再现个人应用环境的设备转让专利
申请号 : CN200710118203.0
文献号 : CN101079090B
文献日 : 2010-04-21
发明人 : 陆舟 , 于华章
申请人 : 北京飞天诚信科技有限公司
摘要 :
本发明公开了一种再现个人应用环境的设备,属于信息安全领域。所述设备包括:通信接口模块、个人应用环境再现模块、控制模块和安全模块,其中,安全模块用于在控制模块的控制下执行信息安全操作,安全模块可以具体包括加密单元和解密单元,也可以包括软件保护单元,还可以包括身份验证单元。本发明通过安全模块在控制模块的控制下执行信息安全操作,有效地提高了再现个人应用环境的设备的安全性,通过身份验证单元对用户的身份进行验证,有效防止了丢失设备后被别人冒用;通过加密单元和解密单元的操作,防止了被别人盗取个人重要信息的危险,进一步提高了再现个人应用环境的设备的安全性。
权利要求 :
1.一种再现个人应用环境的设备,其特征在于,所述设备包括:
通信接口模块,用于将所述设备与主机建立连接;
个人应用环境再现模块,用于存储个人应用环境数据,及根据所述个人应用环境数据在主机中再现个人应用环境的程序;
控制模块,用于控制所述通信接口模块与主机之间的通信,控制所述个人应用环境再现模块存储的所述程序在主机中再现出个人应用环境,所述控制模块分别与所述通信接口模块和个人应用环境再现模块相连;
安全模块,用于在所述控制模块的控制下,将所述设备在主机中再现的个人应用环境中需要保护的软件的部分内容存储到所述设备中,所述安全模块分别与所述个人应用环境再现模块和控制模块相连;
监控模块,用于当所述设备在主机中再现个人应用环境后,在所述控制模块的控制下在主机中启动监控程序,若检测到所述设备与主机断开连接,则自动停止处于运行状态的个人应用程序,并清除主机内存中和主机可访问设备上遗留的个人应用环境数据。
2.根据权利要求1所述的再现个人应用环境的设备,其特征在于,所述安全模块还包括:加密单元,用于当所述设备存储所述个人应用环境数据时,在所述控制模块的控制下利用所述设备中内置的加密算法对所述个人应用环境数据进行加密处理,并将加密后的个人应用环境数据存储在所述设备中;
解密单元,用于当所述设备在主机中再现个人应用环境时,在所述控制模块的控制下利用所述设备中内置的与所述加密算法相对应的解密算法,解密处理所述加密单元加密后的个人应用环境数据,并将所述解密后的个人应用环境数据发送给所述个人应用环境再现模块。
3.根据权利要求1所述的再现个人应用环境的设备,其特征在于,所述安全模块还包括:身份验证单元,用于验证用户的身份是否合法,如果合法,则允许所述用户使用所述设备;否则,禁止所述用户使用所述设备。
4.根据权利要求1所述的再现个人应用环境的设备,其特征在于,所述个人应用环境再现模块为一存储器件。
5.根据权利要求1所述的再现个人应用环境的设备,其特征在于,所述个人应用环境再现模块与所述安全模块集成在一存储器件中。
6.根据权利要求1所述的再现个人应用环境的设备,其特征在于,所述控制模块为一颗微控制芯片,或者与所述通信接口模块和个人应用环境再现模块中的至少一个集成在一颗微控制芯片中。
7.根据权利要求1所述的再现个人应用环境的设备,其特征在于,所述安全模块为一颗安全设计芯片。
8.根据权利要求1所述的再现个人应用环境的设备,其特征在于,所述通信接口模块、个人应用环境再现模块和控制模块中的至少一个与所述安全模块集成在一颗芯片中。
9.根据权利要求1所述的再现个人应用环境的设备,其特征在于,所述设备还包括:自动运行模块,用于当所述设备与主机建立连接后,在所述控制模块的控制下在所述主机中自动启动所述个人应用环境再现模块存储的所述程序。
10.根据权利要求9所述的再现个人应用环境的设备,其特征在于,所述安全模块和自动运行模块中的至少一个与所述个人应用环境再现模块集成在一存储器件中。
11.根据权利要求9所述的再现个人应用环境的设备,其特征在于,所述通信接口模块、个人应用环境再现模块、控制模块和自动运行模块中的至少一个与所述安全模块集成在一颗芯片中。
12.根据权利要求9所述的再现个人应用环境的设备,其特征在于,所述通信接口模块、个人应用环境再现模块和自动运行模块中的至少一个与所述控制模块集成在一颗微控制芯片中。
13.根据权利要求1所述的再现个人应用环境的设备,其特征在于,所述安全模块和监控模块中的至少一个与所述个人应用环境再现模块集成在一存储器件中。
14.根据权利要求1所述的再现个人应用环境的设备,其特征在于,所述通信接口模块、个人应用环境再现模块、控制模块和监控模块中的至少一个与所述安全模块集成在一颗芯片中。
15.根据权利要求1所述的再现个人应用环境的设备,其特征在于,所述通信接口模块、个人应用环境再现模块和监控模块中的至少一个与所述控制模块集成在一颗微控制芯片中。
16.根据权利要求4、5、10或13所述的再现个人应用环境的设备,其特征在于,所述存储器件为闪存、微硬盘或智能卡。
17.根据权利要求8、11或14所述的再现个人应用环境的设备,其特征在于,所述芯片为安全设计芯片,所述安全设计芯片包括智能卡芯片。
18.根据权利要求1所述的再现个人应用环境的设备,其特征在于,所述个人应用环境数据包括个人应用环境配置信息、个人操作信息和个人敏感信息中的至少一种。
19.根据权利要求1所述的再现个人应用环境的设备,其特征在于,所述设备为钥匙扣式、手持式或腕式便携设备。
说明书 :
技术领域
本发明涉及信息安全领域,特别涉及一种再现个人应用环境的设备。
背景技术
随着电子商务的快速发展及其提供的极大便利,人们在商务活动中越来越多地依赖电脑、网络等电子手段进行办公,在办公中人们频繁的使用各种应用程序,比如最常用的office、还有邮箱、聊天工具、论坛等等。
随着人们对信息安全的要求越来越高,出现了一种信息安全产品,一款便携式的可移动使用的硬件装置,一般称为信息安全设备。信息安全设备是一款带有处理器和存储器的小型硬件装置,它通过主机的数据通讯接口与主机连接,其内的处理器一般会采用安全设计芯片,利用其内置的安全机制,实现密钥生成、密钥安全存储、预置加密算法等功能。与密钥相关的运算完全在信息安全设备内部执行,同时信息安全设备具有抗攻击的特性,安全性极高。另外可以将一些重要信息存储到信息安全设备中,用以保证安全性或者防止遗忘,比如密码、证书、签名等。目前,较高端的信息安全设备是可编程的,即可以实现在信息安全设备中运行预先存入其中的代码。
所谓安全设计芯片除了具有通用嵌入式微控制器的各种特性外,更突出的特性是表现在安全性能方面,安全设计芯片在芯片设计时会针对安全性能方面在结构上做一些特殊处理,比如安全芯片会采用特定的安全内核,该安全内核能够支持多个拥有不同权限定义的状态,用于实现对硬件资源访问权限的管理;以及支持指令执行时间(指令周期)的随机化;其中断系统能够实现支持芯片状态的转换,从而实现对不同层次的安全级别的控制,以支持多应用的实现;还可以带有MMU单元(memory management unit,存储器管理单元),用于实现逻辑地址、物理地址的隔离,及地址映射,从体系结构上支持应用(多应用)、安全性的设计实现,与内核支持的不同状态一起有机的组成一个硬件防火墙;其中断系统还能支持系统数据库与用户程序的接口及权限传递和切换;其存储介质方面也会采用非易失性存储介质等等。安全设计芯片一般都要求符合相关的标准及通过相关的认证等以保证其安全性能,比如TCGTPM v1.2规范,ISO15408国际标准,中国密码管理委员会标准等等。目前市面上有很多款安全设计芯片可供选择,其中意法半导体的ST19WP18微控制器,已通过“公共标准”评估保障级EAL5+(增强版)的认证,这是ISO15408国际标准关于此类产品的最高的标准之一。
信息安全设备目前被广泛应用在身份识别、网上银行、VPN等方面,且可利用信息安全设备对其内存储的数据进行加解密处理等软件版权保护领域。一般可利用信息安全设备实现的信息安全操作主要包括:数据交互(对写入的数据在所述信息安全设备内利用其内预存的加密算法进行加密处理或对读取的数据在所述信息安全设备内利用其内预存的解密算法进行解密处理);身份认证信息处理、存储/验证密码信息、存储/验证签名、存储/验证证书、权限管理;以及预置代码进行数据运算等,其中预置代码包括预置用户软件部分片断(用户软件部分片断不能被读出信息安全设备,并在信息安全设备内部运行进行数据运算),和预置软件保护应用接口函数(软件保护应用接口函数为信息安全设备和软件开发商应用之间的接口级函数)等多种操作。
自动运行功能(Autorun)使光盘、硬盘和海量存储等设备的使用变得更容易,一般习惯称此种能够自动运行起来的程序为Autorun程序。Autorun程序的主要作用就是告诉自动运行哪个程序和它的启动路径。由于Autorun程序中包含了需要自动运行的命令,如改变驱动器图标、运行程序文件、可选快捷菜单等内容,所以当带有Autorun程序的光盘或海量存储等设备连接到主机上时,Autorun程序会装载相应文件,例如.exe可执行文件、.reg注册表文件、GIF、HTML文件、PDF文件等等,实现自动运行功能。
应用环境一般指人们在工作中经常使用的应用程序及各种应用环境,比如office(包括word、excel、powerpoint)、outlook等常用办公软件,以及QQ、MSN等聊天应用程序,还可以包括个人喜好的一些应用程序,比如浏览器应用程序等;个人应用环境数据一般包括依据个人喜好对一些应用程序的配置信息;或者使用这些应用程序的操作信息,比如在word中的编辑的文档、制作的PPT讲稿、利用photoshop处理的图片等,以及用户的修改、添加、删除、移动等操作信息;以及用户的密码、证书、签名等个人敏感信息。
然而,随着电子商务的广泛应用,同时也提出了一系列的问题,就是人们在办公活动中需要经常离开办公室,在自己个人办公电脑外的地方进行办公,比如出差或在家里进行办公等等,这样就会出现论坛、邮箱、MSN、QQ等数不清的密码需要记忆,在其他电脑上无法分享自己电脑里收藏了的经典网址,记录着自己隐私或其他机密文件总找不到放心的地方保存,以及QQ或邮箱被盗很多好友的资料付诸东流;除了上述不便利的问题外,同时还存在一个安全问题,即除非在自己完全控制的主机上进行办公,否则个人信息很容易被非法窃取,比如通过分析硬盘,或以该用户身份登录,或利用管理员身份登录,重设用户密码等手段,都能够获取到曾经在该电脑中使用过的个人信息,比如网页浏览器通过自动密码存储功能所保存的密码信息,收藏夹的内容,最近的访问记录,以及近期使用过的文件等等。
针对上述问题,目前的现有技术中出现了一种能够在计算机中再现个人应用环境的硬件设备,主要采用的技术手段是在该硬件设备中预先写好的一段服务程序,当将该硬件设备与计算机连接后,将该服务程序在计算机中启动,并由该服务程序将个人的配置信息嵌入到计算机的应用程序中,当其从计算机中拔除时,该服务程序还会清除计算机内存中遗留的操作痕迹,实现个人应用环境的再现。
但是上述能够再现个人应用环境的硬件设备存在一定的安全隐患:用户的个人配置信息被存储在该硬件设备中,容易泄露,被人读取出去;另外,一旦丢失该设备,别人便可以冒用该设备,个人的私密信息便完全暴露出来。
随着人们对信息安全的要求越来越高,出现了一种信息安全产品,一款便携式的可移动使用的硬件装置,一般称为信息安全设备。信息安全设备是一款带有处理器和存储器的小型硬件装置,它通过主机的数据通讯接口与主机连接,其内的处理器一般会采用安全设计芯片,利用其内置的安全机制,实现密钥生成、密钥安全存储、预置加密算法等功能。与密钥相关的运算完全在信息安全设备内部执行,同时信息安全设备具有抗攻击的特性,安全性极高。另外可以将一些重要信息存储到信息安全设备中,用以保证安全性或者防止遗忘,比如密码、证书、签名等。目前,较高端的信息安全设备是可编程的,即可以实现在信息安全设备中运行预先存入其中的代码。
所谓安全设计芯片除了具有通用嵌入式微控制器的各种特性外,更突出的特性是表现在安全性能方面,安全设计芯片在芯片设计时会针对安全性能方面在结构上做一些特殊处理,比如安全芯片会采用特定的安全内核,该安全内核能够支持多个拥有不同权限定义的状态,用于实现对硬件资源访问权限的管理;以及支持指令执行时间(指令周期)的随机化;其中断系统能够实现支持芯片状态的转换,从而实现对不同层次的安全级别的控制,以支持多应用的实现;还可以带有MMU单元(memory management unit,存储器管理单元),用于实现逻辑地址、物理地址的隔离,及地址映射,从体系结构上支持应用(多应用)、安全性的设计实现,与内核支持的不同状态一起有机的组成一个硬件防火墙;其中断系统还能支持系统数据库与用户程序的接口及权限传递和切换;其存储介质方面也会采用非易失性存储介质等等。安全设计芯片一般都要求符合相关的标准及通过相关的认证等以保证其安全性能,比如TCGTPM v1.2规范,ISO15408国际标准,中国密码管理委员会标准等等。目前市面上有很多款安全设计芯片可供选择,其中意法半导体的ST19WP18微控制器,已通过“公共标准”评估保障级EAL5+(增强版)的认证,这是ISO15408国际标准关于此类产品的最高的标准之一。
信息安全设备目前被广泛应用在身份识别、网上银行、VPN等方面,且可利用信息安全设备对其内存储的数据进行加解密处理等软件版权保护领域。一般可利用信息安全设备实现的信息安全操作主要包括:数据交互(对写入的数据在所述信息安全设备内利用其内预存的加密算法进行加密处理或对读取的数据在所述信息安全设备内利用其内预存的解密算法进行解密处理);身份认证信息处理、存储/验证密码信息、存储/验证签名、存储/验证证书、权限管理;以及预置代码进行数据运算等,其中预置代码包括预置用户软件部分片断(用户软件部分片断不能被读出信息安全设备,并在信息安全设备内部运行进行数据运算),和预置软件保护应用接口函数(软件保护应用接口函数为信息安全设备和软件开发商应用之间的接口级函数)等多种操作。
自动运行功能(Autorun)使光盘、硬盘和海量存储等设备的使用变得更容易,一般习惯称此种能够自动运行起来的程序为Autorun程序。Autorun程序的主要作用就是告诉自动运行哪个程序和它的启动路径。由于Autorun程序中包含了需要自动运行的命令,如改变驱动器图标、运行程序文件、可选快捷菜单等内容,所以当带有Autorun程序的光盘或海量存储等设备连接到主机上时,Autorun程序会装载相应文件,例如.exe可执行文件、.reg注册表文件、GIF、HTML文件、PDF文件等等,实现自动运行功能。
应用环境一般指人们在工作中经常使用的应用程序及各种应用环境,比如office(包括word、excel、powerpoint)、outlook等常用办公软件,以及QQ、MSN等聊天应用程序,还可以包括个人喜好的一些应用程序,比如浏览器应用程序等;个人应用环境数据一般包括依据个人喜好对一些应用程序的配置信息;或者使用这些应用程序的操作信息,比如在word中的编辑的文档、制作的PPT讲稿、利用photoshop处理的图片等,以及用户的修改、添加、删除、移动等操作信息;以及用户的密码、证书、签名等个人敏感信息。
然而,随着电子商务的广泛应用,同时也提出了一系列的问题,就是人们在办公活动中需要经常离开办公室,在自己个人办公电脑外的地方进行办公,比如出差或在家里进行办公等等,这样就会出现论坛、邮箱、MSN、QQ等数不清的密码需要记忆,在其他电脑上无法分享自己电脑里收藏了的经典网址,记录着自己隐私或其他机密文件总找不到放心的地方保存,以及QQ或邮箱被盗很多好友的资料付诸东流;除了上述不便利的问题外,同时还存在一个安全问题,即除非在自己完全控制的主机上进行办公,否则个人信息很容易被非法窃取,比如通过分析硬盘,或以该用户身份登录,或利用管理员身份登录,重设用户密码等手段,都能够获取到曾经在该电脑中使用过的个人信息,比如网页浏览器通过自动密码存储功能所保存的密码信息,收藏夹的内容,最近的访问记录,以及近期使用过的文件等等。
针对上述问题,目前的现有技术中出现了一种能够在计算机中再现个人应用环境的硬件设备,主要采用的技术手段是在该硬件设备中预先写好的一段服务程序,当将该硬件设备与计算机连接后,将该服务程序在计算机中启动,并由该服务程序将个人的配置信息嵌入到计算机的应用程序中,当其从计算机中拔除时,该服务程序还会清除计算机内存中遗留的操作痕迹,实现个人应用环境的再现。
但是上述能够再现个人应用环境的硬件设备存在一定的安全隐患:用户的个人配置信息被存储在该硬件设备中,容易泄露,被人读取出去;另外,一旦丢失该设备,别人便可以冒用该设备,个人的私密信息便完全暴露出来。
发明内容
为了提高再现个人应用环境的硬件设备的安全性,本发明提供了一种再现个人应用环境的设备。
所述设备包括:
通信接口模块,用于将所述设备与主机建立连接;
个人应用环境再现模块,用于存储个人应用环境数据,及根据所述个人应用环境数据在主机中再现个人应用环境的程序;
控制模块,用于控制所述通信接口模块与主机之间的通信,控制所述个人应用环境再现模块存储的所述程序在主机中再现出个人应用环境,所述控制模块分别与所述通信接口模块和个人应用环境再现模块相连;
安全模块,用于在所述控制模块的控制下,将所述设备在主机中再现的个人应用环境中需要保护的软件的部分内容存储到所述设备中,所述安全模块分别与所述个人应用环境再现模块和控制模块相连;
监控模块,用于当所述设备在主机中再现个人应用环境后,在所述控制模块的控制下在主机中启动监控程序,若检测到所述设备与主机断开连接,则自动停止处于运行状态的个人应用程序,并清除主机内存中和主机可访问设备上遗留的个人应用环境数据。
所述安全模块还包括:
加密单元,用于当所述设备存储所述个人应用环境数据时,在所述控制模块的控制下利用所述设备中内置的加密算法对所述个人应用环境数据进行加密处理,并将加密后的个人应用环境数据存储在所述设备中;
解密单元,用于当所述设备在主机中再现个人应用环境时,在所述控制模块的控制下利用所述设备中内置的与所述加密算法相对应的解密算法,解密处理所述加密单元加密后的个人应用环境数据,并将所述解密后的个人应用环境数据发送给所述个人应用环境再现模块。
所述安全模块还包括:
身份验证单元,用于验证用户的身份是否合法,如果合法,则允许所述用户使用所述设备;否则,禁止所述用户使用所述设备。
所述个人应用环境再现模块为一存储器件。
所述个人应用环境再现模块与所述安全模块集成在一存储器件中。
所述控制模块为一颗微控制芯片。
所述通信接口模块和个人应用环境再现模块中的至少一个与所述控制模块集成在一颗微控制芯片中。
所述安全模块为一颗安全设计芯片。
所述通信接口模块、个人应用环境再现模块和控制模块中的至少一个与所述安全模块集成在一颗芯片中。
所述设备还包括:
自动运行模块,用于当所述设备与主机建立连接后,在所述控制模块的控制下在所述主机中自动启动所述个人应用环境再现模块存储的所述程序。
所述安全模块和自动运行模块中的至少一个与所述个人应用环境再现模块集成在一存储器件中。
所述通信接口模块、个人应用环境再现模块、控制模块和自动运行模块中的至少一个与所述安全模块集成在一颗芯片中。
所述通信接口模块、个人应用环境再现模块和自动运行模块中的至少一个与所述控制模块集成在一颗微控制芯片中。
所述设备还包括:
监控模块,用于当所述设备在主机中再现个人应用环境后,在所述控制模块的控制下在主机中启动监控程序,若检测到所述设备与主机断开连接,则自动停止处于运行状态的个人应用程序,并清除主机内存中和主机可访问设备上遗留的个人应用环境数据。
所述安全模块和监控模块中的至少一个与所述个人应用环境再现模块集成在一存储器件中。
所述通信接口模块、个人应用环境再现模块、控制模块和监控模块中的至少一个与所述安全模块集成在一颗芯片中。
所述通信接口模块、个人应用环境再现模块和监控模块中的至少一个与所述控制模块集成在一颗微控制芯片中。
所述存储器件为闪存、微硬盘或智能卡。
所述芯片为安全设计芯片,所述安全设计芯片包括智能卡芯片。
所述个人应用环境数据包括个人应用环境配置信息、个人操作信息和个人敏感信息中的至少一种。
所述设备为钥匙扣式、手持式或腕式便携设备。
上述技术方案具有如下有益效果:通过安全模块在控制模块的控制下执行信息安全操作,有效地提高了再现个人应用环境的设备的安全性。通过身份验证单元对用户的身份进行验证,有效防止了丢失设备后被别人冒用,同时,由于加密单元和解密单元的操作,也防止了被别人盗取个人重要信息的危险,进一步提高了再现个人应用环境的设备的安全性。通过自动运行模块自动触发个人应用环境再现模块,使再现个人应用环境更方便。通过监控模块启动监控程序,防止用户非正常拔除设备时,导致在主机系统中不能卸载干净。
所述设备包括:
通信接口模块,用于将所述设备与主机建立连接;
个人应用环境再现模块,用于存储个人应用环境数据,及根据所述个人应用环境数据在主机中再现个人应用环境的程序;
控制模块,用于控制所述通信接口模块与主机之间的通信,控制所述个人应用环境再现模块存储的所述程序在主机中再现出个人应用环境,所述控制模块分别与所述通信接口模块和个人应用环境再现模块相连;
安全模块,用于在所述控制模块的控制下,将所述设备在主机中再现的个人应用环境中需要保护的软件的部分内容存储到所述设备中,所述安全模块分别与所述个人应用环境再现模块和控制模块相连;
监控模块,用于当所述设备在主机中再现个人应用环境后,在所述控制模块的控制下在主机中启动监控程序,若检测到所述设备与主机断开连接,则自动停止处于运行状态的个人应用程序,并清除主机内存中和主机可访问设备上遗留的个人应用环境数据。
所述安全模块还包括:
加密单元,用于当所述设备存储所述个人应用环境数据时,在所述控制模块的控制下利用所述设备中内置的加密算法对所述个人应用环境数据进行加密处理,并将加密后的个人应用环境数据存储在所述设备中;
解密单元,用于当所述设备在主机中再现个人应用环境时,在所述控制模块的控制下利用所述设备中内置的与所述加密算法相对应的解密算法,解密处理所述加密单元加密后的个人应用环境数据,并将所述解密后的个人应用环境数据发送给所述个人应用环境再现模块。
所述安全模块还包括:
身份验证单元,用于验证用户的身份是否合法,如果合法,则允许所述用户使用所述设备;否则,禁止所述用户使用所述设备。
所述个人应用环境再现模块为一存储器件。
所述个人应用环境再现模块与所述安全模块集成在一存储器件中。
所述控制模块为一颗微控制芯片。
所述通信接口模块和个人应用环境再现模块中的至少一个与所述控制模块集成在一颗微控制芯片中。
所述安全模块为一颗安全设计芯片。
所述通信接口模块、个人应用环境再现模块和控制模块中的至少一个与所述安全模块集成在一颗芯片中。
所述设备还包括:
自动运行模块,用于当所述设备与主机建立连接后,在所述控制模块的控制下在所述主机中自动启动所述个人应用环境再现模块存储的所述程序。
所述安全模块和自动运行模块中的至少一个与所述个人应用环境再现模块集成在一存储器件中。
所述通信接口模块、个人应用环境再现模块、控制模块和自动运行模块中的至少一个与所述安全模块集成在一颗芯片中。
所述通信接口模块、个人应用环境再现模块和自动运行模块中的至少一个与所述控制模块集成在一颗微控制芯片中。
所述设备还包括:
监控模块,用于当所述设备在主机中再现个人应用环境后,在所述控制模块的控制下在主机中启动监控程序,若检测到所述设备与主机断开连接,则自动停止处于运行状态的个人应用程序,并清除主机内存中和主机可访问设备上遗留的个人应用环境数据。
所述安全模块和监控模块中的至少一个与所述个人应用环境再现模块集成在一存储器件中。
所述通信接口模块、个人应用环境再现模块、控制模块和监控模块中的至少一个与所述安全模块集成在一颗芯片中。
所述通信接口模块、个人应用环境再现模块和监控模块中的至少一个与所述控制模块集成在一颗微控制芯片中。
所述存储器件为闪存、微硬盘或智能卡。
所述芯片为安全设计芯片,所述安全设计芯片包括智能卡芯片。
所述个人应用环境数据包括个人应用环境配置信息、个人操作信息和个人敏感信息中的至少一种。
所述设备为钥匙扣式、手持式或腕式便携设备。
上述技术方案具有如下有益效果:通过安全模块在控制模块的控制下执行信息安全操作,有效地提高了再现个人应用环境的设备的安全性。通过身份验证单元对用户的身份进行验证,有效防止了丢失设备后被别人冒用,同时,由于加密单元和解密单元的操作,也防止了被别人盗取个人重要信息的危险,进一步提高了再现个人应用环境的设备的安全性。通过自动运行模块自动触发个人应用环境再现模块,使再现个人应用环境更方便。通过监控模块启动监控程序,防止用户非正常拔除设备时,导致在主机系统中不能卸载干净。
附图说明
图1是本发明实施例提供的再现个人应用环境的设备的结构图;
图2是本发明实施例提供的优选的再现个人应用环境的设备的结构图。
图2是本发明实施例提供的优选的再现个人应用环境的设备的结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
参见图1,本发明实施例提供了一种再现个人应用环境的设备100,具体包括:
(1)通信接口模块101,用于将设备100与主机建立连接。
通信接口模块101通过解析设备100与主机之间的通信协议,将设备与主机建立连接。它可以与主控芯片集成在一颗控制芯片中,也可以是独立于主控芯片的专门的通信协议处理芯片。通信接口可以为有线接口形式,如USB接口、IEEE1394接口或串行SATA接口等,也可以为无线接口形式,如无线蓝牙接口、红外接口或RF射频接口等。
(2)个人应用环境再现模块102,用于存储个人应用环境数据,及根据个人应用环境数据在主机中再现个人应用环境的程序。
其中,个人应用环境数据包括个人应用环境配置信息、个人操作信息和个人敏感信息中的至少一种。个人应用环境配置信息为依据个人喜好对一些应用程序的配置信息;个人操作信息为使用这些应用程序的操作信息,比如在word中的编辑的文档、制作的PPT讲稿、利用photoshop处理的图片等,以及用户的修改、添加、删除、移动等操作信息;个人敏感信息包括用户的密码、证书、签名等等。
个人应用环境再现模块102存储的程序在控制模块103的控制下,利用个人应用环境再现模块102存储的个人应用环境数据,在主机中再现个人应用环境的过程具体如下:
个人应用环境再现模块102存储的根据个人应用环境数据在主机中再现个人应用环境的程序中包括一段服务程序,当将设备100与主机建立连接后,该服务程序便在主机中启动,该服务程序会将个人应用环境再现模块102存储的个人应用环境数据嵌入到主机的应用程序中,从而在主机中实现个人应用环境的再现。
个人应用环境再现模块102可以是一个独立的存储器件(如FLASH芯片、SD卡、微硬盘、智能卡等),也可以是主控芯片中的存储器件(如带有存储单元的安全设计芯片等),其存储介质可以是RAM、ROM、EPROM、EEPROM和FLASH中的一种或几种。
(3)控制模块103,用于控制通信接口模块101与主机之间的通信,控制个人应用环境再现模块102存储的根据个人应用环境数据在主机中再现个人应用环境的程序,在主机中再现出个人办公环境。控制模块103分别与通信接口模块101和个人应用环境再现模块102相连。
控制模块103可以为一颗主控芯片,包括微控制芯片。另外,还可以是通信接口模块101和个人应用环境再现模块102中的至少一个与控制模块103集成在一颗微控制芯片中,微控制芯片包括安全设计芯片。
(4)安全模块104,用于在控制模块103的控制下,执行信息安全操作;它分别与个人应用环境再现模块102和控制模块103相连。
其中,安全模块104可以是一颗独立的芯片(包括安全设计芯片),也可以是与通信接口模块101、个人应用环境再现模块102和控制模块103中的至少一个集成在一颗芯片(一般为安全设计芯片,包括智能卡芯片)中;还可以与个人应用环境再现模块102集成在一存储器件中。
其中,安全模块104可以具体包括:
1)加密单元,用于当设备100存储个人应用环境数据时,在控制模块103的控制下,利用设备100中内置的加密算法对个人应用环境数据进行加密处理,并将加密后的个人应用环境数据存储在设备100中;
2)解密单元,用于当设备100在主机中再现个人应用环境时,在控制模块103的控制下,利用设备100中内置的与上述加密算法相对应的解密算法,解密处理加密单元加密后的个人应用环境数据,并将解密后的个人应用环境数据发送给个人应用环境再现模块102。
另外,安全模块104还可以具体包括:
1)软件保护单元,用于在控制模块103的控制下,将设备100在主机中再现的个人应用环境中需要保护的软件的部分内容存储到设备100中,从而实现软件保护功能。
其中,存储的部分内容通常为需要保护的软件的关键内容。而且,实现的软件保护功能包括很多情况,比如在一个企业内部使用一个特定软件,该企业希望该特定软件仅在自己公司内部使用,那么可以将该软件中的关键部分存储在本实施例提供的再现个人应用环境的设备中,当在公司内部的不同计算机上使用时,即将某位员工的设备与计算机连接后,计算机中的该特定软件剩余部分与设备中的关键部分结合在一起后,才能使用该软件,所以起到了对软件的保护作用,即在计算机中由于软件缺少关键部分内容,从而实现不能被其他人所使用。
另外,安全模块104还可以具体包括:
1)身份验证单元,用于验证用户的身份是否合法,如果合法,则允许该用户使用上述设备100;否则,禁止该用户使用上述设备100。
身份验证单元可以采用PIN码验证、生物特征验证等多种方式对用户的身份进行验证。
进一步地,上述设备100还可以包括:
自动运行模块105,用于当设备100与主机建立连接后,在控制模块103的控制下,在主机中自动启动个人应用环境再现模块102中存储的根据个人应用环境数据在主机中再现个人应用环境的程序。
自动运行模块105分别与个人应用环境再现模块102和控制模块103相连。
其中,通信接口模块101、个人应用环境再现模块102、控制模块103和自动运行模块105中的至少一个可以与安全模块104集成在一颗芯片中。
另外,安全模块104和自动运行模块105中的至少一个可以与个人应用环境再现模块102集成在一存储器件中。
也可以是,通信接口模块101、个人应用环境再现模块102和自动运行模块105中的至少一个与控制模块103集成在一颗主控芯片中,包括微控制芯片。
为了防止用户非正常拔除设备,导致在主机系统中不能卸载干净,进一步地,上述设备100还可以包括:
监控模块106,用于当设备在主机中再现个人应用环境后,在控制模块103的控制下在主机中启动监控程序,若检测到设备100与主机断开连接,则自动停止处于运行状态的个人应用程序,并清除主机内存中和主机可访问设备上遗留的个人应用环境数据。
监控模块106分别与个人应用环境再现模块102和控制模块103相连。
其中,通信接口模块101、个人应用环境再现模块102、控制模块103和监控模块106中的至少一个可以与安全模块104集成在一颗芯片中。
另外,安全模块104和监控模块106中的至少一个可以与个人应用环境再现模块102集成在一个存储器件中。
也可以是,通信接口模块101、个人应用环境再现模块102和监控模块106中的至少一个与控制模块103集成在一颗主控芯片中,包括微控制芯片。
本实施例中提到的芯片均可以为安全设计芯片,其中,安全设计芯片包括智能卡芯片。
本实施例中提到的存储器件包括多种,如闪存、微硬盘、智能卡或SD卡等等。且存储器件与本实施例提供的再现个人应用环境的设备的结合方式可以有多种,如以固定方式与设备结合,或以抽换方式与设备结合等等。
本实施例中的再现个人应用环境的设备可以为钥匙扣式、手持式或腕式便携设备。
当用户将上述设备从主机中拔除时,在主机中运行的监控程序会停止处于运行状态的个人应用程序,并清除主机内存中和主机可访问设备上的遗留的个人应用环境数据,所以用户将该便携设备随身带走后,对于主机及其随后的用户而言,上述个人应用环境数据将不复存在。
参见图2,为本实施例的一个优选方案,提供了一个钥匙扣式便携式再现个人应用环境的设备200。设备200由外壳部分和装于其内部的电路板两部分构成,电路板上的核心部件为带有USB接口的智能卡芯片、大容量存储芯片和USB接头;在本方案中分别为中兴公司的Z32H256SUF智能卡芯片201、SUMSUNG公司的K9KAG08U0M芯片202和USB接头203。Z32H256SUF智能卡芯片201可以实现信息安全的功能,所以可以利用该芯片实现带安全功能的再现个人应用环境的USB设备。其中,USB接头203是用于提供设备200与主机进行通信的接头;Z32H256SUF智能卡芯片201用来控制该设备200与主机之间的通信,和个人应用环境的再现。另外,本优选方案中选用的Z32H256SUF智能卡芯片201中带有32KB的EEPROM,用于存储数据和程序,以及256KB的FLASH,用于存储程序、函数库、不常变动数据等,由于其存储空间为非易失性存储介质类型,可以实现多次擦写,为程序的升级提供了便利,同时由于其非易失特性,也使得程序的存储更加安全可靠。Z32H256SUF智能卡芯片201的D+管脚(USB数据串正端)与USB接头203的D+管脚(USB数据串正端)相连,Z32H256SUF智能卡芯片201的D-管脚(USB数据串负端)与USB接头203的D-管脚(USB数据串负端)相连,从而实现Z32H256SUF智能卡芯片201通过USB接头203与主机进行通信,上述管脚D+和管脚D-为USB的两根信号线,负责与USB总线上的设备交换数据。
安全模块的功能通常在Z32H256SUF智能卡芯片201中利用智能卡芯片的安全设计功能实现,也可以将安全程序存储在K9KAG08U0M芯片202中实现安全模块的功能。大容量FLASH芯片K9KAG08U0M芯片202内存储有个人应用环境数据,及利用个人应用环境数据再现个人应用环境的程序,包括服务程序,用来实现个人应用环境的再现,用户在再现的个人应用环境中的操作数据也保存在K9KAG08U0M芯片202中。实现自动运行功能的Autorun程序可以存储在K9KAG08U0M芯片202中,也可以存储在Z32H256SUF智能卡芯片201的存储空间中,在设备200与主机建立连接后,Autorun程序可以在主机中实现自动启动预先写好在设备中的服务程序,由该服务程序将个人应用环境配置信息嵌入到主机中相应的应用程序中,实现个人应用环境的再现。监控程序可以存储在Z32H256SUF智能卡芯片201中,也可以存储在存储芯片K9KAG08U0M芯片202中,当个人应用环境再现后,监控程序在主机中启动,并实时监控设备200是否与主机断开连接,当检测到设备200与主机断开连接时,自动停止处于运行状态的个人应用程序,并清除主机内存中及主机可访问设备上遗留的个人应用环境数据。
上述优选方案的结构只是本发明的一个特例,通信接口模块由Z32H256SUF智能卡芯片201的D+和D-管脚以及USB接头203共同来实现;在具体实施时,通信接口模块也可以是由与安全设计芯片分立的USB协议芯片与USB接头共同来实现,如选用飞利浦的USB接口芯片PDIUSBD12与USB接头来实现。
本实施例中的所有主机均可以是台式电脑、笔记本电脑、服务器或专用机,且本实施例提供的再现个人应用环境的设备也可以与其它外部设备进行连接,外部设备可以但不限于是读卡器、通讯设备、数码相机、主机外设或其它专用设备。
本发明实施例通过安全模块在控制模块的控制下执行信息安全操作,有效地提高了再现个人应用环境的设备的安全性。通过身份验证单元对用户的身份进行验证,有效防止了丢失设备后被别人冒用,同时,由于加密单元和解密单元的操作,也防止了被别人盗取的危险进一步提高了再现个人应用环境的设备的安全性。通过自动运行模块自动触发个人应用环境再现模块,使再现个人应用环境更方便。通过监控模块启动监控程序,防止用户非正常拔除设备时,导致在主机系统中不能卸载干净。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
参见图1,本发明实施例提供了一种再现个人应用环境的设备100,具体包括:
(1)通信接口模块101,用于将设备100与主机建立连接。
通信接口模块101通过解析设备100与主机之间的通信协议,将设备与主机建立连接。它可以与主控芯片集成在一颗控制芯片中,也可以是独立于主控芯片的专门的通信协议处理芯片。通信接口可以为有线接口形式,如USB接口、IEEE1394接口或串行SATA接口等,也可以为无线接口形式,如无线蓝牙接口、红外接口或RF射频接口等。
(2)个人应用环境再现模块102,用于存储个人应用环境数据,及根据个人应用环境数据在主机中再现个人应用环境的程序。
其中,个人应用环境数据包括个人应用环境配置信息、个人操作信息和个人敏感信息中的至少一种。个人应用环境配置信息为依据个人喜好对一些应用程序的配置信息;个人操作信息为使用这些应用程序的操作信息,比如在word中的编辑的文档、制作的PPT讲稿、利用photoshop处理的图片等,以及用户的修改、添加、删除、移动等操作信息;个人敏感信息包括用户的密码、证书、签名等等。
个人应用环境再现模块102存储的程序在控制模块103的控制下,利用个人应用环境再现模块102存储的个人应用环境数据,在主机中再现个人应用环境的过程具体如下:
个人应用环境再现模块102存储的根据个人应用环境数据在主机中再现个人应用环境的程序中包括一段服务程序,当将设备100与主机建立连接后,该服务程序便在主机中启动,该服务程序会将个人应用环境再现模块102存储的个人应用环境数据嵌入到主机的应用程序中,从而在主机中实现个人应用环境的再现。
个人应用环境再现模块102可以是一个独立的存储器件(如FLASH芯片、SD卡、微硬盘、智能卡等),也可以是主控芯片中的存储器件(如带有存储单元的安全设计芯片等),其存储介质可以是RAM、ROM、EPROM、EEPROM和FLASH中的一种或几种。
(3)控制模块103,用于控制通信接口模块101与主机之间的通信,控制个人应用环境再现模块102存储的根据个人应用环境数据在主机中再现个人应用环境的程序,在主机中再现出个人办公环境。控制模块103分别与通信接口模块101和个人应用环境再现模块102相连。
控制模块103可以为一颗主控芯片,包括微控制芯片。另外,还可以是通信接口模块101和个人应用环境再现模块102中的至少一个与控制模块103集成在一颗微控制芯片中,微控制芯片包括安全设计芯片。
(4)安全模块104,用于在控制模块103的控制下,执行信息安全操作;它分别与个人应用环境再现模块102和控制模块103相连。
其中,安全模块104可以是一颗独立的芯片(包括安全设计芯片),也可以是与通信接口模块101、个人应用环境再现模块102和控制模块103中的至少一个集成在一颗芯片(一般为安全设计芯片,包括智能卡芯片)中;还可以与个人应用环境再现模块102集成在一存储器件中。
其中,安全模块104可以具体包括:
1)加密单元,用于当设备100存储个人应用环境数据时,在控制模块103的控制下,利用设备100中内置的加密算法对个人应用环境数据进行加密处理,并将加密后的个人应用环境数据存储在设备100中;
2)解密单元,用于当设备100在主机中再现个人应用环境时,在控制模块103的控制下,利用设备100中内置的与上述加密算法相对应的解密算法,解密处理加密单元加密后的个人应用环境数据,并将解密后的个人应用环境数据发送给个人应用环境再现模块102。
另外,安全模块104还可以具体包括:
1)软件保护单元,用于在控制模块103的控制下,将设备100在主机中再现的个人应用环境中需要保护的软件的部分内容存储到设备100中,从而实现软件保护功能。
其中,存储的部分内容通常为需要保护的软件的关键内容。而且,实现的软件保护功能包括很多情况,比如在一个企业内部使用一个特定软件,该企业希望该特定软件仅在自己公司内部使用,那么可以将该软件中的关键部分存储在本实施例提供的再现个人应用环境的设备中,当在公司内部的不同计算机上使用时,即将某位员工的设备与计算机连接后,计算机中的该特定软件剩余部分与设备中的关键部分结合在一起后,才能使用该软件,所以起到了对软件的保护作用,即在计算机中由于软件缺少关键部分内容,从而实现不能被其他人所使用。
另外,安全模块104还可以具体包括:
1)身份验证单元,用于验证用户的身份是否合法,如果合法,则允许该用户使用上述设备100;否则,禁止该用户使用上述设备100。
身份验证单元可以采用PIN码验证、生物特征验证等多种方式对用户的身份进行验证。
进一步地,上述设备100还可以包括:
自动运行模块105,用于当设备100与主机建立连接后,在控制模块103的控制下,在主机中自动启动个人应用环境再现模块102中存储的根据个人应用环境数据在主机中再现个人应用环境的程序。
自动运行模块105分别与个人应用环境再现模块102和控制模块103相连。
其中,通信接口模块101、个人应用环境再现模块102、控制模块103和自动运行模块105中的至少一个可以与安全模块104集成在一颗芯片中。
另外,安全模块104和自动运行模块105中的至少一个可以与个人应用环境再现模块102集成在一存储器件中。
也可以是,通信接口模块101、个人应用环境再现模块102和自动运行模块105中的至少一个与控制模块103集成在一颗主控芯片中,包括微控制芯片。
为了防止用户非正常拔除设备,导致在主机系统中不能卸载干净,进一步地,上述设备100还可以包括:
监控模块106,用于当设备在主机中再现个人应用环境后,在控制模块103的控制下在主机中启动监控程序,若检测到设备100与主机断开连接,则自动停止处于运行状态的个人应用程序,并清除主机内存中和主机可访问设备上遗留的个人应用环境数据。
监控模块106分别与个人应用环境再现模块102和控制模块103相连。
其中,通信接口模块101、个人应用环境再现模块102、控制模块103和监控模块106中的至少一个可以与安全模块104集成在一颗芯片中。
另外,安全模块104和监控模块106中的至少一个可以与个人应用环境再现模块102集成在一个存储器件中。
也可以是,通信接口模块101、个人应用环境再现模块102和监控模块106中的至少一个与控制模块103集成在一颗主控芯片中,包括微控制芯片。
本实施例中提到的芯片均可以为安全设计芯片,其中,安全设计芯片包括智能卡芯片。
本实施例中提到的存储器件包括多种,如闪存、微硬盘、智能卡或SD卡等等。且存储器件与本实施例提供的再现个人应用环境的设备的结合方式可以有多种,如以固定方式与设备结合,或以抽换方式与设备结合等等。
本实施例中的再现个人应用环境的设备可以为钥匙扣式、手持式或腕式便携设备。
当用户将上述设备从主机中拔除时,在主机中运行的监控程序会停止处于运行状态的个人应用程序,并清除主机内存中和主机可访问设备上的遗留的个人应用环境数据,所以用户将该便携设备随身带走后,对于主机及其随后的用户而言,上述个人应用环境数据将不复存在。
参见图2,为本实施例的一个优选方案,提供了一个钥匙扣式便携式再现个人应用环境的设备200。设备200由外壳部分和装于其内部的电路板两部分构成,电路板上的核心部件为带有USB接口的智能卡芯片、大容量存储芯片和USB接头;在本方案中分别为中兴公司的Z32H256SUF智能卡芯片201、SUMSUNG公司的K9KAG08U0M芯片202和USB接头203。Z32H256SUF智能卡芯片201可以实现信息安全的功能,所以可以利用该芯片实现带安全功能的再现个人应用环境的USB设备。其中,USB接头203是用于提供设备200与主机进行通信的接头;Z32H256SUF智能卡芯片201用来控制该设备200与主机之间的通信,和个人应用环境的再现。另外,本优选方案中选用的Z32H256SUF智能卡芯片201中带有32KB的EEPROM,用于存储数据和程序,以及256KB的FLASH,用于存储程序、函数库、不常变动数据等,由于其存储空间为非易失性存储介质类型,可以实现多次擦写,为程序的升级提供了便利,同时由于其非易失特性,也使得程序的存储更加安全可靠。Z32H256SUF智能卡芯片201的D+管脚(USB数据串正端)与USB接头203的D+管脚(USB数据串正端)相连,Z32H256SUF智能卡芯片201的D-管脚(USB数据串负端)与USB接头203的D-管脚(USB数据串负端)相连,从而实现Z32H256SUF智能卡芯片201通过USB接头203与主机进行通信,上述管脚D+和管脚D-为USB的两根信号线,负责与USB总线上的设备交换数据。
安全模块的功能通常在Z32H256SUF智能卡芯片201中利用智能卡芯片的安全设计功能实现,也可以将安全程序存储在K9KAG08U0M芯片202中实现安全模块的功能。大容量FLASH芯片K9KAG08U0M芯片202内存储有个人应用环境数据,及利用个人应用环境数据再现个人应用环境的程序,包括服务程序,用来实现个人应用环境的再现,用户在再现的个人应用环境中的操作数据也保存在K9KAG08U0M芯片202中。实现自动运行功能的Autorun程序可以存储在K9KAG08U0M芯片202中,也可以存储在Z32H256SUF智能卡芯片201的存储空间中,在设备200与主机建立连接后,Autorun程序可以在主机中实现自动启动预先写好在设备中的服务程序,由该服务程序将个人应用环境配置信息嵌入到主机中相应的应用程序中,实现个人应用环境的再现。监控程序可以存储在Z32H256SUF智能卡芯片201中,也可以存储在存储芯片K9KAG08U0M芯片202中,当个人应用环境再现后,监控程序在主机中启动,并实时监控设备200是否与主机断开连接,当检测到设备200与主机断开连接时,自动停止处于运行状态的个人应用程序,并清除主机内存中及主机可访问设备上遗留的个人应用环境数据。
上述优选方案的结构只是本发明的一个特例,通信接口模块由Z32H256SUF智能卡芯片201的D+和D-管脚以及USB接头203共同来实现;在具体实施时,通信接口模块也可以是由与安全设计芯片分立的USB协议芯片与USB接头共同来实现,如选用飞利浦的USB接口芯片PDIUSBD12与USB接头来实现。
本实施例中的所有主机均可以是台式电脑、笔记本电脑、服务器或专用机,且本实施例提供的再现个人应用环境的设备也可以与其它外部设备进行连接,外部设备可以但不限于是读卡器、通讯设备、数码相机、主机外设或其它专用设备。
本发明实施例通过安全模块在控制模块的控制下执行信息安全操作,有效地提高了再现个人应用环境的设备的安全性。通过身份验证单元对用户的身份进行验证,有效防止了丢失设备后被别人冒用,同时,由于加密单元和解密单元的操作,也防止了被别人盗取的危险进一步提高了再现个人应用环境的设备的安全性。通过自动运行模块自动触发个人应用环境再现模块,使再现个人应用环境更方便。通过监控模块启动监控程序,防止用户非正常拔除设备时,导致在主机系统中不能卸载干净。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。