本发明涉及安全计算机架构领域,尤其是一种基于多容器分离处理的安全计算架构方法及装置。
背景技术:
现有的计算机系统的运算架构无论是采取单核还是多核,全都是基于单一物理容器的设计思想,软件系统与文件系统都位于同一个物理存储空间内,操作系统与各种应用软件都在同一套内存中运行,攻击代码可以将各种应用软件作为入侵载体,病毒、木马等恶意软件可以通过网卡、光驱、usb等外部接口攻入计算机系统内部,“键盘记录”木马也会给移动电子支付形成严重的安全威胁。传统的单容器运算架构只考虑了运算功能的高效性与可靠性,其安全完全依赖于以软件实现的终端安全防护系统或云安全防护,由于其先天的架构缺陷所致,没有防御弹性,也不具有防御纵深,单容器运算架构很难抵御各种未知的安全威胁,任何一个安全漏洞被利用都可能攻破整个防御体系,这是单容器处理架构天生具有的安全隐患,在网络攻击技术快速发展的今天几乎是不设防的。
网络攻击的实质是篡改目标计算机的系统软件或在应用软件中安插恶意代码,或窃取目标的敏感数据,或潜入目标动态内存中获得执行的机会,或破坏目标的正常运行。如果安全机制能够使得攻击软件代码根本无法安插到目标的软件系统,或者根本不能得到执行的机会,也不能获取敏感信息,那么这种计算机系统在网络空间中则是高安全的。
技术实现要素:
本发明所要解决的技术问题是:针对现有技术存在的问题,提供一种基于多容器分离处理的安全计算架构方法及装置。本发明提出了一种四容器分体式防御的新型安全计算架构,每个容器根据其安全防御目标来分割和实现其相应的计算功能与防御机制。各容器只执行既定的功能,并采取针对性很强的安全防御机制。各容器所采取的各种安全防护机制协调工作,使整个计算架构形成具有安全纵深的防御能力,避免网络攻击给计算机造成严重的后果,消除了受到攻击后成为僵尸计算机的可能性。
本发明采用的技术方案如下:
一种基于多容器分离处理的安全计算架构方法包括:
安全计算机设置步骤:安全计算机设置有四个独立运行的处理容器,分别为面向应用的弹性防御容器(c1)、面向tcp/ip协议栈的弹性防御容器(c2)、安全隔离容器以及安全存储容器,c1和c2通过内部的第一高速通信总线与安全隔离容器连接,安全存储容器通过内部的第二高速通信总线与安全隔离容器连接,基于内部通信协议格式实现高速通信;安全计算机的c1容器连接显卡、光驱、鼠标、usb以及232串口,c2容器连接网络接口,安全隔离容器连接键盘,安全存储容器设置有硬盘和敏感文件flash盘、usbkey接口以及生物认证接口,此外每个容器都设置有本地系统软件flash盘;
安全隔离容器隔离步骤:作为计算机协同防御的管控核心,实施对所有应用的处理实施全流程的安全管控,在弹性防御容器与安全存储容器之间执行安全隔离控制,阻断对安全存储容器的攻击渗透;
安全防护与管控步骤:安全计算机设置有外部接口锁、外部物理锁以及内部逻辑锁,用于联合实施安全防护与管控;
安全运行监管步骤:安全计算机各处理容器都设置有一个软件行为独立监控模块,安全隔离容器单独设置有一个安全管控模块,它们通过安全控制总线连接,用于实施安全运行监管控制。
进一步的,所述的方法还包括:
外部物理锁和内部逻辑锁的联合管控步骤:安全计算机通过关闭外部接口锁阻断计算机的外部连接,通过关闭flash盘的外部物理锁锁绝对阻断对其写入,通过内部逻辑锁防止用户关闭外部物理锁的安全疏漏,共同实现防软件篡改、防数据窃取;
用户对外部物理锁的管控步骤:软件不能开/关系统软件flash和敏感文件flash的外部物理锁、外部接口锁,只有计算机用户才能直接以手动方式开/关这些外部物理/接口锁,对flash的写/读实施绝对权限的控制;
物理锁状态监测步骤;各容器的软件行为独立监控模块负责监测其flash外部物理锁、外部接口锁的开/关状态,并通过安全控制总线向安全管控模块报告,安全隔离容器通过安全管控模块获取计算机的所有外部接口锁、系统软件flash外部物理锁和敏感文件flash外部物理锁的开/关状态;
逻辑锁管控步骤;各容器通过软件行为独立监控模块接受安全隔离容器在工作流程需要时通过安全控制总线发出的开/关flash内部逻辑锁的指令,并通过本地控制电路执行相应的开/关控制操作。
进一步的,所述的方法还包括:
软件行为独立监视步骤:各容器的软件行为独立监控模块对本容器实施软件异常行为监视,若监测到软件出现异常的运行状态(举例:死循环等),或监测到在flash外部物理锁与内部逻辑锁都关闭的状态下存在不正常的写操作(举例:写系统flash),则通过安全控制总线向安全管控模块报告;
安全防护管控步骤:安全隔离容器基于安全管控模块实时监测其它容器的运行状态,在接收到c1或c2或安全存储容器软件运行异常的状态指示后,根据当前的安全工作流程,确定是否需要通过安全管控模块发出容器重启系统软件的安全管控指令;必要时,以容器重启来强制终止网络攻击,通过清洗内存清除掉恶意代码。
进一步的,当安全计算机开机时,各处理容器独自完成自己的启动过程,即首先清洗整个动态内存后,再将系统软件flash盘中的系统软件代码拷贝到其预置的动态内存中去执行启动过程,然后进入正常工作状态;安全隔离容器的软件启动后,首先立即关闭各个容器的系统软件flash逻辑锁和敏感文件flash逻辑锁,再基于安全管控模块通过安全控制总线获取计算机的系统软件flash外部物理锁、敏感文件flash外部物理锁、外部接口锁的状态;若安全隔离容器判断出系统软件flash外部物理锁未关闭、敏感文件flash外部物理锁未关闭或者外部接口锁未打开,则在c1界面上向用户发出关闭/打开相应外部锁的提示。
进一步的,当安装或升级应用软件时,在安全存储容器中进行应用软件“注册”、将应用软件文件可执行代码写入大容量硬盘;即安全隔离容器接收到应用软件安装的请求后,向安全存储容器发出应用软件安装的命令消息;安全存储容器在应用软件注册表中记录该应用软件名称信息,并记录在硬盘中为该应用软件执行代码文件分配的存储空间;
安全存储容器将该应用软件可执行代码文件写入分配的硬盘存储空间,删除下载的压缩软件包和解压缩的安装软件文件,完成软件安装。
进一步的,当用户需要启动应用软件时,c1容器发出应用软件启动的请求消息,经由安全隔离容器发送给安全存储容器;
安全存储容器读取硬盘中注册表记录的应用软件信息,获取在硬盘中为该应用软件执行代码文件分配的存储空间信息,然后读取该应用软件可执行代码文件,并以数据块的形式经由安全隔离容器的转发传送到c1容器,写入到动态分配的内存中,然后执行该应用软件;
在应用软件的运行过程中,其相应的临时文件暂存在c1的大容量ddr中,运行结束时,将用户对该应用软件的配置参数修改文件传送给安全存储容器,保存到应用软件相应的配置文件中。
进一步的,在敏感文件处理模式中,按规定流程步骤,依次执行关闭计算机的外部接口锁、停止与c2容器之间的内部第一高速通信总线通信、执行c1内存清洗、打开敏感文件flash的外部物理锁和内部逻辑锁,读取敏感文件flash中的敏感文件,传送到c1,暂存在c1的ddr临时文件系统中;c1启动相应的应用软件来打开该敏感文件,执行文件编辑处理,文件处理完毕后,保存到的敏感文件flash中;然后再依次执行c1内存清洗、关闭敏感文件flash的内部逻辑锁和外部物理锁、打开计算机的外部接口锁的操作。
进一步的,当进行机密文件处理时:在对应的安全处理模式中,按规定流程步骤,依次执行关闭计算机的外部接口锁、停止与c2容器之间的内部的第一高速通信总线通信、执行c1内存清洗、打开敏感文件flash的外部物理锁和内部逻辑锁,读取敏感文件flash中的机密文件,执行存储解密后,传送到c1,暂存在c1的大容量ddr(至少16gbyte)临时文件系统中;c1启动相应的应用软件来打开该机密文件,执行文件的编辑处理,文件处理完毕后,经过存储加密后,保存到的敏感文件flash中;然后再依次执行c1内存清洗、关闭敏感文件flash的内部逻辑锁和外部物理锁、打开计算机的外部接口锁的操作;
当进行机密文件传输时:在对应的安全处理模式中,在c1上显示从硬盘上读取的机密文件目录,用户点击要传输的机密文件并选择其接收方,打开敏感文件flash的内部逻辑锁和外部物理锁,将进行了存储解密和通信加密后的机密文件由c2从机密通信专用协议端口,向指定的目的ip地址发送;然后关闭敏感文件flash的内部逻辑锁和外部物理锁;
当进行机密文件接收时:在非机密通信模式中,c2容器在机密通信专用端口接收到第一个通信报文,经由安全隔离容器传送到安全存储容器,对其进行解密确认后,打开敏感文件flash的外部物理锁和内部逻辑锁,然后进行机密文件的接收;文件接收完毕,先进行通信解密,再进行本地存储加密,写入敏感文件flash中,关闭敏感文件flash的外部物理锁和内部逻辑锁。
进一步的,在互联网应用处理模式中,在各容器的系统软件flash外部物理锁关闭的状态下,才能启动浏览软件;当用户浏览互联网时,在c1容器操作界面打开浏览软件,通过网站地图点击要访问的互联网站,c1容器将其产生的所有https协议报文,通过其虚拟的tcp/ip栈,经内部的第一高速通信总线、由安全隔离容器转发给c2容器;
c2容器将从网口上接收到的tcp报文全部通过内部的第一高速通信总线发送到安全隔离容器,安全隔离容器判断出该tcp数据块属于非机密通信端口的通信数据,则通过内部的第一高速通信总线向c1容器转发。
进一步的,在非敏感文件处理模式中,当用户点击要打开的非敏感文件,c1安全应用程序根据文件类型调度打开相应的文档处理软件,经由安全隔离容器向安全存储容器发出获取指定的非敏感文件的指示消息;安全存储容器读取硬盘上的指定文件,经由安全隔离容器发送到c1,c1将获取的非敏感文件暂存在大容量ddr临时文件系统中;c1处理完毕非敏感文件后,再发送到安全存储容器保存到大容量硬盘上。
进一步的,当进行机密邮件编写处理时:当用户需要编写机密电子邮件时,首先关闭计算机的外部接口锁,并执行c1内存清洗,然后打开敏感文件flash的外部物理锁和内部逻辑锁,完成邮件编写并进行邮件文件的存储加密,保存在敏感文件flash中,关闭敏感文件flash的外部物理锁和内部逻辑锁,并执行c1内存清洗,打开外部接口锁;
当进行机密邮件发送处理时:打开安全存储容器敏感文件flash的外部物理锁和内部逻辑锁,安全存储容器读取需要发送的机密邮件,先执行存储解密,再进行传输加密,暂存在c1的ddr临时文件系统中,c1通过电子邮件系统发送出去;最后c1删除ddr临时文件系统中的机密电子邮件,清洗机密邮件使用过的内存空间;关闭敏感文件flash的外部物理锁和内部逻辑锁;
当机密邮件接收处理时:当用户需要接收机密电子邮件时,打开网站邮件接收网页界面,下载电子邮件,保存到c1的ddr临时文件系统中,并将电子邮件经由安全隔离器转给传递给安全存储容器,然后打开敏感文件flash的外部物理锁和内部逻辑锁,安全存储容器对电子邮件解密,并将其以本地密钥加密保存在敏感文件flash盘中;然后关闭敏感文件flash的内部逻辑锁和外部物理锁;
当进行机密邮件查看处理时:当用户需要查看机密电子邮件时,首先关闭外部接口锁和执行c1内存清洗;然后用户根据硬盘中保存的机密邮件目录,点击需要查看的机密邮件;最后,打开敏感文件flash的外部物理锁和内部逻辑锁,读取敏感文件flash中的指定机密邮件,执行存储解密,传送到c1的ddr临时文件系统中;处理完毕,c1执行内存清洗,关闭敏感文件flash的外部物理锁和内部逻辑锁,打开外部接口锁。
进一步的,当用户需要提交电子支付密码时,用户在网页上点击支付交易会话框,浏览器向电子支付web服务器请求ssl或set加密会话;安全隔离器从c1向c2转发的报文数据流中,识别出电子支付请求的ssl或set报文,进入电子支付工作模式;
安全隔离容器从c2容器向c1容器转发的数据流中,识别出电子支付web服务器应答的ssl/set报文,拷贝出服务器发送给支付终端的加密公钥,并将该报文继续转发给c1容器;c1的虚拟键盘驱动模块接收支付会话框中的用户名以及密码;
安全隔离容器从c1向c2转发的数据流中找到ssl或set协议承载的加密支付密码的报文,并记录将其转发给c2;安全隔离器清除记录的口令密码和公钥。
进一步的,当用户确认升级系统软件版本时,c1容器向安全隔离容器发送指定容器操作系统软件升级的请求消息;安全隔离容器接收到指定容器操作系统软件升级的请求后,进入安全升级处理模式;关闭计算机的外部接口锁;清洗c1以及c2整个动态内存;打开目标容器的系统软件flash的外部物理锁和内部逻辑锁;安全存储容器读取大容量硬盘内指定的操作系统升级软件文件并传递给安全隔离器;安全隔离容器根据指定升级的目标容器,将操作系统升级软件文件数据块转交给弹性防御容器c1或c2,或者保存在安全隔离容器的动态内存中进行升级操作;升级完毕,关闭目标容器的系统软件文件flash的外部物理锁和内部逻辑锁。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
新型安全计算架构以内部逻辑控制与外部物理控制有机结合的人机协同模式实现计算环境信息安全的目标,基于多种安全机制协同实现弹性防御、攻击隔离、软件系统篡改阻断、系统软件的升级安全、电子支付密码的输入安全、敏感/机密文件的处理安全、存储及传输安全。新型安全计算架构能解决计算机在非安全的网络环境(公共互联网和内联网)中的运行安全问题,能够实现一种可以接入互联网的军民两用的安全计算机,在存在各种已知和未知安全威胁的互联网和内联网中,都能够保障每台计算机的软件系统安全、敏感/机密文件数据的存储与处理安全以及数据通信安全。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1是多容器安全计算架构图。
图2是弹性防御容器c1软件系统功能组成。
图3是弹性防御容器c2软件系统功能组成图。
图4是安全隔离容器软件系统功能组成图。
图5是安全存储容器软件系统功能组成图。
图6是安全计算机开机工作流程图。
图7是互联网浏览工作流程图。
图8是非敏感文件处理工作流程。
图9是敏感文件安全处理流程图。
图10是机密文件安全处理流程图。
图11是机密文件传输处理流程图。
图12是机密文件接收处理流程图。
图13是机密邮件发送流程图。
图14是机密邮件接收流程图。
图15是电子支付密码保护处理流程图。
图16是操作系统软件升级安全控制流程图。
图17是应用软件安装控制流程图。
图18是应用软件启动控制流程图。
图19是安全运行监管控制流程图。
附图标记:
2代表外部接口物理锁3代表敏感文件外部物理锁
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
本发明提出的计算架构方法及装置中,包含了四个不同的处理容器(弹性防御容器c1、弹性防御容器c2、安全隔离容器以及安全存储容器)、三种外部物理安全锁(计算机的外部接口锁、系统软件flash的外部物理锁以及敏感文件flash的外部物理锁)、flash内部逻辑锁以及多种保障安全计算处理的机制。其中,弹性防御容器c1用于防御来自应用软件的安全威胁,弹性防御容器c2用于防御来自tcp/ip协议栈下面四层协议的安全威胁,安全隔离容器用于协调实施各种处理流程中的安全管控,安全存储容器用于保存具有私密性的敏感文件和无私密性的非敏感文件以及应用程序文件。各容器具有针对自己的软件行为独立监控模块。计算机的外部接口锁用于从物理上阻断计算机与外部的通信连接,flash的外部物理锁和内部逻辑锁用于阻断对flash的读/写操作。在本发明提出的计算架构方法及装置中,采取了容器安全隔离、容器协同防御、外部物理锁与内部逻辑锁安全管控、动态内存安全清洗、软件行为独立监管、敏感文件安全处理与保护、电子支付密码保护、操作系统软件与应用软件分离安装、系统软件安全升级等多种安全机制,在所提出的安全计算架构上通过执行严密的安全处理控制与操作流程,最终达到安全计算的目的。
(一)多容器安全计算架构
多容器安全计算架构如图1所示。
多容器新型安全计算机架构由面向应用的弹性防御容器(c1)、面向tcp/ip协议栈的弹性防御容器(c2)、安全隔离容器以及安全存储容器构成。其主要设计思想是将传统的单一容器计算机架构的功能,根据防御目标进行相应的分割,每个容器实现不同的计算功能及其相应的防御功能。各个容器只执行既定的功能,并采取针对性很强的安全防御机制。这些容器通过内部高速通信总线和安全控制总线互相连接。
面向应用的弹性防御容器实现计算机上层协议和各种应用,usb、光驱、显卡、鼠标、rs232接口的驱动,以及相应的针对性安全防御机制。面向tcp/ip协议的弹性防御容器实现tcp/ip协议栈、网口的驱动,以及相应的针对性安全防御机制。安全隔离容器隔离两个弹性防御容器的直接连接,实现对计算机出/入流量的管制,并且隔离了弹性防御容器与安全存储容器的直接连接;安全隔离容器实现键盘的驱动,保障网上电子支付口令/密码的安全。安全存储容器实现用户身份认证、用户文件的安全存储、秘密文件的远程加密通信保护。
各个容器都具有一个独立执行的软件行为监视硬件模块,对本容器采取针对性的软件行为监视,及时发现对系统软件flash盘的非法读/写、软件指令死循环攻击、地址越界等非安全的软件行为,并向安全管控模块发出告警指示。安全管控硬件逻辑根据预设的安全处置策略,可直接向行为异常的容器发出控制信号,强制其执行内存清洗、系统重启的操作。
外部接口锁和flash外部物理锁为计算机使用人员提供了安全管理的绝对控制权限,可以物理安全的方式直接锁住计算机的弹性防御容器可能具有威胁的外连接口、所有容器的系统软件flash盘、以及安全存储容器中的敏感文件flash盘。对于高安全应用的计算机,在没有打开内部逻辑锁的情况下,也不能读/写敏感文件flash盘。内部逻辑锁机制用于避免用户对计算机管理失误带来的安全威胁。
1、弹性防御容器功能描述
弹性防御容器c1和c2专门用于应对各种安全威胁,c1专门用于防御各种应用面临的安全威胁,c2专门用于防御tcp/ip协议栈面临的安全威胁,它们共同实现弹性防御的主体功能。c1与c2之间不能通过内部第一高速通信总线直接进行任何通信,它们之间的协议报文通信必须在安全隔离容器的管控下才能实现,安全隔离容器将基于计算机当前的工作状态来决定是否转发。
c1为针对各种应用场景攻击的弹性防御主体,起到极大地缓解各种攻击效果的作用。c1实现普通计算机的大部分计算功能,但剥离了网口、键盘接口以及tcp/ip协议栈,并且以一块大容量ddr(16gbyte到32gbyte)替代硬盘存放临时文件,通过内部第一高速通信总线与其它容器通信,主要用于文档处理、网页浏览、视频播放、游戏处理、显卡驱动、鼠标驱动、高危接口(usb、光驱、串口)驱动处理,以虚拟接口的方式实现tcp/ip协议栈、网口、键盘的功能。c1安装有主流的安全防护软件(如360、基于人工智能的安全防御产品),其安全防御的重点是针对上层协议(如smtp、ftp、https、ssl/tls等)、各种应用层软件(ie、office、视频播放、图片处理、游戏等)安全漏洞的攻击,以及防御usb、光驱、串口的病毒和木马注入攻击。在需要c1处理敏感文件之前,先由计算机的外部接口锁直接关闭计算机除显卡和鼠标以外的所有外部接口,并进行c1、c2内存清洗,再加载处理敏感文件,处理完毕及保存之后再次进行内存清洗,以确保敏感文件处理过程中的安全性。c1的系统软件必须在其flash的外部物理锁与内部逻辑锁的许可控制和软件安全升级机制的管控下,才可以进行升级写入。系统软件flash的外部物理锁机制彻底消除了恶意篡改系统软件的可能性,确保了系统软件flash不会被攻击代码篡改,使计算容器具备了弹性防御的能力。c1容器内的软件行为独立监视硬件模块,通过地址总线对本容器内运行的软件进行攻击行为监控,一旦发现应用软件在进行系统软件flash盘篡改攻击、cpu能力耗尽攻击、系统配置参数窃取攻击,则立即向安全监控模块报告,按照预设的安全策略采取相应的处置措施。c1容器不配置硬盘,而以一个大容量ddr替代硬盘的临时存储作用,便于快速清洗。大容量ddr在开机启动时建立了临时文件系统,专门用于暂时保存文件处理流程中处理的文件、tmp文件以及运行过程中的各种日志记录(主要为.txt类型)文件,执行清洗过程可以快速擦除掉其处理文件过程中使用过的存储空间。
c2的防御重点是防御针对tcp/ip协议栈的攻击、ddos攻击。c2不配备硬盘,运行一个精简版的操作系统。它主要用于网络接口驱动和tcp/ip协议栈的实现,安装有主流的安全防护软件(如360),其安全防护的重点是mac层的安全防护、tcp/ip协议栈的安全防护,采取抗tcp流量风暴攻击的高效机制,具有(依据协议端口)识别加密/非密应用流量的功能。根据系统越简化、其潜在漏洞的数量越少的原则,c2容器不运行任何其他的应用,以便尽量使其功能最简化。tcp/ip协议栈的软件实现采取严格可证明的安全性设计,杜绝堆栈溢出、堆溢出等溢出漏洞。c2容器内的软件行为独立监视硬件模块,执行的监视功能与c1类似。c2的系统软件必须在其flash的外部物理锁与内部逻辑锁的许可控制和软件安全升级机制的管控下,才可以进行升级写入。c2的网口必须在计算机的外部接口锁的许可控制下,才能打开其物理接口。
由于c1和c2的软件系统flash盘的写入操作严格受其外部物理锁的控制,对它而言通常是只读的,从而能够直接阻断来自网络、usb、光驱以及串口的病毒、木马等恶意软件的篡改攻击。恶意软件即使进入了弹性防御容器的内存并且获得了执行的机会,既修改不了弹性防御容器c1、c2内的软件系统,也不能够获取安全存储容器内保存的任何敏感信息。弹性防御容器内的软件行为独立监控模块内的监控硬件逻辑通过地址总线监控c2软件的异常行为,并及时向安全管控模块报警。
弹性防御容器由独立的cpu、ddr、各种接口、falshrom(bios)、只读falsh盘(存放操作系统和基本的应用处理软件系统,其外部物理锁和内部逻辑锁能够禁止其写入属性)以及运行状态安全独立监视逻辑构成。弹性防御容器上安装了具有较强安全机制的操作系统,此外,还安装了反病毒抗木马的安全软件。
2、安全隔离容器功能描述
安全隔离容器的防御重点是防御针对安全存储容器的渗透攻击、防御电子支付密码窃取攻击,严格执行预定的安全操作流程来阻断针对各种漏洞的攻击意图。
安全隔离容器是安全计算机的关键核心,所有安全处理操作都必须在其管控之下按照流程依次有序地执行。安全隔离容器对其它容器之间的通信实施安全管控与隔离控制,实现其它三个容器之间的间接通信,高速通信总线的设计要确保其它三个容器之间不能直接进行相互通信。
安全隔离容器内既不执行任何应用软件,也不执行tcp/ip协议栈,与其它容器之间的通信采取专用的、简练的并且经过严密设计的、严格的安全审查的通信协议,因而能够防御现有的各种漏洞攻击手段。
安全隔离容器为一个基于单片机和嵌入式微操作系统实现的处理容器,采取最简化的软件系统设计,尽量以最低级的语言来实现,避免存在潜在的安全漏洞,其软件流程步骤采取严格可证明的安全性设计。安全隔离容器主要负责容器之间的通信数据报文的转发与管控,调度执行各个安全流程,隔离和屏障弹性容器内运行的恶意软件向安全存储容器的渗透攻击。此外,还实现usb键盘的驱动以及安全防护。在键盘使用之前,必须通过严格的安全测试检查,禁止使用带有攻击病毒/木马的键盘。数字小键盘主要用于输入电子支付交易所需要的口令密码,避免弹性容器中的键盘窃听木马窃取键盘输入的密码。安全隔离容器内的软件行为独立监控模块,除了监视软件篡改攻击、cpu能力耗尽攻击,还要对固定和单一功能的软件代码的执行进行监视。
3、安全存储容器功能描述
安全存储容器的防御重点是针对敏感文件和机密文件的窃取,以及针对保密通信协议的中间人攻击和假冒机密终端的攻击。安全存储容器为一个原生的无害安全运算支撑环境,专门用于存储用户文件、执行加/解密运算,基于安全通信协议提供机密文件远程加密传输的安全保障。安全容器由独立的cpu、ddr、flash系统盘(存放操作系统软件,其外部物理锁和内部逻辑锁能够禁止其写入属性)、flash文件盘(存放敏感文件,其外部物理锁和内部逻辑锁能够禁止其读/写属性)、硬盘(存放非敏感文件系统、安全日志)、管理员身份认证接口、usbkey接口构成。对敏感文件falsh盘的操作,必须在外部物理锁打开的情况下经过指纹/虹膜生物特征或usbkey身份认证的严格控制。falsh文件盘的写入操作,需要经过密码接收认证协议的严格控制,同时还需要接受外部开关和usbkey的多重安全管控。
在安全存储容器的硬盘上,建立有一般文件、敏感文件以及机密文件的相应目录。
(二)安全计算机工作流程
1、开机安全控制流程
当安全计算机开机上电时,采取以下步骤:
第一步:安全隔离容器由于软件最精简,所以最先完成启动、进入预备工作状态。安全隔离容器基于安全管控硬件模块,通过安全控制总线向各容器的软件行为独立监控模块发出关闭系统软件flash与敏感文件flash的内部逻辑锁的指令。各容器的软件行为独立监控模块获取本处理器连接的外部接口锁和/或flash外部物理锁的状态,通过安全控制总线向安全管控模块报告。
第二步:各个容器独自完成自己的启动过程,即首先清洗整个动态内存后,再将系统软件flash盘中的系统软件代码拷贝到其预置的动态内存中去执行,设置堆栈,划分和初始化内存区域,进入正常工作状态,c1容器擦除大容量ddr临时文件存储区域的痕迹,在大容量ddr中创建一个临时文件系统。然后向安全隔离容器发出启动完毕的指示消息。
第三步:安全存储容器启动完成后,若检测用户未插入usbkey,则经由安全隔离容器通知c1提示用户插入usbkey;若检测到usbkey,读取保存在其中的开机密码封装在启动完毕指示消息内,发送给安全隔离容器(普通应用情况下,从安全存储容器的硬盘文件内获取开机密码)。
第四步:安全隔离容器接收到其它容器的启动完毕指示消息后,通知c1在显示界面上提示用户输入开机密码,记录用户输入的每一个密码符号,并都以“*”替代并发送给c1显示。
第五步:安全隔离容器接收到用户输入的回车符之后,若比较发现保存的密码与当前输入的密码一致,则c1显示正常工作的操作界面,进入下一个步骤;
第六步:安全隔离容器基于安全管控硬件模块,通过安全控制总线获取计算机的外部接口锁、各容器系统软件flash的外部物理锁、敏感文件flash的外部物理锁的状态。若判断出外部接口锁未打开、敏感文件flash的外部物理锁或某个容器的系统软件外部物理锁未关闭,则在界面上向用户发出提示,并在安全计算机最下面的任务栏中显示各物理锁当前的状态。
第七步:安全隔离容器不转发c1与c2之间的数据块流量,检测到所有的外部物理锁和外部接口锁都处于就绪状态,则返回正常工作状态,流程结束。
至此,计算机就可以进行访问浏览互联网的处理了。
第八步:若用户需要进行安全处理相关的操作,则需要通过生物特征(指纹、虹膜、3d脸型之一)检测识别,只有通过了生物特征检测识别之后,才能进入安全工作模式。安全存储容器检测到用户输入的生物认证数据,提取出用户的生物特征,与保存在大容量硬盘中的生物特征原型数据密文使用usbkey中的相应密钥解密后,进行模型匹配。匹配成功,向安全隔离容器发送一个安全操作合法的报告消息。
第九步:安全隔离容器进入安全操作合法的正常工作状态。
至此,计算机就可以进行与敏感文件flash盘相关的所有安全处理了。
2、互联网浏览处理流程
当用户浏览互联网时,采取以下步骤:
第一步:在操作界面打开浏览软件,通过网站地图点击要访问的互联网站,c1容器中的https协议发出连接请求,通过其虚拟的tcp/ip栈,通过内部的第一高速通信总线向安全隔离容器发送。
第二步:安全隔离容器通过内部的第一高速通信总线向c2转发此https协议连接请求消息。
第三步:c2容器从内部的第一高速通信总线接收到此https协议连接请求后,经由其运行的tcp/ip协议栈,封装为tcp协议头,通过网口向互联网上发送。
第四步:c2容器将其tcp/ip协议栈从网口接收到的tcp数据块,去除tcp协议头,通过内部的第一高速通信总线发送给安全隔离容器。
第五步:安全隔离容器接收到该tcp数据块后,判断其属于非机密通信端口的通信数据,则通过内部的第一高速通信总线向c1容器转发。
第六步:c1容器内部第一高速通信总线通信协议接收后,通过虚拟的tcp/ip栈向其上层https协议接口传递。
第七步:浏览器上显示出网站内容,用户就可以浏览网页内容了。
第八步:若用户在浏览网页时,要拷贝网页中的内容并以非敏感文件存储时,则可以同时打开office软件(如word工具),拷贝、编辑完毕后,首先将文件暂时保存到大容量ddr内的临时文件系统中。然后通过安全应用程序界面发出保存非敏感文件命令,根据临时文件系统目录中的记录,将该文件经由安全隔离容器转发到安全存储容器,保存到大容量硬盘中。最后,删除临时文件系统暂存的文件。
至此,完成一次完整的互联网浏览处理过程。
3、非敏感文件处理流程
当用户需要处理非敏感文件时,采取以下步骤:
第一步:打开安全应用程序,在其操作界面点击非敏感文件处理按钮,c1安全应用程序向安全隔离容器发出获取非敏感文件目录的请求消息,安全隔离容器将请求消息转发到安全存储容器。安全存储容器读取其硬盘中保存的非敏感文件目录,经由安全隔离容器发送给c1。
第二步:用户点击要打开的非敏感文件,c1安全应用程序根据文件类型打开相应的文档处理软件,向安全隔离容器发送处理非敏感文件的请求消息。安全隔离容器接收到请求后,向安全存储容器发出获取指定的非敏感文件的指示消息,并仍然保持在正常工作模式,流程结束。
第三步:安全存储容器读取大容量硬盘中的非敏感文件,通过内部高速总线通信协议经由第二高速通信总线传递给安全隔离容器,并转交到弹性防御容器c1,c1将整个文件暂存到大容量ddr中的临时文件系统内,最后通过office文档处理软件显示在安全计算机的界面上。
第四步:用户可浏览、编辑、播放该非敏感文件,处理完毕后,若需要保存该文件(如office文档),在操作界面上发出保存命令,c1文档处理软件首先将文件保存到大容量ddr内的临时文件系统。然后通过安全应用程序界面发出保存非敏感文件命令,将处理后暂存的整个文件内容,通过内部高速总线通信协议经由第一高速通信总线和安全隔离容器传递到安全存储容器,写入大容量安全存储容器的硬盘中,替代原来的同名文件,或另存为一个新文件。然后,c1删除临时文件系统中暂存的文件。
至此,完成一次完整的非敏感文件处理过程。
4、敏感文件安全处理流程
当用户需要处理敏感文件时,采取以下步骤:
第一步:用户打开安全应用程序,在其界面上点击计算机敏感文件处理按钮,c1安全应用程序向安全隔离容器发送获取敏感文件目录的请求消息。
第二步:安全隔离容器接收到c1获取敏感文件目录的请求后,进入安全文件处理模式,通知c1在显示界面上提示用户关闭计算机的所有外部接口锁,启动计时器t1。
第三步:安全隔离容器基于安全管控硬件模块获取的外部接口锁相应状态信息,判断出计算机的外部接口锁已全部关闭,则进入下一步,否则继续等待。若t1超时,则通知c1获取敏感文件目录失败,安全隔离容器返回正常工作模式,流程结束。
第四步:安全隔离容器基于安全管控硬件模块,通过安全控制总线控制弹性防御容器c1、c2启动清洗机制,清洗除操作系统自身运行所保留的内存区域以外的其它动态内存区域,或快速重启以重启过程来清洗其整个动态内存。
第五步:安全隔离容器通知c1重新打开安全应用程序,并通知c1在显示界面上提示用户打开敏感文件flash的外部物理锁,启动计时器t2。然后基于安全管控硬件模块获取的相应状态信息,判断出敏感文件flash的外部物理锁已打开,则进入下一步,否则继续等待。若t2超时,则通知c1获取敏感文件目录失败,安全隔离容器返回正常工作模式,流程结束。
第六步:安全隔离容器基于安全管控硬件模块,通过安全控制总线打开敏感文件flash的内部逻辑锁,允许对敏感文件flash进行读/操作写。同时,安全隔离容器只转发c1容器与安全存储容器之间通信的数据块报文,不再转发c2容器方向的任何数据块报文。
第七步:安全隔离容器将获取敏感文件目录的请求消息转发到安全存储容器。安全存储容器读取器硬盘中保存的敏感文件目录,经由安全隔离容器发送给c1,c1显示出敏感文件目录。用户点击要打开的敏感文件,安全应用程序根据文件类型打开相应的文档处理软件,c1文档处理模块向安全隔离容器发送处理敏感文件的请求消息。
第八步:安全隔离容器向安全存储容器发出获取指定的敏感文件的指示消息。
第九步:安全存储容器读取敏感文件flash盘内指定的敏感文件,通过内部高速总线通信协议经由第二高速通信总线传递给安全隔离容器,并转交到弹性防御容器c1,暂存在其大容量ddr中的临时文件系统内,最后显示在文档处理软件的界面上。
第十步:用户可浏览、编辑、修改、播放该敏感文件,处理完毕后,若需要保存该文件(如office文档),在操作界面上点击保存按钮,c1文件处理软件将大容量ddr临时文件系统内经过处理的整个文件内容,通过内部高速总线通信协议经由第一高速通信总线和安全隔离容器传递到安全存储容器,写入敏感文件盘,替代原来的同名文件,或另存为一个新的文件。
第十一步:安全隔离容器通过安全控制总线关闭敏感文件flash盘的内部逻辑锁,再次向c1发出内存清洗命令,清洗掉敏感文件在动态内存中的一切痕迹,擦除c1大容量ddr中临时文件系统内的文档文件及tmp文件的所有痕迹。
第十二步:安全隔离容器通知c1在界面上提示用户关闭敏感文件flash盘的外部物理锁;
第十三步:用户关闭敏感文件flash盘的外部物理锁,打开计算机的外部接口锁。
第十四步:安全隔离容器基于安全管控硬件模块,通过安全控制总线获取敏感文件flash盘的外部物理锁、计算机外部接口锁的状态,c1在显示屏界面任务栏上显示这些物理锁和接口锁的状态。若敏感文件flash盘的外部物理锁处于关闭状态,则返回正常工作模式,流程结束。
至此,完成一次完整的敏感文件处理过程。
5、机密文件安全处理流程
当用户需要处理机密文件时,采取以下步骤:
第一步:用户打开安全应用程序,在其界面点击计算机机密文件处理按钮,c1向安全隔离容器发出获取机密文件处理的请求消息。
第二步:安全隔离容器接收到获取机密文件处理的请求消息后,进入安全文件处理模式,通知c1在显示界面上提示用户关闭计算机的所有外部接口锁,启动计时器t3。
第三步:安全隔离容器基于安全管控硬件模块获取的相应状态信息,判断出外部接口锁已关闭,则进入下一步,否则继续等待。若t3超时,则返回正常工作模式,流程结束。
第四步:安全隔离容器基于安全管控硬件模块,通过安全控制总线控制弹性防御容器c1、c2启动清洗机制,清洗除操作系统自身运行所保留的内存区域以外的其它动态内存区域,或快速重启以重启过程来清洗其整个动态内存。
第五步:安全隔离容器通知c1重新打开安全应用程序,并通知c1在显示界面上提示用户打开敏感文件flash的外部物理锁,启动计时器t4。然后基于安全管控硬件模块获取的相应状态信息,判断出敏感文件flash的外部物理锁已打开,则进入下一步,否则继续等待。若t4超时,则通知c1获取机密文件目录失败,安全隔离容器返回正常工作模式,结束流程。
第六步:安全隔离容器基于安全管控硬件模块,通过安全控制总线打开敏感文件flash的内部逻辑锁,允许安全存储容器对敏感文件flash盘进行读/操作写;同时,安全隔离容器只转发c1容器与安全存储容器之间的数据块报文,不再转发c2容器方向的任何数据块报文。
第七步:安全隔离容器将获取机密文件处理的请求消息转发到安全存储容器。安全存储容器读取器硬盘中保存的机密文件目录,经由安全隔离容器发送给c1,在安全应用程序界面上显示出机密文件目录。用户点击要打开的机密文件,安全应用程序根据文件类型打开相应的文档处理软件,向安全隔离容器发送获取机密文件的请求消息。
第八步:安全隔离容器接收到获取机密文件的请求后,向安全存储容器发出获取指定的机密文件的指示消息。
第九步:安全存储容器读取敏感文件flash盘内指定的机密文件,以文件存储密钥解密后,通过内部高速总线通信协议经由第二高速通信总线传递给安全隔离容器,由安全隔离容器转交到弹性防御容器c1,暂时保存到大容量ddr临时文件系统中,最后通过文档处理软件显示在安全计算机的界面上。
第十步:用户可浏览、编辑、修改、播放临时文件系统中暂存的机密文件,处理完毕后,若需要保存该文件(如office文档),在安全应用程序的操作界面上发出保存命令,c1文件处理软件将临时文件系统中暂存的整个机密文件内容,通过内部高速总线通信协议经由第一高速通信总线和安全隔离容器传递到安全存储容器,以文件存储密钥加密后,写入敏感文件flash盘,替代原来的同名文件,或以另存为一个新的文件。保存完毕,通知安全隔离容器。
第十一步:安全隔离容器再次向c1发出内存清洗命令,清洗掉机密文件在动态内存中的一切痕迹,擦除c1临时文件系统内暂存的文件及tmp文件的所有痕迹。
第十二步:安全隔离容器关闭敏感文件flash盘的内部逻辑锁,并在界面上提示用户关闭敏感文件flash盘的外部物理锁。
第十三步:用户关闭敏感文件flash盘的外部物理锁,打开计算机的外部接口锁。
第十四步:安全隔离容器基于安全管控硬件模块,通过安全控制总线获取敏感文件flash盘的外部物理锁、计算机的外部接口锁的状态,并报送c1在界面任务栏上显示其状态。若敏感文件flash盘的外部物理锁处于关闭状态,则返回正常工作模式,开放c2方向的数据块报文转发。
至此,则完成了一次完整的机密文件处理过程。
6、机密文件安全传输处理流程
安全计算机传输机密文件时,采取以下步骤:
第一步:用户打开安全应用程序,在其界面点击机密文件传输按钮,将机密传输请求消息发送给安全隔离容器。
第二步:安全隔离容器接收到机密文件传输请求消息后,进入机密通信模式,不再转发c1容器与安全存储容器之间数据块报文,但会转发安全存储容器与c2之间在专用tcp或udp端口上的机密通信数据块,也会转发c1与c2之间的互联网访问通信数据块。
第三步:安全隔离容器通知c1在其界面上提示用户打开敏感文件flash盘的外部物理锁,启动计时器t5。
第四步:安全隔离容器基于安全管控硬件模块获取的相应状态信息,判断出敏感文件flash盘的外部物理锁已打开,则安全隔离容器基于安全管控硬件模块,通过安全控制总线打开敏感文件flash盘的内部逻辑锁,允许对敏感文件flash盘进行读/写操作,进入下一步。若t5超时,则流程结束,返回正常工作模式。
第五步:安全隔离容器向安全存储容器转发机密文件传输请求消息,安全存储容器将其硬盘上的机密文件目录经由安全隔离容器发送给c1,并在安全处理软件的界面上显示机密文件目录。
第六步:用户在机密文件目录中,点击要传输的机密文件,安全处理软件提示用户选择机密文件的接收方,将其ip地址包含在机密文件传输命令消息内,经由安全隔离容器向安全存储容器发送。
第七步:安全存储容器启动安全保密通信协议,读取敏感文件flash盘内指定的机密文件,以usbkey中的安全存储密钥解密机密文件,以usbkey中的通信密钥对文件的每个数据块实施加密,通过内部的第一高速通信总线经由安全隔离容器转发给c2。c2经由机密通信专用的协议端口,通过其tcp/ip协议栈向指定的ip地址发送。
第八步:机密文件传输完毕后,安全存储容器向安全隔离容器发出机密文件传输完毕的指示。
第九步:安全隔离容器接收到该指示后,通过安全控制总线关闭敏感文件flash盘的内部逻辑锁。
第十步:安全隔离容器向c1转发机密文件传输完毕的指示,通知c1在显示界面提示用户关闭敏感文件flash盘的外部物理锁。
第十一步:安全隔离容器基于安全管控硬件模块获取的相应状态信息,判断出敏感文件flash盘的外部物理锁已关闭,则返回到正常通信模式。
至此,完成一次完整的机密文件传输通信过程。
7、机密文件安全接收处理流程
安全计算机接收机密文件时,采取以下步骤:
第一步:安全隔离容器在非机密通信模式,收到c2容器在机密通信专用端口接收到的第一个通信报文(机密通信接收请求),经由安全隔离容器传送到安全存储容器。
第二步:安全存储容器启动保密通信协议,以usbkey中的通信密钥对第一个通信报文进行解密,验证通信报文的真实性、完整性,若验证通过则报送安全隔离容器;否则,予以丢弃,关闭保密通信协议,不执行任何进一步的操作。
第三步:安全隔离容器在人机界面上提示用户打开敏感文件flash盘的外部物理锁,启动计时器t6。若t6超时,则指示安全存储容器不允许接收,流程结束。
第四步:安全隔离容器基于安全管控硬件模块获取的相应状态信息,判断出敏感文件flash盘的外部物理锁已打开,则安全隔离容器基于安全管控硬件模块,通过安全控制总线打开敏感文件flash盘的内部逻辑锁,允许对敏感文件flash盘进行读/操作写,通知安全存储容器准备接收。安全隔离容器不再转发c1容器与安全存储容器之间的数据块报文。
第五步:安全存储容器保密通信协议发送机密文件接收准备就绪报文。
第六步:安全存储容器完整接收到整个机密文件后,首先以usbkey中的通信密钥对每个通信密文数据块实施解密,再以usbkey中的安全存储密钥加密整个文件,并保存到敏感文件flash盘中。
第七步:安全存储容器接收完毕机密文件后,关闭保密通信协议,向安全隔离容器发出机密文件接收完毕的指示。
第八步:安全隔离容器接收到该指示后,通过安全控制总线关闭敏感文件flash盘的内部逻辑锁。
第九步:安全隔离容器通知c1在显示界面提示用户关闭敏感文件flash盘的外部物理锁。
第十步:安全隔离容器基于安全管控硬件模块获取的相应状态信息,判断出敏感文件flash盘的外部物理锁已关闭,则机密文件接收处理过程结束。
至此,完成一次完整的机密文件接收通信过程。
8、机密电子邮件安全发送流程
当用户需要安全发送机密电子邮件时,采取以下处理步骤:
第一步:在敏感文件安全处理模式下,完成邮件的编写并加密保存在安全存储容器的敏感文件flash盘中。
第二步:用户打开安全处理软件,在界面点击安全邮件发送按钮,将安全邮件发送请求消息发送给安全隔离容器。
第三步:安全隔离容器接收到安全邮件发送请求消息后,进入安全邮件通信模式,通知c1在人机界面上提示用户打开敏感文件flash盘的外部物理锁,并且启动计时器t7。
第四步:安全隔离容器通过读取状态判断敏感文件flash盘的外部物理锁已打开,则通过安全控制总线打开敏感文件flash盘的内部逻辑锁,将安全邮件发送请求消息发送给安全存储容器。若t7超时,则返回正常工作模式,结束流程。
第五步:安全存储容器读取硬盘上的机密文件目录,经由安全隔离容器发送给c1,在界面上显示出目录。用户选择并点击要发送的机密文件邮件,将安全邮件发送命令消息发向给安全存储容器。
第六步:安全存储容器读取敏感文件flash盘内指定的机密文件,以usbkey中的安全存储密钥解密机密邮件,调用安全邮件加密功能,以usbkey中的邮件密钥对邮件的每个数据块实施加密,通过内部第一高速通信总线经由安全隔离容器转发给c1,保存在c1大容量ddr文件系统中。传送完毕,通知安全隔离容器关闭敏感文件flash盘的内部逻辑锁。
第七步:安全隔离容器收到通知,则立即关闭敏感文件flash盘的内部逻辑锁,并通知c1提示用户关闭敏感文件flash盘的外部物理锁、安全邮件准备就绪。
第八步:用户以正常操作发送暂时保存在大容量ddr临时文件系统中的机密电子邮件临时文件,发送完毕删除该临时文件。
第九步:安全隔离容器基于安全管控硬件模块获取的相应状态信息,判断出敏感文件flash盘的外部物理锁已关闭,则返回到正常通信模式。
至此,完成一次完整的机密电子邮件安全发送过程。
9、机密邮件安全接收处理流程
当用户需要安全接收机密电子邮件时,采取以下处理步骤:
第一步:打开网站邮件接收网页界面,下载电子邮件,保存到c1的大容量ddr临时文件系统中。
第二步:在c1安全处理程序界面点击邮件安全存储按钮,安全邮件处理首先将机密邮件经由安全隔离容转发传递到安全存储容器,然后向安全隔离容器发送指定邮件安全存储的指示消息。
第三步:安全隔离容器指示c1人机界面上提示用户打开敏感文件flash盘的外部物理锁;
第四步:安全隔离容器基于获取的相应状态信息,判断出敏感文件flash盘的外部物理锁已打开,则通过安全控制总线打开敏感文件flash盘的内部逻辑锁,允许对敏感文件flash进行读/操作写。
第五步:安全隔离容器向安全存储容器发出解密机密邮件的指示消息。
第六步:安全存储容器调用接收邮件解密功能,以usbkey中的通信密钥对大容量硬盘中的接收邮件实施解密,邮件明文暂存在动态内存中,解密完毕之后,再以usbkey中的安全存储密钥加密它,并保存到敏感文件flash盘中。
第七步:安全存储容器保存完毕机密邮件后,清除大容量硬盘中的机密邮件痕迹,向安全隔离容器发出机密邮件接收完毕的指示。
第八步:安全隔离容器接收到该指示后,通过安全控制总线关闭敏感文件flash盘的内部逻辑锁。
第九步:安全隔离容器向c1转发机密邮件接收完毕的指示,c1在显示界面提示用户关闭敏感文件flash盘的外部物理锁。
第十步:安全隔离容器基于安全管控硬件模块获取的相应状态信息,判断出敏感文件flash盘的外部物理锁已关闭,则返回到正常通信模式。
至此,完成一次完整的机密邮件接收处理过程。
10、电子支付密码安全保护流程
当用户需要提交电子支付密码时,采取以下安全保护处理步骤:
第一步:用户在网页上点击支付交易会话框,浏览器向电子支付web服务器发出“客户机呼叫”报文,请求一次ssl(安全套接字协议)或set(安全电子交易协议)加密会话。
第二步:安全隔离容器从c1容器向c2容器转发的报文数据流中,识别出电子支付请求的ssl/set报文,进入电子支付工作模式。
第三步:安全隔离容器从c2容器向c1容器转发的数据流中,识别出电子支付web服务器应答的ssl/set报文,拷贝出服务器发送给支付终端的加密公钥,并将该报文继续转发给c1容器。
第四步:在支付会话框中,以大键盘输入用户名,以小键盘上的数字键输入口令密码,安全隔离容器将用户名转发给c1,由c1的虚拟键盘驱动程序接收。
第五步:安全隔离容器记录用户在小键盘数字键输入的每个口令密码数字,并将输入的每个口令密码数字替换为一个除输入数字以外的随机数字,再发送给c1容器,由c1的虚拟键盘驱动程序接收。
第六步:安全隔离容器从c1容器向c2容器转发的数据流中,找到ssl/set协议承载加密支付密码的报文,将记录的支付密码数字串以拷贝的公钥加密,将加密结果替换掉协议报文中对应域的字节内容,并将该协议报文继续转发给c2容器。
第七步:安全隔离容器清除记录的口令密码和公钥信息。
至此,完成一次完整的电子支付口令密码保护处理过程。
11、操作系统软件升级安全控制流程
操作系统软件升级包括整个操作系统软件的升级、部分系统软件功能的升级、补丁升级以及安装新的操作系统功能。
当用户需要进行操作系统软件升级时,采取以下步骤:
第一步:用户确认已通过远程或usb盘将操作系统升级软件压缩包下载,并通过数字证书验证了其版本的安全性,解压缩保存在安全存储容器的大容量硬盘内。
第二步:打开安全处理程序,在其界面点击操作系统软件升级按钮,选中需要升级的容器,c1容器向安全隔离容器发送指定容器操作系统软件升级的请求消息。
第三步:安全隔离容器接收到指定容器操作系统软件升级的请求后,进入安全升级处理模式,通知c1在显示界面上提示用户关闭所有的外部接口锁,启动计时器t8。
第四步:安全隔离容器基于安全管控硬件模块获取的相应状态信息,判断出外部接口锁已关闭,则进入下一步,否则继续等待,若t8超时则返回正常工作模式,流程结束。
第五步:安全隔离容器基于安全管控硬件模块,通过安全控制总线控制弹性防御容器c1、c2启动清洗机制,清洗除操作系统自身运行所保留的内存区域以外的其它动态内存区域,或快速重启以重启过程来清洗其整个动态内存。
第六步:安全隔离容器通知c1在显示界面上提示用户打开指定容器的系统软件flash的外部物理锁,启动计时器t9。然后基于安全管控硬件模块获取的相应状态信息,判断出系统软件flash的外部物理锁已打开,则进入下一步,否则继续等待。若t9超时则返回正常工作模式,流程结束。
第七步:安全隔离容器通过安全管控模块的控制,打开指定容器打开系统软件flash的内部逻辑锁。
第八步:安全隔离容器向安全存储容器发出获取操作系统升级文件的指示消息;
第九步:安全存储容器读取大容量硬盘内指定的操作系统升级软件文件,依次将文件的每个数据块通过内部高速总线通信协议经由第二高速通信总线传递给安全隔离容器。
第十步:安全隔离容器根据指定升级的目标容器,将操作系统升级软件文件数据块转交给弹性防御容器c1(升级软件文件可能较大,暂存在c1内大容量ddr临时文件系统内),或转交给c2(升级软件文件较小,暂存在动态内存中),或保存在安全隔离容器的动态内存中。若指定升级的目标容器为安全存储容器,无需将软件升级文件向安全隔离容器传递。
第十一步:指定升级的目标容器升级管理软件调用操作系统软件安装功能,执行对系统软件flash盘的升级操作。升级完毕,向安全隔离容器发送升级完成的指示消息。
第十二步:安全隔离容器接收到操作系统升级完成的指示消息后,立即通过安全管控模块控制关闭系统软件flash的内部逻辑锁,并在界面上提示用户关闭系统软件flash的外部物理锁。
第十三步:用户关闭系统软件flash的外部物理锁,打开外部接口锁。
第十四步:安全隔离容器基于安全管控硬件模块,通过安全控制总线获取系统软件flash的外部物理锁、外部接口锁的状态,并在显示界面上显示器状态。若系统软件flash的外部物理锁处于关闭状态,则返回正常工作模式。
至此,完成一次完整的操作系统软件升级处理过程。
12、应用软件安装控制流程
应用软件升级过程,主要包括在安全存储容器中进行应用软件“注册”、将应用软件文件可执行代码写入大容量硬盘。
当用户需要安装应用软件时,采取以下步骤:
第一步:用户确认已通过远程或usb盘将操作系统升级软件压缩包下载,并通过数字证书验证了其版本的安全性、真实性、完整性,解压缩保存在安全存储容器的大容量硬盘内。
第二步:打开安全处理程序,在其界面点击应用软件安装按钮,c1容器向安全隔离容器发送应用软件安装的请求消息。
第三步:安全隔离容器接收到应用软件安装的请求后,向安全存储容器发出应用软件安装的命令消息。
第四步:安全存储容器在应用软件注册表(即目录文件)中记录该应用软件名称信息,并记录在硬盘中为该应用软件执行代码文件分配的存储空间。
第五步:安全存储容器将该应用软件可执行代码文件写入分配的硬盘存储空间,删除下载的压缩软件包和解压缩的安装软件文件。
第六步:安全存储容器向安全隔离容器发送应用软件安装结束的指示消息,安全隔离容器通知c1在人机界面上显示安装过程结束的提示。
至此,完成一次完整的应用软件安装处理过程。
13、应用软件启动处理的控制流程
当用户需要启动可在c1容器的操作系统环境中执行的应用软件时,采取以下步骤:
第一步:打开安全处理程序,在其界面点击应用软件启动按钮,c1容器向安全隔离容器发送应用软件运行的请求消息。
第二步:安全隔离容器接收到应用软件启动的请求后,向安全存储容器发出应用软件启动的命令消息。
第三步:安全存储容器读取硬盘中注册表记录的应用软件信息,获取在硬盘中为该应用软件执行代码文件分配的存储空间信息。
第四步:安全存储容器读取该应用软件可执行代码文件,并以数据块的形式经由安全隔离容器的转发传送到c1容器。
第五步:c1容器将接收到的应用软件可执行代码写入到动态分配的内存中,然后执行该应用软件。
第六步:在应用软件的运行过程中,其相应的临时文件暂存在c1的大容量ddr中,运行结束时,将用户对该应用软件的配置参数修改文件传送给安全存储容器,保存到应用软件相应的配置文件中。
至此,完成一次完整的应用软件启动处理过程。
14、安全运行监管控制流程
当安全计算机工作运行时,安全运行监管控制采取以下步骤:
第一步:各容器的软件行为独立监控模块获取本处理器连接的外部接口锁与flash外部物理锁的状态,通过安全控制总线向安全管控模块报告。
第二步:安全隔离容器在启动后或在运行过程中根据流程管控的需要,基于安全管控硬件模块通过安全控制总线向各容器的软件行为独立监控模块发出关闭系统软件flash与敏感文件flash的内部逻辑锁的指令。
第三步:各个容器软件行为独立监控模块独自进行本地的软件异常行为监视,若监测发现,软件可能因受到能量耗尽攻击而出现了死循环现象,或者在flash盘的外部物理锁和逻辑锁都关闭的情况下存在对flash的非法写/读操作,则立即通过安全控制总线向安全监控模块报告。
第四步:安全隔离容器通过安全监控模块检测到某容器软件行为异常指示后,若根据当前的安全工作流程状态,判断出该容器遭受了严重的网络攻击、需要实施管控,则基于安全管控模块通过安全控制总线向该容器的软件行为独立监控模块发出重启系统软件的指示。
第五步:软件行为独立监控模块接收到安全管控模块发出的重启系统软件的指示信号后,立即通过本地控制逻辑电路重启容器的系统软件,通过重启过程终止和清洗掉内存中的恶意代码。
五、有益效果和优点
现有的安全计算机技术,要么是基于可信计算机制,或者反病毒防木马的安全防护软件,或者基于沙盒机制对软件行为实施监控与管制,或者基于移动目标防御机制。已有的大量安全事件表明,所有的安全机制都已被攻破了!目前,计算机的安全防御主要依赖于安装的安全防护软件,由安全公司发现漏洞,基于互联网发布补丁或用户主动下载升级软件。往往在用户计算机打上安全漏洞补丁之前,可能已造成了巨大的安全后果。
本发明设计的基于多容器的新型安全计算机架构,结合外部物理锁与内部逻辑锁对文件系统的绝对控制机制,在安全隔离容器的严格隔离机制的管控下,使入侵攻击代码无法修改系统软件、无法获取计算机保护的敏感/机密文件,能防御病毒、木马以及各类恶意代码的攻击,能确保敏感文件处理的计算环境安全,能够确保电子支付的口令密码安全,也能在互联网上实现机密文件的安全通信、机密电子邮件的安全传输。
本发明设计的新型安全计算机架构,具备很强的弹性防御与纵深防御的特点,能够防御各种已知的和未知的安全威胁,既可作为党政军机密通信的安全计算机使用,也又可作为普通的民用计算机使用。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。