[发明专利]一种防止方舱医院单兵手持智能终端信息泄漏的方法

说明书

技术领域

本发明涉及方舱医院、密码学、数据安全等领域，具体的说，本发明给出了一种防止方舱医院单兵手持智能终端信息泄漏的方法，可以有效地防止单兵手持智能终端信息泄漏行为的发生。

背景技术

随着方舱医院、远程医疗和单兵智能终端的兴起，在方舱医院中越来越多地采用智能终端作为医护平台，为了提高各自的业务能力，各方舱医院承建方都投入巨资开发各种移动业务软件。

然而，智能终端数据泄漏成为了各应用方的一大难题，如果不能有效解决这一问题，在保密要求较高的方舱医院中，采用单兵智能终端也会受到严重的影响。

对称密钥密码算法是加密密钥与解密密钥相同的密钥算法，常用于对大数据进行加密。

非对称密钥密钥技术是拥有公钥和私钥两个密钥的密码算法，经过公钥加密形成的密文，只有用私钥才能解密，经私钥加密形成的密钥，只有用公钥才能解密，通常用来保护对称密钥，也用来进行签名和密钥分发等。

发明内容

本发明提出了一种防止方舱医院单兵手持智能终端信息泄漏的方法，涉密数据经过公钥加密算法保护后再分发给单兵手持智能终端，在单兵手持智能终端数据在被使用时，单兵手持智能终端的安全固件经过方舱医院CA中心的身份认证后，从方舱医院CA中心获取数据的私钥，私钥在传输的过程受安全固件公钥的保护，然后在数据被使用的过程中动态地对数据进行解密。盗版用户不通过与方舱医院CA中心的认证，无法获取数据解密所需要的私钥，因此无法获取单兵手持智能终端的明文数据，从而防止单兵手持智能终端的数据泄漏。具体工作方式如下：

(1)    采用本方法进行单兵手持智能终端数据保护的方舱医院需要建立自己的CA中心，负责为安全装置提供密钥管理支持；

(2)    进行数据防泄漏保护的单兵手持智能终端具备安全固件，该安全固件为存储在智能终端的boot存储区的一段软件代码，安全固件同时能够进行高速对称加解密和非对称加解密；

(3)    经本发明保护的单兵手持智能终端的每一份数据，都具有方舱医院CA中心分配的一个公钥PK_ps和与之对应的私钥PK_ss，PK_ss存储于方舱医院CA中心，PK_ps用于保护对单兵手持智能终端数据进行加密的对称密钥；

(4)    在单兵手持智能终端数据下发前，每份单兵手持智能终端数据S被对称密钥SK_s加密得到数据密文S_s，SK_s经PK_ps加密SK_s形成SK_ss，S_s、SK_ss和数据标签被打成加密数据包下发，加密数据包中也可以包括PK_ps；

(5)    方舱医院CA中心的公钥PK_ph和安全固件的私钥PK_sd被写入安全固件中，PK_sd也可由安全固件自主生成，与PK_sd对应的公钥PK_pd则存储于方舱医院CA中心，安全固件的私钥PK_sd不能读出；

(6)    在单兵手持智能终端加密数据包被使用时，安全固件先与方舱医院CA中心进行双向身份认证，双方确认身份后，从方舱医院CA中心查询到方舱单兵手持智能终端加密数据的私钥PK_ss，PK_ss被PK_sd加密形成PK_sss后传输到安全固件中，安全固件用PK_pd对PK_sss进行解密后得到PK_ss，并将PK_ss存储下来，PK_ss密钥不能被读出；

(7)    在单兵手持智能终端数据密文S_s被使用的过程中，安全固件读取安装包中的SK_ss，并用PK_ss对SK_ss进行解密得到SK_s，然后用SK_s对数据密文进行解密得数据明文S；

(8)    安全固件对单兵手持智能终端数据密文S_s的解密操作，根据对单兵手持智能终端数据保密程度的不同，可以出现在数据密文S_s从一种存储介质转移到另一种存储介质时，也可以出现在数据在同一种介质中转移的时候。