專利名稱:一種數據安全傳輸設備的制作方法
技術領域:
本實用新型涉及一種數據安全傳輸設備,特別地涉及一種基于linux操作系統的數據安全傳輸設備,屬于數據安全傳輸領域。
背景技術:
各種PC機已經走進了千家萬戶,豐富著人們的生活,Linux操作系統以無與倫比的性能、較低的系統開銷以及開放技術給使用者和利用Linux操作系統進行開發的人們帶來的巨大便利。
隨著Linux的不斷發展,基于Linux系統的面向各應用領域或行業需求的軟件不斷地孕育而生。但無論哪種優秀的軟件,其內部核心的技術往往是該軟件的命脈,一旦被他人竊取或被非法復制,由此受到的經濟損失是無法估計的。軟件的版權保護產品作為一種信息安全設備在軟件版權保護領域發揮著重要的作用,它保護軟件開發商的利益、增加收益,保護合法用戶的利益,還可以控制軟件分銷。防止售出以后會面對的盜版,不能定期的收納軟件使用費用等問題。
隨著互聯網的普及,電子商務、電子政務的興起,越來越多的人們開始嘗試在線交易,越來越多涉及個人隱私和商業秘密的信息需要通過網絡傳遞,然而病毒、黑客、網絡釣魚以及網頁仿冒詐騙等惡意威脅,給在線交易的安全性帶來了極大的挑戰。層出不窮的網絡犯罪,引起了人們對網絡身份的信任危機,如何證明“我是誰?”及如何防止身份冒用等問題又一次成為人們關注的焦點,作為網絡安全中的首要問題--身份認證/識別,其安全保障迫在眉睫。
因此,依然有必要提出一些應用于Linux操作系統的數據傳輸安全的解決方案,滿足大量Linux使用者在電子商務電子政務中的身份識別要求,以及解決應用于linux平臺下的軟件版權保護問題。
實用新型內容(一)要解決的技術問題本實用新型要解決技術問題是提供一種基于linux操作系統的數據安全傳輸的設備。
(二)技術方案為了達到上述目的,本實用新型提供了一種基于linux的數據安全傳輸設備,該設備包括包括一個中央處理器,一個存儲器,一個接口模塊,設備中還包含一個linux操作系統通信協議模塊和一個安全模塊,通信協議模塊用于對linux操作系統的通信協議進行解析,安全模塊用于提供數據安全保護,通信協議模塊位于存儲器內部與所述中央處理器連接,安全模塊位于存儲器內部與所述中央處理器連接。
安全模塊為軟件保護模塊,軟件保護模塊用于提供軟件加密。
安全模塊還可以是身份識別模塊,身份識別模塊用于保存用戶敏感數據。
上述設備的中央處理器、接口芯片和存儲器集成在一個微控制器芯片。
上述設備的中央處理器和存儲器集成在一個微控制器芯片。
上述微控制器芯片是智能卡芯片。
上述含智能卡芯片的設備還包括閃存存儲器,閃存存儲器與微控制器芯片連接。
中央處理器和存儲器也可以集成在一個單片機中。
上述設備的存儲器為隨機存儲器、只讀存儲器、電子可擦可編程只讀存儲器、可擦可編程只讀存儲器中的任一種。
(三)有益效果本實用新型通過采用包含了可對linux操作系統的通信協議進行解析的通信模塊的存儲器、接口模塊和存儲器的數據傳輸設備與主機進行連接并進行數據傳輸,通過CPU運行預置于存儲器的算法程序對用戶與主機的通信進行加密,實現了linux平臺下的數據安全傳輸,進而實現軟件保護和身份識別,同時具有結構簡單、使用方便、性能穩定等優點。
圖1為本實用新型中實施例1的工作流程圖;圖2為本實用新型中實施例2的工作流程圖;圖3所示單MCU方案為實施例2的硬件框圖;圖4所示MCU加接口芯片方案為實施例3的硬件框圖;圖5所示MCU加接口芯片以及存儲器方案為實施例1的硬件框圖。
具體實施方式
本實用新型的第一種優選實施例,提供了一種應用于linux平臺下的軟件保護設備(或稱為加密鎖)。以USB接口設備為例。
本實用新型的第一種優選實施例,提供了一種應用于Linux操作系統下的軟件保護設備(或稱為加密鎖)。以USB接口設備為例。
如圖5所示,所述軟件保護設備502包括順次連接的接口芯片503、MCU 505和擴展存儲器504,所述擴展存儲器可以選用任意的RAM、ROM、EPROM、FLASH等,用于存儲相應的加密算法。存儲器應該有足夠的存儲空間,用于存儲預置的加密算法,或者可以由用戶選擇或下載算法,如果需要存儲部分用戶代碼的話需要有足夠大的存儲空間,可以是片內FLASH等。
圖中MCU部分505包括Linux操作系統通信協議模塊506和安全模塊507。506模塊完成針對Linux操作系統的通信協議的解析,安全模塊507用于提供數據安全保護,安全模塊507在本實施例中為軟件保護模塊。
固件程序部分包括對設備的識別部分、設備等待并接收來自主機的數據、設備解析并處理數據、設備返回給主機數據并等待下一條指令、以及設備同主機斷開連接部分。設備被主機識別,通過內置于MCU內部的寄存器的信息,建立主機和設備的連接。
上述程序中,設備和主機的通信部分為核心部分,下面結合圖1對設備和主機的通信過程做詳細的說明。
首先,將設備連接到主機時,Linux的usb子系統能自動識別廠商ID和產品ID。同時,驅動程序被加載時,它會向usb子系統提供驅動所支持產品的廠商ID和產品ID等信息,這樣,就把產品和產品的驅動對應起來。
Linux平臺上,在/dev目錄下存在一個對應于加密鎖的邏輯設備節點。這個節點以文件的形式存在,但它不是普通意義上的文件,它是設備文件。在沒有啟動devfs的系統上,可以通過mknod命令創建設備文件,其中指定了主設備號和次設備號。在啟動了devfs的系統上,由devfs系統自動創建這個設備文件。Linux系統上設備文件的主設備號和設備驅動程序是一一對應的。
經過步驟101主機對設備完成了初始化,再由步驟102主機對設備的產品廠商標識進行驗證,如果正確,設備執行步驟103,否則轉到110將設備斷開和主機的連接。步驟103中進行驗證用戶口令,若正確,設備等待來自應用的命令以執行步驟104,否則也轉到步驟110,設備執行步驟104接收到命令之后,解析命令并根據不同的應用要求進行步驟105進行數據加解密,或者步驟106用預置代碼運算數據的操作。數據處理結束之后將數據返回進入步驟107,等待來自應用的命令,如果應用不再有響應,則進入步驟110,斷開和主機的連接,否則,如果還有新的命令,則轉到步驟108,經判斷如果通信結束,則執行步驟109使設備斷開與主機的連接,否則轉到步驟104繼續等待接受命令。
以下對利用預置代碼運算數據即實現步驟106的功能進行進一步描述。
設備作為提供軟件加密的裝置。可以用于保存用戶軟件的部分片斷,保證這部分片斷的安全,而不被讀出,并使之在設備內部運行并與外部軟件交互,以此來控制軟件保證其合法運行。該設備與外部程序交互頻繁,計算速度和通信速度是重要的速度性能指標。
根據該實施例的功能,可實現如下的軟件保護功能1.獲得設備信息,這個信息指本裝置的信息。這些信息存儲在內部存儲器內,提供給用戶記憶和識別自己的設備的功能。如步驟102。
2.格式化,用戶可以對本裝置進行格式化,經過格式化后使所有的設置和數據恢復到出廠狀態。
3.寫文件,這類文件包括用戶的代碼片斷,或者該片斷運行時所需要的數據。
4.讀文件,這類文件可以是代碼片斷運行時的數據文件但不是該代碼片斷本身。
5.運行文件,這類文件就是指用戶寫入的代碼片斷,讓這些代碼片斷在本設備內運行并保證其運行的一切數據和內存信息保留在設備以內而只返回結果。
6.加解密,提供給用戶在硬件內部進行對用戶數據RSA、DES、3DES等加解密,并將加解密結果返回給用戶。
預置代碼中還包括軟件保護應用接口函數,所述軟件保護應用接口函數是軟件保護設備和第3方應用之間的接口級,這個應用接口函數主要由開發商使用,主要提供如下功能1.打開設備打開該設備的句柄,建立與該設備的通訊通道。
2.關閉設備在設備準備不再使用的時候,將該設備的句柄和設備狀態信息清除。
3.發送命令這個是本軟件保護產品的核心部分,實現對本裝置的所有設置工作,即所有軟件保護功能的實現。
軟件保護設備的主要作用是保護程序部分不會出現在主機的內存中,這樣帶來的好處是1.防止程序的非法拷貝,主機上的程序離開軟件保護鍵就是不完整的,軟件的分發必須有軟件保護鍵的存在。
2.防止程序被非法跟蹤或調試,軟件的重要部分的代碼不會運行在主機中,所有的調試軟件都無法得到該段程序的運行狀態。
3.防止被轉儲,軟件最易被破解的情況是其在運行的時候,傳統的加殼保護的軟件,經常被內存轉儲的情況下將代碼還原回來。
4.防止反編譯,無論反編譯的技術有多高,都無法得到該實施例裝置內部的代碼片斷,因此無法實現其軟件本身的完整功能。
本實用新型的第二種優選實施例,提供了一種用戶身份識別設備(或稱為身份認證鎖)。它主要負責保存用戶敏感數據,如密碼、數字證書等。
身份識別設備的硬件部分如圖3中所示,圖中301為主機,302為身份識別設備,303為設置在所述身份識別設備中的MCU,所述MCU內部集成了Linux下的通信協議模塊304和安全模塊305,其中,303包括CPU、接口模塊和RAM存儲器,所述RAM中內置有算法。所述MCU中應該有足夠的片內RAM空間,用于預置算法,包括RSA、DES、3DES、MD5算法等,或者可以由用戶選擇或下載算法,如果需要存儲部分用戶代碼的話需要有夠大的存儲空間,可以是片內FLASH等。可以選用Cypress公司的芯片。
身份識別設備的固件程序部分可以結合智能卡技術和現代密碼學技術,可以支持第三方算法下載,支持多級文件管理和訪問。
如流程圖2所示,Linux系統對設備的識別過程同實施例一。
總體功能為圖2中步驟201為主機對身份識別設備完成了初始化,步驟202中由身份識別設備獲得用戶輸入的口令A,步驟203中身份識別設備從密碼存儲區中讀出口令并經過特定的處理得到B,步驟204中將A和B進行比較,不同則身份認證失敗,轉到步驟211,身份識別設備斷開同主機的連接,相同則由身份識別設備分配一定的權限給用戶,所述該權限同用戶的密碼等級相關聯,用戶可以進行授權身份允許范圍內的應用端操作,即身份識別設備接收來自應用的命令如步驟205,對命令進行解析處理如步驟206數據加密處理和步驟207用預置代碼運算數據,然后返回給應用,然后執行步驟208繼續等待來自應用的命令。在應用沒有合法響應的情況下轉到步驟211斷開設備與主機的連接,否則接收應用層的命令,如果通過步驟208判斷指示通信結束,則到步驟210斷開連接正常結束本次通信過程,否則轉到步驟205繼續執行。步驟202、步驟203、步驟204三個模塊也可以直接從身份識別設備中讀取密碼,由主機端判定密碼是否正確。
本實施例可實現如下功能包括
1.控制訪問網絡通過身份識別設備中含有的I D信息和用戶驗證信息,用于登陸網絡。
2.用于驗證和鑒別文件的發送者身份的數字簽名或證明,并防止被中途篡改。
3.存儲密碼信息,儲存用戶密碼信息,防止用戶手動輸入密碼時帶來的風險。
4.遠程登陸,銀行的網站可以利用簽名信息來識別用戶得合法性。
5.控制文件的訪問,可以在一些文件中加入訪問控制信息,可以防止在身份識別設備的情況下非法訪問或運行。
6.控制登陸到特定的應用系統,開發商可以將此功能用于自己的產品,該產品可以利用本實施例裝置來進行登陸。
上述3中所述是指身份識別設備中包含的密碼信息發送給主機用來識別持鎖人信息所述預置代碼中還包括身份識別設備應用接口函數,身份識別設備應用接口函數是身份識別設備和第3方應用之間的接口級,這個應用接口函數主要由開發商使用,所述應用接口函數主要提供如下功能1.打開設備打開該設備的句柄,建立與該設備的通訊通道。
2.關閉設備在設備準備不再使用的時候,將該設備的句柄和設備狀態信息清除。
3.發送命令這個是身份識別設備的核心部分,實現對本裝置的所有設置工作,即所有本身份識別設備的智能卡功能的實現。
數字身份識別設備的主要作用是保護重要得到敏感數據永遠都不會被讀出鍵裝置之外如主機的內存中,這樣所帶來的好處是1.用戶可以不必記憶冗長的密碼,安全的密碼一定有字母和數字組成足夠復雜的字符串,而且是時常更新的,用身份識別設備來存儲密碼信息可以免去用戶的麻煩。
2.提供雙因子認證的保險措施,即使用戶的密碼或數字身份識別設備的一方丟失,都不會給用戶帶來風險。
3.密鑰不可導出,保證了用戶密鑰的安全。
4.算法內置。
本實用新型的第三種實施例,提供另一種身份識別設備,如圖4中所示,所述身份識別設備402中設置有接口芯片403,和與之相連的集成了CPU和存儲器的MCU404,由所接口芯片與主機401相連,主要用于完成對接口協議的翻譯,使得MCU部分404的實現可以更簡單。404部分也包括405(Linux下的協議模塊)和406(安全模塊)。
本實施例中的主機與設備的通信與實施例2完全相同,并實現與實施例2相同的功能。
以上對本實用新型所提供的一種設備,進行了詳細介紹,本文中應用了具體個例對本實用新型的原理及實施方式進行了闡述,以上實施例的說明只是用于幫助理解本實用新型的方法及其實現思想;同時,對于本領域的一般技術人員,依據本實用新型的思想,在具體實施方式
及應用范圍上均會有改變之處,綜上所述,本說明書內容不應理解為對本實用新型的限制。
權利要求1.一種數據安全傳輸設備,包括一個中央處理器,一個存儲器,一個接口模塊,其特征在于,所述設備中還包含一個linux操作系統通信協議模塊和一個安全模塊,其中,所述通信協議模塊位于所述存儲器內部與所述中央處理器連接,提供所述設備與計算機的通訊,所述安全模塊位于所述存儲器內部與所述中央處理器連接。
2.如權利要求1所述的數據安全傳輸設備,其特征在于,所述中央處理器、接口芯片和存儲器集成在一個微控制器芯片。
3.如權利要求1所述的數據安全傳輸設備,其特征在于,所述中央處理器和存儲器集成在一個微控制器芯片。
4.如權利要求2或3所述的數據安全傳輸設備,其特征在于,所述微控制器芯片是智能卡芯片。
5.如權利要求4所述的數據安全傳輸設備,其特征在于,所述設備還包括擴展存儲器,所述擴展存儲器與所述微控制器芯片連接。
6.如權利要求1所述的數據安全傳輸設備,其特征在于,所述中央處理器和存儲器集成在一個單片機。
7.如權利要求1所述的數據安全傳輸設備,其特征在于,所述存儲器為隨機存儲器、只讀存儲器、電子可擦可編程只讀存儲器、可擦可編程只讀存儲器中的任一種。
專利摘要本實用新型涉及一種數據安全傳輸設備,特別地涉及一種基于linux操作系統的數據安全傳輸設備。為解決linux平臺下的數據安全傳輸的問題,本實用新型提供的基于linux操作系統的數據安全傳輸設備,包括CPU、接口芯片和存儲器,存儲器內置可對linux操作系統的通信協議進行解析的通信協議模塊和用于數據安全保護的安全模塊,通信協議模塊位于存儲器內部與CPU連接,安全模塊位于存儲器內部與CPU連接,通過在存儲器中增加通信協議模塊和安全模塊,在軟件保護和身份識別領域實現了基于linux的數據安全傳輸。
文檔編號G06Q10/00GK2927185SQ20062001283
公開日2007年7月25日 申請日期2006年4月14日 優先權日2006年4月14日
發明者陸舟, 于華章 申請人:北京飛天誠信科技有限公司