CN112069535B - 一种基于访问分区物理隔离的双系统安全智能终端架构 - Google Patents

一种基于访问分区物理隔离的双系统安全智能终端架构 Download PDF

Info

Publication number
CN112069535B
CN112069535B CN202010810140.0A CN202010810140A CN112069535B CN 112069535 B CN112069535 B CN 112069535B CN 202010810140 A CN202010810140 A CN 202010810140A CN 112069535 B CN112069535 B CN 112069535B
Authority
CN
China
Prior art keywords
file
key
security
hash
storage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010810140.0A
Other languages
English (en)
Other versions
CN112069535A (zh
Inventor
李大双
张文政
徐兵杰
翟巍
王俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
Original Assignee
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute filed Critical CETC 30 Research Institute
Priority to CN202010810140.0A priority Critical patent/CN112069535B/zh
Publication of CN112069535A publication Critical patent/CN112069535A/zh
Application granted granted Critical
Publication of CN112069535B publication Critical patent/CN112069535B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于访问分区物理隔离的双系统安全智能终端架构,包括通过总线连接的CPU、LDDR、Nor FLASH和NAND FLASH,所述CPU还分别与EEPROM和分区访问控制逻辑连接,所述NAND FLASH包括普通存储分区和安全存储分区,所述普通存储分区包括普通系统软件代码镜像和普通系统存储空间,所述安全存储分区包括安全系统软件代码镜像和安全系统存储空间,所述分区访问控制逻辑分别与普通系统存储空间和安全系统存储空间连接。本发明使得处理敏感文件的智能终端可以安全地利用公共互联网提供的通信便利,可作为涉密通信的安全智能终端使用。

Description

一种基于访问分区物理隔离的双系统安全智能终端架构
技术领域
本发明涉及信息安全技术领域,具体涉及一种基于访问分区物理隔离的双系统安全智能终端架构。
背景技术
在现有的移动智能终端(主要指智能终端和平板电脑)架构内,敌手利用互联网协议、终端App、USB数据接口、WiFi连接、蓝牙连接、NFC连接中任何一个环节存在的安全漏洞都可能侵入智能终端的软件系统,窃取用户的重要敏感信息。面对移动智能终端的各种未知的网络安全威胁层出不穷、用户信息泄露事件频发的形势,用户使用移动智能终端编辑、存储、阅读敏感文件以及在智能终端之间基于互联网传递交换敏感文件,都存在泄露敏感信息的巨大安全风险。
移动智能终端的应用已越来越普及,直接使用智能终端处理敏感文件的许多安全应用场景应运而生,这就需要设计满足安全需求的新型智能终端架构,既能够在智能终端内为敏感文件的处理与存储提供一个与互联网严格安全隔离、安全完全受控的运行环境,而且也能够随时随地利用移动互联网实现敏感文件的安全传输。
发明内容
针对现有技术中的上述不足,本发明提供的一种基于访问分区物理隔离的双系统安全智能终端架构解决了移动智能终端存在泄露敏感信息的巨大安全风险的问题。
为了达到上述发明目的,本发明采用的技术方案为:一种基于访问分区物理隔离的双系统安全智能终端架构,包括通过总线连接的CPU(中央处理器)、LDDR(低功耗内存)、Nor FLASH(Nor闪存)和NAND FLASH(NAND闪存),所述CPU还分别与EEPROM和分区访问控制逻辑连接,所述NAND FLASH包括普通存储分区和安全存储分区,所述普通存储分区包括普通系统软件代码镜像和普通系统存储空间,所述安全存储分区包括安全系统软件代码镜像和安全系统存储空间,所述分区访问控制逻辑分别与普通系统存储空间和安全系统存储空间连接,所述普通存储分区安装有普通系统软件,所述安全存储分区安装有安全系统软件。
进一步地:所述普通系统软件代码镜像和安全系统软件代码镜像的开机加载处理流程为:
A1、在CPU上电复位后,直接执行Nor FLASH中的BootLoader程序,完成中断向量表和堆栈指针的设置、硬件初始化、片外LDDR控制寄存器的设置和MMU寄存器设置;
A2、将LDDR整个内存清零;
A3、通过BootLoader程序读取EEPROM保存的镜像加载选择标志,若镜像加载选择标志为0x0F,则将NAND FLASH普通存储分区中保存的普通系统软件代码镜像加载到LDDR中执行,首先出现CE1信号,若镜像加载选择标志为0xF0,则将NAND FLASH安全存储分区中保存的安全系统软件代码镜像加载到LDDR中执行,首先出现CE2信号;
A4、根据首次出现的CE1/CE2信号,分区访问控制逻辑连接实施对CE1/CE2信号的阻断控制,若首次出现的为CE1信号,则放行CE1信号,阻断CE2信号,启动普通系统软件,若首次出现为CE2信号,则放行CE2信号,阻断CE1信号,启动安全系统软件。
进一步地:所述安全系统软件的初始化流程为:
B1、分配一块LDDR动态内存,将安全存储分区文件系统隐藏的安全控制文件加载到该LDDR动态内存暂存备用;
B2、分配一块LDDR动态内存,将安全存储分区文件系统隐藏的密钥数据文件加载到该LDDR动态内存暂存备用;
B3、输入人机界面密码,与安全控制文件内保存的人机界面密码进行比较,若不一致,则重新输入人机界面密码,否则进入安全系统软件的安全管理人机界面,若连续5次输入的人机界面密码都不一致,则关机重启后才能再次获得输入人机界面密码的机会;
B4、执行密钥数据文件白盒密码软件,在安全管理人机界面上,提示用户输入密钥文件保护密码;
B5、若用户输入的密钥文件保护密码正确,则白盒密码软件继续以隐含的密钥文件保护密钥,对LDDR内存中暂存的密钥数据文件进行解密计算,完成安全系统软件中涉及敏感文件的工作密钥初始化。
进一步地:所述普通系统软件包括系统切换控制软件、终端安全防护软件、文档处理软件、各种互联网应用软件、TCP/IP协议栈、移动通信链路协议栈、无线通信接口驱动程序和操作系统与文件系统。
进一步地:所述安全系统软件包括终端安全防护软件、文档处理软件、系统切换控制软件、文件安全导入/导出控制、文件安全传输控制、文件安全存储控制、文件加/解密、语音数据加/解密、IP+UDP+RTP协议栈、移动通信链路协议栈、移动通信接入驱动程序和操作系统及文件系统。
进一步地:所述普通系统软件与安全系统软件之间只能通过SIM/TF/NM扩展存储卡进行密态敏感文件的安全交换,并且基于数据块密态哈希标签安全机制的严格隔离来阻断网络攻击,基于随机分割加密机制保障安全智能终端之间通过移动互联网传输敏感文件的安全性。
进一步地:所述敏感文件安全交换与传输的发送流程为:
C1、若敏感文件发送方安全智能终端当前处于普通系统软件运行状态时,则在人机界面上执行系统软件切换操作,将EEPROM中保存的镜像加载选择标志修改为0xF0,自动关机,重新开机后,切换到安全系统软件运行;
C2、在文件安全传输控制软件的人机界面上,选择安全存储分区文件系统中需要传输的密态敏感文件;
C3、提示用户输入文件存储密码;
C4、从LDDR动态内存中暂存的密钥数据文件中读取文件存储密钥初值,与人机界面输入的文件存储密码串接,执行哈希运算和分组加密运算后,按密钥长度截取形成文件存储保护密钥,用于对需要传输的密态敏感文件执行文件解密运算,获得明文态敏感文件;
C5、将当前的时间值字节串与LDDR内存暂存的安全控制文件中的时变随机数初值进行串接,经哈希运算后再重复复制串接,形成与文件等长的时变随机数;
C6、基于时变随机数通过随机化分割机制将文件分割为两个随机化的碎片文件,基于LDDR内存暂存的安全控制文件内读取的两个64MB长的文件传输随机数掩码,对这两个随机化碎片文件进行逐字节的异或掩盖计算(若随机化碎片文件数据内容长度超过64MB,则重复使用文件传输随机数掩码进行异或掩盖运算),获得两个关联的随机化分割文件;
C7、基于从LDDR内存暂存的密钥数据文件内读取的两个文件传输保护密钥和文件哈希密钥,分别对这两个随机化分割文件数据进行分组加密运算与哈希值计算,将32字节哈希值附在随机化分割文件末尾,形成两个独立的随机化分割密态文件;
C8、基于从LDDR内暂存的密钥数据文件获得的哈希标签密钥,针对两个随机化分割密态文件的每个480B数据块执行哈希运算并嵌入哈希标签,基于从LDDR内暂存的密钥数据文件内读出的数据块保护密钥,针对每个数据块值域及其哈希标签值域执行分组加密运算,形成每个数据块都跟随了一个哈希标签并由分组加密保护的密态哈希标签防护文件,直接拷贝到SIM/TF/NM卡中;
C9、基于安全填充的文件擦除机制,清除处理流程中安全存储分区内用于暂存明文态敏感文件产生的临时文件;
C10、在人机界面上执行系统软件切换操作,将EEPROM中保存的镜像加载选择标志修改为0x0F,自动关机,重新开机后,切换到普通系统软件运行,从SIM/TF/NM卡中将关联的密态哈希标签防护文件拷贝到普通存储分区中;
C11、分别通过互联网电子邮件和即时通信手段,将关联的密态哈希标签防护文件向目的地智能终端发送,目的地智能终端在普通系统运行状态,接收关联的密态哈希标签防护文件,保存到普通存储分区中,拷贝到SIM/TF/NM卡中,完成敏感文件安全交换与传输的发送;
所述敏感文件安全交换与传输的接收流程为:
D1、若敏感文件接收方安全智能终端当前处于普通系统软件运行状态时,则在人机界面上执行系统软件切换操作,将EEPROM中保存的镜像加载选择标志修改为0xF0,自动关机,重新开机后,切换到安全系统软件运行;
D2、由文件安全传输控制软件从SIM/NM/TF卡中接收关联的密态哈希标签防护文件的每个数据块,分别基于LDDR内存中暂存的密钥数据文件内的数据块保护密钥和哈希标签密钥,对数据块执行解密和哈希标签验证,若密态文件数据通过哈希标签验证,则去除该数据块的哈希标签,将其保存到安全存储分区内的临时文件中,拷贝输入结束形成两个独立的随机化分割密态文件;
D3、基于LDDR内存中暂存的密钥数据文件内的文件哈希密钥,对两个接收到的、关联的随机化分割密态文件数据进行文件哈希运算与一致性验证后,去掉文件末尾的32字节哈希值;
D4、从LDDR内存暂存的密钥数据文件内读出两个文件传输保护密钥,分别基于分组算法进行文件数据解密运算,获得两个独立的随机化分割文件;
D5、从LDDR内存暂存的安全控制文件中读出两个64MB长的文件传输随机数掩码,分别对对应的随机化分割文件进行逐字节的异或解密计算(若随机化分割文件数据内容长度超过64MB,则重复使用文件传输随机数掩码进行异或解密运算),获得两个随机化碎片文件;
D6、将这两个随机化碎片文件的数据内容进行逐字节的或合并运算,恢复出原来的明文态文件;
D7、提示用户输入文件存储密码;
B8、从LDDR内存暂存的密钥数据文件内读出文件存储密钥初值与文件存储密码串接,经哈希运算和分组加密运算后,按密钥长度截取形成文件存储保护密钥,对接收到的明文态敏感文件实施文件数据加密,将获得的密态敏感文件保存到安全存储分区内的文件系统中;
D9、基于安全填充的文件擦除机制,清除处理流程中安全存储分区内用于暂存明文态敏感文件产生的临时文件,完成敏感文件安全交换与传输的接收。
进一步地:所述安全智能终端架构通过USB数据线与配套的安全计算机连接,基于STFTP协议,实现密态敏感文件的安全导入/导出控制。
进一步地:所述敏感文件安全导出的流程为:
E1、在配套的安全计算机执行的文件安全导入/导出控制软件界面上输入需要导出的文件的名称,安全计算机准备好基于STFTP协议从安全智能终端导出密态敏感文件;
E2、若安全智能终端处理普通软件运行状态,则在人机界面上执行系统软件切换操作,将EEPROM中保存的镜像加载选择标志修改为0xF0,自动关机,重新开启后,切换到安全系统软件运行;
E3、打开文件安全导入/导出控制软件的人机界面,选择安全存储分区文件系统中需要安全导出的密态敏感文件;
E4、提示用户输入文件存储密码;
E5、从LDDR内存中暂存的密钥数据文件中读取文件存储密钥初值,将文件存储密钥初值与人机界面输入的文件存储密码串接,经哈希运算和分组加密运算后,按密钥长度截取形成文件存储保护密钥,用于对需要安全导出的密态敏感文件执行文件解密运算,获得明文态敏感文件;
E6、在人机界面上提示用户输入文件拷贝密码;
E7、从LDDR内存中暂存的密钥数据文件中获取文件拷贝密钥初值与文件拷贝密码串接,经哈希运算和分组加密运算后,按密钥长度截取形成文件拷贝保护密钥;
E8、基于文件拷贝保护密钥对敏感文件明文实施文件加密,基于LDDR内存中暂存的密钥数据文件中获取文件哈希密钥,基于LDDR内存中暂存的密钥数据文件中获取文件哈希密钥,对加密后的文件密态数据执行哈希运算,将获得的哈希运算值附加在文件密态数据末尾,形成密态安全导出文件;
E9、将密态安全导出文件依次分割为480B数据块,从LDDR内存暂存的密钥数据文件内读出哈希标签密钥执行哈希计算,为数据块打上32字节哈希标签,从LDDR内存暂存的密钥数据文件内读出的数据块保护密钥对这两个值域执行分组加密运算,由STFTP协议通过USB数据接口将每个密态数据快送到安全计算机;
E10、基于安全填充的文件擦除机制,清除处理流程中安全存储分区内用于暂存明文态敏感文件产生的临时文件,完成敏感文件的安全导出;
所述敏感文件安全导入的流程为:
F1、若安全智能终端处于普通软件运行状态,则在人机界面上执行系统软件切换操作,将EEPROM中保存的镜像加载选择标志修改为0xF0,软件系统重启切换到安全系统软件运行;
F2、在安全智能终端执行的文件安全导入控制软件的人机界面上,输入需要导入的密态敏感文件名称,安全智能终端启动STFTP协议,准备好从配套的安全计算机导入密态敏感文件;
F3、在配套的安全计算机执行的文件安全导入控制软件界面上,选择输入需要导入安全智能终端的密态敏感文件名称;
F4、安全智能终端执行的文件安全导入控制软件将STFTP协议接收到的每个数据块,以从LDDR内存中暂存的密钥数据文件内的数据块保护密钥进行解密运算,并以哈希标签密钥进行哈希验证后,形成一个密态安全导入文件;
F5、从LDDR内存中暂存的密钥数据文件中获取文件哈希密钥,针对密态安全导入文件执行文件哈希运算,验证输入文件的完整性;
F6、在人机界面上提示用户输入文件拷贝密码;
F7、从LDDR内存中暂存的密钥数据文件中获取文件拷贝密钥初值,将文件拷贝密钥初值与人机界面输入的文件拷贝密码串接,经哈希运算和分组加密运算后,按密钥长度截取形成文件拷贝保护密钥,对导入的密态安全导入文件执行文件数据解密运算,获得明文态的安全导入文件;
F8、提示用户输入文件存储密码;
F9、将从LDDR内存中暂存的密钥数据文件中获取的文件存储密钥初值与文件存储密码串接,经哈希运算和分组加密运算后,按密钥长度截取形成文件存储保护密钥,对安全导入的明文态敏感文件实施文件数据加密,将获得的密态敏感文件保存到安全存储分区文件系统中;
F10、基于安全填充的文件擦除机制,清除处理流程中安全存储分区内用于暂存明文态敏感文件产生的临时文件,完成敏感文件的安全导入。
进一步地:所述安全智能终端架构基于白盒密码机制保护安全系统存储空间文件系统中的密钥数据文件的安全性,将保护密钥数据文件的密钥文件保护密钥隐藏在白盒密码软件内自带的多个映射表中。
本发明的有益效果为:本发明在双软件系统安全切换机制、文件传输数据块密态哈希标签防护机制、文件拷贝数据块密态哈希标签防护机制、文件随机化分割加密传输机制以及USB设备单一功能限制的严格保护控制下,共同为敏感文件的处理提供了基于密码防护严格隔离的高安全运行环境,既能够防御针对安全智能终端的各种已知的和未知的安全威胁,也能够防止安全智能终端明文敏感数据的泄露,可以在任何地点接入公共互联网使用。
采用这种安全智能终端架构,既能使来自互联网的入侵攻击无法获取安全智能终端中保存的敏感文件,又能确保敏感文件处理的计算环境安全与存储安全,也能在公共互联网上实现敏感文件的密态安全传输,使得处理敏感文件的智能终端可以安全地利用公共互联网提供的通信便利,因而可作为涉密通信的安全智能终端使用。
附图说明
图1为本发明架构示意图;
图2为本发明中软件系统功能概况示意图;
图3为本发明中采取的密态数据块封装格式示意图。
具体实施方式
下面对本发明的具体实施方式进行描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
本发明涉及以下几个专用术语:
闪存物理分区:NAND闪存芯片的两个独立的PLANE存储分区,一个为普通存储分区,另一个为安全存储分区,在分区访问控制逻辑的选择控制下,通过对片选信号CE1和CE2的放行与阻断机制,绝对控制当前启动运行的系统软件只能访问哪一个闪存物理分区。
镜像加载选择标志:保存在E2PROM中,由用户切换控制软件设置,0x0F表示启动普通软件系统,0xF0表示启动安全软件系统。CPU上电复位后,执行Nor闪存内的BootLoader引导代码时,根据E2PROM中保存的镜像加载选择标志,确定加载启动哪一个系统软件。
分区访问控制逻辑:用于根据CPU首次访问NAND闪存时使用的片选信号(CE1或CE2,分别对应于访问NAND闪存的两个Target/Plane),仅放行首次使用的那个片选信号(CE1或CE2),而阻断另一个片选信号(CE2或CE1)信号,使安全智能终端的软件系统在运行中只能访问自己有权访问的闪存物理分区。
闪存分区物理隔离:基于分区访问控制逻辑实现两个闪存分区的物理隔离,使得普通系统软件只能访问闪存的普通存储分区,安全系统软件只能访问闪存的安全存储分区。
双软件系统:安全智能终端的两个闪存物理分区分别安装了普通系统软件和安全系统软件,开机时BootLoader引导软件根据镜像加载选择标志确定应该加载启动哪一个系统软件,并且系统软件在分区访问控制逻辑的控制下只能访问属于自己的闪存物理分区。普通系统软件提供一个普通的运行环境,保留普通智能终端的全部功能。安全系统软件为保密电话加密处理、涉及敏感文件的所有处理环节提供一个安全的运行环境。两个运行环境之间通过扩展SIM卡交换密态敏感文件。
密态哈希标签:以加密态传输和导入/导出的文件数据块哈希标签,用于验证文件密态数据块的真实性与完整性,实现安全系统软件与公共互联网之间的严格隔离控制,防止通过扩展SIM卡交换或通过USB数据接口导入/导出的文件数据块中隐藏的恶意攻击代码进入安全智能终端,防止来自USB数据接口的恶意攻击。
密码算法运算软件:实现分组密码算法、哈希算法运算、时变随机数产生的多个软件函数。
安全控制文件:用于存储人机界面密码、文件传输随机数掩码、时变随机数初值,在安全存储分区文件系统内隐藏保存。
人机界面密码:用于进入安全系统软件操作界面的口令,保存在安全控制文件内。
密钥数据文件:用于以加密态方式存储文件存储密钥初值、文件拷贝密钥初值、语音保护密钥初值、文件传输保护密钥、数据块保护密钥、哈希标签密钥文件传输保护密钥、文件哈希密钥,由密钥文件保护密钥实施加密保护,隐藏在安全存储分区内的文件系统中。
密钥文件保护密码:用作临时生成密钥文件保护密钥的参数因子(用户记忆的口令),不保存。
白盒密码软件:用于隐藏密钥数据文件的保护密钥,并且在密钥文件保护密码的控制下对密钥数据文件实施解密操作。
密钥文件保护密钥:用于对安全存储分区文件系统内隐藏的密钥数据文件实施加密保护,隐含在白盒密码软件内的多个映射表中。
文件存储密码:用作临时生成文件存储保护密钥的参数因子(用户记忆的口令),不保存。
文件存储密钥初值:保存在密钥数据文件中,用于与用户输入的文件存储密码串接通过密码算法运算共同产生文件存储保护密钥。
文件存储保护密钥:用于对安全存储分区中的敏感文件实施存储加/解密的算法密钥,由文件存储密钥初值与文件存储密码串接,经哈希运算和分组加密运算后,按密钥长度截取临时产生,不保存。
文件拷贝密码:用作文件拷贝保护密钥的生成参数因子(用户记忆的口令),不保存。
文件拷贝密钥初值:保存在安全存储分区内的密钥数据文件中,用于与用户输入的文件拷贝密码通过密码算法运算共同产生文件拷贝保护密钥。
文件拷贝保护密钥:对通过USB数据接口导出/导入的敏感文件实施拷贝加/解密的算法密钥,由文件拷贝密钥初值与文件拷贝密码串接,经哈希运算和分组加密运算后,按密钥长度截取临时产生,不保存。
文件传输随机数掩码:两个64MB长度的随机数数据块,保存在安全存储分区文件系统隐藏的安全控制文件内。
文件传输保护密钥:保存在安全存储分区内的密钥数据文件中,用于对需要经过公共互联网传输的敏感文件实施传输加密保护。安全存储分区内保存了两个文件传输保护密钥,分别用于两个随机化分割文件的传输加密保护。
数据块保护密钥:长度为32B,保存在安全存储分区内的密钥数据文件中,密态哈希标签防护和文件安全导入/导出控制使用数据块保护密钥对每个密态数据块载荷及其哈希值进行分组加/解密运算。
哈希标签密钥:长度为32B,保存在安全存储分区内的密钥数据文件中,用于计算密态文件传输与导入/导出的每个密态数据块载荷的哈希标签。
文件哈希密钥:长度为32B,保存在安全存储分区内的密钥数据文件中,用于计算密态文件的哈希值。
语音保护密钥初值:保存在安全存储分区内的密钥数据文件中,用于与语音密钥协商协议动态协商的共享密钥共同形成语音数据保护密钥。
语音数据保护密钥:基于语音密钥协商协议动态协商的共享密钥,与密钥数据文件中的语音保护密钥初值异或后,在经过哈希运算形成。
时变随机数初值:长度为64MB,保存在安全存储分区内的安全控制文件中,用于与当前时间值共同产生时变随机数。
时变随机数产生:密码算法运算软件将移动智能终端当前的时间值字节串与安全控制文件内的时变随机数初值进行串接,经哈希运算后再重复复制串接,产生与文件等长的时变随机数,用于传输文件的随机化分割。
数据随机化分割:基于时变随机数产生机制获得的与文件内容数据字节等长的时变随机数字节,针对文件内容数据的第一个字节到最后一个字节,依次以随机数字节对初始的明文数据字节进行逐字节的“与”操作获得第一个明文随机化分割数据块。然后将全部随机数字节值取反,再与初始的明文数据字节进行逐字节的“与”操作获得第二个明文随机化分割数据块。
文件随机化分割与合成:实现敏感文件的随机化分割、随机化掩盖以及合成的功能。在传输敏感文件之前,对整个敏感文件明文实施随机化分割形成两个随机化分割文件,并且采取相同长度的文件传输随机数掩码进行“异或”掩盖运算,获得两个关联的随机化密态文件;在接收到两个关联的随机化密态文件之后,对它们实施与文件传输随机数掩码的“异或”运算以及文件数据合成的或运算,恢复出原来的敏感文件明文。
文件加/解密控制:由执行密码算法的软件模块,对一个文件的整个数据内容执行加/解密运算。
扩展SIM卡:兼具SIM卡与存储卡的双重功能。
安全TF卡:具有物理随机数产生功能,支持密钥分发协议使用的公钥算法。
如图1所示,一种基于访问分区物理隔离的双系统安全智能终端架构,包括通过总线连接的CPU、LDDR、Nor FLASH和NAND FLASH,所述CPU还分别与EEPROM和分区访问控制逻辑连接,所述NAND FLASH包括普通存储分区和安全存储分区,所述普通存储分区包括普通系统软件代码镜像和普通系统存储空间,所述安全存储分区包括安全系统软件代码镜像和安全系统存储空间,所述分区访问控制逻辑分别与普通系统存储空间和安全系统存储空间连接,所述普通存储分区安装有普通系统软件,所述安全存储分区安装有安全系统软件。
如图2所示,所述普通系统软件包括系统切换控制软件、终端安全防护软件、文档处理软件、各种互联网应用软件、TCP/IP协议栈、移动通信链路协议栈、无线通信接口驱动程序和操作系统与文件系统。
所述安全系统软件包括终端安全防护软件、文档处理软件、系统切换控制软件、文件安全导入/导出控制、文件安全传输控制、文件安全存储控制、文件加/解密、语音数据加/解密、IP+UDP+RTP协议栈、移动通信链路协议栈、移动通信接入驱动程序和操作系统及文件系统。
普通系统软件保留了普通移动智能终端的全部功能,可以任意访问公共互联网,也可以通过手机助手访问,安全智能终端之间、安全智能终端与安全计算机之间都能够以电子邮件或即时通信的方式相互传送密态文件。
安全系统软件在普通系统软件的基础上,裁减了可能危害安全性的那些功能,包括WiFi接入、蓝牙接入、NFC接入、TCP以及由TCP支持的上层协议(如HTTP、Web、XMPP、即时通信等),但保留了移动通信接入协议与IP+UDP+RTP协议以及IP+UDP+TFTP协议。在保留普通智能终端的操作系统、文件系统、文档处理件以及终端安全防护的基础软件功能之上,增加了RTP协议语音载荷加/解密、密态哈希标签嵌入与验证、密码算法运算、文件加/解密、文件安全存储控制、文件安全导入/导出控制以及文件随机化分割加密传输控制的软件功能模块。
安全智能终端的普通系统软件与安全系统软件之间,只能通过SIM/TF/NM扩展存储卡进行密态敏感文件的安全交换,并且基于数据块密态哈希标签安全机制的严格隔离来阻断网络攻击,基于随机分割加密机制来保障安全智能终端之间通过移动互联网传输敏感文件的安全性。
安全智能终端与安全计算机之间能够通过USB数据线连接,基于增强了安全性的TFTP协议(STFTP),实现密态敏感文件的安全导入/导出控制。
安全智能终端基于双软件系统访问分区物理隔离、随机化文件分割加密传输保护机制、数据块密态哈希标签机制、安全TFTP协议(STFTP)的安全隔离保护机制,能够为保密通话处理、敏感文件的安全处理、文件传输加/解密处理、文件存储加/解密处理以及文件安全导入/导出处理提供了一个安全的运行环境。
连接到移动互联网上所有安全智能终端与安全服务器共同形成一个实现保密通信的安全内网。
普通系统软件可以接受终端厂商以正常推送模式进行的版本升级,安全系统软件只能通过安全软件升级机制从安全服务器下载和升级经过加密机制安全保护的升级版本。
安全智能终端架构的设计目标是建立一个安全完全受控的运行环境,使安全智能终端在运行安全系统软件时能够满足语音保密通信、敏感文件的产生、编辑、存储、传输、交换以及导入/导出全部处理环节安全的应用需求,在运行普通系统软件时可以作为普通智能终端使用。
1.双系统访问分区物理隔离的安全机制:
双系统访问分区物理隔离机制通过镜像加载选择标志控制和分区访问控制逻辑共同实现。CPU上电复位后,执行(只读)Nor闪存内的BootLoader引导代码时,根据从I2C接口读取的E2PROM中保存的镜像加载选择标志,确定加载启动哪一个系统软件。由分区访问控制逻辑根据CPU首次访问NAND闪存时使用的片选信号(CE1或CE2,分别对应于访问NAND闪存的两个Target/Plane),仅许可首次使用的那个片选信号,而阻断另一个片选信号(CE2或CE1)信号,使安全智能终端的软件系统在运行中只能访问开机时首次选择的那个闪存物理分区。
一旦某个片选信号被阻断,CPU就只能通过许可的那个片选信号对当前的闪存物理分区进行访问操作,不能访问片选被阻断的另一个闪存物理分区。若镜像加载选择标志为0x0F,分区访问控制逻辑则阻断CE2对NAND闪存的片选控制并锁定,使闪存芯片的CE2输入引脚总是无效。若镜像加载选择标志为0xF0,则阻断CE1对NAND闪存的片选控制并锁定,使闪存芯片的CE1输入引脚总是无效。
BootLoader软件执行时,通过镜像加载选择标志判断当前应加载哪个闪存物理分区内的软件系统。当镜像加载选择标志为0x0F时,BootLoader则加载普通系统软件代码镜像,闪存的安全存储分区不可访问。当镜像加载选择标志为0xF0时,BootLoader则只能加载安全系统软件代码镜像,闪存的普通存储分区不可访问。
对CE1和CE2的阻断控制机制实现了两个闪存存储分区的物理隔离,既能防止普通系统软件运行时访问安全存储分区的数据,也能够防止安全系统软件运行时错误访问普通存储分区将敏感数据泄露给普通系统软件。
安全智能终端的两套系统软件各自独立使用NAND闪存的一半存储空间,普通系统软件独立使用闪存的前一半存储空间,安全系统软件独立使用闪存的后一半存储空间。
2.基于白盒密码软件保护密钥数据的安全机制:
安全智能终端基于白盒密码机制来保护安全存储分区文件系统中的密钥数据文件的安全性,将保护密钥数据文件的密钥文件保护密钥隐藏在白盒密码软件内自带的多个映射表中。白盒密码软件必须通过密钥文件保护密码的验证控制才能对密钥数据文件实施解密操作,进而获得安全智能终端其它安全操作需要的保护密钥。在用户修改密钥文件保护密码成功时,必须运行上一版本的白盒密码软件解密出密钥文件保护密钥,再根据新的密钥文件保护密码,重新生成新版本的密钥数据文件白盒密码软件。
3.语音数据加密的安全通信机制
安全系统软件只支持4G/5G智能终端之间的加密语音通信,以IP+UDP+RTP(实时传送协议)报文封装来加密传输语音数据载荷。
将需要保密通信的联系人名录保存在安全存储分区的保密语音通信电话本文件中。
当主叫发起保密语音呼叫时,在接收到被叫返回的摘机消息后,立即启动语音密钥协商协议,通过UDP指定端口发送语音密钥协商请求报文,被叫方收到后向主叫方返回语音密钥协商应答报文。两方通过语音密钥协商过程,获得一致的会话密钥,与语音数据保护密钥异或后,经过哈希运算,获得本次通话的语音数据保护密钥。
当RTP协议层向其下层的UDP协议发送语音数据块之前,首先基于语音数据保护密钥针对RTP协议头后面的数据载荷实施分组加密运算,然后再通过数据发送端口发送。
当RTP协议层从其下层的UDP协议接收到语音数据块时,首先基于语音数据保护密钥针对RTP协议头后面的数据载荷实施分组解密,然后再递交给其上层的语音接收软件处理。
语音数据加密保护机制确保用户的每次语音通信都能够得到机密性保护。
4.基于密态哈希标签阻断文件传输网络攻击的安全机制
密态哈希标签机制是安全智能终端保障安全系统软件运行环境安全的核心安全机制,能够实现密态敏感文件的安全交换与传输控制以及安全导入/导出控制。
基于密态哈希标签的防御机制,使得普通系统软件与安全系统软件两个运行环境之间,能够通过SIM/NM/TF卡实现密态敏感文件的安全交换,能够阻断敌手通过移动互联网对安全系统软件的攻击入侵。
在经由SIM/NM/TF卡进行密态文件的安全交换过程中,基于密态哈希标签防护机制为每个数据块嵌入哈希标签,以哈希标签验证阻断来源于移动互联网的网络攻击。在安全导出敏感文件时,实施基于密态哈希标签的嵌入保护;在安全导入敏感文件时,通过密态哈希标签验证严格阻断威胁数据块进入安全系统软件的运行环境。
数据块密态哈希标签发送嵌入与接收验证过滤机制与分组加密防护机制密切配合,实现了两个软件系统之间安全性极高的隔离功能,使得任何网络攻击都无法通过SIM/NM/TF卡渗透到安全智能终端中,因此能够防御对安全系统软件的任何网络攻击。数据块密态哈希标签嵌入机制也能够防止出现敏感文件明文传输的现象。
5.密态文件在移动互联网中传输的安全机制
安全智能终端联合采取了文件随机化分割与随机化掩盖、两个随机化分割文件基于不同的文件传输保护密钥分别实施数据加密的传输保护机制,并且还采取了文件密态数据块哈希标签嵌入与分组加密保护,因而为经由移动互联网传输的敏感文件提供了五重密钥空间的加密保护,由随机化分割加密保护的两个关联的密态文件在移动互联网上分别采取电子邮件和即时通信两种不同的通信方式传输,在多种安全传输防护机制的保护下,极大地增强了基于移动互联网传输密态敏感文件的安全性。
安全系统软件在传输明文态敏感文件之前,由密码算法运算软件将智能终端的当前时间值字节串与安全控制文件内的时变随机数初值串接,经哈希运算后再重复复制串接,形成与文件等长的时变随机数。由文件安全传输控制软件基于时变随机数执行随机化分割机制,将明文文件分割为两个随机化的与原文件等长的碎片文件(通过将时变随机数与原文件进行逐字节的“与”操作,获得一个随机化分割碎片文件;将时变随机数逐字节取反与原文件进行逐字节的“与”操作,获得另一个随机化分割碎片文件)。再基于密钥数据文件内的两个64MB长的文件传输随机数掩码对这两个随机化碎片文件进行逐字节的异或掩盖计算(若随机化碎片文件数据内容长度超过64MB,则重复使用文件传输随机数掩码进行异或掩盖运算),获得两个随机化分割文件。再以密钥数据文件内的两个文件传输保护密钥和文件哈希密钥分别对这两个随机化分割文件数据进行分组加密运算与哈希值运算,将32字节哈希值附加在随机化分割文件末尾,最后由形成两个独立的随机化分割密态传输文件,经由SIM/NM/TF卡安全交换到普通系统软件,再经由互联网电子邮件或即时通信手段传输到目的地安全智能终端,通过其SIM/NM/TF卡交换给目的地安全系统软件处理。
当目的地安全智能终端接收到这两个随机化分割密态传输文件后,由其安全系统执行文件安全传输控制软件对这两个随机化分割传输文件数据进行哈希运算与一致性验证后,去掉文件末尾的32字节哈希值,以密钥数据文件内的两个文件传输保护密钥分别基于分组算法进行文件数据解密运算,获得两个关联的随机化分割文件,然后以密钥数据文件内的两个64MB长的文件传输随机数掩码分别对对应的随机化分割文件进行逐字节的“异或”解密计算(若随机化分割文件数据内容长度超过64MB,则重复使用文件传输随机数掩码进行“异或”解密运算),获得两个关联的随机化碎片文件。最后将这两个关联的随机化碎片文件的数据内容进行逐字节的“或”合并运算,恢复出原来的明文态文件,并以当前产生的文件存储保护密钥对解密获得的整个明文文件进行加密,再保存到安全存储分去内的文件系统中。
6.基于STFTP与安全计算机通信的安全机制
在智能终端和安全计算机之间的USB数据线上,只有普通系统软件运行时才能够接受基于TCP+FTP协议的访问控制,安全系统软件运行时不接受基于TCP+FTP协议的访问控制,安全系统软件运行时只能基于UDP+STFTP协议接受安全计算机的访问。安全系统基于增强了安全机制的TFTP协议(STFTP)来建立安全的USB CDC通信链路,实现密态文件的安全传递。STFTP采取对称工作模式,不区分客户端与服务器端,但为了便于实施严格的文件传输流向管控,每次文件传输只允许在一个方向上执行文件传递处理过程,即智能终端和安全计算机都可以基于STFTP协议启动需要导出/导入的密态文件的安全传递。
STFTP严格实施一报文一应答的UDP报文通信控制,并且基于UDP报文序号严格执行一问一答的报文单向通信管制。STFTP将TFTP的数据块序号扩展为8字节,使得传输的密态文件数据块的序号绝对不会出现重复的现象。
如图3所示,STFTP协议软件在传输密态文件时,依次按每480字节的长度进行分割,并为每个分割的STFTP报文数据块末尾附加32字节的全0值的哈希值位置,封装为IP+UDP+STFTP格式,由密态哈希标签防护软件模块进行STFTP数据块(不包括IP+UDP+STFTP三部分协议头值域)哈希值运算和标签填充以及包括标签域在内的分组加密运算。当STFTP数据块的长度小于480B时,将计算出的32B哈希标签值填充到STFTP数据块末尾跟随的32字节值域内,再进行包括标签域在内的分组加密运算。
STFTP协议采取了基于每个STFTP报文确认的严格流控机制,即每发送了一个STFTP数据块,必须在接收到对端对该序号的数据块的确认后,才发送下一个序号递增1的STFTP报文。此外,还采取超时重传机制在USB CDC接口上提供可靠的STFTP报文传递。
STFTP协议只采用WRQ、ACK以及DATA三种消息,对WRQ和ACK报文不进行哈希验证过滤。WRQ和ACK两种消息的长度固定为64字节。STFTP协议头包括2字节操作码值域、53字节文件名值域、1字节文件结束符值域以及8字节数据块序号值域,其中文件名固定使用协议头域的53个字节,文件名最长为53个字符,文件结束符值域固定设置为0x00作为文件名字符串的强制结束符。
STFTP针对发送的每个数据块基于哈希标签密钥执行哈希标签运算与填充再进行数据块加密保护,并且针对接收的每个STFTP报文内的数据块与哈希标签值执行分组解密和哈希标签运算验证,即时发现并过滤掉任何伪造和篡改的STFTP报文,能够阻止针对安全智能终端的任何伪造与篡改STFTP协议报文的攻击,同时也能够防止出现敏感文件明文数据块传输的现象。
基于STFTP协议所具有的安全保护机制确保了安全智能终端和安全计算机之间密态文件的导入/导出安全,并且能够阻止敌手通过接入USB数据接口对安全智能终端实施非法访问与恶意攻击。
7.密态文件导入/导出的安全机制
安全软件系统基于STFTP协议提供的安全文件传递机制,实现安全智能终端与配套的安全计算机之间的密态文件导入/导出的安全控制。
当需要通过USB数据接口安全导出敏感文件时,文件安全导入/导出控制软件首先将文件拷贝密钥初值与用户在人机界面输入的文件拷贝密码串接,经哈希运算和分组加密运算后,按密钥长度截取形成文件拷贝保护密钥,对敏感文件明文实施文件加密,基于文件哈希密钥对加密后的文件密态数据执行哈希运算,将获得的哈希运算值附加在文件密态数据末尾,形成密态拷贝输出文件。然后将密态拷贝敏感输出文件的每个480B数据块(文件尾部数据块按实际长度处理)嵌入哈希标签,并基于数据块保护密钥针对每个数据块值域及其哈希标签值域执行分组加密运算,形成每个数据块都包含了密态哈希标签的密态拷贝文件,在STFTP协议的安全传送控制下,通过安全数据接口导出到连接的安全计算机。
当需要通过数据接口连接的安全计算机安全导入密态文件到安全智能终端时,文件安全导入/导出控制软件基于文件拷贝数据块保护密钥,对STFTP协议接收的每个480B密态数据块载荷(末尾数据块按实际长度处理)值域及其哈希标签值域实施分组解密运算,并基于哈希标签密钥进行哈希标签验证运算,过滤掉未通过哈希验证的拷贝数据块。然后,经过了分组解密的每个密态数据块载荷数据形成密态拷贝输入文件。基于文件哈希密钥和哈希算法对密态拷贝输入文件的密文内容进行文件完整性验证,丢弃未通过文件完整性验证的密态拷贝输入文件。然后将文件拷贝密钥初值与人机界面输入的文件拷贝密码串接,经哈希运算和分组加密运算后,按密钥长度截取形成文件拷贝保护密钥,对密态拷贝输入文件实施文件解密,获得敏感文件明文。
将用户记忆密码作为产生文件拷贝保护密钥的一个要素,只有输入了正确的保护密码才能形成正确的文件拷贝保护密钥,为安全智能终端与安全计算机之间通过USB数据接口导入/导出的敏感文件增加一层防失窃破译的安全保护机制。
8.文件加密存储机制
在安全运行环境中,文件安全存储控制软件将密钥数据文件中保存的文件存储密钥初值与用户在安全智能终端的人机界面上输入的文件存储密码串接,经哈希运算和分组加密运算后,按密钥长度截取形成文件存储保护密钥,用于实施文件存储加密。即将用户记忆的文件存储密码作为形成文件存储保护密钥的一个要素,使得每个安全智能终端都具有不同的体现用户个体特征的文件存储保护密钥,为安全智能终端增加一层防失窃破译的安全保护机制。
当用户需要打开一个加密存储的敏感文件时,由文件安全存储控制软件将密钥数据文件内的文件存储密钥初值与用户输入的文件存储密码串接,经哈希运算和分组加密运算后,按密钥长度截取获得文件存储保护密钥,以文件存储保护密钥对该文件进行解密获得明文态的敏感文件,然后启动文档编辑处理软件,打开明文态的敏感文件,用户进行阅读、编辑工作。
当用户要关闭其正在处理的明文态敏感文件时,由文件安全存储控制软件基于文件存储保护密钥对其实施文件加密,并以加密态存储该敏感文件,最后在处理完成后,以随机数反复填充的安全处理机制,彻底擦除明文文件产生的临时文件数据的痕迹。
9.安全系统软件升级的安全机制
安全智能终端基于严格的软件升级安全机制,由与移动互联网物理隔离的专用安全服务器产生安全系统软件升级版本。安全服务器基于文件随机化分割、随机数掩码“异或”掩盖保护、文件加密机制、文件哈希保护机制、文件数据块加密机制以及数据块哈希标签机制,为软件升级文件提供机密性、完整性以及真实性保护。专用安全服务器将受到密码保护的升级软件刻录到光盘中,拷贝到连接互联网的安全智能终端软件升级官网服务器上,链接到其网页界面上。
当安全智能终端需要升级安全系统软件时,通过访问官网服务器,直接下载新版本的升级软件到其普通存储分区中,再通过SIM/NM/TF卡安全交换到安全存储分区中。用户在安全系统软件的人机界面上,操作安全交换控制软件,首先以数据块保护密钥对每个文件数据块解密,去除嵌入的那些数据块哈希标签,然后以传输保护密钥解密接收的密态传输文件,通过文件哈希一致性验证后,获得升级软件文件的两个随机化分割文件,再基于密钥数据文件内的两个64MB长的文件传输随机数掩码,分别对这两个随机化分割文件进行逐字节的“异或”解密运算(若随机化分割文件数据内容长度超过64MB,则重复使用文件传输随机数掩码进行“异或”解密运算),获得升级软件文件的两个随机化碎片文件,然后将升级软件文件的这两个随机化碎片文件经过逐字节的“或”运算合成,获得明文形式的升级软件包,最后执行安全系统软件的升级安装过程。
普通系统软件代码镜像和安全系统软件代码镜像的开机加载处理流程为:
A1、在CPU上电复位后,直接执行Nor FLASH中的BootLoader程序,完成中断向量表和堆栈指针的设置、硬件初始化、片外LDDR控制寄存器的设置和MMU寄存器设置;
A2、将LDDR整个内存清零;
A3、通过BootLoader程序读取EEPROM保存的镜像加载选择标志,若镜像加载选择标志为0x0F,则将NAND FLASH普通存储分区中保存的普通系统软件代码镜像加载到LDDR中执行,首先出现CE1信号,若镜像加载选择标志为0xF0,则将NAND FLASH安全存储分区中保存的安全系统软件代码镜像加载到LDDR中执行,首先出现CE2信号;
A4、根据首次出现的CE1/CE2信号,分区访问控制逻辑连接实施对CE1/CE2信号的阻断控制,若首次出现的为CE1信号,则放行CE1信号,阻断CE2信号,启动普通系统软件,若首次出现为CE2信号,则放行CE2信号,阻断CE1信号,启动安全系统软件。
安全系统软件的初始化流程为:
B1、分配一块LDDR动态内存,将安全存储分区文件系统隐藏的安全控制文件加载到该LDDR动态内存暂存备用;
B2、分配一块LDDR动态内存,将安全存储分区文件系统隐藏的密钥数据文件加载到该LDDR动态内存暂存备用;
B3、输入人机界面密码,与安全控制文件内保存的人机界面密码进行比较,若不一致,则重新输入人机界面密码,否则进入安全系统软件的安全管理人机界面,若连续5次输入的人机界面密码都不一致,则关机重启后才能再次获得输入人机界面密码的机会;
B4、执行密钥数据文件白盒密码软件,在安全管理人机界面上,提示用户输入密钥文件保护密码;
B5、若用户输入的密钥文件保护密码正确,则白盒密码软件继续以隐含的密钥文件保护密钥,对LDDR内存中暂存的密钥数据文件进行解密计算,完成安全系统软件中涉及敏感文件的工作密钥初始化。
敏感文件安全交换与传输的发送流程为:
C1、若敏感文件发送方安全智能终端当前处于普通系统软件运行状态时,则在人机界面上执行系统软件切换操作,将EEPROM中保存的镜像加载选择标志修改为0xF0,自动关机,重新开机后,切换到安全系统软件运行;
C2、在文件安全传输控制软件的人机界面上,选择安全存储分区文件系统中需要传输的密态敏感文件;
C3、提示用户输入文件存储密码;
C4、从LDDR动态内存中暂存的密钥数据文件中读取文件存储密钥初值,与人机界面输入的文件存储密码串接,执行哈希运算和分组加密运算后,按密钥长度截取形成文件存储保护密钥,用于对需要传输的密态敏感文件执行文件解密运算,获得明文态敏感文件;
C5、将计算机当前的时间值字节串与LDDR内存暂存的安全控制文件中的时变随机数初值进行串接,经哈希运算后再重复复制串接,形成与文件等长的时变随机数;
C6、通过随机化分割机制将文件分割为两个随机化的碎片文件,基于LDDR内存暂存的安全控制文件内读取的两个64MB长的文件传输随机数掩码,对这两个随机化碎片文件进行逐字节的异或掩盖计算(若随机化碎片文件数据内容长度超过64MB,则重复使用文件传输随机数掩码进行“异或”掩盖计算),获得两个关联的随机化分割文件;
C7、基于从LDDR内存暂存的密钥数据文件内读取的两个文件传输保护密钥和文件哈希密钥,分别对这两个随机化分割文件数据进行分组加密运算与哈希值计算,将32字节哈希值附在随机化分割文件末尾,形成两个独立的随机化分割密态文件;
C8、基于从LDDR内暂存的密钥数据文件获得的哈希标签密钥,针对两个随机化分割密态文件的每个480B数据块执行哈希运算并嵌入哈希标签,基于从LDDR内暂存的密钥数据文件内读出的数据块保护密钥,针对每个密态数据块载荷值域及其哈希标签值域执行分组加密运算,形成每个数据块都跟随了一个哈希标签并由分组加密保护的密态哈希标签防护文件,直接拷贝到SIM/TF/NM卡中;
C9、基于安全填充的文件擦除机制,清除处理流程中安全存储分区内用于暂存明文态敏感文件产生的临时文件;
C10、在人机界面上执行系统软件切换操作,将EEPROM中保存的镜像加载选择标志修改为0x0F,自动关机,重新开机后,切换到普通系统软件运行,从SIM/TF/NM卡中将关联的密态哈希标签防护文件拷贝到普通存储分区中;
C11、分别通过互联网电子邮件和即时通信手段,将关联的密态哈希标签防护文件向目的地智能终端发送,目的地智能终端在普通系统运行状态,接收关联的密态哈希标签防护文件,保存到普通存储分区中,拷贝到SIM/TF/NM卡中,完成敏感文件安全交换与传输的发送。
敏感文件安全交换与传输的接收流程为:
D1、若敏感文件接收方安全智能终端当前处于普通系统软件运行状态时,则在人机界面上执行系统软件切换操作,将EEPROM中保存的镜像加载选择标志修改为0xF0,自动关机,重新开机后,切换到安全系统软件运行;
D2、由文件安全传输控制软件从SIM/NM/TF卡中接收关联的密态哈希标签防护文件的每个数据块,分别基于LDDR内存中暂存的密钥数据文件内的数据块保护密钥和哈希标签密钥,对数据块执行解密和哈希标签验证,若密态文件数据通过哈希标签验证,则去除该数据块的哈希标签,将其保存到安全存储分区内的临时文件中,拷贝输入结束形成两个独立的随机化分割密态文件;
D3、基于LDDR内存中暂存的密钥数据文件内的文件哈希密钥,对两个接收到的、关联的随机化分割密态文件数据进行文件哈希运算与一致性验证后,去掉文件末尾的32字节哈希值;
D4、从LDDR内存暂存的密钥数据文件内读出两个文件传输保护密钥,分别基于分组算法进行文件数据解密运算,获得两个独立的随机化分割文件;
D5、从LDDR内存暂存的安全控制文件中读出两个64MB长的文件传输随机数掩码,分别对它们进行逐字节的异或解密计算,获得两个随机化碎片文件;
D6、将这两个随机化碎片文件的数据内容进行逐字节的或合并运算,恢复出原来的明文态文件;
D7、提示用户输入文件存储密码;
B8、从LDDR内存暂存的密钥数据文件内读出文件存储密钥初值与文件存储密码串接,经哈希运算和分组加密运算后,按密钥长度截取形成文件存储保护密钥,对接收到的明文态敏感文件实施文件数据加密,将获得的密态敏感文件保存到安全存储分区内的文件系统中;
D9、基于安全填充的文件擦除机制,清除处理流程中安全存储分区内用于暂存明文态敏感文件产生的临时文件,完成敏感文件安全交换与传输的接收。
敏感文件安全导出的流程为:
E1、在配套的安全计算机执行的文件安全导入/导出控制软件界面上输入需要导出的文件的名称,安全计算机准备好基于STFTP协议从安全智能终端导出密态敏感文件;
E2、若安全智能终端处理普通软件运行状态,则在人机界面上执行系统软件切换操作,将EEPROM中保存的镜像加载选择标志修改为0xF0,自动关机,重新开启后,切换到安全系统软件运行;
E3、打开文件安全导入/导出控制软件的人机界面,选择安全存储分区文件系统中需要安全导出的密态敏感文件;
E4、提示用户输入文件存储密码;
E5、从LDDR内存中暂存的密钥数据文件中读取文件存储密钥初值,将文件存储密钥初值与人机界面输入的文件存储密码串接,经哈希运算和分组加密运算后,按密钥长度截取形成文件存储保护密钥,用于对需要安全导出的密态敏感文件执行文件解密运算,获得明文态敏感文件;
E6、在人机界面上提示用户输入文件拷贝密码;
E7、从LDDR内存中暂存的密钥数据文件中获取文件拷贝密钥初值与文件拷贝密码串接,经哈希运算和分组加密运算后,按密钥长度截取形成文件拷贝保护密钥;
E8、基于文件拷贝保护密钥对敏感文件明文实施文件加密,基于LDDR内存中暂存的密钥数据文件中获取文件哈希密钥,基于LDDR内存中暂存的密钥数据文件中获取文件哈希密钥,对加密后的文件密态数据执行哈希运算,将获得的哈希运算值附加在文件密态数据末尾,形成密态安全导出文件;
E9、将密态安全导出文件依次分割为480B数据块,从LDDR内存暂存的密钥数据文件内读出哈希标签密钥执行哈希计算,为数据块打上32字节哈希标签,从LDDR内存暂存的密钥数据文件内读出的数据块保护密钥对这两个值域执行分组加密运算,由STFTP协议通过USB数据接口将每个密态数据快送到安全计算机;
E10、基于安全填充的文件擦除机制,清除处理流程中安全存储分区内用于暂存明文态敏感文件产生的临时文件,完成敏感文件的安全导出。
敏感文件安全导入的流程为:
F1、若安全智能终端处于普通软件运行状态,则在人机界面上执行系统软件切换操作,将EEPROM中保存的镜像加载选择标志修改为0xF0,软件系统重启切换到安全系统软件运行;
F2、在安全智能终端执行的文件安全导入控制软件的人机界面上,输入需要导入的密态敏感文件名称,安全智能终端启动STFTP协议,准备好从配套的安全计算机导入密态敏感文件;
F3、在配套的安全计算机执行的文件安全导入控制软件界面上,选择输入需要导入安全智能终端的密态敏感文件名称;
F4、安全智能终端执行的文件安全导入控制软件将STFTP协议接收到的每个数据块,以从LDDR内存中暂存的密钥数据文件内的数据块保护密钥进行解密运算,并以哈希标签密钥进行哈希验证后,形成一个密态安全导入文件;
F5、从LDDR内存中暂存的密钥数据文件中获取文件哈希密钥,针对密态安全导入文件执行文件哈希运算,验证输入文件的完整性;
F6、在人机界面上提示用户输入文件拷贝密码;
F7、从LDDR内存中暂存的密钥数据文件中获取文件拷贝密钥初值,将文件拷贝密钥初值与人机界面输入的文件拷贝密码串接,经哈希运算和分组加密运算后,按密钥长度截取形成文件拷贝保护密钥,对导入的密态安全导入文件执行文件数据解密运算,获得明文态的安全导入文件;
F8、提示用户输入文件存储密码;
F9、将从LDDR内存中暂存的密钥数据文件中获取的文件存储密钥初值与文件存储密码串接,经哈希运算和分组加密运算后,按密钥长度截取形成文件存储保护密钥,对安全导入的明文态敏感文件实施文件数据加密,将获得的密态敏感文件保存到安全存储分区文件系统中;
F10、基于安全填充的文件擦除机制,清除处理流程中安全存储分区内用于暂存明文态敏感文件产生的临时文件,完成敏感文件的安全导入。

Claims (8)

1.一种基于访问分区物理隔离的双系统安全智能终端架构,其特征在于,包括通过总线连接的CPU、LDDR、Nor FLASH和NAND FLASH,所述CPU还分别与EEPROM和分区访问控制逻辑连接,所述NAND FLASH包括普通存储分区和安全存储分区,所述普通存储分区包括普通系统软件代码镜像和普通系统存储空间,所述安全存储分区包括安全系统软件代码镜像和安全系统存储空间,所述分区访问控制逻辑分别与普通系统存储空间和安全系统存储空间连接,所述普通存储分区安装有普通系统软件,所述安全存储分区安装有安全系统软件;
所述普通系统软件与安全系统软件之间只能通过SIM/TF/NM扩展存储卡进行密态敏感文件的安全交换,并且基于数据块密态哈希标签安全机制的严格隔离来阻断网络攻击,基于随机分割加密机制保障安全智能终端之间通过移动互联网传输敏感文件的安全性;
所述敏感文件安全交换与传输的发送流程为:
C1、若敏感文件发送方安全智能终端当前处于普通系统软件运行状态时,则在人机界面上执行系统软件切换操作,将EEPROM中保存的镜像加载选择标志修改为0xF0,自动关机,重新开机后,切换到安全系统软件运行;
C2、在文件安全传输控制软件的人机界面上,选择安全存储分区文件系统中需要传输的密态敏感文件;
C3、提示用户输入文件存储密码;
C4、从LDDR动态内存中暂存的密钥数据文件中读取文件存储密钥初值,与人机界面输入的文件存储密码串接,执行哈希运算和分组加密运算后,按密钥长度截取形成文件存储保护密钥,用于对需要传输的密态敏感文件执行文件解密运算,获得明文态敏感文件;
C5、将当前的时间值字节串与LDDR内存暂存的安全控制文件中的时变随机数初值进行串接,经哈希运算后再重复复制串接,形成与文件等长的时变随机数;
C6、通过随机化分割机制将文件分割为两个随机化的碎片文件,基于LDDR内存暂存的安全控制文件内读取的两个64MB长的文件传输随机数掩码,对这两个随机化碎片文件进行逐字节的异或掩盖计算,若随机化碎片文件数据内容长度超过64MB,则重复使用文件传输随机数掩码进行异或掩盖运算,获得两个关联的随机化分割文件;
C7、基于从LDDR内存暂存的密钥数据文件内读取的两个文件传输保护密钥和文件哈希密钥,分别对这两个随机化分割文件数据进行分组加密运算与哈希值计算,将32字节哈希值附在随机化分割文件末尾,形成两个独立的随机化分割密态文件;
C8、基于从LDDR内暂存的密钥数据文件获得的哈希标签密钥,针对两个随机化分割密态文件的每个480B数据块执行哈希运算并嵌入哈希标签,基于从LDDR内暂存的密钥数据文件内读出的数据块保护密钥,针对每个数据块值域及其哈希标签值域执行分组加密运算,形成每个数据块都跟随了一个哈希标签并由分组加密保护的密态哈希标签防护文件,直接拷贝到SIM/TF/NM卡中;
C9、基于安全填充的文件擦除机制,清除处理流程中安全存储分区内用于暂存明文态敏感文件产生的临时文件;
C10、在人机界面上执行系统软件切换操作,将EEPROM中保存的镜像加载选择标志修改为0x0F,自动关机,重新开机后,切换到普通系统软件运行,从SIM/TF/NM卡中将关联的密态哈希标签防护文件拷贝到普通存储分区中;
C11、分别通过互联网电子邮件和即时通信手段,将关联的密态哈希标签防护文件向目的地安全智能终端发送,目的地安全智能终端在普通系统运行状态,接收关联的密态哈希标签防护文件,保存到普通存储分区中,拷贝到SIM/TF/NM卡中,完成敏感文件安全交换与传输的发送;
所述敏感文件安全交换与传输的接收流程为:
D1、若敏感文件接收方安全智能终端当前处于普通系统软件运行状态时,则在人机界面上执行系统软件切换操作,将EEPROM中保存的镜像加载选择标志修改为0xF0,自动关机,重新开机后,切换到安全系统软件运行;
D2、由文件安全传输控制软件从SIM/NM/TF卡中接收关联的密态哈希标签防护文件的每个数据块,分别基于LDDR内存中暂存的密钥数据文件内的数据块保护密钥和哈希标签密钥,对数据块值域及其哈希标签值域执行数据块分组解密和哈希标签验证,若密态文件数据通过哈希标签验证,则去除该数据块的哈希标签,将其保存到安全存储分区内的临时文件中,拷贝输入结束形成两个独立的随机化分割密态文件;
D3、基于LDDR内存中暂存的密钥数据文件内的文件哈希密钥,对两个接收到的、关联的随机化分割密态文件数据进行文件哈希运算与一致性验证后,去掉文件末尾的32字节哈希值;
D4、从LDDR内存暂存的密钥数据文件内读出两个文件传输保护密钥,分别基于分组算法进行文件数据解密运算,获得两个独立的随机化分割文件;
D5、从LDDR内存暂存的安全控制文件中读出两个64MB长的文件传输随机数掩码,分别对对应的随机化分割文件进行逐字节的异或解密计算,若随机化分割文件数据内容长度超过64MB,则重复使用文件传输随机数掩码进行异或解密运算,获得两个随机化碎片文件;
D6、将这两个随机化碎片文件的数据内容进行逐字节的或合并运算,恢复出原来的明文态文件;
D7、提示用户输入文件存储密码;
B8、从LDDR内存暂存的密钥数据文件内读出文件存储密钥初值与文件存储密码串接,经哈希运算和分组加密运算后,按密钥长度截取形成文件存储保护密钥,对接收到的明文态敏感文件实施文件数据加密,将获得的密态敏感文件保存到安全存储分区内的文件系统中;
D9、基于安全填充的文件擦除机制,清除处理流程中安全存储分区内用于暂存明文态敏感文件产生的临时文件,完成敏感文件安全交换与传输的接收。
2.根据权利要求1所述的基于访问分区物理隔离的双系统安全智能终端架构,其特征在于,所述普通系统软件代码镜像和安全系统软件代码镜像的开机加载处理流程为:
A1、在CPU上电复位后,直接执行Nor FLASH中的BootLoader程序,完成中断向量表和堆栈指针的设置、硬件初始化、片外LDDR控制寄存器的设置和MMU寄存器设置;
A2、将LDDR整个内存清零;
A3、通过BootLoader程序读取EEPROM保存的镜像加载选择标志,若镜像加载选择标志为0x0F,则将NAND FLASH普通存储分区中保存的普通系统软件代码镜像加载到LDDR中执行,首先出现CE1信号,若镜像加载选择标志为0xF0,则将NAND FLASH安全存储分区中保存的安全系统软件代码镜像加载到LDDR中执行,首先出现CE2信号;
A4、根据首次出现的CE1/CE2信号,分区访问控制逻辑连接实施对CE1/CE2信号的阻断控制,若首次出现的为CE1信号,则放行CE1信号,阻断CE2信号,启动普通系统软件,若首次出现为CE2信号,则放行CE2信号,阻断CE1信号,启动安全系统软件。
3.根据权利要求1所述的基于访问分区物理隔离的双系统安全智能终端架构,其特征在于,所述安全系统软件的初始化流程为:
B1、分配一块LDDR动态内存,将安全存储分区文件系统隐藏的安全控制文件加载到该LDDR动态内存暂存备用;
B2、分配一块LDDR动态内存,将安全存储分区文件系统隐藏的密钥数据文件加载到该LDDR动态内存暂存备用;
B3、输入人机界面密码,与安全控制文件内保存的人机界面密码进行比较,若不一致,则重新输入人机界面密码,否则进入安全系统软件的安全管理人机界面,若连续5次输入的人机界面密码都不一致,则关机重启后才能再次获得输入人机界面密码的机会;
B4、执行密钥数据文件白盒密码软件,在安全管理人机界面上,提示用户输入密钥文件保护密码;
B5、若用户输入的密钥文件保护密码正确,则白盒密码软件继续以隐含的密钥文件保护密钥,对LDDR内存中暂存的密钥数据文件进行解密计算,完成安全系统软件中涉及敏感文件的工作密钥初始化。
4.根据权利要求1所述的基于访问分区物理隔离的双系统安全智能终端架构,其特征在于,所述普通系统软件包括系统切换控制软件、终端安全防护软件、文档处理软件、各种互联网应用软件、TCP/IP协议栈、移动通信链路协议栈、无线通信接口驱动程序和操作系统与文件系统。
5.根据权利要求1所述的基于访问分区物理隔离的双系统安全智能终端架构,其特征在于,所述安全系统软件包括终端安全防护软件、文档处理软件、系统切换控制软件、文件安全导入/导出控制、文件安全传输控制、文件安全存储控制、文件加/解密、语音数据加/解密、IP+UDP+RTP协议栈、移动通信链路协议栈、移动通信接入驱动程序和操作系统及文件系统。
6.根据权利要求1所述的基于访问分区物理隔离的双系统安全智能终端架构,其特征在于,所述安全智能终端架构通过USB数据线与配套的安全计算机连接,基于STFTP协议,实现密态敏感文件的安全导入/导出控制。
7.根据权利要求1所述的基于访问分区物理隔离的双系统安全智能终端架构,其特征在于,敏感文件安全导出的流程为:
E1、在配套的安全计算机执行的文件安全导入/导出控制软件界面上输入需要导出的文件的名称,安全计算机准备好基于STFTP协议从安全智能终端导出密态敏感文件;
E2、若安全智能终端处理普通软件运行状态,则在人机界面上执行系统软件切换操作,将EEPROM中保存的镜像加载选择标志修改为0xF0,自动关机,重新开启后,切换到安全系统软件运行;
E3、打开文件安全导入/导出控制软件的人机界面,选择安全存储分区文件系统中需要安全导出的密态敏感文件;
E4、提示用户输入文件存储密码;
E5、从LDDR内存中暂存的密钥数据文件中读取文件存储密钥初值,将文件存储密钥初值与人机界面输入的文件存储密码串接,经哈希运算和分组加密运算后,按密钥长度截取形成文件存储保护密钥,用于对需要安全导出的密态敏感文件执行文件解密运算,获得明文态敏感文件;
E6、在人机界面上提示用户输入文件拷贝密码;
E7、从LDDR内存中暂存的密钥数据文件中获取文件拷贝密钥初值与文件拷贝密码串接,经哈希运算和分组加密运算后,按密钥长度截取形成文件拷贝保护密钥;
E8、基于文件拷贝保护密钥对敏感文件明文实施文件加密,基于LDDR内存中暂存的密钥数据文件中获取文件哈希密钥,对加密后的文件密态数据执行哈希运算,将获得的哈希运算值附加在文件密态数据末尾,形成密态安全导出文件;
E9、将密态安全导出文件依次分割为480B数据块,从LDDR内存暂存的密钥数据文件内读出哈希标签密钥执行哈希计算,为数据块打上32字节哈希标签,从LDDR内存暂存的密钥数据文件内读出的数据块保护密钥对这两个值域执行分组加密运算,由STFTP协议通过USB数据接口将每个密态数据快送到安全计算机;
E10、基于安全填充的文件擦除机制,清除处理流程中安全存储分区内用于暂存明文态敏感文件产生的临时文件,完成敏感文件的安全导出;
所述敏感文件安全导入的流程为:
F1、若安全智能终端处于普通软件运行状态,则在人机界面上执行系统软件切换操作,将EEPROM中保存的镜像加载选择标志修改为0xF0,软件系统重启切换到安全系统软件运行;
F2、在安全智能终端执行的文件安全导入控制软件的人机界面上,输入需要导入的密态敏感文件名称,安全智能终端启动STFTP协议,准备好从配套的安全计算机导入密态敏感文件;
F3、在配套的安全计算机执行的文件安全导入控制软件界面上,选择输入需要导入安全智能终端的密态敏感文件名称;
F4、安全智能终端执行的文件安全导入控制软件将STFTP协议接收到的每个数据块,以从LDDR内存中暂存的密钥数据文件内的数据块保护密钥进行解密运算,并以哈希标签密钥进行哈希验证后,形成一个密态安全导入文件;
F5、从LDDR内存中暂存的密钥数据文件中获取文件哈希密钥,针对密态安全导入文件执行文件哈希运算,验证输入文件的完整性;
F6、在人机界面上提示用户输入文件拷贝密码;
F7、从LDDR内存中暂存的密钥数据文件中获取文件拷贝密钥初值,将文件拷贝密钥初值与人机界面输入的文件拷贝密码串接,经哈希运算和分组加密运算后,按密钥长度截取形成文件拷贝保护密钥,对导入的密态安全导入文件执行文件数据解密运算,获得明文态的安全导入文件;
F8、提示用户输入文件存储密码;
F9、将从LDDR内存中暂存的密钥数据文件中获取的文件存储密钥初值与文件存储密码串接,经哈希运算和分组加密运算后,按密钥长度截取形成文件存储保护密钥,对安全导入的明文态敏感文件实施文件数据加密,将获得的密态敏感文件保存到安全存储分区文件系统中;
F10、基于安全填充的文件擦除机制,清除处理流程中安全存储分区内用于暂存明文态敏感文件产生的临时文件,完成敏感文件的安全导入。
8.根据权利要求1所述的基于访问分区物理隔离的双系统安全智能终端架构,其特征在于,所述安全智能终端架构基于白盒密码机制保护安全系统存储空间文件系统中的密钥数据文件的安全性,将保护密钥数据文件的密钥文件保护密钥隐藏在白盒密码软件内自带的多个映射表中。
CN202010810140.0A 2020-08-13 2020-08-13 一种基于访问分区物理隔离的双系统安全智能终端架构 Active CN112069535B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010810140.0A CN112069535B (zh) 2020-08-13 2020-08-13 一种基于访问分区物理隔离的双系统安全智能终端架构

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010810140.0A CN112069535B (zh) 2020-08-13 2020-08-13 一种基于访问分区物理隔离的双系统安全智能终端架构

Publications (2)

Publication Number Publication Date
CN112069535A CN112069535A (zh) 2020-12-11
CN112069535B true CN112069535B (zh) 2023-01-31

Family

ID=73661526

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010810140.0A Active CN112069535B (zh) 2020-08-13 2020-08-13 一种基于访问分区物理隔离的双系统安全智能终端架构

Country Status (1)

Country Link
CN (1) CN112069535B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112948086B (zh) * 2021-03-04 2023-11-03 浙江中控研究院有限公司 一种可信plc控制系统
CN115718926B (zh) * 2022-11-29 2023-06-20 嘉兴嘉赛信息技术有限公司 一种动态分配的双系统隔离文件系统的方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6002866A (en) * 1995-09-01 1999-12-14 Sun Microsystems, Inc. Partitioning within a partition in a disk file storage system
CN103914662A (zh) * 2013-09-17 2014-07-09 亚欧宝龙信息安全技术(湖南)有限公司 一种基于分区的文件加密系统的访问控制方法和装置
CN107766724A (zh) * 2017-10-17 2018-03-06 华北电力大学 一种可信计算机平台软件栈功能架构的构建方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030172280A1 (en) * 1998-12-04 2003-09-11 Scheidt Edward M. Access control and authorization system
CN101095116A (zh) * 2004-11-05 2007-12-26 数据机器人技术公司 允许各种规模存储装置的动态可扩展和可收缩的容错存储系统和方法
CN101241456B (zh) * 2008-02-28 2011-07-06 成都市华为赛门铁克科技有限公司 一种数据保护方法和装置
CN102110196B (zh) * 2009-12-25 2015-04-29 中国长城计算机深圳股份有限公司 并行运行多用户操作系统间的数据安全传输方法及系统
CN102004656A (zh) * 2010-12-11 2011-04-06 九江中弘电子科技有限公司 一种汽车集成信息液晶显示及控制平台的冗余备份及安全升级技术
US9669966B2 (en) * 2012-11-08 2017-06-06 E. & J. Gallo Winery Method and apparatus for wine bottle packaging and display
CN103473132A (zh) * 2013-09-17 2013-12-25 姚彦林 一种使用双存储芯片实现智能设备的双系统启动的方法
CN104317727B (zh) * 2014-09-30 2017-09-08 宇龙计算机通信科技(深圳)有限公司 移动终端及数据分区的处理方法
US9489534B2 (en) * 2014-10-23 2016-11-08 Northrop Grumman Systems Corporation Multi-level security system for enabling secure file sharing across multiple security levels and method thereof
CN104318176B (zh) * 2014-10-28 2021-01-15 东莞宇龙通信科技有限公司 用于终端的数据管理方法、数据管理装置和终端
CN104463033B (zh) * 2014-12-29 2018-04-10 宇龙计算机通信科技(深圳)有限公司 存储区域设置方法、存储区域设置装置与终端
CN106982186A (zh) * 2016-01-16 2017-07-25 周念东 一种联机安全密钥保护方法和系统
CN108595982B (zh) * 2018-03-19 2021-09-10 中国电子科技集团公司第三十研究所 一种基于多容器分离处理的安全计算架构方法及装置
CN110022204B (zh) * 2019-03-20 2022-03-18 中国电子科技集团公司第三十研究所 基于内容真随机化分割增强文件保密通信安全性的方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6002866A (en) * 1995-09-01 1999-12-14 Sun Microsystems, Inc. Partitioning within a partition in a disk file storage system
CN103914662A (zh) * 2013-09-17 2014-07-09 亚欧宝龙信息安全技术(湖南)有限公司 一种基于分区的文件加密系统的访问控制方法和装置
CN107766724A (zh) * 2017-10-17 2018-03-06 华北电力大学 一种可信计算机平台软件栈功能架构的构建方法

Also Published As

Publication number Publication date
CN112069535A (zh) 2020-12-11

Similar Documents

Publication Publication Date Title
EP3387813B1 (en) Mobile device having trusted execution environment
CN107735793B (zh) 将受信任输入会话绑定到受信任输出会话
CN110492990B (zh) 区块链场景下的私钥管理方法、装置及系统
CN100487715C (zh) 一种数据安全存储系统和装置及方法
US20080189554A1 (en) Method and system for securing communication between a host computer and a secure portable device
EP2095288B1 (en) Method for the secure storing of program state data in an electronic device
US7457960B2 (en) Programmable processor supporting secure mode
CN101072097B (zh) 用于受信数据处理的方法和系统
CN101682628A (zh) 安全通信
CN112073380B (zh) 一种基于双处理器kvm切换与密码隔离的安全计算机系统
CN113346997B (zh) 用于物联网设备通信的方法及装置、物联网设备、服务器
US20100077472A1 (en) Secure Communication Interface for Secure Multi-Processor System
CN112069555B (zh) 一种基于双硬盘冷切换运行的安全计算机架构
CN112069535B (zh) 一种基于访问分区物理隔离的双系统安全智能终端架构
CN112787813A (zh) 一种基于可信执行环境的身份认证方法
CN111181944B (zh) 通信系统及信息发布方法、装置、介质、设备
CN114629633B (zh) 密钥块增强封装
CN112087294B (zh) 一种基于密态哈希标签防护的便携式安全计算机系统
CN111651740B (zh) 一种面向分布式智能嵌入式系统的可信平台共享系统
CN109872136B (zh) 隔离数字钱包的升级方法、系统、冷钱包、热钱包
CN109660341B (zh) 一种在应用通信中保护数据安全的实现方法及系统
CN115412244B (zh) 一种加密固件在线更新方法、系统及设备
EP4113341A1 (en) Encryption scheme for providing software updates to an update agent
CN114047947B (zh) 一种双fpga架构电路板卡程序版本控制方法
CN118350064A (zh) 一种数据存储方法、系统、装置及智能卡

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant