CN1208728C - 具有信息安全管理单元的安全计算机 - Google Patents

具有信息安全管理单元的安全计算机 Download PDF

Info

Publication number
CN1208728C
CN1208728C CN 01138250 CN01138250A CN1208728C CN 1208728 C CN1208728 C CN 1208728C CN 01138250 CN01138250 CN 01138250 CN 01138250 A CN01138250 A CN 01138250A CN 1208728 C CN1208728 C CN 1208728C
Authority
CN
China
Prior art keywords
computer
unit
management unit
identity information
safety management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN 01138250
Other languages
English (en)
Other versions
CN1423203A (zh
Inventor
刘毅
吕永康
张焕国
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
JETWAY Information Security Industry Co., Ltd.
Original Assignee
WUHAN RUIDA ELECTRONIC CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by WUHAN RUIDA ELECTRONIC CO Ltd filed Critical WUHAN RUIDA ELECTRONIC CO Ltd
Priority to CN 01138250 priority Critical patent/CN1208728C/zh
Publication of CN1423203A publication Critical patent/CN1423203A/zh
Application granted granted Critical
Publication of CN1208728C publication Critical patent/CN1208728C/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明涉及一种具有信息安全管理单元的安全计算机。所述安全计算机包括身份信息输入设备接口,信息安全管理单元,安全控制执行单元,开机电路单元,计算机外设开关电路单元,以及计算机主板单元,安全计算机中的安全管理单元还可做成安全模块(ESM)。其优点在于:具有自检,验证,从底层硬件控制管理信息,从而解决和改善了计算机信息的安全保护问题。

Description

具有信息安全管理单元的安全计算机
                        技术领域
本发明涉及一种具有信息安全管理单元的安全计算机,属于计算机信息安全技术领域,特别适合于计算机信息安全保密性极强的用户使用。
                        背景技术
现有的计算机信息保密技术措施,主要考虑下述安全威胁:
1、病毒问题。这是已经存在的最为广泛的计算机安全问题。由于计算机病毒程序很容易制作和传递,因此,计算机病毒有极大的破坏性。
2、非法访问和破坏(黑客攻击)。目前的计算机安全技术还缺乏针对计算机网络犯罪卓有成效的反击和跟踪手段,“黑客”攻击是计算机信息安全的主要威胁。
3、管理手段的欠缺,包括内部人员泄露计算机上的安全信息,外部人员通过非法手段截获而导致计算机上的安全信息的泄露,在计算机系统中对需要保密的信息缺乏有效的监控。
4、计算机网络的缺陷及计算机软件的漏洞。特别是英特网的共享性和开放性使网上的信息安全存在先天的不足,其赖以生存的TCP/IP计算机通信协议缺乏相应的安全机制。
为了解决和改善计算机信息的安全威胁的问题,现有的安全措施包括:以计算机软件的方式来实现计算机上的信息的安全保护,其中包括:加入防火墙软件,入侵检测,防病毒软件等,这种计算机安全方式在处理方法上与计算机操作系统软件有较为密切的关联,但是入侵者仍然可以通过操纵操作系统的漏洞进入计算机,从而绕过防护软件。另外,防护软件本身也存在容易被他人攻破的缺点,这种安全保护方式是建立在计算机操作系统的上层应用程序的基础上的保护措施,当入侵者经过简单的身份验证后即可以进入系统,并可以任意的对计算机系统进行任意操作,而计算机合法用户却无法对计算机系统各个重要部分进行有效管理和控制,无法从根本上解决计算机系统的信息安全问题。
                        发明内容
本发明的目的在于,为解决和改善克服现有的计算机系统存在的信息安全问题,提供一种信息安全计算机及其保护方法,旨在解决通用计算机的安全性能问题,以通用计算机系统的主板为基础,加入安全管理单元,它可以是嵌入式安全模块(ESM)。从硬件底层开始对计算机系统信息进行安全保护,以软硬件相结合的形式保障计算机系统的信息安全。
本发明的具有信息安全管理单元的安全计算机的技术方案是:它包括计算机的外围设备,中央处理器(CPU),存储器,安全计算机主板;该安全计算机主板包括:一个能连接专有用户身份信息输入设备1的身份信息输入设备接口2;一个对上述身份信息输入接口2的信息进行验证,并由其中的控制信号发生单元5.3输出和身份信息相关的控制信号的信息安全管理单元5;一个对上述信息安全管理单元5输出的和身份信息相关的控制信号进行执行的安全控制执行单元6;一个根据安全控制执行单元6输出的执行控制信号决定是否准许用户启动计算机系统的开机电路单元7;一个根据安全控制执行单元6输出的用户信息相关的执行控制信号决定该用户可以使用的相关外围设备11的使用权限的计算机外设开关电路单元9;一个受开机电路单元7和计算机外设开关电路单元9控制是否开启或关闭计算机和是否开启相关外围设备11的通用计算机主板单元8。
本发明的工作原理如图1所示:
1、当用户按动安全计算机系统的开机按钮4时,首先进行上电的是信息安全管理单元5,如模块(ESM)部分。信息安全管理单元5首先启动并进行自检,并且由信息安全管理单元5的自身操纵系统对安全模块进行初始化操作,然后对外部设备进行检测。如果外部设备有异常,则由安全模块进行报警。
2、当信息安全管理单元5自检并由自身的操作系统对信息安全管理单元5进行初始化完成后,再由专用用户身份信息输入设备1读取用户的身份信息。用户的身份信息将由信息安全管理单元5中的密码和身份校验部分对用户的密码和权限进行检测,在获得正确的信息后,由信息安全管理单元5设置用户对该系统使用范围和权限。
3、信息安全管理单元5发出的安全控制信号发送给安全控制执行单元6,由安全控制执行单元6对要控制的通用计算机主板单元8的相关的各个部分进行控制。
4、当控制信号发出后,再由信息安全管理单元5给安全控制执行单元6发出通用计算机主板单元8的开机信号,此时才打开通用计算机主板单元8。也就是说,在计算机系统正式启动之前,已经有信息安全管理单元5对计算机的用户访问部分进行了硬件的控制,而这些控制信号完全来自于信息安全管理单元5。那么用户在进入计算机操作系统后,无法通过系统的上层应用软件对控制电路进行操作,也就无法修改自己所拥有的访问权限和访问范围。
5、安全控制执行单元6对计算机外围设备11如键盘、鼠标、打印机等的控制,以确保没有权限的用户无法通过外围设备传递所需要保密而他自己又无权带走的重要文件。
6、为了防止不同用户彼此之间的文件安全,本发明中还可以有一个文件加密系统,用户可以对自己认为重要的文件进行加密处理。而加密的原则是将要加密的文件通过加密通道3传递给信息安全管理单元5,让文件在信息安全管理单元5中进行加密处理,加密的密钥保留在信息安全管理单元5中,加密好的文件再传送回通用计算机主板单元8中保存。其他用户无法进入安全模块获取密钥,也就无法正确打开已经加密的文件。
7、当用户自己要打开已经加密的文件时,加密文件的解密过程也是在信息安全管理单元5中进行。而密钥的传送通道则埋藏在硬件主板的内层,其他人员也就无法通过测量的手段获取别人的密钥。
8、当用户在进入操作系统后,如果进行复位计算机系统的操作,则该操作先对安全系统接收,安全系统先要判断该信号是否是正常给出的,否则不会对计算机系统进行复位操作。如果是,则先校验系统后再对计算机系统进行复位的操作,以避免用户先进入系统,再进行复位操作后避开安全系统对计算机系统的安全检测和控制功能。
本发明的优点在于:
1、由于采用了信息安全管理单元5对计算机进行管理,从底层开始对计算机进行保护,使入侵者无法通过软件方式解密;
2、信息安全管理单元5可以是安全模块(ESM),具有自检功能,即在计算机启动之前,先行启动信息安全管理单元(ESM)5。信息安全管理单元5除执行自检操作外,还检测用户的身份信息,判断该用户是否为合法用户,另外还检测计算机的外部设备是否正常。当用户身份得到验证后,信息安全管理单元5还指令多个设备自我验证,只有当全部验证完后,信息安全管理单元5才指令打开相应的硬件设备。
3、在合法的用户群体中,其通过合法专有用户的身份信息输入接口2输入给信息安全管理单元5的身份信息中,将包括其使用权限和级别,对于不同的权限的用户,安全系统将打开不同的外围设备11,供其使用。由于此时外围设备1 1的关断与打开,完全由硬件进行,所以,即使不同权限和级别的用户进入系统,也无法进入其他权限和级别的用户使用区域进行操作。
4、信息安全管理单元5自检成功和用户的身份校验完成后,安全管理单元5才输出通用计算机主板单元8的启动命令,通用计算机主板单元8进行自检和启动操作系统。
5、由于本发明中各个外围设备11是可以通过底层硬件进行物理方式和外界进行隔离,因此可以全面的防范非法使用和病毒的入侵。
6、当用户进入计算机系统后,可以对需要加密的重要文件,通过数据传输加密通道3,传送到信息安全管理单元5中,由信息安全管理单元5中的加密部分对该文件进行完全加密后,再传送回存储单元5.2存储,其他用户在没有得到允许的情况下将无法正确打开该文件。只有合法的用户在拥有密码的情况下,再由信息安全管理单元5进行解密后才可以正确打开该文件。由于本发明的上述优点,使本安全计算机可以广泛应用于金融、政府机关以及安全部门。
                            附图说明
图1为安全计算机的构架示意图。
图2为信息安全管理单元原理框图。
图中各图号对应名称为:1、专有用户身份信息输入设备,2、专有用户身份信息输入设备接口,3、加密通道,4、用户开机按钮,5、信息安全管理单元(ESM),5.1、中央处理器(CPU),5.2、存储单元,5.3、控制信号发生单元,5.4、密码处理器及协处理器,6、安全控制执行单元,(可在安全模块ESM内),7、开机电路单元,8、通用计算机主板单元,9、计算机外设开关电路单元,10、安全计算机主板,11、计算机外围设备。
                          具体实施方式
本发明安全计算机实施例1:如图1、图2所示,它有外围设备,中央处理器,存储器,安全计算机主板;它的专有用户身份信息输入设备1是IC卡,还可以是指纹的、声音的、图象的、虹膜的采样设备,或智能卡等信息存储设备,为其中的一种或多种;专有用户身份信息输入设备接口2是与专有用户身份信息输入设备1连接。信息安全管理单元5包括:一个用于安全管理的中央处理器(CPU)5.1;一个存储单元5.2它包括自身运行程序,该存储单元5.2是可擦写存储器,还可以是只读存储器以及一个数据处理的存储器,该存储器可以是随机存储器;一个控制信号发生单元5.3。
如图1、图2所示,本发明实施例2,它的信息安全管理单元5还有在实施例1基础上增加下述部件:实时时钟电路单元,或/和报警电路单元,或/和看门狗电路单元。信息安全管理单元5还有密码处理及协处理单元5.4;信息安全管理单元5为独立安全模块(ESM),该模块为嵌入式模块。
另一实施例:信息安全管理单元5为独立的安全模块(ESM),该模块还包括安全控制执行单元6,为嵌入式模块。
如图所示上述实施例,开机电路单元7是用于控制通用计算机主板单元8开关通用计算机系统的开关电路单元;计算机外设开关电路单元9是控制计算机其他外围设备11运行的开关电路单元;计算机外设开关电路单元9主要由至少一个开关元件组成,与所述的外围设备11包括可以是键盘、鼠标、打印机、串行口、硬盘、PCI槽等的一种或多种相连接;身份信息输入设备接口2还与通用计算机主板单元8之间以加密通道3连通,该通道采用的是PCI通道,还可以是USB通道,通用输入、输出端口等的一种或多种。
总之,图1、图2所示实施例的上述本发明安全计算机是在通用安全计算机上嵌入安全模块(ESM)来处理和安全相关的所有安全操作。该安全模块包括中央处理器、存储单元、用户身份信息输入单元、控制出口和密码通道和文件传输通道。另外,该安全模块有自己相对于操作系统而言的独立的操作系统。
图2所示是信息安全管理单元5的原理框图,以下作进一步说明:。
该安全模块(ESM)是将信息安全管理单元5独立制成一个模块,该模块包含有中央处理器5.1,存储器单元5.2,控制信号发生单元5.3,密码通道3,密码处理器及协处理器5.4。中央处理器可以是各种和X86兼容的处理器。安全控制端口可以是PCI通道,USB通道,通用输入输出端口。加密通道3可以是PCI通道,USB通道,通用输入输出端口。专有用户的身份信息输入设备可以是IC卡,智能卡,指纹识别系统以及相应的图象识别系统。
计算机外围设备11可以是各种标准的和计算机相连的外部设备,比如,打印机,磁带机等。信息安全管理单元5功能可以是从专有用户身份信息输入设备1中读取用户身份信息并加以信息处理以判断是否启动计算机和控制计算机系统中响应的单元。

Claims (6)

1、一种具有信息安全管理单元的安全计算机,其特征在于:它包括计算机的外部设备,中央处理器(CPU),存储器,安全计算机主板;该安全计算机主板包括:
一个能连接专有用户身份信息输入设备(1)的身份信息输入设备接口(2);
一个对上述身份信息输入接口(2)的信息进行验证,并由其中的控制信号发生单元(5.3)输出和身份信息相关的控制信号的信息安全管理单元(5);
一个对上述信息安全管理单元(5)输出的和身份信息相关的控制信号进行执行的安全控制执行单元(6);
一个根据安全控制执行单元(6)输出的执行控制信号决定是否准许用户启动计算机系统的开机电路单元(7);
一个根据安全控制执行单元(6)输出的用户信息相关的执行控制信号决定该用户可以使用的相关外围设备(11)的使用权限的计算机外设开关电路单元(9);
一个受开机电路单元(7)和计算机外设开关电路单元(9)控制是否开启或关闭计算机和是否开启相关外围设备(11)的通用计算机主板单元(8)。
2、根据权利要求1所述的安全计算机,其特征在于:所述的专有用户身份信息输入设备(1)可以是指纹的、声音的、图象的、虹膜的采样设备,或智能卡、IC卡等数字信息存储设备,为其中的一种或多种,所述的专有身份信息输入接口(2)与身份信息输入设备(1)连接。
3、根据权利要求1所述的安全计算机,其特征在于:所述的信息安全管理单元(5)为独立安全模块(ESM),该模块为嵌入式模块。
4、根据权利要求1所述的安全计算机,其特征在于:所述的开机电路单元(7)是用于控制通用计算机主板单元(8)开关计算机系统的开关电路单元;外设开关电路单元(9)是控制计算机其他外围设备(11)运行的开关电路单元。
5、根据权利要求4所述的安全计算机,其特征在于:所述的计算机外设开关电路单元(9)主要由至少一个开关元件组成,与所述的外围设备(11)包括可以是键盘、鼠标、打印机、串行口、硬盘、PCI槽等的一种或多种相连接。
6、根据权利要求1所述的安全计算机,其特征在于,所述的身份信息输入设备接口(2)与通用计算机主板单元(8)之间还以加密通道(3),它可以是PCI通道,USB通道,通用输入输出端口等的一种或多种。
CN 01138250 2001-12-05 2001-12-05 具有信息安全管理单元的安全计算机 Expired - Fee Related CN1208728C (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 01138250 CN1208728C (zh) 2001-12-05 2001-12-05 具有信息安全管理单元的安全计算机

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 01138250 CN1208728C (zh) 2001-12-05 2001-12-05 具有信息安全管理单元的安全计算机

Publications (2)

Publication Number Publication Date
CN1423203A CN1423203A (zh) 2003-06-11
CN1208728C true CN1208728C (zh) 2005-06-29

Family

ID=4674467

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 01138250 Expired - Fee Related CN1208728C (zh) 2001-12-05 2001-12-05 具有信息安全管理单元的安全计算机

Country Status (1)

Country Link
CN (1) CN1208728C (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050144477A1 (en) * 2003-12-30 2005-06-30 Ball Charles D. Apparatus, system, and method for shared access to secure computing resources
CN101025769B (zh) * 2006-02-22 2010-10-13 联想(北京)有限公司 多用户安全芯片资源配置的方法和多用户安全系统
CN101556634B (zh) * 2008-04-11 2011-11-30 鸿富锦精密工业(深圳)有限公司 外部设备使用权限管控系统及方法
CN102789621B (zh) * 2011-05-19 2016-08-17 中国银行股份有限公司 企业网银服务申请表的制作、校验方法及其设备
CN104751036B (zh) * 2015-04-10 2018-08-24 陕西理工学院 一种计算机信息安全系统
CN107358124B (zh) * 2017-06-14 2020-05-22 北京多思安全芯片科技有限公司 一种处理器
CN107368754A (zh) * 2017-06-16 2017-11-21 天津青创科技有限公司 一种保护计算机系统安全的方法
CN111562999A (zh) * 2020-04-27 2020-08-21 安创生态科技(深圳)有限公司 基于可配置保护机制的看门狗数据处理方法及装置

Also Published As

Publication number Publication date
CN1423203A (zh) 2003-06-11

Similar Documents

Publication Publication Date Title
US10922441B2 (en) Device and method for data security with a trusted execution environment
US11947688B2 (en) Secure computing system
US8677482B2 (en) Hardware security for software processes
US10162975B2 (en) Secure computing system
Aucsmith Tamper resistant software: An implementation
Schneier Cryptographic design vulnerabilities
Xu et al. Data-provenance verification for secure hosts
Nguyen et al. Cloud-based secure logger for medical devices
CN111614467B (zh) 系统后门防御方法、装置、计算机设备和存储介质
Götzfried et al. Mutual authentication and trust bootstrapping towards secure disk encryption
CN1208728C (zh) 具有信息安全管理单元的安全计算机
WO2001073533A1 (en) System and method for safeguarding electronic files and digital information in a network environment
CN2526907Y (zh) 信息安全计算机
US20230409700A1 (en) Systems and methods for managing state
Müller et al. Stark: Tamperproof Authentication to Resist Keylogging
Fournaris et al. Trusted hardware sensors for anomaly detection in critical infrastructure systems
Zaharis et al. Live forensics framework for wireless sensor nodes using sandboxing
CN2553439Y (zh) 具有专有用户身份信息输入设备的安全计算机
CN114024705A (zh) 一种针对节点动态性的信任架构
Yang et al. Seccmp: A secure chip-multiprocessor architecture
Abbas et al. A state of the art security taxonomy of internet security: threats and countermeasures
RU200051U1 (ru) Защищенная аппаратная платформа универсального назначения с модульной архитектурой
Apostol et al. Android Fingerprint Sensor: Pitfalls and Challenges
Bishop UNIX security in a supercomputing environment
Aghayeva Technical means of information security

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee

Owner name: WUHAN RUIDA INFORMATION SAFETY INDUSTRY CO., LTD.

Free format text: FORMER NAME OR ADDRESS: RUIDA ELECTRONICS CO., LTD., WUHAN

CP03 Change of name, title or address

Address after: 430070 Hubei Province, Wuhan city Wuchang District Wuluo Road No. 628 A Asia Trade Plaza, 27 floor

Patentee after: Ruida Electronics Co., Ltd., Wuhan

Address before: 430070 Hubei Province, Wuhan city Wuchang District Wuluo Road No. 628 A Asia Trade Plaza, 28 floor

Patentee before: Wuhan Ruida Electronic Co., Ltd.

C56 Change in the name or address of the patentee

Owner name: JETWAY INFORMATION SECURITY INDUSTRY CO., LTD.

Free format text: FORMER NAME: WUHAN JETWAY INFORMATION SECURITY INDUSTRY CO., LTD.

CP01 Change in the name or title of a patent holder

Address after: 430070 Hubei Province, Wuhan city Wuchang District Wuluo Road No. 628 A Asia Trade Plaza, 27 floor

Patentee after: JETWAY Information Security Industry Co., Ltd.

Address before: 430070 Hubei Province, Wuhan city Wuchang District Wuluo Road No. 628 A Asia Trade Plaza, 27 floor

Patentee before: Ruida Electronics Co., Ltd., Wuhan

PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Safety computer with information safety management unit

Effective date of registration: 20110622

Granted publication date: 20050629

Pledgee: Chongqing Three Gorges guarantee Group Co., Ltd. Yichang branch

Pledgor: JETWAY Information Security Industry Co., Ltd.

Registration number: 2011990000234

PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20121010

Granted publication date: 20050629

Pledgee: Chongqing Three Gorges guarantee Group Co., Ltd. Yichang branch

Pledgor: JETWAY Information Security Industry Co., Ltd.

Registration number: 2011990000234

PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Safety computer with information safety management unit

Effective date of registration: 20121010

Granted publication date: 20050629

Pledgee: Chongqing Three Gorges guarantee Group Co., Ltd. Wuhan branch

Pledgor: JETWAY Information Security Industry Co., Ltd.

Registration number: 2012990000592

PLDC Enforcement, change and cancellation of contracts on pledge of patent right or utility model
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20141028

Granted publication date: 20050629

Pledgee: Chongqing Three Gorges guarantee Group Co., Ltd. Wuhan branch

Pledgor: JETWAY Information Security Industry Co., Ltd.

Registration number: 2012990000592

PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Safety computer with information safety management unit

Effective date of registration: 20141204

Granted publication date: 20050629

Pledgee: Bank of China, Limited by Share Ltd, Wuhan, Hongshan branch

Pledgor: JETWAY Information Security Industry Co., Ltd.

Registration number: 2014990001026

PLDC Enforcement, change and cancellation of contracts on pledge of patent right or utility model
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20050629

Termination date: 20181205