[实用新型]可信安全移动存储装置

说明书

技术领域

本实用新型涉及信息安全技术领域，特别是可信安全移动存储装置。

背景技术

近年来，移动存储技术发展迅速，不论是存储容量，还是读写的速度，都达到了一个非常高的水平。目前，市场上有两种移动存储设备深受消费者喜爱，一种俗称U盘，另一种俗称移动硬盘。这两类移动存储设备为用户提供便携的数据存储方案。U盘存储容量通常在32MB和64GB之间变化。U盘与外界的数据传输通常遵循USB 1.1和2.0标准，传输速率最高可达480Mbps。由于成本和价格的影响，市售普通U盘的容量一般不会太大，通常为几个GB左右。为了满足低成本高容量的要求，移动硬盘逐步进入市场主流。移动硬盘采用PC机或笔记本中常用的硬盘作为主要部件，外加数据转换电路和USB接口。由于PC或笔记本中的硬盘技术上非常成熟，以较低的价格就能获得较高的存储容量，通常能达到几百个GB。移动硬盘通常采用USB接口，满足了用户即插即用、便携性的要求。

现有技术中的U盘和移动硬盘由于采用USB接口，用户可以非常方便地在不同的具有USB接口的设备，如PC机、笔记本电脑和PDA等上使用，这为用户提供了极大的便利性和通用性。但是，对于对数据的安全性和保密性有特殊需求的用户，如军队、保密部门、政府机构、企业的研发设计部门等，U盘和移动硬盘的便携性和通用性却带来了很大的安全隐患。有的企业员工通过U盘或移动硬盘可以非常容易地将企业的某些机密数据拷出，导致机密数据泄密。为了防止泄密，有的企业将员工的电脑中的USB接口采用某些物理手段封锁，从而禁止用户使用U盘和移动硬盘，这会给用户的正常数据传递带来困难。因此，U盘和移动硬盘的便携、通用性和安全、保密性互相矛盾，使得用户要么牺牲便携和通用性，要么牺牲安全和保密性。

近年来，随着可信计算技术的发展，可信计算设备(可信PC机、可信服务器、可信手机等)逐步走向市场。可信计算设备通过在传统计算设备中嵌入可信安全模块(如国际上通用的TPM(TrustedPlatform Module)模块和国内自主研发的TCM(Trusted CryptographyModule)模块)作为系统的安全根来构建可信计算平台。该可信计算平台能够对外报告自身的身份，以用于身份鉴别。但是可信计算平台与移动存储装置的安全使用，未见技术报导。

发明内容

为了解决上述现有技术中存在的问题，本实用新型的目的是提供一种可信安全移动存储装置。它将移动存储设备和可信计算设备进行身份绑定，确保移动存储设备中的数据只能在局部范围内流转，有效防止数据泄密。

为了达到上述发明目的，本实用新型的技术方案以如下方式实现：

可信安全移动存储装置，它包括移动存储设备和与移动存储设备相互连接的可信计算设备。其结构特点是，所述移动存储设备包括：

访问控制单元，具有相互连接的对数据传输进行控制的USB数据传输协议、访问控制协议以及数字签名和认证协议，提供访问控制和数据传输控制服务，USB数据传输协议对数据传输进行控制，访问控制协议判断外部可信计算设备的访问权限，数字签名和认证协议提供签发数字证书、导入和导出数字证书、数字签名以及验证数字签名服务；

密码学服务单元，与访问控制单元相互连接提供密码学服务，包括生成真随机数的随机数生成器、摘要算法、对称加密算法、非对称加密算法以及数字签名算法和数字签名验证算法；

数据存储单元，与访问控制单元相互连接，存储数据或信息；

USB接口，与访问控制单元中相互连接，为移动存储设备与外部设备通讯的接口；

所述移动存储设备与可信计算设备以数字签名和签名认证的方式进行身份绑定，可信计算设备包括相互连接的可信应用程序、可信OS Kernel、可信Boot Loader、可信BIOS/EFI和可信密码模块TCM，可信密码模块TCM作为可信计算设备的可信根，基于该可信根构建可信计算环境。

在上述可信安全移动存储装置中，所述移动存储设备和可信计算设备之间的身份绑定是指双方分别获取对方的数字证书，并进行数字签名和签名认证，只有相互认证通过后可信计算设备才可以从移动存储设备的数据存储单元中读出或写入数据。

在上述可信安全移动存储装置中，所述一个可信计算设备能同时绑定一个或多个移动存储设备，一个移动存储设备能同时绑定一个或多个可信计算设备。

在上述可信安全移动存储装置中，所述可信应用程序中包括外部设备访问代理程序，外部设备访问代理程序通过USB接口与移动存储设备访问控制单元的USB数据传输协议相互连接。

在上述可信安全移动存储装置中，所述可信根是指可信度量根、可信报告根和可信存储根。