一种安全的提供应用服务的移动电子设备的制作方法

专利名称：一种安全的提供应用服务的移动电子设备的制作方法
技术领域：
本发明属于移动计算设备安全机制与工作模式扩展的技术领域，可用于保护信息安全以及应用程序的云端化。
背景技术：
先概括地说明一下这一产品的技术背景。近年来，随着随着信息技术的不断发展，各类计算机层出不穷，计算机的应用领域也深入到了社会的各个层面。根据美国康奈尔大学计算机科学系工程教授JohnHopcroft教授总结，当前计算机领域 存在两个明显的趋势，分别是智能移动设备的大量使用，以及云计算的发展。然而，伴随着这两个趋势，用户终端上也就凸显出了相应的两个问题，迫切需要可靠的解决方案。2.1.移动设备、移动存储设备、移动专用网的安全问题2.1.1移动计算设备安全性问题在物联网发展背景下各行业客户对移动终端提出了各式各样的需求，为移动终端的发展带来巨大商机，同时也提出挑战。标准化、一体化、小型化、智能化、规模化与低成本化成为移动终端物联网化的主要趋势。现有的移动设备主要是指平板电脑、UMPC和智能手机这三大类可以用于移动办公的电子终端设备。随着移动设备的普及，很多企业的员工开始使用这种新型的移动设备作为办公终端。2010年平板电脑的销量1700万台，Gartner预计2011年将达4500万台。2012年UMPC出货量4400万台。据Gartner统计，2010年第四季度，智能手机(I亿部)的销量首次超过PC (9200万台)，2010年智能手机增长72%。而随着云计算技术和3G甚至4G无线数据通信服务的广泛应用，更加便携和随时在线的移动设备会更加普及。最近还有两个典型的例子。一个是Intel的NUC (Next Unit of Computing)。这是一个超小外形的PC平台，适用于数字标牌(Digital Signage，多媒体信息发布系统)等等商业应用。其电路板尺寸只有IOX IOcm公分大，可搭载Core 5/ 3处理器。主板上配备内存与PC1-E插槽，内建整合无线网络、USB 3. O、Thunderbolt等功能，只有手掌大小。另一个是U盘大小的计算机。挪威公司FXI Technologies第一次将“双核、Android ICS”U盘计算机正式投入市场后，仿佛U盘计算机的春天一下子开始绽放了，诸如AndroidMini PC MK802等大量出现。新型办公终端的引入，为个人信息安全以及企业内部的信息安全带来了新的挑战。A.移动设备风险分析A.1.移动设备的特性移动设备在几何尺寸、物理特性、计算能力、应用场景等方面与以往的台式或膝上设备(台式或笔记本计算机)都发生了较大变化。主要体现在(I)体积小重量轻，更便于携带；(2)持续供电能力相对较低；
(3) CPU的计算能力相对较低；
(4)具有多种通讯接口，如USB、LAN、WIF1、蓝牙、3G无线数据通讯、GPS等；
(5)在移动的环境中使用；
(6)缺少本地的技术支持；
(7)操作系统种类繁多，如 Android、iOS、Symbian、Windows Mobile 等。
A. 2移动设备的信息资产
移动设备是个人专用产品，而且通常有十多种应用在上面运行，如电话、电子邮件、日程、访问互联网、通讯录、任务管理、消息(文本/图片/视频)、聊天、VPN、文件管理、 存储、社交网络、位置服务、移动商务。使用这些应用或服务时，肯定涉及大量的个人信息， 如银行账户、邮件内容、消息内容、账户和密码、联系人信息、网站访问足迹、个人行程安排等等。除此以外，移动设备上可能还存储与工作相关的文档和数据。
A. 3移动设备的脆弱性
移动设备的最主要的特性就是便携性，因此它的物理安全脆弱性要远比台式设备高，很容易遗失或被盗。移动设备使用的操作系统种类和版本繁多，很多都存在漏洞。 目前移动设备的主流操作系统有iOS (苹果公司开发的，基于苹果OSX的操作系统)和 Android(谷歌公司开发的，Linux和基于Java平台的Dalvik两种操作系统的结合体)。 以iOS为例，从发行到现在共发现了 200多个漏洞，其中大部分属于低风险漏洞，利用这些漏洞，一般只能取得某个应用程序的控制权限。也有些漏洞可以导致非常严重的问题，攻击者甚至可以实现对设备的管理员级控制，这样就可以获取设备中几乎所有的数据和服务。 iPad2 iOS越狱行为(获得系统的超级用户权限，以便随意擦写任何区域的运行状态，进而安装和运行第三方程序)，是利用浏 览器访问越狱网站触发PDF字体处理上的缓冲区溢出漏洞，获得对设备的完全控制。整个越狱过程本质上和黑客攻击的原理完全一致，只是越狱过程是设备使用者自愿利用漏洞。理论上一个经过越狱的系统，就是一个证实存在漏洞的系统。Android系统的情况也很类似，目前已发现的18个漏洞中修补了 14个，另外未修补的4个中只有一个是高危漏洞，在Android V2. 3得到修复。但是未升级到2. 3版本的设备将存在闻危风险。
移动设备上的通讯接口比固定使用的设备上的通讯接口要多，因此这些种类繁多的通讯接口都可能成为新的攻击面。而有些通讯没有经过身份认证和加密，很容易受到攻击。例如，GPS通讯很容易受到干扰和欺诈。
有些脆弱性是由于系统的配置不当引起的。原则上设备上暂时不用的端口，应该配置成关闭。例如，在不使用蓝牙的时候，应该关闭蓝牙设置。应该配置身份认证选项，使得系统启动后需要身份认证才能继续使用设备。
A. 4针对移动设备的安全威胁
恶意代码是移动设备的最大威胁，这些恶意代码主要表现为病毒、僵尸程序和间谍软件或三者的混合体。病毒的主要作用是在用户不知道的情况下滥用网络，如拨打高收费电话或发送多媒体短信，以消耗用户的费用，套取非法收益。僵尸程序主要是作为黑客控制被攻陷系统的代理，攻击者可以用来发动拒绝服务攻击。间谍软件可以用获取系统上的机密信息。例如2006年9月，有人发现塞班操作系统上运行着一种称为Acallano的间谍软件。这种间谍软件把所有收发的短信息导向一个外部的号码。这样就会允许别人安装间谍软件监视受害人的短信流量。2006年4月，一款叫做Flexispy的商业软件上市。这款软件可以远程激活设备的麦克风监控电话内容。尽管这款软件的初衷是用来监控配偶或是不听话的孩子，但也可以作为公司的监听工具。它会在用户不知情的情况下，发送日志信息到中央服务器。黑客也可以藉此访问实体设备安装软件，读取机密的信息，从服务器上检查日志信息，并实施窃听。这些威胁与台式终端上的完全类似。所不同的是，这些恶意代码的传播途径更加丰富一些，主要包括
(I)通过文本短信和多媒体短信传播病毒
可以通过影响智能电话的文本传输能力和PM数据，将病毒传播到其他手机上。 在支持丽S文本功能的手机上，Mabir病毒就可以通过回复短信实现传播。在西班牙， Commwarrior病毒可以将病毒发送到手机中联系人的手机上。
(2)蓝牙
蓝牙设备在处于“可发现”模式时会给窃听者提供敏感信息，他们会通过这些信息来访问你的设备。Blue Bug攻击可以让攻击者在被攻击的蓝牙手机上拨打电话、发送和接收短信、阅读和编写电话簿联系人、偷听电话内容以及连接至互联网。BlueDump攻击通过蓝牙设备的配对信息破解PIN码。BlueSmack攻击通过发送“ping-of-death”消息,可以使蓝牙设备崩溃。BlueStab攻击利用特殊格式的名字在蓝牙设备自动发现时造成设备崩溃。 BlueSnarf可以让攻击者从蓝牙设备上获取联系人信息和日程数据。
(3)播放被精心修改过的多媒体文件
这种攻击方式在固定设备时代就存在，通过诱骗受害人在移动设 备上播放被精心修改过的音频或视频文件，造成播放软件造成软件甚至系统的崩溃。
(4)通过与PC机互联
移动设备经常需要与PC机互联，进行数据同步。如果PC机上安装了恶意程序，它会通过两者间的互联通路入侵到移动设备上，窃取数据。
(5)安装未经安全检验的第三方应用程序
有些攻击者在移动应用软件在线市场散布含有恶意代码的应用，或是篡改经过安全认证的应用并在网络上分发。移动设备使用者如果随意从网络上下载应用并安装，很容易感染恶意代码。欺骗的网络连接是针对移动设备的网络层的威胁。移动设备的网络连接通常是无线链路。攻击者可以设置伪装的无线接入站点，引诱用户设备与伪装的接入站点进行连接，从而监听用户的互联网通讯或实施钓鱼攻击。通过伪造GPS信号对目标设备进行GPS欺诈攻击。
B.目前移动设备安全策略
由于移动设备的上述特殊性，再加以移动设备不具有统一的架构与系统，其防范难度很高，防范手段都不能很有效。见本说明书最后一页参考文献列表中的参考文献[I]。
B.1物理安全策略与后发补救策略
(I)启用PIN或者安全锁密码，锁住移动设备
(2)将移动设备的MEI号码在运营商那里进行注册，一旦设备被盗，可以申请运营商阻断被盗设备。这样做的风险是即使找回被盗设备也无法继续使用了。
另外，采取一定技术手段，一旦移动设备被盗，可以顺利地定位被盗设备的位置。 例如可以在移动设备上安装追踪定位软件，当被盗设备接入互联网，它会悄悄地与公司的监控中心联系，公司可以在权威部门的配合下追踪并收回被盗设备。B. 2网络安全策略在网络接入层对移动设备进行准入认证。安装了指定客户端安全检查软件的移动设备才准予接入网络。这个策略与固定终端网络环境下的要求是一致的。所不同的是，对于移动设备多数情况下使用无线链路，为了避免移动设备接入到欺诈网络，对无线设备的准入控制应该是双向的，即符合准入条件的可以接入企业内网，同时也不能随便接入未经认证的网络。这种阻止移动终端接入非认证网络的工作机制同样是依靠客户端软件与认证服务器之间的通讯进行准入判断。B. 3操作系统及应用程序安全策略操作系统的安全策略主要包括三个方面，一是正确进行配置，避免因为配置缺陷 而遭受攻击。二是避免随意安装未经安全认证的应用程序。三是及时进行系统更新和应用程序的版本升级。为了实现上述目标，一般在企业内部建立移动设备的应用程序库，程序库中的应用程序都是经验过安全验证，证实没有安全问题的。移动设备只能从应用程序库中下载安装程序。2. 1.2移动存储设备安全性问题移动存储设备，尤其是移动硬盘与U盘，由于其价格便宜、携带使用方便得到了广泛的应用。内网中机密数据以电子文档的形式存储在电脑上，在方便了内部人员对信息的获取、共享和传播的同时，也存在重要信息通过内部途径泄密的风险。据有关部门研究表明，USB移动存储设备导致的泄密已经成为了内网信息流失的主要途径，见参考文献[2]。试想一下，如果存满了文件的移动硬盘丢失，对于用户的威胁会多么可怕？目前，大部分企业实现了无纸化办公，企业所有信息均以电子文件的形式存在，对电子文件的管理是企业信息安全中必不可少的一个环节。移动存储设备有利于信息在企业中的流通，方便了人们的工作。同时，移动存储设备的使用也带来了很大的安全隐患。如何保证移动存储设备中电子文件的安全使用是一个值得关注的问题。具体地说，在移动存储设备的使用中，移动存储介质的体积比较小、重量野很轻，其本身很容易丢失.在使用的过程中移动存储介质一般没有防护措施，内存的信息资料丢失或被盗的情况时有发生，给人们的信息安全带来了极大的威胁。很多移动存储介质中保留了可以作为档案资料保管的信息，但是对移动存储介质的保管不善或者损坏也会导致存储介质的信息不能正常读取，信息资料不能及时调出和复制，就失去了电子档案应有的保存价值。移动存储介质的使用者也经常忽视对移动设备的查杀毒工作，这也会给移动存储介质的信息质量造成一定程度的影响。在实际的使用中，移动存储介质不可避免地会感染一些外在的计算机病毒，如果不能及时有效地查杀病毒，轻易将染毒文件在单位内计算机打开，就很容易将病毒传播到单位内部网中，影响到单位内计算机的应用操作。移动存储介质的使用者有时候将工作信息与个人信息都放在一起存储，这种公私混用的情况，也会埋下很多的安全隐患。移动存储设备的存储量比较大，所以很多人将它随时携带，以便能够在不同的环境中都可以使用，但是也会造成单位的资料和个人的资料混杂在一起，管理不善就容易出现使用上的差错。如果移动存储体被借用时，其中的重要信息资料就存在泄露的风险。
对移动存储介质来说，电子文件的安全保护目前主要采用内核加密、身份认证、访问控制和安全审计等技术来实现
1.加密技术，保证只有拥有密钥的人员才能对文件进行操作。一些制造商为了提高产品的技术含量，开发出具有指纹识别、加密分区等安全措施的移动存储设备，如果不慎丢失，一般人可能无法直接获取其中数据，但对专业人员来说，这些数据安全措施是容易被攻破的。随着密码破解技术的发展，不论是运用Word、WPS等自带的密码功能设置密码，还是利用加密软件对文件、文件夹甚至全盘进行加密，都有可能对密码进行破解，只是时间长短的问题。
加密技术的两个基本元素是加密算法和加密密钥。加密按照发送方/接收方的加密密钥/解密密钥是否相同可以将加密技术分为对称加密和非对称加密。对称加密也称为私钥加密，它是指发送方、接收方采用相同的密钥对数据进行加密、解密。对称加密的安全性取决于密钥的安全性，只要密钥是安全的那么即使对手知道了密文和加密算法在没有密钥的情况下也不可能获得明文。值得注意的是加密方式的安全性判别有两个标准，通常可以认为只要破解密钥所花费的时间超过了加密信息本身的有效期或者破解密文所花费的成本超过了密文本身的价值，那么可以认为该加密算法就是安全的。见参考文献[3].
加密最常用的三种加密算法是AES、DES和三重DEA。对称加密算法的操作简单， 但破译却并不容易。DES是最为经典的数据加密方案，它是由NIS (National Institute of standard美国国家标准和技术局)在1977年提出的数据加密标准中定义的。DES采用了 Feistel密码结构，加密方案由明文、密钥和循环组成，DES将明文以64比特分组，采用56 比特的密钥对明文进行加密并进行16次的循环处理最后得到64比特的密文。DES的问题在于随着计算机技术的发展处理器速度的不断提高，DES无法抵抗蛮力破解。抵抗蛮力破解最简便的方法就是提高密钥的长度，Tuchan在DES的基础上提出了三重DEA，该算法基本思想是使用3个密钥并执行了 3次DES算法，算法的密钥长度达到了 168位，这使得蛮力破解在有限时间内无法成功。美国国家标准和技术局在1997年提出要采用新的数据加密标准即AES，用以改进DES密钥过短的问题，最终Dijmen算法胜出。Dijmen算法的密钥长度可以是128位、192位、256位，该算法具有强安全性、高效率和灵活易用的特点。
2.访问控制。一般需要和身份认证相结合，访问控制机制的基本思想是对文件和管理人员赋予相应的权限，只有具备对文件操作的权限才能对文件进行操作。访问控制技术是信息安全技术中不可或缺的一环，访问控制技术的基本思想是根据用户所拥有的权限来控制用户对资源的访问。访问控制技术大体上可以分为扁平化结构和层次化结构，扁平化结构的特点是用户权限和资源直接关联，层次化结构的特点是用户权限和资源之间并不直接祸合。
3.安全审计。只有对电子文件的操作过程进行记录才能保证在电子文件泄漏事件发生后对责任人进行处理，从而降低泄漏事故发生的概率。但是，移动存储设备的管理方面缺乏有效的管理监督机制和保密机制。
这些问题亟待解决，否则人们对移动存储设备的信息安全就会越来越不信任，生活和工作中也将出现更多意想不到的问题与麻烦。
2.1. 3移动终端VPN认证与数据安全问题
虚拟专用网(Virtual Private Network,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式)、Frame Relay (巾贞中继)等之上的逻辑网络,用户数据在逻辑链路中传输。在传统的企业网络配置中，要进行异地局域网之间的互连，传统的方法是租用DDN(数字数据网)专线或帧中继。这样的通讯方案必然导致高昂的网络通讯/维护费用。对于移动用户(移动办公人员)与远端个人用户而言，一般通过拨号线路(Internet)进入企业的局域网，而这样必然带来安全上的隐患。虚拟专用网的提出就是来解决这些问题(I)使用VPN可降低成本一通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。(2)传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。 (3)连接方便灵活——用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。(4)完全控制——虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。VPN通过对网络数据的封包和加密传输，在一个公用网络(通常是因特网)建立一个临时的、安全的连接，从而实现在公网上传输私有数据、达到私有网络的安全级别。VPN技术的主要思想是利用公共网络基础设施建立一个临时的、安全的连接；通过标准、公用的因特网来访问企业内部网络,将内部的敏感关键数据能够安全地借助公共网络进行交换，实现了在防火墙间进行加密通信，确保系统重要数据的真实性和完整性等。VPN在多种场合都起到了安全通信的作用，例如I)分支机构通过互联网安全互联一个公司可以在互联网和公用场所上建立安全的虚拟专用网，使得依赖于互联网的交易变成可能。并减少了对专用网络的需求。节省了开销和网络管理费用。2)远程安全访问互联网使用了 IP安全协议的终端用户可以通过本地调用访问互联网服务商，以获得对公司网络的安全访问。减少了雇员上班和远程通信的费用。3)与合作者建立内联网和外联网联系VPN可以与其他组织进行通信，确保认证，保密，和提交密钥交换机制。4)加强电子商务的安全性虽然一些WEB服务和电子商务应用程序是建立在安全协议之上的，但使用vPN可以加强其安全性。目前使用较为广泛的VPN技术是IPSecVPN，但IPSec VPN解决方案需要使用胖客户机(客户端需要运行和维护庞大的应用程序)，这给企业带来了很多管理难题和高昂的支持费用。胖客户机解决方案需要企业动用庞大的支持队伍，帮助终端用户安装、维护及排除故障。为克服该问题，免除安装客户端的SSL vPN技术应运而生。但SSLVPN应用的局限性也很大，侧重于数据库一应用服务器一 Web服务器一浏览器这种模式，在部署方式、保护范围、认证方式上限制较多。另外，“免客户端”(clientless) —词对SSLVPN来说并不完全正确。虽然SSLVPN隧道从用户的浏览器开始建立，但往往必须下载桌面代理-Java applet 或者ActiveX控件，以便访问瘦客户机、客户机/服务器，或者其他并不适合于网页表示的应用。针对这两种主流VPN技术的局限性，许多VPN厂商为顾客同时提供这两种解决方案。 但这样一来，企业不仅仍要部署IPSecVPN并维护每个PC上的客户软件，还要解决SSLVPN 产品在前面所述的不足之处。
另一种模式就是通过安全客户端。现阶段市场上能够作为安全客户端的产品几乎没有，比较接近的产品有安全U盘，以及增强型安全u盘，即USB KEY与U盘的整合。基于 USB的VPN安全移动客户端是将客户端程序与USB设备相结合，USB是现在最流行的即插即用的接口，支持从人机交互设备，到大容量存储设备，以至于USB网络设备，等各个方面的外部设备。要实现VPN安全移动客户端既要利用U盘设备的存储能力，又要利用USB Key 的安全特性。USB KEY以其安全性、便携性和安全策略的灵活性，在众多安全方案中脱颖而出，成为安全令牌中的佼佼者。基于系统安全需求以及对成本的要求两方面考虑，USB KEY 通常分为高、中、低档产品。其中多嵌入智能卡模块用于实现密钥以及其他敏感数据的安全存储、可靠使用和算法的安全实现。由于密钥和安全运算不出卡，因而系统的安全性得到了一定的保障。但是U盘的使用是透明的，并且没有任何的安全控制，一旦丢失，存储的所有数据和文件都将被其他人任意读出。这就限制了其在特殊的或者有安全要求的领域(如税务信息的电子申报，社保体系的数据采集和上传等)中的使用。
如果想通过上述两种设备来实现安全移动客户端首先要解决将两种设备和二为一的问题，同时又要解决U盘存储的安全问题。另外还要防止放入安全客户端中的VPN客户端程序以及相应的配置文件等重要信息被恶意篡改等问题。
2.2.从云存储到云应用面临的成本问题和可操作性问题
2. 2.1云应用模式仍然以企业大服务器为主
由于互联网数据量的快速增长，单节点计算能力的物理限制，移动智能终端的快速普及，以及接入带宽的不断 提高，促成了云计算这种计算模式的快速发展和逐渐成熟。其实早在1997年,南加州大学教授Ramnath K. Chellappa就提出了云计算的第一个学术定义，他认为“云”是一种计算模式，计算的界限是由经济合理性决定的，而不是由技术水平来决定。
云计算是网格计算、分布式计算、虚拟化、并行计算、效用计算、负载均衡、网络存储等传统计算机技术和网络技术发展融合的产物。云计算的目的是通过网络把多个低成本的计算实体整合成一个具有强大“性价比”的计算机应用系统，并借助SaaS、PaaS、IaaS、MSP 等先进的商业模式把这强大的计算能力分布到终端用户手中。这种特性经常被称为像水电一样使用IT基础设施，见参考文献[4]。
最先是云存储。苹果iCloud, Google,亚马逊 Cloud Drive, Windows Live SkyDrive和Dropbox纷纷推出了大容量的存储空间。虽然相比于目前动辄数T的本地存储空间，以及本地已经每秒数G的本地或USB传输速度，云存储的区区数G的大小和以M每秒计算的网络传输速度显得还很不足，或者说这也可能是由于硬件存储与传输接口的发展速度总是会快于网络环境发展速度造成的必然结果，但是不可否认的是，云存储在文件交互、 故障维护上比用本地存储方便很多，所以是本地存储的有效可靠的补充。
云计算的第二个阶段，就进入了目前最新的话题之一，云应用的阶段。以搜索引擎为核心业务的Google公司为例，云计算等同于应用服务化。在Google的应用模型中，应用处在“云”中，即Web中的某个地方。“云”中的应用程序在使用者看来是可以无限的，并且可以随时获取，按需使用，随时扩展，按使用付费。还有近年来较为知名的VMware，ChromeOS，VMforce等一系列云计算应用产品，均为云应用的发展做出了较大的贡献。为了客观的认识下云应用，让我们看看典型的Chrome OS。Google在2009年首次提出Chrome OS的概念，一个轻量、基于云计算、以浏览器为重心的操作系统。这个概念很简单，也很有潜力我们大多数时间都泡在浏览器中上，所以为何不设计一款主打浏览器的廉价笔记本呢？ Google于2012年10月18日发表最新款Chromebook,定价249美兀,与PC的价格差不多。这是Google两年来推出的最便宜Chromebook。Google希望将Chrome网路浏览器的成功化为笔电和个人电脑的商机。这款和三星电子合作生产的轻薄型笔电采用ARM芯片，型号Exynos 5的双核心处理器,来自ARM最新的Cortex_A15架构；其他规格·包括，使用WiFi连网、11. 6时屏幕、内建16GB储存空间、2GB RAM、蓝牙联机、USB和HDMI夕卜接、也可用SD卡扩充，Google额外赠送两年100GB的Google Drive云端空间给消费者。重量2. 5磅(约1. 13公斤)，厚度不到O. 8时(20mm)，电池续航力可达6. 5小时。Chromebook新款计算机没有硬碟，操作起来像一台终端机，须依靠网路连线以执行储存于Google资料中心的应用软体，包括文书处理和游戏等。Google希望推动消费者从“云端”使用软体，远离以个人电脑作业系统为主的应用程式，例如微软的视窗。这种云端应用的缺陷还是很明显的。制造方谷歌提供服务器的成本门槛就不用说了，用户端也有麻烦首先，依赖于网络的存在。由于ChromeOS是一款基于Web的操作系统，人们不可能24小时都保持在网络中，那么没有网络支持的ChiOmeOS是否会变得一无是处。第二，依赖于网络的高速。网络的速度能够支持在线播放、在线编辑文档、甚至在线小游戏，但是无法进行更具实用性的工作与娱乐。网络的速度无法支持在线玩大型的3D游戏或者进行Matlab工作程序运算。后者即使从外接的USB3. O设备载入都需要很久。诚然网络的速度会发展，但是不可否认的是程序与游戏的复杂性与计算量增长的更快。第三，恐怕也是最重要的一点，应用的局限性。现在的Google Chrome像一个网络化的DOS (DiskOperation System磁盘操作系统)，它的启动速度够快，但是局限太多，支持的东西太少。谷歌表示，“所有Chrome OS应用都采用Web技术”。因此Chrome OS能够支持的应用必须是可以基于Web运行的。这也就是说用户购买的实质上是一个浏览器。确实，用户每天花很多时间在浏览器上。但是不可否认的是，这种认识忽略了计算机的生产力本质，以及计算机正在以前所未有的速度进入各行各业工作的事实。即使是娱乐方面，更多复杂的大型的游戏也正在取代愤怒的小鸟。云应用如果仅仅定位在浏览器运行Web应用的话，那恐怕是没有意义的。第四，抛弃本机文件目前还没有实际上的需要。本机文件最大的特点就是访问迅速，而存储于网络的文件访问速度在目前来看根本无法达到这个速度。第五，用户所有数据都存储在网络上，安全性如何获得有效的保障，是一个很大的疑问。假设用户可以相信Google能够提供足够安全的环境，但一些不想置于网上的隐私应该怎么办？以上种种疑问，证明Chrome OS在储存和安全性方面，还有一段很长的路要走，这些也就是为什么Chrome OS遭遇市场反应意外冷淡的原因。
再看另一类代表设备以微软服务器的RemoteApp和Critex主导的远程XenApp 模式。同样服务方的成本是一个问题，另一方面，用户端只是远程视窗，计算在服务器进行， 而服务器的耗载是有限的。同时，允许用户设备远程到大公司的服务器本身也有安全隐患。
综上所述,正如John Hopcroft教授所说,对于云应用，必须先解决下述最为迫切的问题，才能具备真正的应用市场如景
1.兼容性。云中应用种类繁多，如何在统一的云系统中支持各种各样不同类型的应用。
2.安全隔离。云中的应用种类多样，如何保证各种应用之间的安全隔离，同时能否及时阻止包括云内和云外的非法访问，以保证各种异构应用的安全。企业考虑部署云应用时，安全问题常常是最常见的障碍。根据IDC的调查，90%的企业认为安全是部署云的最大障碍。云端模式必须首先能够为用户提供安全的服务，这意味着，应用所在平台必须首先是一个安全的平台、放心的平台，用户才会选择将应用转到云端中。
3.降低成本。否则一般中小公司与个人无法实现云服务。
4.改变计算模式。否则服务方资源会限制服务的载荷。
2. 2. 2个人云的缺乏
此外，公共云是不具有个性的同质化服务，因此出现了个人云。个人云计算是云计算在个人领域的延伸，是以Internet为中心的个人信息处理，即通过Internet对个人的各种信息进行组织、存储、分发和再加工。与所有的“云”一样，个人云由服务器、终端、应用程序和个人信息组成。个人云计算具有与一般云计算相同的特征，例如共享、随意访问和可扩展。同时，它也具有与一般云计算不一样的特点，这是由个人信息的特点决定的。个人信息是私有的，对安全性要求较高。个人拥有大量的图片、视频等多媒体信息，要求存 储量大并可以扩展，而对计算能力要求不强。市场调研机构Gartner预测，“个人云”在2014年将取代PC，成为网民数字生活的核心，真正进入应用驱动的时代。但是，尽管个人云存储是大势所趋，并且目前已形成了一定的规模，但如文献[5]所述，个人云存储还存在几大难题待解。
首先，个人云服务尚处概念导入期。目前PC终端价格日趋低廉，用户对计算、存储能力的需求又在成倍提高，并对系统安全性要求越来越严苛。
其次，个人云存储的数据安全值得警惕。就如U盘有丢失的风险一样，把数据放在服务商提供的服务器上也带来了风险平台用户信息泄露屡有发生；数据遗失之后的无能为力；隐私数据被人获取后将给你造成的巨大伤害。尤其是2011年爆发的各种大型网络信息泄密的事件更是让人担忧云服务的数据安全。目前，个人用户对于云计算技术最为关心的话题就是数据的安全性，毕竟谁都不希望自己的隐私(例如照片、日记等私密信息)成为公众浏览传播的对象。保护用户数据安全的最好方法就是采用加密技术。
第三，目前的个人云缺乏通用设备，全部来自商业服务，商家需要承担成本，因此均有收费或广告。
基于以上三点，可见，当前如果有可个性化的、便宜的又安全的通用个人云设备， 对个人云计算的发展将很有帮助。
综上所述，技术背景中提出的问题可以概括为1.移动设备、移动存储设备的安全防护与VPN认证机制的保护2.改变模式实现应用云的安全并降低负载与成本
为了实现一个可靠的新型移动设备就必须解决上面的四个方面问题。很显然，上述问题的重要性也是按照该次序排列的。所以我们先考虑了第一个问题，在确定第一个问题的解决方案的基础上再考虑接下来的第二个问题。要为该云端计算设备建立新的安全机制。我们先针对对移动设备的攻击手段进行分析。从安全要素的角度划分，系统攻击方法可以分为针对机密性的攻击，针对完整性的攻击，以及针对可用性的攻击三个主要类别。从攻击行为所在的层次，可分为“系统结构安全”和“通信安全”两个层次。“系统结构安全”层次上的攻击手段主要有物理攻击、软件攻击和旁路攻击等；“通信安全”层次上的攻击主要有信道监听和消息篡改。1.软件攻击软件攻击是计算机系统和移动设备系统中一种重要的攻击手段。随着移动设备系统中软件复杂性的提高，软件安全重要性凸显。部分软件攻击或者破坏操作系统内核，或者在程序中灌注病毒，注入木马等等。要避免软件攻击，需要在软件设计生命周期中实施安全控制。实践中，软件安全策略必须应用于需求分析、构架设计和编码等各个阶段。2.物理攻击物理攻击又称作版图重构攻击。通过研究连接模式和跟踪金属连线穿越可见模块(如R0M、RAM、EEPR0M、ALU和指令译码器等)的边界，从而使攻击者能够迅速识别芯片中某些基本结构(如数据线和地址线)的方法。当使用这种攻击方法时，首先需要用丙酮融化塑料外壳，然后在酸性溶液中去掉环氧树脂是芯片裸露出来，然后再使用光学显微镜或电子显微镜对芯片表面进行分析。由于需要昂贵的设备、丰富的专业知识，物理攻击相应于其他攻击实现起来比较困难。3.旁路攻击观测并分析安全机制运行时的系统状态，推断和分析系统内部和安全相关的关键信息。这类攻击常用的几种手段是时间攻击(通过观测密码计算的执行时间推测密钥信息)、能量分析(通过统计输入数据的能量消耗情况，推测密钥信息)、错误注入攻击(利用系统外部参数和环境条件使系统部件产生错误)和电磁分析攻击(通过测量一个设备放射的电磁辐射来获得敏感信息)。4.信道监听发生在有线/无线通信信道上。无线信号的传播性质使得它被窃听的可能性比有线网络更大。如果这些信息是以明文传输，攻击者便能轻易地截取任何在信道上传播的信
肩、O5.消息篡改大部分攻击者不仅仅满足于盗窃信息，或者某些信息的获取可以通过未授权的非法信息交互获取，他们往往会向无线信道中注入不良信息破坏系统正常工作。所以可见，目前的针对移动设备的攻击手段威胁最大的还是软件攻击与旁路攻击。他们都是针对系统的安全性漏洞进行的攻击。因此，要从根本上摆脱被攻击，就需要采取强隔离与虚拟化技术，通过下述技术方案实现对设备分隔客户端与操作系统，并采用虚拟化的方式构建其操作系统。在某种程度上看很像双系统计算机，但是差别在于客户端仅仅是用于安全认证与启动操作系统的，本身不具有用户的信息、应用、数据。三、发明内容
3.1发明的工作原理
我们提出的一种新的工作流程是设备上装有客户端，这只是一个直接在底层运行的基于少量虚拟化硬件资源的客户端系统，具备管理运行程序与文件功能的工作系统， 但是系统(或至少关键启动文件)存储在远程服务器或客户端能够调用的存储设备中或加密隐藏的文件中。用户成功登录客户端后，设备才载入文件并可启动便携式系统。
设备在生产的时候嵌入客户端系统与操作系统的缓存文件，并对文件分区进行加密，并将系统的关键启动项文件绑定硬件指纹，随后却将系统的启动项文件和分区密钥文件从设备删除，存储到服务端(目前已有J2EE服务器等多种服务端试运行)。
出厂设置多种用户权限，支持管理员用户新增自定义权限用户。当用户启动设备时，载入的是一个直接在底层运行的基于少量虚拟化硬件资源的客户端系统，该系统审查用户的身份并核对硬件指纹后才由服务端释放启动项与密钥到客户端，客户端才能打开文件磁盘并加载具有完整设备权限与功能的操作系统。
设计流程表归纳见说明书附1.
该设备具有三种工作模式，第一工作模式是外接显示设备与输入设备作为本地计算机使用，第二工作模式是经USB端口与其他计算机或平板连接、登陆客户端并启动设备系统作为子计算机使用，第三工作模式是在其他设备上通过互联网加载设备、登陆客户端并启动设备系统作为子计算机使用。为了方便说明，下面在本说明书中常简称发明为该设备或云端设备或云端子计算机。
本机启动的模式可以被概括为说明书附2.
我们直接在硬件之上运行虚拟机客户端，具体相应的虚拟化类型可以是直接虚拟或半虚拟化。虽然直接虚拟加上特权指令翻译技术实现会比较简单，但是开销过大。早期 VMware就是为了兼容x86架构而开发的，它采用的是结合传统的直接虚拟和快速二进制转换的方式。在大部分现代操作系统中，运行普通应用程序的处理器模式是可以虚拟化的， 因此能够使用直接虚拟方式。二进制转换器能够运行在特权模式下，转换不能被虚拟化的 x86特权指令。被转换的代码看起来很类似于半虚拟化方式下生成的代码普通的指令不经变化就执行，转换器则替换掉需要特殊处理的指令。但是，二进制转换方式和半虚拟化方式有一个重要的不同二进制转换不是对操作系统或者应用程序的原代码实施变化，而是在代码初始执行时进行变换。二进制变换结合直接虚拟虚拟化方式一个不可忽略的问题是性能。因为使用直接虚拟方式时，特权代码的频繁陷入会产生比较大的性能开销，每次陷入时，控制权都要从虚拟机转换到虚拟机管理器，然后再转换回虚拟机。这个问题对于指令处理复杂的CPU尤其明显，比如X86CPU，陷入会造成很高的开销。
半虚拟化是为虚拟机提供的抽象并非和底层硬件完全一致而是类似。通过半虚拟化方式，虚拟机管理器的设计者通过把原始指令中无法虚拟化的部分替换为容易虚拟化并且更加高效的等价指令来定义虚拟机的接口。Xen在设计之初采用了半虚拟化技术，需要少量修改客户端操作系统内核，使之与虚拟机管理器协同工作。在我们的实例部分中介绍的样品设备，客户端的虚拟是采用了半虚拟化类型。
同时，设备执行的是一种高强度的权限管理，对不同权限级别的用户分别给予管理员权限，写入权限，浏览权限以及自定义权限，在自定义权限下支持禁止打印、禁止剪贴板、禁止复制、禁止运行、限制浏览次数、设定账户终止日期、设定允许访问IP、设定禁止访问IP、只显示特定文件、禁止访问特定文件、禁止粘贴、禁止修改、禁止删除、禁止导入文件、禁止导出文件、屏蔽程序菜单等安全控制。我们实际生产实现了这种设备，在我们生产的设备中，管理员可以完成上述的全部权限控制，参见说明书附3。管理员用户可以执行用户端全部权限，并可查看操作日志。参见说明书附4。管理员还可以追踪设备IP，防止被盗或追踪是否有黑客访问。参见说明书附5。3. 2发明的三种工作模式
有了第一个问题的解决方案，我们再考虑如何解决第二个问题，应用的云端化。除了以Chrome OS为代表的基于Web的云应用，另一种当前技术手段主要是虚拟化，比如虚拟远程服务器VPS在建站中的广泛应用。虚拟化技术是一种调配计算资源的方法，它将应用系统的不同层面一硬件、软件、数据、网络、存储等一一隔离开来，从而打破数据中心、服务器、存储、网络、数据和应用中的物理设备之间的划分，实现架构动态化，并达到集中管理和动态使用物理资源及虚拟资源，以提高系统结构的弹性和灵活性，降低成本、改进服务、减少管理风险等目的。目前虚拟化的产品已经有许多种，完全虚拟化的产品以Vmware Server, QEMU, VirtualBox, Parallel Workstation 为代表，半虚拟化的产品以 Xen,Vmware ESX Server, Microsoft Hyper-V 为代表。现如今虚拟机技术根据应用和与直接机器的相关性可以分为两个方向系统虚拟机(system virtualmachine)和程序虚拟机(process virtual machine)。系统虚拟机提供一个可以运行完整操作系统的完整系统平台，它使用的是ISA级的抽象化。相反，程序虚拟机为运行单个计算机程序设计，它支持单个进程，使用的是ABI和API级的抽象化。为了充分支持外围设备运行，同时，为了充分实现系统与云端隔离以及能够跨平台地从串口连接或网络连接设备启动，我们决定结合两种虚拟机，专门开发设备的操作系统云端设备设备系统的三个设计特征是1.启动系统后用户能够在该便携式系统上进行安装计算机程序、启动计算机程序、管理计算机程序与文件等计算机工作；2.该便携式系统能够支持windows下的应用程序(也可以是通过模拟指令或虚拟化等办法来实现此效果)；3.与该设备通过硬件接口、互联网等方式连接的其他计算机或智能手机也能够启动该设备的系统，并在相连计算机或智能手机上工作，使用该设备上的程序与应用。上述三个设计特征的实现方案应该说有很多种。我们的具体方案是这样的第一个设计特征很容易实现，相信多数操作系统都可以做到。第二个设计特征的话，为了能够跨平台运行Windows程序，我们需要包含一个程序虚拟机。第三个设计特征的话，为了使得我们的设备系统能够在别的设备中加载使用，我们又需要包含一个系统虚拟机。因此我们的设备系统其实是这样的两个虚拟机的结合1.程序虚拟机部分程序虚拟机，有时也被称为应用虚拟机。它就像一个应用程序一样运行在操作系统之中，为一个目标程序提供运行环境。它在目标程序开始时开始运行，在目标程序退出时销毁。它从API或者ABI层进行抽象，过滤掉了硬件和操作系统级的信息，从而提供给目标程序一个独立的程序运行环境，使目标程序可以在任何平台上运行。如今，这一类型的虚拟机已经在得到的广泛的应用，例如java虚拟机,valgrind虚拟机和vx32 virtual machine坐坐寸寸ο
2.系统虚拟机部分
系统虚拟机，有时也叫做硬件虚拟机。它使得不同的虚拟机可以共享底层的硬件资源，并且每一个虚拟机中都运行自己的一个操作系统。此技术加入的一层系统软件通常称为虚拟机管理器或者虚拟机监控程序。虚拟机管理器可以运行在宿主操作系统之上，也可以直接运行于硬件之上。系统虚拟机技术为上层客户操作系统提供一系列虚拟硬件的环境，使得多个客户操作系统能够同时运行于同一个物理机器。每个客户操作系统都认为自己控制的是完整的硬件资源。
设备的系统不但要支持客户端启动的本地工作模式，还需要支持以下的外部设备访问下工作模式，也叫有宿主操作系统的模式，如说明书附图6所示。
于是我们在ReactOS与Wine的基础上进行了双层虚拟化的整合，首先改写 ReactOS的源代码，使之支持中文并能够与我们的设备硬件绑定，删除绝大部分不需要的功能与驱动以保持系统精简，ReactOS本身就与Windows源码类似,能够支持多数Windows程序的安装于运行，将其缓存文件存储在客户端下的加密分区中，将其启动项文件绑定硬件指纹。接着我们再基于Wine开发一个嵌入设备的程序虚拟机Sunflower,这样一方面能够实现应用程序在linux、Mac OC等平台运行，另一方面加强对应用程序的支持。然后，再把程序虚拟机放在QEMU中，并嵌入客户端，本地启动的时候不影响，从其他设备启动的时候， 也是先经过客户端验证，然后客户端先加载QEMU和程序虚拟机Sunflower，就可以作为子系统运行。最后将系统的启动项文件和分区密钥文件从设备删除，存储到服务端。
上述的系统实施例子不是唯一的，比如采用Windows 8与XenApp的组合等等加以改造也可以实现我们的设计特征。该设计特征实现了云端设备的要求，通过客户端认证并经服务端返回启动项与分区密钥后，用户不但可以获得完整的PC计算机体验，能够在该便携式系统 上进行安装计算机程序、启动计算机程序、管理计算机程序与文件等计算机工作、 能够支持Windows下的应用程序，还能够通过互联网或通用串行总线与其他计算机设备或智能手机连接，连接后以虚拟机的模式在宿主计算机下运行并使用设备上的应用程序。宿主计算机可以是完全跨平台的，不但支持Windows系统的宿主计算机,还支持Unix (含Mac) 的计算机，并支持基于Windows CE或Linux的嵌入式可联网设备。
3.3.设备的接口与网络输出方式
然后我们再考虑如何让其他设备通过互联网加载该设备。
我们采用将设备接口协议转成TCP/IP协议的办法，从而使得嵌入式设备可以从 Internet载入设备。以下以将USB协议转为TCP/IP协议为例。其他计算机、嵌入式计算机、智能手机可以通过网络在全球任何地点加载该设备，并在经过客户端验证后，从本地计算机、嵌入式设备上启动云端设备上的系统作为子系统，使用设备上安装的软件。转换器也包含硬件和软件两大部分，组成示意框图如说明书附图7所示。
举例说明以我们的样品设备为例，硬件部分主要由RS-232接口、USB接口、内存 SDRAM、闪存NOR FLASH和NAND FLASH、配置电路JTAG、网络接口、中央处理器等部分组成。接口电路向中央处理器发送和接受数据，SDRAM作为处理器的运行内存，FLASH用于程序存储器，电源模块为各个模块提供稳定的电源。中央处理器对接口协议进行解析和转换，然后通过接口电路发送和接受数据。参见说明书附7。我们并将各接口电路的驱动编译到系统内核当中。RS-232接口电路比较简单，主要实现的功能是电平的转换。现在最便宜的微处理器一般都具有三个独立的异步串行口及多种操作模式，可以很方便地实现串口的读写操作，最多可同时接入三路UART设备。若系统将来需要升级时，仅需通过增加串口扩展芯片就可以增加系统的串口容量。USB接口电路主要实现USB的数据收发。为实现网络通信功能，需要网络接口。设备支持两种网络模式，没有LAN的时候以3G或GPRS在线，有LAN的时候以以太网在线，采用了 GPRS网络模块，并使用Cirrus Logic公司的CS8900芯片进行以太网接口电路设计。其以太网接口电路采用的CS8900是一款低功耗、高性能的集成快速以太网MAC控制器与一般处理接口，内部集成了在片RAMUOBASE-TE收发滤波器，并且提供8位和16位两种接口。该版本采用8位模式与处理器进行相连。考虑到系统的适应性 (不同场合串口通信波特率不同、系统要求容量的改变)，在电路中设计了 JTAG调试下载电路，方便系统的调试和升级。其GPRS部分设计如下，嵌入式GPRS模块设计包括无线发射模块和网络协议解析部分，本例采用西门子公司的MC39I作为发射模块。用以色列网络协议芯片COllO作为网络协议解析。MSP430F449通过串口和C0110相连，MSP430F449的数据在网络中是透明传输的。主站可以和多个终端建立多个Socket连接，终端上线后自动向主站发送地址标识。主站据此来区别是哪台终端上线。本协议转换器的体系结构参见说明书附8。协议转换运行良好，成功实现设备启动远程开放(第三模式)后作为云应用服务器的功能。启动远程开放后将第二模式下的USB协议转为TCP/IP协议并开放互联网访问，在设备服务端的界面参见说明书附9.从远程客户端加载的界面参见说明书附10.3.4.设备的其他可选模块以上述的方案为发明内容，当然，设备的功能可以经上述方案与其他模块组合得到加强。比如，某种以上述方案实现的设备可以除了有CPU、存储器(flash、RAM)、输入输出设备以外，还具有3G模块并兼有射频部分、空中接口 I/O通道。所描述的启动便携式操作系统的关键启动项存储在服务器上，设备与服务器的联系方式为3G网络，当客户端检验过用户账号密码，确保安全性后才获取关键的系统启动项，从而启动系统、解密文件。由于关键启动项文件体积很小，通过设备内置的3G模块，即使在没有以太网、无线网的环境下也能够安全快速地启动系统。通过空中接口协议(如GSM、CDMA、PHS等)和基站通信，可以传输语音数据，作为移动电话。采用双重系统，在便携式操作系统外还有移动电话系统，在未经客户端登录与验证前只能作为移动电话使用。经客户端登录与验证后即可切换系统作为支持Windows程序的计算机使用。并且，在与其他计算机连接后，并经客户端登录与验证后，即可在该连接的计算机上使用，以设备系统作为子系统，该连接的计算机上可以使用设备上安装的软件。比如，某种以上述方案实现的设备可以采用英特尔X86架构的凌动微处理器(Z2460,1. 6GHz主频)，以点对点拨号协议(PPP)接入3G网络，并通过虚拟专用网络(VPN)实现局域网到局域网的数据通信。这种组合还可以包含以下主要模块来完成用户的通信接入①IPSec协议的设置与控制PPP拨号接入WCDMA网络；@业务接入控制；@ WCDMA网络的链路状态管理。通过PPP拨号接入WCDMA网络，移动IP接入网关通过ppp协议来接入3G网络。为满足企业设备物联网需要，设备可以加装ZigBee模块。ZigBee是一种高可靠的无线数传网络，由可多到65000个无线数传模块组成的一个无线数传网络平台，类似于CDMA和GSM网络。ZigBee数传模块类似于移动网络基站。通讯距离从标准的75m到几百米、几公里，并且支持无限扩展。与移动通信的CDMA网或GSM网不同的是，ZigBee网络主要是为工业现场自动化控制数据传输而建立，因而，它价格很低。移动通信网主要是为语音通信而建立，每个基站价值一般都在百万元人民币以上，而每个ZigBee “基站”成本却不到100元人民币。包含基于ZigBee网络的通用的串行总线接口节点来实现基于ZigBee 网络无线收发信息功能由无线收发模块(CC2430)、USB接口(CH375)和电源等构成基于 ZigBee网络的USB节点硬件。为USB接口定制并封装UVC和UAC协议，CC2430与CH375以异步UART模式串行通信。基于ZigBee网络的通用的串行USB接口节点可以克服常规通信距离限制和布线麻烦等不足，扩大ZigBee技术的应用范围。由无线收发模块(CC2430)、 USB接口(CH375)和电源等构成基于ZigBee网络的USB节点硬件。为USB接口定制并封装UVC和UAC协议，CC2430与CH375以异步UART模式串行通信，实现基于ZigBee网络无线收发信息功能，包括音频、视频和数据等信息。经过USB节点点与点的数据收发测试，USB 主机方式下可以进行稳定可靠的无线收发传输。CC2430芯片是符合ZigBee技术的2. 4GHz 射频系统芯片。CC2430芯片在单个芯片上整合了 ZigBee射频(RF)前端、内存和微控制器 (8051)。功耗超低，特别适合那些要求电池寿命非常长的应用。基于ZigBee网络的USB节点主要由无线收发模块(CC2430)、USB接口(CH375)和电源构成。主要任务是与Zig-Bee 网络内节点无线收发模块互联。选用CH375作为USB接口芯片，实现CC2430与USB存储设备的接口。CH375支持并动态切换主机方式和设备方式。CH375还支持低功耗模式。对于常用的USB存储设备，CH375的内置固件可以自动处理Mass Storage海量存储设备的专用通讯协议，可以直接读写USB存储设备中的数据。CH375和单片机的通信有2种方式并口方式和串口方式。我们采用串口方式，如

图11所示。CH375芯片采用串口方式时，它的TXD 引脚悬空或者没有通过下拉电阻接地。CH375与USB总线的串口连接电路图参见说明书附11。
比如，某种以上述方案实现的设备可以在系统启动项和文件分区密钥的存储方面为该型号的设备服务的服务器采用基于J2EE轻量级框架(Struts2、Spring、Hibernate、 Mina)的移动存储设备电子文件安全管理服务器端解决方案。该方案采用了分层的设计理念，服务器端主体部分采·用Struts2、Spring和Hibernate构建,并通过整合Mina框架实现服务器与客户端的Socket连接。采用基于Struts2拦截器机制的轻量级身份认证与访问控制解决方案，利用JDKS注释标注访问资源所需权限，并利用Struts2拦截器在请求到达业务逻辑之前进行权限判定。利用Spring框架的AOP和IoC机制，可以将系统划分为基本功能模块、在线监控模块、安全审计模块和安全控制模块四个部分，各个模块采用松耦合的方式组合。Spring的AOP技术可将安全审计、安全控制等系统公用功能抽取出来，允许在系统基本功能完成后再进行处理。在线监控模块需要基本模块的支持，因此，系统在搭建的过程中按照基本功能模块、在线监控模块、安全审计模块和安全控制模块的先后顺序加以实现。 各模块简述如下
I)基本功能模块采用struts2、Spring、Hibernate搭建,是服务器的主体部分包括前台管理模块和后台管理模块，它允许管理员与用户采用B/S方式访问服务器。基本功能模块主要负责向管理员提供系统管理功能，同时，它允许用户修改个人信息并下载离线授权文件。
2)在线监控模块采用Mina框架实现，它向客户端提供身份认证服务，响应客户端的探查消息，并将用户操作记录转发给安全审计模块。Mina框架需要SPring框架的支持， 它需要调用SPring框架提供的业务逻辑函数以完成与系统的信息交换。
3)安全审计模块需要对管理员与用户操作进行日志记录。管理员和用户在服务器端的操作记录采用Log4j实现。Log4j是开源的日志记录工具，spring提供了对它的支持。利用SpringAOP的切片功能只需编写简单的Log4j配置文件，并调用相关的函数就可记录管理员与用户的操作。用户在客户端的操作记录被传送到服务器端，在线监控模块对消息进行解码后只需调用Spring提供的日志记录函数即可。
4)安全控制模块包括身份认证模块与访问控制模块。
见说明书附12。
又比如，某种以上述方案实现的设备可以稍加补充建立安全的虚拟专用网。设备的系统只要装有VPN认证机制，对用户的远程数据业务进行多重认证。用户成功登录的客户端并启动系统后，如进行远程数据连接，则VPN程序读取系统中保存的用户身份信息(如授权码、Key文件)和硬件的指纹信息(如设备序列号等)发送到VPN服务器进行二次认证。这样可以保证不仅仅设备的信息安全，任何用户的远程数据如通讯、电子商务等都可借由设备加密。这种组合甚至无需自行开发VPN软件，直接选用市场上的集成型VPN网关 软件即可，比如Injoy Firewall综合型网关软件。采用设备与Injoy Firewall系统软件的 InjoyIPSec模块来实现安全VPN功能的步骤如下在需要进行VPN连接的服务器端和各客户端的网关(主机)上都安装该软件，并将该软件的防火墙接口绑定在外网网卡上，然后进行配置。为了方便说明问题，以下网络各项参数均为示例，企业单位可根据自己的实际情况进行设置。
(I)网络IP地址分配
总部网络地址为“10.1. 1.0”，分支机构A的网络地址为“10. 2. 1.0”，分支机构B 的网络地址为“10. 3.1. O”。
(2) ADSL 拨号设置
在需要通过ADSL拨号接入互联网的VPN网关(主机)上设置拨号参数，在“文件-属性-防火墙服务配置”选项卡中勾选“IPSec VPN功能”和“PPPoE连接”，在“PPPoE-属性”中填写ISP为分配的“用户名”和“密码”，“连接”和“重新连接”均为设定为“自动”。
(3)用户管理
在企业总部VPN服务器端软件的“用户管理”中添加三组(或更多组)用户身份信息(用户名/密码)，这里设置“testA/11968A、testB/11968B、testC/11968C”分别作为 “分支机构A、分支机构B、移动用户”的身份信息。当然，在正式运行环境中，不使用简单的用户名和密码。
(4) VPN服务端(总部)的隧道配置
①本地断点设置本地主机(网关)地址为“My_IP” (系统自动识别)，本地网络为 “10.1.1. 0/24” ；
②远程端点设置远程主机(网关)地址为“Road Warrior” (远程主机可能是移动终端或动态网关)，远程网络为“O. O. O. 0/0 (表示所有网络)；③VPN策略设置传输模式为“Tunnel” (隧道模式)，头部认证为“No”，ESP数据加密方式为“YES”，是否主动发起IKE协商为“NO” (考虑到客户端的多样性和兼容性，IKE协商由客户端主动发起)；④认证方式设置共享密钥为“20121108device”,认证方式为“Server-Xauth”。(5) VPN客户端(分支机构)配置下面为分支机构A的配置方法，其它分支机构与此类似。①本地断点设置本地主机(网关)地址为“Road Warrior”，本地网络为“10. 2.1. 0/24” ；
②远程端点设置远程主机(网关)地址为总部VPN主机域名，远程网络为“10.1.1. 0/24”。③VPN策略设置传输模式为“Tunnel”，头部认证为“No”，ESP数据加密为“AES”(AES为高强度高速度的加密算法，其它有DES、3DES3、BlowFish等)，主动发起IKE协商为“Yes”；④认证方式设置共享密钥为“20121108deviCe”(与企业总部的服务器端相同)，认证方式为“Client-Xauth”，用户名为“testA”，密码为“ 11968A”。VPN客户端配置数据可以直接复制到其它VPN客户端上进行修改使用。四、有益效果本发明对比已有技术具有以下创新点1.采用了分离的客户端、操作系统与文件分区2.采用程序虚拟机与系统虚拟机结合的方式构建了设备的三种工作模式3.引入了子计算机的概念，以设备实体在其他计算机或设备上的虚拟化使用为目的本发明对比已有技术具有以下显著优点1.令移动设备安全性与信息安全性显著增加2.将一般的应用程序转换为可以在其他设备使用的云端应用程序3.设备的成本更低、功耗更小、体积更小4.1.与现有技术产品的对比和优势下面的表格是本设备与现有的类似技术产品的对比表
权利要求
1.一种移动电子设备，其工作原理是设备上装有客户端，具有管理程序与文件的工作系统，该工作系统能够支持Windows下的应用程序(也可以是通过模拟指令或虚拟化等办法来实现此效果)，并且系统(或至少关键启动文件)存储在服务端(远程服务器或客户端能够调用的存储设备中或加密隐藏的文件中)。用户经过客户端验证登陆后，设备才从服务端获取关键内容，从而载入文件并可启动工作系统。其设备系统的另外两个特征是1.用户能够在该系统上进行安装程序、启动程序、管理程序与文件等工作；2.与该设备通过硬件接口、互联网等方式连接的其他计算机、平板电脑或智能手机也能够启动该设备的工作系统，并在相连计算机、平板电脑或智能手机上工作，使用该设备上的程序。此外，设备的组成还包含以下部分——对外通信接口，用于连接外部设备，比如输出显示设备、人体传感设备等。——文件磁盘,可以为实体磁盘或虚拟文件磁盘。——芯片部分，用于存储、控制、或计算。——其他必要的电路与附件。
2.—种权利要求1描述的设备，其特征在于，除了有中央处理器(CPU)、存储器(flash、 RAM)、输入输出设备以外，设备还具有3G模块并兼有射频部分、空中接口 I/O通道。所描述的启动便携式操作系统的关键启动项存储在服务器上，设备与服务器的联系方式为3G 网络，当客户端检验过用户账号密码，确保安全性后才获取关键的系统启动项，从而启动系统、解密文件。由于关键启动项文件体积很小，通过设备内置的3G模块，即使在没有以太网、无线网的环境下也能够安全快速地启动系统。通过空中接口协议(如GSM、CDMA, PHS 等)和基站通信，可以传输语音数据，作为移动电话。采用双重系统，在便携式操作系统外还有移动电话系统，在未经客户端登录与验证前只能作为移动电话使用。经客户端登录与验证后即可切换系统作为支持Windows程序的计算机使用。并且，在与其他计算机连接后， 并经客户端登录与验证后，即可在该连接的计算机上使用，以设备系统作为子系统，该连接的计算机上可以使用设备上安装的软件。
3.—种权利要求1描述的设备，其特征在于，设备采用了高级RISC微处理器(ARM) 或Intel Z2460等低能耗处理器，以点对点拨号协议(PPP)接入3G网络，并通过虚拟专用网络(VPN)实现局域网到局域网的数据通信。包含以下主要模块来完成用户的通信接入①IPSec协议的设置与控制 ’②PPP拨号接入WCDMA网络；@业务接入控制；@ WCDMA网络的链路状态管理。通过PPP拨号接入WCDMA网络，移动IP接入网关通过PPP协议来接入3G 网络。包含基于ZigBee网络的通用的串行总线接口节点来实现基于ZigBee网络无线收发信息功能由无线收发模块(CC2430)、USB接口(CH375)和电源等构成基于ZigBee网络的USB 节点硬件。为USB接口定制并封装UVC和UAC协议，CC2430与CH375以异步UART模式串行通信。在电子文件存储方面，该设备采用基于JZEE轻量级框架(Struts2、Spring、 Hibernate, Mina)的移动存储设备电子文件安全管理服务器端解决方案。该方案采用了分层的设计理念，服务器端主体部分采用Struts2、Spring和Hibernate构建,并通过整合 Mina框架实现服务器与客户端的Socket连接。采用基于Struts2拦截器机制的轻量级身份认证与访问控制解决方案，利用JDKS注释标注访问资源所需权限，并利用Struts2拦截器在请求到达业务逻辑之前进行权限判定。
4.一种权利要求1描述的设备，其特征在于，设备的系统中装有VPN认证机制，对用户的远程数据业务进行多重认证。用户成功登录的客户端并启动系统后，如进行远程数据连接，则VPN程序读取系统中保存的用户身份信息(如授权码、Key文件)和硬件的指纹信息 (如设备序列号等)发送到VPN服务器进行二次认证。这样可以保证不仅仅设备的信息安全，任何用户的远程数据如通讯、电子商务等都可借由设备加密。
5.一种权利要求1所描述的设备，设备客户端支持多用户，支持设置、修改密码，对于不同的用户，能够设置不同的权限。对用户权限的设置包含读写保护权限设置，可以对低权限用户实现禁止修改、禁止拷贝等。
6.一种权利要求1描述的设备，其特征在于，设备采用了高级RISC微处理器(ARM)或 Intel Z2460等低能耗处理器，能够以以下三种模式工作第一工作模式是外接显示设备与输入设备作为本地计算机使用，第二工作模式是经USB端口与其他计算机或平板连接、登陆客户端并启动设备系统作为子计算机使用，第三工作模式是在其他设备上通过互联网加载设备、登陆客户端并启动设备系统作为子计算机使用。
7.—种权利要求1描述的设备，其特征在于，所描述的工作系统为Windows 8 Enterprise to Go 或Ceedo 或 Sunflower Mobilesystem with Cloud 或其他类似的能够从外接设备启动的程序与文件系统或虚拟机系统。
8.—种权利要求1描述的设备，其特征在于，所描述的与其他计算机连接的方式中支持互联网连接。其对外通信端口可以为IP端口(以太网或无线网)，或者采用通用串行总线等其他接口再通过软件将USB协议转为TCP/IP协议。其他计算机可以通过网络在全球任何地点加载权利要求1描述的设备，并在经过权利要求1描述的客户端验证后，从本地计算机上启动权利要求1描述的设备上的系统作为子系统，使用设备上安装的软件。
9.一种权利要求1描述的设备，其特征在于，所描述的对外通信接口为通用串行总线。 为了使这种类型的设备可以不依赖于互联网，设备的便携式程序与文件系统存储在加密隐藏的文件或磁盘或闪存芯片中，在登录客户端前无法访问，对用户不可见。设备可以配备中央处理器，也可不带中央处理器，由其他计算机通过通用串行总线加载权利要求1描述的设备，并在经过权利要求1描述的客户端验证后，从本地计算机上启动权利要求1描述的设备上的系统作为子系统，使用设备上安装的软件。
10.一种权利要求9所描述的设备，其特征在于，设备包含通用串行总线互连通信模块。相比于权利要求7所描述的设备，权利要求8所描述的设备丧失了开放性与交互性。因此通过该协议予以改进。此模块还有利于设备实现客户端间文件的安全同步与相互传输。 该模块的实现办法为利用传统的通用串行总线拓扑结构，在通用串行总线协议的基础上增加了新的转发层，并通过主机轮询的方式获取通信请求，通过转发层转发数据包的方式处理通信。在通用串行总线机制的3个逻辑层(功能层、设备层、接口层)上再增加I层， 通过该层为设备建立可靠的通信链路。定义新添加的逻辑层为转发层，该层的协议为通用串行总线转发层协议。在转发层将待发数据分成多个分组，在发送完一个分组后发送端停止等待，在收到接收端的确认信号后再发送下一个分组，所有分组发送完毕后由接收端重装。由于通用串行总线通信协议的限制，通用串行总线不能主动提出通信请求，所以只能通过主机轮询、设备被动应答的方式获得通用串行总线的通信请求。具体为主机主进程按序读取设备A，获得设备A的请求。若设备A提出与另一设备B的通信请求，且主进程查询到设备B满足通信条件，那么主进程就会创建从属进程处理设备A与设备B的通信，而主进程继续获取下一个请求。。
全文摘要
一种安全的提供应用服务的移动电子设备，用于保护信息安全以及实现普通应用程序的云端化。该设备在生产时嵌入客户端系统与操作系统缓存文件，并对文件分区进行加密，将系统绑定硬件指纹，随后将系统的核心文件和分区密钥从设备删除，存储到服务端。用户启动设备时载入基于少量虚拟化硬件资源的客户端系统，该系统审查用户的身份并核对硬件指纹后才由服务端释放启动文件与分区密钥到客户端，客户端才能打开文件磁盘并加载具有完整设备权限与功能的操作系统。设备操作系统结合系统虚拟机与程序虚拟机，具有三种工作模式，一是作为本地计算机使用，二是经USB端口与其他计算机连接使用双系统，三是在其他设备上通过互联网加载设备作为云应用服务器。
文档编号G06F21/30GK103002445SQ20121045051
公开日2013年3月27日 申请日期2012年11月8日 优先权日2012年11月8日
发明者张维加 申请人:张维加