)進行明文的提取操作���。在同樣的環(huán)境下環(huán)境因子獲取單元所提取的環(huán)境因子應(yīng)完全一致�����,且環(huán)境因子只在系統(tǒng)加載或啟動時產(chǎn)生作用�����,一旦系統(tǒng)完成加載或啟動���,它將不存在于系統(tǒng)的任何一個易失或非易失性存儲介質(zhì)之中����。參見圖2��,顯示了本實用新型實施例提供的保護數(shù)據(jù)的系統(tǒng)的工作方式示意圖���。本實施例中以需要保護的設(shè)備為嵌入式設(shè)備��,安全環(huán)境為設(shè)備的初次安裝環(huán)境的場景為例進行說明�。在初始化過程中�����,提取環(huán)境信息并生成環(huán)境因子�����,在初始化過程中利用環(huán)境因子生成密文的內(nèi)核和鏡像文件����。因此�����,初始化過程必須是一次性的,并且是不可逆的����,初始化單元在系統(tǒng)第一次加電的時候完成操作,操作過后必須進行自毀����,以確保初始化過程的不可逆性。系統(tǒng)初次啟動時�,引導(dǎo)控制單元可以根據(jù)系統(tǒng)的配置文件檢查系統(tǒng)是否第一次啟動,若是��,執(zhí)行步驟210����。210 :啟動系統(tǒng)的初始化單元200。初始化單元200調(diào)用環(huán)境因子獲取單元100進行環(huán)境信息的采集���,生成環(huán)境因子��,并將環(huán)境因子輸入至加解密單元201���。步驟213 :加解密單元201對非易失性存儲介質(zhì)300上的內(nèi)核文件、鏡像文件進行加密處理。本實施例中采用按位對稱算法對設(shè)備中所選取的非易失性敏感數(shù)據(jù)進行加密�。由于是按位操作,原始數(shù)據(jù)經(jīng)過加密處理后其長度不發(fā)生任何變化����,所以對原來的文件長度并沒有任何的影響,保證了操作系統(tǒng)的穩(wěn)定性����,提高了設(shè)備的兼容性。加解密單元201完成加密操作之后會對已經(jīng)加密的內(nèi)核文件和鏡像文件進行校驗�����,校驗完成��,確認加密成功后�����,通知初始化單元100進入下一步動作215����。步驟215 :初始化單元200進行自毀操作���。[0066]自毀操作具體可以是�����,將初始化單元原有的數(shù)據(jù)存儲空間進行數(shù)據(jù)擦除操作�����。刪除數(shù)據(jù)的方法包括全零填充���、全I填充�、隨機數(shù)填充等�����。自毀過程的最后階段是將對引導(dǎo)控制單元配置文件進行修改�����,去掉初始化單元的相關(guān)信息��,至此完成設(shè)備初始化過程����。圖2中虛線所示的步驟為設(shè)備初始化時所需執(zhí)行的步驟��。完成系統(tǒng)的初始化之后�����,再次加電啟動設(shè)備�,執(zhí)行圖3中實線所示的步驟���。步驟216 :引導(dǎo)控制單元進入正常的啟動過程�����,完成BIOS加載后直接調(diào)用環(huán)境因子獲取單元100��。步驟217 :環(huán)境因子獲取單元100生成當(dāng)前環(huán)境下的環(huán)境因子���,輸入至加解密單元201。步驟218 :加解密單元201利用當(dāng)前環(huán)境下的環(huán)境因子對密文的內(nèi)核和鏡像文件進行解密加載�,當(dāng)解密成功時,允許訪問設(shè)備中的數(shù)據(jù)��,當(dāng)解密失敗時���,拒絕訪問設(shè)備中的數(shù)據(jù)����。本實施例中當(dāng)設(shè)備脫離安全環(huán)境啟動后��,可以采用多種相關(guān)操作�����,如利用報警通訊模塊發(fā)送報警信息���,報警信息可以為GPS信息����、短信��、彩信等多種信息�,并可以通過各種網(wǎng)絡(luò)通訊方式將報警信息傳輸出去;利用刪除模塊銷毀所述敏感數(shù)據(jù)以禁止訪問設(shè)備中的數(shù)據(jù)���;或者�,利用禁止啟動模塊�,阻止所述設(shè)備啟動安全環(huán)境下的操作系統(tǒng),以拒絕訪問所述設(shè)備中的數(shù)據(jù)�;以及���,利用允許啟動模塊,在加解密單元解密失敗時����,允許所述設(shè)備啟動非安全環(huán)境下的操作系統(tǒng),所述非安全環(huán)境下的操作系統(tǒng)對所述敏感數(shù)據(jù)是無法訪問的�。本實用新型實施例中,還提供了一種根據(jù)環(huán)境因素選擇不同操作系統(tǒng)的進行啟動的雙系統(tǒng)設(shè)備����。即在系統(tǒng)中設(shè)置至少兩種操作系統(tǒng),將其中一種操作系統(tǒng)與環(huán)境因子綁定���,而另一種操作系統(tǒng)不與環(huán)境綁定的操作系統(tǒng)��,可以根據(jù)需要���,在不同操作系統(tǒng)中進行靈活切換。參見圖3��,在采用環(huán)境因子對設(shè)備中的非易失性敏感數(shù)據(jù)加密后�����,本實用新型實施例雙系統(tǒng)設(shè)備啟動的一種工作流程主要包括步驟41 :設(shè)備加電后,主引導(dǎo)程序(Master Boot Record, MBR)運行�����。步驟42 :主引導(dǎo)程序啟動引導(dǎo)控制單元��。主引導(dǎo)程序?qū)⒁龑?dǎo)控制單元的數(shù)據(jù)從非易失性存儲介質(zhì)中加載到內(nèi)存并開始執(zhí)行���。步驟43 :引導(dǎo)控制單元將根據(jù)系統(tǒng)配置文件確定是否需要執(zhí)行環(huán)境判定過程,若否����,執(zhí)行步驟44,若是�,執(zhí)行步驟45。步驟44:在不需要執(zhí)行環(huán)境判定過程時�����,啟動不與環(huán)境綁定的的第一操作系統(tǒng)(表示為0S1)��。該第一操作系統(tǒng)不需要訪問已加密的非易失性敏感數(shù)據(jù)���,即該第一操作系統(tǒng)的啟動和運行不需要上述已加密的非易失性敏感數(shù)據(jù)�����。步驟45 :在需要執(zhí)行環(huán)境判定過程時���,啟動環(huán)境因子獲取單元��。環(huán)境因子獲取單元會根據(jù)獲取到的環(huán)境信息產(chǎn)生環(huán)境因子���。步驟46 :加解密單元根據(jù)環(huán)境因子執(zhí)行對密文的內(nèi)核文件和鏡像文件的解密操作,當(dāng)確認解密成功后����,執(zhí)行步驟49,加載解密后的內(nèi)核文件和鏡像文件����,啟動與環(huán)境因素相綁定的操作系統(tǒng)0S2。當(dāng)解密失敗后�,執(zhí)行步驟47。[0083]步驟47 :判斷是否需要報警操作��,若是���,執(zhí)行步驟48�。必要時,還可以破壞上述的非易失性敏感數(shù)據(jù)���,保證設(shè)備不會在與環(huán)境綁定的操作系統(tǒng)下啟動��,以拒絕訪問所述設(shè)備在該操作系統(tǒng)下的數(shù)據(jù)�。步驟48 :啟動報警通訊模塊�����,發(fā)送報警信息��。所述報警通訊模塊可以為短信卡�����、彩信卡或全球定位系統(tǒng)GPS芯片中的一種或多種�。本實施例提供的一種雙系統(tǒng)操作機制還可以如圖4所示��。在初始化過程中��,由初始化單元200在設(shè)備所支持的兩種操作系統(tǒng)中選取一種操作系統(tǒng)與環(huán)境因素綁定��,如將操作系統(tǒng)0S2與環(huán)境相綁定。當(dāng)再次啟動設(shè)備時���,引導(dǎo)控制單元直接經(jīng)環(huán)境確認過程判斷設(shè)備是否工作在安全·的環(huán)境中��,若是�,啟動安全環(huán)境下的操作系統(tǒng)(0S2),若否,貝U啟動另一個未與環(huán)境相綁定的操作系統(tǒng)(OSl)���。進一步的�,本實施例還提供了一種環(huán)境與設(shè)備雙向認證的機制�����,以保證系統(tǒng)具有更高的安全性�����。一方面利用環(huán)境因子將設(shè)備與環(huán)境綁定���,要求設(shè)備在安全的環(huán)境中啟動����,另一方面�����,環(huán)境也可以對工作于其中的設(shè)備身份進行識別,僅允許合法身份的設(shè)備工作在該環(huán)境下�。這時,本系統(tǒng)還包括環(huán)境監(jiān)控服務(wù)器�����,該環(huán)境監(jiān)控服務(wù)器預(yù)先采集合法設(shè)備在安全環(huán)境下的身份信息并保存�。在每次啟動當(dāng)前設(shè)備之前,該環(huán)境監(jiān)控服務(wù)器采集設(shè)備在當(dāng)前環(huán)境下的身份信息��,根據(jù)安全環(huán)境下所述設(shè)備的身份信息判斷當(dāng)前設(shè)備是否為合法設(shè)備����,若是,允許所述設(shè)備接入安全環(huán)境��,若否��,禁止所述設(shè)備接入安全環(huán)境�����。該環(huán)境監(jiān)控服務(wù)器可由單獨的服務(wù)器設(shè)備實現(xiàn)���,也可以集成在嵌入式設(shè)備中實現(xiàn)����。上述處理方式不僅僅要求被保護的嵌入式設(shè)備通過一定的方式確認自己處在安全環(huán)境之中�����,也允許被定義的安全環(huán)境通過一定的方法(雙向認證�����、設(shè)備視頻監(jiān)控)等方式確保存在于環(huán)境中的設(shè)備都是經(jīng)過環(huán)境許可的設(shè)備�����,而不是被任意植入或者侵入的其他設(shè)備或邏輯單元����。環(huán)境監(jiān)控服務(wù)器和嵌入式設(shè)備之間可以采用公鑰基礎(chǔ)設(shè)施(Public KeyInfrastructure,PKI)認證機制。PKI機制是一種遵循既定標(biāo)準的密鑰管理技術(shù),是一種能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系�����。環(huán)境監(jiān)控服務(wù)器和嵌入式設(shè)備雙方相互認證對方的證書是否有效�����,如果一方認證失敗,那么即可認為嵌入式設(shè)備不是合法的安全設(shè)備�,不進行允許該嵌入式設(shè)備的運行。本方案中上述的初始化單元��、引導(dǎo)控制單元��、環(huán)境因子獲取單元和加解密單元和報警通訊模塊等都可以硬件設(shè)備的方式實現(xiàn)��,本方案只是采用了“單元” “模塊”作為硬件設(shè)備的命名方式��,以涵蓋能夠用以實現(xiàn)這些單元和模塊的多種硬件設(shè)備��,例如�����,本方案中的加解密單元可以為由加解密芯片實現(xiàn)����,如宏思HS32U1系統(tǒng)級加密芯片���,本方案中的報警通訊模塊采用GPS報警方式時可以由SiRF III GPS芯片實現(xiàn)�����,采用短信報警方式時可以采用WAVEC0M的型號為M 1206B的短信卡實現(xiàn)��。由上所述�����,本實用新型實施例通過在安全環(huán)境中提取安全環(huán)境因子并利用安全環(huán)境因子對設(shè)備中的非易失性敏感數(shù)據(jù)加密�����,從而能夠?qū)⒃O(shè)備中的敏感數(shù)據(jù)與工作環(huán)境綁定�,不同的工作環(huán)境將提取出不同的環(huán)境因子,因此一旦設(shè)備移出安全的工作環(huán)境���,由于無法得到一致的環(huán)境因子而造成解密失敗�����,進而通過拒絕訪問設(shè)備中的數(shù)據(jù)降低數(shù)據(jù)泄露的風(fēng)險����。由于本方案無需增設(shè)額外的加密硬件設(shè)備���,通過與環(huán)境綁定的加解密機制實現(xiàn)對設(shè)備中的非易失性敏感數(shù)據(jù)的保護����,所以硬件成本較小,另外實施和部署本數(shù)據(jù)保護方案的操作也相對簡單�����,專業(yè)性要求較低�����,降低了系統(tǒng)實施和部署的工作量及對人力資源的要求����。以上所述僅為本實用新型的較佳實施例而已,并非用于限定本實用新型的保護范圍�。凡在本實用新型的精神和原則之內(nèi)所作的任何修改、等同替換�����、改進等�,均包含在本實用新型的保護范圍內(nèi)?!?br>
權(quán)利要求1.一種保護數(shù)據(jù)的設(shè)備,其特征在于�,所述設(shè)備包括初始化單元、引導(dǎo)控制單元�、環(huán)境因子獲取單元和加解密單元,其中�, 所述初始化單元在所述設(shè)備一次初始化過程中,通過環(huán)境因子獲取單元根據(jù)安全環(huán)境下設(shè)備的環(huán)境信息獲取環(huán)境因子�����,通過加解密單元利用安全環(huán)境下的環(huán)境因子對所述設(shè)備中的敏感數(shù)據(jù)進行加密�����;在確認加密成功后���,所述初始化單元銷毀所述環(huán)境因子���; 所述引導(dǎo)控制單元在每次啟動所述設(shè)備時,通過環(huán)境因子獲取單元根據(jù)當(dāng)前環(huán)境下設(shè)備的環(huán)境信息獲取環(huán)境因子����,通過加解密單元利用當(dāng)前環(huán)境下的環(huán)境因子對所述已加密的敏感數(shù)據(jù)進行解密;當(dāng)解密成功時�����,所述引導(dǎo)控制單元允許訪問所述設(shè)備中的數(shù)據(jù),當(dāng)解密失敗時��,所述引導(dǎo)控制單元拒絕訪問所述設(shè)備中的數(shù)據(jù)�。
2.根據(jù)權(quán)利要求I所述的設(shè)備,其特征在于�,所述設(shè)備還包括刪除模塊或者禁止啟動模塊, 所述刪除模塊�,在加解密單元解密失敗時銷毀所述敏感數(shù)據(jù); 所述禁止啟動模塊��,在加解密單元解密失敗時阻止所述設(shè)備啟動安全環(huán)境下的操作系統(tǒng)��。
3.根據(jù)權(quán)利要求I所述的設(shè)備�,其特征在于,所述設(shè)備還包括報警通訊模塊和/或允許啟動模塊����, 所述報警通訊模塊,在加解密單元解密失敗時�����,發(fā)送報警信息; 所述允許啟動模塊���,在加解密單元解密失敗時�����,允許所述設(shè)備啟動非安全環(huán)境下的操作系統(tǒng),所述非安全環(huán)境下的操作系統(tǒng)對所述敏感數(shù)據(jù)是無法訪問的����。
4.根據(jù)權(quán)利要求3所述的設(shè)備,其特征在于��, 所述報警通訊模塊為短信卡����、彩信卡或全球定位系統(tǒng)GPS芯片中的一種或多種。
5.根據(jù)權(quán)利要求I所述的設(shè)備����,其特征在于, 所述保護數(shù)據(jù)的設(shè)備為嵌入式設(shè)備���。
6.一種保護數(shù)據(jù)的系統(tǒng)�,其特征在于,所述系統(tǒng)包括如權(quán)利要求I至5任一項所述的保護數(shù)據(jù)的設(shè)備和與該保護數(shù)據(jù)的設(shè)備相連接的環(huán)境信息提取單元�����。
7.根據(jù)權(quán)利要求6所述的系統(tǒng)����,其特征在于,所述環(huán)境信息提取單元包括如下至少一種 提取設(shè)備的溫度環(huán)境信息的溫度采集器�、提取設(shè)備的濕度環(huán)境信息的濕度采集器、提取設(shè)備的光照環(huán)境信息的光照采集器�、提取設(shè)備使用者的生物特征信息的生物特征采集器、提取設(shè)備的物理環(huán)境圖像信息的圖像采集器���、提取設(shè)備的網(wǎng)絡(luò)環(huán)境信息的網(wǎng)絡(luò)探測服務(wù)器�、提取設(shè)備與網(wǎng)絡(luò)服務(wù)器雙向身份認證信息的認證服務(wù)器����。
8.根據(jù)權(quán)利要求6或7所述的系統(tǒng),其特征在于����,所述系統(tǒng)還包括與所述保護數(shù)據(jù)的設(shè)備相連接的環(huán)境監(jiān)控服務(wù)器。
專利摘要本實用新型公開了一種保護數(shù)據(jù)的設(shè)備和系統(tǒng)��。本實用新型實施例提供了一種保護數(shù)據(jù)的設(shè)備,其中�,初始化單元在設(shè)備一次初始化過程中,通過環(huán)境因子獲取單元根據(jù)安全環(huán)境下設(shè)備的環(huán)境信息獲取環(huán)境因子��,通過加解密單元利用安全環(huán)境下的環(huán)境因子對設(shè)備中的敏感數(shù)據(jù)進行加密�����;在確認加密成功后�,初始化單元銷毀該環(huán)境因子���;引導(dǎo)控制單元在每次啟動設(shè)備時���,通過環(huán)境因子獲取單元根據(jù)當(dāng)前環(huán)境下設(shè)備的環(huán)境信息獲取環(huán)境因子,通過加解密單元利用當(dāng)前環(huán)境下的環(huán)境因子對已加密的敏感數(shù)據(jù)進行解密����;解密成功時,引導(dǎo)控制單元允許訪問設(shè)備中的數(shù)據(jù)�����,解密失敗時�����,引導(dǎo)控制單元拒絕訪問設(shè)備中的數(shù)據(jù)。本方案所需的硬件成本較小且能夠大大降低數(shù)據(jù)泄露的風(fēng)險�。
文檔編號H04L29/06GK202795383SQ20122002579
公開日2013年3月13日 申請日期2012年1月19日 優(yōu)先權(quán)日2012年1月19日
發(fā)明者姜斌斌 申請人:歌爾聲學(xué)股份有限公司