专利名称:高可信嵌入式计算机多策略自毁方法
技术领域:
本发明涉及一种高可信嵌入式计算机多策略自毁方法,属于计算机安全技术领域。
背景技术:
目前高可信嵌入式计算机应用的领域非常广泛,大量重要敏感的数据会根据需要存放于关键领域的高可信嵌入式计算机系统中,不希望被他人窃取或修改。例如应用在商业领域的高可信嵌入式计算机,一旦失控、丢失或失窃,势必造成数据泄密,给企业带来难以估量的损失,对企业发展带来很坏的影响。因此对计算机嵌入式系统应用自毁技术,实现自毁功能势在必行。高可信嵌入式计算机为保证机密性和安全性,需要在系统安全受到威胁,例如系统身份认证失败、系统被人为破坏时,通过安全自毁技术为实现上述安全属性提供最后的保障,防止有人试图反复尝试登录,使用暴力破解进入系统,窃取系统内部的重要数据。通常,计算机自毁策略的成本比较高,并且自毁设计会影响系统的使用,降低系统的可用性,因此选择适当的自毁时机及合理的自毁方式十分必要。若管理员无意识的错误触发系统不必要的自毁,则会造成系统毁灭性的损失,这种机制在实际应用中存在很大的隐患。因此自毁系统必须避免无意义的自毁,因为这种错误不仅影响我方对该系统的正常使用,同时当系统不慎落入敌方手中,也可能对我方造成严重且不可预知的损失。
发明内容
本发明的目的是解决现有高可信嵌入式计算机的自毁策略会由于管理员的失误, 造成不必要的自毁的问题,提供一种高可信嵌入式计算机多策略自毁方法。本发明所述高可信嵌入式计算机多策略自毁方法包括以下步骤步骤一通过自毁模块获得计算机系统受到威胁的信息,并根据获得的计算机系统受到威胁的信息判断所受到威胁的等级,发送自毁控制指令;步骤二多策略自毁子系统根据接收到的自毁模块的控制指令,选择相应的控制策略,进行关键数据销毁。步骤二中多策略自毁子系统根据接收到的自毁模块的控制指令,选择相应的控制策略的具体过程为当自毁模块的控制指令表明计算机系统受到初级威胁,多策略自毁子系统()选择数据自毁策略模块进行关键数据销毁;当自毁模块的控制指令表明计算机系统受到中级威胁,多策略自毁子系统0选择程序自毁策略模块进行关键数据销毁;当自毁模块的控制指令表明计算机系统受到高级威胁,多策略自毁子系统0选择电气自毁策略模块进行关键数据销毁。本发明的优点是本发明是一种对高可信嵌入式计算机中的关键信息数据进行多策略自毁的方法,本发明方法能够在没有管理员支配的情况下,根据计算机系统当前所处外界状况,自动确认是否受到威胁,并判断威胁等级,按照威胁等级的不同采取不同的自毁策略。它保证了计算机系统自毁的准确性、及时性以及可靠性,能够维护计算机系统的信息安全,避免其机密信息泄露造成严重损失。本发明有效保证了高可信嵌入式计算机在出现丢失、破坏及信息被窃取的情况时,系统关键数据的安全性。
图1为本发明方法的流程图;图2为本发明电气自毁电路的电路结构图,图中信号转换芯片处的前头表示接收到的自毁信号;图3为本发明电气自毁电路的原理图。
具体实施例方式具体实施方式
一下面结合图1说明本实施方式,本实施方式所述高可信嵌入式计算机多策略自毁方法,它包括以下步骤步骤一通过自毁模块1获得计算机系统受到威胁的信息,并根据获得的计算机系统受到威胁的信息判断所受到威胁的等级,发送自毁控制指令;步骤二 多策略自毁子系统2根据接收到的自毁模块1的控制指令,选择相应的控制策略,进行关键数据销毁。本实施方式在高可信嵌入式计算机的关键数据信息受到威胁时,需要采用软硬件结合的方式,对关键信息或部件自毁,它保证了计算机系统在受到不同级别的威胁下采用不同的销毁策略,加大了系统的安全性和系统的销毁能力。
具体实施方式
二 下面结合图1说明本实施方式,本实施方式为对实施方式一的进一步说明,步骤二中多策略自毁子系统2根据接收到的自毁模块1的控制指令,选择相应的控制策略的具体过程为当自毁模块1的控制指令表明计算机系统受到初级威胁,多策略自毁子系统(2) 选择数据自毁策略模块2-1进行关键数据销毁;当自毁模块1的控制指令表明计算机系统受到中级威胁,多策略自毁子系统(2) 选择程序自毁策略模块2-2进行关键数据销毁;当自毁模块1的控制指令表明计算机系统受到高级威胁,多策略自毁子系统(2) 选择电气自毁策略模块2-3进行关键数据销毁。为了保证系统的高可靠性及安全性,嵌入式系统中一般会对管理员采用身份认证机制,本实施方式中的威胁等级根据系统的认证策略进行判断。本实施方式中的初级威胁指系统受到外来人员非法登录,中级威胁是指系统被非法使用,高级威胁是指系统在认证失效后遭受拆卸等恶意破坏等情况。自毁模块1是采用软件实现的,系统在受到不同程度的威胁时,会发送不同信号到自毁模块1,通过判断类型,触发不同的自毁方式(包括数据自毁,程序自毁、电气自毁)。当用户登录多次而失效的时候,自毁模块1得到相应信号,判定为初级威胁,既而采用数据自毁策略模块2-1进行数据自毁。当用户在执行操作时验证多次未通过,自毁模块1得到相应信号,判定为中级威胁,既而采用程序自毁策略模块2-2进行程序自毁。当系统通过感知器感觉到系统机箱被人破坏,自毁模块1得到相应信号,判定为高级威胁,既而采用电气自毁策略模块2-3进行电气自毁。
具体实施方式
三本实施方式为对实施方式二的进一步说明,所述数据自毁策略模块2-1进行关键数据销毁是指删除计算机系统中的用户信息、数据库及应用程序输出结果。在自毁模块1接收到计算机系统受到的威胁信息时,自动获知威胁等级,当系统受到初级威胁时,会选择数据自毁策略模块2-1来完成系统的关键数据销毁。所述计算系统采用可擦除的存储器来存放关键数据,在需要进行数据自毁的时候,通过编程来实现对可擦除的存储器芯片中的关键数据进行销毁。可以通过芯片关键数据区域擦除方式,或者采用系统函数对关键数据文件进行数据覆写后再删除文件的操作。下面基于以下系统来对本实施方式进行具体描述计算机系统的计算单板采用基于ARM7内核的嵌入式CPU。除处理器外,单板上还具有NOR FLASH ROM, SDRAM以及NAND FLASH ROM。操作系统及应用程序存放在NOR FLASH ROM中,而数据文件及关键结果保存在NAND FLASH ROM中。底板的主处理芯片选用的是Altera公司的Cyclone II系列FPGA 芯片EP2C35F672C8N,实现技术方案时采用了 SOPC技术。每一块单板有自己独立的操作系统,运行相同的任务,并把任务结果通过专用总线送到底板进行表决,多策略的针对计算单板的关键数据实现销毁。数据自毁策略模块2-1的实现系统计算单板采用了 8位的16M_8bit的K9M808芯片,用于扩展单板的存储空间,在此芯片中存放数据库、日志等关键数据内容。系统在数据自毁级别只需要对该芯片进行数据销毁。由于单板采用支持Nand Flash的JFFS2文件系统,在开机启动时,自动将日志、数据库等文件加载到/mnt文件夹下,并且作为扩展存储芯片,计算得到的关键数据以文件的存储方式保存在该文件夹下。由于JFFS2文件系统支持文件的读写、压缩解缩服务, 因此扩展数据文件是通过程序添加并对文件进行读写操作来进行数据更新的。操作系统对于文件的绝对地址是无法预知的,因此如果也采取擦除技术对整个芯片内部进行数据擦除得不偿失。因此采用通过底板发送自毁指令,单板接受命令后,对文件内容进行零数据写入,覆盖原有数据后再调用delete函数删除存放在/mnt文件夹下的所有关键数据文件。
具体实施方式
四本实施方式为对实施方式二或三的进一步说明,所述程序自毁策略模块2-2进行关键数据销毁是指销毁计算机系统中的操作系统、应用程序及数据库程序。本实施方式为在计算机系统受到中级威胁时,采用软件方式对系统采取程序自毁,来销毁系统中的关键程序,此方法不破坏芯片。与实施方式三中所述相同,程序存放在可擦除的存储芯片的固定区域内,当系统接收到程序自毁指令时,启动擦除程序,对存储芯片中程序的存储区域分别进行擦除,进而销毁关键的程序模块。
单板中NOR FLASH ROM 选用 64Mbit (8M_8bit) Intel E28F128 芯片,并将其映射到 S3C44B0X的BANKO上,用作存储BootLoader和Linux系统镜像。在系统程序自毁策略中擦除该芯片中的所有信息,这个系统就将无法工作。根据E28F128数据手册所描述的,其指令集包括数组读取、读状态寄存器、清状态寄存器、写缓存、块清除、芯片配置、设置/清除块锁位等。因此该芯片的程序自毁操作可使用块擦除(Block Erase)指令实现。擦除是按块进行的,也就是每次擦除的最小单位是块,通过向要擦除的块发送开始擦除和确认擦除命令来实现对关键数据的自毁。块擦除的具体流程为先向要进行擦除的块发送0x20H这个指令,地址线给出要擦拭块的地址,表示将要开始擦除;再发送OxODH指令,地址线任意数据, 确认擦除操作。此时,芯片E28F128开始自行擦除数据,该块中的数据全部会被写“1”。程序需要等待芯 片工作完成后,才能继续擦除下一块数据。使用程序查询方式读取状态寄存器SR的值,判断芯片该块是否擦除完成。如果擦除完成,状态寄存器SR的值和OxSOH进行 “与”操作后的结果是零,表1详细的描述了如何擦除一个块。表1擦除NOR FLASH ROM芯片的操作
权利要求
1.一种高可信嵌入式计算机多策略自毁方法,其特征在于它包括以下步骤 步骤一通过自毁模块(1)获得计算机系统受到威胁的信息,并根据获得的计算机系统受到威胁的信息判断所受到威胁的等级,发送自毁控制指令;步骤二 多策略自毁子系统O))根据接收到的自毁模块(1)的控制指令,选择相应的控制策略,进行关键数据销毁。
2.根据权利要求1所述的高可信嵌入式计算机多策略自毁方法,其特征在于步骤二中多策略自毁子系统(2)根据接收到的自毁模块⑴的控制指令,选择相应的控制策略的具体过程为当自毁模块(1)的控制指令表明计算机系统受到初级威胁,多策略自毁子系统(2)选择数据自毁策略模块(2-1)进行关键数据销毁;当自毁模块(1)的控制指令表明计算机系统受到中级威胁,多策略自毁子系统(2)选择程序自毁策略模块(2- 进行关键数据销毁;当自毁模块(1)的控制指令表明计算机系统受到高级威胁,多策略自毁子系统(2)选择电气自毁策略模块(2- 进行关键数据销毁。
3.根据权利要求2所述的高可信嵌入式计算机多策略自毁方法,其特征在于所述数据自毁策略模块(2-1)进行关键数据销毁是指删除计算机系统中的用户信息、数据库及应用程序输出结果。
4.根据权利要求2所述的高可信嵌入式计算机多策略自毁方法,其特征在于所述程序自毁策略模块(2-2)进行关键数据销毁是指销毁计算机系统中的操作系统、应用程序及数据库程序。
5.根据权利要求2所述的高可信嵌入式计算机多策略自毁方法,其特征在于所述电气自毁策略模块(2- 进行关键数据销毁是指控制电气自毁电路直接对目标芯片0-31) 进行物理破坏。
6.根据权利要求5所述的高可信嵌入式计算机多策略自毁方法,其特征在于所述电气自毁电路由信号转换芯片0-321)、VCC电源0-322)、继电器Q-323)、直流电压芯片 (2-324)、电阻(2-325)和电容(2-326)组成,直流电压芯片(2-324)的V+脚连接VCC电源(2-322)的正极连接端,VCC电源(2-322) 的负极连接端接电源地,VCC电源0-322)的负极连接端连接电容0-3 )的一端,电容 (2-326)的另一端连接电阻0-325)的一端,电阻Q-325)的另一端连接直流电压芯片 (2-324)的电源输出端Vout,直流电压芯片(2-324)的GND脚接电源地;VCC电源0-322)的正极连接端连接信号转换芯片0-321)的一端,信号转换芯片 (2-321)的另一端连接继电器(2-323)的控制线圈的一端,继电器(2-323)的控制线圈的另一端连接VCC电源0-322)的负极连接端;VCC电源(2-32 的正极连接端连接继电器(2-32 的单刀双掷开关的常闭触点,该单刀双掷开关的常开触点连接电阻(2-325)的一端,该电阻(2-325)的一端为该电阻(2-325) 与电容(2-326)相连接的一端,该单刀双掷开关的动触点连接目标芯片0-31)的电源供电端Vccl,目标芯片0-31)的电源地端GND连接VCC电源Q-322)的负极连接端;信号转换芯片(2-321)用于在接收到自毁模块(1)的控制指令时在输出端输出5v电压。
7.根据权利要求6所述的高可信嵌入式计算机多策略自毁方法,其特征在于信号转换芯片(2-321)采用tps2013芯片实现。
8.根据权利要求6所述的高可信嵌入式计算机多策略自毁方法,其特征在于继电器 (2-323)采用型号为HJR3FF-S-Z的单刀双掷继电器。
全文摘要
高可信嵌入式计算机多策略自毁方法,属于计算机安全技术领域。它解决了现有高可信嵌入式计算机的自毁策略会由于管理员的失误,造成不必要的自毁的问题。它包括以下步骤步骤一通过自毁模块获得计算机系统受到威胁的信息,并根据获得的计算机系统受到威胁的信息判断所受到威胁的等级,发送自毁控制指令;步骤二多策略自毁子系统根据接收到的自毁模块的控制指令,选择相应的控制策略,进行关键数据销毁。本发明适用于高可信嵌入式计算机的安全保护。
文档编号G06F21/00GK102324003SQ20111013263
公开日2012年1月18日 申请日期2011年5月20日 优先权日2011年5月20日
发明者刘宏伟, 吴智博, 周海鹰, 左德承, 张展, 徐文芳, 李璟, 林成, 梁佼, 温东新, 罗丹彦, 舒燕君, 苗百利, 董剑, 钱军 申请人:哈尔滨工业大学