CN112069555A - 一种基于双硬盘冷切换运行的安全计算机架构 - Google Patents
一种基于双硬盘冷切换运行的安全计算机架构 Download PDFInfo
- Publication number
- CN112069555A CN112069555A CN202010810290.1A CN202010810290A CN112069555A CN 112069555 A CN112069555 A CN 112069555A CN 202010810290 A CN202010810290 A CN 202010810290A CN 112069555 A CN112069555 A CN 112069555A
- Authority
- CN
- China
- Prior art keywords
- file
- hard disk
- hash
- usbkey
- safe
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2053—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where persistent mass storage functionality or persistent mass storage control functionality is redundant
Abstract
本发明提供了一种基于双硬盘冷切换运行的安全计算机架构,这种安全计算机基于双硬盘冷切换机制实现普通硬盘软件系统和安全硬盘软件系统两个运行环境的安全隔离,采用数据块密态哈希标签防护机制实现两个系统之间的密态文件的安全交换,采用文件随机分割加密确保敏感文件在互联网中的安全传输,USB HID接口实施严格的单一设备功能的限制以防御来自USB接口的攻击。能够实现一种可以接入互联网应用的安全计算机,其双系统运行环境隔离机制能够保障敏感文件的存储安全、处理安全、拷贝安全,其基于文件加密与数据块密态哈希标签机制能够保障敏感文件在互联网中的传输安全。
Description
技术领域
本发明涉及网络安全传输技术领域,尤其涉及一种基于双硬盘冷切换运行的安全计算机架构及方法。
背景技术
在现有的计算机架构内,敌手利用互联网协议、文件传输与拷贝、USB接口中任何一个环节存在的安全漏洞都可能侵入计算机系统,窃取重要的敏感信息。各种未知的网络安全威胁层出不穷、网络安全事件频发的形势,迫使处理敏感信息的计算机都绝对不允许接入公共互联网,敏感文件的传递受到了很大的限制,要么必须依赖于VPN加密机的保护,要么由可靠人员携带传递或以机要途径传递,不能充分利用本来随处可用的公共互联网带来的数据通信便利,客观上形成了以低效率工作为代价来保障敏感文件安全的现状。
因此迫切需要设计新型的安全计算架构,它既能够为敏感文件的处理与存储提供一个与互联网严格安全隔离、安全完全受控的运行环境,而且也能够基于互联网的通信便利来实现密态敏感文件的安全传输。
发明内容
针对现有技术存在的问题,提供了既能够为涉及敏感文件的所有处理环节提供一个安全的运算环境,同时也能够抵御各种可能的恶意攻击的安全计算机架构。
本发明采用的技术方案如下:一种基于双硬盘冷切换运行的安全计算机架构方法,计算机基于双硬盘冷切换机制实现普通硬盘软件系统和安全硬盘软件系统两个运行环境的安全隔离,普通硬盘软件系统能够任意访问公共互联网,使得计算机之间能够以电子邮件或即时通信的方式相互传送密态文件;安全硬盘软件系统运算环境裁减了网络接口驱动、TCP/IP协议栈及其上层的所有互联网应用协议功能,采用数据块密态哈希标签防护机制实现两个系统之间的密态文件的安全交换,采用文件随机分割加密确保敏感文件在互联网中的安全传输,USB HID接口实施严格的单一设备功能的限制以防御来自USB接口的攻击。
进一步的,双硬盘冷切换机制通过电磁阻断开关实现,当电磁阻断开关上电时,通过线圈产生的电磁力吸入金属插销开关,以此阻止硬盘电源供电连接开关的人工转动切换;当电磁阻断开关断电后,线圈失去电磁吸引力,金属插销脱开,可人工转动切换硬盘的电源供电连接开关;
当硬盘电源连接开关冷切换到A位置时,只给普通硬盘供电,安全硬盘不可访问,上电时启动普通硬盘中的普通硬盘软件系统搭建普通运算环境;当硬盘电源连接开关冷切换到B位置时,只给安全硬盘供电,普通硬盘不可访问,上电时启动安全硬盘中的安全硬盘软件系统搭建安全运算环境。
进一步的,所述密态哈希标签防护机制工作在安全硬盘与普通硬盘之间,基于USB存储器实现安全的文件交换,在经由USB储器进行密态文件的安全交换过程中,通过密态哈希标签防护机制为每个数据块嵌入哈希标签,以哈希标签验证阻断来源于公共互联网的网络攻击,在拷贝输出敏感文件时,实施基于密态哈希标签的嵌入保护;在拷贝输入敏感文件时,通过密态哈希标签验证严格阻断威胁数据块进入安全硬盘,密态哈希标签防护机制使得安全计算机的普通硬盘与安全硬盘之间能够基于USB存储器实现安全的文件交换,是安全硬盘软件系统阻断互联网攻击入侵的核心安全机制。
数据块密态哈希标签发送嵌入与接收验证过滤机制与分组加密防护机制密切配合,实现了两个硬盘软件系统之间安全性极高的隔离功能,使得任何网络攻击都无法通过USB存储器渗透到安全计算机中,因此能够防御对安全运行环境的任何网络攻击。数据块密态哈希标签嵌入机制也能够防止出现明文数据传输的现象。
进一步的,在安全硬盘软件系统中,增加若干安全控制机制,安全硬盘软件系统不允许USB HID接口接入复合功能的USB设备,只允许具备单一功能的USB设备接口接入,具体包括:
对USB HID接口接收的HID报表数据执行严格的过滤控制,当键鼠USB设备经过枚举进入正常工作状态后,不允许产生批量输出/输入的事务;
禁止键盘、鼠标USB设备同时具备USB存储设备的功能,若键鼠USB的配置描述符内含的端点描述符中出现了USB存储设备的描述符,则禁止其接入;
禁止USB存储设备具备键盘、鼠标的功能,若USB存储设备的配置描述符内含的端点描述符中出现键鼠设备的描述符,则禁止其接入;
禁止键盘输入的报表数据长度超过8个字节,禁止鼠标输入的报表数据长度超过4个字节,禁止键鼠USB接口输出帧的字节长度超过规定的字节数,其中,IN帧内容为3字节,ACK帧内容为1字节。
通过增加这四种HID安全控制策略,将阻断恶意USB键盘、鼠标设备以及恶意USB设备接入对安全硬盘软件系统的恶意代码注入攻击与敏感数据泄露攻击。
进一步的,还包括密态文件在移动互联网上传输的安全机制:
计算机联合采取了文件随机化分割与随机化掩盖、两个随机化分割文件基于不同的文件传输保护密钥分别实施数据加密的传输保护机制,还采取了文件密态数据块哈希标签嵌入与分组加密保护,为经由互联网传输的敏感文件提供了五重密钥空间的加密保护;随机化分割加密保护的两个关联的密态文件在公共互联网上分别采取电子邮件和即时通信两种不同的通信方式传输。
进一步的,所述密态文件在移动互联网上具体传输过程为:
发送过程:
传输明文态敏感文件之前,由密码算法运算软件将计算机当前的时间值字节串与安全硬盘中预存的随机数块进行串接,经哈希运算后再重复复制串接,形成与文件等长的时变随机数;基于时变随机数执行随机化分割机制,将明文文件分割为两个随机化的与原文件等长的碎片文件;再基于USBkey中加密存储的两个1GB长的随机数掩码文件数据对这两个随机化碎片文件进行逐字节的异或掩码计算,(若随机化碎片文件数据内容长度超过1GB,则重复使用随机数掩码进行异或掩盖),获得两个随机化分割文件;再以USBKey内加密存储的两个文件传输保护密钥和文件哈希密钥分别对这两个随机化分割文件数据进行分组加密运算与哈希值运算,将32字节哈希值附加在随机化分割文件末尾,最后由形成两个独立的随机化分割密态传输文件,经由USB存储器拷贝交换到普通硬盘,再经由互联网电子邮件或即时通信手段传输到目的地安全计算机,通过USB存储器交换保存到其安全硬盘中;
接收过程:
当目的地安全计算机接收到这两个随机化分割密态传输文件后,由其安全运行环境中执行的文件安全传输控制软件对这两个随机化分割传输文件数据进行哈希运算与一致性验证后,去掉文件末尾的32字节哈希值,以USBKey内加密存储的两个文件传输保护密钥分别基于分组算法进行文件数据解密运算,获得两个关联的随机化分割文件,再以其USBkey中加密存储的两个1GB长的随机数掩码文件数据分别对它们进行逐字节的“异或”解密计算(若随机化分割文件数据内容长度超过1GB,则重复使用随机数掩码文件数据进行“异或”解密),获得两个关联的随机化碎片文件;最后将这两个关联的随机化碎片文件的数据内容进行逐字节的“或”合并运算,恢复出原来的明文态文件,并以当前产生的文件存储保护密钥对解密获得的整个明文文件进行加密,再保存到本地硬盘中。
进一步的,还包括基于密态哈希标签防护的文件拷贝安全机制:
当需要通过安全USB接口拷贝输出敏感文件时,首先基于文件拷贝密钥初值与用户在人机界面输入的安全拷贝密码串接后的哈希运算值形成文件拷贝保护密钥,对敏感文件明文实施文件加密,基于文件哈希密钥对加密后的文件密态数据执行哈希运算,将获得的哈希运算值附加在文件密态数据末尾,形成密态拷贝敏感文件;然后将密态拷贝敏感文件的每个数据块嵌入哈希标签,并基于数据块保护密钥针对每个数据块值域及其哈希标签值域执行分组加密运算,形成密态拷贝输出文件,通过安全USB接口输出到安全USB存储器,形成每个数据块都包含有密态哈希标签的密态拷贝文件;
当需要将安全USB存储器中存储的密态拷贝文件通过安全USB接口拷贝到安全计算机时,基于拷贝数据块保护密钥,对拷贝输入的每个密态数据块载荷值域及其哈希标签值域实施分组解密运算,并基于哈希标签密钥进行哈希标签验证运算,过滤掉未通过哈希验证的拷贝数据块,经过了分组解密的每个密态数据块载荷数据形成密态拷贝输入文件;基于文件哈希密钥和哈希算法对密态拷贝输入文件的密文内容进行文件完整性验证,丢弃未通过文件完整性验证的密态拷贝输入文件;最后以文件拷贝密钥初值与人机界面输入的文件拷贝密码串接后的哈希运算值形成文件拷贝保护密钥,对密态拷贝输入文件实施文件解密,获得敏感文件明文;
其中,用户记忆的安全拷贝密码作为产生文件拷贝保护密钥的一个要素,只有输入正确的密码才能形成正确的文件拷贝保护密钥,为安全计算机之间通过USB拷贝安全交换敏感文件增加一层防失窃破译的安全保护机制。
进一步的,还包括文件加密存储机制:在安全运行环境中,将安全USBKey中保存的文件存储密钥初值与用户在安全计算机的人机界面上输入的安全存储密码串接后,通过哈希运算获得文件存储保护密钥,用于实施文件存储加密;即将用户记忆的安全存储密码作为形成文件存储保护密钥的一个要素,使得每个安全计算机都具有不同的体现用户个体特征的文件存储保护密钥,为安全计算机增加一层防失窃破译的安全保护机制。
进一步的,当用户需要打开一个加密存储的敏感文件时,在安全硬盘软件系统中,将安全USBKey中保存的文件存储密钥初值与用户输入的安全存储密码串接后,通过哈希运算值获得文件存储保护密钥,以文件存储保护密钥对该文件进行解密获得明文态的敏感文件,然后启动文档编辑处理软件,打开明文态的敏感文件,用户进行阅读、编辑工作;
当用户要关闭其正在处理的明文态敏感文件时,基于文件存储保护密钥对其实施文件加密,并以密态模式存储该敏感文件,最后在处理完成后,以随机数反复填充的安全处理机制,彻底粉碎擦除明文文件在硬盘中产生的临时文件数据的痕迹。
进一步的,还包括USBKey相互认证的安全接入机制,计算机与USBKey之间执行相互认证的安全接入控制,具体如下:
安全硬盘软件系统基于其加密预存的USBKey认证密钥、USBKey公钥和密码算法运算软件实现的非对称密码算法,执行一种密码认证协议,对所接入的USBKey进行安全接入认证,只允许通过认证的USBKey正常接入安全计算机,只有在USBKey通过了安全接入认证的前提下,安全硬盘软件系统才可以执行与敏感文件相关的任何操作;
USBKey中执行的认证软件也执行相同的密码认证协议,基于加密预存的认证密钥,对所接入的软件运行环境进行安全接入认证。
进一步的,还包括USBKey密钥数据加密存储的安全机制:
USBKey中存储的所有密钥数据,都必须由USBKey数据保护密钥实施加密保护;从USBKey中读出的密钥数据必须由USBKey数据保护密钥进行解密运算后,才可以用于加/解密运算;
USBKey首次接入安全计算机时,需要读出USBKey内的密钥数据文件,经USBKey数据保护密钥加密后重新写入USBKey。
USBKey数据保护密钥保存在安全硬盘的某个隐藏文件内,用于与用户输入的人机界面口令串接后经哈希运算共同产生USBKey数据保护密钥。
进一步的,还包括安全硬盘软件系统升级的安全机制:
计算机基于严格的软件升级安全机制,由与公共互联网物理隔离的专用安全服务器产生安全硬盘软件系统升级版本;安全服务器基于文件随机化分割、掩码“异或”掩盖保护以及文件加密机制,为软件升级文件的提供机密性保护,通过哈希运算提供软件升级文件的完整性保护,通过服务器的私钥签名提供软件升级文件真实性的密码验证;并且在传输之前,还需要在升级文件的每个密态数据块后依次嵌入哈希标签并对它们实施分组加密保护;专用安全服务器将受到密码保护的升级软件刻录到光盘中,拷贝到连接互联网的安全计算机软件升级官网服务器上,链接到其网页界面上。
当安全计算机需要升级安全硬盘系统软件时,通过访问官网服务器,直接下载新版本的升级软件到其普通硬盘中,再通过USB存储器的拷贝交换到安全硬盘中。
本发明提供的一种基于双硬盘冷切换运行的安全计算机架构,包括:
计算机主板、通过硬盘数据总线与计算机主板连接的普通硬盘和安全硬盘;
普通硬盘中安装普通硬盘软件系统,提供一个连接公共互联网的普通运算环境,可以任意访问公共互联网,使得安全计算机之间能够以电子邮件或即时通信的方式相互传送密态文件;
安全硬盘中安装安全硬盘软件系统,提供一个安全运算环境,裁减了网络接口驱动、TCP/IP协议栈及其上层的所有互联网应用协议功能;
普通硬盘和安全硬盘通过电磁阻断开关进行电源供电,通过电磁阻断开关实现双硬盘软件的冷切换,普通硬盘和安全硬盘不能同时启动,只能通过冷切换启动其中的一个硬盘软件系统运行;
计算机主板上设有1个网络接口、1个HDMI显卡接口和至少4个USB接口,USB接口分别接入USBKey、USB鼠标、USB键盘以及安全USB存储器。
与现有技术相比,采用上述技术方案的有益效果为:本发明设计的这种新型的安全计算机架构,在双硬盘软件系统冷切换机制、文件传输数据块密态哈希标签防护机制、文件拷贝数据块密态哈希标签防护机制、文件随机化分割加密传输机制以及USB设备单一功能限制的严格保护控制下,共同为敏感文件的处理提供了基于密码防护严格隔离的高安全运行环境,既能够防御针对安全计算机的各种已知的和未知的安全威胁,也能够防止安全计算机明文敏感数据的泄露,可以在任何地点接入公共互联网使用。
采用这种安全计算机架构,既能使来自互联网的入侵攻击无法获取安全硬盘中保存的敏感文件,又能确保敏感文件处理的计算环境安全与存储安全,也能在公共互联网上实现敏感文件的密态安全传输,使得处理敏感文件的计算机可以安全地利用公共互联网提供的通信便利,可作为涉密通信的安全计算机使用。
附图说明
图1是本发明的基于双硬盘软件系统冷切换运行的安全计算机架构示意图。
图2是本发明采取的密态数据块封装格式示意图。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现说明本发明的具体实施方式。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明涉及以下几个专用术语:
双硬盘软件系统:计算机安装了两个硬盘,一个硬盘安装了支持互联网接入的通用软件系统,另一个硬盘安装了支持裁减掉网络驱动程序与互联网协议栈、仅支持安全应用的定制软件系统。
电磁阻断开关:实现硬盘电源连接开关的冷切换,即上电时通过电磁力吸入金属插销开关阻止硬盘电源供电连接开关的转动切换,断电后金属插销脱开才能转动切换硬盘电源供电连接开关。
密态哈希标签:以加密态拷贝传输/交换的文件数据块哈希标签,用于验证文件密态数据块的真实性与完整性,实现安全计算环境与公共互联网之间的严格隔离控制,防止通过USB存储器交换的文件数据块中隐藏的恶意攻击代码进入安全计算机,防止安全计算机将明文数据块传输互联网中。
密码算法运算软件:实现公钥算法、分组密码算法、哈希算法运算、时变随机数产生的多个软件函数。
人机界面密码:用于进入安全运算环境操作界面的口令,保存在安全计算机的某个隐藏文件内。
文件存储密码:用作敏感文件存储保护密钥的生成参数因子(用户记忆的口令),不保存到USBKey中。
文件拷贝密码:用作敏感文件拷贝保护密钥的生成参数因子(用户记忆的口令),不保存到USBKey中。
刻录保护密码:用于通过USB光驱接口刻录敏感文件的管控(用户记忆的口令),不保存到USBKey中。
安全USB存储器:用于暂时存储安全计算机之间需要拷贝交换的密态敏感文件,通过安全USB接口接入到安全计算机。通过文件安全拷贝控制机制执行文件数据块加密与哈希标签安全控制,实现敏感文件到安全USB存储器的安全拷贝输出,以及基于文件数据块解密与哈希验证的方式拷贝输入安全可信的文件。
USBKey:用于保存USBKey接入认证密钥、人机界面密码、文件传输保护密钥、文件哈希密钥、文件存储密钥初值、文件拷贝密钥初值、刻录密钥初值、数据块保护密钥、哈希标签密钥、两个包含1GB长度随机数的掩码文件。此外,还保存了用于验证所有安全计算机(包括软件升级服务器)身份的公钥、专用安全USB存储器的公钥以及本机专用USBKey的私钥。它通过USBKey接口接入到安全计算机,必须通过安全接入认证才可以继续进行密钥和密码的读取操作。
USBKey接入认证密钥:分别以加密态保存在USBKey和安全硬盘内的某个隐藏文件内,用于安全计算机与USBKey之间的相互认证。
USBKey数据保护密钥初值:保存在安全计算机的某个隐藏文件内,用于与用户输入的人机界面口令串接后经哈希运算共同产生USBKey数据保护密钥。
USBKey数据保护密钥:保存在安全计算机的某个隐藏文件内,,用于对USBKey内的密钥数据文件实施加密保护。USBKey首次接入安全计算机时,需要读出USBKey内的密钥数据文件,经USBKey数据保护密钥加密后重新写入USBKey。
文件存储密钥初值:用于与用户输入的文件存储密码串接后经哈希运算共同产生文件存储保护密钥。
文件存储保护密钥:用于安全计算机中的敏感文件实施存储加/解密的算法密钥,由文件存储密钥初值与文件存储密码串接后经哈希运算临时产生,不保存到USBKey中。
刻录密钥初值:用于与用户输入的刻录保护密码串接后经哈希运算共同产生刻录保护密钥。
刻录保护密钥:对通过外接光驱刻录输出的敏感文件实施加/解密的密钥,由刻录密钥初值与刻录保护密码串接后经哈希运算临时产生,不保存到USBKey中。
文件拷贝密钥初值:用于与用户输入的敏感文件拷贝密码串接与哈希运算共同产生文件拷贝保护密钥。
文件拷贝保护密钥:对通过安全USB接口输出的敏感文件实施拷贝加/解密的算法密钥,由文件拷贝密钥初值与敏感文件拷贝密码串接后经哈希运算临时产生,不保存到USBKey中。
文件传输保护密钥:用于对需要经过公共互联网传输的敏感文件实施传输加密保护,由USBKey保存,由文件存储保护密钥实施存储加密保护。USBKey中保存了两个文件传输保护密钥,分别用于两个随机化分割文件的传输加密保护。
数据块保护密钥:长度为32B,密态哈希标签防护和文件拷贝控制使用数据块保护密钥对每个密态数据块及其哈希值进行分组加/解密运算。
哈希标签密钥:长度为32B,用于计算安全拷贝传输的每个密态数据块的哈希标签,由USBKey保存,由文件存储保护密钥实施存储加密保护。
文件哈希密钥:长度为32B,用于计算安全拷贝传输的每个随机化传输密态文件的哈希值,由USBKey保存,由文件存储保护密钥实施存储加密保护。
时变随机数产生:密码算法运算软件将计算机当前的时间值字节串与硬盘中预存的随机数块进行串接,经哈希运算后再重复复制串接,产生与文件等长的时变随机数,用于传输文件的随机化分割。
数据随机化分割:基于时变随机数产生机制获得的与文件内容数据字节等长的随机数据字节,针对文件内容数据的第一个字节到最后一个字节,依次以随机数字节对初始的明文数据字节进行逐字节的“与”操作获得第一个明文随机化分割数据块。然后将全部随机数据字节值取反,再与初始的明文数据字节进行逐字节的“与”操作获得第二个明文随机化分割数据块。
文件随机化分割与合成:实现敏感文件的随机化分割、随机化掩盖以及合成的功能。在向USB存储器拷贝输出敏感文件之前,对整个敏感文件明文实施随机化分割形成两个随机化分割文件,并且采取相同长度的随机数掩码进行“异或”掩盖运算,获得两个关联的随机化密态文件;在从USB存储器拷贝输入两个关联的随机化密态文件之后,对它们实施与随机数掩码的“异或”运算以及文件数据合成的或运算,恢复出原来的敏感文件明文。
文件加/解密控制:由执行密码算法的软件模块,对一个文件的整个数据内容执行加/解密运算。
实施例1
本实施例提供了一种基于双硬盘软件系统冷切换运行的安全计算架构,具体如下:
基于双硬盘软件系统冷切换运行的安全计算机架构如图1所示,它由连接到同一个计算机主板上的普通硬盘软件系统和安全硬盘软件系统构成。这两套硬盘软件系统不能同时启动,只能通过冷切换启动其中的一个硬盘软件系统运行。普通硬盘软件系统提供普通计算环境,安全硬盘软件系统提供安全计算环境。
安全计算机基于两套硬盘软件系统冷切换运行的安全隔离机制、文件数据块哈希标签机制、文件随机分割加密传输以及USB接口单一功能限制四种安全机制,确保敏感文件的编辑、存储、传输以及拷贝操作的全生命周期安全。安全计算机的普通运算环境与安全运算环境之间只能通过USB存储器进行密态敏感文件的安全交换,并且基于数据块密态哈希标签安全机制的严格隔离来阻断网络攻击和防止敏感文件的数据泄露。
普通计算硬盘软件系统提供一个连接公共互联网的普通运算环境,可以任意访问公共互联网,使得安全计算机之间能够以电子邮件或即时通信的方式相互传送密态文件。
安全硬盘软件系统提供一个安全运算环境,裁减了网络接口驱动、TCP/IP协议栈及其上层的所有互联网应用协议功能,在运行环境冷切换隔离、文件随机化分割加密传输、数据块密态哈希标签嵌入与验证以及USB设备单一功能限制四种安全机制的严格隔离保护控制下,为实现敏感文件的安全处理、安全传输、密态存储以及安全拷贝提供了一个非常安全的运行环境,能够防止数据块内隐藏恶意代码的攻击威胁与敏感数据的泄露风险。所有安全计算机的安全硬盘软件系统能够基于公共互联网共同形成一个逻辑上互联的安全保密内网。
安全计算硬盘软件系统在执行USB设备的枚举过程中,对接入的USB设备实施单一功能的严格限制,禁止一个USB设备接口同时具备两种USB设备接入的复合功能。
本发明仅仅提出了一种安全计算机架构,不涉及计算机操作系统、文件系统、计算机硬件、分组密码算法、公钥算法、哈希算法、USBKey接入认证以及各个软件功能模块的具体实现,它们仅仅作为描述本发明提出的这种安全计算架构的技术基础。
1、安全计算机的主要安全功能
安全计算机基于双硬盘电源供电冷切换、随机化文件分割加密传输保护机制、USB接口设备单一功能的严格限制机制以及文件拷贝数据块密态哈希标签的安全隔离保护机制,为敏感文件的安全处理、文件传输加/解密处理、文件存储加/密处理以及文件安全拷贝处理提供了一个安全的运行环境。
安全硬盘软件系统不支持任何互联网协议与网络接口通信,在保留通用的操作系统、文件系统、文档处理件以及终端安全防护的基础软件功能之上,增加了定制的单一设备功能USB HID驱动控制、USB Key安全管理、密态哈希标签嵌入与验证、密码算法运算、文件加/解密、文件安全存储控制、文件安全拷贝控制以及文件安全传输控制的软件功能模块。
安全硬盘软件系统支持敏感文件加密拷贝、敏感文件基于随机化文件分割加密传输与接收解密合成、文件加密数据块密态哈希标签嵌入与去除、敏感文件的存储加密与读取解密、敏感文件的编辑处理应用功能。各个安全计算机与连接到公共互联网上的安全服务器共同形成一个实现保密通信的安全内网。
安全硬盘软件系统通过数据块密态哈希标签机制提供的隔离保护,与普通硬盘软件系统之间只能通过USB存储器实现密态文件交换。通过USB设备单一功能的严格限制和USB文件拷贝数据块密态哈希标签嵌入与验证,能够阻止通过USB接口的注入攻击,并且能够防御数据泄露风险。
USBKey只有通过了安全接入认证才可以与安全计算机运行的软件系统进行数据交互。安全计算机基于USBKey获取用户人机界面进入的密码、文件传输保护密钥、文件存储初始密钥。
安全硬盘软件系统只能通过安全软件升级机制从安全服务器下载和升级经过加密安全保护的升级版本。
安全硬盘软件系统运行的终端安全防护软件主要用于抗文档病毒与文档木马。
2、安全计算机的接口
安全计算机具有一个网络接口、一个HDMI显卡接口和若干个(至少4个)USB接口,USB接口分别接入USBKey、USB鼠标、USB键盘以及安全USB存储器。
实施例2
本实施例在实施例1的基础上:
本实施例提供了安全计算机架构实现的安全机制
安全计算机架构的设计目标是建立一个与公共互联网严格隔离、安全完全受控的运行环境,满足敏感文件的产生、传输、拷贝、存储以及编辑各个处理环节安全的应用需求。
为实现这个安全应用目标,本发明设计了一种基于双硬盘系统冷切换和密态哈希标签防护的安全计算机架,在安全计算环境与公共互联网环境之间实现严格的密码隔离。通过采取基于文件随机化分割加密的传输保护机制、基于数据块密态哈希标签的文件安全交换机制以及文件加密存储机制,能够在公共互联网环境中确保敏感文件的全生命周期安全。
1、双硬盘软件系统冷切换防止内存敏感数据泄露的安全机制
双硬盘冷切换通过电磁阻断开关实现。当电磁阻断开关上电时,通过线圈产生的电磁力吸入金属插销开关,以此阻止硬盘电源供电连接开关的人工转动切换。当电磁阻断开关断电后,线圈失去了电磁吸引力,金属插销脱开,就可以人工转动切换硬盘的电源供电连接开关。当硬盘电源连接开关冷切换到A位置时,只给普通硬盘供电,安全硬盘不可访问,上电时启动普通硬盘中安装的软件系统。当硬盘电源连接开关冷切换到B位置时,只给安全硬盘供电,普通硬盘不可访问,上电时启动安全硬盘中安装的软件系统。
通过双硬盘冷切换机制,能够防止安全硬盘软件系统运行时内存中的敏感数据泄露给普通硬盘软件系统。
2、基于密态哈希标签阻断文件传输网络攻击的安全机制
基于密态哈希标签的防御机制,使得安全计算机的普通硬盘与安全硬盘之间能够基于USB存储器实现安全的文件交换,是安全硬盘软件系统阻断互联网攻击入侵的核心安全机制。
在经由USB存储器进行密态文件的安全交换过程中,基于密态哈希标签防护机制为每个数据块嵌入哈希标签,以哈希标签验证阻断来源于公共互联网的网络攻击。在拷贝输出敏感文件时,实施基于密态哈希标签的嵌入保护;在拷贝输入敏感文件时,通过密态哈希标签验证严格阻断威胁数据块进入安全硬盘。
数据块密态哈希标签发送嵌入与接收验证过滤机制与分组加密防护机制密切配合,实现了两个硬盘软件系统之间安全性极高的隔离功能,使得任何网络攻击都无法通过USB存储器渗透到安全计算机中,因此能够防御对安全运行环境的任何网络攻击。数据块密态哈希标签嵌入机制也能够防止出现明文数据传输的现象。
3、防御USB设备HID接口攻击的安全机制
在安全硬盘的USB驱动软件系统中,增加了若干安全控制机制,安全硬盘软件系统不允许USB HID接口接入复合功能的USB设备。首先,对USB HID接口接收的HID报表数据执行严格的过滤控制,当键鼠USB设备经过枚举进入正常工作状态后,不允许产生批量输出/输入的事务,键盘输入的报表数据长度不允许超过8个字节,鼠标输入的报表数据长度不允许超过4个字节,键鼠USB接口输出帧的字节长度不允许超过规定的字节数(IN帧内容为3字节,ACK帧内容为1字节)。
然后,禁止通过拓展键鼠USB设备的端点存储功能使键鼠USB设备具备复合型USB设备的功能,即禁止键盘、鼠标USB设备同时具备USB存储设备的功能,若键鼠USB的配置描述符内含的端点描述符中出现了USB存储设备的描述符,则禁止其接入。最后,禁止USB存储设备具备键盘、鼠标的功能,若USB存储设备的配置描述符内含的端点描述符中出现了键鼠设备的描述符,则禁止其接入。通过增加这三种HID安全控制策略,将阻断恶意USB键盘、鼠标设备以及恶意USB设备接入对安全硬盘软件系统的恶意代码注入攻击与敏感数据泄露攻击。
4、密态文件在公共互联网上传输的安全机制
安全计算机联合采取了文件随机化分割与随机化掩盖、两个随机化分割文件基于不同的文件传输保护密钥分别实施数据加密的传输保护机制,并且还采取了文件密态数据块哈希标签嵌入与分组加密保护,因而为经由互联网传输的敏感文件提供了五重密钥空间的加密保护,由随机化分割加密保护的两个关联的密态文件在公共互联网上分别采取电子邮件和即时通信两种不同的通信方式传输,在多种安全传输防护机制的保护下,极大地增强了基于公共互联网传输密态敏感文件的安全性。
在安全运行环境中传输明文态敏感文件之前,由密码算法运算软件将计算机当前的时间值字节串与安全硬盘中预存的随机数块进行串接,经哈希运算后再重复复制串接,形成与文件等长的时变随机数。由文件安全传输控制软件执行随机化分割机制,将明文文件分割为两个随机化的与原文件等长的碎片文件(通过将时变随机数与原文件进行逐字节的“与”操作,获得一个随机化分割碎片文件;将时变随机数逐字节取反与原文件进行逐字节的“与”操作,获得另一个随机化分割碎片文件)。再基于USBkey中加密存储的两个1GB长的随机数掩码文件数据对这两个随机化碎片文件进行逐字节的异或掩码计算,若文件数据内容长度超过1GB,则重复进行异或掩盖,获得两个随机化分割文件。再以USBKey内加密存储的两个文件传输保护密钥和文件哈希密钥分别对这两个随机化分割文件数据进行分组加密运算与哈希值运算,将32字节哈希值附加在随机化分割文件末尾,最后由形成两个独立的随机化分割密态传输文件,经由USB存储器拷贝交换到普通硬盘,再经由互联网电子邮件或即时通信手段传输到目的地安全计算机,通过USB存储器交换保存到其安全硬盘中。
当目的地安全计算机接收到这两个随机化分割密态传输文件后,由其安全运行环境中执行的文件安全传输控制软件对这两个随机化分割传输文件数据进行哈希运算与一致性验证后,去掉文件末尾的32字节哈希值,以USBKey内加密存储的两个文件传输保护密钥分别基于分组算法进行文件数据解密运算,获得两个关联的随机化分割文件,再以其USBkey中加密存储的两个1GB长的随机数掩码文件数据分别对它们进行逐字节的“异或”解密计算,若随机化分割文件数据内容长度超过1GB,则重复使用随机数掩码文件数据进行“异或”解密,获得两个关联的随机化碎片文件。最后将这两个关联的随机化碎片文件的数据内容进行逐字节的“或”合并运算,恢复出原来的明文态文件,并以当前产生的文件存储保护密钥对解密获得的整个明文文件进行加密,再保存到本地硬盘中。
5、基于密态哈希标签防护的文件拷贝安全机制
在安全运行环境中,由文件安全拷贝控制软件模块执行文件加密保护机制与文件拷贝数据块密态哈希标签嵌入与验证机制,共同为敏感文件的安全拷贝提供安全保护。
当需要通过安全USB接口拷贝输出敏感文件时,文件安全拷贝控制软件首先基于文件拷贝密钥初值与用户在人机界面输入的安全拷贝密码串接后的哈希运算值形成文件拷贝保护密钥,对敏感文件明文实施文件加密,基于文件哈希密钥对加密后的文件密态数据执行哈希运算,将获得的哈希运算值附加在文件密态数据末尾,形成密态拷贝敏感文件。如图2所示,然后将密态拷贝敏感文件的每个480B密态文件数据块(文件尾部数据块按实际长度处理)嵌入哈希标签,并基于数据块保护密钥针对每个密态文件数据块值域及其哈希标签值域执行分组加密运算,形成密态拷贝输出文件,通过安全USB接口输出到安全USB存储器,形成每个密态数据块都包含有密态哈希标签的密态拷贝文件。
当需要将安全USB存储器中存储的密态拷贝文件通过安全USB接口拷贝到安全计算机时,文件安全拷贝控制软件基于拷贝数据块保护密钥,对拷贝输入的每个480B密态数据块载荷(末尾数据块按实际长度处理)值域及其哈希标签值域实施分组解密运算,并基于哈希标签密钥进行哈希标签验证运算,过滤掉未通过哈希验证的拷贝数据块。然后,经过了分组解密的每个密态数据块载荷数据形成密态拷贝输入文件。基于文件哈希密钥和哈希算法对密态拷贝输入文件的密文内容进行文件完整性验证,丢弃未通过文件完整性验证的密态拷贝输入文件。最后以文件拷贝密钥初值与人机界面输入的文件拷贝密码串接后的哈希运算值形成文件拷贝保护密钥,对密态拷贝输入文件实施文件解密,获得敏感文件明文。
将用户记忆密码作为产生文件拷贝保护密钥的一个要素,只有输入了正确的安全保护密码才能形成正确的文件拷贝保护密钥,为安全计算机之间通过USB拷贝安全交换敏感文件增加一层防失窃破译的安全保护机制。
6、文件加密存储机制
在安全运行环境中,文件安全存储控制软件将安全USBKey中保存的文件存储密钥初值与用户在安全计算机的人机界面上输入的安全存储密码串接后,通过哈希运算获得文件存储保护密钥,用于实施文件存储加密。即将用户记忆的安全存储密码作为形成文件存储保护密钥的一个要素,使得每个安全计算机都具有不同的体现用户个体特征的文件存储保护密钥,为安全计算机增加一层防失窃破译的安全保护机制。
当用户需要打开一个加密存储的敏感文件时,由文件安全存储控制软件将安全USBKey中保存的文件存储密钥初值与用户输入的安全存储密码串接后,通过哈希运算值获得文件存储保护密钥,以文件存储保护密钥对该文件进行解密获得明文态的敏感文件,然后启动文档编辑处理软件,打开明文态的敏感文件,用户进行阅读、编辑工作。
当用户要关闭其正在处理的明文态敏感文件时,由文件安全存储控制软件基于文件存储保护密钥对其实施文件加密,并以密态模式存储该敏感文件,最后在处理完成后,以随机数反复填充的安全处理机制,彻底粉碎擦除明文文件在硬盘中产生的临时文件数据的痕迹。
7、USBKey相互认证的安全接入机制
安全计算机与USBKey之间执行相互认证的安全接入控制。
安全硬盘软件系统基于其加密预存的USBKey认证密钥、USBKey公钥和密码算法运算软件实现的非对称密码算法,执行一种密码认证协议,对所接入的USBKey进行安全接入认证,只允许通过认证的USBKey正常接入安全计算机,只有在USBKey通过了安全接入认证的前提下,安全硬盘软件系统才可以执行与敏感文件相关的任何操作。
此外,USBKey中执行的认证软件也执行相同的密码认证协议,基于加密预存的认证密钥,对所接入的软件运行环境进行安全接入认证。
8、USBKey密钥数据加密存储的安全机制
USBKey中存储的所有密钥数据,都必须由USBKey数据保护密钥实施加密保护。从USBKey中读出的密钥数据必须由USBKey数据保护密钥进行解密运算后,才可以用于加/解密运算。
USBKey首次接入安全计算机时,需要读出USBKey内的密钥数据文件,经USBKey数据保护密钥加密后重新写入USBKey。
USBKey数据保护密钥保存在安全硬盘的某个隐藏文件内,用于与用户输入的人机界面口令串接后经哈希运算共同产生USBKey数据保护密钥。
这种安全机制能够防止USBKey丢失泄露安全计算机的所有数据保护密钥。
9、安全硬盘软件系统升级的安全机制
安全计算机基于严格的软件升级安全机制,由与公共互联网物理隔离的专用安全服务器产生安全硬盘软件系统升级版本。安全服务器基于文件随机化分割、掩码“异或”掩盖保护以及文件加密机制,为软件升级文件的提供机密性保护,通过哈希运算提供软件升级文件的完整性保护,通过服务器的私钥签名提供软件升级文件真实性的密码验证。并且在传输之前,还需要在升级文件的每个密态数据块后依次嵌入哈希标签并对它们实施分组加密保护。专用安全服务器将受到密码保护的升级软件刻录到光盘中,拷贝到连接互联网的安全计算机软件升级官网服务器上,链接到其网页界面上。
当安全计算机需要升级安全硬盘系统软件时,通过访问官网服务器,直接下载新版本的升级软件到其普通硬盘中,再通过USB存储器的拷贝交换到安全硬盘中。用户在安全硬盘软件系统的人机界面上,操作安全交换控制软件,首先去除嵌入的那些数据块哈希标签,并以USBKey内加密保存的传输保护密钥解密并通过文件值一致性哈希验证后,获得升级软件文件关联的两个随机化分割文件,最后再基于USBkey中加密存储的两个1GB长的随机数掩码文件数据,分别对这两个随机化碎片文件进行逐字节的“异或”解密运算,若随机化碎片文件数据内容长度超过1GB,则重复使用随机数掩码文件数据进行“异或”解密,恢复出两个随机化碎片文件,然后将这两个随机化碎片文件经过逐字节的“或”运算合成,恢复出明文形式的升级软件包,然后执行安全硬盘软件系统的升级安装过程。
实施例3
本实施例在实施例2的基础上:
本实施例提供了敏感文件拷贝控制处理工作流程,具体如下:
在安全运行环境中运行的文件安全拷贝控制软件执行安全硬盘与USB存储器之间的敏感文件拷贝控制过程。
1.1敏感文件拷贝输出处理工作流程
当需要通过安全USB接口拷贝输出一个敏感文件时,文件安全拷贝控制软件执行以下处理步骤(所有加/解密和哈希运算由文件加/解密软件模块调用密码算法运算软件函数完成):
第一步 若安全计算机处于普通硬盘软件运行状态,则将硬盘电源开关冷切换连接到安全硬盘,启动安全硬盘软件系统。
第二步 打开文件安全拷贝控制软件的人机界面,选择需要拷贝输出的密态敏感文件,首先提示用户输入文件存储密码,然后从USBKey中读取文件存储密钥初值的密态值,并以USBKey数据保护密钥进行解密。
第三步 将文件存储密钥初值与人机界面输入的文件存储密码串接,执行哈希运算形成文件存储保护密钥,用于对需要拷贝输出的密态敏感文件执行文件解密运算,获得明文态敏感文件。
第四步 在人机界面上提示用户输入安全拷贝密码,并从USBKey中获取文件拷贝密钥初值、文件哈希密钥、数据块保护密钥以及哈希标签密钥的密态值,并以USBKey数据保护密钥分别进行解密。
第五步 将文件拷贝密钥初值与安全拷贝密码串接,执行哈希运算形成文件拷贝保护密钥。
第六步 首先基于文件拷贝保护密钥,对敏感文件明文实施文件加密,然后基于文件哈希密钥对加密后的文件密态数据执行哈希运算,将获得的哈希运算值附加在文件密态数据末尾,形成密态拷贝输出文件。
第七步 首先基于从USBKey中读取并以USBKey数据保护密钥进行解密的哈希标签密钥,针对密态拷贝敏感文件的每个480B数据块(末尾数据块按实际长度处理)执行哈希运算并嵌入哈希标签,然后基于数据块保护密钥针对每个数据块值域及其哈希标签值域执行分组加密运算,形成每个数据块都跟随了一个哈希标签并由分组加密保护的密态拷贝文件,通过安全USB接口拷贝输出到安全USB存储器。
至此,就完成了文件拷贝输出的处理流程。
1.2敏感文件拷贝输入处理工作流程
当需要通过安全USB接口拷贝输入一个敏感文件时,由文件安全拷贝控制软件执行以下处理步骤(所有加/解密和哈希运算由文件加/解密软件模块调用密码算法运算软件函数完成):
第一步 若安全计算机处于普通硬盘软件运行状态,则将硬盘电源开关冷切换连接到安全硬盘,启动安全硬盘软件系统。
第二步 打开文件安全拷贝控制软件的人机界面,选择需要拷贝输入的密态拷贝文件;
第三步 从USBKey中获取文件哈希密钥、数据块保护密钥以及哈希标签密钥的密态值,并以USBKey数据保护密钥分别进行解密;
第四步 首先基于数据块保护密钥针对每个480B数据块(末尾数据块按实际长度处理)值域及其哈希标签值域执行分组解密运算,然后基于从USBKey中读取并以USBKey数据保护密钥进行解密的哈希标签密钥,针对拷贝输入的每个480B数据块(末尾数据块按实际长度处理)执行哈希值运算,并将运算结果与其跟随的哈希标签值进行一致性验证,若未通过哈希标签验证则丢弃该数据块,所有通过了哈希标签验证的、经过数据块分组解密的拷贝输入数据块形成一个密态拷贝输入文件;
第五步 在人机界面上提示用户输入文件拷贝密码,从USBKey中获取文件拷贝密钥初值的密态值,并以USBKey数据保护密钥进行解密。
第六步 将文件拷贝密钥初值与人机界面输入的文件拷贝密码串接,执行哈希运算形成文件拷贝保护密钥,首先基于文件哈希密钥验证输入文件的完整性,然后对拷贝输入的密态敏感文件执行文件数据解密运算,获得明文态的拷贝输入文件。
第七步 提示用户输入文件存储密码,从USBKey中获取文件存储密钥初值的密态值,并以USBKey数据保护密钥进行解密;
第八步 将文件存储密钥初值与文件存储密码串接,执行哈希运算形成文件存储保护密钥,对拷贝输入的明文态敏感文件实施文件数据加密,将获得的密态敏感文件保存到安全硬盘中。
至此,就完成了文件拷贝输入的处理流程。
实施例4
本实施例在实施例3的基础上:
本实施例提供了文件安全交换与传输处理工作流程,具体如下:
2.1文件安全交换与传输的发送处理流程
当安全计算机之间需要通过USB存储器交换并经由公共互联网发送一个敏感文件时,由文件安全传输控制软件执行以下处理步骤(所有加/解密和哈希运算由文件加/解密软件模块调用密码算法运算软件完成):
第一步 若敏感文件发送方安全计算机处于普通硬盘软件运行状态,则将硬盘电源开关冷切换连接到安全硬盘,启动安全硬盘软件系统。
第二步 打开文件安全传输控制软件的人机界面,选择需要传输的密态敏感文件,首先提示用户输入文件存储密码,然后从USBKey中读取文件存储密钥初值的密态值,并以USBKey数据保护密钥进行解密。
第三步 将文件存储密钥初值与人机界面输入的文件存储密码串接,执行哈希运算形成文件存储保护密钥,用于对需要传输的密态敏感文件执行文件解密运算,获得明文态敏感文件。
第四步 由密码算法运算软件将计算机当前的时间值字节串与硬盘中预存的随机数块进行串接,经哈希运算后再重复复制串接,形成与文件等长的随机数;
第五步 通过随机化分割机制将其分割为两个随机化的碎片文件,基于从USBkey内读取并以USBKey数据保护密钥解密获得两个1GB长的随机数掩码文件数据,对这两个随机化碎片文件进行逐字节的异或掩码计算,若文件数据内容长度超过1GB,则重复使用随机数掩码进行异或掩盖运算,获得两个关联的随机化分割文件。
第六步 基于从USBKey内读取并以USBKey数据保护密钥解密获得的两个文件传输保护密钥和文件哈希密钥,分别对这两个随机化分割文件数据进行分组加密运算与哈希值运算,将32字节哈希值附加在随机化分割文件末尾,最后由形成两个独立的随机化分割密态文件;
第七步 首先基于从USBKey中读取并以USBKey数据保护密钥解密获得的哈希标签密钥,针对随机化分割密态文件的每个480B数据块(末尾数据块按实际长度处理)执行哈希运算并嵌入哈希标签;然后基于从USBKey中读出并以USBKey数据保护密钥解密获得的数据块保护密钥,针对每个数据块值域及其哈希标签值域执行分组加密运算,形成每个数据块都跟随了一个哈希标签并由分组加密保护的密态哈希标签防护文件,通过安全USB接口拷贝发送到安全USB存储器。
第八步 若敏感文件接收方通过冷切换将硬盘电源切换连接到普通硬盘,启动普通硬盘软件系统,从USB存储器中将这两个关联的密态哈希标签防护文件拷贝接收到普通硬盘中;
第九步 分别通过互联网电子邮件和即时通信手段,将这两个关联的密态哈希标签防护文件传输到目的地安全计算机的普通硬盘中,再拷贝到USB存储器中。
2.2文件安全交换与传输的接收处理流程
当安全计算机之间需要通过USB存储器交换接收一个敏感文件时,由文件安全传输控制软件以下处理步骤(所有加/解密和哈希运算由文件加/解密软件模块调用密码算法运算软件完成):
第一步 若敏感文件接收方安全计算机处于普通硬盘软件运行状态,则将硬盘电源开关冷切换连接到安全硬盘,启动安全硬盘软件系统运行;
第二步 由USB文件安全拷贝控制软件从USB存储器中接收这两个关联的密态哈希标签防护文件的每个文件数据块,分别进行数据块的分组解密与哈希标签验证。若密态文件数据块通过哈希标签验证,则去该数据块的哈希标签,将其保存到安全硬盘中,拷贝输入结束将形成两个独立的随机化分割密态文件;
第三步 对这两个接收到的、关联的随机化分割密态文件数据进行文件哈希运算与一致性验证后,去掉文件末尾的32字节哈希值;
第四步 从USBKey内读出并以USBKey数据保护密钥进行解密的两个文件传输保护密钥,分别基于分组算法进行文件数据解密运算,获得两个独立的随机化分割文件;
第五步 基于从USBkey中读出并以USBKey数据保护密钥解密获得的两个1GB长的随机数掩码文件数据,分别对它们进行逐字节的“异或”解密计算,若随机化分割文件数据内容长度超过1GB,则重复使用随机数掩码文件数据进行“异或”解密,获得两个随机化碎片文件。
第六步 将这两个随机化碎片文件的数据内容进行逐字节的“或”合并运算,恢复出原来的明文态文件;
第七步 提示用户输入文件存储密码,从USBKey中获取文件存储密钥初值,并以USBKey数据保护密钥进行解密;
第八步 将文件存储密钥初值与文件存储密码串接,执行哈希运算形成文件存储保护密钥,对接收到的明文态敏感文件实施文件数据加密,将获得的密态敏感文件保存到安全硬盘中。
至此,就完成了文件安全传输交换的处理流程。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。如果本领域技术人员,在不脱离本发明的精神所做的非实质性改变或改进,都应该属于本发明权利要求保护的范围。
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
Claims (13)
1.一种基于双硬盘冷切换运行的安全计算机架构,其特征在于,安全计算机基于双硬盘冷切换机制实现普通硬盘软件系统和安全硬盘软件系统两个运行环境的安全隔离,普通硬盘软件系统能够任意访问公共互联网,使得安全计算机之间能够以电子邮件或即时通信的方式相互传送密态文件;安全硬盘软件系统运算环境裁减了网络接口驱动、TCP/IP协议栈及其上层的所有互联网应用协议功能,采用数据块密态哈希标签防护机制实现两个系统之间的密态文件的安全交换,采用文件随机分割加密确保敏感文件在互联网中的安全传输,USB HID接口实施严格的单一设备功能的限制以防御来自USB接口的攻击。
2.根据权利要求1所述的基于双硬盘冷切换运行的安全计算机架构,其特征在于,双硬盘冷切换机制通过电磁阻断开关实现,当电磁阻断开关上电时,通过线圈产生的电磁力吸入金属插销开关,以此阻止硬盘电源供电连接开关的人工转动切换;当电磁阻断开关断电后,线圈失去电磁吸引力,金属插销脱开,可人工转动切换硬盘的电源供电连接开关;
当硬盘电源连接开关冷切换到A位置时,只给普通硬盘供电,安全硬盘不可访问,上电时启动普通硬盘中的普通硬盘软件系统搭建普通运算环境;当硬盘电源连接开关冷切换到B位置时,只给安全硬盘供电,普通硬盘不可访问,上电时启动安全硬盘中的安全硬盘软件系统搭建安全运算环境。
3.根据权利要求2所述的基于双硬盘冷切换运行的安全计算机架构,其特征在于,所述密态哈希标签防护机制工作在安全硬盘与普通硬盘之间,基于USB存储器实现安全的文件交换,在经由USB储器进行密态文件的安全交换过程中,通过密态哈希标签防护机制为每个数据块嵌入哈希标签,以哈希标签验证阻断来源于公共互联网的网络攻击,在拷贝输出敏感文件时,实施基于密态哈希标签的嵌入保护;在拷贝输入敏感文件时,通过密态哈希标签验证严格阻断威胁数据块进入安全硬盘。
4.根据权利要求3所述的基于双硬盘冷切换运行的安全计算机架构,其特征在于,在安全硬盘软件系统中,增加若干安全控制机制,安全硬盘软件系统不允许USB HID接口接入复合功能的USB设备,只允许具备单一功能的USB设备接口接入,具体包括:
对USB HID接口接收的HID报表数据执行严格的过滤控制,当键鼠USB设备经过枚举进入正常工作状态后,不允许产生批量输出/输入的事务;
禁止键盘、鼠标USB设备同时具备USB存储设备的功能,若键鼠USB的配置描述符内含的端点描述符中出现了USB存储设备的描述符,则禁止其接入;
禁止USB存储设备具备键盘、鼠标的功能,若USB存储设备的配置描述符内含的端点描述符中出现键鼠设备的描述符,则禁止其接入;
禁止键盘输入的报表数据长度超过8个字节,禁止鼠标输入的报表数据长度超过4个字节,禁止键鼠USB接口输出帧的字节长度超过规定的字节数,其中,IN帧内容为3字节,ACK帧内容为1字节。
5.根据权利要求1所述的基于双硬盘冷切换运行的安全计算机架构,其特征在于,还包括密态文件在移动互联网上传输的安全机制:
安全计算机联合采取了文件随机化分割与随机化掩盖、两个随机化分割文件基于不同的文件传输保护密钥分别实施数据加密的传输保护机制,还采取了文件密态数据块哈希标签嵌入与分组加密保护,为经由互联网传输的敏感文件提供了五重密钥空间的加密保护;随机化分割加密保护的两个关联的密态文件在公共互联网上分别采取电子邮件和即时通信两种不同的通信方式传输。
6.根据权利要求5所述的基于双硬盘冷切换运行的安全计算机架构,其特征在于,所述密态文件在移动互联网上具体传输过程为:
发送过程:
在安全运行环境中,传输明文态敏感文件之前,将安全计算机当前的时间值字节串与安全硬盘中预存的随机数块进行串接,经哈希运算后再重复复制串接,形成与文件等长的时变随机数;基于时变随机数执行随机化分割机制,将明文文件分割为两个随机化的与原文件等长的碎片文件;再基于USBkey中加密存储的两个1GB长的随机数掩码文件数据对这两个随机化碎片文件进行逐字节的异或掩码计算,若随机化碎片文件数据内容长度超过1GB,则重复使用随机数掩码进行异或掩盖,获得两个随机化分割文件;再以USBKey内加密存储的两个文件传输保护密钥和文件哈希密钥分别对这两个随机化分割文件数据进行分组加密运算与哈希值运算,将32字节哈希值附加在随机化分割文件末尾,最后由形成两个独立的随机化分割密态传输文件,经由USB存储器拷贝交换到普通硬盘,再经由互联网电子邮件或即时通信手段传输到目的地安全计算机,通过USB存储器交换保存到其安全硬盘中;
接收过程:
当目的地安全计算机接收到这两个随机化分割密态传输文件后,由其安全运行环境中执行的文件安全传输控制软件对这两个随机化分割传输文件数据进行哈希运算与一致性验证后,去掉文件末尾的32字节哈希值,以USBKey内加密存储的两个文件传输保护密钥分别基于分组算法进行文件数据解密运算,获得两个关联的随机化分割文件,再以其USBkey中加密存储的两个1GB长的随机数掩码文件数据分别对它们进行逐字节的“异或”解密计算(若随机化分割文件数据内容长度超过1GB,则重复使用随机数掩码文件数据进行“异或”解密),获得两个关联的随机化碎片文件;最后将这两个关联的随机化碎片文件的数据内容进行逐字节的“或”合并运算,恢复出原来的明文态文件,并以当前产生的文件存储保护密钥对解密获得的整个明文文件进行加密,再保存到本地硬盘中。
7.根据权利要求1所述的基于双硬盘冷切换运行的安全计算机架构,其特征在于,还包括基于密态哈希标签防护的文件拷贝安全机制:
当需要通过安全USB接口拷贝输出敏感文件时,首先基于文件拷贝密钥初值与用户在人机界面输入的安全拷贝密码串接后的哈希运算值形成文件拷贝保护密钥,对敏感文件明文实施文件加密,基于文件哈希密钥对加密后的文件密态数据执行哈希运算,将获得的哈希运算值附加在文件密态数据末尾,形成密态拷贝敏感文件;然后将密态拷贝敏感文件的每个数据块嵌入哈希标签,并基于数据块保护密钥针对每个数据块值域及其哈希标签值域执行分组加密运算,形成密态拷贝输出文件,通过安全USB接口输出到安全USB存储器,形成每个数据块都包含有密态哈希标签的密态拷贝文件;
当需要将安全USB存储器中存储的密态拷贝文件通过安全USB接口拷贝到安全计算机时,基于拷贝数据块保护密钥,对拷贝输入的每个密态数据块载荷值域及其哈希标签值域实施分组解密运算,并基于哈希标签密钥进行哈希标签验证运算,过滤掉未通过哈希验证的拷贝数据块,经过分组解密的每个密态数据块载荷数据形成密态拷贝输入文件;基于文件哈希密钥和哈希算法对密态拷贝输入文件的密文内容进行文件完整性验证,丢弃未通过文件完整性验证的密态拷贝输入文件;最后以文件拷贝密钥初值与人机界面输入的文件拷贝密码串接后的哈希运算值形成文件拷贝保护密钥,对密态拷贝输入文件实施文件解密,获得敏感文件明文;
其中,用户记忆的安全拷贝密码作为产生文件拷贝保护密钥的一个要素,只有输入正确的密码才能形成正确的文件拷贝保护密钥。
8.根据权利要求1所述的基于双硬盘冷切换运行的安全计算机架构,其特征在于,还包括文件加密存储机制:在安全运行环境中,将安全USBKey中保存的文件存储密钥初值与用户在安全计算机的人机界面上输入的安全存储密码串接后,通过哈希运算获得文件存储保护密钥,用于实施文件存储加密;即将用户记忆的安全存储密码作为形成文件存储保护密钥的一个要素,使得每个安全计算机都具有不同的体现用户个体特征的文件存储保护密钥,为安全计算机增加一层防失窃破译的安全保护机制。
9.根据权利要求1所述的基于双硬盘冷切换运行的安全计算机架构,其特征在于,当用户需要打开一个加密存储的敏感文件时,在安全硬盘软件系统中,将安全USBKey中保存的文件存储密钥初值与用户输入的安全存储密码串接后,通过哈希运算值获得文件存储保护密钥,以文件存储保护密钥对该文件进行解密获得明文态的敏感文件,然后启动文档编辑处理软件,打开明文态的敏感文件,用户进行阅读、编辑工作;
当用户要关闭其正在处理的明文态敏感文件时,基于文件存储保护密钥对其实施文件加密,并以密态模式存储该敏感文件,最后在处理完成后,以随机数反复填充的安全处理机制,彻底粉碎擦除明文文件在硬盘中产生的临时文件数据的痕迹。
10.根据权利要求1所述的基于双硬盘冷切换运行的安全计算机架构,其特征在于,还包括USBKey相互认证的安全接入机制,安全计算机与USBKey之间执行相互认证的安全接入控制,具体如下:
安全硬盘软件系统基于其加密预存的USBKey认证密钥、USBKey公钥和密码算法运算软件实现的非对称密码算法,执行一种密码认证协议,对所接入的USBKey进行安全接入认证,只允许通过认证的USBKey正常接入安全计算机,只有在USBKey通过了安全接入认证的前提下,安全硬盘软件系统才可以执行与敏感文件相关的任何操作;
USBKey中执行的认证软件也执行相同的密码认证协议,基于加密预存的认证密钥,对所接入的软件运行环境进行安全接入认证。
11.根据权利要求1所述的基于双硬盘冷切换运行的安全计算机架构,其特征在于,还包括USBKey密钥数据加密存储的安全机制:
USBKey中存储的所有密钥数据,都必须由USBKey数据保护密钥实施加密保护;从USBKey中读出的密钥数据必须由USBKey数据保护密钥进行解密运算后,才可以用于加/解密运算;
USBKey首次接入安全计算机时,需要读出USBKey内的密钥数据文件,经USBKey数据保护密钥加密后重新写入USBKey。
USBKey数据保护密钥保存在安全硬盘的某个隐藏文件内,用于与用户输入的人机界面口令串接后经哈希运算共同产生USBKey数据保护密钥。
12.根据权利要求1所述的基于双硬盘冷切换运行的安全计算机架构,其特征在于,还包括安全硬盘软件系统升级的安全机制:
安全计算机基于严格的软件升级安全机制,由与公共互联网物理隔离的专用安全服务器产生安全硬盘软件系统升级版本;安全服务器基于文件随机化分割、掩码“异或”掩盖保护以及文件加密机制,为软件升级文件的提供机密性保护,通过哈希运算提供软件升级文件的完整性保护,通过服务器的私钥签名提供软件升级文件真实性的密码验证;并且在传输之前,还需要在升级文件的每个密态数据块后依次嵌入哈希标签并对它们实施分组加密保护;专用安全服务器将受到密码保护的升级软件刻录到光盘中,拷贝到连接互联网的安全计算机软件升级官网服务器上,链接到其网页界面上。
当安全计算机需要升级安全硬盘系统软件时,通过访问官网服务器,直接下载新版本的升级软件到其普通硬盘中,再通过USB存储器的拷贝交换到安全硬盘中。
13.根据权利要求1-12任一所述的基于双硬盘冷切换运行的安全计算机架构,其特征在于,所述安全计算机架构包括:
计算机主板、通过硬盘数据总线与计算机主板连接的普通硬盘和安全硬盘;
普通硬盘中安装普通硬盘软件系统,提供一个连接公共互联网的普通运算环境,可以任意访问公共互联网,使得安全计算机之间能够以电子邮件或即时通信的方式相互传送密态文件;
安全硬盘中安装安全硬盘软件系统,提供一个安全运算环境,裁减了网络接口驱动、TCP/IP协议栈及其上层的所有互联网应用协议功能;
普通硬盘和安全硬盘通过电磁阻断开关进行电源供电,通过电磁阻断开关实现双硬盘软件的冷切换,普通硬盘和安全硬盘不能同时启动,只能通过冷切换启动其中的一个硬盘软件系统运行;
计算机主板上设有1个网络接口、1个HDMI显卡接口和至少4个USB接口,USB接口分别接入USBKey、USB鼠标、USB键盘以及安全USB存储器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010810290.1A CN112069555B (zh) | 2020-08-13 | 2020-08-13 | 一种基于双硬盘冷切换运行的安全计算机架构 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010810290.1A CN112069555B (zh) | 2020-08-13 | 2020-08-13 | 一种基于双硬盘冷切换运行的安全计算机架构 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112069555A true CN112069555A (zh) | 2020-12-11 |
| CN112069555B CN112069555B (zh) | 2022-03-18 |
Family
ID=73661554
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010810290.1A Active CN112069555B (zh) | 2020-08-13 | 2020-08-13 | 一种基于双硬盘冷切换运行的安全计算机架构 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112069555B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112906015A (zh) * | 2021-01-26 | 2021-06-04 | 浙江大学 | 一种基于硬件标签的内存敏感数据加密保护系统 |
| CN113779651A (zh) * | 2021-09-23 | 2021-12-10 | 北京神州慧安科技有限公司 | 硬盘防盗方法和装置 |
| WO2023098407A1 (zh) * | 2021-11-30 | 2023-06-08 | 北京博衍思创信息科技有限公司 | Usb设备与被保护设备的通信控制方法、装置及电子设备 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6469690B1 (en) * | 2000-04-20 | 2002-10-22 | International Business Machines Corporation | Data sharing for multi-CPU mouse/keyboard switcher |
| EP1420343A1 (en) * | 2001-04-27 | 2004-05-19 | Tong Shao | Apparatus and method for realizing statetransition of computing device |
| US20040103304A1 (en) * | 2002-04-27 | 2004-05-27 | Tong Shao | Computing system being able to quickly switch between an internal and an external networks and a method thereof |
| US20090271620A1 (en) * | 2008-04-28 | 2009-10-29 | Gosukonda Naga Venkata Satya Sudhakar | Techniques for secure data management in a distributed environment |
| CN201425723Y (zh) * | 2009-04-07 | 2010-03-17 | 河南省电力公司南阳供电公司 | 双硬盘电源线路的切换开关 |
| CN201662811U (zh) * | 2010-08-20 | 2010-12-01 | 河南省电力公司 | 双网络隔离ssd硬盘 |
| WO2013184016A1 (ru) * | 2012-06-04 | 2013-12-12 | Konyavskiy Valery Arkadyevich | Способ осуществления безопасных коммуникаций в компьютерных сетях (варианты) |
| CN105589512A (zh) * | 2014-10-20 | 2016-05-18 | 黑龙江傲立辅龙科技开发有限公司 | 一种多硬盘计算机的硬盘切换存储装置 |
| US20170180137A1 (en) * | 2015-12-21 | 2017-06-22 | Electro Industries/Gauge Tech | Providing security in an intelligent electronic device |
| CN108595982A (zh) * | 2018-03-19 | 2018-09-28 | 中国电子科技集团公司第三十研究所 | 一种基于多容器分离处理的安全计算架构方法及装置 |
| CN110233729A (zh) * | 2019-07-02 | 2019-09-13 | 北京计算机技术及应用研究所 | 一种基于puf的加密固态盘密钥管理方法 |
| CN110266725A (zh) * | 2019-07-08 | 2019-09-20 | 何荣宝 | 密码安全隔离模块及移动办公安全系统 |
| CN111159700A (zh) * | 2019-12-03 | 2020-05-15 | 北京工业大学 | 一种基于uefi系统的计算机远程安全启动方法及系统 |
-
2020
- 2020-08-13 CN CN202010810290.1A patent/CN112069555B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6469690B1 (en) * | 2000-04-20 | 2002-10-22 | International Business Machines Corporation | Data sharing for multi-CPU mouse/keyboard switcher |
| EP1420343A1 (en) * | 2001-04-27 | 2004-05-19 | Tong Shao | Apparatus and method for realizing statetransition of computing device |
| US20040103304A1 (en) * | 2002-04-27 | 2004-05-27 | Tong Shao | Computing system being able to quickly switch between an internal and an external networks and a method thereof |
| US20090271620A1 (en) * | 2008-04-28 | 2009-10-29 | Gosukonda Naga Venkata Satya Sudhakar | Techniques for secure data management in a distributed environment |
| CN201425723Y (zh) * | 2009-04-07 | 2010-03-17 | 河南省电力公司南阳供电公司 | 双硬盘电源线路的切换开关 |
| CN201662811U (zh) * | 2010-08-20 | 2010-12-01 | 河南省电力公司 | 双网络隔离ssd硬盘 |
| WO2013184016A1 (ru) * | 2012-06-04 | 2013-12-12 | Konyavskiy Valery Arkadyevich | Способ осуществления безопасных коммуникаций в компьютерных сетях (варианты) |
| CN105589512A (zh) * | 2014-10-20 | 2016-05-18 | 黑龙江傲立辅龙科技开发有限公司 | 一种多硬盘计算机的硬盘切换存储装置 |
| US20170180137A1 (en) * | 2015-12-21 | 2017-06-22 | Electro Industries/Gauge Tech | Providing security in an intelligent electronic device |
| CN108595982A (zh) * | 2018-03-19 | 2018-09-28 | 中国电子科技集团公司第三十研究所 | 一种基于多容器分离处理的安全计算架构方法及装置 |
| CN110233729A (zh) * | 2019-07-02 | 2019-09-13 | 北京计算机技术及应用研究所 | 一种基于puf的加密固态盘密钥管理方法 |
| CN110266725A (zh) * | 2019-07-08 | 2019-09-20 | 何荣宝 | 密码安全隔离模块及移动办公安全系统 |
| CN111159700A (zh) * | 2019-12-03 | 2020-05-15 | 北京工业大学 | 一种基于uefi系统的计算机远程安全启动方法及系统 |
Non-Patent Citations (4)
| Title |
|---|
| HESHEM A.EL ZOUKA: "Secure PC Platform Based on Dual-Bus Architecture", 《2012 IEEE SIXTH INTERNATIONAL CONFERENCE ON SOFTWARE SECURITY AND RELIABILITY COMPANION》 * |
| 吴开均 等: "采用数字签名技术的可信启动方法研究", 《电子科技大学学报》 * |
| 李冬梅: "运用双网隔离技术打造内外网新模式", 《信息化建设》 * |
| 贾梦南: "USB防毒盒——网络隔离过滤以及USB存储文件安全管理产品", 《中国有线电视》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112906015A (zh) * | 2021-01-26 | 2021-06-04 | 浙江大学 | 一种基于硬件标签的内存敏感数据加密保护系统 |
| CN112906015B (zh) * | 2021-01-26 | 2023-11-28 | 浙江大学 | 一种基于硬件标签的内存敏感数据加密保护系统 |
| CN113779651A (zh) * | 2021-09-23 | 2021-12-10 | 北京神州慧安科技有限公司 | 硬盘防盗方法和装置 |
| WO2023098407A1 (zh) * | 2021-11-30 | 2023-06-08 | 北京博衍思创信息科技有限公司 | Usb设备与被保护设备的通信控制方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112069555B (zh) | 2022-03-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112069555B (zh) | 一种基于双硬盘冷切换运行的安全计算机架构 | |
| CN101401105B (zh) | 用于提供加密文件系统的加密系统和方法 | |
| US9135464B2 (en) | Secure storage system for distributed data | |
| CN112073380B (zh) | 一种基于双处理器kvm切换与密码隔离的安全计算机系统 | |
| US9049010B2 (en) | Portable data encryption device with configurable security functionality and method for file encryption | |
| CN100487715C (zh) | 一种数据安全存储系统和装置及方法 | |
| US20160048692A1 (en) | Token for securing communication | |
| CN101441601B (zh) | 一种硬盘ata指令的加密传输的方法及系统 | |
| CN109543435A (zh) | 一种fpga加密保护方法、系统及服务器 | |
| KR101078546B1 (ko) | 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템 | |
| CN103294969B (zh) | 文件系统挂载方法和装置 | |
| CN102799831B (zh) | 基于数据库的应用系统信息安全保护系统及信息安全保护方法 | |
| US6836548B1 (en) | Communications security and trusted path method and means | |
| CN104376270A (zh) | 一种文件保护方法及系统 | |
| CN112069535B (zh) | 一种基于访问分区物理隔离的双系统安全智能终端架构 | |
| CN101539979B (zh) | 一种电子文档控制保护方法和装置 | |
| CN112087294B (zh) | 一种基于密态哈希标签防护的便携式安全计算机系统 | |
| CN101478538B (zh) | 管理安全设备的存储方法、装置或系统 | |
| CN108985079B (zh) | 数据验证方法和验证系统 | |
| CN212364995U (zh) | 一种具有数据安全功能的固态硬盘组件 | |
| Sullivan | Cryptographic agility | |
| Pandare et al. | Enhanced Password Manager using Hybrid Approach | |
| KR100740658B1 (ko) | 다형성 및 탬퍼방지 지원 암호처리방법 및 암호모듈 | |
| CN103346998B (zh) | 一种基于文件破碎加密的文档安全保护方法 | |
| Khafajah et al. | Enhancing the adaptivity of encryption for storage electronic documents |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |