CFL人工免疫计算机模型建设方法与流程

本发明属于信息安全技术领域，涉及安全计算机。

背景技术：

由于目前的计算机系统经常会遇到病毒、木马的攻击，为了加强这些病毒木马的防范，在基于标识的证书认证技术CFL、强制访问控制技术BLP模型的基础上，遵从免疫系统理念，借鉴黑盒技术、沙盒技术、纵深防御技术、可信计算技术，在MVSH模型的指导之下，本发明给出了CFL人工免疫计算机模型以及建设方法，该模型是具有人工免疫特征且满足信息安全五性的计算系统。

技术实现要素：

在基于标识的证书认证技术CFL、强制访问控制技术BLP模型的基础上，遵从免疫系统理念，借鉴黑盒技术、沙盒技术、纵深防御技术、可信计算技术，在MVSH模型的指导之下，本发明给出了CFL人工免疫计算机模型。

本发明给出了CFL人工免疫计算机模型以及其主要构成单元，即计算单元1、计算单元2以及CFL密码卡。

给出了CFL人工免疫计算机开机过程步骤、工作过程步骤、计算单元2的硬盘2到计算单元1的硬盘1的数据传输步骤以及其与网络的安全传输步骤。

证明了CFL人工免疫计算机模型的人工免疫特征，进一步证明了CFL人工免疫计算机模型是可满足信息安全五性的计算系统。

通过对比分析，说明了CFL人工免疫计算机模型基本上实现了内置CFL的MVSH模型的绑定目标的战略意图。

分析了该模型中的CFL技术的作用。给出了计算单元1的操作系统文件加载举例；计算单元2中的程序输出的结果的签名方法举例；CFL人工免疫计算机模型的数据库访问举例，在该例中，给出了BLP模型与CFL证书在CFL人工免疫计算机模型中的绑定方式。

通过这些举例，说明了CFL人工免疫计算机模型实现的可行性以及可落地性。给出了CFL人工免疫计算机模型效率分析。

给出了CFL人工免疫计算机模型实现的几种方式。

该模型既可以做成PC机，也可以做成服务器，同时也可以构建大型的计算平台。该模型特别适合大型内网的信息安全保护。

在一定意义下，该模型本身也可以看成是可信操作密码机。

证明了CFL人工免疫计算机模型支持知识安全的实现以及安全知识库的建设。

证明了CFL人工免疫计算机模型的计算单元2，可以实时自认证、现场认证，大大提高了计算单元2的工作效率。

附图说明

图1 CFL人工免疫计算机模型示意图

图2信息安全计算平台一体化建设MVSH模型图

图3基于CFL的人工免疫计算机模型绑定对象示意图

具体实施方式

近年来，人体免疫系统的一些特点引起了人们的注意，人们开始重视对免疫系统的研究和仿生。国内外已经有学者开始研究免疫机制，希望从中得到启发，以便进一步促进智能信息处理系统的发展。通过对免疫系统机理的仿生，可以建立新型信息处理系统——人工免疫系统(Artificial Immune System简称AIS)，这已经是许多学者的共识。

人工免疫系统的定义

由于人工免疫系统是一个新兴起的研究学科，所以没有个严格的定义能完整地描述其范畴。针对应用领域的不同，下面给出了几种定义。

定义1：人工免疫系统是遵循人类免疫系统原理的数据处理、分类、表示和推理策略系统(巴西Campinas大学的De Castro博士)。

定义2：人工免疫系统受理论免疫学和获得免疫方法的启发，并把这些理论和方法应用于复杂的课题领域的计算机(英国Kent大学的Timmis博士)。

定义3：人工免疫系统是由受生物免疫系统启发而产生的解决实际问题的职能方法组成的系统(Dasgupta和Forrest博士)。

纵观上述几述定义，人们给出的人工免疫系统的定义如下：

定义4：人工免疫系统是指研究借鉴生物免疫系统的各种机理而发展的各类信息变换与处理的智能系统的统称。

人工免疫系统的主要特征

免疫是指机体对“自己”或“异己”的识别并排除异己的功能。自然免疫系统是指机体本身抵抗疾病、防止有害病菌入侵的系统。生物免疫系统的特性是人工免疫系统研究的动力和源泉，其应用到不同的领域可取得较好的工程应用效果。这些特性简单总结如下：

(1)免疫系统的独特性：不同的机体具有不同的免疫系统，每个机体均具有其自身特有的免疫缺陷和能力，某机体上免疫系统的弱点并非是另一个机体免疫系统的弱点，一种病菌也许能突破某机体免疫系统的防护，但突破其他机体免疫系统的可能性很小，该特性保证了免疫系统对人群整体的防护能力；

(2)异己检测功能：免疫系统能够识别侵入体内的未知的非机体的病菌(异己)，并且对其做出反应，必要时可以杀死该病菌；

(3)分布检测功能：免疫系统采用分布检测的方式进行工作，其用来检测入侵病菌的“探测体”非常少，并且有很高的探测效率，它们不需要集中的控制中心和协同；

(4)不完全检测性：免疫系统不需要对每一个入侵细胞做完全绝对的“异己”检测，为了保证机体的总体功能正常，它可能会牺牲机体的部分功能或资源，这一特性使免疫系统具有很大的灵活性；

(5)学习和记忆的功能：免疫系统能够自动学习入侵病菌的结构，并且记忆这些内容，以便以后对该类病菌及时反应。

人工免疫系统在信息安全中的应用

人工免疫系统是一个崭新的新型学科，虽然对其研究刚刚起步，由于其强大的潜在的解决问题能力，已在多个领域得到初步的试验和验证。下面将介绍人工免疫系统在信息安全中的应用。

信息安全性主要取决于以下三个方面：检测计算机设备的非授权使用情况、维护数据文件的完整性和防护计算机病毒扩散。安全策略的核心问题是对非法入侵的检测，基于人工免疫的观点，可将其理解为识别“自己”和“异己”的问题，鉴于免疫系统具有保护机体的强大功能，相应的AIS模型在信息安全方面得到了广泛应用。

Forrest及其研究小组最早开展了基于AIS的信息安全研究，并提出了计算机免疫学的概念，致力于建立自适应的计算机与网络免疫系统，从而增强现行的计算机与网络系统的安全性。Kim基于克隆选择和阴性选择机理研究了网络的入侵检测问题，提出了影响入侵模式检测的几个因素，并通过试验证明嵌入阴性检测算子对于维护较低的误判检测率是十分关键的。

在病毒检测方面，D.Haeseleer使用阴性选择算法来检测被保护数据和程序文件的变化。根据免疫系统的“自己”和“异己”的区分能力，Forrest博士提出了计算机免疫系统的可借鉴生物免疫系统的原则和规律，并做了大量的研究工作。同时，借鉴免疫系统的抵抗、消灭未知生物病毒的机理，T.Okamolo提出了一种基于Agent的分布式抗病毒系统。它由免疫系统和恢复系统两部分组成，免疫系统的功能是通过掌握自己的信息来辨别“异己”信息(计算机病毒)；恢复系统的功能是通过网络将未被感染的文件拷贝和覆盖到已被感染的计算机上。基于同样原理，人工免疫系统还被用于防止黑客入侵、网络安全维护和系统维护中。

在上述研究工作的基础上本专利给出了CFL人工免疫计算机模型以及建设方法。下面进行介绍。

人工免疫计算机模型以及建设方法

图1是本发明中CFL人工免疫计算机模型示意图，详述如下：

CFL密码卡的密码资源：

WNG8，SM2，SM3，SM4，CFL签名私钥生成元集，基于用户标识的CFL签名算法以及验证算法，SM2密钥交换算法。

初始化过程：

CFL证书生成中心为CFL密码卡颁发证书CFL证书0；为计算单元1颁发CFL证书1；为计算单元2颁发CFL证书2。计算单元1中的所有文件含有来源CFL证书X，并带签名，经过计算单元1过滤后，利用CFL证书1再次签名，且以SM4进行加密存储于硬盘1。计算单元2的文件，有来源CFL证书Y的签名，检验后再利用CFL证书2进行签名。

本发明中CFL密码卡开机过程：

(1)密码卡BIOS0的完整性检测与认证，即基于CFL证书的签名验证；

(2)密码卡各算法的完整性检测与认证，即基于CFL证书的签名验证；

(3)密码卡中所有密钥的基于动态CFL证书0的签名验证；

计算单元1的开机过程：

(4)基于密码卡的BIOS1的完整性检测与认证，即基于CFL证书的签名验证；

(5)每个操作系统1文件进入密码卡进行SM4解密；

(6)每个操作系统1文件基于动态CFL证书1的签名验证；基于动态CFL证书X的签名验证；

(7)计算单元1操作系统开机；

计算单元2的开机过程：

(8)基于密码卡的BIOS2的完整性检测与认证，即基于CFL证书的签名验证；

(9)每个操作系统2文件基于动态CFL证书2的签名验证；基于动态CFL证书Y的签名验证；

(10)计算单元2操作系统开机；

本发明中CFL人工免疫计算机工作过程

基于CFL的人工免疫计算，即计算单元2的工作过程：

(11)CPU2对存储在硬盘2中的文件，通过CFL密码卡进行动态CFL证书2签名验证以及动态CFL证书Y签名验证；

(12)若该代码需要硬盘2中的文件作为输入，同样通过CFL密码卡进行动态CFL证书2签名验证以及动态CFL证书Y签名验证；

(13)通过CPU2执行该软件程序；

(14)该程序写在硬盘2上的文件，进行动态CFL证书2签名；

本发明中硬盘2到硬盘1的数据传输

(15)密码卡读取硬盘2上的数据；

(16)对数据进行动态CFL证书2的签名进行验证，或者进一步对动态CFL证书2的Y签名进行验证；

(17)对数据以动态CFL证书1进行签名，加密；

(18)写入硬盘1；

注释：对于硬盘1到硬盘2的数据传输，在计算单元1在确定数据无病毒木马的情况下，才可以传输到硬盘2.

本发明中CFL人工免疫计算机与网络的安全传输

(19)密码卡与外界的数据传输遵循SSL或者VPN协议，且仅能与CFL证书X的拥有者进行数据传输，并基于CFL证书X中的标识进行审计、强访以及监督。

(20)这些数据在验证通过，并过滤后，含CFL证书X的签名，以及动态CFL证书1的签名，以加密方式存储在硬盘1中。

本发明中CFL人工免疫计算机模型人工免疫性分析

命题1CFL人工免疫计算机模型各单元免疫系统满足独特性。

证明由于CFL密码卡、计算单元1、计算单元2分别拥有基于自己标识的CFL证书，并且是一人一密的，因此CFL人工免疫计算机模型的三个单元具有各自人工免疫的独特性。

命题2CFL人工免疫计算机模型各单元都具有异己检测功能。

证明CFL人工免疫计算机模型各单元对自己的文件是具有基于密码卡的签名的，因此可以排除异己，并删除异己，因此CFL人工免疫计算机模型各单元具有异己检测功能。

命题3CFL人工免疫计算机模型各单元都具有分布检测功能。

证明因为CFL人工免疫计算机模型各单元在密码卡的支持下，对自己的文件都可以进行异己检测、现场认证、自主认证，因此CFL人工免疫计算机模型各单元都具有分布检测功能。

命题4CFL人工免疫计算机模型各单元都具有不完全检测性。

证明因为CFL人工免疫计算机模型各单元仅仅只对进入各自CPU的文件进行检测即可，因此CFL人工免疫计算机模型各单元都具有不完全检测性。

命题5CFL人工免疫计算机模型的计算单元1可具备学习和记忆的功能。

证明CFL人工免疫计算机模型的计算单元1可安装对自己文件中或网络输入中的文件进行智能检测的程序，因此计算单元1可具备对病毒木马查杀的学习和记忆的功能。

由命题1-5可知：

命题6CFL人工免疫计算机模型具有了人工免疫特征。

由命题6可知，CFL人工免疫计算机模型对病毒木马具有免疫功能。

本发明中CFL人工免疫计算机模型信息安全分析

定义7(信息机密性(Confidentiality))：是指信息对于授权用户或实体是能够获得并确定的，对于非授权用户是不能获得或即使获得也不能理解信息内容的。

定义8(信息完整性(Integrity))：是指要求信息不在未经授权的情况下被修改或者丢弃。

定义9(信息可用性(Availability))：是信息可被授权实体访问并能按需求使用的特性(即能够及时访问和按需使用)，又称之为满足信息可用性信息安全的。

定义10(信息可控性(Controllability))：是指对信息的语法、语义、功能、生成、存储、使用、修改、删除、传输路径、发送主体、接受客体等能够进行监督和控制的属性。

定义11(信息可认证性(Verifiability))：是指通信的双方不能否认通信行为，即事后发送者不能否认其发送的信息，接收方也不能否认其接收到的信息。

命题12CFL人工免疫计算机模型对所有私钥可满足机密性。

证明由于CFL人工免疫计算机模型的所有私钥都存储于CFL密码卡硬件中，不出密码卡，因此CFL人工免疫计算机模型对所有私钥满足机密性。

命题13CFL人工免疫计算机模型的计算单元2对其文件满足可控机密性。

证明由于CFL人工免疫计算机模型的计算单元2对其文件时加密的，且与外界的交互式是根据CFL证书的SSL或者VPN完成的，输出的文件根据标识进行明密转换控制，因此本命题成立。

命题14CFL人工免疫计算机模型可满足完整性。

证明因为CFL人工免疫计算机模型中的所有文件都具有基于CFL证书的签名，所有进入CPU的文件都经过CFL证书验证，因此命题成立。

命题15CFL人工免疫计算机模型可满足可用性。

证明因为CFL人工免疫计算机模型中的所有内部交互，以及与外部的交互都可根据CFL证书以及标识完成，因此本命题成立。

命题16CFL人工免疫计算机模型可满足可控性与可认证性。

证明因为CFL人工免疫计算机模型中所有交互都是基于CFL证书工作的，计算单元1且具有审计与监控功能，因此本命题成立。

由命题12-16可知：

命题17CFL人工免疫计算机模型是可满足信息安全五性的计算系统。

同时可知，CFL人工免疫计算机模型由于具有可认证性以及机密性，以及计算模块2的审计功能，因此具有很强的防范隐蔽信道的能力。

本发明中CFL人工免疫计算机模型绑定关系分析

CFL人工免疫计算机模型中的密码卡技术即为黑盒技术；该模型的计算单元1的功能是沙盒技术的具体体现；该模型中的两个计算单元体现了信息安全的纵深防御技术。

在此基础上，该模型又是在MVSH模型的指导下给出的。MVSH模型是在我们的长期信息安全事件中独立给出的。构建MVSH模型的指导思想为：

指导思想1：安全计算平台一体化建设应遵从哥德尔不完全性定理。

指导思想2：病毒木马的查杀隶属NP完全问题。

指导思想3：从参数控制到函数控制。

指导思想4：信息安全管理技术化。

图2为信息系安全计算机平台一体化建设MVSH模型。

本发明实施例中在CFL技术的支持下，MVSH模型各维度关系分析：

(1)在软硬件自主可控的基础上，CFL安全根主板内置，构成计算平台的安全根。

(2)管理内置在CFL证书中，管理内置在实体中，将管理维度与信息安全维度有机结合。

(3)CFL证书内置在实体中，将安全维度和纵横两维度紧密结合。

(4)CFL独立于计算平台但又同步服务于计算平台，将安全设施和应用设施硬件隔离的同时又在服务中有机结合。

(5)CFL与计算平台中的实体绑定实现自组织认证。在此基础上，实现了实体强访、密钥交换、加解密(含透明加密)、工作的签名验证(透明)。从而实现了S轴的建设目标。

(6)通过(5)，实现了上下勾连(V轴)，从而实现了纵向深度主动防御。

(7)通过(5)，实现了左右勾连(H轴)，从而实现了横向深度主动防御。

基于CFL可实现MVSH模型，基于MVSH模型可实现安全计算平台的一体化建设。

图3是CFL人工免疫计算机模型绑定对象示意图。所谓绑定即由CFL证书对绑定对象执行的代码以及数据进行签名，运行时先进行验证。

CFL人工免疫计算机模型基本上实现了内置CFL的MVSH模型的绑定目标的战略意图。

本发明模型中的CFL技术的作用

在该模型中，CFL技术具有着PKI或者IBC不可替代的作用。主要体现在以下几个方面：

(1)与PKI相比，应用中的认证去中心化。

(2)现场认证、自认证、统一认证。

(3)绿色认证、轻量级认证。

(4)CFL证书申请中心具有高安全性、现实不可破。

(5)动态认证，因此可以防止重放攻击和假冒攻击，同时保持静态CFL证书的新鲜性，以及证书拥有者和使用者的统一。

(6)使得CFL人工免疫计算机模型各个单元具有及时区分自己与异己的强大的能力。

(7)一人一密，该技术优势使得一台人工免疫计算机模型机的安全问题，不影响其它人工免疫计算机模型机的安全。

(8)CFL证书的标识即CFL证书生成中心为用户CFL证书签名验证的公私钥，通过在CFL证书中添加强制访问控制的安全级，进而可以绑定CFL证书与强制访问控制授权，且不可篡改。

(9)在CFL认证技术的支持下，由信息管理走向信息安全服务。

本发明中CFL人工免疫计算机模型建设举例

本发明中计算单元1的操作系统文件加载举例

不妨设该文件为：

SM4_k(xx.exe||CFL证书X的动态签名||CFL证书1的动态签名)

步骤：

(1)将该密文引入密码卡，在密码卡内解密，得：

xx.exe||CFL证书X的动态签名||CFL证书1的动态签名

(2)然后再在密码卡内对CFL证书1的签名进行验证，得：

xx.exe||CFL证书X的动态签名

(3)然后再在密码卡内对CFL证书X的签名进行验证，得：

xx.exe

(4)将xx.exe加载到计算单元1的CPU1即可。

由该例说明，对于人工免疫计算机模型机的拥有者，上述加密过程是透明的、CFL签名验证过程也是透明的。

注释：关于计算单元1的操作系统文件CPU1加载的文件序号，可以固化在密码卡内。

本发明中计算单元2中的程序输出的结果的签名方法举例

不妨设执行程序为yy.exe，其在yy.exe中的输出一个文件yy_out.txt。

步骤：

(1)先将生成的部分文件放在缓存中，计算其SM3中间结果；

(2)此时将缓存中的数据写入硬盘2；

(3)然后对进一步输出的结果，先放入缓存，在SM3中间结果的基础上，继续计算SM3新中间结果；

(4)将缓存中的数据继续写入硬盘2，以此类推；

(5)最后在数据的结尾写入以最后的SM3输出结果的动态CFL证书2的签名以及证书本身。

本发明中CFL人工免疫计算机模型的数据库建设举例

本发明中BLP模型与CFL证书的关系

假设访问主体的CFL证书由CFL证书生成中心统一配发，且CFL证书生成中心根据该主体的岗位信息，将相应的安全级作为CFL证书的标识的一部分。

也就是说CFL证书中含有相应主体的BLP安全级。在这种情况下，CFL证书绑定了主体的安全级。

假设数据库位于CFL人工免疫计算机模型的计算单元2，CFL证书2对数据库中的每个表进行了签名，则CFL证书绑定了数据库中的每个客体。

通过上述绑定，也就是说CFL证书可以绑定CFL人工免疫计算机模型的数据库的主客体。

注释：根据访问控制细粒度的要求，可以对每个字段进行绑定。下面以绑定数据库表为例。

本发明中CFL人工免疫计算机模型的数据库建设举例

假设访问主体为s，其安全级为(l_s，c_s)，主体s其他标识为ID_s，总体标识为ID＝ID_s||(l_s，c_s)；其工作公钥为RAPK_s，其CFL证书为：

C_s＝ID_s||(l_s，c_s)||RAPK_s||SIGN₁||(I_C，T)||SIGN₂，

其中，SIGN₁为该主体以自己的工作私钥对ID_s||(l_s，c_s)||RAPK_s的签名；I_C为CFL证书生成中心的信息、证书的有效期等信息；T为签名时间等信息；SIGN₂为CFL证书生成中心根据标识ID_s||(l_s，c_s)||(I_C，T)产生的标识签名私钥，对ID_s||(l_s，c_s)||(I_C，T)的签名。

该主体访问数据库的步骤：

(1)与计算单元1进行基于CFL的SSL或者VPN通信；

(2)计算单元1接受访问计算单元2中DB.yy表的请求；

(3)计算单元1用自己的CFL证书1对该要求任务(含请求者的证书)签名，在CFL人工免疫计算机模型通过CFL密码卡传给计算单元2；

(4)计算单元2对计算单元1的证书签名进行验证，再对该访问请求主体的签名进行验证，取得标识中的安全级，再提取数据库中DB.yy表的安全级，比如说DB.yy表的安全级为(l_o，c_o)，若(l_s，c_s)≥(l_o，c_o)则可以读DB.yy，即计算单元2把DB.yy表数据签名通过CFL密码卡发给计算单元1；

(5)计算单元1验证计算单元2的签名，去掉计算单元1的签名，加上自己的签名，再以SSL或者VPN协议发给该访问主体。

注释：以此类推，CFL证书同样可以和Biba模型相结合。

通过上述举例，说明了CFL人工免疫计算机模型实现的可行性以及可落地性。

本发明中CFL人工免疫计算机模型效率分析

一方面CFL密码卡的签名验证的速度很快，另一个方面，每次的签名验证是对相对长度的明文进行的，因此CFL人工免疫计算机模型效率降低不大，保证了CFL人工免疫计算机的实际效率。

本发明中CFL人工免疫计算机模型实现的几种方式

第一种方式，在主板具有PCI插槽的单机上，或者服务器上，插上CFL密码卡，可以近似实现CFL人工免疫计算机模型。

第二种方式，在主板上内置CFL密码卡，在密码卡与计算单元1之间，在密码卡与计算单元2之间设计数据总线，完全实现CFL人工免疫计算机模型。

注释：若在计算单元1和计算单元2之间依靠内部网络交互，也算是对CFL人工免疫计算机模型的近似实现。

注释：在特殊环境下，需要考虑CFL证书与内存的绑定，考虑主客体绑定的细粒度，我们在今后的工作中继续给出这方面的工作。

该模型既可以做成PC机，也可以做成服务器，同时也可以构建大型的计算平台。该模型特别适合大型内网的信息安全保护。在一定意义下，该模型本身也可以看成是可信操作密码机。

本发明中CFL人工免疫计算机模型与知识安全

知识安全是信息安全在当今网络空间中的进一步发展。下面我们探讨CFL人工免疫计算机模型与知识安全的关系。

在信息安全五性的基础上，通过可传承性、抗白化性扩张，构成了知识安全七性。

由于CFL人工免疫计算机模型中的文件，有来源地的签名，也有计算单元1过滤后的签名，因此，可以支持知识信息的可传承性与抗白化性，因此可得下面的命题：

命题18FL人工免疫计算机模型支持知识安全的实现以及安全知识库的建设。