专利名称:安全咨询系统的制作方法
技术领域:
所公开的技术涉及安全咨询系统的领域。
背景技术:
设计集成电路复杂且困难。电子设计自动化软件提供了用来辅助集成电路设计者
的设计自动化工具。这些工具辅助设计者来创建可能最终体现在集成电路中的(用于电路
设计模块的)设计数据。EDA软件试图在电路设计的第一个集成电路的实际制造之前,对该
设计进行建模和确认。使用EDA软件而生成的设计数据包含设计者的知识产权。该知识产
权非常有价值并且受到特别的保护,其被设计者认为是其最为机密和私有的数据,因此是
敏感数据。如果知识产权被人获知,则竞争者将可能很快地进行市场竞争。 EDA软件是复杂的,即使是富有使用经验的设计者,有时也需要向EDA软件的开发
者或者向具有设计者所使用的设计数据的库的人员进行咨询。然而,从咨询实体获得所有 者关于涉及给定设计的EDA软件(和/或其他应用程序)的问题的辅助,经常需要设计的 所有者实体向咨询实体的技术团队披露其由EDA软件使用或者生成的敏感数据。
这种披露增加了设计可能被盗用的风险。如果敏感数据被邮寄、速递或者通过网 络传输,则可能通过截取该敏感数据来进行盗用,而通过与咨询实体或所有者实体相关联 的不法分子对数据的未授权访问同样可能发生盗用。在某些情况下,这种披露可以被认为 是公共公开,并由此损害关于设计的商业秘密声明。因此,需要某种机制使得咨询实体能够 针对所有者的问题来辅助所有者实体,同时对所有者实体的敏感数据进行保密,由此使所 有者实体的风险最小化。 然而,通常,咨询实体服务于多个所有者实体。由此,咨询实体必须确保每个所有 者实体的敏感数据对其他所有者实体完全地、可验证地保密。必须针对源自咨询实体内的 威胁以及源自咨询实体外的威胁来保护每个所有者实体的敏感数据。例如,即使是针对受 信站点管理员、系统管理员或者咨询实体的其他特权用户,也必须保护所有者实体的敏感 数据。 在咨询实体危及敏感数据安全的情况下,尽管所有者实体与咨询实体之间的合同 可以为所有者实体规定损害赔偿,但是证明如何、谁以及何时损害是困难的,而且可以获得 的任何损害赔偿经常是长时间延迟的。 在此描述的装置和技术从2004年起已由新思(Synopsys)公司使用,并且从那时起根据不公开协议已经可用于选定的新思客户。该技术是达成商业交易的一个因素,并且 已经为新思公司带来了可观的收益。其满足安全咨询系统领域长期存在的需求,并且受到 了新思公司已经向其提供了该技术的公司的好评。
图1示出了安全咨询系统站点;
图2示出了导入数据过程;以及
图3示出了验证代理过程。
具体实施例方式
在此公开的技术是一种安全咨询系统,其允许所有者实体安全地存储其最为安全 和私有的数据,使得所有者实体和咨询实体的指定人员可以对该数据执行应用程序以及在 应用程序应用于敏感数据时咨询该应用程序的操作和正确性。该安全咨询系统包括安全网 络和本地防火墙,该本地防火墙与本地网络和安全网络通信。本地防火墙配置用于在本地 网络与安全网络之间的虚拟专用网络通信得以通过。安全咨询系统还包括与安全网络通信 的入侵检测装置,其被配置为检测安全网络中的未授权网络操作。而且,加密密钥服务器与 安全网络通信,并且配置用于提供加密服务以便在安全网络内使用。安全咨询系统还包括 敏感数据存储器,其与安全网络通信,并配置用于将所有者挂载点内的敏感数据存储在敏 感数据存储器上。敏感数据在其被存储到敏感数据存储器中时被加密。而且,应用程序存 储器与安全网络通信,并且配置用于存储应用程序。安全咨询系统还包括计算机服务器,其 与安全网络通信,并配置用于获取和执行来自应用程序存储器的应用程序。应用程序配置 用于处理敏感数据。计算机服务器还配置有虚拟网络计算服务器。应用程序配置用于在被 认证和授权用户调用时处理敏感数据。而且,虚拟专用网络网关与安全网络通信,并配置用 于通过本地防火墙来扩展安全网络,以允许安全网络外部的虚拟网络计算客户端与虚拟网 络计算服务器通信。 图1示出了安全咨询系统站点100,其可以用来允许所有者实体人员与咨询实体 人员协作努力,以解决所有者实体在对所有者实体的敏感数据应用EDA或者相关应用程序 时可能具有的所有者问题。安全咨询系统站点100通常可以与互联网101(诸如因特网) 通信。如本领域公知的,互联网防火墙103保护本地网络105免受互联网101影响。本地 网络105支持各种计算设备与其他连网装置之间的通信,这也是本领域已知的。这些连接 可以包括加密服务器106和本地防火墙107。本地防火墙107控制从本地网络105对安全 网络109的访问,并且禁止从本地网络105对安全网络109的未授权入侵企图。安全网络 109是独立的、物理上隔离的网络。 如随后将会描述的,从本地网络105通过本地防火墙107对安全网络109的访问 极度受限。而且,安全网络109内的分组流动由入侵检测/阻止装置111来监测,以便检测 和(在某些实施方式中)阻止源自安全网络109内的未授权网络操作,从而帮助检测连接 至安全网络109的装置的安全是否受到威胁(例如,由病毒或者执行禁止操作的已认证和 已授权用户)。安全网络109还包括加密密钥服务器113,其提供对(例如)驻留于敏感数 据存储器115中的、所有者实体的敏感数据进行保护所需的加密服务,并且支持安全网络
5109内使用的其他加密操作。这些服务可以包括生成和提供安全网络109内使用的对称密 钥。 咨询存储器117用来存储由咨询实体提供/使用的应用程序和数据。代表咨询实 体和所有者实体的人员可以通过对所有者实体的敏感数据应用这些应用程序来重现所有 者的问题。咨询实体人员和所有者实体人员可以使用来自计算服务器组119的计算机来执 行这些应用程序。对计算服务器组119资源的访问可以通过VPN网关121。所有者实体和 咨询实体的已认证和已授权用户不具有对存储于敏感数据存储器115上的敏感数据的直 接访问权。相反,在所分配的计算服务器123上执行的应用程序为用户提供由应用程序在 其对敏感数据进行操作时所呈现的用户接口的表示。敏感数据存储器115被组织为共享 (端口 )。包含所有者实体的敏感数据的适当共享是所有者挂载点,其可以由已分配的计算 服务器123的已认证和已授权用户来安装。禁止所有者实体的敏感数据在指派给所有者实 体的所有者安装点之外进行移动、拷贝或者存储。由此,该数据无法被转移到有形的存储介 质。此外,入侵检测/阻止装置111和/或本地防火墙107禁止将此数据传送到安全网络 109外部。 安全网络109优选地安全布置在安全物理位置之中,只有已认证和已授权人员允 许访问该位置。如本领域技术人员已知的,可以通过使用访问过程(例如,使用密钥卡和生 物学认证技术)来允许和记录此类访问。已认证和已授权用户的电子访问可以通过去往已 分配计算服务器123上的虚拟网络计算服务器125(VNC服务器)的虚拟专用网络(VPN)。
咨询实体的人员和所有者实体的人员针对所有者实体的敏感数据来调试和测试 应用程序,以解决所有者的问题。通常,已分配的计算机服务器123只能够挂载单个所有者 挂载点,并且只有该所有者挂载点的已认证和已授权用户可以登录到已分配的计算服务器 123中。 安全网络109保护所有者的敏感数据不受内部和外部威胁,因为该数据通常在物 理上位于已知的和安全的物理位置、在敏感数据存储器115中被加密、无法拷贝到安全网 络109之外、无法拷贝到所有者挂载点之外、并且无法拷贝到有形介质(其可以从安全物理 位置移除)中。由此,可以阻挡来自所有者实体或者咨询实体的欺诈人员的外部威胁。而 且,安全网络109和安全物理位置的站点管理员、系统管理员或者其他有权限的用户禁止 阅览敏感数据,从而也阻挡了来自欺诈但是被信任人员的内部威胁。此外,对敏感数据的所 有访问将经过审核。 可以通过使用诸如安全FTP(SFTP)的安全网络协议将设计数据方便、安全地递送 至安全咨询系统,从而通过因特网来传输加密的设计数据。在一个实施方式中,SFTP传输 协议需要双因子认证。 加密服务器106可以用来提供用于所有者实体将其设计数据递送至敏感数据存 储器115的安全手段。 一旦将来自非公开协议的约束并入加密装置127(具体地,一旦定 义了所有者实体的许可、权限和加密密钥),则所有者实体可以将其敏感数据递送至安全网 络109。用来递送该数据的较多安全方法之一是使用安全FTP通过因特网以加密形式来发 送数据,使得敏感数据在传输时被加密。在一个实施方式中,加密服务器106执行VanDyke Software的360111^ : (@应用来提供安全数据传送能力。在将敏感数据存储在加密服务 器106上时,可以使用任何适当的加密包来对其进行加密。在一个实施方式中,加密包使用Vormetric公司的CoreGuard 信息保护系统。 —旦将敏感数据存储在了加密服务器106上,程序可以将敏感数据传送至安全网 络109内的敏感数据存储器115上的所有者挂载点。在一个实施方式中,对已加密的敏感 数据进行解密,计算敏感数据的文件文摘(例如,MD5校验和),并且使用安全协议(例如, SFTP、 SSH或者其他加密协议)将敏感数据和文件文摘从加密服务器106传输至敏感数据 存储器115,在此,使用文件文摘来验证副本是成功的。 一旦将敏感数据可验证地拷贝到了 敏感数据存储器115,便从加密服务器106删除包含敏感数据的已加密文件。在从加密服务 器106接收到敏感数据时,其由加密装置127进行加密,并且存储(例如,作为重定位的文 件)在所有者挂载点内的敏感数据存储器115中。图2和图3以及所附描述进一步描述了 数据导入过程的一个实施方式,其可以用来将敏感数据从加密服务器106重定位到敏感数 据存储器115。 在某些实施方式中,删除文件或者所有者挂载点还包括执行碎片和/或擦除应 用,以便从敏感数据存储器115移除敏感数据的所有痕迹。 之前讨论的技术首先对加密服务器106中的敏感数据进行解密,并且通过与敏感 数据存储器115的安全连接将敏感数据拷贝到安全网络109,在敏感数据存储器115处,数 据由加密装置127来加密。当加密服务器106和加密装置127不具有兼容的加密管理能力 时,该方式是有用的。对于不具有兼容的加密管理能力的实施方式而言,可以在无需解密的 情况下将已加密的数据从加密服务器106拷贝到敏感数据存储器115。在这种情况下,可以 根据已加密的敏感数据来创建文件文摘。 在某些实施方式中,敏感数据可以在计算机可读的有形介质上递送给安全网络
109的管理员。例如,该递送可以通过使用信任的快递人员来完成,从而将设计数据物理上
地递送给咨询实体;然而,这样的快递人员可能被阻挠、抢劫、贿赂等。本领域技术人员将会
理解,包含敏感数据携载的有形介质的递送比之前描述的网络方法风险更大。 在安全网络109内,所有者实体的敏感数据可以由加密装置127(例如,NetA卯公
司的DataFortTM安全存储安全装置)以及驻留在已分配计算服务器123上的加密服务129
来加密和解密。 本地防火墙107可以是第4级(level 4)防火墙,其可配置用于仅允许从本地网 络105对安全网络109的特定访问。在一个实施方式中,本地防火墙107可以配置用于禁止 来自敏感数据存储器115或者咨询存储器117的任何数据或者应用传输到安全网络109之 外。在一个实施方式中,从安全网络109内传送的数据可以经由虚拟专用网络上的虚拟网 络计算协议。本地防火墙107和入侵检测/阻止装置111可以配置用于禁止安全网络109 内的其他数据传输。在一个实施方式中,本地防火墙107配置用于拒绝除了从加密服务器 106到敏感数据存储器115之外所有对安全网络109的文件传输。 敏感数据存储器115可以配置为冗余存储(这是本领域技术人员已知的),以消除 对备份介质的需要(及其相关联的风险)。当不再需要敏感数据时,可以通过删除文件或 者所有者挂载点来将敏感数据从敏感数据服务器115删除,从而安全地从敏感数据存储器 115移除敏感数据的任何痕迹。 本地防火墙107可以配置用于允许VPN通信访问VPN网关121 ,并因此允许已认证 和已授权用户访问在已分配计算服务器123中执行的网络计算服务器125。 VNC协议由VPN网关121封装。本地防火墙107可以配置用于检测和记录感兴趣的活动(诸如,登录尝试、 应用执行、文件访问以及文件解密和加密等),并向指定的审核者提供警示和报告。通过使 用VPN和VNC,已认证和已授权用户(包括所有者实体的人员以及咨询实体的人员)可以 访问存储在咨询存储器117上的应用程序,并且这些应用程序可以访问存储在敏感数据存 储器115上的所有者实体的敏感数据。由此,所有者实体的人员和咨询实体的人员可以等 同地利用应用程序和/或敏感数据来复制所有者的问题,并且可以一起工作来解决所有者 的问题。VNC服务器禁用其剪贴板功能,使得无法使用拷贝-粘贴GUI功能从安全网络109 内转移敏感数据。 本领域技术人员将会理解,入侵检测/阻止装置111也可以配置用于检测和记录 感兴趣的活动(诸如,登录尝试、应用执行、文件访问以及文件解密和加密事件等),并向指 定的审核者提供警示和报告。入侵检测/阻止装置111还可以监测和记录安全网络109上 的异常网络业务流,并且可以在特定事件发生时通知指定的审核者。这些通知可以通过电 子邮件、SNMP或者通过执行用户定义的程序。在某些实施方式中,入侵检测/阻止装置111 可以阻止检测到的攻击(例如,通过阻止对目标装置的访问,阻止来自攻击者的对目标装 置的访问,断开连接等来进行)。而且,入侵检测/阻止装置lll可以标识攻击之前的侦测 活动。在某些实施方式中,入侵检测/阻止装置111可以配置用于执行网络行为分析,以标 识生成异常网络业务和策略违犯的攻击。此外,入侵检测/阻止装置111可以阻止向咨询 存储器117中存储的应用程序或者计算机服务器组119上的应用/系统程序安装未授权的 补丁或者升级。本地防火墙107和入侵检测/阻止装置111阻止向计算机服务器组119以 及向咨询存储器117安装未授权的补丁或者升级。在一个实施方式中,入侵检测/阻止装 置111由3Com公司的TIPPINGPOINT⑧IPS设备来提供。 敏感数据存储器115包含每个所有者实体的敏感数据。敏感数据总是以加密形式 存储。配置本地防火墙117和入侵检测/阻止装置111,使得敏感数据无法被转移到安全网 络109外部。此外,仅在虚拟网络计算服务器125的控制下,向已分配计算服务器123上执 行的应用程序提供对所有者实体敏感数据的直接访问。 计算服务器组119提供多个计算机服务器以供任何所有者实体使用。在一个实施 方式中,在登录时,计算服务器组119中的单个计算服务器被指派给特定的所有者实体(诸 如,已分配计算服务器123),从而最小化某些其他所有者实体能够访问特定所有者实体的 敏感数据的可能性。咨询实体和所有者实体人员可以使用来自咨询存储器117的应用程序 对所有者实体的敏感数据进行操作。在某些实施方式中,如果用户的认证和授权允许相同 所有者挂载点的挂载,则来自所有者实体的多个人员和/或来自咨询实体的多个人员可以 同时共享所有者挂载点中的敏感数据存储器115。在某些实施方式中,已分配的计算服务器 123可以由有权访问相同所有者挂载点的用户共享。 加密可以通过加密装置127来完成,加密装置127在敏感数据被存储在敏感数据 存储器115上时(例如,在敏感数据从加密服务器106重定位时)对敏感数据进行加密。 当已分配的计算服务器123访问敏感数据时,可以通过使已加密的敏感数据流过加密装置 127来解密敏感数据( 一旦解密,则敏感数据无障碍地流到已分配的计算服务器123,但是 在安全网络109内)。 敏感数据的加密/解密也可以由加密服务129来完成,加密服务129运行在已分配的计算服务器123上,并配置用于解密和加密从敏感数据存储器115读取或者向其写入 的数据。该技术保持数据即使是在流过安全网络109时也是加密的。 所有者实体可以指定当其敏感数据在安全网络109中时是否可以修改或者拷贝。 如果允许修改和/或拷贝,则对这种修改和拷贝进行审核。在一个实施方式中,仅在所有者 实体的所有者挂载点内允许此类修改和/或拷贝。 上文讨论已经描述了安全咨询系统站点100的配置。在所有者实体能够将其敏感 数据传送到安全咨询系统站点100之前,安全咨询系统站点100的站点管理员、系统管理员 或者其他有权限的用户必须初始化所有者实体的所需授权、认证和加密特征,以及在敏感 数据存储器115上创建相应的所有者挂载点。 —旦所有者实体已经发现需要向咨询实体进行咨询的所有者问题,所有者实体和 咨询实体从每个实体选择将能够对敏感数据执行应用程序的人员,以及将接收关于敏感数 据访问报告和事件信息的指定审核者。该事项例如由所执行的不公开协议(NDA)来备案。 根据NDA中的信息,站点管理员、系统管理员或者其他有权限的用户调整加密密钥服务器 113的状态,以建立用于对敏感数据适当访问的已认证和已授权用户,并且标识事件和报告 通知的指定审核者。对敏感数据的访问在登录、应用执行、文件访问以及文件解密/加密的 级别处是精细粒度的。通过软件代理阻止站点管理员、系统管理员或者其他有权限的用户 对所有者实体的敏感数据进行已被禁止的访问,其中该软件代理提供内核模式控制,以限 制此类有权限用户的访问。由此,站点管理员、系统管理员或者其他有权限用户仅仅在安全 控制的访问区域中提供对安全网络109的监管、控制、建立和保护。 —旦调整了加密装置127的状态,定义了认证和授权参数,并且分配了所有者挂 载点,则所有者实体可以如上所述地将其敏感数据发送至安全咨询系统站点100。 一旦所 有者实体的数据驻留在敏感数据存储器上(例如,在重定位的文件中),则指定人员(其是 已认证和已授权的用户)可以VPN到安全网络109中,以获得对已分配计算服务器123的 VNC访问,并因此对存储在所有者挂载点内的敏感数据存储器115上的所有者实体敏感数 据执行存储在咨询存储器117上的应用。这些驻留应用(如果重定位的文件的许可允许的 话)修改或者拷贝所有者实体的敏感数据,只要该拷贝/修改保持在所有者挂载点中即可。 以此方式,咨询实体的人员和所有者实体的人员可以在安全的环境内进行调试和咨询。注 意,因为已认证和已授权用户仅能访问安全网络109内的已分配计算服务器123,敏感数据 无法直接被访问或是被转移到安全控制的访问区域之外。 本地防火墙107、入侵检测/阻止装置111、加密密钥服务器113、 VPN网关121等 可以记录事件。NDA中指定的特定审核者接收访问敏感数据的所有用户和可执行文件的审 核跟踪,以及账户登录/注销尝试、文件访问以及文件解密尝试、文件修改、文件拷贝等。一 旦所有者的问题得到了解决,则不再需要敏感数据并将其删除(以及任何其他拷贝或者已 修改拷贝),并且向指定的审核者发送删除通知。在某些实施方式中,当所有者的问题得到 解决时,在删除所有者实体的挂载点时对其进行碎片化/擦除。 图2示出了可以用来将所有者实体的敏感数据从加密服务器106重定位到敏感数 据存储器115中的重定位文件的导入数据过程200。导入数据过程200在加密服务器106 上执行,并且响应于加密服务器106的初始化、响应于操作者命令、响应于计划任务事件等 而在开始端201启动。 一旦启动,则导入数据过程200继续到"扫描目录"过程203,其扫描加密服务器106上适合接收所有者实体的敏感数据的目录。"新建文件"决策过程205确定 是否在已扫描的目录中找到了新文件。如果没有找到新文件,则导入数据过程200返回"扫 描目录"过程203。 然而,如果找到了新文件(换言之,加密服务器106已经从所有者实体完整地接收 到了敏感数据),导入数据过程200继续到"生成文件文摘"过程207,其计算新找到文件的 文件文摘(例如,MD5校验和)。"将文件拷贝到安全网络"过程209继而通过本地防火墙 107(其配置用于允许通过加密服务器106将文件传输到安全网络109)将文件安全地传输 至敏感数据存储器115。而且,"将文件文摘发送至验证代理"的过程211将文件文摘发送 至安全网络109内的验证代理应用,以便随后如下文关于图3所描述的进行处理。在一个 实施方式中,加密服务器106解码敏感数据,并且在数据被拷贝到敏感数据存储器115时生 成文件文摘(例如,通过使用管道和过滤器应用的结合)。 在已经向验证代理应用发送了文件文摘之后,导入数据过程200最终从验证代理 应用接收诸如成功或者错误状态消息的结果状态。如果"传输已验证"决策过程213确定 文件被成功地传输到了敏感数据存储器115,则安全咨询系统站点100继续到"删除文件" 过程215,其将敏感数据从加密服务器106删除。 然而,如果"传输已验证"决策过程213从验证代理应用接收到了错误状态消息, 则导入数据过程200返回"将文件拷贝到安全网络"过程209,以重新尝试传输。
图3示出了可以在安全网络109中的任何计算机上执行的验证代理过程300。验 证代理过程300还可在加密密钥服务器113上或者敏感数据存储器115上作为服务来执 行。验证代理过程300响应于主控验证代理应用的计算机的初始化、响应于操作者命令、响 应于计划任务(cron)事件等,而在开始端301启动。 一旦启动,验证代理过程300继续到 "扫描目录"过程303,其扫描适于从加密服务器106接收所有者实体的敏感数据的敏感数 据存储器115上的目录。"新文件已删除"决策过程305确定在已扫描的目录中是否找到了 新的重定位文件。如果没有找到新的重定位文件,验证代理过程300返回到"扫描目录"过 程303。 然而,如果找到了新的重定位文件(换言之,敏感数据存储器115已经从加密服 务器106完全接收到了文件),则验证代理过程300继续到"接收文件文摘"过程307,其接 收由在加密服务器106上执行的"将文件文摘发送至验证代理"过程211发送的文件文摘。 "生成本地文件文摘"过程309计算新找到的重定位文件的文件文摘。通过"文件文摘匹配" 决策过程311对"接收文件文摘"过程307接收到的文件文摘与新生成的文件文摘进行比 较。如果文件文摘是相同的,则验证代理过程300继续到"发送成功状态"过程313,其将指 示成功的结果状态发送回加密服务器106,在此,其中该结果状态由"传输已验证"决策过程 213接收。 如果文件文摘不匹配,则验证代理过程300继续到"删除文件"过程315,其将重定 位文件从敏感数据存储器115中删除,并且"发送错误状态"过程317将指示失败的结果状 态发送回加密服务器106,其中该结果状态由"传输已验证"决策过程213接收,使得可以重 新尝试文件传输。 本领域技术人员应该理解,"扫描目录"过程303可以包含延迟,诸如通过实现定时 器、通过使导入数据过程200退出并由计划任务事件重启等。本领域技术人员还将理解,存在多种方式来实现导入数据过程200和验证代理过程300,并且图2和图3暗示的操作顺序 并非提供等效功能所必需的。本领域技术人员还将理解,可以使用利用线程化设计的脚本
或者应用来实现这种功能。本领域技术人员还将理解,为清晰起见,没有包括错误恢复的细 节。例如,本领域技术人员将包括对部分传输的文件和完全传输的文件加以区别所需的逻辑。 本领域技术人员将会理解,之前的描述涉及咨询实体正在服务于多个所有者实体
的实施方式。本领域技术人员将会理解,安全咨询系统100可以由所有者实体来实现,并且
咨询实体的人员将具有辅助所有者实体的人员来解决所有者问题的等效能力。 在此使用的过程是可以通过已编程计算机、专用电子电路或者其他电路或者其得
到期望结果的组合实现的逻辑来执行的自相容的(self-consistent)步骤序列。这些步骤
可以由一个或多个计算机指令来定义。这些步骤可以由执行定义步骤的指令的计算机来执
行。此外,这些步骤可以由被设计为执行步骤的电路来执行。由此,术语"过程"可以表示
(例如,但非限制)指令序列、编程过程或者编程函数内组织的指令序列、在一个或多个计
算机中执行的编程过程内组织的指令序列或者由电子电路或者其他电路或者上述任意逻
辑或组合来执行的步骤序列。特别地,在此描述的方法和过程可以利用逻辑来实现。 本领域技术人员将会理解,在此描述的系统提供非常安全的咨询平台,其支持所
有者实体安全地存储其最为机密和私有的数据,使得所有者实体和咨询实体的指定人员能
够对该数据执行应用程序,并由此支持关于应用程序和数据的操作以及正确性的咨询。 通过上文,将会清楚,所述技术具有以下优点(非限制性的) (1)安全和自动的递送机制,用于将所有者实体的敏感数据从所有者实体传输至 安全网络109。 (2)所有者实体的敏感数据的持续安全性(因为其在驻留于安全网络109上的存 储中被加密,从而受到保护不被有权限的账户查看,并且其无法被拷贝到安全网络109之 外)。 (3)禁止对敏感数据的直接访问,因为已认证和已授权用户仅能通过驻留于咨询 存储器117上的应用程序来访问敏感数据,并且这些程序只能通过使用应用VPN网关121 的虚拟网络计算客户端来调用。 (4)由安全网络109内的加密密钥服务器113安全地生成和存储加密密钥。
(5)使用对访问敏感数据和计算服务器组119的已认证和已授权用户的"精细粒 度"控制。
(6)确保站点管理员、系统管理员或者其他有权限用户按照期望进行认证和操作。
(7)提供对所有者实体的敏感数据访问以及涉及敏感数据的保护变化的完全审核 跟踪,以及在所有者实体的敏感数据已经删除时将改变自动通知给安全策略和验证。
(8)控制和审核访问敏感配置文件、日志等的尝试,并且提供对系统和数据完整性 的"实时"可信审核。
(9)为所有者实体和咨询实体提供安全环境,来对所有者问题进行研究。
(10)在逻辑上和物理上保护所有者实体的设计数据不受内部和外部二者的威胁。
(11)阻止未授权补丁或者升级的安装,并且阻止未授权和已改变的应用和库进行
加载,例如,木马、蠕虫等。
11
原始权利要求以及可以修改的权利要求涵盖了在此公开的实施方式和教导的变 型、备选、修改、改进、等效项以及基本等效项,包括那些目前没有预见和没有意识到的内容 以及可能由发明人/专利权人和其他方提出的内容。 将会意识到,可以预期将各种上文公开的以及其他的特征和功能及其备选方案可 以集合到多个其他不同的系统或者应用中。还可以意识到,本领域技术人员随后可能进行 各种目前没有预见或者没有想到的备选方案、修改、变形或者改进,意在将其也涵盖在所附 权利要求中。除非在权利要求中特别记载,否则不应当根据说明书或者任何其他权利要 求将权利要求的步骤或者组件暗示或者解释为任何特定的顺序、数目、位置、大小、形状、角 度、颜色或者材料。
权利要求
一种安全咨询系统,包括安全网络;本地防火墙,其与本地网络和所述安全网络进行通信,所述本地防火墙配置用于使得在所述本地网络和所述安全网络之间的虚拟专用网络通信得以通过;入侵检测装置,其与所述安全网络进行通信,并配置用于检测所述安全网络中的未授权网络操作;加密密钥服务器,其与所述安全网络进行通信,并配置用于提供所述安全网络内的一个或多个加密服务;敏感数据存储器,其与所述安全网络进行通信,并配置用于将敏感数据存储在所述敏感数据存储器上的所有者挂载点内,所述敏感数据在被存储到所述敏感数据存储器中时被加密;应用程序存储器,其与所述安全网络进行通信,并配置用于存储应用程序;计算服务器,其与所述安全网络进行通信,并配置用于从所述应用程序存储器获取和执行所述应用程序,所述应用程序配置用于处理所述敏感数据,所述计算服务器还配置有虚拟网络计算服务器,所述应用程序配置用于在被已认证和已授权用户调用时处理所述敏感数据;以及虚拟专用网络网关,其与所述安全网络进行通信,并配置用于通过所述本地防火墙来扩展所述安全网络,以支持所述安全网络之外的虚拟网络计算客户端与所述虚拟网络计算服务器进行通信。
2. 如权利要求l所述的安全咨询系统,还包括加密装置,其配置用于在所述敏感数据 被发送至所述敏感数据存储器时加密所述敏感数据。
3. 如权利要求1所述的安全咨询系统,其中所述计算服务器还配置用于在对所述敏感 数据存储器进行写入时加密所述敏感数据。
4. 如权利要求1所述的安全咨询系统,还包括安全递送系统。
5. 如权利要求4所述的安全咨询系统,其中所述安全递送系统包括 加密服务器,其与所述本地网络进行通信,并配置用于使用安全通信协议来接收所述敏感数据,所述加密服务器还配置用于在所述敏感数据存储在所述安全网络外部时加密所 述敏感数据;以及所述加密服务器配置用于将所述敏感数据可验证地拷贝到所述敏感数据存储器,所述 敏感数据存储器上存储的所述敏感数据由所述加密装置加密。
6. 如权利要求1所述的安全咨询系统,其中所述计算服务器是多个计算服务器之一。
7. 如权利要求1所述的安全咨询系统,其中所述入侵检测装置配置用于禁止将所述敏 感数据传输到所述安全网络之外。
8. 如权利要求1所述的安全咨询系统,其中所述入侵检测装置、所述加密密钥服务器、 所述敏感数据存储器、所述应用程序存储器以及所述计算服务器位于安全控制的访问区域 之内。
9. 如权利要求1所述的安全咨询系统,其中所述所有者挂载点是多个所有者挂载点之
10. —种用于将敏感数据从加密服务器重定位到安全网络上的敏感数据存储器的计算机控制的方法,所述敏感数据驻留在至少一个文件中,所述方法包括 在所述安全网络外部确定所述敏感数据存在于所述加密服务器上; 在所述完全网络外部生成对应于所述至少一个文件的第一文件摘要; 将所述至少一个文件发送至所述安全网络,以便作为重定位文件存储在所述敏感数据存储器上;将所述文件文摘发送至所述安全网络;在所述安全网络内部生成对应于所述重定位文件的第二文件文摘; 在所述安全网络内部确定所述第一文件文摘与所述第二文件文摘是否相同;以及 将结果状态发送到所述安全网络外部,所述结果状态对应于确定所述第一文件文摘与 所述第二文件文摘是否相同。
全文摘要
公开了一种安全咨询系统,其支持所有者实体安全地发送其最为机密和私有的数据,使得所有者实体和咨询实体的指定实体可以对该数据执行应用程序,由此对应用程序和数据的操作和正确性进行咨询。
文档编号H04L29/06GK101729545SQ200910205408
公开日2010年6月9日 申请日期2009年10月23日 优先权日2008年10月24日
发明者V·Q·恩古延 申请人:新思科技有限公司