專利名稱:基于可信計(jì)算的新型USB Key設(shè)備及其安全交易方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全技術(shù)領(lǐng)域���,尤其涉及一種基于可信計(jì)算的新型USB Key設(shè)備及其安全交易方法���。
背景技術(shù):
隨著電子商務(wù)的普及和發(fā)展,越來(lái)越多的用戶選擇在網(wǎng)絡(luò)上進(jìn)行商務(wù)活動(dòng)�����,而保 證商務(wù)活動(dòng)過程中系統(tǒng)的安全性和可信性是實(shí)現(xiàn)電子商務(wù)的關(guān)鍵�。USB Key是一種小巧的USB接口硬件設(shè)備���,形狀與常見的U盤類似�。USB Key內(nèi)置單片機(jī)或智能卡芯片�,有一定的存儲(chǔ)空間,可以存儲(chǔ)用戶的私鑰以及數(shù)字證書�,利用USBKey內(nèi)置的公鑰算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。作為數(shù)字證書的載體���,USB Key公鑰基礎(chǔ)設(shè)施(PKI,Public Key Infrastructure)系統(tǒng)通過內(nèi)置的安全芯片生成���、保存���、分發(fā)和管理密鑰,強(qiáng)大的計(jì)算能力使得密鑰無(wú)須離開安全芯片就可進(jìn)行加解密和簽名驗(yàn)證的操作��。傳統(tǒng)USB Key采用客戶端解決方案���,雖然用戶的密鑰僅在高安全度的USB Key內(nèi)產(chǎn)生且不可導(dǎo)出����,但是由于交易的處理過程在個(gè)人計(jì)算機(jī)(PC, Personal Computer)上進(jìn)行�,USB Key通過和PC機(jī)連接進(jìn)行網(wǎng)上銀行交易,交易信息顯示在PC機(jī)上���,經(jīng)網(wǎng)絡(luò)傳輸?shù)姐y行后臺(tái)進(jìn)行處理�。在這個(gè)過程中就存在一個(gè)嚴(yán)重的安全隱患PC機(jī)頁(yè)面上顯示的交易信息����,與USB Key中使用密鑰簽名的信息可能是不一致的,因?yàn)镻C機(jī)可能受到病毒或木馬的影響造成顯示的交易信息被篡改����,而由于USB Key中的信息不能被篡改,導(dǎo)致PC機(jī)的顯示信息和USB Key中的信息不一致�,可見��,傳統(tǒng)的USB Key無(wú)法解決PC機(jī)可信度問題����,無(wú)法保證網(wǎng)上交易的安全性����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供了一種基于可信計(jì)算的新型USB Key設(shè)備及其安全交易方法,用于提高網(wǎng)上交易的安全性�。為解決上述技術(shù)問題,本發(fā)明實(shí)施例提供以下技術(shù)方案一種基于USB Key設(shè)備的安全交易方法�����,上述USB Key設(shè)備內(nèi)置有網(wǎng)絡(luò)瀏覽器��,上述安全交易方法包括計(jì)算機(jī)與上述USB Key設(shè)備建立連接�;在上述建立連接成功后���,上述計(jì)算機(jī)啟用上述USB Key設(shè)備內(nèi)置的網(wǎng)絡(luò)瀏覽器進(jìn)行網(wǎng)上交易�����,其中�����,上述網(wǎng)絡(luò)瀏覽器在運(yùn)行過程中緩存的數(shù)據(jù)和歷史記錄存儲(chǔ)在上述USBKey設(shè)備上�����。一種基于可信計(jì)算的USB Key設(shè)備���,包括USB接口模塊���,第一存儲(chǔ)模塊,第二存儲(chǔ)模塊和CPU控制電路����;其中上述USB接口模塊用于連接計(jì)算機(jī);上述第一存儲(chǔ)模塊用于存儲(chǔ)網(wǎng)絡(luò)瀏覽器�����,以便當(dāng)上述計(jì)算機(jī)與上述USBKey設(shè)備建立連接后���,上述計(jì)算機(jī)啟用上述第一存儲(chǔ)模塊存儲(chǔ)的網(wǎng)絡(luò)瀏覽器進(jìn)行網(wǎng)上交易���;上述第二存儲(chǔ)模塊用于存儲(chǔ)上述網(wǎng)絡(luò)瀏覽器在運(yùn)行過程中緩存的數(shù)據(jù)和歷史記錄;上述CPU控制電路分別與上述USB接口模塊����、上述第一存儲(chǔ)模塊和上述第二存儲(chǔ)模塊連接���,用于控制上述USB接口模塊��、上述第一存儲(chǔ)模塊和上述第二存儲(chǔ)模塊的運(yùn)行�����。由上可見���,本發(fā)明實(shí)施例中USB Key設(shè)備內(nèi)置網(wǎng)絡(luò)瀏覽器,并在與計(jì)算機(jī)建立連接時(shí)�,使計(jì)算機(jī)啟用USB Key設(shè)備內(nèi)置的網(wǎng)絡(luò)瀏覽器進(jìn)行網(wǎng)上交易,網(wǎng)絡(luò)瀏覽器緩存的數(shù)據(jù)及歷史記錄存儲(chǔ)在USB Key設(shè)備中�,不會(huì)外泄到與其連接的計(jì)算機(jī)上,因此����,在整個(gè)交易過程中��,計(jì)算機(jī)無(wú)法獲取到網(wǎng)上交易的交易信息,所有的業(yè)務(wù)均在USB Key設(shè)備中執(zhí)行��,從根本上解決了計(jì)算機(jī)的信賴問題�����,提高了網(wǎng)上交易的安全性����。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹�����,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講����,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他的附圖�。圖I為本發(fā)明提供的一種USB Key設(shè)備一個(gè)實(shí)施例結(jié)構(gòu)示意圖;圖2為本發(fā)明提供的一種USB Key設(shè)備另一個(gè)實(shí)施例結(jié)構(gòu)示意圖����;圖3為本發(fā)明提供的一種USB Key設(shè)備再一個(gè)實(shí)施例結(jié)構(gòu)示意圖����;圖4為本發(fā)明提供的基于USB Key設(shè)備的安全交易方法一個(gè)實(shí)施例流程示意圖����。
具體實(shí)施例方式本發(fā)明實(shí)施例提供了一種基于可信計(jì)算的新型USB Key設(shè)備及其安全交易方法。為使得本發(fā)明的發(fā)明目的����、特征、優(yōu)點(diǎn)能夠更加的明顯和易懂����,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚����、完整地描述,顯然����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而非全部實(shí)施例��?��;诒景l(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例���,都屬于本發(fā)明保護(hù)的范圍。下面對(duì)本發(fā)明實(shí)施例提供的一種基于可信計(jì)算的USB Key設(shè)備進(jìn)行描述��,本發(fā)明實(shí)施例中的USB Key設(shè)備中內(nèi)置網(wǎng)絡(luò)瀏覽器���,請(qǐng)參閱圖I����,本發(fā)明實(shí)施例中的USB Key設(shè)備10包括USB接口模塊11��,第一存儲(chǔ)模塊12�,第二存儲(chǔ)模塊13以及CPU控制電路14 ;其中�,USB接口模塊11用于連接計(jì)算機(jī)(如PC機(jī))。其中���,第一存儲(chǔ)模塊12用于存儲(chǔ)上述網(wǎng)絡(luò)瀏覽器����,以便當(dāng)上述計(jì)算機(jī)與USB Key設(shè)備10建立連接后,上述計(jì)算機(jī)啟用第一存儲(chǔ)模塊12存儲(chǔ)的網(wǎng)絡(luò)瀏覽器進(jìn)行網(wǎng)上交易�����。其中��,第二存儲(chǔ)模塊13用于存儲(chǔ)上述網(wǎng)絡(luò)瀏覽器所緩存的數(shù)據(jù)和歷史記錄�。CPU控制電路14分別與USB接口模塊11、第一存儲(chǔ)模塊12和第二存儲(chǔ)模塊13連接�����,用于控制USB接口模塊11�����、第一存儲(chǔ)模塊12和第二存儲(chǔ)模塊13的運(yùn)行��。在本發(fā)明實(shí)施例中�����,第一存儲(chǔ)模塊12和第二存儲(chǔ)模塊13可以是相同的存儲(chǔ)模塊,也可以是獨(dú)立的兩個(gè)存儲(chǔ)模塊��,此處不作限定��。進(jìn)一步,在圖I所示的實(shí)施例基礎(chǔ)上,如圖2所示,本發(fā)明實(shí)施例中的USB Key設(shè)備20還包括與CPU控制電路14連接的按鍵模塊15����,按鍵模塊15為用戶提供輸入接口�����,以便用戶通過按鍵模塊15輸入上述網(wǎng)上交易的交易確認(rèn)信息�����。進(jìn)一步����,在圖I或圖2所示的實(shí)施例基礎(chǔ)上,本發(fā)明實(shí)施例中的USB Key設(shè)備還包括顯示屏�。如圖3所示為在圖2所示實(shí)施例基礎(chǔ)上的USB Key設(shè)備30,顯示屏16用于顯示上述網(wǎng)上交易的交易信息。需要說明的是����,如圖I��、圖2和圖3所示的USB Key設(shè)備中還內(nèi)置有安全操作系統(tǒng)���,USB Key設(shè)備還應(yīng)包含有用于封裝密鑰以及該密鑰的數(shù)字證書的安全I(xiàn)C芯片模塊,CPU控制電路14為USB Key設(shè)備的核心電路����,負(fù)責(zé)將USB Key設(shè)備的各個(gè)模塊和上述安全操作系統(tǒng)整合。USB Key設(shè)備與所連接的計(jì)算機(jī)之間傳輸?shù)臄?shù)據(jù)為圖像數(shù)據(jù)�����,即USB Key設(shè)備與所連接的計(jì)算機(jī)之間傳輸?shù)臄?shù)據(jù)沒有明文數(shù)據(jù)�。本發(fā)明實(shí)施例中的USB-Key具備可信計(jì)算的能力,使USB-Key具備可信計(jì)算的能力的方式可以是在USB-Key中建立一個(gè)信任根�,信任 根可信性由物理安全、技術(shù)安全與管理安全共同確保����;然后,再建立一條信任鏈���,從信任根開始到USB-Key硬件平臺(tái)��,再到USB-Key的安全操作系統(tǒng)�����,再到USB-Key的應(yīng)用程序�,一級(jí)度量認(rèn)證一級(jí),一級(jí)信任一級(jí)�,從而將這種信任擴(kuò)展到整個(gè)USB-Key的軟硬件平臺(tái)上。
0035]本發(fā)明實(shí)施例中的USB Key設(shè)備可以用于網(wǎng)銀交易的安全認(rèn)證�,當(dāng)然���,也適用于網(wǎng)上證券����、網(wǎng)上招投標(biāo)�����、網(wǎng)上稅務(wù)等各種電子商務(wù)和電子政務(wù)應(yīng)用中�,能夠?yàn)檎块T、企事業(yè)單位��、互聯(lián)網(wǎng)服務(wù)商以及個(gè)人網(wǎng)絡(luò)應(yīng)用提供信息安全性和可靠性保障���。由上可見�,本發(fā)明實(shí)施例中USB Key設(shè)備內(nèi)置網(wǎng)絡(luò)瀏覽器,并在與計(jì)算機(jī)建立連接時(shí)�����,使計(jì)算機(jī)啟用USB Key設(shè)備內(nèi)置的網(wǎng)絡(luò)瀏覽器進(jìn)行網(wǎng)上交易��,網(wǎng)絡(luò)瀏覽器緩存的數(shù)據(jù)及歷史記錄存儲(chǔ)在USB Key設(shè)備中���,不會(huì)外泄到與其連接的計(jì)算機(jī)上�����,因此���,在整個(gè)交易過程中,計(jì)算機(jī)無(wú)法獲取到網(wǎng)上交易的交易信息����,所有的業(yè)務(wù)均在USB Key設(shè)備中執(zhí)行,從根本上解決了計(jì)算機(jī)的信賴問題����,提高了網(wǎng)上交易的安全性。下面對(duì)本發(fā)明實(shí)施例提供的基于USB Key設(shè)備的安全交易方法進(jìn)行描述,請(qǐng)參閱圖4����,本發(fā)明實(shí)施例中的基于USB Key設(shè)備的安全交易方法,包括401��、計(jì)算機(jī)與USB Key設(shè)備建立連接���;USB Key設(shè)備通過如圖I�、圖2和圖3所示實(shí)施例中的USB接口模塊11插入到計(jì)算機(jī)上���,計(jì)算機(jī)通過運(yùn)行USB Key設(shè)備自帶的驅(qū)動(dòng)程序,完成與USBKey設(shè)備的連接�����。402����、在上述建立連接成功后�,啟用上述USB Key設(shè)備內(nèi)置的網(wǎng)絡(luò)瀏覽器進(jìn)行網(wǎng)上交易;在本發(fā)明實(shí)施例中����,USB Key設(shè)備內(nèi)置有網(wǎng)絡(luò)瀏覽器��,網(wǎng)絡(luò)瀏覽器存儲(chǔ)在USB Key設(shè)備中����,以便計(jì)算機(jī)與上述USB Key設(shè)備建立連接后����,啟用上述USB Key設(shè)備內(nèi)置的網(wǎng)絡(luò)瀏覽器進(jìn)行網(wǎng)上交易。本發(fā)明實(shí)施例中的USB Key設(shè)備中的文件系統(tǒng)不對(duì)外開放�,計(jì)算機(jī)在與USB Key設(shè)備建立連接后,僅能啟動(dòng)USB Key設(shè)備中被許可的軟件(如上述網(wǎng)絡(luò)瀏覽器�、專用交易軟件等),USB Key設(shè)備中的每個(gè)軟件都只能由計(jì)算機(jī)上相應(yīng)的代理啟動(dòng)���。后臺(tái)可信服務(wù)管理(TSM, Trusted Services Manager)系統(tǒng)可對(duì)USB Key設(shè)備進(jìn)行管理,提供諸如軟件升級(jí)、證書加載����、新業(yè)務(wù)加載/刪除����、用戶注銷等服務(wù)。
上述網(wǎng)絡(luò)瀏覽器在運(yùn)行過程中緩存的數(shù)據(jù)和歷史記錄存儲(chǔ)在上述USBKey設(shè)備上��,不會(huì)外涉到計(jì)算機(jī)上。本發(fā)明實(shí)施例中的USB Key設(shè)備可以用于網(wǎng)銀交易的安全認(rèn)證�����,當(dāng)然�,也適用于網(wǎng)上證券、網(wǎng)上招投標(biāo)�����、網(wǎng)上稅務(wù)等各種電子商務(wù)和電子政務(wù)應(yīng)用中�,能夠?yàn)檎块T、企事業(yè)單位����、互聯(lián)網(wǎng)服務(wù)商以及個(gè)人網(wǎng)絡(luò)應(yīng)用提供信息安全性和可靠性保障����。由上可見,本發(fā)明實(shí)施例中USB Key設(shè)備內(nèi)置網(wǎng)絡(luò)瀏覽器�����,并在與計(jì)算機(jī)建立連接時(shí),使計(jì)算機(jī)啟用USB Key設(shè)備內(nèi)置的網(wǎng)絡(luò)瀏覽器進(jìn)行網(wǎng)上交易��,網(wǎng)絡(luò)瀏覽器緩存的數(shù)據(jù)及歷史記錄存儲(chǔ)在USB Key設(shè)備中�����,不會(huì)外泄到與其連接的計(jì)算機(jī)上�,因此�����,在整個(gè)交易過程中����,計(jì)算機(jī)無(wú)法獲取到網(wǎng)上交易的交易信息,所有的業(yè)務(wù)均在USB Key設(shè)備中執(zhí)行�,從根本上解決了計(jì)算機(jī)的信賴問題,提高了網(wǎng)上交易的安全性����。下面結(jié)合圖I對(duì)本發(fā)明實(shí)施例中的USB Key設(shè)備的應(yīng)用進(jìn)行說明USB Key設(shè)備10通過USB接口模塊11與計(jì)算機(jī)連接,計(jì)算機(jī)為USB Key設(shè)備10 提供基本的工作環(huán)境�,如輸入(鍵盤)��、輸出以及網(wǎng)絡(luò)連接��。當(dāng)USBKey設(shè)備10通過USB接口模塊11插入計(jì)算機(jī)時(shí)����,USB Key設(shè)備10會(huì)被計(jì)算機(jī)識(shí)別為網(wǎng)絡(luò)設(shè)備和⑶-ROM(或U盤)����,計(jì)算機(jī)上安裝USB Key設(shè)備10的客戶端軟件啟動(dòng),通過該客戶端軟件登錄到USB Key設(shè)備10后���,即可啟動(dòng)USB Key設(shè)備10中的網(wǎng)絡(luò)瀏覽器�����。USB Key設(shè)備10通過計(jì)算機(jī)與網(wǎng)絡(luò)連接��。在整個(gè)交易過程中���,網(wǎng)絡(luò)瀏覽器及相關(guān)控件均在USB-Key設(shè)備10上運(yùn)行且直接與后臺(tái)交互���,PC機(jī)僅為USB Key設(shè)備10提供電力�、網(wǎng)絡(luò)通信、顯示等����。由上可見,本發(fā)明實(shí)施例中USB Key設(shè)備內(nèi)置網(wǎng)絡(luò)瀏覽器����,網(wǎng)絡(luò)瀏覽器緩存的數(shù)據(jù)和歷史記錄存儲(chǔ)在USB Key設(shè)備的數(shù)據(jù)存儲(chǔ)模塊中,不會(huì)外泄到與其連接的PC機(jī)���,使得在整個(gè)交易過程中���,PC機(jī)無(wú)法獲取交易信息,所有的業(yè)務(wù)均在USB Key設(shè)備中執(zhí)行�����,從根本上解決了 PC機(jī)的信賴問題���,提高了網(wǎng)上交易的安全性���。進(jìn)一步,本發(fā)明實(shí)施例中的USB Key設(shè)備還內(nèi)置了完整的安全可靠的操作系統(tǒng)����,可抵御病毒攻擊�����,從根本上杜絕了木馬病毒等對(duì)網(wǎng)銀交易的攻擊��;把密鑰簽名的數(shù)字證書作為唯一性標(biāo)識(shí)�����,可防止假冒���;USB Key設(shè)備中數(shù)據(jù)的管理受密鑰控制,保護(hù)數(shù)據(jù)的密鑰密封在安全I(xiàn)C芯片內(nèi)��,可保證密鑰不能被盜取���,從而確保數(shù)據(jù)不會(huì)外泄��,具備可信計(jì)算的能力��。以上對(duì)本發(fā)明所提供的基于可信計(jì)算的新型USB Key設(shè)備及其安全交易方法進(jìn)行了詳細(xì)介紹����,對(duì)于本領(lǐng)域的一般技術(shù)人員�,依據(jù)本發(fā)明實(shí)施例的思想,在具體實(shí)施方式
及應(yīng)用范圍上均會(huì)有改變之處���,綜上�����,本說明書內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制����。
權(quán)利要求
1.一種基于USB Key設(shè)備的安全交易方法���,其特征在于�,所述USB Key設(shè)備內(nèi)置有網(wǎng)絡(luò)瀏覽器�����,所述安全交易方法包括 計(jì)算機(jī)與所述USB Key設(shè)備建立連接�; 在所述建立連接成功后,所述計(jì)算機(jī)啟用所述USB Key設(shè)備內(nèi)置的網(wǎng)絡(luò)瀏覽器進(jìn)行網(wǎng)上交易���,其中��,所述網(wǎng)絡(luò)瀏覽器在運(yùn)行過程中緩存的數(shù)據(jù)和歷史記錄存儲(chǔ)在所述USB Key設(shè)備上�。
2.根據(jù)權(quán)利要求I所述的安全交易方法,其特征在于�,所述計(jì)算機(jī)與所述USBKey設(shè)備之間傳輸?shù)臄?shù)據(jù)為圖像數(shù)據(jù)。
3.一種基于可信計(jì)算的USB Key設(shè)備��,其特征在于�,包括 USB接口模塊,第一存儲(chǔ)模塊��,第二存儲(chǔ)模塊和CPU控制電路���; 其中 所述USB接口模塊用于連接計(jì)算機(jī)���; 所述第一存儲(chǔ)模塊用于存儲(chǔ)網(wǎng)絡(luò)瀏覽器,以便當(dāng)所述計(jì)算機(jī)與所述USB Key設(shè)備建立連接后���,所述計(jì)算機(jī)啟用所述第一存儲(chǔ)模塊存儲(chǔ)的網(wǎng)絡(luò)瀏覽器進(jìn)行網(wǎng)上交易�; 所述第二存儲(chǔ)模塊用于存儲(chǔ)所述網(wǎng)絡(luò)瀏覽器在運(yùn)行過程中緩存的數(shù)據(jù)和歷史記錄��;所述CPU控制電路分別與所述USB接口模塊���、所述第一存儲(chǔ)模塊和所述第二存儲(chǔ)模塊連接����,用于控制所述USB接口模塊、所述第一存儲(chǔ)模塊和所述第二存儲(chǔ)模塊的運(yùn)行����。
4.根據(jù)權(quán)利要求3所述的USBKey設(shè)備,其特征在于,所述USB Key設(shè)備還包括 與所述CPU控制電路連接的按鍵模塊����,以便用戶通過所述按鍵模塊輸入所述網(wǎng)上交易的交易確認(rèn)信息。
5.根據(jù)權(quán)利要求3或4所述的USBKey設(shè)備����,其特征在于, 所述USB Key設(shè)備還包括 與所述CPU控制電路連接的顯示屏�����,所述顯示屏用于顯示所述網(wǎng)上交易的交易信息��。
6.根據(jù)權(quán)利要求3或4所述的USBKey設(shè)備�����,其特征在于, 所述USB Key設(shè)備與其連接的計(jì)算機(jī)之間傳輸?shù)臄?shù)據(jù)為圖像數(shù)據(jù)���。
全文摘要
本發(fā)明實(shí)施例公開了基于可信計(jì)算的新型USB Key設(shè)備及其安全交易方法�����,所述USB Key設(shè)備內(nèi)置有網(wǎng)絡(luò)瀏覽器��,所述安全交易方法包括計(jì)算機(jī)與所述USB Key設(shè)備建立連接���;在所述建立連接成功后,所述計(jì)算機(jī)啟用所述USB Key設(shè)備內(nèi)置的網(wǎng)絡(luò)瀏覽器進(jìn)行網(wǎng)上交易��,其中���,所述網(wǎng)絡(luò)瀏覽器在運(yùn)行過程中緩存的數(shù)據(jù)和歷史記錄存儲(chǔ)在所述USB Key設(shè)備上����。本發(fā)明實(shí)施例提供的技術(shù)方案能夠有效提高網(wǎng)上交易的安全性��。
文檔編號(hào)G06Q30/00GK102708491SQ20121012950
公開日2012年10月3日 申請(qǐng)日期2012年4月27日 優(yōu)先權(quán)日2012年4月27日
發(fā)明者吳錦桐, 李陽(yáng), 王國(guó)升, 黃小鵬 申請(qǐng)人:東信和平智能卡股份有限公司