一种可信安全计算机

摘要

本发明公开了一种可信安全计算机，包括IC卡读卡器(4)，还包括安全主板平台(5)、安全硬盘(7)、安全U盘(8)、操作系统安全隔离模块(12)和用户管理模块(13)，并顺次连接。可信安全计算机启动时，依次加载安全增强型BIOS系统(11)中的SOPC安全芯片驱动单元(17)、安全硬盘认证单元(14)、BIOS级用户身份认证单元(15)、BIOS级硬件完整性度量单元(18)、BIOS级I/O接口控制单元(16)、操作系统安全加载单元(19)；安全增强型BIOS系统(11)启动完成后，加载操作系统安全隔离模块(12)中的各安全控制单元。本发明实现了整机系统的安全状态可知、可管、可控。

主权项

一种可信安全计算机，包括显示器(1)、键盘(2)、鼠标(3)、IC卡读卡器(4)，其特征在于：还包括安全主板平台(5)、安全硬盘(7)、安全U盘(8)、安全电子锁(9)、专用自毁钥匙(10)、操作系统安全隔离模块(12)和用户管理模块(13)，其中安全主板平台(5)包括SOPC安全芯片(6)和安全增强型BIOS系统(11)；安全增强型BIOS系统(11)包括安全硬盘认证单元(14)、BIOS级用户身份认证单元(15)、BIOS级I/O接口控制单元(16)、SOPC安全芯片驱动单元(17)、BIOS级硬件完整性度量单元(18)和操作系统安全加载单元(19)；操作系统安全隔离模块(12)包括用户身份认证单元(20)、硬件资源控制单元(21)、软件资源控制单元(22)、安全网络通信单元(23)、系统安全审计单元(24)和系统快速恢复单元(25)；显示器(1)、键盘(2)、鼠标(3)、IC卡读卡器(4)、安全硬盘(7)、安全U盘(8)以及操作系统安全隔离模块(12)分别与安全主板平台(5)连接，安全电子锁(9)和专用自毁钥匙(10)分别通过USB接口与安全硬盘(7)连接，用户管理模块(13)与操作系统安全隔离模块(12)连接，安全主板平台(5)中的SOPC安全芯片(6)和安全增强型BIOS系统(11)连接；BIOS级用户身份认证单元(15)的输出端分别与BIOS级I/O接口控制单元(16)、BIOS级硬件完整性度量单元(18)以及操作系统安全加载单元(19)连接，BIOS级用户身份认证单元(15)的输入端分别与SOPC安全芯片驱动单元(17)和安全硬盘认证单元(14)连接；系统安全审计单元(24)的输出端分别与硬件资源控制单元(21)、软件资源控制单元(22)以及安全网络通信单元(23)连接，用户身份认证单元(20)的输出端分别与硬件资源控制单元(22)、软件资源控制单元(23)、安全网络通信单元(23)以及系统快速恢复单元(25)连接；SOPC安全芯片(6)工作时，基于硬件加密/解密引擎和随机数产生器，提供受保护的密钥生成、处理和存储，密钥长度为2048位；同时，存储系统安全策略、审计日志；安全硬盘(7)工作时，需要认证连接在其上的安全电子锁(9)，并响应安全BIOS的特定命令；认证通过后，安全电子锁(9)中存储的工作密钥传输到安全硬盘(7)中的加密与变码存储模块，之后，主机访问的明文数据将自动以密文的形式存储在安全硬盘(7)内嵌的2.5英寸硬盘内；一旦安全硬盘(7)在加电状态下插入专用自毁钥匙(10)，或者脱机状态下打开安全硬盘(7)的外壳，内嵌的加密算法和存储的关键数据将自动销毁；安全U盘(8)工作时，首先对其外侧挂接的TF卡进行认证，认证通过后，自动读取TF卡中存储的工作密钥，将主机访问的数据通过加密与变码存储电路进行防护处理，并存储在安全U盘(8)内；应急情况下，通过安全U盘(8)附带的金属小钥匙按压安全U盘(8)后端的销毁开关，可以快速销毁安全U盘(8)内所有存储的数据、加密算法；计算机加电启动后，安全增强型BIOS系统(11)首先调用安全硬盘认证单元(14)对安全硬盘(7)进行合法性认证；安全硬盘认证单元(14)向安全硬盘(7)发送认证命令；安全硬盘(7)反馈设备信息；安全硬盘认证单元(14)根据反馈信息判断是否为合法的安全硬盘(7)，若安全硬盘(7)合法，则继续执行，否则系统挂起；安全硬盘(7)认证完成后，BIOS级用户身份认证单元(15)将与安全硬盘(7)协同完成对当前用户的身份认证，用户的身份认证介质为IC卡，用户权限分为普通用户和管理员两种类型；BIOS级用户身份认证单元(15)启动，等待用户插入IC卡；BIOS级用户身份认证单元(15)判断插入的IC卡是否合法，IC卡合法时继续执行，否则系统挂起；提示用户输入用户名和PIN码；将用户输入的用户名和PIN码进行数据变换后发送给安全硬盘(7)；安全硬盘(7)将用户信息和安全硬盘(7)中保存的用户信息进行比对认证，判断是否为合法用户，若是，则根据用户名查询并反馈该用户的I/O接口控制信息，否则安全硬盘(7)反馈用户无效的信息并禁止数据读写操作；身份认证通过后，BIOS级硬件完整性度量单元(18)对关键硬件进行完整性度量，其中关键硬件包括光驱和网卡，度量通过比较系统当前关键硬件的设备信息和SOPC安全芯片(6)中预先配置的设备信息进行，关键硬件异常或者被替换后，系统自动挂起，需要管理员重新进行认证设置；完整性度量通过后，BIOS级I/O接口控制单元(16)对相应的网络接口、USB接口、串口、并口、光驱I/O接口、PCI设备I/O接口以及PCI-E设备I/O接口进行开启或禁止操作，管理员可以使用所有的I/O接口；I/O接口控制完成后，操作系统安全加载单元(19)对操作系统的加载引导进行控制；当前登录用户为普通用户时，直接引导安全硬盘(7)中预装的操作系统，从而屏蔽用户通过WINDOWS PE操作系统软件对可信安全计算机进行破坏或盗取系统上的文件和数据；当前用户为管理员用户时，根据CMOS中设置的启动引导顺序加载安全硬盘(7)或光盘中的操作系统；安全增强型BIOS系统(11)各安全控制单元执行完成后，加载操作系统级用户身份认证单元(20)，基于“IC卡+用户PIN”对所登录的用户身份进行认证，认证原理与BIOS级用户身份认证单元(15)相同；加载硬件资源控制单元(21)，根据用户的权限信息，开启或禁止系统外接的打印机、USB接口设备；加载软件资源控制单元(22)，截获所有的软件资源访问命令，根据用户权限信息，对系统中的特定文件和程序进行控制；若为只读权限，则只对读命令进行正确响应，对删除、写入、重命名命令返回错误状态信息；若为禁止访问权限，则对所有的命令均返回错误状态信息；默认情况下，用户对文件和程序可以进行任何操作；加载安全网络通信单元(23)，基于IP地址和安全可信计算机的硬件平台信息实现网络数据包的过滤处理；对于发出的数据包，若IP地址字段目的地址不允许访问则丢弃该数据包，否则在发出数据包的IP选项字段添加安全可信计算机的硬件平台信息并传递给下层；对于接收到的数据包，提取数据包IP地址字段的源地址和可信安全计算机的硬件平台信息进行判断，若不允许访问则丢弃该数据包，否则将接收到的数据包传递给上层；操作系统使用过程中，当用户拔出IC卡后，系统自动锁定，同时关闭所有的USB接口，当用户重新插入IC卡后，需输入PIN码进行重登录；上述各个步骤实施完成后，可信安全计算机系统启动运行成功。