WO2022151601A1

WO2022151601A1 - 具有两个键盘的信息终端

Info

Publication number: WO2022151601A1
Application number: PCT/CN2021/085858
Authority: WO
Inventors: 黄策
Original assignee: 黄策
Priority date: 2021-01-18
Filing date: 2021-04-08
Publication date: 2022-07-21
Also published as: CN112668014B; CN112668014A

Abstract

本发明提供了一种全新的信息终端架构。该架构适用于所有的具有联网功能、以运行在操作系统之下的CPU为处理数据/信息主要部件的信息终端。所述的信息终端搭载了具有两个数据总线的SIM卡，有两个键盘、两个CPU。两个CPU分别同所述SIM卡的两数据总线相连接，并分别管理两个键盘。所述SIM卡在处理主/付CPU输入所述SIM卡的数据时，需要从付/主键盘输入的确认数据进行确认。处理完毕的数据既可以全部从主/付数据总线输出，也可以从主/付数据总线分别输出部分数据。这种架构的优点是，任何只入侵到主/付CPU的病毒，都无法获得全部输入/输出双数据总线SIM卡的数据，从而有效规避利用操作系统、应用系统上天然存在的安全漏洞对信息终端发起窃取/遥控攻击。

Description

具有两个键盘的信息终端

技术领域

本发明涉及一种具有两个键盘的信息终端。

背景技术

电脑、手机、电视机、机顶盒、电冰箱、热水器、电路开关等这些功能各异，使用场景各异的设备、终端，在非互联网时代，基本上没有任何技术交集。但随着互联网时代的来临，计算机技术、网络技术的迅猛发展和进步，使得他们具有了越来越多的相同的技术特性。比如为更高效、便利的管理、实现他们的主业务功能，这些设备还会具有联网功能，都可以实现远程控制，都被赋予了自动或半自动处理信息/数据的能力。要实现以上功能，最少依赖一个能实现上网功能、运行于操作系统环境下的CPU。物联网技术的快速发展，反过来又使更多的各种各样的设备、终端具有如上的技术特征。这些功能各异、使用场景各异的设备、终端，因以被赋予的处理信息/数据的能力，被称为信息终端，更为合适和贴切。

越来越多的形态、功能迥异的信息终端进入到人们的日常生活之中，在给人们带来种种便利的同时，也带来了各种各样的麻烦、困扰甚至威胁。比如：电脑、手机中毒，轻则私人信息、账号控制信息泄露，造成财产损失，重则因泄露行程信息而送命。智能电路开关的中毒，轻则破坏/损坏一台设备，重则摧毁一批设备。

给信息终端带来各种麻烦、困扰甚至威胁的技术手段千千万万，但根本原因，在于所述信息终端的控制权的失控或丢失。而控制权的失控或丢失很重要的一类原因，在被赋予控制权的核心敏感数据，如标识设备的ID、登录ID和密码等被人非法获得和使用。

非法获取这些核心敏感数据的途径，无法就是三大类别：纯技术手段、社会工程学手段、纯技术手段+社会工程学手段。所述的纯技术手段，就是利用/探测操作系统、应用系统上的安全漏洞，并利用这些安全漏洞，非法入侵到这些信息终端上，获取核心敏感数据。所述的社会工程学手段就是利用非法手段，搞定掌握或可以获得这些核心敏感数据的人，从而获得核心敏感数据或这些核心敏感数据的使用权。一旦获得了敏感数据或敏感数据的使用权，自然也获得了敏感数据所承载的信息终端的控制权。

利用技术手段，保护/盗取所述信息终端的敏感数据、控制权就成了消除/制造麻烦、困扰甚至威胁的攻防双方的攻防要点。在这个涉及网络安全的攻防大战中，防守方在技术上天然处于劣势。因为：1)操作系统和应用系统上的安全漏洞，是一个天然存在。从互联网技术诞生之日开始，黑客和安全漏洞就伴随着网络技术、网络应用技术的发展而发展。安全漏洞未见减少，安全漏洞的危害却日渐巨大。2)随着操作系统、应用系统的功能日渐强大，这些天然存在的安全漏洞的总数，不是在减少而是在增加。3)有研究显示，在那些已经被发现的安全漏洞中，大约有三分之一的安全漏洞竟然无法修复。还有一个最为要命的，但无法既证实又无法证伪的江湖谣传，操作系统、应用系统上的“安全后门”。

发明内容

为了有效封堵信息终端上，操作系统和/或应用系统上的必然存在的安全漏洞和既无法证真也无法证伪的“后门”，本发明提供了一种全新的信息终端架构。所述的全新的信息终端架构如下：

所述的信息终端上搭载了具有两个数据总线的SIM卡，有两个键盘和两个CPU。所述SIM卡的两个数据总线分别用主数据总线和副数据总线标识；所述的两个键盘分别用主键盘和副键盘标识；所述的两个CPU分别用主CPU和副CPU标识。主CPU同所述的主数据总线相连，并管理主键盘；副CPU同所述的副数据总线相连，并管理副键盘。在所述的信息终端内，主CPU和副CPU之间除了具有间接的、经过所述SIM卡桥接的电子连接路径之外，再无其他任何直接或间接的连接路径。所述的SIM卡，用于完成内置于卡内的特定的数据处理功能。从主CPU通过主数据总线送入所述SIM卡的数据，在完成内置的数据处理功能所需要的确认数据，需要从副键盘输入并由副CPU从副数据总线输入所述SIM卡。从副CPU通过副数据总线送入所述SIM卡的数据，在完成内置的数据处理功能所需要的确认数据，需要从主键盘输入并由主CPU从主数据总线输入所述SIM卡。所述的确认数据包括但不限于完成所述的数据处理功能所需要的密码和/或工作参数。在所述SIM卡内处理完毕的数据，既可以全部从主数据总线或全部从副数据总线输出，也可以一部分从主数据总线输出、另外一部分从副总线输出。所述的数据总线，包括但不限于I2C总线、SPI总线、USB总线。

在实施过程中，所述方案的优选的实施方案是所述信息终端进行处理数据时的所需要的核心敏感数据，应部分或全部放入所述SIM卡内或由主、副CPU分别管理。所述的核心敏感数据包括但不限于标识设备身份的身份ID、标识用户身份的用户ID、进行数据处理的加密算法的工作参数等。以避免安全攻击方，通过入侵主、副CPU操作系统的方式，窃取到全部的核心敏感数据。

在实施过程中，所述方案的优选的实施方案是副CPU运行在非操作系统运行环境下，这就可以完全规避掉操作系统、应用系统上必然出现的可入侵的安全漏洞，进而规避所有纯技术层面对所述终端的非法控制。

在实施过程中，所述方案的优选的实施方案是所述SIM卡以卡座连接方式接入所述的信息终端，而应尽量避免采用焊接等硬连接方式进行连接。

本发明的优点是：

1)利用的操作系统、应用系统上的安全漏洞，监控信息终端的键盘输入信息，是攻击方为获得核心敏感数据的一个重要攻击方向和手段。所述信息终端上，无直接电子连接的双键盘结构，无疑极大的增加了安全攻击方入侵、监控所述的信息终端的主、付键盘的难度。而副CPU运行在非操作系统运行环境下的优选方案，则彻底从技术上杜绝了攻击方利用副CPU操作系统上的安全漏洞监控付键盘的可能性。

2)所述信息终端的硬件架构，使得有效规避安全攻击方利用操作系统、应用系统上的安全漏洞，对核心铭感数据的盗取，在技术上成为了可能。在所述信息终端的架构之下，总可以设计出最少一种技术方案，使得安全攻击方无法利用现在的以及未来的操作系统、应用系统上的安全漏洞甚至“后门”，盗取到全部的核心敏感数据。

3)所述SIM卡同所述信息终端的优选连接方式，可以有效规避利用操作系统、应用系统上的安全漏洞，对下载到在所述SIM卡内的全部或部分核心敏感数据过程进行监控和拦截的安全攻击。这一安全特性对于一个信息终端上，搭载了多个网络应用，更显优势。如一部智能手机上，既安装了APP1，又安装了 APP2、APPn。从理论上讲，1)后安装的APP，完全无法规避先装APP对其安装过程的监控的。2)已经安装的APP，也可以监控、盗取其他APP的核心敏感数据。而在所述的新架构下，下载到所述SIM卡的APP1、APP2、APPn用户识别ID、加密算法的工作参数等核心敏感数据，就可以分别在不同的工作环境下，完成下载。只要在所述SIM卡内部，可以完成对所述核心敏感数据的有效隔离，则就可以实现所有安装在同一部手机的网络应用的核心敏感数据的有效隔离。

4)完成内置于所述SIM卡的数据处理功能，处理数据、确认数据从两路输入，处理完的数据多种的输出模式，极大的增加了利用主、付CPU操作系统、应用系统上的安全漏洞，入侵并拦截全部的输入、输出所述SIM卡数据，并进而获取完整核心敏感数据的难度。副CPU运行在非操作系统之下的优选设计方案，可以从技术上彻底堵上所有操作系统、应用系统上必然存在的可用于盗取核心敏感数据的安全漏洞。

5)所述SIM卡进行特定的数据处理时的双CPU键盘数据控制机制，1)使得同一个信息终端上的各个网络应用之间的有效隔离，成为了可能。2)所述架构为实现更为高效、安全的网络应用的控制机制，提供了一种基础架构。

附图说明

图1：本发明所述的具有两个键盘的信息终端结构示意图。

图2：现在的智能手机结构示意图。

图3：本发明的智能手机结构示意图。

图4：现在的基于移动网的物联网终端结构示意图。

图5：本发明的基于移动网的物联网终端结构示意图。

具体实施方式

下面结合具体实施例对本发明内容进行详细说明。

图1为本发明所述的具有两个键盘的信息终端结构示意图。

实施例1：

图2为现在的智能手机结构示意图。

需要特别说明的是，现在的智能手机结构远比图2的示意图要复杂的多，比如，现在智能手机中的CPU的数量就不止只有示意图中一个。但不管是多么复杂结构的智能手机，其CPU都是运行在操作系统之上，应用系统都是运行在操作系统之上。运行在操作系统之上的各自独立的应用系统，都有各自独立的核心敏感数据。这些核心敏感数据，在图2的智能手机上最少有三个泄露方向：

方向1：操作系统、应用系统上的安全漏洞。

方向2：智能手机CPU处理核心敏感数据的内存残留数据。

方向3：不守规矩的网络应用，从理论上讲，也可以盗取安装同一图2智能手机中的其他网络应用的核心敏感数据。

现在图2结构的智能手机面临的困境是，在上述三个方向上，又有很多的安全漏洞可以利用，从而达到盗取核心敏感数据的攻击目的。而在这持续多年的攻防大战中，防守方始终处于劣势。目前业内并没有可靠的一个技术方案，哪怕是在一个纯技术层面的技术方案，可以在以上三个泄露方向上，同时建立起有效的安全防线。

图3为本发明的智能手机结构示意图。

在图3中，双数据总线SIM卡具有三个基本功能：

功能1：图2智能手机中的SIM卡功能。

功能2：内嵌了常规商用加密算法。对送入所述SIM卡的数据进行的加密运算，都在所述SIM卡内部完成。

功能3：存储多个应用系统的核心敏感数据，且这些核心敏感数据相互隔离。

图3智能手机同图2智能手机相比，具有如下的安全特性；

特性1：不管图3智能手机的操作系统、应用系统上有什么样的安全漏洞，下载到所述SIM卡中的应用系统的核心敏感数据，都可以通过在其他工作环境下进行下载的办法，来有效躲避网络安全攻击方对这些核心敏感数据的拦截。这一安全特性，类似现在的手机卡换卡时的安全特性。

特性2：所述SIM卡内嵌加密算法和核心敏感数据的片内存储，使得图3智能手机中的主、副CPU永远都无法触碰到任何一个应用系统的核心敏感数据。由此所有对图2智能手机有效的获取核心敏感数据的攻击手段，都将失效。

特性3；不守规矩的网络应用，从此也无法盗取安装在同一图3智能手机上的其他网络应用的核心敏感数据。

特性4：在图3智能手机的副CPU输入的确认数据，如确认密码和/或加密算法的工作参数，永远不可被入侵到主CPU的病毒所偷窥。这些确认数据，即使被人或视频监控所偷窥或者有意告诉他人，也无法在另外一部图3智能手机上使用。

本发明是一个在图2结构智能手机的三个核心敏感数据泄露方向上，同时建立有效防御的技术方案。

实施例2：

图4为现在的基于移动网的物联网终端结构示意图。

需要特别说明的是，现实中的各种各样的基于移动网的物联网终端，有些远比图4中的结构要复杂的多。但只要是采用基于操作系统的开发的基于移动网的物联网终端，基本上都可以用图4的结构表达。图4结构的物联网终端，相较于图2结构的智能手机其安全防守态势更加令人不乐观。原因有二：

原因1：有限的产品预算，使得物联网终端在技术防护方案的设计上，无法投入太多的资源，防护效果自然有限。而这有限的防护效果随着时间的推移，防护效果会越来越弱。

原因2：在物联网终端绝大多数的生命周期内无人陪伴，从而丧失了大量的人工干预，可有效阻止利用操作系统安全漏洞进行技术攻击的机会。同时也不得不看到的是，能接触到物联网终端的人，又可以成为社会工程学的攻击目标。

可以这样讲，现阶段的物联网终端的安全，并不由其产品预算中技术安全防御方面的预算多少而决定，而是由攻击方攻击行为的支出和收入之间的差值所决定。而不幸的是，随着时间的推移，原本貌似安全的防御方案，最终都会变的越来越不安全。

POS机就是一个很好的观察案例。

防止POS机中的核心敏感数据数据-如设备识别ID、本机加密算法的工作参数等-的泄露，是一个执行多年的POS机的安全技术规范。这个技术规范，在工程实现上，又被分为两个防护方向：一个防护方向是，在POS机中设置一个硬件防火墙，以探测非法开机等攻击行为。一旦探测到此类的非法攻击，POS机就会再第一时间自毁机内的核心敏感数据。另一个防护方向是在POS机的操作系统上，设计出种种的软件防火墙，以抵抗外部通过操作系统上的安全漏洞对操作系统、应用系统的攻击。这种安全防护措施有两个最基本的方案目的：目的1：在技术上，防止POS机内的核心敏感数据数据的外泄而出现大量的“李鬼”POS机。目的2：防止POS机用于非法用途。但对于现在最低售价只有几百元、只有10元左右的硬件防火墙(防止非法开机等攻击行为)预算的POS机而言，基本上无法获得什么有效的防护效果。

另外一个重要的观测点就是物联网技术在能源基础设施场景的应用。下面三个观察案例就非常具有代表性：

观察案例1：

伊朗核设施在2010年和2018年分别遭受到两次“很暴力、很先进、很复杂”的电脑病毒的攻击，使得伊朗的核计划遭受重大打击。

观察案例2：

2019年3月委内瑞拉电网遭病毒攻击，造成全国电网大面积瘫痪(断电)。

观察案例3：

2019年6月28日美国参议院审议通过的《能源基础设施安全法》。该法案的一个重要内容就是，从法律层面探讨用低技术含量方法替代自动化系统的方案，比如用人工过程而非联网方式，直接由人类操作员来实现重要节点的控制。因为美国参议院的议员们认为：这种人工近程的控制方式将大大增加网络攻击难度，可以挫败最高端的网络对手。因为那些最高端的网络对手如果想要访问电网的重要控制节点，就必须实际接触到相关设备。控制住想要接近重要控制节点的人，总比控制住想要接近重要控制节点的“病毒”要容易的多。

如果说，观察案例1、观察案例2还无法严格证明，在所述案例中有效保护住了核心敏感数据，就能够躲过“很暴力、很先进、很复杂”的电脑病毒的攻击。那么观察案例3则清楚明白的说明一个基本事实，那就是美国作为当下掌握最先进的网络技术且拥有最丰富的高端网络人才资源的国家，他们的研究成果认为，图4结构的物联网终端，从纯技术层面上讲，无法提供足够高强度的纯技术的安全保障。只有近程的人工控制过程，才有可能有效对抗最顶级的黑客技术的攻击，为这类物联网信息终端提供最高强度的安全保障。

图5为本发明的基于移动网的物联网终端结构示意图。

图5结构的POS机，虽然无法保证解决所有图4结构POS上的所有安全问题，但却可以彻底解决图4结构POS机上核心敏感数据外泄的安全问题，这就使得彻底避免“李鬼”POS机的出现，在技术上成为了可能。另外图5结构POS机还可以具有图4结构POS机完全不具备的几个安全特性：

特性1：图5结构的POS机只要采用同图3智能手机相同的三合一双数据总线的SIM卡(手机SIM卡、加密算法卡、存储卡三卡合一)，就可以有效保护在图4结构POS机中事实上的无法有效保护的核心敏感数据不外泄，无论采用什么样的纯技术的攻击手段还是社会工程学的攻击手段，从而从技术层面保证“李鬼”POS机不再出现。

特性2：副CPU采用运行在非操作系统环境下的CPU的优选设计，可以使得利用操作系统安全漏洞，盗取付键盘输入密码的技术手段统统失效。

特性3：三合一的双数据总线的SIM卡，构成了一个事实上的通讯终端标识ID和信息终端标识ID的“硬件链”。这就为开发出更为高效、便利的POS机管理手段，提供了最基础的技术保证。比如，移动网络运营商如能提供SIM卡登陆有效时间段、无效时间段的管理功能，则图5结构的POS机的管理方就实现POS机正常“上、下班”的工作机制。移动网络运营商如能提供SIM卡的“锁定”基站的功能，则图5结构的POS机的管理方就可以将图5结构的POS机锁定在某个很小的区域内，再也不用为明知图4结构POS机可以四处乱窜，但又束手无策而烦心。一个能准时“上下班”且被限定在一个很小区域内的图5结构的POS机，还能具有多少被攻击的攻击价值？

图5结构的完成电力设施控制功能的信息终端就可以完美实现观察案例3中，美国《能源基础设施安全法》要求的用“人工过程人而非联网方式实现对重要的基础实施的安全控制”。

在图5结构的电力设施控制终端上，在设计安全防御方案时，只要将核心敏感数据放入所述的SIM卡内，且保证：1)依据放入所述SIM卡的核心敏感数据进行数据处理的数据处理过程，都在所述SIM卡内完成。2)输入/输出所述SIM卡数据，都分别从主数据总线、副数据总线输入/输出。3)所述SIM卡保证不被病毒入侵。这可以在技术上保证单独入侵到主CPU或副CPU的病毒，无法获得完整输入/输出所述SIM卡的数据包。这样在设计图5的电力设施控制终端时，再只要保证：1)副CPU运行在非操作系统的环境下。2)副键盘输入的确认数据，必须在现场由人工输入。则图5结构的电力设施控制终端，在技术上可以确保任何“再暴力、再先进、再复杂”的病毒都将无法获得输入/输出所述SIM卡的核心敏感数据。同时“再暴力、再先进、再复杂”的病毒肯定无法获得副键盘的控制权，从而无法完成有效攻击。

需要特别说明的是，在现有的技术条件下，上文所述的5点的安全技术保证，是非常容易获得的。以现有的技术条件，实现起来完全没有任何的技术障碍。

实施例1和实施例2证明：一个信息终端，特别是同钱直接打交道或完成高值设备控制的信息终端，只有彻底失去了被攻击的价值或可能性，才能获得真正的、实际意义上的安全。

Claims

一种具有两个键盘的信息终端，其特征在于：1)所述的信息终端上搭载了具有两个数据总线的SIM卡，所述的数据总线分别用主数据总线和副数据总线标识；2)所述的信息终端上具有两个键盘，所述键盘分别用主键盘和副键盘标识；3)所述的信息终端上具有两个CPU，所述的CPU分别用主CPU和副CPU标识；4)所述的主CPU同所述的主数据总线相连，并管理主键盘；所述的副CPU同所述的副数据总线相连，并管理副键盘。
根据权利要求1所述的信息终端，其特征在于：在所述的信息终端上，主CPU和副CPU之间除了具有经过所述SIM卡桥接的电子连接路径之外，再无其他任何直接或间接的电子连接路径。
根据权利要求1所述的信息终端，其特征在于：所述SIM卡对从主CPU通过主数据总线输入的数据进行内置的数据处理时所需要的确认数据，需从副键盘输入并由副CPU通过副数据总线输入所述SIM卡。
根据权利要求1所述的信息终端，其特征在于：所述SIM卡对从副CPU通过副数据总线输入的数据进行内置的数据处理时所需要的确认数据，需从主键盘输入并由主CPU通过主数据总线输入所述SIM卡。
根据权利要求1所述的信息终端，其特征在于：所述的数据总线，包括但不限于I2C总线、SPI总线、USB总线。
根据权利要求3-4所述的信息终端，其特征在于：所述的确认数据包括但不限于完成所述的数据处理所需要的密码和/或工作参数。
根据权利要求3-4所述的信息终端，其特征在于：在所述SIM卡内处理完毕的数据，既可以全部从主数据总线输出或全部从副数据总线输出，也可以一部分从主数据总线输出，另外一部分从副数据总线输出。