[实用新型]一种具有用户安全子系统的安全计算机

说明书

技术领域

本实用新型涉及一种具有用户安全子系统的计算机，属于计算机终端信息安全技术领域。 

背景技术

通用计算机的开放性、易用性和标准化等特点使其存在着先天性的安全设计缺陷。目前通用计算机的安全性主要依赖于操作系统的用户口令，由于口令很容易被猜测、窃取、截获、破译，而且不能抵御字典式猜测攻击，因此非法用户很容易冒充合法用户进入计算机系统肆意进行破坏。另外，通用计算机对合法用户也无法进行严格的身份认证，导致内部用户可以越权访问，引发信息泄露安全事故。由于内部人员往往具有合法的身份，在窃取或破坏信息时不易被发觉，事后也难以被发现，因此会造成比黑客攻击和病毒感染更大的破坏。 

为了从计算机体系结构上提高安全防护能力，Intel、微软、IBM和HP等公司发起成立了可信计算组织，并提出一种基于可信平台模块(以下简称TPM)的安全计算机如图1所示的解决方案，通过TPM安全芯片提供的身份认证、安全存储、数据加密和数字签名等安全功能来增强计算机的安全防护能力。 

已有的TPM安全芯片由于采用LPC(Low Pin Count)少针脚型总线与计算机主板南桥芯片通讯，因此数据传输速率较低，无法实时进行文件加密/解密运算。基于TPM的安全计算机进行文件加密/解密运算时，数据加密/解密运算仍然由主机CPU完成，因此密钥不得不离开安全芯片而进入计算机操作系统环境，容易受到黑客程序的跟踪和攻击。 

发明内容

本实用新型的目的是提出一种具有用户安全子系统的计算机，以解决目前安全计算机的TPM不能实时进行文件加密、主机进行文件加密时密钥进入计算机环境、输入输出安全防护和底层身份认证等问题。 

本实用新型提出的具有用户安全子系统的计算机，包括显示器、键盘、鼠标和计算机主板，所述的计算机主板由第一中央处理器、北桥芯片、南桥芯片、第一随机存储器和安全芯片，所述的北桥芯片分别与第一随机存储器、南桥芯片、第一随机存储器和显示器相连接，所述的安全芯片与南桥芯片相连接，所述的键盘和鼠标分别与南桥芯片相连接； 

还包括用户安全子系统，用户安全子系统通过通用串行总线接口与计算机主板进行数据通信；所述的用户安全子系统包括第二中央处理器、只读存储器、第二随机存储器、可 擦写存储器、硬盘和通用串行总线接口； 

其中的第二中央处理器用于：对第一中央处理器存储的数据进行加密运算，得到加密后的数据；对计算机主板中的安全芯片进行身份认证；检查计算机主板的基本输入输出系统BIOS的完整性； 

其中的只读存储器用于存储第二中央处理器中的用户安全子系统的身份信息和密钥，只读存储器与第二中央处理器相连接； 

其中的第二随机存储器用于存储第二中央处理器进行加密运算的程序及数据，第二随机存储器与第二中央处理器相连接； 

其中的硬盘用于存储第二中央处理器的加密后数据，所述的硬盘与第二中央处理器相连接； 

其中的可擦写存储器用于存储用户安全子系统的加密算法，可擦写存储器与第二中央处理器相连接。 

本实用新型提出的具有用户安全子系统的计算机，其中的用户安全子系统使用USB(Universal Serial BUS)通用串行总线与计算机主机通讯，为计算机提供了独立于主机操作系统的安全运算和存储环境，数据的加密/解密运算、密钥的生成、使用和保存全部在用户安全子系统内部进行，不进入计算机系统环境，可完全杜绝黑客程序的跟踪和攻击。此外，用户安全子系统也是安全计算机的重要组成部分，只有将用户安全子系统接入计算机，在BIOS底层与安全芯片相互进行高强度的身份认证后，安全计算机才能启动和运行。由于用户安全子系统完全掌握在用户手中，因此可确保持有安全子系统的授权用户才能使用计算机。本实用新型计算机中的用户安全子系统，具有全球唯一的64位硬件ID号，采用密码算法与计算机主板上的安全芯片在BIOS底层进行高强度的身份认证。在操作系统载入之前就能确定用户身份，可确保授权用户安全使用计算机。 

附图说明

图1是已有的基于可信平台模块的安全计算机结构示意图。 

图2是本实用新型提出的计算机的结构框图。 

图3是本实用新型计算机中用户安全子系统的结构框图。 

具体实施方式