息禁止在处理机系统总存储,仅通过数据加载器临时加载;③绝密信息、机密信息、秘密信息按等级进行标识和加密;④系统应用按对应安全级别进行信息访问权限管理控制,高安全级别用户可以访问低安全级别信息,低安全级别用户禁止访问高安全级别信息。
[0035]信息存储安全管理:①MA处理机系统按秘密和普通二个级别划分存储体存储信息;②秘密信息通过硬件实现64位DES加密算法进行信息加密存储,秘密信息在写入和读出固态存储系统的数据时硬件自动加解密,不增加系统开销;③紧急情况下对存储信息进行电能销毁,将高压大电流销毁电源直接加载到存储体芯片电源管脚上,采用反向高电压大电流冲击,将存储体芯片内部管芯的存储单元损毁。
[0036]信息传输安全管理:①在系统应用软件和底层网络接口间增加数据分发功能(DSS)安全管理中间件软件实现信息传输安全管理;②安全管理中间件软件在网络接口层与DDS核心层,实现身份认证、数据访问控制、数据加解密、消息完整性鉴别、密钥管理等功能;③安全管理中间件软件须配置应用模块的主密钥、公私钥和四个加密单元(对应四个安全级别)的对称密钥,主密钥为对称密钥,用来加密模块间交换的公钥,应用模块间的安全管理中间件软件共享主密钥,加密单元的对称密钥用来加密消息;④应用模块A要发送消息给应用模块B,在通信前这两个节点上的安全管理中间件软件间建立连接并交换彼此的公钥。如图1所示,安全管理中间件软件A先根据HASH算法生成数字指纹,然后用A的私钥对数字指纹进行加密形成数字签名;然后安全管理中间件软件A根据消息密级选用相应的对称密钥,用这个多级对称密钥加密所需发送的消息,形成密文,然后用安全管理中间件软件B的公钥加密这个对称密钥,形成数字信封,数字签名、数字信封连同加密了的消息一同传输到安全管理中间件软件B。如图2所示,安全管理中间件软件B收到消息后,首先使用A的公钥解密数字签名生成数字指纹,然后使用自己的私有密钥解密被加密的多级对称密钥,再用该对称密钥解密出真正的消息。然后调用HASH算法形成数字指纹,两个数字指纹进行比较,如果相同,则身份认证通过并且鉴别消息完整性通过。
【主权项】
1.一种IMA处理机系统信息安全管理方法,其特征在于:所述方法包括以下步骤: 1)信息安全管理总体方法: 1.1)将MA处理机系统信息分绝密、机密、秘密和普通四个安全等级进行管理;设绝密信息密级最高、普通信息密级最低; 1.2)设置秘密和普通信息在处理机系统中存储,绝密和机密信息禁止在处理机系统总存储,仅通过数据加载器临时加载; 1.3)绝密信息、机密信息、秘密信息按等级进行标识和加密; 1.4)按对应安全级别进行信息访问权限管理控制,高安全级别用户允许访问低安全级别信息,低安全级别用户禁止访问高安全级别信息; 2)信息存储安全管理: 2.1)IMA处理机系统按秘密和普通二个级别划分存储体存储信息; 2.2)秘密信息通过硬件实现64位DES加密算法进行信息加密存储,秘密信息在写入和读出固态存储系统的数据时硬件自动加解密; 2.3)紧急情况下对存储信息进行电能销毁,将高压大电流销毁电源直接加载到存储体芯片电源管脚上,采用反向高电压大电流冲击,将存储体芯片内部管芯的存储单元损毁; 3)信息传输安全管理: 3.1)在系统应用软件和底层网络接口间增加数据分发功能(DSS)安全管理中间件软件实现信息传输安全管理; 3.2)安全管理中间件软件在网络接口层与DDS核心层,实现身份认证、数据访问控制、数据加解密、消息完整性鉴别、密钥管理功能; 3.3)安全管理中间件软件须配置应用模块的主密钥、公私钥和四个加密单元,对应四个安全级别的对称密钥,主密钥为对称密钥,加密模块间交换的公钥,应用模块间的安全管理中间件软件共享主密钥,加密单元的对称密钥用来加密消息。2.根据权利要求1所述的MA处理机系统信息安全管理方法,其特征在于:安全管理中间件软件发送信息控制流程: 4)应用模块A发送消息给应用模块B,在通信前这两个节点上的安全管理中间件软件间建立连接并交换彼此的公钥; 5)安全管理中间件软件A先根据HASH算法生成数字指纹,然后用A的私钥对数字指纹进行加密形成数字签名; 6)安全管理中间件软件A根据消息密级选用相应的对称密钥,用这个多级对称密钥加密所需发送的消息,形成密文; 7)用安全管理中间件软件B的公钥加密这个对称密钥,形成数字信封,数字签名、数字信封连同加密了的消息一同传输到安全管理中间件软件B。3.根据权利要求2所述的MA处理机系统信息安全管理方法,其特征在于:安全管理中间件软件接收信息控制流程: 8)安全管理中间件软件B收到消息后,使用A的公钥解密数字签名生成数字指纹,使用自己的私有密钥解密被加密的多级对称密钥; 9)再用多级对称密钥解密出真正的消息;调用HASH算法形成数字指纹,两个数字指纹进行比较,如果相同,则身份认证通过并且鉴别消息完整性通过。
【专利摘要】本发明提出一种IMA处理机系统信息安全管理方法,包括以下步骤:1)信息安全管理总体方法:1.1)将IMA处理机系统信息分绝密、机密、秘密和普通四个安全等级进行管理;设绝密信息密级最高、普通信息密级最低;1.2)设置秘密和普通信息在处理机系统中存储,绝密和机密信息禁止在处理机系统总存储,仅通过数据加载器临时加载;1.3)绝密信息、机密信息、秘密信息按等级进行标识和加密;1.4)按对应安全级别进行信息访问权限管理控制。本发明一种IMA处理机系统信息安全管理方法,有效管理信息使用权限,控制信息传输流向,解决IMA处理机系统因为资源高度共享、数据高度融合带来的信息安全存储访问问题。
【IPC分类】H04L9/14, G06F21/62, H04L9/28
【公开号】CN105530092
【申请号】CN201510907911
【发明人】李成文, 湛文韬, 汤艳飞, 王纯委, 何小亚, 姜琳琳
【申请人】中国航空工业集团公司西安航空计算技术研究所
【公开日】2016年4月27日
【申请日】2015年12月9日