信息安全电子设备和应用架构的制作方法

信息安全电子设备和应用架构的制作方法
【技术领域】
[0001 ] 本发明涉及电子、通信、软件和信息安全技术领域。
【背景技术】
[0002]随着电子设备(如计算机、平板电脑、手机、可穿戴设备等)的智能化和网络化发展，以及各种应用的推广普及，信息安全问题日益突显。电子设备因开放联网应用之故，系统漏洞、病毒代码和间谍程序犹如幽灵般时隐时现变幻莫测，导致窃密和欺诈事件频繁发生，造成用户损失乃至危害国家安全。另一方面，电子设备生产商因产品市场遭遇恶性价格竞争，硬件利润普遍偏低，而应用服务商则凭借衍生增值服务持续获利颇丰，由此形成行业分配不公可能阻碍先进制造业的良性发展。
[0003]为了解决电子设备信息安全问题，大多数技术方案集中在应用软件层面上做文章，诸如漏洞扫描程序、防杀病毒软件、安全助手程序、安全桌面程序、上网行为管理、信息防泄露系统等技术产品大量涌现并投入使用，但信息安全问题依然严峻。即使构建和采用了可信赖操作系统，只要缺乏配套硬件和安全应用支撑，信息安全还是成问题。解决问题的关键还须期待系统和硬件层面的技术方案更趋完善。“数据安全管理系统和方法”(中国发明专利申请号201210042754.4)提出，第一系统有管理权限又有输入装置显示输入界面，第二系统运作安全机制，另有切换器将管理权限从前者切换至后者，由第一系统将输入界面布局信息及输入装置特性传送至第二系统，让第二系统从输入装置接收输入数据，并依据布局信息及输入装置特性解码输入数据。该发明的局限在于，在普通的第一系统与安全的第二系统之外，需由第三者切换器来切换两者，实用中不易做到无缝衔接对用户透明；其着眼解决两系统之间输入数据的接收转换一致性问题，却未给出共享输入装置的安全技术办法，而且不涉及其他输入更不涉及输出的安全性问题。“用于在同一个微控制器上管理安全和不安全应用的系统”(中国发明专利申请号201380016147.3)提出，基于互连矩阵，将交换接口(连主外围装置)、多个处理器和对于共享存储器空间的访问部件进行互连，并与存储器的安全隔离单元合作，由此管理安全和不安全应用。该发明的局限在于，所给出的是一种电子微控制器系统，关键的安全隔离单元只是在共享存储器的基础上，划分保护地址范围，通过过滤器和比较器强制对存储器空间的访问，从而决定主外围装置的可访问性。“一种移动终端及其在双系统下访问数据的方法和装置”(中国发明专利申请号201410369962.4)提出，当前操作系统根据应用程序共享指令，将应用程序从第一操作系统共享给第二操作系统，又将当前操作系统从第一操作系统切换到第二操作系统，由此让应用程序访问提取第一操作系统和第二操作系统的数据。该发明的局限在于，着眼于软切换而非硬隔离，一个误共享的恶意程序也能跨越两个操作系统，并不能使得双系统数据的访问更加安全。“一种支持无缝切换的双系统终端”(中国发明专利申请号201310342622.8)提出，非智能子系统和智能子系统硬件独立，二者共享无线射频模块、屏幕、语音及其相关I/O接口设备，前者始终保持运行状态用于安全通话和短信通信，二者通过硬件开关键完成切换。该发明的局限在于，两手机系统相互隔离同时运行，却失去了有用的关联，用户只能分别使用；而只能通过硬件开关键切换，又产生了使用中的切换缝隙。“一种用于信息安全防护的双机计算机系统”(中国发明专利申请号201210230923.7)提出，在一台计算机中设置两个子系统，通过共享切换控制器切换连接至外围设备，又通过输入网关和输出网关分别联通外网和内网。该发明的局限在于，双机隔离的集成松散，两子系统只能分别使用互不相干。“单主板双独立安全计算机系统”(中国发明专利号201010556826.8)提出，在同一块PCB板上设双硬件系统，各具独立CPU等模块独立运行，通过智能切换模块，用外界按键控制共享显示器、键盘、鼠标等人机交换界面。该发明的局限在于，虽然集成紧凑，但两硬件系统也只能分别使用互不相干。
[0004]为了从产品硬件利润日益底下的困境中解脱，一方面，电子设备生产商开始谋求主导其产品的应用服务，或选择与特定应用分发服务商合作，以图从衍生增值服务牟利?’另一方面，电子设备生产商已经被发现有的秘密采取技术手段，对非合作服务商分发的应用，在用户下载安装或运行时实施概率性随机阻拦，导致应用莫名其妙地失效。问题是，这种私下隐晦的干扰行为，虽然明显出于无奈，但显然没有正当性，对用户也是不公平的。

【发明内容】

[0005]本发明提出一种信息安全电子设备，用系统和硬件的综合技术措施，完善电子设备的信息安全功能与用途。典型的信息安全电子设备，一是计算机，如服务器、台式电脑、笔记本电脑、平板电脑等；二是通信终端，如固定电话、移动电话(手机)、车载信息终端等；三是智能穿戴设备，如智能化的手表、手环、手镯、眼镜等。还可能有其他不同名称和形态的电子信息设备，基本共性是有对外通信、可联网使用。本发明设备，其基础硬件构成包括(但不限于)处理器/控制器、存储器、输入输出部件。其中，处理器/控制器有多个(即两个以上)，设备是一多处理器/控制器的系统；存储器有内部存储器(如动态或静态存储器)，还可有外部存储器(如硬盘、闪存)；输入输出部件，既指接口也指装置，根据设备用途功能需要，可选的输入部件有键盘鼠标、触控屏、麦克风、摄像头、指纹识别器、运动传感器、地理定位器(如GPS、北斗定位器件)等，可选的输出部件有显示器、显示屏、投影器、扬声器、振动器等，可选的输入与输出部件有通信传输(如无线通信、有线通信、近程通信、远程通信)、外接移动存储器(如U盘、移动硬盘)等。本发明设备，其系统构成包括两个既自成体系又独立运行的子系统:一是常规子系统，处理器/控制器(可以有多个)和存储器上运行非信赖操作系统，也可运行可信赖操作系统，其上再运行常规应用(或模块)，系统因为开放(操作系统不可信、应用行为不可控、随意联网下载、与外部通信不加密等因素)而不够安全；二是安全子系统，处理器/控制器(可以有多个)和存储器上运行可信赖操作系统，或者运行的不是完整操作系统而是专用核心管理程序，其上再运行安全应用(或模块)，系统因为封闭(操作系统或核心管理程序可信赖、应用经过认证、管控或禁止联网下载、与外部通信加密等因素)所以比较安全。于是，本发明设备基于前述两个子系统，其体系结构和运行机制相应地包括常规模式和安全模式且并行运行，其中，常规模式于开放系统环境执行用途规定功能处理(如提供操作主界面、计算和通信等)，安全模式于封闭系统环境执行安全保密功能处理(如身份识别/认证、数据加密/解密、数字签名/验证和电子支付/授权等)，可选地也执行类似常规模式的部分功能处理，所述两种模式各自具有独立的处理器/控制器并运行于各自独立的内存地址空间，相互之间还内部交换信息，而且，所述两种模式共享部分或全部输入输出部件。尤其是，本发明设备内部还包括电子切换机构，实施所共享输入输出部件与常规模式或与安全模式之间内部连接的任选切换。所述电子切换机构受控于安全模式，通过对目标输入输出部件的关键信号线组同步实施电路选择，来控制切换目标输入输出部件排它地实际连通工作于常规模式或安全模式。
[0006]本发明设备让常规模式和安全模式共享输入输出部件，既是为产品降低成本保障工艺，也是为了满足设备信息安全的需要。至于本设备中有哪些输入输出部件需要被共享，则取决于实际设备安全功能需求。本发明设备中的电子切换机构，主要由一系列电子开关构成，用于在电路一级实施切换。电子开关的集成电路器件实例，数字电路的有TTL电平三态输出的缓冲器 / 驱动器 / 接收器(如 SN74125、SN74126、SN74425、SN74426、SN74LS367A、SN74LS368A、SN74LS240、SN74LS241、SN74LS244)、总线传送接收器(如 SN74LS242、SN74LS243、SN74LS245)、数据选择器 / 多路开关(如 SN74LS257、SN74LS258)等，模拟电路的有 CD 系列(如 CD4051、CD4052、CD4053)、DG 系列(如 DG211、DG212、DG411、DG412、DG413、DG308B、DG309B、DG444、DG445、DG441883)、MAM 系列(如 AX4610、MAX4611、MAX4612、MAX4661、MAX4662、MAX4663)等，以及其它不同型号和性能的集成电路器件。每一种电子开关集成电路器件，一般包含多路(例如3路、4路)可数字控制的电子开关。每一路电子开关负责切换一条(一根)电子线路，而一个输入输出部件通常有多条信号线路，例如作为一般输入部件的标准键盘鼠标PS/2接口有6条TTL信号线(时钟、数据、电源、地、2条未用保留)，也就需要多个电子开关来切换。通常，电源和地是设备中共用的线路，无须考虑电路切换，除非需要对电源进行管制(如模仿USB设备拔插)。而数据线、时钟线、控制线、状态线等，才是输入输出部件的关键信号线(例如时钟、数据即为键盘接口的一组关键信号线)，需要成组实施电路切换。而且，对每个目标输入输出部件的关键信号线组的电路切换，应当同步(即同时一致地，特殊的也可策略性区别地)进行，以求避免干扰和失效。企图规避本发明同步切换意涵，而刻意设计分步执行的切换，只要不影响切换有效性的，都应被视为本发明所述的同步切换。为切换某个输入输出部件的某条线路，若使用数字电子开关，则需注意目标线路的信号量类型(限于数字量如TTL电平)和输入输出方向，避免接错，对于双向线路，可能还需修改设备驱动程序；而用模拟电子开关，则既适用于数字量也适用于模拟量(如音频、视频信号)，无需顾及目标线路的信号量类型和输入输出方向，实现起来相对简单。一般而言，采用数字控制模拟电子开关(如CD4053、MAX4611)来切换输入输出部件信号线路，是较佳选择。但电子开关的电压、电流、延迟等电气特性，则需针对具体目标线路的电气特性具体分析选择。采用电子开关切换信号电路的具体位置节点，既可以安排在初始节点(如键盘接口插座接入处附近)而简化，也可以安排在经济节点(如指纹识别器模块的输出线的接入延伸处)而节省。电子切换机构必须置于安全模式控制之下，而不能受常规模式控制，否则就可能被常规应用中的恶意进程利用来操弄欺骗用户。电子切换机构对每一个目标输入输出部件的关键信号线组同步实施电路选择，使得该目标输入输出部件在任意时刻，要么实际连通工作于常规模式(同时切断了与安全模式的连接)，要么实际连通工作于安全模式(同时切断了与常规模式的连接)。换言之，控制切换具有排它性，连通一种模式即意味着切断另一种模式。假如，电子切换机构采用专用处理器/控制器来实施独立控制，则该处理器/控制器应被视为属于安全模式范畴。
[0