专利名称:一种安全终端系统及其认证和中断方法
技术领域:
本发明涉及一种信息数据安全终端系统及提高终端安全性的方法。
背景技术:
随着信息化时代的发展,数据变得越来越重要,大多数公司、行业、个人的重要数据、信息基本上都是存放在现代化的存储介质中,部分重要的数据和可能存放在系统终端如个人电脑(PC)、个人数字助手(PDA)、服务器或可移动介质中。目前个人电脑(PC)、个人数字助理(PDA)、服务器中的存储介质以及可移动存储介质都不具备加密特征,存储介质一旦失去,都有各种办法获取介质上的原始数据,严重威胁个人隐私、商业机密、甚至金融、军工机密。目前市面上存在的各种加密手段都存在显著的漏洞,如部分指纹硬盘事实上只是通过指纹解决登录问题,一旦硬盘被拆卸,可以通过其他途径轻易读出硬盘中的数据。 当然也存在部分加密存储介质,这种方案中,数据经过加密,直接读书介质中的数据与真实数据存在较大的差异,具备较强的安全特征,但是这种方案要么登录过程的控制存在一定缺陷,容易被重试击破;要么加密密钥存储在数据介质中,很容易被人获得加密密钥,解密出原始数据。系统整体安全存在隐患。
发明内容
本发明提供一种安全终端系统及其认证和中断方法,解决现有加密手段存在漏洞导致终端系统安全存在隐患的问题。本发明解决上述技术问题的技术方案如下一种安全终端系统,包括可信计算模块装置、生物识别装置、移动密钥装置、安全存储装置、定位装置、通信模块和主控处理器;
生物识别装置用于采集生物特征,并向可信计算模块装置输入识别数据; 移动密钥装置用于与可信计算模块装置双向认证,并向可信计算模块装置发送密钥; 安全存储装置用于与可信计算模块装置双向认证,并从可信计算模块装置获得加解密密钥;
定位装置用于获取终端系统当前地理位置信息;
通信模块用于向可信计算模块装置发送销毁安全数据的指令,向发送终端当前坐标信息发送给指定的信息网站IP地址或电话; 主控处理器用于启动安全存储装置;
可信计算模块装置,用于认证生物识别装置、移动密钥装置、安全存储装置和通信模块,且记录认证失败次数,根据与预设值的比较判断是否销毁安全数据;启动主控处理器, 合并自身存储的密钥和从移动密钥装置中获取的密钥生成加解密密钥,并植入安全移动存储装置;定时访问定位装置获取地理位置信息,并传输给通信装置;根据接收的销毁安全数据的指令销毁安全数据。
本发明的有益效果是通过终端数据的远程销毁和自动销毁的设置,使得一旦发现终端失窃,可以通过无线数据发给终端,终端自动销毁安全相关数据,当外设装置被特殊设备替换时,终端系统可以自行销毁,保证整个用户数据永久无法解密。进一步,本发明还提供了一种提高终端安全性的方法,包括 步骤a,识别登录实体的真实性,并确认登录实体是否为可信实体;
步骤b,度量外部设备并获取密钥,并在度量外部设备成功后定时获取终端当前地理位置信息,若发现终端当前地理位置变动则执行中断处理; 步骤c,通过获取的密钥完成安全存储。进一步,所述步骤a包括
步骤1,通过可信计算模块装置依次度量生物识别装置、移动密钥装置、通信模块、定位装置和安全存储装置的可信性,若成功则执行步骤2,若失败,则可信计算模块判断失败次数,若失败次数未达到限定值则返回继续度量,否则系统销毁安全数据,然后关机或复位;
步骤2,利用生物识别装置采集生物特征,并向可信计算模块装置输入识别数据;可信计算模块认证生物特征识别数据是否合法,若合法执行所述步骤b,若不合法,则可信计算模块判断认证次数,若认证次数未达到限定值则执行步骤1,否则系统销毁安全数据,然后关机或复位。进一步,所述步骤b包括
步骤3,可信计算模块认证移动密钥装置是否合法,若不合法,则执行步骤4,否则执行步骤5 ;
步骤4 可信计算模块判断认证次数,若认证次数未达到限定值则执行步骤a,否则系统销毁安全数据,然后关机或复位;
步骤5 可信计算模块获取安全存储所需部分密钥,并认证安全存储装置是否合法,若不合法,则执行步骤6,否则执行步骤7 ;
步骤6 可信计算模块判断认证次数,若认证次数未达到限定值则执行步骤a,否则系统销毁安全数据,然后关机或复位;
步骤7 可信计算根据从移动密钥装置获取的密钥与自身存储的密钥,生成安全存储装置加解密所需密钥,并把加解密所需密钥传入安全存储装置,若传送失败,则返回所述步骤a,若传入成功则清除认证失败计数,恢复原定可接受失败次数,启动主控处理器,执行所述步骤C。进一步,步骤c包括主控处理器控制启动外设安全存储装置,完成数据的安全存储。进一步,所述中断包括
步骤A 可信计算模块装置从定位信息装置获取地理位置信息,若获取失败,可信计算模块装置执行安全处理,否则执行步骤B ;
步骤B 可信计算模块通过通信模块上传地理位置信息,若信息上传失败,可信计算模块装置执行安全处理,否则执行步骤C ;
步骤C 可信计算模块通过通信模块获取控制指令,若有控制指令则执行步骤E,若无指令可以接受,则执行步骤D ;
步骤D 判断通信连接是否正常,若通信连接失败,则执行安全处理,否则结束中断处理;
步骤E 判断控制指令是否符合要求,若不符合则执行安全处理,复位终端系统,否则结束中断处理。进一步,所述步骤A中可信计算模块装置从定位信息装置获取地理位置信息为连续多次获取。进一步,所述步骤B中可信计算模块通过通信模块装置上传地理位置信息为多次上传信息。进一步,所述步骤D中判断通信连接是否正常为多次判断。进一步,所述步骤E中判断控制指令是否符合要求包括判断指令格式。进一步,所述步骤E中判断控制指令是否符合要求为多次判断。进一步,所述安全处理为销毁安全数据,复位终端系统。
图1为本发明一种安全终端系统结构框图; 图2为本发明一种安全终端系统认证方法流程图3为本发明一种安全终端系统外设装置度量流程图; 图4为本发明一种安全终端系统中断方法流程图。
具体实施例方式以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。如图1所示的一种安全终端系统,包括可信计算模块装置、生物识别装置、移动密钥装置、安全存储装置、定位装置、通信模块和主控处理器。生物识别装置用于采集生物特征,并向可信计算模块装置输入识别数据; 移动密钥装置用于向可信计算模块装置发送密钥;
安全存储装置存储有数据,并从可信计算模块装置获得加解密密钥; 定位装置用于获取终端系统当前地理位置信息;
通信模块用于接收并向可信计算模块装置发送销毁安全数据的指令,且发送终端当前坐标信息;
主控处理器用于启动安全存储装置;
可信计算模块装置,用于度量外部设备,以及认证移动密钥装置和安全存储装置,且记录度量和认证失败次数,根据与预设值的比较判断是否销毁安全数据;启动主控处理器,合并自身存储的密钥和从移动密钥装置中获取的密钥生成加解密密钥,并植入安全移动存储装置;定时访问定位装置获取地理位置信息,并传输给通信装置;根据接收的销毁安全数据的指令销毁安全数据。如图2所示的一种提高终端安全性的方法流程,安全终端系统进行安全登录过程时,在安全终端上电后,可信计算模块装置首先度量全部外设装置是否为可信装置,如果发现外设装置不存在,则系统一直处于等待状态,直到外设装置出现。如果发现外设装置中的一个不可信,则自动等待设备更换后重试,重试次数超过安全边界后,系统销毁安全相关的数据,如密钥数据、登录相关的证书、登录相关的数据等。可信计算模块装置首先通知生物识别装置采集生物特征(如指纹、面孔等),并对获取生物特征进行比较,如果认证失败,则不予以登录,并且记录重试次数,系统登录可接受失败数字减一,如果可接受失败次数已经减为0,系统销毁安全数据(如可信计算模块装置内部所有密钥、生物识别相关数据),然后关机或复位,如果比较通过,可信计算确认登录目标符合要求。如果生物特征通过认证,确认登录实体为合法实体,可信计算模块装置清空重试次数,可信计算模块装置通知与移动密钥装置进行双向认证,双向认证如果无法通过,可信计算模块装置记录失败次数,继续认证,常见方式为数字证书认证,如果认证失败,系统登录可接受失败数字减一,一旦认证次数超过安全控制次数,可接受失败次数已经减为0,则认证失败,可信计算模块装置清空所有安全相关数据,销毁密钥,回到初始状态。移动密钥装置与可信计算模块装置双向认证通过后,可信计算模块装置从移动密钥装置中获取系统所需的密钥,如果获取成功,系统进入下一步骤。否则复位重新启动。如此,登录过程中,通过生物识别模式可以识别登录实体的真实性,完成对登录个体的真实性鉴定;通过移动密钥装置认证,可以确认登录实体是否具有现实登录权限。登录过程重试会导致安全相关数据自动销毁,使个人、商业数据成为永久的秘密。外部设备认证完毕以及登录认证通过后,安全终端进入安全存储启动过程,可信计算模块装置通知安全存储装置进行双向认证,如果认证失败,可信计算模块装置记录失败次数,系统登录可接受失败数字减一,当失败次数超出安全边界,即可接受失败次数已经减为0,可信计算模块装置销毁所有安全、登录、证书相关数据,然后关机或复位;若认证成功后,系统进入下一步骤。可信计算模块装置在与安全存储装置双向认证通过后,可信计算模块装置合并从移动密钥装置中获取的密钥,与自生存储的密钥进行合并计算,生成安全存储装置所需要的加解密密钥,植入安全移动存储装置,如果传送失败,系统自动重新启动,传入成功后, 清除认证失败计数,恢复原定可接受失败次数,启动主控CPU。主控处理器启动外设安全存储装置,完成系统的一序列启动过程。这样一来,数据存储在安全存储介质中,所有数据都是经过加密的乱码,就算通过破坏性拆卸获得存储介质中的数据,也只是一串乱码,没有实在意义,同时存储介质中没有加密、解密密钥,就算知道加解密方式,原始数据依然无法被被解密出来。图3为安全终端系统外设装置度量流程图,如图3所示利用所述可信计算模块装置认证外设装置包括依次度量生物识别装置、移动密钥装置、通信模块装置、定位装置和安全存储装置,若全都通过度量则度量成功,否则度量失败。度量的目的是确认所有外设都是合法外设,保证在终端系统启动前和系统认证前所有外部设备都是可信的,避免通过换特殊设备来达到破解终端安全的目的。图4为本发明中断处理流程图,在系统上电后,可信计算模块装置度量外部设备装置后的任何时间点,可信计算模块装置都会定时访问定位装置,
设置定时器或其他中断模式,在可信计算模块工作的任何时间点根据需要运行断流程,步骤包括
获取当前地理位置信息可信计算模块装置从定位信息装置获取地理位置信息,如果获取失败,按照既定方案实施安全处理,比如可以设定连续多次采集地理位置信息失败,系统自动销毁安全数据,系统复位。地理位置信息采集成功后,继续下一步骤;
上传地理位置信息可信计算模块通过通信模块上传地理位置信息,如果信息上传失败,按照既定方案实施安全处理,比如重试多次失败后,销毁安全数据,复位终端系统,保证用户数据安全;
通过通信模块装置获取控制指令可信计算模块通过通信模块获取中控系统控制指令,如果无中控指令可以接收,则判断系统中控服务器连接是否正常,正常则认为的确没有指令需要执行,如果通信失败,则按照既定要求实施安全处理,比如重试多次连接失败,则认为系统服务器遭受攻击,终端安全受到威胁,自动销毁安全数据,复位终端系统。如果成功接收指令,则进入如下一步骤;
执行控制指令,完成安全所需内容终端根据设计目标,处理中控服务器端发来的指令,如果发现指令不符合要求,按照既定方案实施安全处理比如指令格式不正确,则认为指令属于欺诈,多次发现指令格式错误后,系统自动销毁安全数据,复位终端系统。其中,安全处理可以为多个等级设置,可以为任何本领域公知的手段。以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种安全终端系统,其特征在于,包括可信计算模块装置、主控处理器和外设装置,外设装置包括生物识别装置、移动密钥装置、安全存储装置、定位装置和通信模块;生物识别装置用于采集生物特征,并向可信计算模块装置输入识别数据; 移动密钥装置用于向可信计算模块装置发送密钥; 安全存储装置存储有数据,并从可信计算模块装置获得加解密密钥; 定位装置用于获取终端系统当前地理位置信息;通信模块用于接收并向可信计算模块装置发送销毁安全数据的指令,且发送终端当前坐标信息;主控处理器用于启动安全存储装置;可信计算模块装置,用于度量外部设备,以及认证移动密钥装置和安全存储装置,且记录度量和认证失败次数,根据与预设值的比较判断是否销毁安全数据;启动主控处理器,合并自身存储的密钥和从移动密钥装置中获取的密钥生成加解密密钥,并植入安全移动存储装置;定时访问定位装置获取地理位置信息,并传输给通信装置;根据接收的销毁安全数据的指令销毁安全数据。
2.一种提高终端安全性的方法,包括步骤a,识别登录实体的真实性,并确认登录实体是否为可信实体; 步骤b,度量外部设备并获取密钥,并在度量外部设备成功后定时获取终端当前地理位置信息,若发现终端当前地理位置变动则执行中断处理; 步骤c,通过获取的密钥完成安全存储。
3.根据权利要求2所述的方法,其特征在于,所述步骤a包括步骤1,通过可信计算模块装置依次度量生物识别装置、移动密钥装置、通信模块、定位装置和安全存储装置的可信性,若成功则执行步骤2,若失败,则可信计算模块判断失败次数,若失败次数未达到限定值则返回继续度量,否则系统销毁安全数据,然后关机或复位;步骤2,利用生物识别装置采集生物特征,并向可信计算模块装置输入识别数据;可信计算模块认证生物特征识别数据是否合法,若合法执行所述步骤b,若不合法,则可信计算模块判断认证次数,若认证次数未达到限定值则执行步骤1,否则系统销毁安全数据,然后关机或复位。
4.根据权利要求3所述的方法,其特征在于,所述步骤b包括步骤3,可信计算模块认证移动密钥装置是否合法,若不合法,则执行步骤4,否则执行步骤5 ;步骤4 可信计算模块判断认证次数,若认证次数未达到限定值则执行步骤a,否则系统销毁安全数据,然后关机或复位;步骤5 可信计算模块获取安全存储所需部分密钥,并认证安全存储装置是否合法,若不合法,则执行步骤6,否则执行步骤7 ;步骤6 可信计算模块判断认证次数,若认证次数未达到限定值则执行步骤a,否则系统销毁安全数据,然后关机或复位;步骤7 可信计算根据从移动密钥装置获取的密钥与自身存储的密钥,生成安全存储装置加解密所需密钥,并把加解密所需密钥传入安全存储装置,若传送失败,则返回所述步骤a,若传入成功则清除认证失败计数,恢复原定可接受失败次数,启动主控处理器,执行所述步骤C。
5.根据权利要求2所述的方法,其特征在于,所述步骤c包括主控处理器控制启动外设安全存储装置,完成数据的安全存储。
6.根据权利要求2所述的方法,其特征在于,所述中断包括步骤A 可信计算模块装置从定位信息装置获取地理位置信息,若获取失败,可信计算模块装置执行安全处理,否则执行步骤B ;步骤B 可信计算模块通过通信模块上传地理位置信息,若信息上传失败,可信计算模块装置执行安全处理,否则执行步骤C ;步骤C 可信计算模块通过通信模块获取控制指令,若有控制指令则执行步骤E,若无指令可以接受,则执行步骤D ;步骤D 判断通信连接是否正常,若通信连接失败,则执行安全处理,否则结束中断处理;步骤E 判断控制指令是否符合要求,若不符合则执行安全处理,否则结束中断处理。
7.根据权利要求6所述的方法,其特征在于,所述步骤A中可信计算模块装置从定位信息装置获取地理位置信息为连续多次获取。
8.根据权利要求6所述的方法,其特征在于,所述步骤B中可信计算模块通过通信模块装置上传地理位置信息为多次上传信息。
9.根据权利要求6所述的方法,其特征在于,所述步骤D中判断通信连接是否正常为多次判断。
10.根据权利要求6所述的方法,其特征在于,所述步骤E中判断控制指令是否符合要求包括判断指令格式。
11.根据权利要求6或10所述的方法,其特征在于,所述步骤E中判断控制指令是否符合要求为多次判断。
12.根据权利要求6所述的方法,其特征在于,所述安全处理为销毁安全数据,复位终端系统。
全文摘要
本发明涉及一种安全终端系统及及提高终端安全性的方法,安全终端系统包括可信计算模块装置、主控处理器和外设装置,外设装置包括生物识别装置、移动密钥装置、安全存储装置、定位装置和通信模块,可信计算模块装置可度量外设装置是否可信,并认证移动密钥装置、安全存储装置;可信计算模块装置定时访问定位装置获取地理位置信息,并传输给通信装置,并执行通信装置输入的控制指令。这样一来,一旦发现终端失窃或外设装置被特殊设备替换时,保证整个用户数据永久无法被解密。
文档编号H04W12/02GK102316449SQ201010219768
公开日2012年1月11日 申请日期2010年7月7日 优先权日2010年7月7日
发明者陈官学 申请人:国民技术股份有限公司