CN107980136A - 数据处理装置和用于运行该数据处理装置的方法 - Google Patents
数据处理装置和用于运行该数据处理装置的方法 Download PDFInfo
- Publication number
- CN107980136A CN107980136A CN201680037040.0A CN201680037040A CN107980136A CN 107980136 A CN107980136 A CN 107980136A CN 201680037040 A CN201680037040 A CN 201680037040A CN 107980136 A CN107980136 A CN 107980136A
- Authority
- CN
- China
- Prior art keywords
- data
- processing region
- region
- storage
- network area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/86—Secure or tamper-resistant housings
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
提供一种用于运营商安全地处理数据的系统,其中系统实施在密封的基础设施中,其中密封的基础设施包括网络区域、存储区域和至少一个处理区域,其中网络区域、处理区域和存储区域物理地相互分开,其中处理区域匹配成,从存储区域和/或从网络区域中接收为加密的形式数据,解密并处理接收的数据并且将已处理的数据以加密的形式传送到存储区域和/或网络区域处。此外提供一种用于在根据本发明的系统中运营商安全地处理数据的方法。
Description
技术领域
本发明涉及一种数据处理装置和一种用于运行数据处理装置、尤其用于运营商安全地运行数据处理装置的方法。
背景技术
除了对系统可用性和数据完整性的要求之外,确保在数据处理系统中被处理的数据的保密是对系统的重要的要求。尤其在云计算的领域中,通常产生的数据可能被盗用的担忧对于许多潜在的使用者来说是放弃该方案的原因。
在现在常见的数据处理系统中频繁地发生,高敏感数据有时落入不法分子之手。在此可区分下述危险类别:
-通过未准许的物理访问从“外部”侵入;
-通过黑客攻击从“外部”侵入;以及
-例如通过数据处理系统的运营商、通过使用的软件服务、通过所使用的硬件和/或软件构件的开发人员从“内部”侵入。
为了抵抗从“外部”侵入通常使用技术手段,例如专用的接入系统,该接入系统限制或阻止不允许的对处理敏感数据的系统的接入或者访问。通过持续使用防火墙、密码方法等可额外地抵抗从“外部”侵入。
因此从“外部”侵入可相对良好地抵抗,而因为由于其任务(例如在维护和运行系统的情况下)必须接入该系统或由于其角色在实现接入控制系统时原则上能够对接入控制系统操控的人员的参与,从“内部”侵入在当今使用的数据处理系统中无法控制或只能在耗费显著的情况下控制。因此缺点在此在于因素“人”,因为原则上可行的是,通过工作人员的蓄意或疏忽的行为盗用数据。由此必然使得,技术手段为了起作用总是必须与组织措施联合(例如在选择人员时特别谨慎、双人监控等),其中组织措施的有效性自然特别小。涉及人员的非法的和错误的行为、勒索和贿赂是绝不能排除的并且因此始终是针对确保数据保密的潜在威胁。
图1显示了从现有技术中已知的数据处理系统。数据处理系统可例如借助于存取控制被物理地保护免于未准许的访问。与外部的系统例如客户端的通信可通过受防护的通信网络在加密和解密装置EU的帮助下进行,其中待传送的数据本身可加密。从外部对数据处理系统的访问可借助于防火墙保护。
但是运营商(例如运营商的员工)内部地访问数据处理系统,使得运营商可能潜在地滥用所有数据。
发明目的
因此本发明的目的在于,提供一种解决方案,在其中通过技术措施可确保高等级的数据保密并且可尽可能省去组织措施。
根据本发明的解决方案
因此提供一种用于运营商安全地处理数据的系统,其中所述系统实施在密封的基础设施中,其中所述密封的基础设施包括:
-网络区域,存储区域和至少一个处理区域,其中所述网络区域、所述处理区域和所述存储区域物理地相互分开,其中
-所述网络区域和所述处理区域以及
-所述处理区域和所述存储区域
分别通过内部的通信网络相互耦联,和
-访问控制器,该访问控制器匹配成,监视并控制对所述网络区域、所述处理区域和所述存储区域的访问并且阻止对未加密的数据的访问,并且
其中
-所述网络区域匹配成,通过通信网络进行在所述系统和外部的系统(客户端)之间的通信,其中所述网络区域此外匹配成,发送和接收为加密的形式的数据,
-所述存储区域匹配成,存储数据,以及
-所述处理区域(AC)匹配成,从所述存储区域和/或从所述网络区域接收数据,处理所接收的数据并且将已处理的数据传送到所述存储区域和/或所述网络区域处。
由此确保,一方面待处理的数据仅仅在处理区域中以未加密的形式存在并且另一方面所述数据在所述处理区域之外只以加密的形式存在。
所述处理区域可包括至少一个加密和/或解密装置,其中所述加密和/或解密装置匹配成,
-解密从所述存储区域和/或从所述网络区域接收的数据,以及
-加密待传送到所述存储区域和/或网络区域处的数据,
其中为了解密所述数据所需的私钥仅仅存储在所述处理区域中,从而所述数据在所述处理区域之外只可以加密的形式供使用。
所述处理区域仅仅包括易失性储存介质,该易失性储存介质直接在供电中断之后失去其存储内容。
所述处理区域可此外匹配成,在所述处理区域的构件开始工作时对于每个构件执行在所述构件的硬件指纹和应启动所述构件的软件的软件指纹之间的指纹对比,并且只有当所述硬件指纹与所述软件指纹一致时才启动所述构件。
所述访问控制器可包括访问控制单元和多个与所述访问控制单元耦联的传感器/促动器单元,其中每个网络区域、处理区域和存储区域分别配属有至少一个传感器/促动器单元,其中每个传感器/促动器单元包括至少一个传感器和/或促动器,并且其中所述访问控制单元匹配成,控制所述传感器/促动器单元。
所述至少一个传感器和/或促动器可从至少包括把手控制器、电源开关、机架传感器、门传感器及其组合的组中选择。
每个传感器/促动器单元可匹配成,当所述访问控制单元失效时和/或当在所述传感器/促动器单元和所述访问控制单元之间存在通信问题时将相应的区域带到预定的状态中。
所述访问控制单元可与WORM存储装置(Write Once Read Many:一写多读)耦联并且此外匹配成,将由所述传感器和/或促动器探测的状态和/或行为存储在WORM存储装置中。
此外提供一种用于在根据本发明的系统中运营商安全地处理数据的方法,其中
-待处理的数据以加密的形式从所述网络区域和/或从所述存储区域传送到所述系统的所述处理区域中,
-传送到所述处理区域中的数据在所述处理区域中解密,其中为了解密所述数据使用私钥,该私钥仅仅可存储在所述处理区域中,
-解密的数据仅仅在所述处理区域中处理,
-已处理的数据在所述处理区域中加密,并且
-加密的数据传送到所述网络区域和/或所述存储区域处。
所述数据在所述系统中仅仅在所述处理区域中以未加密的形式存在。
为了解密所述数据所需的私钥优选地在所述处理区域之内动态地产生。备选地,私钥也可借助于前向保密方法产生。
有利的是,在所述处理区域中仅仅使用易失性储存介质,其中所述访问控制器监视对所述处理区域的访问并且在探测到未被授权的访问时中断所述处理区域的供电,使得所述处理区域的易失性储存介质失去其存储内容。因为所述数据仅仅在所述处理区域中以未加密的形式存在,所以确保了在未被授权地访问所述处理区域的情况下在所述处理区域中的数据被删除并且没有未加密的数据遗留在所述处理区域之外。
所述处理区域可在其构件开始工作时对于每个构件执行在所述构件的硬件指纹和应启动所述构件的软件的软件指纹之间的指纹对比,并且只有当所述硬件指纹与所述软件指纹一致时,才启动所述构件。
附图说明
本发明的细节和特征以及本发明的具体的设计方案从下文的描述中结合图纸得出。其中:
图1显示了从现有技术中已知的用于处理数据的系统;
图2显示了根据本发明的用于运营商安全地处理数据的系统的框图;
图3显示了根据本发明的用于运营商安全地处理数据的系统的具体示例;以及
图4显示了在根据本发明的系统中在相应的区域中使用的存储系统。
具体实施方式
根据本发明提供一种数据处理系统,该数据处理系统如此构造,即使得实现单元或者区域的分离,在所述单元或者区域中存在加密的和未加密的数据。
因此根据本发明的方法和根据本发明的系统具有的优点在于,利用少的耗费实现数据保密的显著改进并且在此同时显著地减少从现有技术中已知的组织措施,从而因素“人”几乎完全排除在外。数据可由此“运营商安全”地被处理。“运营商安全”意味着,运营商(或者其员工)未获得对在系统中的未加密的数据的访问或者尽可能排除通过运营商对在系统中的未加密的数据的访问。
根据本发明的方法和根据本发明的系统以这样的方式为基础,即处理数据的系统借助于技术措施随时确保,排除对以未加密的形式的数据的访问。
图2显示了根据本发明构造的数据处理装置的框图,利用该数据处理装置可“运营商安全地”处理数据。因此根据本发明也保证数据的保密防止从“内部”侵入,即防止通过系统的运营商的侵入。图3显示了根据本发明的用于运营商安全地处理数据的系统的具体的示例,该系统相应于在图2中显示的形式构造。
为了运营商安全地设计系统有以下措施,其中这些措施可单独地设置或可相互组合:
-提供带有特有的接入控制ACU的“封闭区”SA;
-将数据处理系统的功能单元分离成网络区域NC(Network Cage:网络笼)、处理区域AC(Traffic/Application Cage:流量/应用笼)和存储区域DC(Data Cage:数据笼);以及
-提供特有的区域DCA,在该特有的区域中处理未加密的数据(DataCleanup Area:数据清理区)。
接下来参照图2和图3详细地讨论上文提及的区域的特性和技术实现方式。在此依照由带有如例如在图3中显示的那样的四个子单元(“笼”)的电子机柜(“机架”)组成的数据处理系统进行描述。在图3中显示的示例仅仅应理解为实施示例并且不代表尤其在系统的尺寸和可扩展性方面的限制。
整个数据处理系统实施在“封闭区”SA之内。利用“封闭区”表示受防护的周围环境或者密封的基础设施。
数据处理系统通过防火墙和/或路由器连上到公共因特网处,由此确保针对数据处理装置的内部构件的可访问性的必要的限制性规定。
系统的构件,尤其网络区域NC、处理区域AC或者数据清理区DCA和存储区域DC通过私有LAN(Local Area Network:局域网)或通过其它对此合适的通信网络在内部通信。处理区域AC在此定位在数据清理区中,其中在数据清理区中可布置有多个处理区域AC。可设置有多个网络区域NC和/或多个存储区域DC。
数据清理区根据本发明如此设计,在未被授权地接入数据清理区的情况下存储在该处的所有数据尤其未加密地存储的数据被删除。
网络区域NC在此通过通信网络与处理区域AC耦联。存储区域DC同样通过通信网络与处理区域AC耦联。
处理区域AC(或者多个处理区域)具有至少一个加密单元EU。加密单元EU设置成,用于加密和/或解密在网络区域NC和处理区域AC之间和在存储区域DC和处理区域AC之间的数据交流。根据本发明设置成,数据仅仅在处理区域AC中以未加密的形式存在。在处理区域AC之外,即在网络区域NC中和在存储区域DC中数据只以加密的形式存在。由此确保,在存储区域DC中和在网络区域NC中的数据本身在存储区域DC和/或网络区域NC受损时对于侵入者来说是几乎无用的。
除了结构方面的实施方案之外(数据处理装置分离成区域网络区域NC、处理区域AC和存储区域DC),本发明的另一重要的方面是访问控制器,该访问控制器与参照图4进一步描述的底层存储布局一起确保,在任何情况下都不可实现也就是说即使在未经许可地侵略到系统中的情况下或即使在维护行为的情况下也不可访问未加密的数据。
访问控制器基本上包括可设计成中央访问控制单元的访问控制单元ZSE和外围传感器/促动器单元SAE。每个区域(网络区域NC、处理区域AC和存储区域DC)可配属有传感器/促动器单元SAE,如在图3中显示的那样。
备选地传感器/促动器单元SAE还可配属于多个区域。因此传感器/促动器单元SAE还可例如配属于多个存储区域DC。
每个传感器/促动器单元SAE与至少一个外围促动器和传感器耦联。在图3中的显示的示例中传感器/促动器单元SAE1至SAE4分别与至少两个传感器或者促动器耦联。
传感器/促动器在此包括把手控制器GS连同与其连接的机械和机电构件、门传感器TS、机架传感器RS和电源开关PS。在传感器/促动器单元SAE和相应的促动器和/或传感器之间的通信优选地通过串行接口、例如CAN总线实现。
传感器/促动器单元SAE的实施可利用商业用的微控制器单元实现。访问控制单元ZSE可通过商业用的服务器实现。
访问控制单元ZSE优选地中央地控制对数据处理系统的构件的访问。访问控制单元优选地还实施逻辑电路以用于控制传感器/促动器单元SAE和与其耦联的传感器/促动器,由此监视数据处理系统的状态并且落实访问权利。
由传感器识别的数据处理系统的运行状态和/或促动器的行为被记录并且可一方面在可优选审计地(forensisch)评估的存储器中编制为文件(dokumentieren)且另一方面传输到控制中心处,由此将必要的通知告知维护人员且必要时可引入必要的行为。优选地将WORM存储器(一写多读)设置作为用于存储传感器数据和/或行为的存储器。
此外设置光学和声学的输出以及例如评估视频数据的方案。为此目的访问控制单元ZSE可与摄像机20和/或与光学的和/或声学的报警指示器30耦联。
对单个区域的访问的开放在此通过开放凭据发起。开放凭据可由移动终端设备10传送到访问控制单元ZSE处。优选地通过蓝牙接口实现开放凭据的传送。
如上面解释的那样,可对于每个区域设置有传感器/促动器单元SAE(如在图3中显示的那样)。传感器/促动器单元SAE是在(必要时中央的)访问控制单元ZSE与促动器和/或传感器GS、TS、RS、PS之间的接口。传感器/促动器单元SAE分别独立地匹配以确保,在访问控制单元ZSE失效的情况下或当在传感器/促动器单元SAE和访问控制单元ZSE之间存在通信问题时将相关的区域切换到安全技术方面预先限定的或者预先确定的安全的状态中。
把手控制器GS用于打开和关闭单个区域的门以及用于操作所属的锁。把手控制器GS的锁不包含传统的认证机构、如锁芯或数字输入框,而是仅仅通过访问控制单元ZSE的开放和关闭指令来控制。把手控制器GS的状态“锁开放和把手关闭”、“锁开放和把手打开”、“锁闭锁和把手关闭”和“锁闭锁和把手打开”通过相应的传感器探测并且告知给访问控制单元ZSE,该访问控制单元可以合适的方式对其评估。状态“锁闭锁和把手打开”通常指示未经许可的暴力的访问并且可例如用于使相应的区域停用。
门传感器TS用于指示门状态“打开”和“关闭”。门传感器可例如依据机械的,磁的或基于红外的方法。与其它传感器一起可获得系统状态并且必要时导入合适的行为。例如状态“把手闭锁”和“门打开”表示未准许的访问。
机架传感器RS可首先以与门传感器TS相同的特性使用以例如识别机架部件(侧边部件,罩盖等)的未经许可的拆卸。此外可使用其它传感器、例如加速度传感器,以确认例如对系统的故意破坏或未准许的使用或通过红外线路以信号的方式通知侵入对象的进入。
根据本发明的系统的重要的组成部分是电源开关PS。电源开关PS设置成,用于给各个构件、完整的机架或整个区域供应电流或者将各个构件、整个机架或全部区域切换成断电。根据本发明,电源开关PS如此匹配,即使得电源开关在针对所属的传感器/促动器单元SAE的以信号的方式进行的通知中断时将各个构件带到状态“断电”中。因此可在以信号的方式进行的通知中断时例如将对于整个区域的供电中断。
根据本发明设置成,至少每个数据清理区DCA或者每个处理区域AC包括专用的电源开关PS。因此可实现多个处理区域AC,这些多个处理区域可彼此无关地切换成“断电”。例如可设置两个处理区域AC,其中两个处理区域AC中的一个用作相应的另外的处理区域AC的备用。当两个处理区域AC中的一个受损时,该处理区域可切换成断电并且另外的处理区域AC可承担受损的处理区域AC的任务。由此附加地提高尤其在从内部侵入时的失效安全性-整个系统在侵入处理区域AC之后还保持可用。这也适用于两个其它区域NC和DC。
根据本发明的运营商安全的系统的另一重要特征是在相应的区域DCA、DC和NC中使用存储系统。这参照图4进一步描述。
图4显示在根据本发明的系统中在相应的区域中使用的存储系统。
在此以示意性的方式显示了四个区域:存储区域DC、网络区域NC和两个数据清理区DCA。以水平层示意性地示出,根据本发明哪个存储介质或者存储系统用于相应的功能单元。
在网络区域NC中存在对于向外、例如与客户端的通信所必要的所有构件。在此除了逻辑分离之外,将传送使用者数据的网与为了管理任务使用的网物理分离是有利的。由此可尤其保证访问可能的明确分离。
所有构件包含硬件化的操作系统OS,该硬件化的操作系统只允许对于相应的使用必要的接口。在图4中显示的示例中只可允许网络接口LAN 0,LAN 1和LAN 2。其它的接口(例如USB)切换为不起作用的且优选地也可不激活。这允许使用标准化的硬件构件,而在此不必放弃数据安全性。
操作系统OS在系统连续运行时不仅位于闪存存储器和HDD/SSD存储器中而且也位于RAM中。例如用于负载均衡和用于网络管理的网络区域特有的软件位于HDD/SSD和RAM区域中。
对于本发明重要的是,网络区域NC关于使用者数据是纯粹的“转移单元”,也就是说加密的使用者数据在网络区域NC中不解密且由于缺乏对为此必要的私钥的了解也不可解密。
在数据清理区DCA中或者在处理区域AC中借助于应用软件执行使用者数据的实际处理。
来自网络区域NC的加密数据在相应的数据清理区DCA中或者在相应的处理区域AC中解密并且在传送到网络区域NC处之前再次加密。通过合适的密钥管理确保,对于解密和加密所必要的密钥(用于加密的公钥和用于解密的私钥)只在数据清理区DCA或者处理区域AC中未加密地存在。
对于该加密和解密所陈述的内容也类似地适用于在存储区域DC和处理区域AC之间传送的数据。
未加密的数据因此仅仅存在于处理区域AC或者数据清理区DCA中。
根据本发明处理区域AC或者数据清理区DCA的特点尤其在于不存在持久性存储介质。通过该措施实现,在数据清理区DCA或者处理区域AC的供电中断时
-没有未加密的数据可离开数据清理区DCA或者处理区域AC,并且
-没有数据再存在于数据清理区DCA或者处理区域AC中,
因为仅仅使用易失性的存储器类型或者存储介质。
在数据清理区DCA中使用的构件在软件方面仅包含启动/网络启动软件,其允许从网络区域NC加载操作系统和应用软件。
为了阻止由于例如在维护工作时的操控引入持久性存储器(这废除了安全方案),在数据清理区DCA的构件开始工作(启动或者启用)时分别执行指纹对比,在指纹对比时将待加载的软件的指纹与利用该软件待加载的设备的指纹进行对比。如果例如硬件构件应被操控,该硬件构件的指纹不再与软件的指纹相配,从而硬件构件不加载。这样的状态可通知给维护人员。附加地或备选地可设置成,在这样的情况下中阻止整个数据清理区DCA开始工作。
此外在数据清理区DCA中使用硬件化的的操作系统OS。硬件化的操作系统匹配成,阻止使用持久性存储介质。
为了阻止可例如通过经由网络进行的逻辑访问来读取未加密的数据,原则上禁止逻辑访问(例如ssh登陆)在数据清理区DCA中的服务器。
关于操作系统和物理接口,对于网络区域NC描述的内容相应地适用于存储区域DC。在存储区域DC中安置数据库和大容量存储器,其根据设计理念仅仅包含加密的数据。在本发明的一种设计方案中存储区域DC也可存储访问控制单元ZSE的数据。
根据本发明在准许的访问的情况下例如在维护工作的情况下的流程如下实现:
时间上可规定期限和/或可对于一个或多个区域分派的接入凭据利用合适的方法生成或者产生。产生的接入凭据接着传送到受委托的维护技术人员的终端设备、例如移动电话处。接入凭据可加密地传送并且例如只可利用受委托的维护技术人员的私钥解密。由此避免,拦截的接入凭据可能被滥用。受委托的维护技术人员将接入凭据传送到访问控制单元ZSE处。访问控制单元ZSE按照传送的数据识别凭据的有效性。有效期限的起始时刻可例如为凭据传送到访问控制单元ZSE处的传送时刻。可例如借助于蓝牙实现将凭据传送到访问控制单元ZSE处。即使当访问控制单元ZSE不与公共网络连接时,该方法也通过相应的实时时钟和合适的软件起作用。
在成功地评估或者检查接收的凭据之后,访问控制单元ZSE命令相关的把手控制器GS打开相应的门,从而可以物理访问相应的区域。在关闭相应的门之后发生自动的锁止。
有利的是,凭据在传送到访问控制单元ZSE处之后失效并且因此不可使用两次。
在期望访问数据清理区DCA或者处理区域AC的情况下,根据本发明在通过把手控制器GS开放锁之前通过电源开关PS将数据清理区DCA或者处理区域AC切换成断电的,也就是说数据清理区DCA或者处理区域AC的全部构件(服务器等)的供电被中断。锁通过把手控制器GS的开放在供电中断之后在预定的时间段之后才能实现。预定的时间段可如此选择,即保证,在数据清理区DCA或者处理区域AC的易失性存储系统中存在的数据不再可使用。例如预定的时间段可为15秒或更大。根据所使用的易失性存储系统的类型预定的时间段也可小于15秒。
由此保证,准许的人员(例如维护员工)也不能得到未加密的数据。
对网络区域NC和存储区域DC的访问如参照数据清理区DCA或者处理区域AC所描述的那样被控制。但是在此不必强制性地执行供电的中断,因为数据总归只以加密的形式存在。
(例如在暴力撬开门、拆卸侧壁等的情况下)未准许的访问由传感器识别、记录并且通知给控制台。如果关于此涉及数据清理区DCA或者处理区域AC,自动地且直接地引入供电的中断。
在上文中按照这样的示例解释本发明,即在该示例中数据处理系统包括四个区域,即存储区域DC、网络区域NC和两个处理区域AC或者两个数据清理区DCA,但是本发明可使用在各种实现方案上。因此区域的数量不限制于四个,而是可任意地扩展。例如可设置多个存储区域DC、多个网络区域NC和多个处理区域AC或者数据清理区DCA。增大始终是可行的。在减小时应考虑,存在至少三个独立的区域,即一个存储区域DC、一个网络区域NC和一个处理区域AC或者数据清理区DCA。
上文描述的根据本发明的运营商安全的数据处理装置简而言之其特征在于:
-带有特有访问控制器的封闭区SA,该特有访问控制器借助于访问控制单元ZSE、一个或多个传感器/促动器单元SAE和每个传感器/促动器单元SAE的大量传感器/促动器实现;
-分离功能单元:数据清理区DCA或者处理区域AC、网络区域NC和存储区域DC;
-在准许的和未准许的访问的情况下执行数据清理(也就是说通过中断供电删除在易失性存储介质中的数据);
-所有系统构件的所使用的存储布局,尤其在数据清理区DCA或者处理区域AC中仅仅使用易失性存储器介质;
-硬件化的操作系统OS;
-在离开数据清理区DCA或者处理区域AC时的密钥管理和数据的加密;
-监视和报告/存储运行状态;
-借助于凭据控制的锁GS;
-在构件或操控失效时的失效-保存
在构件尤其数据清理区DCA或者处理区域AC的构件开始运行时的硬件/软件指纹检查。
附图标记列表:
10 移动终端设备(例如服务技术人员的移动电话)
20 摄像机
30 光学和声学的报警指示器
AC 应用笼(处理区域)
ACU 访问控制单元
DC 数据笼(存储区域)
DCA 数据清理区
EU 加密单元(加密和解密数据)
GS 把手控制器
NC 网络笼(网络区域)
PS 电源开关(电流开关)
RS 机架传感器
SA 封闭区
SAE 传感器/促动器单元
TS 门传感器
ZSE 访问控制单元
Claims (12)
1.一种用于运营商安全地处理数据的系统,其中所述系统实施在密封的基础设施(SA)中,其中所述密封的基础设施包括:
-网络区域(NC)、存储区域(DC)和至少一个处理区域(AC),其中所述网络区域、所述处理区域和所述存储区域物理地相互分开,其中
-所述网络区域和所述处理区域以及
-所述处理区域和所述存储区域
分别通过内部的通信网络相互耦联,和
-访问控制器(ACU),该访问控制器匹配成监视并控制对所述网络区域、所述处理区域和所述存储区域的访问并且阻止对未加密的数据的访问,并且其中
-所述网络区域(NC)匹配成,通过通信网络进行在所述系统和外部的系统(客户端)之间的通信,其中所述网络区域此外匹配成,发送和接收为加密的形式的数据,
-所述存储区域(DC)匹配成,存储数据,以及
-所述处理区域(AC)匹配成,从所述存储区域和/或从所述网络区域接收数据,处理所接收的数据并且将已处理的数据传送到所述存储区域和/或所述网络区域处。
2.根据权利要求1所述的系统,其中所述处理区域(AC)包括至少一个加密和/或解密装置(EU),其中所述加密和/或解密装置(EU)匹配成,
-解密从所述存储区域和/或从所述网络区域接收的数据,以及
-加密待传送到所述存储区域和/或网络区域处的数据,
其中为了解密所述数据所需的私钥仅仅存储在所述处理区域中,从而所述数据在所述处理区域之外只能以加密的形式供使用。
3.根据前述权利要求中任一项所述的系统,其中所述处理区域(AC)仅仅包括易失性储存介质,该易失性储存介质直接在供电中断之后失去其存储内容。
4.根据前述权利要求中任一项所述的系统,其中所述处理区域(AC)此外匹配成,在所述处理区域的构件开始工作时对于每个构件执行在所述构件的硬件指纹和应启动所述构件的软件的软件指纹之间的指纹对比,并且只有当所述硬件指纹与所述软件指纹一致时才启动所述构件。
5.根据前述权利要求中任一项所述的系统,其中所述访问控制器(ACU)包括访问控制单元(ZSE)和多个与所述访问控制单元耦联的传感器/促动器单元(SAE),其中每个网络区域(NC)、处理区域(AC)和存储区域(DC)分别配属有至少一个传感器/促动器单元(SAE),其中每个传感器/促动器单元(SAE)包括至少一个传感器和/或促动器(GS;TS;RS;PS),并且其中所述访问控制单元(ZSE)匹配成,控制所述传感器/促动器单元(SAE)。
6.根据前述权利要求所述的系统,其中所述至少一个传感器和/或促动器从至少包括把手控制器(GS)、电源开关(PS)、机架传感器(RS)、门传感器(TS)及其组合的组中选择。
7.根据前述两个权利要求中任一项所述的系统,其中每个传感器/促动器单元(SAE)匹配成,当所述访问控制单元(ZSE)失效时和/或当在所述传感器/促动器单元和所述访问控制单元之间存在通信问题时将相应的区域(NC;AC;DC)带到预定的状态中。
8.根据前述权利要求5-7中任一项所述的系统,其中所述访问控制单元(ZSE)与WORM存储装置(一写多读)耦联并且此外匹配成,将由所述传感器和/或促动器探测的状态和/或行为存储在WORM存储装置中。
9.一种用于在根据前述权利要求中任一项所述的系统中运营商安全地处理数据的方法,其中
-待处理的数据以加密的形式从所述网络区域(NC)和/或从所述存储区域(DC)传送到所述系统的所述处理区域(AC)中,
-传送到所述处理区域(AC)中的数据在所述处理区域中解密,其中为了解密所述数据使用私钥,该私钥只能存储在所述处理区域中,
-解密的数据仅仅在所述处理区域(AC)中处理,
-已处理的数据在所述处理区域(AC)中加密,并且
-加密的数据传送到所述网络区域(NC)和/或所述存储区域(DC)处。
10.根据前述权利要求所述的方法,其中在所述处理区域(AC)中仅仅使用易失性储存介质,其中所述访问控制器(ACU)监视对所述处理区域的访问并且在探测到未被授权的访问时中断所述处理区域的供电,使得所述处理区域的易失性储存介质失去其存储内容。
11.根据前述两个权利要求中任一项所述的方法,其中所述处理区域(AC)在其构件开始工作时对于每个构件执行在所述构件的硬件指纹和应启动所述构件的软件的软件指纹之间的指纹对比,并且只有当所述硬件指纹与所述软件指纹一致时,才启动所述构件。
12.根据前述三个权利要求中任一项所述的方法,其中所述数据在所述系统中仅仅在所述处理区域中以解密的形式存在。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102015110190.4 | 2015-06-24 | ||
DE102015110190.4A DE102015110190A1 (de) | 2015-06-24 | 2015-06-24 | Datenverarbeitungseinrichtung und Verfahren zum Betrieb derselben |
PCT/EP2016/064657 WO2016207344A1 (de) | 2015-06-24 | 2016-06-24 | Datenverarbeitungseinrichtung und verfahren zum betrieb derselben |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107980136A true CN107980136A (zh) | 2018-05-01 |
CN107980136B CN107980136B (zh) | 2022-03-01 |
Family
ID=56203399
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680037040.0A Active CN107980136B (zh) | 2015-06-24 | 2016-06-24 | 数据处理装置和用于运行该数据处理装置的方法 |
Country Status (6)
Country | Link |
---|---|
US (1) | US11163900B2 (zh) |
EP (1) | EP3314844B1 (zh) |
CN (1) | CN107980136B (zh) |
DE (1) | DE102015110190A1 (zh) |
DK (1) | DK3314844T3 (zh) |
WO (1) | WO2016207344A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11397834B2 (en) * | 2020-07-31 | 2022-07-26 | EMC IP Holding Company LLC | Methods and systems for data backup and recovery on power failure |
US11409918B1 (en) * | 2021-04-28 | 2022-08-09 | International Business Machines Corporation | Access control management of baseboard management controller peripherals |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020147924A1 (en) * | 1999-10-27 | 2002-10-10 | Flyntz Terence T. | Multi-level secure computer with token-based access control |
DE10133184A1 (de) * | 2001-07-04 | 2003-01-23 | Cv Cryptovision Gmbh | Verfahren zur Sicherheitsüberprüfung verschlüsselter Daten in einem Firewall-System |
WO2007076840A1 (de) * | 2005-12-22 | 2007-07-12 | Applied Security Gmbh | Datenobjektverarbeitungssystem und verfahren zur bearbeitung von elektronischen datenobjekten |
CN101778383A (zh) * | 2009-01-08 | 2010-07-14 | 索尼公司 | 用于信息处理的设备、方法、程序和系统 |
CN101953192A (zh) * | 2008-02-22 | 2011-01-19 | 爱立信电话股份有限公司 | 用于管理无线通信装置中的预订凭证的方法和设备 |
CN102346832A (zh) * | 2006-03-31 | 2012-02-08 | 亚马逊技术有限公司 | 电子通信的增强的安全性 |
US20120260090A1 (en) * | 2011-04-05 | 2012-10-11 | Jerrold Von Hauck | Apparatus and methods for storing electronic access clients |
US20120311690A1 (en) * | 2010-01-26 | 2012-12-06 | Ellis Frampton E | Method of using a secure private network to actively configure the hardware of a computer microchip |
US20140241523A1 (en) * | 2012-08-31 | 2014-08-28 | Ncr Corporation | Installable Secret Functions for a Peripheral |
CN104601360A (zh) * | 2013-10-31 | 2015-05-06 | 大连智友软件科技有限公司 | 一种车载移动办公安全管理系统 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7644290B2 (en) * | 2003-03-31 | 2010-01-05 | Power Measurement Ltd. | System and method for seal tamper detection for intelligent electronic devices |
US7571475B2 (en) * | 2005-04-05 | 2009-08-04 | Cisco Technology, Inc. | Method and electronic device for triggering zeroization in an electronic device |
US8046380B2 (en) * | 2008-04-08 | 2011-10-25 | Quantum Corporation | Data storage system |
DE102011051498A1 (de) * | 2011-06-06 | 2012-12-06 | Kobil Systems Gmbh | Gesicherter Zugriff auf Daten in einem Gerät |
US9864764B2 (en) * | 2014-08-29 | 2018-01-09 | Accenture Global Solutions Limited | Evolving data archives |
-
2015
- 2015-06-24 DE DE102015110190.4A patent/DE102015110190A1/de active Pending
-
2016
- 2016-06-24 DK DK16731911.0T patent/DK3314844T3/da active
- 2016-06-24 WO PCT/EP2016/064657 patent/WO2016207344A1/de active Application Filing
- 2016-06-24 EP EP16731911.0A patent/EP3314844B1/de active Active
- 2016-06-24 CN CN201680037040.0A patent/CN107980136B/zh active Active
-
2017
- 2017-12-22 US US15/852,327 patent/US11163900B2/en active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020147924A1 (en) * | 1999-10-27 | 2002-10-10 | Flyntz Terence T. | Multi-level secure computer with token-based access control |
DE10133184A1 (de) * | 2001-07-04 | 2003-01-23 | Cv Cryptovision Gmbh | Verfahren zur Sicherheitsüberprüfung verschlüsselter Daten in einem Firewall-System |
WO2007076840A1 (de) * | 2005-12-22 | 2007-07-12 | Applied Security Gmbh | Datenobjektverarbeitungssystem und verfahren zur bearbeitung von elektronischen datenobjekten |
CN102346832A (zh) * | 2006-03-31 | 2012-02-08 | 亚马逊技术有限公司 | 电子通信的增强的安全性 |
CN101953192A (zh) * | 2008-02-22 | 2011-01-19 | 爱立信电话股份有限公司 | 用于管理无线通信装置中的预订凭证的方法和设备 |
CN101778383A (zh) * | 2009-01-08 | 2010-07-14 | 索尼公司 | 用于信息处理的设备、方法、程序和系统 |
US20120311690A1 (en) * | 2010-01-26 | 2012-12-06 | Ellis Frampton E | Method of using a secure private network to actively configure the hardware of a computer microchip |
US20120260090A1 (en) * | 2011-04-05 | 2012-10-11 | Jerrold Von Hauck | Apparatus and methods for storing electronic access clients |
US20140241523A1 (en) * | 2012-08-31 | 2014-08-28 | Ncr Corporation | Installable Secret Functions for a Peripheral |
CN104601360A (zh) * | 2013-10-31 | 2015-05-06 | 大连智友软件科技有限公司 | 一种车载移动办公安全管理系统 |
Also Published As
Publication number | Publication date |
---|---|
EP3314844A1 (de) | 2018-05-02 |
DK3314844T3 (da) | 2020-10-19 |
US20180121674A1 (en) | 2018-05-03 |
CN107980136B (zh) | 2022-03-01 |
WO2016207344A1 (de) | 2016-12-29 |
DE102015110190A1 (de) | 2016-12-29 |
US11163900B2 (en) | 2021-11-02 |
EP3314844B1 (de) | 2020-08-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Diaz Lopez et al. | Shielding IoT against cyber‐attacks: an event‐based approach using SIEM | |
CN107888609A (zh) | 一种计算机网络信息安全系统 | |
Conrad et al. | Eleventh hour CISSP: study guide | |
CN105303113A (zh) | 一种身份防窃取方法和硬件数据库设备 | |
CN104081409A (zh) | 用于保护计算设备的方法 | |
CN101923678A (zh) | 一种企业管理软件的数据安全保护方法 | |
CN107567630A (zh) | 受信输入/输出设备的隔离 | |
CN104778141A (zh) | 一种基于控制系统可信架构的tpcm模块及可信检测技术 | |
KR20080070779A (ko) | 노드에서 유저 데이터를 보호하는 방법 및 시스템 | |
CA2842741C (en) | Password audit system | |
CN109936555A (zh) | 一种基于云平台的数据存储方法、装置及系统 | |
US11218458B2 (en) | Modular data center that transfers workload to mitigate a detected physical threat | |
CN102667792B (zh) | 用于访问安全的文件服务器的文件的方法和装置 | |
KR20130031433A (ko) | 원격 접속 보안 시스템 | |
CN107247899A (zh) | 一种基于安全引擎的角色权限控制方法、装置及安全芯片 | |
Chimakurthi | Cloud Security-A Semantic Approach in End to End Security Compliance | |
WO2017119916A1 (en) | Secure remote authentication | |
KR102377248B1 (ko) | 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
CN107980136A (zh) | 数据处理装置和用于运行该数据处理装置的方法 | |
US20160205102A1 (en) | Secure Remote Authentication of Local Machine Services Using a Self Discovery Network Protocol | |
CN116894259A (zh) | 一种数据库的安全访问控制系统 | |
CN102098313A (zh) | 一种防水墙系统及其验证方法 | |
Braband | What's Security Level got to do with Safety Integrity Level? | |
KR101551537B1 (ko) | 정보유출방지장치 | |
CN105376242A (zh) | 一种云终端数据访问的认证方法、系统及云终端的管理系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP02 | Change in the address of a patent holder | ||
CP02 | Change in the address of a patent holder |
Address after: 57 ridler street, Munich, Germany Patentee after: UNISCON UNIVERSAL IDENTITY CONTROL GmbH Address before: Germany Munich agero box hane No. 1 Patentee before: UNISCON UNIVERSAL IDENTITY CONTROL GmbH |