用于实现和应用安全处理器棒的方法 |
|||||||
| 申请号 | CN201110051235.X | 申请日 | 2011-03-03 | 公开(公告)号 | CN102195966A | 公开(公告)日 | 2011-09-21 |
| 申请人 | 卡西斯国际私人有限公司; | 发明人 | K·W·李; | ||||
| 摘要 | 描述了用于实现安全处理器棒的系统和方法。在一个方面中,涉及用于与计算机一起实现安全处理器棒的系统,所述系统包括:安全处理器棒,其包括:处理器;与所述处理器耦合的 存储器 ;与所述处理器耦合的 智能芯片 ,所述智能芯片存储有用于实现安全环境的数据;以及适于在所述存储器和所述处理器上运行的 操作系统 ,其中所述操作系统适于使用所述数据提供在计算机上显示的安全环境。 | ||||||
| 权利要求 | 1.一种用于与计算机一起实现安全处理器棒的系统,所述系统包括: |
||||||
| 说明书全文 | 用于实现和应用安全处理器棒的方法[0001] 相关申请的交叉引用 [0002] 本申请要求2009年1月30日提交的美国临时专利申请第61/206,454、61/206,453和61/206,427号,以及2009年2月4日提交的美国临时专利申请第 61/206,797号的优先权,所述申请的全部内容在此引入作为参考。本申请还要求2009年 4月14日提交的美国专利申请第12/386,208、12/386,210、12/386,211、12/386,212和 12/386,213号的优先权,所述申请的全部内容在此引入作为参考。 技术领域背景技术[0004] 在当前的个人计算机环境中,病毒、间谍软件和恶意软件可能存在于个人计算机中,它们可能危及宝贵的数据或交易。诸如安全令牌的USB设备可以执行加密、安全密钥生成和存储。但是,安全令牌仍需要使用明文信息和数据在个人计算机上运行应用以便使用此功能,这使得加密前的明文信息和数据易于受到攻击。 [0005] IBM的USB安全棒(即,区域信任信息通道)具有用于创建安全套接字层(SSL)通道的板上处理器,但是该处理器并不用于运行安全应用。该应用仍使用主机个人计算机存储器并在主机个人计算机上留下易于受到病毒或间谍软件攻击的存储器踪迹。 [0006] 用于主机个人计算机的Penprotect软件使用加密来保护USB闪速驱动器、闪存或USB棒中的文件。但是一旦加密后的文件被解密并在主机个人计算机上运行,则Penprotect软件就不再对其提供保护。此外,在访问存储在USB存储器棒中的相同加密文件之前,所述加密文件要求在另一个人计算机上安装Penprotect软件,所以加密文件是不可移植的。 [0007] Livetoken是一种带有Linux操作系统和安全芯片的USB驱动器,所述安全芯片安装在USB驱动器上以存储密钥和密码。但是,Livetoken的设计要求重新引导主机个人计算机以在USB驱动器上运行Linux操作系统。此外,该Linux操作系统极度依赖于主机个人计算机硬件配置并且不会在任何其他主机个人计算机上工作。 [0008] 来自Sandisk的U3技术仅允许在Windows XP或Windows Vista个人计算机上使用USB闪速驱动器中的可移植应用。这仅提供了应用可移植性,但是未提供在主机个人计算机上执行的应用和数据的安全性,因为U3技术使用主机个人计算机存储器来执行可移植应用。这使得U3技术对来自病毒或间谍软件的攻击毫不设防。 发明内容[0009] 本公开描述了一种与计算机一起使用的安全处理器棒(SPS)。所述SPS可以在任何计算机环境中提供安全处理环境,所述计算机环境包括但不限于诸如病毒感染的系统或网吧之类的不安全环境。在所述SPS的处理器和存储器中安全地执行要运行的安全应用;其使用主机个人计算机存储器并且不会在主机个人计算机中留下任何存储器踪迹。 附图说明 [0010] 在以下描述中结合附图解释了本发明的各实施例的特性和其他方面,其中: [0012] 图2是示出根据本发明的一个实施例的SPS的软件堆栈的方块图; [0013] 图3是示出根据本发明的一个实施例的将安全处理器棒上的虚拟屏幕传送到主机个人计算机的软件堆栈的方块图; [0014] 图4是示出根据本发明的一个实施例的web连通性或网络应用的方块图;以及[0015] 图5是示出根据本发明的一个实施例的如何构建使用标准USB设备的模块化个人计算机系统的方块图。 具体实施方式[0016] 现在将参考附图详细描述本发明的各种实施例。 [0017] 如图1所示,安全处理器棒103的一个实例可以经由USB端口104与个人计算机100对接。如在此使用的,个人计算机可以是具有能够与SPS对接的端口的便携式计算机、掌上电脑、上网本、笔记本、桌面计算机或任何其他通用计算机。连接之后,安全处理器棒 103就可以在个人计算机屏幕101上显示虚拟显示102。可以通过USB 104、火线或任何到主机个人计算机100的网络连接来进行到主机个人计算机100的连接。主机个人计算机 100可以通过USB端口104上的TCP/IP桥接器提供SPS网络连通性,在USB端口104上,SPS 103使用VPN、SSL或加密来访问网络。SPS操作系统和应用的用户接口/显示可以在窗口102中显示为主机个人计算机屏幕101上的窗口。可以经由USB 104将所述屏幕/用户接口从SPS103中的虚拟屏幕位图传输到主机个人计算机100。SPS 103上运行的进程/应用不会将原始数据遗留在主机个人计算机100上,并且运行的应用/进程不会在主机个人计算机100上存在存储器踪迹。SPS 103上的防火墙可以将访问仅限于VPN或安全主机。 主机个人计算机100可能没有访问SPS文件或数据的权限。SPS 103上的数据和文件可以是安全的并且可以使用智能芯片加密所述数据和文件以提供附加的安全性。SPS 103的大小可以与USB闪速驱动器相同并且所有者在任何时间都可以容易地持有SPS 103以提供可移植性和安全性。 [0018] Linux版本2.6.28.2可以用作SPS 103的操作系统并且ARM 9处理器可以用作SPS处理器。NXP LPC 1313开发板可以用于SPS 103中的组件。USB端口104可以用作ARM9处理器与如图1所示的主机个人计算机100之间的接口。SPS 103上的USB可以是复合USB设备,所述复合USB设备同时具有CD-ROM组件(其可安装个人计算机应用)和CDC以太网类组件(其可促进ARM 9处理器与虚拟显示、输入设备之间的通信以及主机个人计算机100的联网)。 [0019] 图2示出了SPS 103的软件堆栈。SPS 103可以仅包含处理器、存储器以及智能芯片208。智能芯片208可用于存储密钥和数据加密算法。在SPS 103内,SPS应用201以及加密和隧道建立软件202可以经由操作系统203与网络端口204、虚拟显示和虚拟输入205以及输入/输出206对接。智能芯片208可以直接与输入/输出206对接以确保加密的数据传输。复合USB设备214可以将SPS 103与个人计算机100相连。网络端口204可以包含防火墙。网络端口204可以经由复合USB设备214通过TCP/IP 217与个人计算机100通信。虚拟显示和虚拟输入205可以分别经由复合USB设备214通过虚拟显示和虚拟输入分组216与个人计算机100通信。主机个人计算机虚拟屏幕应用207可以经由复合USB设备214通过USBCD-ROM映像215与个人计算机100通信。在个人计算机100上,个人计算机操作系统212可以引导个人计算机输入设备213经由复合USB设备214将数据传输到SPS 103上的虚拟输入205。在另一方面中,个人计算机操作系统212可以引导网络软件和/或硬件210经由复合USB设备214向/从SPS 103上的TCP/IP 217发送/接收数据。在另一方面中,个人计算机操作系统212可以引导虚拟屏幕应用211经由复合USB设备214从SPS103上的主机个人计算机虚拟屏幕应用217接收数据。 [0020] 用户接口(UI)和显示 [0021] SPS 103可能不包含显示器,所以可能需要显示在其上运行的操作系统203和应用201的用户接口。这可以通过在主机个人计算机100中打开窗口102以显示SPS屏幕的显示缓冲器来完成。美国专利第12/386,211号“System and Method for Implementing a Remote Display Using aVirtualization Technique(使用虚拟化技术实现远程显示的系统和方法)”中涵盖并说明了此过程,其全部内容在此引入作为参考。图3示出了将安全处理器棒103上的虚拟屏幕传输到使用应用的个人计算机100的软件堆栈的一个实施例。这样,仅将显示像素从SPS 103传输到主机个人计算机的虚拟显示设备从机应用211而不必向主机个人计算机100传送其他信息或数据。 [0022] 图3示出了与个人计算机100对接的SPS 103上的虚拟显示的原型设置。SPS 103上的软件可以分层存在,其中虚拟显示设备协议主机301和应用201通过运行时环境302、图形引擎层303、和操作系统203对接于高速数据接口设备驱动器304和虚拟显示设备核心305。高速数据接口设备驱动器304可以使用USB硬件306经由USB连接310与个人计算机100通信。个人计算机100可以具有在操作系统212上运行的虚拟显示设备从机应用307。操作系统212可以与USB驱动器308对接,所述USB驱动器308具有与SPS 103通信的USB设备309。在一个实施例中,虚拟显示设备从机应用307可以经由USB连接310从虚拟显示设备协议主机301接收显示信息。 [0024] 当在来自SPS窗口102的虚拟显示上点击鼠标时,鼠标和键盘输入可以被自动传送到在SPS 103上运行的操作系统203。鼠标的光标移动可以被锁定在虚拟屏幕102的窗口中。可以通过敲击Esc键将光标和键盘释放回其他主机个人计算机程序或主机个人计算机操作系统212。美国专利第12/386,210号“System and Method for Implementing a Remote InputDevice Using a Virtualization Techniques for a Wireless Device(使用用于无线设备的虚拟化技术实现远程输入设备的系统和方法)”中涵盖并说明了此过程,其全部内容在此引入作为参考。 [0025] 网络访问 [0026] SPS 103可以通过USB CDC/以太网端口建立与主机个人计算机网络210到外部世界之间的网桥的网络访问。SPS网络端口204的前端可以具有防火墙以阻止对SPS操作系统203上的文件系统或数据的直接访问。为了提高安全性,SPS 103可以仅经由VPN或其他加密的服务器访问外部世界。这样,主机个人计算机100不会具有访问来自SPS 103的通过其网络端口的任何未加密数据的权限。 [0027] SPS上的智能芯片设备 [0028] 智能芯片208的主要用途是存储SPS 103所使用的密钥或密码。智能芯片208还可以包含用于数据/文件系统和网络访问的加密和解密算法。 [0029] SPS与个人计算机的使用模型 [0030] 主机个人计算机100可以运行诸如Windows XP、Windows Vista或Mac OS之类的操作系统212,但并不限于这些操作系统。在本发明的一个方面中,SPS 103可以采用USB形状因子。在另一方面中,此USB SPS 103可以连接到在甚至可被引导的主机个人计算机上的任何USB端口104。SPS 103可以是包含CDC/以太网类组件和CD-ROM组件的复合USB设备。当SPS 103连接到主机个人计算机100时,存储在CD-ROM组件207中的应用可以自动运行。此应用207可以在主机个人计算机屏幕101上打开窗口并设置主机个人计算机100与SPS 103之间的网桥217。SPS操作系统203可以在主机个人计算机屏幕101上的窗口102中显示SPS 103的引导屏幕。可以将小型窗口管理器(matchbox)用作SPS 103上的桌面GUI 302。密码询问可用作登录以获取访问SPS 103的权限的过程。主机个人计算机鼠标光标和键盘输入213可传送到SPS操作系统203以导航和启动SPS文件系统中的程序。可以经由VPN或者到安全服务器的加密链路建立到外部世界的网络连接。Web浏览器或应用可以使用安全网络与外部世界通信。主机个人计算机100可以将SPS 103看作网络设备,但是SPS网络连接204上的防火墙将阻止SPS设备103。在SPS网络连接204上启用防火墙的情况下,不能在SPS 103与主机个人计算机100之间传送任何数据。 [0031] SPS的其他用途 [0032] 无论是否具有智能芯片208,SPS 103都可以实现带有web连通性或网络应用(如电子邮件、消息传送应用,甚至游戏)的电视、数码相框或其他显示设备401功能性。在一个实施例中,SPS 103可以经由显示设备401上的USB集线器407与显示设备401通信。这可以通过实现SPS显示的VDD从机404并在显示设备402上显示VDD从机404来完成。可以通过经由远程传感器406接收红外远程指令来实现用户输入,其中VID协议从机应用405将红外线远程传感器的指令发送给SPS操作系统203。可以使用无线、以太网或USB设备连接403(但不限于这些连接)实现网络连通性。USB网络设备可以仅要求在SPS操作系统203上安装标准驱动程序。图4示出了web连通性或网络应用的方块图。 [0033] SPS 103的另一应用可以是使用标准USB设备构建模块化个人计算机500。图5示出了如何构建使用标准USB设备的模块化个人计算机系统500。可以安装Linux操作系统,这需要用于USB设备的标准Linux驱动程序以使得它们共同作为模块化个人计算机500来工作。在此方面,SPS103可以是USB主机设备。在一个实施例中,SPS 103可连接到USB集线器407。在其他实施例中,USB集线器407可被连接到网络设备403、小键盘505、鼠标504、其他USB设备503,以及USB到显示器的连接502。USB到显示器的连接502可以经由USB集线器407将监视器501加入SPS103。 |
||||||
