一种防止方舱医院单兵手持智能终端数据拷贝的安全装置制造方法
【专利摘要】本发明提出了一种防止方舱医院单兵手持智能终端数据拷贝安全装置,涉密数据经过公钥加密算法保护后再分发给单兵手持智能终端,在单兵手持智能终端数据被使用时,安全装置经过身份认证后,从方舱医院CA中心获取数据的私钥,私钥在传输的过程受安全装置公钥的保护,然后在数据被使用的过程中动态地对数据进行解密。非法用户不通过安全装置与方舱医院CA中心的认证,无法获取数据解密所需要的私钥,因此无法获取这些数据的明文,从而实现数据的防拷贝保护。
【专利说明】 一种防止方舱医院单兵手持智能终端数据拷贝的安全装置
【技术领域】
[0001]本发明涉及方舱医院、密码学、数据安全和芯片设计等领域,具体的说,本发明给出了一种防止方舱医院单兵手持智能终端数据拷贝的安全装置,可以有效地防止方舱医院中所使用的单兵手持智能终端数据泄漏行为的发生。
【背景技术】
[0002]随着方舱医院、远程医疗和单兵智能终端的兴起,在方舱医院中越来越多地采用智能终端作为医护平台,为了提高各自的业务能力,各方舱医院承建方都投入巨资开发各种移动业务软件。
[0003]然而,智能终端数据泄漏成为了各应用方的一大难题,如果不能有效解决这一问题,在保密要求较高的方舱医院中,采用单兵智能终端也会受到严重的影响。
[0004]对称密钥密码算法是加密密钥与解密密钥相同的密钥算法,常用于对大数据进行加密。
[0005]非对称密钥密钥技术是拥有公钥和私钥两个密钥的密码算法,经过公钥加密形成的密文,只有用私钥才能解密,经私钥加密形成的密钥,只有用公钥才能解密,通常用来保护对称密钥,也用来进行签名和密钥分发等。
【发明内容】
[0006]本发明提出了一种防止方舱医院单兵手持智能终端数据拷贝安全装置,涉密数据经过公钥加密算法保护后再分发给单兵手持智能终端,在单兵手持智能终端数据被使用时,安全装置经过身份认证后,从方舱医院CA中心获取数据的私钥,私钥在传输的过程受安全装置公钥的保护,然后在数据被使用的过程中动态地对数据进行解密。非法用户不通过安全装置与方舱医院CA中心的认证,无法获取数据解密所需要的私钥,因此无法获取这些数据的明文,从而实现数据的防拷贝保护。其具体工作方式如下:
(1)安全装置由烧写在单兵手持智能终端boot存储区的一段软件代码,以及支持该代码功能的相关存储和加密设施组成;
(2)安全装置具有对称加解密功能,同时可以具有非对称加解密功能、签名功能、验签功能、HASH功能、对称密码和非对称密码生成功能;
(3)在安全装置被使用前,安全装置的私钥PKsd被写入安全存储组件中,PKsd也可由安全装置自主生成,PKsd 一旦被生成或者写入后,便不能再被删除或者更改,与PKsd对应的公钥PKpd则存储在方舱医院CA中心;
(4)经由安全装置保护的每一组数据,都具有一个公钥PKps和与之对应的一个私钥PKss, PKss存储在方舱医院CA中心;
(5)在数据下发前,每一组数据S被与之对应的对称密钥SKs加密得到加密数据Ss,SKs经PKps加密SKs形成SKss,Ss、SKss和数据标签被打成加密数据包下发,加密包中也可以包含数据公钥PKps ; (6)当加密数据包被使用时,安全装置先与方舱医院CA中心进行双向身份认证,双方确认身份后,从方舱医院CA中心查询到加密数据包的私钥PKss,方舱医院CA中心用PKpd对PKss加密得到PKsss,然后将PKsss传输到安全装置中,安全装置用PKsd对PKsss进行解密后得到PKss,并将其存储在安全存储组件中,且不能被读出;
(7)在数据被使用的过程中,安全装置读取加密数据包中的SKss,并用PKss对其进行解密得到SKs,然后用SKs对加密数据Ss进行解密得到明文数据S ;
(8)安全装置对加密数据Ss的解密操作,根据对保密程度的不同,可以发生在Ss从一种存储介质转移到另一种存储介质的时候,也可以出现在Ss在同一种介质中转移的时候。
【专利附图】
【附图说明】
[0007]无。
【具体实施方式】
[0008]通过本发明的技术方案,可以严格地将每一组数据绑定到指定的智能终端上,从而有效防止了数据泄漏的问题的发生,具体实施方案如下所述:
(1)安全装置是智能终端的一个功能模块,在智能终端被发行时,安全装置的私钥PKsd被写入安全存储组件中,PKsd也可由安全装置自主生成,与PKsd对应的公钥PKpd则存储在方舱医院CA中心;
(2)经由安全装置保护的第一组数据,都具有一个公钥PKps和与之对应的一个私钥PKss, PKss存储在方舱医院CA中心;
(3)在数据下发时,每一份数据S被与之对应的对称密钥SKs加密得到加密数据Ss,SKs经PKps加密SKs形成SKss,Ss、SKss和数据标签被打包成加密数据包,加密数据包中也可以包含数据公钥PKps ;
(4)当数据被使用时,安全装置先与方舱医院CA中心进行双向身份认证,双方确认身份后,从方舱医院CA中心查询到数据私钥PKss,方舱医院CA中心用PKpd对PKss加密得到PKsss,然后将PKsss传输到安全装置中,安全装置用PKsd对PKsss进行解密后得到PKss,并将其存储在安全存储组件中;
(5)在被使用的过程中,安全装置读取安装包中的SKss,并用PKss对其进行解密得到SKs,然后用SKs对加密数据Ss进行解密得到明文数据S。
【权利要求】
1.一种防止方舱医院单兵手持智能终端数据拷贝安全装置,涉密数据经过公钥加密算法保护后再分发给单兵手持智能终端,在单兵手持智能终端数据被使用时,安全装置经过身份认证后,从方舱医院CA中心获取数据的私钥,私钥在传输的过程受安全装置公钥的保护,然后在数据被使用的过程中动态地对数据进行解密。
2.非法用户不通过安全装置与方舱医院CA中心的认证,无法获取数据解密所需要的私钥,因此无法获取这些数据的明文,从而实现数据的防拷贝保护。
3.根据权利要求1所述的方法,安全装置由烧写在单兵手持智能终端boot存储区的一段软件代码,以及支持该代码功能的相关存储和加密设施组成。
4.根据权利要求1所述的方法,安全装置具有对称加解密功能,同时可以具有非对称加解密功能、签名功能、验签功能、HASH功能、对称密码和非对称密码生成功能。
5.根据权利要求1所述的方法,在安全装置被使用前,安全装置的私钥PKsd被写入安全存储组件中,PKsd也可由安全装置自主生成,PKsd —旦被生成或者写入后,便不能再被删除或者更改,与PKsd对应的公钥PKpd则存储在方舱医院CA中心。
6.根据权利要求1所述的方法,经由安全装置保护的每一组数据,都具有一个公钥PKps和与之对应的一个私钥PKSS,PKss存储在方舱医院CA中心。
7.根据权利要求1所述的方法,在数据下发前,每一组数据S被与之对应的对称密钥SKs加密得到加密数据Ss,SKs经PKps加密SKs形成SKss,Ss、SKss和数据标签被打成加密数据包下发,加密包中也可以包含数据公钥PKps。
8.根据权利要求1所述的方法,当加密数据包被使用时,安全装置先与方舱医院CA中心进行双向身份认证,双方确认身份后,从方舱医院CA中心查询到加密数据包的私钥PKss,方舱医院CA中心用PKpd对PKss加密得到PKsss,然后将PKsss传输到安全装置中,安全装置用PKsd对PKsss进行解密后得到PKss,并将其存储在安全存储组件中,且不能被读出。
9.根据权利要求1所述的方法,在数据被使用的过程中,安全装置读取加密数据包中的SKss,并用PKss对其进行解密得到SKs,然后用SKs对加密数据Ss进行解密得到明文数据S0
【文档编号】G06F21/62GK103457734SQ201310372527
【公开日】2013年12月18日 申请日期:2013年8月25日 优先权日:2013年8月25日
【发明者】郑静晨, 郝昱文, 李晓雪 申请人:郑静晨, 郝昱文, 李晓雪