终端可信计算及数据静态安全系统及方法与流程

本发明涉及一种远程桌面系统，尤其是涉及一种基于终端计算资源和服务器严格监控下的终端可信计算及数据静态安全系统及方法。

背景技术：

近年来，随着计算机网络、分布式技术、云计算等高速发展，各种云服务越来越被政企所接受。与此同时，承载这些服务的终端面临未知边界、虚假认证、缺少可控等诸多安全风险，危害信息安全的事件也不断发生，信息安全形势日益严峻。

当前，我国越来越重视保密工作。相关国家机关和国家保密局相继颁布了《中华人民共和国保守国家秘密法实施办法》、《涉及国家秘密的信息系统分级保护技术要求》、《涉及国家秘密的信息系统管理规范》等系列保密法规和国家保密标准，要求各涉密单位重视保密管理和监督，重视涉密信息系统分级保护和信息安全建设，保护国家安全和利益不受危害。

国内企业特别是武器装备科研生产等涉密单位迫切需要在满足国家强制要求和确保企业智慧资产不外泄的情况下，综合使用信息技术手段，切实保护秘密数据信息安全。使用底层的方式直接对数据进行剥离、统一集中存储和管控，最佳状态是能够实现数据(重要的系统运行数据和用户数据)在任何时候都不存储在分散的用户计算机终端的存储介质上(主要是物理硬盘)，实现知识集中，信息加密存储、传输、处理，并提供授权的安全可控的内部操作应用环境。在国家信息部门将信息安全提高到国家安全层面的同时，类似“去IOE”(IBM、Oracle、EMC)的政策不断出台，急需一种新的解决思路和安全措施，利用先进的计算机信息技术来降低安全风险。

目前，网络环境下的计算模式主要分为三种：(1)传统的分布式计算，终端的异构计算环境完全独立，彼此间仅通过网络进行通信和协作。(2)基于服务器虚拟化的云计算技术，终端只是服务器计算资源的远程桌面。

对于模式(1)，信息安全主要依赖网络协议和操作系统内核的安全机制，终端操作系统处于不可控和不可信的操作环境，而且终端的主流操作系统均来自国外，接口、后门事件一再被提及，故很难通过修改网络协议和操作系统内核来提升信息安全能力。对于模式(2)，由于核心技术(如虚拟化)掌握在国外厂家手里，使得应用层的安全机制很难达到高可信度。而且，共享相同物理设备的多个虚拟机存在更多的安全隐患，安全问题更容易被扩散。此外，模式(2)在成本、计算能力、图形化桌面体验等方面均表现不尽人意。

技术实现要素：

本发明解决的技术问题是提供一种终端可信及数据静态安全系统，对远程终端进行系统层之前的实时可信监控，保护数据安全。

本发明的技术解决方案是：

一种终端可信及数据静态安全系统，其中，该系统包括服务器、客户端计算机及认证微系统模块；

所述服务器与所述客户端计算机经由网络连接，所述服务器内安装有可信根系统模块及数据指针存储模块，所述可信根系统模块存储有可信根系统的模板文件，所述数据指针存储模块用以存储来自所述客户端计算机的数据指针文件；

所述客户端计算机安装有能够从所述服务器载入可信根系统的硬盘，

所述认证微系统模块存储有用以比对所述服务器及客户端计算机数据信息的可信认证微系统，其配置于所述服务器及客户端计算机之间；所述认证微系统为在所述客户端计算机的系统层之前启动的认证系统，于所述客户端计算机启动时同时启动，在所述客户端计算机通过硬件可信认证后，将所述服务器上存储的所述客户端计算机的数据指针文件映射至所述客户端计算机的硬盘上；所述认证微系统模块比对所述数据指针文件所标记的可信根系统的数据与对应的所述硬盘的存储扇区的可信根系统的数据，对所述客户端计算机进行实时可信认证；若所述数据指针标记的可信根系统的数据与所述存储扇区的可信根系统的数据不一致，则判定所述客户端计算机不可信。

本发明还提供一种终端可信及数据静态安全方法，实现远程终端在系统层之前的可信监控。

其技术解决方案为：

一种终端可信及数据静态安全方法，其特征在于，该方法采用权利要求1至5任意一项所述的终端可信静态安全系统，该方法包括终端可信使用流程：

所述客户端计算机开机，通过所述认证微系统向所述服务器进行身份鉴别的可信认证，若授信失败则所述客户端计算机无法加载所述服务器上的数据指针文件，所述客户端计算机的硬盘上的数据无法被识别；

若授信成功，所述服务器通过所述认证微系统映射所述数据指针文件至该客户端计算机的硬盘，并根据所述数据指针文件的数据指针启动所述客户端计算机的硬盘上已存在的数据，启动可信根系统；所述认证微系统模块实时比对所述数据指针文件所标记的数据与对应的所述硬盘的存储扇区的数据，对所述客户端计算机进行实时可信认证；若所述数据指针标记的可信根系统的数据与所述存储扇区的可信根系统的数据不一致，则判定所述客户端计算机不可信，所述认证微系统终止映射所述数据指针文件至所述客户端计算机的硬盘上；

所述客户端计算机的硬盘的存储扇区发生新增数据时，回传发生新增数据的所述存储扇区的数据指针给所述服务器的数据指针存储模块，对新增的所述存储扇区数据进行数据指针的增量备份。

由以上说明得知，本发明确实具有如下的优点：

本发明的终端可信及数据静态安全系统及其方法，从底层操作系统层入手，基于可信计算的原理，在操作系统和计算机硬件之间构建一个安全层，通过认证微系统的监控，实现客户端计算机的操作系统及应用的运行的安全可控，建立可信任的远程桌面计算环境。

通过认证微系统的硬件可信认证，确保接入服务器的客户端计算机为合法计算机，进一步地，对应的数据以扇区架构存储，其数据指针文件从硬盘上剥离，上传至服务器主控平台上进行访问控制。客户端计算机只有联通服务器，通过用户身份鉴别后才能开启数据指针下载通道。透过数据指针索引，硬盘上的操作系统和应用系统数据才能进行重组，并被有效的翻译，显示。通过认证微系统在客户端计算机启动和运行过程中，对客户端计算机的硬盘的存储扇区的数据指针管理技术实现对客户端计算机所存储的数据进行实时的可信认证，确保客户端计算机的操作系统及应用为可信状态，保证硬盘数据在接通服务器时以及在离线状态下不会被非法截取。可以有效的防治PE等工具的攻击，确保数据存储的安全性，建立数据静态安全体系。

附图说明

图1为本发明的终端可信及数据静态安全系统的配置结构示意图；

图2A为本发明的终端可信及数据静态安全系统的认证微系统实时可信认证策略示意图图一；

图2B为本发明的终端可信及数据静态安全系统的认证微系统实时可信认证策略示意图图二；

图3为本发明的终端可信及数据静态安全方法的终端可信使用流程示意图；

图4为本发明的终端可信及数据静态安全方法的终端可信初始化流程示意图。

具体实施方式

为了对本发明的技术特征、目的和效果有更加清楚的理解，现对照附图说明本发明的具体实施方式。

本发明的终端可信及数据静态安全系统是一种能够提供远程安全监控的可信远程桌面系统，通过在客户端计算机的硬件和操作系统软件之间建立一套安全的控制措施，将用户的操作应用系统进行统一的后端管理，为每个用户分配一个可信任的桌面运行计算环境。利用本发明的终端可信及数据静态安全系统的安全架构，将操作系统及数据以扇区的架构存储在本地硬盘上，扇区的数据指针技术可以有效的防治PE等工具的攻击，确保数据存储的安全性，建立数据静态安全体系。

请参阅图1所示，为本发明较佳实施例中的配置结构示意图。如图所示，本发明的终端可信及数据静态安全系统，在其较佳的实施例中，该系统包括服务器1、客户端计算机3及认证微系统模块2；

所述服务器1与所述客户端计算机3经由网络连接，所述服务器1内安装有可信根系统模块及数据指针存储模块，所述可信根系统模块存储有可信根系统的模板文件，所述数据指针存储模块用以存储来自所述客户端计算机3的数据指针文件；其中，所述数据指针文件为启动和识别客户端计算机的硬盘31上的数据的必要指针文件，本发明通过将各个客户端计算机3的硬盘上的数据指针文件剥离，并将其存储在服务器1上，所述客户端计算机3安装有能够从所述服务器1载入可信根系统的硬盘31。借此，使客户端计算机3只有在获得服务器1的授信并且与服务器1连通的环境下，其硬盘31数据才能够被识别、读取或写入；也就是说，如图2A所示，当客户端计算机3脱离了服务器1的监控同时，客户端计算机3上的硬盘31的存储扇区的数据将失去对应的数据指针，其数据无法被识别和读取，该硬盘31显示为空的硬盘。

本发明的所述认证微系统模块2存储有用以比对所述服务器1及客户端计算机3数据信息的可信认证微系统，其配置于所述服务器1及客户端计算机3之间；所述认证微系统为在所述客户端计算机3的系统层之前启动的认证系统，于所述客户端计算机3启动时同时启动；在客户端计算机3的启动和使用过程当中，认证微系统全程对其进行数据变化的监控，一旦数据变化异常，立即判定为不可信。在所述客户端计算机3通过硬件可信认证后，将所述服务器1上存储的所述客户端计算机3的数据指针文件映射至所述客户端计算机3的硬盘31上；所述认证微系统模块2比对所述数据指针文件所标记的可信根系统的数据与对应的所述硬盘31的存储扇区的可信根系统的数据，对所述客户端计算机3进行实时可信认证；若所述数据指针标记的可信根系统的数据与所述存储扇区的可信根系统的数据不一致，则判定所述客户端计算机3不可信。也就是说，如果客户端计算机3已经存在数据，则服务器1通过将对应该客户端计算机3的硬盘31的数据指针文件映射至该硬盘31上，并激活硬盘31上的数据，如果数据指针所标记的数据内容与硬盘31上的数据不一致时，则硬盘31上的数据无法被识别，同时数据指针所指示的数据内容缺失，服务器1将判定该客户端计算机3的硬盘31不可信，存在非法的改动，将立即剥离所述数据指针文件，使客户端计算机3的硬盘31显示为空，终止客户端计算机3的运行。

较佳的实施例中，所述认证微系统可以是安装在服务器侧，也可以安装在客户端计算机3的硬盘31上的主引导区上，也可以是安装在移动存储器的主引导区上，令所述认证微系统在客户端计算机3接通电源启动后，首先连接或启动所述认证微系统进行身份鉴别的可信认证，较佳的情况下，例如CPU、内存、硬盘、网卡等硬件设备的认证，之后再由所述认证微系统控制和管理客户端计算机3的硬盘31数据的可信化激活和加载。

如上所述的终端可信及数据静态安全系统，其较佳的实施例中，所述客户端计算机3写入新数据至所述硬盘31上时，所述硬盘31的数据指针文件存储在所述服务器1的数据指针存储模块中。在客户端计算机3授信通过后，无论是从服务器1加载可信根系统的模板文件的数据，还是客户端计算机3输入的本地数据，其在硬盘31的存储扇区上新增的数据的数据指针都会被存储在服务器1数据指针存储模块中，而不会直接存储在硬盘31上。

如上所述的终端可信及数据静态安全系统，其较佳的实施例中，为了更好的管理客户端计算机3的数据安全，所述客户端计算机3的硬盘31设有本地可信根系统存储区311及本地动态数据存储区312，请参照图2B所示，所述本地可信根系统存储区311为用以加载来自所述服务器1的可信根系统的模板文件的只读存储区，也就是说该存储区只能够被服务器侧下载的数据所修改，并且对于客户端计算机3的用户是一个只读存储区；而所述本地动态数据存储区312为允许所述客户端计算机3新增或修改操作的活动存储区，该本地动态数据存储区312则是用以存储除了可信根系统以外的用户动态数据，允许用户修改。所述本地可信根系统存储区311及本地动态数据存储区312的数据指针文件存储在所述服务器1的数据指针存储模块中。无论是本地可信根系统存储区311还是本地动态数据存储区312都在运行过程中，都需要将数据指针存储在服务器1上的数据指针文件中；在较佳的实施例中，在客户端计算机3关闭后，该客户端计算机3在所述服务器1上的数据指针文件的本地可信根系统存储区311的数据指针被保存，而其本地动态数据存储区312的数据指针可以被保存或者被删除；借此，使得远程控制的客户端计算机3在下次启动后还能读取上一次在本地动态数据存储区312中的数据，或者形成重启即还原本地动态数据存储区312的远程控制桌面。

如上所述的终端可信及数据静态安全系统，请参阅图2A及图2B所示，其较佳的实施例中，所述认证微系统模块2连接有I/O控制驱动器4，所述I/O控制驱动器4用以识别和调度输入输出信号，并根据所述认证微系统所映射的数据指针文件判断所述客户端计算机3请求的可信根系统文件数据是否存在于其硬盘31的本地可信根系统存储区311的指定扇区上，若不存在，所述服务器1从所述可信根系统的模板文件中加载被请求的所述可信根系统文件数据至所述指定扇区，并将加载完成后的所述数据指针文件存储在所述服务器1的数据指针存储模块中；若存在，则根据所述认证微系统所映射的数据指针文件对下一个指定扇区进行判断。所述I/O控制驱动器4能够应客户端计算机3的请求，识别和调度需要从服务器挂载的文件数据，在其一个具体的实施方式中，可以使客户端计算机3根据请求选择运行不同的操作系统，且不同的操作系统的数据存储在硬盘31上不同的存储扇区中，具有特定的数据指针，因此，通过I/O控制驱动器4的识别和调度，能够根据客户端计算机3的请求，而选择读取指定扇区中的操作系统的数据，启动相应的操作系统。例如，Windows和Linux系统，当客户端计算机3请求启动Windows系统时，I/O控制驱动器4将选择读取数据指针文件中的具有Window可信根系统标记的数据指针，启动Windows系统及相应的应用程序，而非Windows系统的文件数据在该操作系统下不能被识别，也就是不存在，从而实现不同操作系统数据的绝对隔离。

如上所述，本发明将服务器1上的可信根系统的模板文件透过网络调度到客户端计算机3硬盘31时，采用了更为安全的认证微系统的监控。为了确保在同一个用户硬盘31上能同时并行多个不同的操作系统进行安全计算，采用了切片式的数据读取校验模式。所谓切片式就是硬盘31上以存储扇区为单位，通过数据指针的索引，进行不同数据的分类。例如，当用户调取windows系统时，数据指针重组，将硬盘上windows系统数据块的运算轨迹通知给硬件CPU、内存、主板等；调取Linux系统时，将原有数据指针释放至服务器1存储，重启新的数据指针进行调度工作，调用硬盘上Linux系统的数据块。所有数据块以切片式的架构存储在硬盘上，而数据指针则存储在服务器1上，安全性远高于传统的离散数据存储机制。

如上所述的终端可信及数据静态安全系统，其较佳的实施例中，所述I/O控制驱动器4判断所述客户端计算机3的硬盘31的本地动态数据存储区312的数据的新增或修改操作，并将发生新增或修改操作的存储扇区的数据指针发送并存储至所述服务器1的数据指针存储模块中。

如图所示，本发明的终端可信及数据静态安全系统在I/O控制驱动层引入认证微系统机制来控制终端主引导记录、分区表、ID Table、ID index等的操作。在利用自主加密算法检验和加固内核系统安全的同时，ID Table会将终端分布式数据借助服务器端的数据指针进行扇区数据的静态数据呈现；且ID index将I/O控制器驱动和自主算法融合以满足客户端计算机3的检验、认证和安全审计等功能。本发明从本质上解决可信终端的运行计算速度问题、对网络的带宽占用问题以及对服务器要求高等问题。客户端计算机3的个性化数据(用户数据)被分割为客户端计算机3和服务器部分，也就是本地动态数据存储区312和本地可信根系统存储区311的数据，在双方的安全进程和认证微系统的控制下呈现。一旦客户端计算机3关闭安全进程，将马上被服务器所发现，服务器1将禁止个性化数据的服务器部分被访问，从而使得客户端计算机3无法获取正确的数据。同理，如果客户端计算机3处于脱机状态也是如此。当然，如果客户端计算机3得到授权可以进行离线操作，则其可以在本地获得完整的个性化数据内容，有效保证客户端计算机3一直在可信环境中运行，确保客户端计算机3上的数据安全。

如上所述的本发明的终端可惜及数据静态安全系统，其较佳的实施例中，如图2A及图2B所示，由于服务器1根据客户端计算机3的请求，将可信根系统的模板文件中的必要数据挂载至客户端计算机3的硬盘31上，使其能够运行操作系统和应用程序，同时，已经挂载在客户端计算机3上的可信根系统的文件数据通过存储在服务器1上的数据指针文件被保存，使得其在下次启动和运行当中，无需再重复加载已经加载过的可信根系统的模板文件的数据，只需根据客户端计算机3运行的请求加载新的数据即可，减轻了本系统的网络通信的负担。

本发明提出了一种终端可信及数据静态安全方法，请参阅图3所示，其较佳的实施例中，该方法采用如上所述的终端可信静态安全系统，该方法包括终端可信使用流程，其包括如下步骤：

步骤一，所述客户端计算机3开机，通过所述认证微系统向所述服务器1进行身份鉴别的可信认证，若授信失败则所述客户端计算机3无法加载所述服务器1上的数据指针文件，所述客户端计算机3的硬盘31上的数据无法被识别。

步骤二，若授信成功，所述服务器1通过所述认证微系统映射所述数据指针文件至该客户端计算机3的硬盘31，并根据所述数据指针文件的数据指针启动所述客户端计算机3的硬盘31上已存在的数据，启动可信根系统；所述认证微系统模块2实时比对所述数据指针文件所标记的数据与对应的所述硬盘31的存储扇区的数据，对所述客户端计算机3进行实时可信认证；若所述数据指针标记的可信根系统的数据与所述存储扇区的可信根系统的数据不一致，则判定所述客户端计算机3不可信，所述认证微系统终止映射所述数据指针文件至所述客户端计算机3的硬盘31上。在该步骤中，当客户端计算机3的硬盘31上的可信根系统的数据被修改则服务器1将终止数据指针文件的映射，客户端计算机3上的硬盘失去了数据指针的索引，呈现为一个空白硬盘。

步骤三，所述客户端计算机3的硬盘31的存储扇区发生新增数据时，回传发生新增数据的所述存储扇区的数据指针给所述服务器1的数据指针存储模块，对新增的所述存储扇区数据进行数据指针的增量备份。在服务器1中存储所有的客户端计算机3的硬盘31存储扇区的增量数据指针，通过管理一个与客户端计算机3对应的数据指针文件就可以对客户端计算机3进行实时的可信监控。

通过本发明的终端可信及数据静态安全方法，能够有效地实现终端可信以及数据的静态安全的管理。在该方法中，当客户端计算机3授信成功后，其采用前述终端可信及数据静态安全系统的可信根系统的模板文件的数据的挂载方式，通过认证微系统的监控，将客户端计算机3所请求的必要文件数据下载至客户端计算机3的硬盘31上，使操作系统和应用能够以最简下载量运行。较佳地，通过I/O控制驱动器4对客户端计算机3的输入输出数据进行识别和调度，区分本地可信根系统存储区311和本地动态数据存储区312，对用户设置本地可信根系统存储区311的数据为只读，设置本地动态数据存储区312的数据为可读写。

如上所述的终端可信及数据静态安全方法，其较佳的实施例中，请参阅图4所示，该方法还包括终端可信初始化流程：

步骤一，在所述认证微系统控制下的可信客户端6安装纯净的操作系统，生成可信根系统，上传所述可信根系统到所述服务器1，形成服务器1中的可信根系统的模板文件；在此过程中，所述服务器1的可信根系统模块为可写状态。

步骤二，所述客户端计算机3初次启动时，如果通过所述认证微系统授信成功，则对所述客户端计算机3的硬盘31进行存储扇区的原有数据指针初始化并重新标记其存储扇区的数据指针，且将新标记的所述数据指针上传并存储在所述服务器1的数据指针存储模块中；

步骤三，授信成功的所述客户端计算机3通过网络从所述服务器1载入所述可信根系统的模板文件的数据存储于本地可信根系统存储区311中，并形成本地数据盘，同时回传存储所述数据的存储扇区的数据指针给服务器1，形成该客户端计算机3的数据指针文件。

通过可信初始化流程的控制，使服务器1具有用以提供给客户端计算机3的纯净的可信根系统的模板文件。

如上所述的终端可信及数据静态安全方法，其较佳的实施例中，该方法中，当所述客户端计算机3的授信失败时，终止所述数据指针文件的映射的同时，所述认证微系统上传非法操作日志至所述服务器1；在授信失败的时候，服务器1终止客户端计算机3的启动请求，所述认证微系统上传“非法操作日志”至所述服务器1备案。

如上所述的终端可信及数据静态安全方法，其较佳的实施例中，请参阅图3及图4所示，该方法还包括在所述终端可信初始化流程及所述终端可信使用流程中对所述客户端计算机3的硬盘31的存储扇区的增量数据进行备份的步骤；于所述终端可信及数据静态安全系统中配置有备份存储器5，其与所述客户端计算机3连接，所述客户端计算机3的硬盘31上的增量数据备份至所述备份存储器5；所述备份存储器5与所述服务器1绑定连接，所述备份存储器5的数据指针文件存储于所述服务器1的数据指针存储模块中。

如上所述的终端可信及数据静态安全方法，其较佳的实施例中，该方法还包括灾难恢复步骤；发生灾难的客户端计算机3在重新启动并通过所述认证微系统的身份鉴别可信认证后，根据所述服务器1上的数据指针文件启动可信根系统，并根据所述服务器1上的数据指针文件从所述备份存储器5中加载于灾难前所述客户端计算机3的硬盘31的存储扇区的增量数据。

上述备份的步骤和灾难恢复步骤是为了防止客户端计算机3在意外情况下关闭或终止后，重新连接服务器1并通过授信认证后，能够恢复灾难前的数据，不会丢失。同时，备份存储器5只用以存储客户端计算机3的硬盘31上本地动态数据存储区312的数据内容，且其数据指针只保存在服务器1上，所以，当客户端计算机3请求所述备份存储器5的动态数据时，所述认证微系统对所述备份存储器5的数据同时进行实时的可信认证，也就是所述备份存储器5上的数据内容与服务器1中的数据指针文件中的数据指针的索引必须一致，客户端计算机3才能够正常恢复本地动态数据存储区312的数据。

用户桌面获得的操作系统是由管理层来处理并分发控制的，目的是为每个用户分配一个可信任的桌面环境，并且这个环境是可控的，管理员可随时根据需要收回。一旦出现安全隐患应及时将用户的操作系统权限停止响应，并通知管理员，做好预防措施。通过建立的可信任桌面环境实现桌面静态数据的安全性，从而为用户提供一个安全的硬件到桌面操作应用的通道。

以上所述仅为本发明示意性的具体实施方式，并非用以限定本发明的范围。任何本领域的技术人员，在不脱离本发明的构思和原则的前提下所作出的等同变化与修改，均应属于本发明保护的范围。