CN112073380B - 一种基于双处理器kvm切换与密码隔离的安全计算机系统 - Google Patents
一种基于双处理器kvm切换与密码隔离的安全计算机系统 Download PDFInfo
- Publication number
- CN112073380B CN112073380B CN202010810383.4A CN202010810383A CN112073380B CN 112073380 B CN112073380 B CN 112073380B CN 202010810383 A CN202010810383 A CN 202010810383A CN 112073380 B CN112073380 B CN 112073380B
- Authority
- CN
- China
- Prior art keywords
- file
- processor
- password
- secret
- hash
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/02—Input arrangements using manually operated switches, e.g. using keyboards or dials
- G06F3/023—Arrangements for converting discrete items of information into a coded form, e.g. arrangements for interpreting keyboard generated codes as alphanumeric codes, operand codes or instruction codes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/03—Arrangements for converting the position or the displacement of a member into a coded form
- G06F3/033—Pointing devices displaced or positioned by the user, e.g. mice, trackballs, pens or joysticks; Accessories therefor
- G06F3/038—Control and interface arrangements therefor, e.g. drivers or device-embedded control circuitry
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Human Computer Interaction (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种基于双处理器KVM切换与密码隔离的安全计算机架构,安全计算机包括外网处理器板、内网处理器板以及安全隔离控制板,所述外网处理器板用于提供连接公共互联网的普通运行环境,内网处理器板用于提供一个与敏感文件处理相关的所有操作的安全运行环境;外网处理器与内网处理器通过安全隔离控制板进行通信;所述安全隔离控制板包括KVM接口切换模块、切换控制逻辑电路模块以及密码网闸模块;所述切换控制逻辑电路模块接收内网、外网处理器命令,对KVM接口切换模块下达执行KVM接口切换命令;该架构能在存在各种已知和未知安全威胁的互联网和内联网中,都能够保障每台安全计算机的敏感文件的存储安全、处理安全、拷贝安全以及在公共互联网中的通信安全。
Description
技术领域
本发明涉及网络安全传输技术领域,尤其涉及一种基于双处理器KVM切换与密码隔离的安全计算机架构。
背景技术
在现有的基于单处理器设计的计算机架构内,操作系统与各种应用软件都在同一套内存中运行,敌手利用互联网协议、文件传输与拷贝、USB连接任何一个环节中存在的安全漏洞都可能侵入计算机系统,窃取重要的敏感信息。各种未知的网络安全威胁层出不穷、网络安全事件频发的形势,迫使处理敏感信息的安全计算机都绝对不允许接入公共互联网,敏感文件的传递要么必须依赖于VPN加密机的保护,在应用场景上受到了很大的限制,要么由可靠人员携带传递或以机要途径传递,不能充分利用本来随处可用的移动互联网带来的数据通信便利,客观上形成了以低效率工作为代价来保障信息安全的现状。
因此迫切需要一种新型的安全计算架构,能够在随时随地接入、访问与应用互联网的同时,也能够为敏感信息文件的处理与存储提供一个与外网严格安全隔离、安全完全受控的运行环境,并且能够基于互联网通信来实现敏感信息文件的安全传输。
发明内容
针对现有技术中存在的问题,本发明提出了一种基于双处理器KVM(键盘、显卡、鼠标) 接口切换与密码隔离机制实现的新型安全计算机架构,该架构主要由外网处理器、内网处理器以及安全隔离控制板三个部分构成。其中,外网处理器和内网处理器分别提供两个独立的运行环境,外网处理器用于提供连接公共互联网的运算环境,而内网处理器用于提供一个与敏感文件处理相关的所有操作的安全运行环境。两个运行环境通过安全隔离控制板实现安全通信。
本发明采用的技术方案如下:一种基于双处理器KVM切换与密码隔离的安全计算机架构,计算机包括外网处理器板、内网处理器板以及安全隔离控制板,
所述外网处理器板用于提供连接公共互联网的普通运行环境,内网处理器板用于提供一个与敏感文件处理相关的所有操作的安全运行环境;外网处理器板与内网处理器板通过安全隔离控制板进行通信;所述安全隔离控制板包括KVM接口切换模块、切换控制逻辑电路模块以及密码网闸模块;所述切换控制逻辑电路模块接收内网、外网处理器命令,对KVM 接口切换模块下达执行KVM接口切换命令;KVM接口切换模块通过KVM接口切换控制实现普通运行环境与安全运行环境的人机操作界面的安全隔离;密码网闸模块设置在内网处理器板与外网处理器板之间实现严格的安全隔离控制,并建立一条基于密码防护的内部安全通信链路,通过安全TFTP协议实现密态文件的双向安全交换;采用密码保护及数据块密态哈希标签机制确保文件拷贝安全,并且对内网处理器的USB设备HID接口实施严格的单一功能限制以防御来自USB接口的攻击。
进一步的,所述KVM接口切换控制使得用户可以在处理非敏感应用的外网运算环境与处理敏感应用的内网计算环境之间任意地快速地按需切换,当用户需要处理敏感/机密文件时,将人机界面接口切换连接到内网处理器人机接口,使用户可以立即在内网处理器的人机界面上操作。
KVM接口切换控制机制是安全计算架构的核心关键机制,按需切换人机界面的控制机制实现了内、外网处理器人机界面的严格物理隔离,将连接公共互联网和非敏感文件的相关处理操作限定在外网处理器的运算环境内,而将敏感文件的相关处理操作严格限定在密码隔离的内网处理器的运算环境内,既使得内、外网处理器能够共用一套KVM外接组件,又提供了构造一个安全运行环境的可能性。
进一步的,所述密码网闸隔离控制机制工作在内部安全通信链路上,针对内网处理器发送的每个安全TFTP协议(STFTP)报文密态数据块基于哈希标签密钥执行哈希标签运算填充,并且针对内网处理器接收的每个STFTP报文内的数据块与哈希标签值域执行分组解密和哈希标签运算验证,阻止针对内网处理器的任何伪造与篡改STFTP协议报文的攻击;密码网闸基于有限状态机,针对STFTP协议的每个递增的控制序号执行一报文一应答的严格流量控制。密码网闸隔离机制实现了基于密码算法控制的内、外网在逻辑上的严格安全隔离,是安全计算环境防御外网攻击入侵的核心安全机制。
这种由密码网闸隔离模块实现的数据块哈希标签嵌入接收验证过滤机制与分组加密防护机制密切配合,实现了安全性极高的网闸功能,使得来自外网的任何网络攻击都无法通过内部通信接口渗透到内网处理器中,因此能够防御外网对内网的任何网络攻击。由于密码网闸是独立实现的隔离模块,它也能够防御隐藏在内网软件系统中的恶意代码向外网传递敏感文件数据内容的恶意行为。
进一步的,所述密码网闸对于接收到的每个STFTP报文的密态数据块与数据块哈希标签值域,在进行分组解密后,只有通过了基于哈希标签密钥的哈希标签一致性验证才能中继转发给内网处理器;对于未通过哈希标签一致性验证的所有非法的STFTP报文全部滤除掉;
密码网闸对于内网处理器发送的正确规范的写请求报文和确认报文不进行过滤,也不填充哈希标签值,但需要检查其文件名是否合规,数据块序号是否合规,滤除不符合STFTP 协议流程的、可能具有安全风险的写请求报文和确认报文。
进一步的,在密码网闸隔离执行接收过滤时,对于非UDP指定端口、STFTP协议值域填充不正确以及没有通过数据块哈希标签验证的STFTP报文,采取将其接收内存全部清0并释放的防范措施,不再传送到内网处理器的接收内存中,防止其中搭载的恶意代码字节进入内网处理器。
进一步的,还包括防御外网通过互联网协议对内网攻击的安全机制:
计算机将内部安全通信链路定义为一条以太网链路,为其设置了一个仅限于内部使用的IP地址段,内、外网处理器为链路两端设置了指定的IP地址和MAC地址,并且在初始化时分别在两端以静态方式各自设置了ARP解析表项;以太网链路两端都不启动ARP协议,避免了来自外网处理器的ARP攻击;
在密码网闸进行接收过滤时,对于接收到的非STFTP报文,首先将整个报文全部内容字节清零,然后予以丢弃;同时,也过滤掉向外网发送的所有非STFTP报文,防止内网隐藏木马通过非STFTP协议报文途径泄露敏感信息。
进一步的,还包括防御USB HID对内网攻击的安全机制:在内网处理器的USB的驱动软件系统中,增加若干安全控制机制,只允许具备单一功能的HID USB接口设备接入内网处理器,包括:
对USB HID接口接收的HID报表数据执行严格的过滤控制,当键鼠USB设备经过枚举进入正常工作状态后,不允许产生批量输出/输入的事务;
禁止通过拓展键鼠USB设备的端点存储功能使键鼠USB设备具备复合型USB设备的功能,即禁止键盘、鼠标USB设备同时具备USB存储设备的功能,若键鼠USB的配置描述符内含的端点描述符中出现了USB存储设备的描述符,则禁止其接入;
禁止USB存储设备具备键盘、鼠标的功能,若USB存储设备的配置描述符内含的端点描述符中出现了键鼠设备的描述符,则禁止其接入;
禁止键盘输入的报表数据长度超过8个字节,禁止鼠标输入的报表数据长度超过4个字节,禁止键鼠USB接口输出帧的字节长度超过规定的字节数(IN帧内容为3字节,ACK帧内容为1字节)。
进一步的,还包括密态文件在公网上传输的安全机制:
计算机联合采取了文件随机化分割与随机化掩盖、两个随机化分割文件基于不同的文件传输保护密钥分别实施数据加密的传输保护机制,为经由互联网传输的敏感文件提供了四重密钥空间的加密保护,随机化分割加密保护的两个文件在移动互联网上分别采取电子邮件和即时通信两种不同的通信方式传输。
进一步的,所述密态文件在公网上具体传输过程为:
发送过程:
在明文态的敏感文件传输之前,从密码算法运算套件获得实时产生的与文件等长的随机数,通过随机化分割机制将其分割为两个随机化的碎片文件,再基于USBkey中加密存储的两个1GB长的随机数掩码文件数据对这两个随机化碎片文件进行逐字节的异或掩码计算, (若文件数据内容长度超过1GB,则重复使用随机数掩码进行异或掩盖运算,获得两个随机化分割文件;再以USBKey内加密存储的两个文件传输保护密钥分别对这两个随机化分割文件数据进行分组加密运算与哈希值运算,将32字节哈希值附加在随机化分割文件末尾,最后由形成两个独立的随机化分割密态传输文件,分别经由STFTP协议传输到外网处理器,再经由互联网电子邮件或微信等即时通信手段传输到目的地计算机,最后通过STFTP协议传送到目的地计算机的内网处理器;
接收过程:
当目的地内网处理器接收到这两个关联的随机化分割密态传输文件后,对这两个随机化分割传输文件数据进行哈希运算与一致性验证后,去掉文件末尾的32字节哈希值,以 USBKey内加密存储的两个文件传输保护密钥分别基于分组算法进行文件数据解密运算,获得两个独立的随机化分割文件,再以其USBkey中加密存储的两个1GB长的随机数掩码文件数据分别对对应的随机化分割传输文件进行逐字节的“异或”解密计算,若随机化分割文件数据内容长度超过1GB,则重复使用随机数掩码文件数据进行“异或”解密运算,获得两个随机化碎片文件;最后将这两个随机化碎片文件的数据内容进行逐字节的“或”合并运算,恢复出原来的明文态文件,并以当前产生的文件存储保护密钥对解密获得的整个明文文件进行加密,再保存到本地硬盘中。
进一步的,还包括对TFTP协议的安全增强机制:
在内部安全通信链路上,基于安全TFTP协议来发送/接收经过随机化分割获得的两个随机化分割密态文件;安全TFTP协议严格实施一报文一应答的UDP报文通信控制,密码网闸基于UDP报文序号严格执行一问一答的报文单向通信管制;安全TFTP协议将TFTP的数据块序号扩展为8字节,使得传输的每个随机化分割文件数据块的序号绝对不会出现重复的现象;安全TFTP协议采取对称工作模式,不区分客户端与服务器端,但为了便于实施严格的文件传输流向管控,每次文件传输只允许在一个方向上执行文件传递处理过程,即内、外网处理器都可以启动安全TFTP协议在内部通信链路上传输随机化分割密态文件;
安全TFTP协议采取了基于每个TFTP报文确认的严格流控机制,即每发送了一个安全TFTP协议数据块,必须在接收到对端对该序号的数据块的确认后,才发送下一个序号递增 1的安全TFTP协议报文;此外,还采取超时重传机制在内部通信接口上提供可靠的安全TFTP 协议报文传递。
这种安全TFTP报文数据块哈希标签嵌入接收验证过滤机制与传输加密防护机制密切配合,使得来自外网的任何网络攻击都无法渗透到内网处理器中,能够防御外网对内网的任何网络攻击。此外,通过密码网闸隔离模块对传输数据块的加密保护,还能够防御隐藏在内网软件系统中的恶意代码通过文件传输向外网传递敏感信息内容明文的恶意行为。
进一步的,所述密码保护及数据块密态哈希标签机制:
当需要通过安全USB接口拷贝输出敏感文件时,首先基于文件拷贝密钥初值与用户在人机界面输入的安全拷贝密码串接后的哈希运算值形成文件拷贝保护密钥,对敏感文件明文实施文件加密,基于文件哈希密钥对加密后的文件密态数据执行哈希运算,将获得的哈希运算值附加在文件密态数据末尾,形成密态拷贝输出文件;然后将密态拷贝敏感文件的每个数据块嵌入哈希标签,并基于数据块保护密钥针对每个数据块值域及其哈希标签值域执行分组加密运算,形成密态拷贝输出文件,通过安全USB接口输出到安全USB存储器,形成每个数据块都包含有哈希标签并由分组加密保护的密态拷贝文件;
当需要将安全USB存储器中存储的密态拷贝文件通过安全USB接口拷贝到内网处理器时,基于拷贝数据块保护密钥,对拷贝输入的每个密态数据块载荷值域及其哈希标签值域实施分组解密运算,并基于哈希标签密钥进行哈希标签验证运算,过滤掉未通过哈希验证的拷贝数据块,经过了分组解密的每个密态数据块载荷数据形成密态拷贝输入文件;以文件拷贝密钥初值与人机界面输入的文件拷贝密码串接后的哈希运算值形成文件拷贝保护密钥,对密态拷贝输入文件实施文件解密,获得敏感文件明文;
将用户记忆密码作为产生文件拷贝保护密钥的一个要素,只有输入了正确的安全保护密码才能形成正确的文件拷贝保护密钥,为安全计算机之间通过USB拷贝安全交换敏感文件增加一层防失窃破译的安全保护机制。
进一步的,还包括文件加密存储机制:
机密文件以加密方式进行存储,将安全USBKey中保存的文件存储密钥初值与用户在内网处理器的人机界面上输入的安全存储密码串接后,通过哈希运算获得文件存储保护密钥,用于实施文件存储加密;即将用户记忆的安全存储密码作为形成文件存储保护密钥的一个要素,使得每个计算机都具有不同的体现用户个体特征的文件存储保护密钥,为计算机增加一层防失窃破译的安全保护机制;具体包括:
当用户需要打开加密存储的敏感文件时,在内网处理器的人机显示界面上,打开文件安全存储控制软件选择一个要处理的密态存储文件,将安全USBKey中保存的文件存储密钥初值与用户输入的安全存储密码串接后,通过哈希运算值获得文件存储保护密钥,以文件存储保护密钥对该文件进行解密获得明文态的敏感文件,然后启动文档编辑处理软件,打开明文态的敏感文件,用户进行阅读、编辑工作。
当用户要关闭其正在处理的明文态敏感文件时,基于文件存储保护密钥对其实施文件加密,并以密态模式存储该敏感文件,最后在处理完成后,以随机数反复填充的安全处理机制,彻底粉碎擦除明文文件在硬盘中产生的临时文件数据的痕迹。
进一步的,还包括USBKey安全接入认证机制:
内网处理器基于内网处理器硬盘中保存的USBKey公钥和密码算法运算套件实现的非对称密码算法,对所接入的USBKey实行安全接入认证,只允许通过认证的USBKey正常接入计算机,只有在USBKey通过了安全接入认证的前提下,内网处理器才可以执行与敏感文件相关的任何操作。
进一步的,还包括基于白盒加密保护的光驱刻录输出密态文件的安全机制:在通过光驱刻录输出密态文件时,在指定了刻录的密态敏感文件后,提示用户输入刻录保护密码后,再提示用户输入文件存储密码,由文件存储密钥初值与文件存储密码串接后经哈希运算获得文件存储保护密钥,对硬盘上存储的相应密态敏感文件实施解密操作,获得明文态的敏感文件;然后,以刻录密钥初值与刻录保护密码串接后经哈希运算获得刻录保护密钥,加密产生一个敏感文件的刻录密态文件,并且以刻录保护密码作为白盒软件解密刻录文件的输入参数,产生包含刻录密钥初值的相应白盒解密软件文件,启动光盘刻录软件,将该刻录密态文件和白盒解密软件文件通过光驱USB接口发送到刻录机,完成密态文件的光盘刻录输出内网处理器运行的文件安全光盘文件拷贝控制软件,在刻录保护密码与文件存储密码的双重管控下,通过USB接口外接光驱刻录输出密态的敏感文件;
计算机不允许通过光驱输入任何文件,避免恶意代码通过光驱输入进入内网处理器。
进一步的,还包括内网处理器系统软件升级的安全机制:
基于严格的软件升级安全机制,内网中需要升级的软件系统由与公共互联网物理隔离的专用安全服务器产生;安全服务器基于文件随机化分割、掩码“异或”掩盖保护以及文件加密机制,为软件升级文件的提供机密性保护,通过哈希运算提供软件升级文件的完整性保护,通过服务器的私钥签名提供软件升级文件真实性的密码验证;并且在传输之前,还需要在升级文件的每个密态数据块后依次嵌入哈希标签并对它们实施分组加密保护;专用服务器将受到密码保护的升级软件刻录到光盘中,拷贝到连接互联网的内网软件升级官网服务器上,链接到其网页界面上;
当计算机需要升级系统软件时,在外网处理器的人机界面上通过访问官网服务器,直接下载新版本的升级软件到计算机的外网处理器的硬盘中,由文件安全交换控制软件基于 STFTP协议将其通过内部安全通信链路经由密码网闸传递到内网处理器。
与现有技术相比,采用上述技术方案的有益效果为:计算机的安全防御主要依赖于安装的安全防护软件,由整个安全社区和安全公司发现漏洞,基于互联网发布补丁或用户主动下载升级软件。往往在用户计算机打上安全漏洞补丁之前,可能已造成了巨大的安全后果。因此,强制性规定处理敏感信息的计算机任何时候都绝不允许接入公共互联网等非安全的公共网络。
本发明设计的这种新型安全计算机架构,通过KVM接口切换实现了内、外网处理器人机界面的按需切换与安全隔离,在密码网闸、文件拷贝哈希标签机制以及USB设备单一功能限制的严格隔离控制下,共同为敏感文件的处理提供了基于密码严格隔离的高安全运行环境,既能够防御针对安全内网的各种已知的和未知的安全威胁,也能够防止内网明文敏感数据的泄露,可以在任何地点接入公共互联网使用。
采用这种安全计算架构,既能使外网入侵攻击无法获取计算机保存的敏感文件,又能确保敏感文件处理的计算环境安全与存储安全,也能在互联网上实现敏感文件的安全传输,使得处理敏感文件的计算机可以安全地利用互联网提供的通信便利,可作为党政军机密通信的安全计算机使用。
附图说明
图1为本发明提出的安全计算机架构示意图。
图2为本发明采取的安全STFTP协议头格式示意图。
图3为本发明采取的STFTP协议报文封装格式示意图。
图4为本发明采取的密态数据块封装格式示意图。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现说明本发明的具体实施方式。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明涉及以下几个专用术语:
外网处理器:专门用于实现普通计算机的所有功能,通过外接网络接口(有线或无线) 连接到公共互联网,用户可以根据自己的应用需求任意安装互联网应用软件,通过内部通信接口在密码网闸的严格控制下与内网处理器安全互通。
内网处理器:专门用于实现敏感文件的安全处理、密态通信、密态存储以及密态拷贝。它只能通过内部通信接口经由密码网闸安全地连接到公共互联网,只实现经过了裁减的互联网协议。在密码网闸、KVM切换以及USB HID单一设备功能限制三种隔离机制的安全保护下,既能够阻断来自外接的公共互联网的任何可能的攻击,又能够防止内网明文态敏感数据的泄露。
安全隔离控制板:包含一个KVM切换模块、一个切换控制逻辑电路模块以及一个密码网闸模块。用于实现内、外网处理器之间基于密码的安全通信隔离、KVM(键盘、显卡、鼠标)接口按需切换控制。
KVM切换模块:具有两路KVM内接接口和一路KVM外接接口,接收切换控制逻辑电路的 KVM通道切换命令。用于实现将两路内部KVM连接受控转换为单路外部KVM连接的切换。KVM 切换模块必须采用来源于安全可信的厂家,经过严格的安全测试,芯片电路设计上要确保内部不会产生数据串流。
切换控制逻辑电路:基于接口电路信号特征检测切换命令,接受外网处理器通过RS232 接口发送的切换命令和内网处理器通过密码网闸转发的切换命令,执行KVM接口切换控制。
密码网闸:位于内、外网处理器的内部通信接口之间,内含一个密码算法芯片、一个单芯片处理器以及两个以太网接口芯片,基于传输数据块分组加密和哈希标签机制实现内网与外网之间的严格隔离控制,防止传输数据块中隐藏的恶意攻击代码进入内网处理器,防止出现明文数据块向外网传输的现象。此外,在内、外网处理器之间执行严格的IP报文过滤功能,禁止内、外网之间交换除安全TFTP(STFTP)协议之外的其它协议(如ARP、ICMP以及TCP)报文。
密码算法运算套件:为内网处理器中的一个软件套件,包含密码算法运算、随机数产生的多个软件函数。
KVM接口:为键盘、显卡、鼠标接口。安全隔离控制板具有2路内接的KVM接口与1路外接的KVM接口。内网处理器和外网处理器的KVM接口分别连接到安全隔离控制板的两个KVM内接接口,在切换控制逻辑电路的控制下通过KVM切换芯片“连接”到安全计算机的 KVM外接接口。KVM切换模块为接入的USB键盘、USB鼠标设置固定的设备地址。
切换开关:为最高权限切换控制的外接KVM切换开关,通过外接切换开关的强制控制,可以将安全计算机的KVM外接接口固定“连接”到外网处理器或内网处理器的KVM内接接口上。
安全USB接口:内网处理器的一个外接USB接口,固定用于外接(定制的、专用的)安全USB存储器,安全计算机通过该USB接口进行敏感文件的安全拷贝。
USB光驱接口:内网处理器的一个外接USB接口,固定用于外接(定制的、专用的)USB 光驱,安全计算机通过USB光驱接口进行敏感文件的光盘刻录拷贝。
USBKey接口:内网处理器的一个外接USB接口,固定用于外接(定制的、专用的)USBKey,安全计算机通过USBKey接口获取USBKey中存储的各种支持安全机制的相关密钥(初值)与人机界面密码。
内部通信接口:为安全计算机内部的以太接口,实现内网处理器和外网处理器在密码网闸的严格隔离控制下的通信连接,支持两个处理器之间进行安全TFTP(STFTP)协议报文的通信。
内部安全通信链路:建立在内部通信接口上,在密码网闸的严格隔离控制下实现的内、外网处理器之间STFTP协议的双向IP报文传输。
文件安全传输控制:为用户提供读取敏感文件、敏感文件安全传输操作的人机界面,包括启动加密存储文件的解密操作、明文文件的随机化分割、掩盖以及数据加密操作,启动内网处理器与外网处理器之间敏感文件的安全传输操作。
安全文件传输协议(STFTP):实现类似于TFTP文件传输控制与报文封装的功能,但对其报文格式进行了改进,将其文件数据块序号由2字节扩展为8个字节。STFTP为对TFTP的安全扩展。内网处理器执行的STFTP增加了数据块哈希标签嵌入与剔除功能,在发送每个文件数据块时,在末尾填充了32个0字节以预留32字节的哈希标签位置,在接收每个文件数据块时,剔除了接收报文数据块末尾的32字节的哈希标签字节。
密态数据块序号:长度为8B,安全TFTP协议基于数据块序号机制执行一报文一应答的严格流量控制,在每次文件传输过程中,控制序号的初值从1开始递增。
内部安全控制协议:用于内网处理器对安全隔离控制板实施安全管控的内部控制协议,包括KVM切换控制、密码网闸的数据块保护密钥及哈希标签密钥分配控制。基于CRC校验机制和消息响应机制来确保每次控制通信的可靠性。
人机界面密码:用于进入内网处理器操作界面的口令,保存在内网处理器的某个隐藏文件内。
文件存储密码:用作敏感文件存储保护密钥的生成参数因子(用户记忆的口令),不保存到USBKey中。
文件拷贝密码:用作敏感文件拷贝保护密钥的生成参数因子(用户记忆的口令),不保存到USBKey中。
刻录保护密码:用于通过光驱接口刻录敏感文件的管控(用户记忆的口令),不保存到 USBKey中。
安全USB存储器:用于暂时存储内网处理器拷贝交换的密态敏感文件,通过安全USB 接口接入到内网处理器,必须通过内网处理器的安全接入认证才可以继续进行文件拷贝操作。通过安全USB文件拷贝控制机制执行文件数据块加密与哈希标签安全控制,实现敏感文件到专用安全USB存储器的安全拷贝输出,以及基于文件数据块解密与哈希验证的方式拷贝输入安全可信的文件。
USBKey:用于保存内网人机界面密码、文件传输保护密钥、文件存储密钥初值、文件拷贝密钥初值、文件哈希密钥、数据块保护密钥、哈希标签密钥、两个包含1GB长度随机数的掩码文件。此外,还保存了用于验证内网中所有安全计算机(包括软件升级服务器)身份的公钥、专用安全USB存储器的公钥以及本机专用USBKey的私钥。它通过USBKey接口接入到内网处理器,必须通过内网处理器的安全接入认证才可以继续进行密钥和密码的读取操作。
USBKey数据保护密钥初值:保存在内网处理器的某个隐藏文件内,用于与用户输入的人机界面密码串接后经哈希运算共同产生USBKey数据保护密钥。
USBKey数据保护密钥:用于对USBKey内的密钥数据文件实施加密保护。USBKey首次接入内网处理器时,需要读出USBKey内的密钥数据文件,经USBKey数据保护密钥加密后重新写入USBKey。
文件存储密钥初值:用于与用户输入的文件存储密码串接后经哈希运算共同产生文件存储保护密钥。
文件存储保护密钥:用于对内网处理器中的敏感文件实施存储加/解密的算法密钥,由文件存储密钥初值与文件存储密码串接后经哈希运算临时产生,不保存到USBKey中。
刻录密钥初值:用于与用户输入的刻录保护密码串接后经哈希运算共同产生刻录保护密钥。
刻录保护密钥:对通过光驱刻录输出的敏感文件实施加/解密的密钥,由刻录密钥初值与刻录保护密码串接后经哈希运算临时产生,不保存到USBKey中。
文件拷贝密钥初值:用于与用户输入的敏感文件拷贝密码串接与哈希运算共同产生文件拷贝保护密钥。
文件拷贝保护密钥:对通过安全USB接口输出的敏感文件实施拷贝加/解密的算法密钥,由文件拷贝密钥初值与敏感文件拷贝密码串接后经哈希运算临时产生,不保存到USBKey中。
文件传输保护密钥:用于对需要经过公共互联网传输的敏感文件实施传输加密保护,由USBKey保存,由文件存储保护密钥实施存储加密保护。USBKey中保存了两个文件传输保护密钥,分别用于两个随机化分割文件的传输加密保护。
数据块保护密钥:长度为32B,密码网闸和文件拷贝控制使用数据块保护密钥对每个数据块及其哈希值进行分组加/解密运算。
哈希标签密钥:长度为32B,用于计算安全TFTP协议传输的每个数据块的哈希标签,由USBKey保存,由文件存储保护密钥实施存储加密保护。
文件哈希密钥:长度为32B,用于计算安全TFTP协议传输的每个随机化传输密态文件的哈希值,由USBKey保存,由文件存储保护密钥实施存储加密保护。
时变随机数产生:密码算法运算套件将计算机当前的时间值字节串与硬盘中预存的随机数块进行串接,经哈希运算后再重复复制串接,产生与文件等长的随机数,用于传输文件的随机化分割。
数据随机化分割:基于时变随机数产生机制获得的与文件内容数据字节等长的随机数据字节,针对文件内容数据的第一个字节到最后一个字节,依次以随机数字节对初始的明文数据字节进行逐字节的“与”操作获得第一个明文随机化分割数据块。然后将全部随机数据字节值取反,再与初始的明文数据字节进行逐字节的“与”操作获得第二个明文随机化分割数据块。
文件随机化分割与合成:实现敏感文件的随机化分割、随机化掩盖以及合成的功能。在发送敏感文件之前,对整个敏感文件明文实施随机化分割形成两个随机化分割文件,并且采取相同长度的随机数掩码进行“异或”掩盖运算,获得两个关联的随机化密态文件;在接收到两个关联的随机化密态文件之后,对它们实施与随机数掩码的“异或”运算以及文件数据合成的或运算,恢复出原来的敏感文件明文。
文件加/解密控制:由执行密码算法的软件模块,基于密码运算套件,对一个文件的整个数据内容执行加/解密运算。
实施例1
本实施例提供了一种基于双处理器的安全计算架构行的安全计算架构,具体如下:
基于双处理器KVM接口切换与密码隔离的安全计算机架构如图1所示,主要由外网处理器板、内网处理器板以及安全隔离控制板三个板卡构成。内、外网处理器之间基于安全TFTP(STFTP)协议实现密态敏感文件的安全交换,外网处理器基于内部安全控制协议实现对 KVM切换的控制,内网处理器基于内部安全控制协议实现对密码网闸和KVM切换的控制。
外网处理器可以通过外接网络(有线、无线)接口任意接入到公共(移动)互联网,具备可以任意访问互联网的普通计算机的功能,以电子邮件或微信的方式转发内网处理器之间传送的密态文件。
内网处理器在KVM切换控制、密码网闸隔离控制、拷贝数据块哈希标签嵌入与验证以及USB设备单一功能限制控制四种安全机制的严格隔离保护控制下,为实现敏感文件的安全处理、安全传输、密态存储以及安全拷贝提供了一个安全的运行环境,能够防止数据块内隐藏恶意代码的攻击威胁与敏感数据的泄露风险。所有内网处理器,能够基于公共互联网共同形成一个逻辑上互联的安全保密内网。
安全隔离控制板为建立内、外网处理器安全隔离控制进而形成内网安全运行环境的关键,主要实现KVM切换控制、密码网闸隔离控制两种安全控制功能。通过KVM切换控制模块提供的人机界面切换功能,为内、外网处理器运行环境的安全隔离创造了条件。密码网闸在内、外网处理器之间实现严格的安全隔离控制,并建立一条基于密码防护的内部安全通信链路,通过STFTP协议实现密态文件的双向安全交换。
所有安全计算机的内网处理器之间通过密码网闸与公共互联网的间接连接,基于密码防护形成了一个逻辑上严格隔离的内部安全网络。
内外网络之间只能通过内部安全通信链路基于安全TFTP(STFTP)协议实现安全连接,内网处理器之间的文件传递基于分组加密与哈希标签机制提供机密性、完整性与真实性的密码验证实施严格的安全控制。内网处理器只处理本地产生或来自安全内网中的其他安全计算机的机密文件。只有在内网处理器的内存中才可能出现机密文件的明文数据内容,外网处理器的内存中只可能出现机密文件的密文数据内容。
在检测到键盘或鼠标接入时,外网处理器和内网处理器的HID驱动软件都为键盘设置相同的USB设备地址(对鼠标也是如此),便于采用功能简洁的KVM切换芯片。内网处理器在执行USB设备的枚举过程中,对接入的USB设备实施单一功能的限制,禁止一个USB设备同时具备HID和存储设备的复合型功能。内网处理器在拷贝密态文件时,通过数据块哈希标签机制来防御恶意代码的攻击。
本发明仅仅提出了一种安全计算机架构,不涉及计算机操作系统、处理器板、KVM切换芯片、密码网闸、切换控制逻辑电路、分组密码算法、公钥算法、哈希算法、USBKey接入认证以及各个软件功能模块的具体实现,它们仅仅作为描述本发明提出的这种安全计算架构的技术基础。
1、外网处理器板功能
外网处理器具备普通计算机的所有功能,可以通过外接的有线或无线网口任意接入公共互联网,用户可以根据需要随意下载安装公共互联网上的任何应用软件。此外,为支持实现安全计算架构,外网处理器需要在内部安全通信链路上基于安全TFTP协议实现内外网处理器之间的密态文件的安全交换处理,此外,需要基于内部安全控制协议实现KVM接口的切换控制功能。
外网处理器设置有外接(可以为有线局域网接口、无线局域网接口或4G/5G移动通信) 网络接口、外接USB接口、内接KVM接口、RS232内部控制接口以及基于以太网口或USB接口实现的内部通信接口。
外网处理器安装主流操作系统(如Windows或国产的深度操作系统)和用户需要的各种应用软件,安装有标准的TCP/UDP+IP协议栈以及应用所需要的上层协议栈软件。
外网处理器支持常见的互联网应用(包括电子邮件、微信、视频会话等应用)、非敏感文档的处理应用(包括Office与WPS文档处理)。
为了支持安全计算架构,外网处理器还安装有专门设计的文件安全交换控制软件、安全文件传输协议(STFTP)软件以及KVM切换控制软件。
此外,外网处理器安装了从专业公司官网下载的终端安全防护软件。
2、内网处理器板功能
内网处理器基于密码网闸隔离机制、KVM切换机制、USB HID设备单一功能的严格限制以及文件拷贝数据块哈希标签机制的安全隔离保护,为敏感文件的安全处理、文件传输加/ 解密处理、文件存储加/密处理、安全USB文件拷贝处理以及白盒加密拷贝处理提供了一个安全的运行环境。
内网处理器安装有一种经过协议剪裁精简的国产操作系统和各种安全应用软件。
内网处理器软件系统支持STFTP+UDP+IP协议栈,支持敏感文件基于随机化文件分割传输加密与接收解密、密态文件数据块哈希标签嵌入与去除、敏感文件的存储加密与读取解密、敏感文件的编辑处理应用功能。各个安全计算机的内网处理器与连接到公共互联网上的安全服务器共同形成一个实现保密通信的安全内网。
内网处理器通过密码网闸提供的隔离保护,既不与外网交换明文态数据报文,也不交换ARP、ICMP以及TCP协议报文,不支持TCP及其上层应用协议、网页浏览、电子邮件、微信等互联网应用功能。通过USB设备单一功能的严格限制和USB文件拷贝数据块哈希标签嵌入与验证,能够阻止通过USB接口的注入攻击与数据泄露风险。
内网处理器不设置外接网络接口,具有3个外接USB接口,包括USBKey接口、安全USB 接口以及USB光驱接口,还具有内接的KVM接口以及RS232内部控制接口。
USBKey只有通过了内网处理器的安全接入认证才可以与内网处理器进行数据交互。内网处理器基于USBKey获取用户人机界面进入的密码、文件传输保护密钥、文件存储初始密钥。
内网处理器上只能下载安装由安全服务器加密保护的具有较强的文件安全防护机制 (主要是抗文档病毒、抗文档木马能力强)的终端安全防护软件。此外还可以基于可信计算机制建立一个内部的可信运算环境,进一步加强其安全可控的防御能力。
3、安全隔离控制板功能
安全隔离控制板包含了KVM切换、密码网闸、切换控制逻辑电路三个模块,实现安全计算机内网运行环境的安全隔离。此外,密码网闸接收到内网处理器的切换控制命令消息后,执行KVM切换控制。
密码网闸包含1个密码算法芯片、1个单芯片处理器、2个Eth接口,实现内网与外网之间基于数据块加密运算与哈希验证的严格隔离控制。对于内网处理器在内部安全通信链路上发送的IP报文进行传输数据块分组加密和哈希标签运算与填充,防止出现明文文件传输现象。对于外网处理器在内部安全通信链路上发送的IP报文进行数据块分组解密和哈希标签验证运算,防止接收IP报文数据块中隐藏的恶意攻击代码进入内网处理器。此外,在内部安全通信链路双向上执行严格的IP报文过滤功能,禁止内、外网之间交换除安全文件传输协议之外的其它协议(如ARP、ICMP以及TCP)报文。
内、外网处理器基于内部安全控制协议对安全隔离控制板实施安全管控,包括KVM切换控制与密码网闸的数据块保护密钥及哈希标签密钥的分配控制。内部安全控制协议基于 CRC验证机制和发送-响应机制来确保每次控制通信的可靠性。切换控制处理器接收到切换控制命令消息时,立即执行KVM切换控制。若接收到内网处理器发送的密钥配置命令消息,则转发给密码网闸,密码网闸接收到密钥配置命令消息后,发送响应消息给切换控制处理器再转发到内网处理器。安全隔离控制板基于独立的切换控制硬件逻辑来接收与执行外网处理器的切换控制命令,避免内、外网处理器之间因控制消息互通可能出现未知的安全风险。
KVM切换控制模块按照用户的操作控制命令灵活地实现KVM接口在两个处理器卡之间的任意切换,用户通过点击任务栏中的界面切换按钮,内/外网处理器发出KVM切换控制命令实现KVM接口的按需任意切换。此外,还单独设计了机箱外部可操作的一个KVM切换控制开关,通过拨动这个开关可以将KVM固定连接到外网处理器或内网处理器。例如,如果将切换控制开关拨动到左边/右边位置,则将KVM固定连接到内网/外网处理器,如果将切换控制开关拨动到中间位置,则可以通过点击显示界面任务条中显示的切换按钮,控制KVM切换控制模块将当前处理器的显示界面切换到另一个处理器的显示界面。
4、安全计算机接口功能
外接网络接口包括外网处理器外接的有线局域网接口/无线局域网接口/移动通信(4G/5G)接口与USB接口,内网处理器外接的USB光驱接口、安全USB接口以及USBKey接口,安全隔离控制板外接的KVM接口。内部通信接口为以太网接口。切换控制接口为标准的RS232接口。
实施例2
本实施例在实施例1的基础上:
本实施例提供了安全计算机架构实现的安全机制:
安全计算机架构的设计目标是实现一种允许接入互联网使用的通用型安全计算机,即在非安全的网络(互联网和内联网)环境中,在确保敏感数据的产生、传输、存储以及处理的全生命周期安全的前提下,满足基于公共互联网连接与敏感文件交换的各种安全应用的需求。
为实现这种全生命周期的安全应用目标,本发明设计了一种基于双处理器的安全计算机架,通过建立在内部通信接口上的密码网闸,在外网通用计算环境与内网专用的安全计算环境之间实施严格的逻辑隔离,采取人机接口按需切换机制、内部安全传输控制机制、文件加密存储机制、数据加密传输保护机制、文件安全拷贝机制,能够在接入公共互联网的场景中,既可以作为普通计算机使用,又可以作为专用的安全计算机使用。
1、KVM接口切换控制机制
KVM接口切换控制机制是安全计算架构的核心关键机制,按需切换人机界面的控制机制实现了内、外网处理器人机界面的严格物理隔离,将连接公共互联网和非敏感文件的相关处理操作限定在外网处理器的运算环境内,而将敏感文件的相关处理操作严格限定在密码隔离的内网处理器的运算环境内,既使得内、外网处理器能够共用一套KVM外接组件,又提供了构造一个安全运行环境的可能性。
KVM接口按需切换控制机制,使得用户可以在处理非敏感应用的外网运算环境与处理敏感应用的内网计算环境之间任意地快速地按需切换。当用户需要处理敏感/机密文件时,将人机界面接口切换连接到内网处理器人机接口,使用户可以立即在内网处理器的人机界面上操作。人机接口按需切换机制能够确保机密文件解密后的明文数据内容只出现在内网处理器的内存中,而不会使解密后的明文数据内容出现在外网处理器中,阻断了来自公共互联网的信息窃取攻击路径。
2、基于密码网闸隔离防御网络攻击的安全机制
密码网闸隔离机制实现了基于密码算法控制的内、外网在逻辑上的严格安全隔离,是安全计算环境防御外网攻击入侵的核心安全机制。
密码网闸隔离机制工作在内部安全通信链路上,针对内网处理器发送的每个安全TFTP 协议(STFTP)报文密态数据块基于哈希标签密钥执行哈希标签运算填充,并且针对内网处理器接收的每个STFTP报文内的数据块与哈希标签值域执行分组解密和哈希标签运算验证,杜绝了任何伪造和篡改的STFTP报文进入内网的可能性,阻止针对内网处理器的任何伪造与篡改STFTP协议报文的攻击,同时避免了在外网处理器中出现敏感文件明文的现象。如图2所示为STFTP协议报文头格式,图3示为IP+UDP+STFTP协议报文格式,图4为STFTP 协议载荷格式。
密码网闸基于有限状态机,针对STFTP协议的每个递增的控制序号执行一报文一应答的严格流量控制。
密码网闸对于接收到的每个STFTP报文的密态数据块与数据块哈希标签值域,在进行分组解密后,只有通过了基于哈希标签密钥的哈希标签一致性验证才能中继转发给内网处理器。对于未通过哈希标签一致性验证的所有非法的STFTP报文全部滤除掉。
密码网闸对于内网处理器发送的正确规范的WRQ和ACK报文不进行过滤,也不填充哈希标签值,但需要检查其文件名是否合规,数据块序号是否合规,滤除不符合STFTP协议流程的、可能具有安全风险的WRQ和ACK报文。
此外,在密码网闸隔离模块执行接收过滤时,对于非UDP指定端口、STFTP协议值域填充不正确以及没有通过数据块哈希标签验证的STFTP报文,采取将其接收内存全部清0并释放的防范措施,不再传送到内网处理器的接收内存中,防止其中搭载的恶意代码字节进入内网处理器。
这种由密码网闸隔离模块实现的数据块哈希标签嵌入接收验证过滤机制与分组加密防护机制密切配合,实现了安全性极高的网闸功能,使得来自外网的任何网络攻击都无法通过内部通信接口渗透到内网处理器中,因此能够防御外网对内网的任何网络攻击。由于密码网闸是独立实现的隔离模块,它也能够防御隐藏在内网软件系统中的恶意代码向外网传递敏感文件数据内容的恶意行为。
3、防御外网通过互联网协议对内网攻击的安全机制
安全计算机将内部安全通信链路定义为一条以太网链路,为其设置了一个仅限于内部使用的IP地址段,内、外网处理器为链路两端设置了指定的IP地址和MAC地址,并且在初始化时分别在两端以静态方式各自设置了ARP解析表项。以太网链路两端都不启动ARP协议,避免了来自外网处理器的ARP攻击。
此外,在密码网闸隔离控制模块中进行接收过滤时,对于接收到的非STFTP报文(包括 ARP/RARP、ICMP、TCP以及端口号不正确的UDP协议),为了防御病毒或木马的搭载攻击,首先将整个报文全部内容字节清零,然后予以丢弃。同时,也过滤掉向外网发送的所有非STFTP报文,防止内网隐藏木马通过非STFTP协议报文途径泄露敏感信息。
4、防御USB HID对内网攻击的安全机制
在内网处理器USB的驱动软件系统中,增加若干安全控制机制,只允许具备单一功能的HID USB接口设备接入内网处理器。首先,对USB HID接口接收的HID报表数据执行严格的过滤控制,当键鼠USB设备经过枚举进入正常工作状态后,不允许产生批量输出/输入的事务,键盘输入的报表数据长度不允许超过8个字节,鼠标输入的报表数据长度不允许超过4个字节,键鼠USB接口输出帧的字节长度不允许超过规定的字节数(IN帧内容为3字节,ACK帧内容为1字节)。然后,禁止通过拓展键鼠USB设备的端点存储功能使键鼠USB 设备具备复合型USB设备的功能,即禁止键盘、鼠标USB设备同时具备USB存储设备的功能,若键鼠USB的配置描述符内含的端点描述符中出现了USB存储设备的描述符,则禁止其接入。最后,禁止USB存储设备具备键盘、鼠标的功能,若USB存储设备的配置描述符内含的端点描述符中出现了键鼠设备的描述符,则禁止其接入。通过增加这三种HID安全控制策略,将阻断恶意USB键盘、鼠标设备以及恶意USB设备接入对内网处理器的恶意代码注入攻击与敏感数据泄露攻击。
5、密态文件在公网上传输的安全机制
安全计算机联合采取了文件随机化分割与随机化掩盖、两个随机化分割文件基于不同的文件传输保护密钥分别实施数据加密的传输保护机制,为经由互联网传输的敏感文件提供了四重密钥空间的加密保护,随机化分割加密保护的两个文件在移动互联网上分别采取电子邮件和即时通信两种不同的通信方式传输,在多种安全传输防护机制的保护下,极大地增强了基于公共互联网传输密态敏感文件的安全性。
在明文态的敏感文件传输之前,从密码算法运算套件获得实时产生的与文件等长的随机数,通过随机化分割机制将其分割为两个随机化的碎片文件,再基于USBkey中加密存储的两个1GB长的随机数掩码文件数据对这两个随机化碎片文件进行逐字节的异或掩码计算,若文件数据内容长度超过1GB,则重复使用随机数掩码进行异或掩盖运算,获得两个随机化分割文件。再以USBKey内加密存储的两个文件传输保护密钥分别对这两个随机化分割文件数据进行分组加密运算与哈希值运算,将32字节哈希值附加在随机化分割文件末尾,最后由形成两个独立的随机化分割密态传输文件,分别经由STFTP协议传输到外网处理器,再经由互联网电子邮件或微信等即时通信手段传输到目的地安全计算机,最后通过STFTP协议传送到目的地安全计算机的内网处理器。
当目的地内网处理器接收到这两个关联的随机化分割密态传输文件后,对这两个随机化分割传输文件数据进行哈希运算与一致性验证后,去掉文件末尾的32字节哈希值,以USBKey内加密存储的两个文件传输保护密钥分别基于分组算法进行文件数据解密运算,获得两个独立的随机化分割文件,再以其USBkey中加密存储的两个1GB长的随机数掩码文件数据分别对对应的随机化分割文件进行逐字节的“异或”解密计算,若随机化分割文件数据内容长度超过1GB,则重复使用随机数掩码文件数据进行“异或”解密运算,获得两个随机化碎片文件。最后将这两个随机化碎片文件的数据内容进行逐字节的“或”合并运算,恢复出原来的明文态文件,并以当前产生的文件存储保护密钥对解密获得的整个明文文件进行加密,再保存到本地硬盘中。
6、对TFTP协议的安全增强机制
在内部安全通信链路上,基于安全增强的TFTP协议(STFTP)来发送/接收经过随机化分割获得的两个随机化分割密态文件。STFTP严格实施一报文一应答的UDP报文通信控制,密码网闸基于UDP报文序号严格执行一问一答的报文单向通信管制。STFTP将TFTP的数据块序号扩展为8字节,使得传输的每个随机化分割文件数据块的序号绝对不会出现重复的现象。STFTP采取对称工作模式,不区分客户端与服务器端,但为了便于实施严格的文件传输流向管控,每次文件传输只允许在一个方向上执行文件传递处理过程,即内、外网处理器都可以启动STFTP在内部通信链路上传输随机化分割密态文件。
STFTP协议在传输随机化分割文件时,依次按每480字节的长度进行分割,并为每个分割的STFTP报文数据块末尾附加32字节的全0值的哈希值位置,封装为IP+UDP+STFTP格式,经由内部安全通信链路传送到密码网闸隔离控制模块,进行STFTP数据块(不包括 IP+UDP+STFTP三部分值域)哈希值运算和标签填充以及包括标签域在内的分组加密运算。当STFTP数据块的长度小于480B时,密码网闸将计算出的32B哈希标签值填充到STFTP数据块末尾跟随的32字节位置内,再进行包括标签域在内的分组加密运算。
STFTP协议采取了基于每个STFTP报文确认的严格流控机制,即每发送了一个STFTP数据块,必须在接收到对端对该序号的数据块的确认后,才发送下一个序号递增1的STFTP 报文。此外,还采取超时重传机制在内部通信接口上提供可靠的STFTP报文传递。
STFTP协议只采用WRQ、ACK以及DATA三种消息,对WRQ和ACK报文不进行哈希验证过滤。WRQ和ACK两种消息的长度固定为64字节。STFTP协议头包括2字节操作码值域、53 字节文件名值域、1字节文件结束符值域以及8字节数据块序号值域,其中文件名固定使用协议头域的53个字节,文件名最长为53个字符,文件结束符值域固定设置为0x00作为文件名字符串的强制结束符。
这种STFTP报文数据块哈希标签嵌入接收验证过滤机制与传输加密防护机制密切配合,使得来自外网的任何网络攻击都无法渗透到内网处理器中,能够防御外网对内网的任何网络攻击。此外,通过密码网闸隔离模块对传输数据块的加密保护,还能够防御隐藏在内网软件系统中的恶意代码通过文件传输向外网传递敏感信息内容明文的恶意行为。
7、基于密码保护的文件拷贝安全机制
由内网处理器中文件安全拷贝控制软件模块执行的文件加密保护机制、文件拷贝数据块加密与哈希标签验证机制,共同为敏感文件的安全拷贝提供安全保护。
当需要通过安全USB接口拷贝输出敏感文件时,首先基于文件拷贝密钥初值与用户在人机界面输入的安全拷贝密码串接后的哈希运算值形成文件拷贝保护密钥,对敏感文件明文实施文件加密,基于文件哈希密钥对加密后的文件密态数据执行哈希运算,将获得的哈希运算值附加在文件密态数据末尾,形成密态拷贝输出文件。然后将密态拷贝敏感文件的每个480B数据块(文件尾部数据块按实际长度处理)嵌入哈希标签,并基于数据块保护密钥针对每个数据块值域及其哈希标签值域执行分组加密运算,形成密态拷贝输出文件,通过安全USB接口输出到安全USB存储器,形成每个数据块都包含有哈希标签并由分组加密保护的密态拷贝文件。
当需要将安全USB存储器中存储的密态拷贝文件通过安全USB接口拷贝到内网处理器时,基于拷贝数据块保护密钥,对拷贝输入的每个480B密态数据块载荷(末尾数据块按实际长度处理)值域及其哈希标签值域实施分组解密运算,并基于哈希标签密钥进行哈希标签验证运算,过滤掉未通过哈希验证的拷贝数据块,经过了分组解密的每个密态数据块载荷数据形成密态拷贝输入文件。以文件拷贝密钥初值与人机界面输入的文件拷贝密码串接后的哈希运算值形成文件拷贝保护密钥,对密态拷贝输入文件实施文件解密,获得敏感文件明文。
将用户记忆密码作为产生文件拷贝保护密钥的一个要素,只有输入了正确的安全保护密码才能形成正确的文件拷贝保护密钥,为安全计算机之间通过USB拷贝安全交换敏感文件增加一层防失窃破译的安全保护机制。
8、文件加密存储机制
机密文件以加密方式进行存储,将安全USBKey中保存的文件存储密钥初值与用户在内网处理器的人机界面上输入的安全存储密码串接后,通过哈希运算获得文件存储保护密钥,用于实施文件存储加密。即将用户记忆的安全存储密码作为形成文件存储保护密钥的一个要素,使得每个安全计算机都具有不同的体现用户个体特征的文件存储保护密钥,为安全计算机增加一层防失窃破译的安全保护机制。
当用户需要打开加密存储的敏感文件时,在内网处理器的人机显示界面上,打开文件安全存储控制软件选择一个要处理的密态存储文件,将安全USBKey中保存的文件存储密钥初值与用户输入的安全存储密码串接后,通过哈希运算值获得文件存储保护密钥,以文件存储保护密钥对该文件进行解密获得明文态的敏感文件,然后启动文档编辑处理软件,打开明文态的敏感文件,用户进行阅读、编辑工作。
当用户要关闭其正在处理的明文态敏感文件时,基于文件存储保护密钥对其实施文件加密,并以密态模式存储该敏感文件,最后在处理完成后,以随机数反复填充的安全处理机制,彻底粉碎擦除明文文件在硬盘中产生的临时文件数据的痕迹。
9、USBKey安全接入认证机制
内网处理器基于内网处理器硬盘中保存的USBKey公钥和密码算法运算套件实现的非对称密码算法,对所接入的USBKey实行安全接入认证,只允许通过认证的USBKey正常接入安全计算机,只有在USBKey通过了安全接入认证的前提下,内网处理器才可以执行与敏感文件相关的任何操作。
10、基于白盒加密保护的光驱刻录输出密态文件的安全机制
内网处理器运行的文件安全光盘文件拷贝控制软件,在刻录保护密码与文件存储密码的双重管控下,通过USB接口外接光驱刻录输出密态的敏感文件。
用户在人机界面上启动文件安全刻录控制软件,在指定了刻录的密态敏感文件后,提示用户输入刻录保护密码后,再提示用户输入文件存储密码,由文件存储密钥初值与文件存储密码串接后经哈希运算获得文件存储保护密钥,对硬盘上存储的相应密态敏感文件实施解密操作,获得明文态的敏感文件。然后,以刻录密钥初值与刻录保护密码串接后经哈希运算获得刻录保护密钥,加密产生一个敏感文件的刻录密态文件,并且以刻录保护密码作为白盒软件解密刻录文件的输入参数,产生包含刻录密钥初值的相应白盒解密软件文件,启动光盘刻录软件,将该刻录密态文件和白盒解密软件文件通过光驱USB接口发送到刻录机,完成密态文件的光盘刻录输出。在目标机上,执行白盒解密软件时必须输入正确的刻录保护密码才能正确解密出敏感文件明文。
文件安全刻录控制机制不允许通过光驱输入任何文件,避免恶意代码通过光驱输入进入内网处理器。
11、内网处理器系统软件升级的安全机制
基于严格的软件升级安全机制,内网中需要升级的软件系统由与公共互联网物理隔离的专用安全服务器产生。安全服务器基于文件随机化分割、掩码“异或”掩盖保护以及文件加密机制,为软件升级文件的提供机密性保护,通过哈希运算提供软件升级文件的完整性保护,通过服务器的私钥签名提供软件升级文件真实性的密码验证。并且在传输之前,还需要在升级文件的每个密态数据块后依次嵌入哈希标签并对它们实施分组加密保护。专用服务器将受到密码保护的升级软件刻录到光盘中,拷贝到连接互联网的内网软件升级官网服务器上,链接到其网页界面上。
当安全计算机需要升级系统软件时,在外网处理器的人机界面上通过访问官网服务器,直接下载新版本的升级软件到安全计算机的外网处理器的硬盘中,由文件安全交换控制软件基于STFTP协议将其通过内部安全通信链路经由密码网闸传递到内网处理器。用户切换到内网处理器的人机界面后,操作安全交换控制软件,首先去除嵌入的那些数据块哈希标签,并以USBKey内加密保存的文件传输保护密钥解密,再基于文件哈希密钥通过文件哈希值一致性的验证后,获得升级软件文件的两个随机化分割文件,最后再基于USBkey中加密存储的两个1GB长的随机数掩码文件数据,分别对这两个随机化分割文件进行逐字节的“异或”解密运算,若随机化分割文件数据内容长度超过1GB,则重复使用随机数掩码文件数据进行“异或”解密运算,恢复出两个随机化碎片文件,然后经过逐字节的“或”运算合成,恢复出明文形式的升级软件包,然后执行内网处理器系统软件的升级安装过程。
实施例3
本实施例在实施例2的基础上:
本实施例提供了密码网闸处理工作流程,具体如下:
全计算机上电启动软件时,外网处理器和内网处理器分别为其以太网接口固定设置同一网段的IP地址与不同的MAC地址,并且各自设置了一个内部以太网段IP通信的静态ARP 表项。
1.1密码网闸初始化处理流程
当密码网闸上电启动时,采取以下初始化处理步骤:
第一步 通过内部安全控制协议从内网处理器获得数据块保护密钥、哈希标签密钥、外网处理器以太网接口的MAC地址以及内网以太网接口的MAC地址,并且保存在内存中备用。
第二步 将与内网处理器连接的以太网接口的MAC地址设置为外网处理器以太口的MAC 地址,将与外网处理器连接的以太网接口的MAC地址设置为内网处理器以太口的MAC地址。
第三步 将网闸状态设置为初始态,将序号控制值初始化为0,将报文重复计数器值初始化0,关闭状态复位计时器。
至此,密码网闸就完成了初始化处理流程。
1.2密码网闸发送处理工作流程
当密码网闸从连接内网处理器的Eth口接收到一个IP报文的以太帧时,采取以下处理步骤:
第一步 若该IP报文内封装的不是UDP+STFTP协议类型报文,则直接清除报文内容,不作任何进一步的处理。
第二步根据网闸工作状态对该IP报文封装的UDP+STFTP协议报文进行判断:如果网闸处于初始态且为STFTP协议WRQ报文,或网闸处于文件接收态且STFTP协议为ACK报文,或网闸处于文件发送态且STFTP协议为一个数据块长度480字节的DATA报文,则进入下一步的处理;否则清除报文内容,不作进一步的处理。
第三步 若网闸处于初始态且该STFTP协议报文为一个WRQ报文:如果报文重复计数器值小于2且STFTP协议头内的文件名字符串检测合格,则将网闸状态修改为文件发送态,将STFTP协议报文协议头内的第56个字节值强制设置为0x00,复制记录STFTP协议头内的文件名字符串值域的53个字节的值,将序号控制值设置为0,将报文重复计数器值加1,启动状态复位计时器,将该以太网帧的目的MAC地址填充为外网处理器的内部Eth接口的 MAC地址,直接通过连接外网处理器的Eth接口向外网处理器转发,不再作进一步的处理。如果报文重复计数器值为2或STFTP协议头内的文件名字符串检测不合格,则直接清除报文内容,不再作进一步的处理。
第四步若网闸处于文件接收态且该STFTP协议报文为一个ACK报文:如果报文重复计数器值2,同时该STFTP协议头内的文件名字符串53字节值与记录的文件名值一致,并且该STFTP协议头内的数据块序号与记录的序号控制值一致,则将该以太网帧的目的MAC 地址填充为外网处理器的内部Eth接口的MAC地址,直接通过连接外网处理器的Eth接口向外网处理器转发,将报文重复计数器值加1,重置状态复位计时器,不再作进一步的处理;如果该STFTP协议头内的文件名字节串53字节值与记录的文件名字节串不一致,或该STFTP 协议头内的数据块序号与记录的序号控制值不一致,或者报文重复计数器值2,则直接清除报文内容,清除文件名字符串记录和报文重复计数器,将数据块序号控制值重置为初值0,将网闸状态恢复为初始态,不再作进一步的处理。
第五步若网闸处于文件发送态且该STFTP协议报文为一个DATA报文:如果STFTP协议头内的文件名字节串53字节值与记录的文件名字节串值不一致,或者该STFTP协议报文为一个数据块序号重复的DATA报文且报文重复计数器值2,则直接清除报文内容,不作进一步的处理。如果该STFTP协议报文为一个数据块序号重复的DATA报文且报文重复计数器值2,则将报文重复计数器值加1,进入下一个处理步骤。如果STFTP协议头内的数据块序号且与记录的序号控制值加1相等,则将序号控制值加1并且将报文重复计数器值设置为1,进入下一个处理步骤;否则,直接清除报文内容,不作进一步的处理。
第六步 采用哈希算法,基于哈希标签密钥计算STFTP协议封装的密态数据块的32字节哈希标签值。若密态数据块的长度为480字节,则将计算出的哈希标签值填充到STFTP协议数据块哈希标签值域内,进入下一个处理步骤。若密态数据块的长度小于480字节,则将计算出的哈希标签值填充到紧跟STFTP协议数据块的32字节位置内,作为该报文数据块的哈希标签值。
第七步 采用分组密码算法,基于数据块保护密钥对DATA报文内的数据块与数据块哈希标签两个值域执行分组加密运算。
第八步 将执行了哈希标签填充和数据块加密后IP+UDP+STFTP报文,将该以太网帧的目的MAC地址填充为外网处理器的内部Eth接口的MAC地址,通过连接外网处理器的Eth接口向外网处理器转发,重置状态复位计时器。
此外,若状态复位计时器超时,则将网闸状态复位为初始态。
1.3密码网闸接收处理工作流程
当密码网闸从连接外网处理器的Eth口接收到一个IP报文的以太帧时,采取以下处理步骤:
第一步 若该IP报文内封装的不是UDP+STFTP协议类型报文,则直接清除报文内容,不作任何进一步的处理。
第二步如果网闸处于初始态且为STFTP协议WRQ报文,或网闸处于文件发送态且STFTP 协议为ACK报文,或网闸处于文件接收态且STFTP协议为提个数据块长度480字节的DATA 报文,则进入下一步的处理;否则清除报文内容,不作进一步的处理。
第三步 若网闸处于初始态且该STFTP协议报文为一个WRQ报文:如果报文重复计数器值小于2且STFTP协议头内的文件名字符串检测合格,则将网闸状态修改为文件接收态,将STFTP协议报文协议头内的第56个字节值强制设置为0x00,复制记录STFTP协议头内的文件名字符串值域的53个字节的值,将序号控制值设置为0,将报文重复计数器值加1,启动状态复位计时器,将该以太网帧的目的MAC地址填充为内网处理器的内部Eth接口的 MAC地址,直接通过连接内网处理器的Eth接口向内网处理器转发,不再作进一步的处理。如果报文重复计数器值为2或STFTP协议头内的文件名字符串检测不合格,则直接清除报文内容,不再作进一步的处理。
第四步若网闸处于文件发送态且该STFTP协议报文为一个ACK报文:如果报文重复计数器值2,同时该STFTP协议头内的文件名字符串53字节值与记录的文件名值一致,并且该STFTP协议头内的数据块序号与记录的序号控制值一致,则将该以太网帧的目的MAC 地址填充为内网处理器的内部Eth接口的MAC地址,直接通过连接内网处理器的Eth接口向内网处理器转发,将报文重复计数器值加1,重置状态复位计时器,不再作进一步的处理;如果该STFTP协议头内的文件名字节串53字节值与记录的文件名字节串不一致,或该STFTP 协议头内的数据块序号与记录的序号控制值不一致,或者报文重复计数器值2,则直接清除报文内容,清除文件名字符串记录和报文重复计数器,将数据块序号控制值重置为初值0,将网闸状态恢复为初始态,不再作进一步的处理。
第五步若网闸处于文件接收态且该STFTP协议报文为一个DATA报文:如果STFTP协议头内的文件名字节串53字节值与记录的文件名字节串值不一致,或者该STFTP协议报文为一个数据块序号重复的DATA报文且报文重复计数器值2,则直接清除报文内容,不作进一步的处理。如果该STFTP协议报文为一个数据块序号重复的DATA报文且报文重复计数器值2,则将报文重复计数器值加1,进入下一个处理步骤。如果STFTP协议头内的数据块序号且与记录的序号控制值加1相等,则将序号控制值加1并且将报文重复计数器值设置为1,进入下一个处理步骤;否则,直接清除报文内容,不作进一步的处理。
第六步 基于数据块保护密钥,采用分组密码算法对DATA报文内的数据块与数据块哈希标签两个值域执行分组解密运算。
第七步 基于哈希标签密钥,针对DATA报文内的密态数据块执行哈希运算,获得32字节哈希值。若计算获得的32字节哈希值与DATA报文内的哈希标签值一致,则进入下一个处理步骤;否则,直接清除报文内容,不作进一步的处理。
第八步 将执行了数据块分组解密后IP+UDP+STFTP报文,将该以太网帧的目的MAC地址填充为内网处理器的内部Eth接口的MAC地址,通过连接内网处理器的Eth接口向内网处理器转发,重置状态复位计时器。
此外,若状态复位计时器超时,则将网闸状态复位为初始态。
实施例4
本实施例在实施例3的基础上:
本实施例提供了敏感文件拷贝处理工作流程,具体如下:
2.1敏感文件拷贝输出处理工作流程
当需要通过安全USB接口拷贝输出一个敏感文件时,采取以下处理步骤(所有加/解密和哈希运算由文件加/解密软件模块调用密码算法运算套件完成):
第一步 打开安全USB文件拷贝控制软件的人机界面,选择需要拷贝输出的密态敏感文件,首先提示用户输入文件存储密码,然后从USBKey中获取文件存储密钥初值。
第二步 将文件存储密钥初值与人机界面输入的文件存储密码串接,执行哈希运算形成文件存储保护密钥,用于对需要拷贝输出的密态敏感文件执行文件解密运算,获得明文态敏感文件。
第三步 在人机界面上提示用户输入安全拷贝密码,并从USBKey中获取文件拷贝密钥初值、文件哈希密钥、数据块保护密钥以及哈希标签密钥。
第四步 将文件拷贝密钥初值与安全拷贝密码串接,执行哈希运算形成文件拷贝保护密钥。
第五步 首先基于文件拷贝保护密钥,对敏感文件明文实施文件加密,然后基于文件哈希密钥对加密后的文件密态数据执行哈希运算,将获得的哈希运算值附加在文件密态数据末尾,形成密态拷贝输出文件。
第六步 首先基于哈希标签密钥针对密态拷贝敏感文件的每个480B数据块(末尾数据块按实际长度处理)执行哈希运算并嵌入哈希标签,然后基于数据块保护密钥针对每个数据块值域及其哈希标签值域执行分组加密运算,形成每个数据块都跟随了一个哈希标签并由分组加密保护的密态拷贝文件,通过安全USB接口拷贝输出到安全USB存储器。
至此,就完成了文件拷贝输出的处理流程。
2.2敏感文件拷贝输入处理工作流程
当需要通过安全USB接口拷贝输入一个敏感文件时,采取以下处理步骤(所有加/解密和哈希运算由文件加/解密软件模块调用密码算法运算套件完成):
第一步 打开安全USB文件拷贝控制软件的人机界面,选择需要拷贝输入的密态拷贝文件;
第二步 从USBKey中获取文件哈希密钥、数据块保护密钥以及哈希标签密钥;
第三步 首先基于数据块保护密钥针对每个480B数据块(末尾数据块按实际长度处理) 值域及其哈希标签值域执行分组解密运算,然后基于哈希标签密钥针对拷贝输入的每个 480B数据块(末尾数据块按实际长度处理)执行哈希值运算,并将运算结果与其跟随的哈希标签值进行一致性验证,若未通过哈希标签验证则丢弃该数据块,所有通过了哈希标签验证的拷贝输入数据块形成一个密态拷贝输入文件;
第四步 在人机界面上提示用户输入文件拷贝密码,并从USBKey中获取文件拷贝密钥初值。
第五步 将文件拷贝密钥初值与人机界面输入的文件拷贝密码串接,执行哈希运算形成文件拷贝保护密钥,首先基于文件哈希密钥验证输入文件的完整性,然后对拷贝输入的密态敏感文件执行文件数据解密运算,获得明文态的拷贝输入文件。
第六步 提示用户输入文件存储密码,并从USBKey中获取文件存储密钥初值;
第七步 将文件存储密钥初值与文件存储密码串接,执行哈希运算形成文件存储保护密钥,对拷贝输入的明文态敏感文件实施文件数据加密,将获得的密态敏感文件保存到内网处理器的硬盘中。
至此,就完成了文件拷贝输入的处理流程。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。如果本领域技术人员,在不脱离本发明的精神所做的非实质性改变或改进,都应该属于本发明权利要求保护的范围。
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
Claims (11)
1.一种基于双处理器KVM切换与密码隔离的安全计算机系统,其特征在于,计算机包括外网处理器板、内网处理器板以及安全隔离控制板,
所述外网处理器板用于提供连接公共互联网的普通运行环境,内网处理器板用于提供一个与敏感文件处理相关的所有操作的安全运行环境;外网处理器板与内网处理器板通过安全隔离控制板进行通信;所述安全隔离控制板包括KVM接口切换模块、切换控制逻辑电路模块以及密码网闸模块;所述切换控制逻辑电路模块接收内网、外网处理器命令,对KVM接口切换模块下达执行KVM接口切换命令;KVM接口切换模块通过KVM接口切换控制实现普通运行环境与安全运行环境的人机操作界面的安全隔离;密码网闸模块设置在内网处理器板与外网处理器板之间实现严格的安全隔离控制,并建立一条基于密码防护的内部安全通信链路,通过安全TFTP协议实现密态文件的双向安全交换;采用密码保护及数据块密态哈希标签机制确保文件拷贝安全,并且对内网处理器的USB设备HID接口实施严格的单一功能限制以防御来自USB接口的攻击;
所述密码网闸隔离控制机制工作在内部安全通信链路上,针对内网处理器发送的每个安全TFTP协议报文密态数据块基于哈希标签密钥执行哈希标签运算填充,并且针对内网处理器接收的每个安全TFTP报文内的数据块与哈希标签值域执行分组解密和哈希标签运算验证,阻止针对内网处理器的任何伪造与篡改安全TFTP协议报文的攻击;密码网闸基于有限状态机,针对安全TFTP协议的每个递增的控制序号执行一报文一应答的严格流量控制;
所述密码网闸对于接收到的每个安全TFTP报文的密态数据块与数据块哈希标签值域,在进行分组解密后,只有通过了基于哈希标签密钥的哈希标签一致性验证才能中继转发给内网处理器;对于未通过哈希标签一致性验证的所有非法的安全TFTP报文全部滤除掉;
密码网闸对于内网处理器发送的正确规范的写请求报文和确认报文不进行过滤,也不填充哈希标签值,但需要检查其文件名是否合规,数据块序号是否合规,滤除不符合安全TFTP协议流程的、可能具有安全风险的写请求报文和确认报文;
还包括防御USB HID对内网攻击的安全机制:在内网处理器的USB的驱动软件系统中,增加安全控制机制,只允许具备单一功能的HID USB接口设备接入内网处理器,包括:
对USB HID接口接收的HID报表数据执行严格的过滤控制,当键鼠USB设备经过枚举进入正常工作状态后,不允许产生批量输出/输入的事务;
禁止通过拓展键鼠USB设备的端点存储功能使键鼠USB设备具备复合型USB设备的功能,即禁止键盘、鼠标USB设备同时具备USB存储设备的功能,若键鼠USB的配置描述符内含的端点描述符中出现了USB存储设备的描述符,则禁止其接入;
禁止USB存储设备具备键盘、鼠标的功能,若USB存储设备的配置描述符内含的端点描述符中出现了键鼠设备的描述符,则禁止其接入;
禁止键盘输入的报表数据长度超过8个字节,禁止鼠标输入的报表数据长度超过4个字节,禁止键鼠USB接口输出帧的字节长度超过规定的字节数,其中IN帧内容为3字节,ACK帧内容为1字节;
所述密码保护及数据块密态哈希标签机制:
当需要通过安全USB接口拷贝输出敏感文件时,首先基于文件拷贝密钥初值与用户在人机界面输入的安全拷贝密码串接后的哈希运算值形成文件拷贝保护密钥,对敏感文件明文实施文件加密,基于文件哈希密钥对加密后的文件密态数据执行哈希运算,将获得的哈希运算值附加在文件密态数据末尾,形成密态拷贝输出文件;然后将密态拷贝敏感文件的每个数据块嵌入哈希标签,并基于数据块保护密钥针对每个数据块值域及其哈希标签值域执行分组加密运算,形成密态拷贝输出文件,通过安全USB接口输出到安全USB存储器,形成每个数据块都包含有哈希标签并由分组加密保护的密态拷贝文件;
当需要将安全USB存储器中存储的密态拷贝文件通过安全USB接口拷贝到内网处理器时,基于拷贝数据块保护密钥,对拷贝输入的每个密态数据块载荷值域及其哈希标签值域实施分组解密运算,并基于哈希标签密钥进行哈希标签验证运算,过滤掉未通过哈希验证的拷贝数据块,经过分组解密的每个密态数据块载荷数据形成密态拷贝输入文件;以文件拷贝密钥初值与人机界面输入的文件拷贝密码串接后的哈希运算值形成文件拷贝保护密钥,对密态拷贝输入文件实施文件解密,获得敏感文件明文;
将用户记忆密码作为产生文件拷贝保护密钥的一个要素,只有输入了正确的安全保护密码才能形成正确的文件拷贝保护密钥。
2.根据权利要求1所述的基于双处理器KVM切换与密码隔离的安全计算机系统,其特征在于,所述KVM接口切换控制使得用户可以在处理非敏感应用的外网运算环境与处理敏感应用的内网计算环境之间任意地快速地按需切换,当用户需要处理敏感/机密文件时,将人机界面接口切换连接到内网处理器人机接口,使用户可以立即在内网处理器的人机界面上操作。
3.根据权利要求2所述的基于双处理器KVM切换与密码隔离的安全计算机系统,其特征在于,在密码网闸隔离执行接收过滤时,对于非UDP指定端口、安全TFTP协议值域填充不正确以及没有通过数据块哈希标签验证的安全TFTP报文,采取将其接收内存全部清零并释放的防范措施,不再传送到内网处理器的接收内存中,防止其中搭载的恶意代码字节进入内网处理器。
4.根据权利要求3所述的基于双处理器KVM切换与密码隔离的安全计算机系统,其特征在于,还包括防御外网通过互联网协议对内网攻击的安全机制:
计算机将内部安全通信链路定义为一条以太网链路,为其设置了一个仅限于内部使用的IP地址段,内、外网处理器为链路两端设置了指定的IP地址和MAC地址,并且在初始化时分别在两端以静态方式各自设置了ARP解析表项;以太网链路两端都不启动ARP协议,避免了来自外网处理器的ARP攻击;
在密码网闸进行接收过滤时,对于接收到的非安全TFTP报文,首先将整个报文全部内容字节清零,然后予以丢弃;同时,也过滤掉向外网发送的所有非安全TFTP报文,防止内网隐藏木马通过非安全TFTP协议报文途径泄露敏感信息。
5.根据权利要求4所述的基于双处理器KVM切换与密码隔离的安全计算机系统,其特征在于,还包括密态文件在公网上传输的安全机制:
计算机联合采取文件随机化分割与随机化掩盖、两个随机化分割文件基于不同的文件传输保护密钥分别实施数据加密的传输保护机制,为经由互联网传输的敏感文件提供了四重密钥空间的加密保护,随机化分割加密保护的两个文件在移动互联网上分别采取电子邮件和即时通信两种不同的通信方式传输。
6.根据权利要求5所述的基于双处理器KVM切换与密码隔离的安全计算机系统,其特征在于,所述密态文件在公网上具体传输过程为:
发送过程:
在明文态的敏感文件传输之前,从密码算法运算套件获得实时产生的与文件等长的随机数,通过随机化分割机制将其分割为两个随机化的碎片文件,再基于USBkey中加密存储的两个1GB长的随机数掩码文件数据对这两个随机化碎片文件进行逐字节的异或掩码计算,若文件数据内容长度超过1GB,则重复使用随机数掩码进行异或掩盖运算,获得两个随机化分割文件;再以USBKey内加密存储的两个文件传输保护密钥分别对这两个随机化分割文件数据进行分组加密运算与哈希值运算,将32字节哈希值附加在随机化分割文件末尾,最后由形成两个独立的随机化分割密态传输文件,分别经由安全TFTP协议传输到外网处理器,再经由互联网电子邮件或微信等即时通信手段传输到目的地计算机,最后通过安全TFTP协议传送到目的地计算机的内网处理器;
接收过程:
当目的地内网处理器接收到这两个关联的随机化分割密态传输文件后,对这两个随机化分割传输文件数据进行哈希运算与一致性验证后,去掉文件末尾的32字节哈希值,以USBKey内加密存储的两个文件传输保护密钥分别基于分组算法进行文件数据解密运算,获得两个独立的随机化分割文件,再以其USBkey中加密存储的两个1GB长的随机数掩码文件数据分别对对应的随机化分割文件进行逐字节的“异或”解密计算,若随机化分割文件数据内容长度超过1GB,则重复使用随机数掩码文件数据进行“异或”解密运算,获得两个随机化碎片文件;最后将这两个随机化碎片文件的数据内容进行逐字节的“或”合并运算,恢复出原来的明文态文件,并以当前产生的文件存储保护密钥对解密获得的整个明文文件进行加密,再保存到本地硬盘中。
7.根据权利要求6所述的基于双处理器KVM切换与密码隔离的安全计算机系统,其特征在于,还包括对TFTP协议的安全增强机制:
在内部安全通信链路上,基于安全TFTP协议来发送/接收经过随机化分割获得的两个随机化分割密态文件;安全TFTP协议严格实施一报文一应答的UDP报文通信控制,密码网闸基于UDP报文序号严格执行一问一答的报文单向通信管制;安全TFTP协议将TFTP的数据块序号扩展为8字节,使得传输的每个随机化分割文件数据块的序号绝对不会出现重复的现象;安全TFTP协议采取对称工作模式,不区分客户端与服务器端,但为了便于实施严格的文件传输流向管控,每次文件传输只允许在一个方向上执行文件传递处理过程,即内、外网处理器都可以启动安全TFTP协议在内部通信链路上传输随机化分割密态文件;
安全TFTP协议采取了基于每个TFTP报文确认的严格流控机制,即每发送了一个安全TFTP协议数据块,必须在接收到对端对该序号的数据块的确认后,才发送下一个序号递增1的安全TFTP协议报文;此外,还采取超时重传机制在内部通信接口上提供可靠的安全TFTP协议报文传递。
8.根据权利要求7所述的基于双处理器KVM切换与密码隔离的安全计算机系统,其特征在于,还包括文件加密存储机制:
机密文件以加密方式进行存储,将安全USBKey中保存的文件存储密钥初值与用户在内网处理器的人机界面上输入的安全存储密码串接后,通过哈希运算获得文件存储保护密钥,用于实施文件存储加密;即将用户记忆的安全存储密码作为形成文件存储保护密钥的一个要素,使得每个计算机都具有不同的体现用户个体特征的文件存储保护密钥,为计算机增加一层防失窃破译的安全保护机制;具体包括:
当用户需要打开加密存储的敏感文件时,在内网处理器的人机显示界面上,打开文件安全存储控制软件选择一个要处理的密态存储文件,将安全USBKey中保存的文件存储密钥初值与用户输入的安全存储密码串接后,通过哈希运算值获得文件存储保护密钥,以文件存储保护密钥对该文件进行解密获得明文态的敏感文件,然后启动文档编辑处理软件,打开明文态的敏感文件,用户进行阅读、编辑工作;
当用户要关闭其正在处理的明文态敏感文件时,基于文件存储保护密钥对其实施文件加密,并以密态模式存储该敏感文件,最后在处理完成后,以随机数反复填充的安全处理机制,彻底粉碎擦除明文文件在硬盘中产生的临时文件数据的痕迹。
9.根据权利要求8所述的基于双处理器KVM切换与密码隔离的安全计算机系统,其特征在于,还包括USBKey安全接入认证机制:
内网处理器基于内网处理器硬盘中保存的USBKey公钥和密码算法运算套件实现的非对称密码算法,对所接入的USBKey实行安全接入认证,只允许通过认证的USBKey正常接入计算机,只有在USBKey通过了安全接入认证的前提下,内网处理器才可以执行与敏感文件相关的任何操作。
10.根据权利要求9所述的基于双处理器KVM切换与密码隔离的安全计算机系统,其特征在于,还包括基于白盒加密保护的光驱刻录输出密态文件的安全机制:在通过光驱刻录输出密态文件时,在指定了刻录的密态敏感文件后,提示用户输入刻录保护密码后,再提示用户输入文件存储密码,由文件存储密钥初值与文件存储密码串接后经哈希运算获得文件存储保护密钥,对硬盘上存储的相应密态敏感文件实施解密操作,获得明文态的敏感文件;然后,以刻录密钥初值与刻录保护密码串接后经哈希运算获得刻录保护密钥,加密产生一个敏感文件的刻录密态文件,并且以刻录保护密码作为白盒软件解密刻录文件的输入参数,产生包含刻录密钥初值的相应白盒解密软件文件,启动光盘刻录软件,将该刻录密态文件和白盒解密软件文件通过光驱USB接口发送到刻录机,完成密态文件的光盘刻录输出内网处理器运行的文件安全光盘文件拷贝控制软件,在刻录保护密码与文件存储密码的双重管控下,通过USB接口外接光驱刻录输出密态的敏感文件;
计算机不允许通过光驱输入任何文件,避免恶意代码通过光驱输入进入内网处理器。
11.根据权利要求10所述的基于双处理器KVM切换与密码隔离的安全计算机系统,其特征在于,还包括内网处理器系统软件升级的安全机制:
基于严格的软件升级安全机制,内网中需要升级的软件系统由与公共互联网物理隔离的专用安全服务器产生;安全服务器基于文件随机化分割、掩码“异或”掩盖保护以及文件加密机制,为软件升级文件的提供机密性保护,通过哈希运算提供软件升级文件的完整性保护,通过服务器的私钥签名提供软件升级文件真实性的密码验证;并且在传输之前,还需要在升级文件的每个密态数据块后依次嵌入哈希标签并对它们实施分组加密保护;专用服务器将受到密码保护的升级软件刻录到光盘中,拷贝到连接互联网的内网软件升级官网服务器上,链接到其网页界面上;
当计算机需要升级系统软件时,在外网处理器的人机界面上通过访问官网服务器,直接下载新版本的升级软件到计算机的外网处理器的硬盘中,由文件安全交换控制软件基于安全TFTP协议将其通过内部安全通信链路经由密码网闸传递到内网处理器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010810383.4A CN112073380B (zh) | 2020-08-13 | 2020-08-13 | 一种基于双处理器kvm切换与密码隔离的安全计算机系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010810383.4A CN112073380B (zh) | 2020-08-13 | 2020-08-13 | 一种基于双处理器kvm切换与密码隔离的安全计算机系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112073380A CN112073380A (zh) | 2020-12-11 |
| CN112073380B true CN112073380B (zh) | 2022-02-08 |
Family
ID=73661561
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010810383.4A Active CN112073380B (zh) | 2020-08-13 | 2020-08-13 | 一种基于双处理器kvm切换与密码隔离的安全计算机系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112073380B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113329025B (zh) * | 2021-06-07 | 2022-06-28 | 中国电子科技集团公司第二十九研究所 | 基于软件授权嵌入式对称加密的记录数据保护方法及系统 |
| CN115065498B (zh) * | 2022-04-15 | 2024-03-22 | 北京全路通信信号研究设计院集团有限公司 | 一种外设摆渡装置及其系统 |
| CN115348118B (zh) * | 2022-10-20 | 2023-02-17 | 中国人民解放军军事科学院系统工程研究院 | 一种基于密码技术的网络地址和端口号隐藏方法 |
| CN116192383B (zh) * | 2023-02-22 | 2023-10-31 | 深圳市怡丰云智科技股份有限公司 | 基于erp加密的物联网监控方法、装置、设备及存储介质 |
| CN116260657B (zh) * | 2023-05-09 | 2023-07-21 | 南京汇荣信息技术有限公司 | 适用于网络安全系统的信息加密方法及系统 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6469690B1 (en) * | 2000-04-20 | 2002-10-22 | International Business Machines Corporation | Data sharing for multi-CPU mouse/keyboard switcher |
| CN201489416U (zh) * | 2009-09-02 | 2010-05-26 | 上海芯动信息技术有限公司 | 一种多核一体双屏计算机 |
| CN102024108A (zh) * | 2010-11-19 | 2011-04-20 | 惠州市创亿鑫科技有限公司 | 单主板双独立安全计算机系统 |
| EP2391195A2 (en) * | 2010-05-31 | 2011-11-30 | Caswell Inc. | High-density computer sytem with high-performance CPU card sharing structure |
| CN203299824U (zh) * | 2013-06-16 | 2013-11-20 | 天津迪豪科技有限公司 | 一种可实现网络物理隔离的计算机安全装置 |
| CN103853987A (zh) * | 2012-11-29 | 2014-06-11 | 中晟国计科技有限公司 | 双网一体式电脑终端 |
| CN205490660U (zh) * | 2016-02-29 | 2016-08-17 | 石磊 | 一种计算机网络安全隔离装置 |
| CN106201404A (zh) * | 2016-07-11 | 2016-12-07 | 深圳市杰云科技有限公司 | 一种双网隔离的双远程桌面连接的装置及方法 |
| CN106775927A (zh) * | 2016-11-25 | 2017-05-31 | 郑州云海信息技术有限公司 | 一种基于kvm虚拟化技术的处理器隔离方法及装置 |
| CN108681677A (zh) * | 2018-05-14 | 2018-10-19 | 深圳市永达电子信息股份有限公司 | 基于usb接口安全隔离双网计算机的方法、装置及系统 |
| CN110266725A (zh) * | 2019-07-08 | 2019-09-20 | 何荣宝 | 密码安全隔离模块及移动办公安全系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040107358A1 (en) * | 2003-09-26 | 2004-06-03 | Peter Shiakallis | [DataVault X4 Multi-Network Secure Computer] |
| US10193857B2 (en) * | 2015-06-30 | 2019-01-29 | The United States Of America, As Represented By The Secretary Of The Navy | Secure unrestricted network for innovation |
| US10958435B2 (en) * | 2015-12-21 | 2021-03-23 | Electro Industries/ Gauge Tech | Providing security in an intelligent electronic device |
-
2020
- 2020-08-13 CN CN202010810383.4A patent/CN112073380B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6469690B1 (en) * | 2000-04-20 | 2002-10-22 | International Business Machines Corporation | Data sharing for multi-CPU mouse/keyboard switcher |
| CN201489416U (zh) * | 2009-09-02 | 2010-05-26 | 上海芯动信息技术有限公司 | 一种多核一体双屏计算机 |
| EP2391195A2 (en) * | 2010-05-31 | 2011-11-30 | Caswell Inc. | High-density computer sytem with high-performance CPU card sharing structure |
| CN102024108A (zh) * | 2010-11-19 | 2011-04-20 | 惠州市创亿鑫科技有限公司 | 单主板双独立安全计算机系统 |
| CN103853987A (zh) * | 2012-11-29 | 2014-06-11 | 中晟国计科技有限公司 | 双网一体式电脑终端 |
| CN203299824U (zh) * | 2013-06-16 | 2013-11-20 | 天津迪豪科技有限公司 | 一种可实现网络物理隔离的计算机安全装置 |
| CN205490660U (zh) * | 2016-02-29 | 2016-08-17 | 石磊 | 一种计算机网络安全隔离装置 |
| CN106201404A (zh) * | 2016-07-11 | 2016-12-07 | 深圳市杰云科技有限公司 | 一种双网隔离的双远程桌面连接的装置及方法 |
| CN106775927A (zh) * | 2016-11-25 | 2017-05-31 | 郑州云海信息技术有限公司 | 一种基于kvm虚拟化技术的处理器隔离方法及装置 |
| CN108681677A (zh) * | 2018-05-14 | 2018-10-19 | 深圳市永达电子信息股份有限公司 | 基于usb接口安全隔离双网计算机的方法、装置及系统 |
| CN110266725A (zh) * | 2019-07-08 | 2019-09-20 | 何荣宝 | 密码安全隔离模块及移动办公安全系统 |
Non-Patent Citations (6)
| Title |
|---|
| KVM虚拟化技术中处理器隔离的实现;黄煜 等;《计算机系统应用》;20121231;全文 * |
| Variations in Performance Measurements of Multi-core Processors: A Study of n-Tier Applications;Junhee Park 等;《IEEE》;20131231;全文 * |
| 一种数据加密与完整性保护的网闸实现方法;李旋 等;《南通大学学报(自然科学版)》;20140331;第13卷(第1期);全文 * |
| 基于双处理器网络隔离模式的安全客户端系统研究;王浩;《万方数据库》;20120630;全文 * |
| 物理隔离KVM共享切换器的研究与实现;郭夏;《中国优秀硕士学位论文数据库 信息科技辑》;20121231;第2-4章 * |
| 采用数字签名技术的可信启动方法研究;杨霞 等;《电子科技大学学报》;20160531;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112073380A (zh) | 2020-12-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112073380B (zh) | 一种基于双处理器kvm切换与密码隔离的安全计算机系统 | |
| US10097536B2 (en) | Space-time separated and jointly evolving relationship-based network access and data protection system | |
| Swierczynski et al. | Interdiction in practice—Hardware Trojan against a high-security USB flash drive | |
| US8468351B2 (en) | Digital data authentication | |
| US20100287382A1 (en) | Two-factor graphical password for text password and encryption key generation | |
| Ayub et al. | Empirical study of PLC authentication protocols in industrial control systems | |
| CN112069555B (zh) | 一种基于双硬盘冷切换运行的安全计算机架构 | |
| CN108595982B (zh) | 一种基于多容器分离处理的安全计算架构方法及装置 | |
| WO2010071947A1 (en) | Digital video guard | |
| US20130054767A1 (en) | Autonomous network device configuration method | |
| US11403428B2 (en) | Protecting integrity of log data | |
| Shakevsky et al. | Trust dies in darkness: Shedding light on samsung's {TrustZone} keymaster design | |
| US8954624B2 (en) | Method and system for securing input from an external device to a host | |
| Ender et al. | A cautionary note on protecting xilinx’ultrascale (+) bitstream encryption and authentication engine | |
| CN112069535B (zh) | 一种基于访问分区物理隔离的双系统安全智能终端架构 | |
| CN112087294B (zh) | 一种基于密态哈希标签防护的便携式安全计算机系统 | |
| Kloibhofer et al. | LoRaWAN with HSM as a security improvement for agriculture applications | |
| Benoit et al. | Mobile terminal security | |
| Sarma | Security of hard disk encryption | |
| CN109918910A (zh) | 一种键盘管理器 | |
| Khafajah et al. | Enhancing the adaptivity of encryption for storage electronic documents | |
| Mohamed | Steganography for better data integrity and privacy | |
| CN117318932A (zh) | 一种基于Nginx插件的API防篡改与防重放的系统和方法 | |
| Kannamanani | Software to provide security for Web Browser Cookies and Passwords using Trusted Computing Technology | |
| Schultz | Using ssh: Do security risks outweigh the benefits? |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |