专利名称:一种网络安全系统及安全方法
技术领域:
本发明涉及的是一种网络安全系统,具体地说,涉及一种如何利用隔离方法及安全操作系统等手段,同时实现安全性与通用易用性合二为一的系统。
目前在计算机信息安全中,出于安全考虑实行内部网(办公网或机密网)与外部网(例如,因特网)进行物理隔离;或者在家用电脑中,需要内部网(私密数据,不一定连网)与外部网(例如,因特网)进行物理隔离。解决的方法有所谓的单硬盘方案及双硬盘方案单硬盘方案是将单一的PC物理隔离成两个虚拟工作站,分别有自己独立的硬盘分区和操作系统,并能通过各自的专用接口与网络连接。它通过有效而全面地控制计算机的硬盘数据线,使得计算机一次只能访问及使用其中的一个硬盘分区,从而最大限度地保证了安全(内网)与非安全(外网)之间的物理隔离。根据需要,还可以创建一个数据交换区;双硬盘方案是指在一台计算机中安装两个硬盘,当需要使用内部网时,用对应于内部网的硬盘启动,并接通对应于内部网的网络联接(或不与网络连接);当需要使用外部网时,用对应于外部网的硬盘启动,并接通对应于外部网的网络联接。显然,为了安全当外部网(或内部网)启动后,使得内部网(或外部网)所使用的硬盘及网络联接,从物理上被隔离(即绝对不可使用,或不能有效地读写)。这样实现了一台计算机可以分时共用地使用内部网及外部网,同时保证内外网物理隔离及内部数据安全。本发明中把采用上述单、双硬盘隔离方案的计算机称之为分时共用隔离计算机。
网络之间的物理隔离解决了网络世界里黑客攻击内部网络的问题。但是,内部网络比较大、结点计算机比较多以后,内部网络并不能防止内部人员的攻击。例如,可能的攻击方法是攻击网络内部中重要的计算机、窃取重要计算机的CA证书、浏览重要计算机硬盘中的信息、浏览重要计算机显示器上的信息。由于重要计算机使用者的计算机信息安全水平相对不高,所以内部人员的攻击比较容易成功。解决的方法可以采用信息加密等技术手段。但是,解密后的重要信息是明文,还会出现在与网络连接的计算机硬盘中或显示器上。否则,重要计算机的使用者也不能使用这些信息。
在计算机信息安全中,我们总是要假定什么是安全的,什么是不安全的,只有这样才能谈到安全。现在普遍的安全共识是计算机硬件能够满足其功能,并且没有严重危及安全的错误;计算机软件,特别是操作系统有严重危及安全的错误。也就是说,我们相信计算机硬件,而不相信计算机操作系统等软件。当操作系统不可信后,任何出现在用户计算机中的信息均不可能绝对相信。
例如,当操作系统被黑客控制后,用户用于表明身份的CA证书就有可能被盗窃。这样网络系统的任何安全手段就失去了一个最重要的基础。一个可能的解决方案是,可以把CA证书做成一个固定的硬件(黑盒子),来保证它本身的安全。这样,CA证书的确是不可能被盗窃的。但是,由于操作系统的不安全,CA证书显然还是可以被盗用,即黑客控制操作系统进行非授权使用。所以,有人提出采取只有需要使用时,才使CA证书与计算机连接的方案,即把CA证书放入SMART卡中,使用时才插入计算机。由于操作系统的不安全,显然这个方法也不是绝对安全的,即在用户使用时,黑客仍然可能进行盗用---中间人攻击。
另外,在电子政务和商务中,我们需要验证网站的数字证书。对计算机使用者而言,只是需要一个计算机屏幕显示的结果证书是否合法。但是,由于操作系统的不安全,黑客完全可以伪造一个结果给计算机用户,误导计算机用户。计算机用户所见的结果,可能是不真实的,发明人称之为视觉诈骗。要使计算机用户绝对相信屏幕上的信息,放心地进行数字签名,必须使用绝对安全操作系统。但是,现实表明绝对安全的操作系统功能单一、不通用易用;而通用易用且功能多的操作系统则不可能安全。
所以,彻底解决内部网络信息安全和安全数字签名的方法必须是使用两台计算机一台计算机与网络连接,通过网络与其他计算机交换信息,并使用通常的操作系统,该操作系统可能有安全漏洞;另外一台计算机不与任何网络连接,它把与网络连接的计算机所得到的信息进行解密并使用,该台计算机可以使用特殊的安全操作系统。显然,为了节约安全成本,可以使用分时共用隔离计算机来实现两台或多台计算机的功能。
本发明的目的是使用两台计算机,在解决与网络连接的信息交换问题后,解决保证机密及隐私信息加密、解密和使用的安全问题。与网络连接的计算机解决通用易用的问题,而用另一台计算机专门解决安全问题,以达到通用易用与安全的统一。
根据本发明的一个方面,一种网络安全系统它包括用于连接网络的计算机主机;不与网络直接连接的安全计算机;安全计算机与计算机主机之间的信息交换装置;其中,计算机主机处理不涉及机密及隐私的信息,或通过网络收发涉及机密及隐私信息的加密形式;安全计算机处理涉及机密及隐私的信息。
一般地,安全计算机中还有密码系统及密钥。使用安全计算机处理涉及机密及隐私的信息是进行身份认证、验证数字证书(CA)、形成数字签名信息、解密从网络传来的信息、形成加密请求、显示解密信息、保存解密信息及打印解密信息。
较佳地,可以使用分时共用单硬盘隔离计算机来代替所述两台计算机。
可选地,可以使用分时共用双硬盘隔离计算机来代替所述两台计算机。
更好地,可以使用物理隔离、实时在线切换计算机来代替所述两台计算机。
根据本发明的一个方面,一种安全使用信息的方法,它包括通过连接网络的计算机主机从网络获得信息;通过连接网络的计算机主机与安全计算机的信息交换装置,把信息交换到安全计算机;通过安全计算机使用或处理信息。
根据本发明的一个方面,一种安全发送信息的方法,它包括通过安全计算机加密需要发送的信息;通过连接网络的计算机主机与安全计算机的信息交换装置,把信息交换到连接网络的计算机主机;连接网络的计算机主机把加密信息通过网络发送。
下面参照附图,描绘本发明。(双机安全系统)根据本发明第一种实施方式,用双计算机实现网络安全的系统如
图1所示。其中1为信息网站(或网络中其他计算机);2为网络,包括网线、路由及交换机等网络基础设施,它是网络中计算机信息交流的中介;3为网络安全系统,其中31为连接网络的计算机主机,它可以使用普通的操作系统,32为安全计算机,可以使用专用的安全操作系统,它不与网络直接连接,但与计算机主机连接并可交换信息;321为安全计算机32中的密码系统;322为安全计算机32中的密钥,它与密码系统321一起用于加密及解密信息。
信息可以在信息网站1中加密(或已经加密的信息),通过网络2传送到计算机主机31,然后从计算机主机31传送到安全计算机32。安全计算机32用存储于其上的密码系统321及密钥322解密传送过来的信息。最后,安全计算机可以正常处理加密后的信息(显示、保存及打印)。
需要传送到信息网站1的机密信息,可以在安全计算机中生成或利用已经生成的信息,通过安全计算机32用存储于其上的密码系统321及密钥322加密传送该信息。并把该信息传送到计算机主机31,通过网络2传送到信息网站1。
由于安全计算机中的操作系统是以绝对安全为设计目标,又不与网络连接,所做的工作相当简单,所以非常安全。显然,加密解密系统可以采用密码学中的各种体制、算法及协议。总之,就是把加密解密的运算都让安全计算机在安全操作系统的管理下执行。从现在来说,安全加密解密的工作可以是,CA签名认证、CA签名生成、信息加密解密(单密钥体制或双密钥体制)。显然,在安全计算机中显示解密后的信息是比较合理的安全方法。通过这种系统和方法,可以把与安全不相关的工作(如网络信息交换)交给计算机主机,而把与安全相关的工作及信息交给安全计算机。例如加密解密的算法程序、加密解密的硬件模块、加密解密的密钥及解密后的信息均只能出现在安全计算机中,而连网的计算机主机中不出现机密信息的明文,所以该系统是非常安全的安全系统。
这样的系统构成需要两台计算机。虽然保证了安全,但是成本较高。而且,对某些用户来说,机密及隐私信息的使用并不频繁。因此,可以采用分时共用计算机,达到既安全又经济的目的。据此,可以得到下面的实施例。(单硬盘安全系统)根据本发明第二种实施方式,用分时共用计算机实现网络安全的系统如图2所示。其中1为信息网站(或网络中其他计算机);2为网络包括网线、路由及交换机等网络基础设施,是网络中计算机信息交流的中介;3为网络安全系统其中31为计算机主板,32为分时共用计算机的选择切换装置;33为安全硬盘区域可以使用专用的安全操作系统;331为安全硬盘区域32中的密码系统;332为安全硬盘区域32中的密钥,它与密码系统331一起用于加密及加密信息;34为安全硬盘区域与连网公共硬盘区域信息交换的交换区;35为连网公共硬盘区域可以使用普通操作系统,该区域可以与网络2相连接。
用户启动计算机,通过分时共用计算机的选择切换装置32选择启动连网公共硬盘区域35中的操作系统。这时安全硬盘区域从硬件上是不可读写,这保证了安全硬盘区域中的信息安全(参见发明专利ZL 94111461)。信息可以在信息网站1中加密(或已经加密的信息),通过网络2传送到网络安全系统3中,连网公共硬盘区域35中的操作系统把信息放到交换区34。重新启动计算机,通过分时共用计算机的选择切换装置32选择启动安全硬盘区域33中的操作系统。安全硬盘区域中的操作系统,使用交换区中的信息,用存储于其上的密码系统331及密钥332解密传送过来的信息。最后安全硬盘区域33中的操作系统计算机可以正常处理加密后的信息(显示、保存及打印)。
用户启动计算机,通过分时共用计算机的选择切换装置32选择启动安全硬盘区域33中的操作系统,把需要传送到信息网站1的机密信息,可以在安全硬盘区域33中的操作系统中生成或利用已经生成的信息,通过安全硬盘区域33中的操作系统用存储于其上的密码系统331及密钥332加密传该信息。并把该信息传送到交换区34。重新启动计算机,通过分时共用计算机的选择切换装置32选择启动连网公共硬盘区域35中的操作系统。通过网络2传送到信息网站1。
由于计算机安全硬盘区域中的操作系统是以绝对安全为设计目标,又不与网络连接,所做的工作相当简单,所以非常安全。显然,加密解密系统可以采用密码学中的各种体制、算法及协议。总之,就是把加密解密的运算都让计算机安全硬盘区域在安全操作系统的管理下执行。从现在来说,安全加密解密的工作可以是CA签名认证、CA签名生成、信息加密解密(单密钥体制或双密钥体制)。显然,在计算机安全硬盘区域中显示解密后的信息是比较合理的安全方法。通过这种系统和方法,可以把与安全不相关的工作(如网络信息交换)交给计算机公共硬盘区域,而把与安全相关的工作及信息交给计算机安全硬盘区域。例如加密解密的算法程序、加密解密的硬件模块、加密解密的密钥及解密后的信息均只能出现在计算机安全硬盘区域中,而连网的计算机公共硬盘区域中不出现机密信息的明文,所以该系统是非常安全的安全系统。
显然,可以用双硬盘分时共用计算机。但是,双硬盘分时共用计算机实现交换区需要另外增加存储设备,与单硬盘分时共用计算机相比成本较高。
总的说来,使用分时共用计算机构成网络安全系统,成本较低。但是,每次转换均需要重新启动计算机,这非常不方便。由于很多密码协议需要进行多次密码信息交换,所以这是一个应该且必须解决的问题。解决的方法应该是采用物理隔离、实时在线切换计算机---可信计算机、或信息安全计算机(参见待批发明专利ZL 01115545及ZL01117401)。分时共用计算机和物理隔离、实时在线切换计算机的实质还是两台计算机,用两台计算机构成网络安全系统,进行安全信息交换、信息加密和信息解密,可以有多种方法和多种应用。据此,可以得到下面的一个实施例。在以下的实施例中,均用计算机主机及安全计算机两台计算机来说明。但是,两台计算机的实现方法可以采用两台真实计算机,分时共用计算机,或物理隔离、实时在线切换计算机。(安全请求,安全回复)图3中示出了根据本发明的一种流程图。如图3所示,该方法包括有步骤(1)在计算机安全硬盘区域中,生成请求信息;(2)用计算机安全硬盘区域中的密码系统及密钥加密该请求信息(或签名该请求信息);(3)把已经过加密的请求信息(或已签名的请求信息)交换到主机;(4)主机把经过加密的请求信息(或已签名的请求信息)通过网络传送到信息网站(或连网的其他计算机);(5)信息网站(或连网的其他计算机)根据加密请求信息,或者根据加密请求信息的数字签名进行身份认证;(6)根据身份认证,决定是否回答请求信息;(7)如果信息请求者有权利获得信息,则把该信息加密,并通过网络送回到主机;(8)主机接收到加密信息后,把该信息交换到计算机安全硬盘区域;(9)计算机安全硬盘区域通过其中的密码系统及密钥,解密相应的信息,然后计算机用户正常使用解密后的信息。
在一个大的计算机网络中,比较好的身份认证方法可能是CA。它实质是利用公开密钥体制密码系统进行身份认证、数字签名和信息加密。总之,它有密码算法及密钥,这些信息是不能出现在计算机主机中,否则无法保证这些信息的安全,而这些信息的安全是网络安全的核心。但是,保证这些信息的安全,并不一定能保证信息不被误用。例如,我们可以把密码算法及密钥用硬件的方法做成黑盒子,它负责加密解密及签名。但是,它不能自动、或很难决定什么信息是应该加密解密及签名。
使用两台计算机,连接网络的计算机主机和不与网络连接的安全计算机,把通用易用与安全统一起来。用计算机主机保证通用易用,用安全计算机保证安全。
以上叙述了使用两台计算机解决安全问题的系统和方法。进一步,为了增强安全性,可以把加密、解密的工作放入SMART卡。把该卡插入安全计算机后,安全计算机才能利用存储于该卡的密码系统进行机密及隐私信息的处理。显然也可以利用该卡实现安全操作系统对使用者的身份认证。进而实现网络管理者对使用者的身份认证。
在网络中,进行身份认证的方法可以是利用CA的方法,对不同的计算机可以给相应的CA证书,实现网络对计算机的认证。另外,还可以对每个使用者也发一个身份认证的CA证书。这样,网络管理者可以对计算机及使用计算机的人均有可靠的认证,也可以进行相应的纪录。这显然是计算机审计的重要信息。同时利用CA证书的权利,就可以实现分级的机密信息管理及分发。还可以实现把机密信息发送到指定的计算机,甚至指定的人。
虽然本发明通过实施例进行了描述,但是本领域技术人员可在本发明的精神的范围内,做出各种变形和改进,所附的权利要求应包括这些变形和改进。权利要求
1.一种网络安全系统,它包括用于连接网络的计算机主机;不与网络直接连接的安全计算机;计算机主机安全计算机之间的信息交换装置;其中,计算机主机处理不涉及机密及隐私的信息,或通过网络收发涉及机密信息及隐私信息的加密形式;安全计算机处理涉及机密及隐私的信息。
2.根据权利要求1的系统,其特征在于使用安全计算机处理涉及机密及隐私的信息是进行身份认证、验证数字证书(CA)、形成数字签名信息、解密从网络传来的信息、形成加密请求、显示解密信息、保存解密信息及打印解密信息、或其中任意组合。
3.根据权利要求1,2的系统,其特征在于安全计算机是与计算机主机分时共用的隔离计算机。
4.根据权利要求3的系统,其特征在于分时共用的隔离计算机是单硬盘隔离计算机。
5.根据权利要求3的系统,其特征在于分时共用的隔离计算机是双硬盘隔离计算机。
6.根据权利要求1,4的系统,其特征在于安全计算机与计算机主机之间的信息交换装置是单硬盘隔离计算机中的读写交换区。
7.根据权利要求1,5的系统,其特征在于安全计算机与计算机主机之间的信息交换装置是采用辅助存储设备(如UBS硬盘、USB盘、FLASH内存、内存等)连接分时共用隔离计算机。
8.根据权利要求1的系统,其特征在于安全计算机与计算机主机之间的信息交换装置是采用接口连接(如UBS口,串口,并口,网卡等)连接两台计算机。
9.一种安全使用信息的方法,它包括(1)通过连网计算机主机从网络获得信息;(2)通过连网计算机主机与安全计算机的连接把信息交换到安全计算机;(3)通过安全计算机使用信息。
10.根据权利要求9的方法,所述信息是经过加密处理的信息,并在(3)使用之前,需要进行相应的解密步骤。
11.根据权利要求9,10的方法,所述通过安全计算机使用信息是进行身份认证、验证数字证书(CA)、解密从网络传来的信息、显示解密信息、保存解密信息及打印解密信息、或其中任意组合。
12.一种安全发送信息的方法,它包括(1)通过安全计算机加密需要发送的信息;(2)通过连网计算机主机与安全计算机的连接把信息交换到连网计算机;(3)连网计算机主机把加密信息通过网络发送。
13.根据权利要求12的方法,所述通过安全计算机加密需要发送的信息形成数字签名信息、形成加密请求、或其中任意组合。
全文摘要
本发明提出了一种利用物理隔离方法及安全操作系统等手段,实现了安全与通用易用合二为一的系统。它采用两台计算机及信息交换手段,用连接网络的计算机主机处理不涉及机密及隐私的信息,或通过网络收发涉及机密信息及隐私信息的加密形式;不与网络连接的安全计算机处理涉及机密及隐私的信息。
文档编号G06F21/62GK1503143SQ02138659
公开日2004年6月9日 申请日期2002年11月26日 优先权日2002年11月26日
发明者通 邵, 邵通 申请人:南京易思克网络安全技术有限责任公司