专利名称:基于可信计算的新型USB Key设备及其安全交易方法
技术领域:
本发明涉及信息安全技术领域,尤其涉及一种基于可信计算的新型USB Key设备及其安全交易方法。
背景技术:
随着电子商务的普及和发展,越来越多的用户选择在网络上进行商务活动,而保 证商务活动过程中系统的安全性和可信性是实现电子商务的关键。USB Key是一种小巧的USB接口硬件设备,形状与常见的U盘类似。USB Key内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USBKey内置的公钥算法实现对用户身份的认证。作为数字证书的载体,USB Key公钥基础设施(PKI,Public Key Infrastructure)系统通过内置的安全芯片生成、保存、分发和管理密钥,强大的计算能力使得密钥无须离开安全芯片就可进行加解密和签名验证的操作。传统USB Key采用客户端解决方案,虽然用户的密钥仅在高安全度的USB Key内产生且不可导出,但是由于交易的处理过程在个人计算机(PC, Personal Computer)上进行,USB Key通过和PC机连接进行网上银行交易,交易信息显示在PC机上,经网络传输到银行后台进行处理。在这个过程中就存在一个严重的安全隐患PC机页面上显示的交易信息,与USB Key中使用密钥签名的信息可能是不一致的,因为PC机可能受到病毒或木马的影响造成显示的交易信息被篡改,而由于USB Key中的信息不能被篡改,导致PC机的显示信息和USB Key中的信息不一致,可见,传统的USB Key无法解决PC机可信度问题,无法保证网上交易的安全性。
发明内容
本发明实施例提供了一种基于可信计算的新型USB Key设备及其安全交易方法,用于提高网上交易的安全性。为解决上述技术问题,本发明实施例提供以下技术方案一种基于USB Key设备的安全交易方法,上述USB Key设备内置有网络浏览器,上述安全交易方法包括计算机与上述USB Key设备建立连接;在上述建立连接成功后,上述计算机启用上述USB Key设备内置的网络浏览器进行网上交易,其中,上述网络浏览器在运行过程中缓存的数据和历史记录存储在上述USBKey设备上。一种基于可信计算的USB Key设备,包括USB接口模块,第一存储模块,第二存储模块和CPU控制电路;其中上述USB接口模块用于连接计算机;上述第一存储模块用于存储网络浏览器,以便当上述计算机与上述USBKey设备建立连接后,上述计算机启用上述第一存储模块存储的网络浏览器进行网上交易;上述第二存储模块用于存储上述网络浏览器在运行过程中缓存的数据和历史记录;上述CPU控制电路分别与上述USB接口模块、上述第一存储模块和上述第二存储模块连接,用于控制上述USB接口模块、上述第一存储模块和上述第二存储模块的运行。由上可见,本发明实施例中USB Key设备内置网络浏览器,并在与计算机建立连接时,使计算机启用USB Key设备内置的网络浏览器进行网上交易,网络浏览器缓存的数据及历史记录存储在USB Key设备中,不会外泄到与其连接的计算机上,因此,在整个交易过程中,计算机无法获取到网上交易的交易信息,所有的业务均在USB Key设备中执行,从根本上解决了计算机的信赖问题,提高了网上交易的安全性。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图I为本发明提供的一种USB Key设备一个实施例结构示意图;图2为本发明提供的一种USB Key设备另一个实施例结构示意图;图3为本发明提供的一种USB Key设备再一个实施例结构示意图;图4为本发明提供的基于USB Key设备的安全交易方法一个实施例流程示意图。
具体实施例方式本发明实施例提供了一种基于可信计算的新型USB Key设备及其安全交易方法。为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而非全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。下面对本发明实施例提供的一种基于可信计算的USB Key设备进行描述,本发明实施例中的USB Key设备中内置网络浏览器,请参阅图I,本发明实施例中的USB Key设备10包括USB接口模块11,第一存储模块12,第二存储模块13以及CPU控制电路14 ;其中,USB接口模块11用于连接计算机(如PC机)。其中,第一存储模块12用于存储上述网络浏览器,以便当上述计算机与USB Key设备10建立连接后,上述计算机启用第一存储模块12存储的网络浏览器进行网上交易。其中,第二存储模块13用于存储上述网络浏览器所缓存的数据和历史记录。CPU控制电路14分别与USB接口模块11、第一存储模块12和第二存储模块13连接,用于控制USB接口模块11、第一存储模块12和第二存储模块13的运行。在本发明实施例中,第一存储模块12和第二存储模块13可以是相同的存储模块,也可以是独立的两个存储模块,此处不作限定。进一步,在图I所示的实施例基础上,如图2所示,本发明实施例中的USB Key设备20还包括与CPU控制电路14连接的按键模块15,按键模块15为用户提供输入接口,以便用户通过按键模块15输入上述网上交易的交易确认信息。进一步,在图I或图2所示的实施例基础上,本发明实施例中的USB Key设备还包括显示屏。如图3所示为在图2所示实施例基础上的USB Key设备30,显示屏16用于显示上述网上交易的交易信息。需要说明的是,如图I、图2和图3所示的USB Key设备中还内置有安全操作系统,USB Key设备还应包含有用于封装密钥以及该密钥的数字证书的安全IC芯片模块,CPU控制电路14为USB Key设备的核心电路,负责将USB Key设备的各个模块和上述安全操作系统整合。USB Key设备与所连接的计算机之间传输的数据为图像数据,即USB Key设备与所连接的计算机之间传输的数据没有明文数据。本发明实施例中的USB-Key具备可信计算的能力,使USB-Key具备可信计算的能力的方式可以是在USB-Key中建立一个信任根,信任 根可信性由物理安全、技术安全与管理安全共同确保;然后,再建立一条信任链,从信任根开始到USB-Key硬件平台,再到USB-Key的安全操作系统,再到USB-Key的应用程序,一级度量认证一级,一级信任一级,从而将这种信任扩展到整个USB-Key的软硬件平台上。
0035]本发明实施例中的USB Key设备可以用于网银交易的安全认证,当然,也适用于网上证券、网上招投标、网上税务等各种电子商务和电子政务应用中,能够为政府部门、企事业单位、互联网服务商以及个人网络应用提供信息安全性和可靠性保障。由上可见,本发明实施例中USB Key设备内置网络浏览器,并在与计算机建立连接时,使计算机启用USB Key设备内置的网络浏览器进行网上交易,网络浏览器缓存的数据及历史记录存储在USB Key设备中,不会外泄到与其连接的计算机上,因此,在整个交易过程中,计算机无法获取到网上交易的交易信息,所有的业务均在USB Key设备中执行,从根本上解决了计算机的信赖问题,提高了网上交易的安全性。下面对本发明实施例提供的基于USB Key设备的安全交易方法进行描述,请参阅图4,本发明实施例中的基于USB Key设备的安全交易方法,包括401、计算机与USB Key设备建立连接;USB Key设备通过如图I、图2和图3所示实施例中的USB接口模块11插入到计算机上,计算机通过运行USB Key设备自带的驱动程序,完成与USBKey设备的连接。402、在上述建立连接成功后,启用上述USB Key设备内置的网络浏览器进行网上交易;在本发明实施例中,USB Key设备内置有网络浏览器,网络浏览器存储在USB Key设备中,以便计算机与上述USB Key设备建立连接后,启用上述USB Key设备内置的网络浏览器进行网上交易。本发明实施例中的USB Key设备中的文件系统不对外开放,计算机在与USB Key设备建立连接后,仅能启动USB Key设备中被许可的软件(如上述网络浏览器、专用交易软件等),USB Key设备中的每个软件都只能由计算机上相应的代理启动。后台可信服务管理(TSM, Trusted Services Manager)系统可对USB Key设备进行管理,提供诸如软件升级、证书加载、新业务加载/删除、用户注销等服务。
上述网络浏览器在运行过程中缓存的数据和历史记录存储在上述USBKey设备上,不会外涉到计算机上。本发明实施例中的USB Key设备可以用于网银交易的安全认证,当然,也适用于网上证券、网上招投标、网上税务等各种电子商务和电子政务应用中,能够为政府部门、企事业单位、互联网服务商以及个人网络应用提供信息安全性和可靠性保障。由上可见,本发明实施例中USB Key设备内置网络浏览器,并在与计算机建立连接时,使计算机启用USB Key设备内置的网络浏览器进行网上交易,网络浏览器缓存的数据及历史记录存储在USB Key设备中,不会外泄到与其连接的计算机上,因此,在整个交易过程中,计算机无法获取到网上交易的交易信息,所有的业务均在USB Key设备中执行,从根本上解决了计算机的信赖问题,提高了网上交易的安全性。下面结合图I对本发明实施例中的USB Key设备的应用进行说明USB Key设备10通过USB接口模块11与计算机连接,计算机为USB Key设备10 提供基本的工作环境,如输入(键盘)、输出以及网络连接。当USBKey设备10通过USB接口模块11插入计算机时,USB Key设备10会被计算机识别为网络设备和⑶-ROM(或U盘),计算机上安装USB Key设备10的客户端软件启动,通过该客户端软件登录到USB Key设备10后,即可启动USB Key设备10中的网络浏览器。USB Key设备10通过计算机与网络连接。在整个交易过程中,网络浏览器及相关控件均在USB-Key设备10上运行且直接与后台交互,PC机仅为USB Key设备10提供电力、网络通信、显示等。由上可见,本发明实施例中USB Key设备内置网络浏览器,网络浏览器缓存的数据和历史记录存储在USB Key设备的数据存储模块中,不会外泄到与其连接的PC机,使得在整个交易过程中,PC机无法获取交易信息,所有的业务均在USB Key设备中执行,从根本上解决了 PC机的信赖问题,提高了网上交易的安全性。进一步,本发明实施例中的USB Key设备还内置了完整的安全可靠的操作系统,可抵御病毒攻击,从根本上杜绝了木马病毒等对网银交易的攻击;把密钥签名的数字证书作为唯一性标识,可防止假冒;USB Key设备中数据的管理受密钥控制,保护数据的密钥密封在安全IC芯片内,可保证密钥不能被盗取,从而确保数据不会外泄,具备可信计算的能力。以上对本发明所提供的基于可信计算的新型USB Key设备及其安全交易方法进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式
及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本发明的限制。
权利要求
1.一种基于USB Key设备的安全交易方法,其特征在于,所述USB Key设备内置有网络浏览器,所述安全交易方法包括 计算机与所述USB Key设备建立连接; 在所述建立连接成功后,所述计算机启用所述USB Key设备内置的网络浏览器进行网上交易,其中,所述网络浏览器在运行过程中缓存的数据和历史记录存储在所述USB Key设备上。
2.根据权利要求I所述的安全交易方法,其特征在于,所述计算机与所述USBKey设备之间传输的数据为图像数据。
3.一种基于可信计算的USB Key设备,其特征在于,包括 USB接口模块,第一存储模块,第二存储模块和CPU控制电路; 其中 所述USB接口模块用于连接计算机; 所述第一存储模块用于存储网络浏览器,以便当所述计算机与所述USB Key设备建立连接后,所述计算机启用所述第一存储模块存储的网络浏览器进行网上交易; 所述第二存储模块用于存储所述网络浏览器在运行过程中缓存的数据和历史记录;所述CPU控制电路分别与所述USB接口模块、所述第一存储模块和所述第二存储模块连接,用于控制所述USB接口模块、所述第一存储模块和所述第二存储模块的运行。
4.根据权利要求3所述的USBKey设备,其特征在于,所述USB Key设备还包括 与所述CPU控制电路连接的按键模块,以便用户通过所述按键模块输入所述网上交易的交易确认信息。
5.根据权利要求3或4所述的USBKey设备,其特征在于, 所述USB Key设备还包括 与所述CPU控制电路连接的显示屏,所述显示屏用于显示所述网上交易的交易信息。
6.根据权利要求3或4所述的USBKey设备,其特征在于, 所述USB Key设备与其连接的计算机之间传输的数据为图像数据。
全文摘要
本发明实施例公开了基于可信计算的新型USB Key设备及其安全交易方法,所述USB Key设备内置有网络浏览器,所述安全交易方法包括计算机与所述USB Key设备建立连接;在所述建立连接成功后,所述计算机启用所述USB Key设备内置的网络浏览器进行网上交易,其中,所述网络浏览器在运行过程中缓存的数据和历史记录存储在所述USB Key设备上。本发明实施例提供的技术方案能够有效提高网上交易的安全性。
文档编号G06Q30/00GK102708491SQ20121012950
公开日2012年10月3日 申请日期2012年4月27日 优先权日2012年4月27日
发明者吴锦桐, 李阳, 王国升, 黄小鹏 申请人:东信和平智能卡股份有限公司