[发明专利]提高信息安全装置安全性的方法及系统

说明书

技术领域

本发明涉及信息安全领域，特别涉及一种提高信息安全装置安全性的方法及系统。

背景技术

近几年，随着互联网技术与电子商务的快速发展，越来越多的商务活动转移到网络上开展，例如：网上政府办公、网上银行和网上购物等等。与此同时，越来越多涉及个人隐私和商业秘密的信息需要通过网络来进行传递，然而病毒、黑客以及网页仿冒诈骗等恶意威胁，给在线交易的安全性带来了极大的挑战，致使网络安全问题变得举足轻重。

信息安全装置(简称“装置”)是一种带有处理器和存储器的小型硬件设备，它通过计算机的数据通讯接口与主机连接。它具有密钥生成、安全存储密钥、预置加密算法等功能。信息安全装置与密钥相关的运算完全在装置内部运行，而且信息安全装置具有抗攻击的特性，安全性极高。信息安全装置生产商、软件系统开发商或者最终用户可以将一些重要信息存储到信息安全装置中，用以保证安全性或者防止遗忘。目前，较高端的信息安全装置是可编程的，即可以实现在信息安全装置中运行预先存入其中的代码。信息安全操作包括：数据交互，如对写入的数据在信息安全装置中进行加密或对读取的数据在信息安全装置内进行解密；身份认证信息处理，如存储/验证密码信息、存储/验证签名、存储/验证证书、权限管理；预置代码进行数据运算，如预置不能被读出信息安全装置并在其内部运行进行数据运算的用户软件部分片断、预置软件保护应用接口函数(信息安全装置和软件开发商应用之间的接口级函数)等等。

通常信息安全装置中会内置安全设计芯片来实现信息安全功能。安全设计芯片除了具有通用嵌入式微控制器的各种特性外，在芯片设计时会针对安全性能方面在结构上做一些特殊处理，例如：采用特定的安全内核，该安全内核能够支持多个拥有不同权限定义的状态，用于实现对硬件资源访问权限的管理；或者支持指令执行时间的随机化；或者采用能够实现支持芯片状态转换的中断系统，从而实现对不同层次的安全级别的控制，以支持多应用的实现；或者带有MMU(Memory Management Unit-存储器管理单元)，用于实现逻辑地址、物理地址的隔离和地址映射，从体系结构上支持多应用、安全性的设计实现，与内核支持的不同状态一起有机地组成一个硬件防火墙；或者采用能支持系统数据库与用户程序的接口及权限传递和切换的中断系统；或者采用非易失性存储介质等等。

在现有技术中，信息安全装置可以与任何一台装有驱动程序的计算机或其他设备连接后使用。但是，这在一定程度上也增加了装置中存储的敏感信息泄露和装置被非法使用等方面的风险，形成了一定的安全漏洞。

发明内容

为了使信息安全装置具有更高的安全性，本发明提供了一种提高信息安全装置安全性的方法，所述方法包括：

可连接外设的预定目标设备使用预先安装的监控程序检查相连接的信息安全装置是否存储有特征值，如果没有，则所述监控程序将所述预定目标设备的特征值写入所述信息安全装置，并允许操作所述信息安全装置，否则检查所述预定目标设备的特征值与所述信息安全装置内存储的特征值是否相同，如果相同，则允许操作所述信息安全装置，否则禁止操作所述信息安全装置。

所述监控程序将所述预定目标设备的特征值写入所述信息安全装置的步骤具体包括：

所述信息安全装置声明自身为移动存储设备；

自动启动所述信息安全装置中的自动运行程序；

所述自动运行程序启动所述监控程序；

所述监控程序将所述预定目标设备的特征值写入所述信息安全装置。

所述可连接外设的预定目标设备使用预先安装的监控程序检查相连接的信息安全装置是否存储有特征值的步骤之前还包括：在将信息安全装置连接到预定目标设备之前，将特征值写入信息安全装置中。

所述检查所述预定目标设备的特征值与所述信息安全装置内存储的特征值是否相同的步骤具体为：所述监控程序获取所述预定目标设备的特征值和所述信息安全装置内存储的特征值，比对两个特征值是否相同。

所述检查所述预定目标设备的特征值与所述信息安全装置内存储的特征值是否相同的步骤具体包括：

所述监控程序获取所述预定目标设备的特征值，并将所述预定目标设备的特征值发送给所述信息安全装置；

所述信息安全装置比对接收到的特征值与自身存储的特征值是否相同。

所述预定目标设备的特征值和所述信息安全装置内存储的特征值是可变的。

所述预定目标设备存储日志信息。

所述预定目标设备具体为计算机、PDA或智能手机。