专利名称:一种益于互联网应用信息安全的绿盾防控系统的制作方法
技术领域:
本发明属于信息安全应用系统技术领域,尤其是涉及一种益于互联网应用信息安全的绿盾防控系统。
背景技术:
互联网技术给信息传播带来了革命性的变化,例如,网络的“无中心化”,它向所有人开放,具有无限的信息源,每个人既可以是信息的使用者也可以是其提供者。而且,网络还具有交互性,使用者可以对自己接受的信息进行自主选择和控制。这些特性突破了过往所有的传播形态,为信息的多样化和言论自由空间的扩展提供了极大便利。但是,网络需要与外界的相对自由的联系,所以会更容易受到许多方面的威胁,例如物理威胁、系统漏洞造成的威胁、身份鉴别威胁、线缆连接威胁和有害程序等方面威胁。虽然随着基础信息知识的全民普及化使得很多人虽然对网络的这些危害都非常了解,但是确由于自身电脑知识及能力的不足,不能用正确的方法来完全正确安全的使用网络。因此,用一种从芯片控制的技术,让电脑无条件地接受网络安全引导来使用就变得非
常有必要。而目前,这方面的技术相比来说还不够成熟,存在使用效率不高等问题,例如具体表现为,很多学生家长要使用网络过滤系统来控制子女的网络使用,但是作为青少年的子女本身由于自制力的不足,且能很容易地躲避或取消此类软件的使用,所以使得家长无法达到控制的目的,同时也失去了使用些类系统的真正意义。
发明内容
为了解决上述问题,本发明提供一种基于绿盾单元与PC单元交互的益于互联网应用信息安全的绿盾防控系统。本发明的目的通过以下技术方案得以实现一种益于互联网应用信息安全的绿盾防控系统,包括PC单元和绿盾单元,PC单元和绿盾单元通过串行总线传递数据,同时系统为绿盾单元设定专属的硬件ID。绿盾单元需要在防控系统的PC单元内挂载才能成为密钥,在应用中,一个防控系统的PC单元可以对应多个绿盾单元,一个绿盾单元也可以挂载到多个不同的防控系统的 PC单元中,从而加强了系统的扩展性,利于实际应用。当防控系统初次安装时,需要在PC单元端设置管理员密码,用于整个防控系统的管理。其中,PC单元包括密码设置单元、绿盾处理单元、网卡控制单元和指令控制单元; 密码设置单元、绿盾处理单元、网卡控制单元和指令控制单元两两相连。密码设置单元用于设置及修改系统密码。绿盾处理单元用于挂载绿盾单元以及删除绿盾单元的挂载。PC单元的绿盾处理单元删除绿盾单元的挂载后,该绿盾单元将在PC单元中失效,同时该绿盾单元内的关于PC单元的密码信息也会被清除。网卡控制单元用于控制网卡;指令控制单元用于接收指令。另外,绿盾单元包括单片机和USB/串口转换单元。单片机为绿盾单元的核心处理模块,同时单片机包括密码存储器和输入单元;密码存储器用于保存系统密码,输入单元用于向PC单元的指令控制单元输入指令。由于系统密码保存在绿盾单元的密码存储器上,所以即使使用别的机器或重装机器,系统密码都不会被改变。由于单片机的输出是串口信号,因此需要加一块USB/串口转换芯片,以通过USB 跟PC单元进行通讯。USB/串口转换单元与USB总线连接,单片机通过USB/串口转换单元与PC单元进行通讯。安装好系统的驱动程序之后,PC单元会预先设定一个虚拟串口,并通过该虚拟串口与绿盾单元进行通讯。在PC单元端设置好通讯的虚拟串口,PC单元与绿盾单元才能正吊iM讯ο同时,PC单元启动后,会向预设好的虚拟串口发送指令,当绿盾单元已与PC单元有效连接时,绿盾单元会收到PC单元所发送的指令并发送回应消息至PC单元;PC单元收到绿盾单元的回应消息后,即认为已与绿盾单元有效连接,继续进行余下的操作;同时,PC 单元会重复以上步骤,检测是否与绿盾单元有效连接。系统启动后,只有当绿盾单元所存储的硬件ID和密码跟PC单元内的设定匹配时, 系统才启用网卡,对于绿盾单元不存在或者绿盾单元所存储的硬件ID和密码跟PC单元的设定不匹配时,系统将禁用网卡。当绿盾单元与PC单元成功连接时向PC单元发送硬件ID 和密码信息,与PC单元内的信息匹配成功后向PC单元发送指令,启用网卡。密码设置单元将系统密码通过MD5算法进行加密,同时将加密后的密码存储到绿盾单元的密码存储器上。PC单元在同绿盾单元的连接中设置环形缓冲区,环形缓冲区的首尾相连,形成一个圆环,系统每次读取数据缓冲都会在环形缓冲区内搜索是否存在完整的数据帧。数据帧的前两个字节固定设置为两个特殊字符,作为有效数据的开始,辅助软件通过寻找两个特殊字符确定数据帧的起点;其中,在本系统的协议中,数据帧的前两个字节就是数据帧的识别码。PC单元通过校验码寻找数据错误,具体的校检码算法为数据帧中从命令开始到数据域结束的所有字节的算术和,取算术和最低字节的反码为校检码。网卡控制单元通过访问系统的硬件库获得硬件列表,并枚举硬件获得需要的接口,之后获得硬件的属性值,从而根据设备名称和硬件设备的对象名称找到网卡设备,来实现对网卡的禁用和启用操作。PC单元需要保证自己不被强制关闭,才能保证对网络的有效控制。PC单元通过拦截系统API函数的方式进行自我保护,具体为,通过在系统调用函数的时候预先判断是否是PC单元程序进程的句柄,进而实现禁止强制关闭的功能。本发明与现有技术相比,具有以下优点
本发明能够对网络使用进行有效的管理,同时又非常的便于青少年的家长掌握和使用,能够更有效地发挥网络过滤监控系统的作用,可以还原一个绿色的网络环境,使青少年用户从网络中获取知识的时候不至受到不良信息的干扰。
下面将结合实施例和附图对本发明作进一步的详细描述图1为本发明一个具体实施例的的系统结构示意图。
具体实施例方式下面结合附图和实施例对本发明做进一步的详细说明,但应该明确的是本发明的实施方式不限于此。如图1所示为本发明提供的一种益于互联网应用信息安全的绿盾防控系统,包括 PC单元和绿盾单元,PC单元和绿盾单元通过串行总线传递数据,同时系统为绿盾单元设定唯一的专属硬件ID。由于绿盾单元具有唯一的硬件ID,所以从根本上杜绝了被伪造或者被复制的可能性。绿盾单元需要在防控系统的PC单元内挂载才能成为密钥,在应用中,一个防控系统的PC单元可以对应多个绿盾单元,一个绿盾单元也可以挂载到多个不同的防控系统的 PC单元中,从而加强了系统的扩展性,利于实际应用。当防控系统初次安装时,需要在PC单元端设置管理员密码,用于整个防控系统的管理。其中,PC单元包括密码设置单元、绿盾处理单元、网卡控制单元和指令控制单元; 密码设置单元、绿盾处理单元、网卡控制单元和指令控制单元两两相连。密码设置单元用于设置及修改系统密码。绿盾处理单元用于挂载绿盾单元以及删除绿盾单元的挂载。PC单元的绿盾处理单元删除绿盾单元的挂载后,该绿盾单元将在PC单元中失效,同时该绿盾单元内的关于PC单元的密码信息也会被清除。网卡控制单元用于控制网卡;指令控制单元用于接收指令。另外,绿盾单元包括单片机和USB/串口转换单元。绿盾单元采用USB无驱方式, 提高了可用性,非常便于使用。单片机为绿盾单元的核心处理模块,同时单片机包括密码存储器和输入单元;密码存储器用于保存系统密码,输入单元用于向PC单元的指令控制单元输入指令。由于系统密码保存在绿盾单元的密码存储器上,所以即使使用别的机器或重装机器,系统密码都不会被改变,提高了系统的运行稳定性。由于单片机的输出是串口信号,因此需要加一块USB/串口转换芯片,以通过USB 跟PC单元进行通讯。USB/串口转换单元与USB总线连接,单片机通过USB/串口转换单元与PC单元进行通讯。安装好系统的驱动程序之后,PC单元会预先设定一个虚拟串口,并通过该虚拟串口与绿盾单元进行通讯。在PC单元端设置好通讯的虚拟串口,PC单元与绿盾单元才能正常通讯。PC单元在第一次启动时会注册成为操作系统的服务进程,以后每次启动系统,PC 单元都以服务的形式随系统启动。同时,PC单元启动后,会向预设好的虚拟串口发送指令,当绿盾单元已与PC单元有效连接时,绿盾单元会收到PC单元所发送的指令并发送回应消息至PC单元;PC单元收到绿盾单元的回应消息后,即认为已与绿盾单元有效连接,继续进行余下的操作;同时,PC 单元每间隔一段时间会重复以上步骤,检测是否与绿盾单元有效连接。系统启动后,只有当绿盾单元所存储的硬件ID和密码跟PC单元内的设定匹配时, 系统才启用网卡,对于绿盾单元不存在或者绿盾单元所存储的硬件ID和密码跟PC单元的设定不匹配时,系统将禁用网卡。当绿盾单元与PC单元成功连接时向PC单元发送硬件ID 和密码信息,与PC单元内的信息匹配成功后向PC单元发送指令,启用网卡。密码设置单元将系统密码通过MD5算法进行加密,同时将加密后的密码存储到绿盾单元的密码存储器上。具体的,密码设置单元将任意长度的“字节串”映射为一个128bit的大整数。通过该128bit的大整数反推原始字符串是困难的,一般而言,即使看到源程序和算法描述,也无法将该128bit的大整数变换回原始的字符串。从数学原理上说,是因为原始的字符串有无穷多个,这有点像不存在反函数的数学函数,即其过程不可逆。密码设置单元以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了一系列的处理后, 算法的输出由四个32位分组组成,将这四个32位分组级联后将生成一个1 位散列值。从安全的角度讲,密码设置单元的输出为1 位,若采用纯强力攻击寻找一个消息具有给定Hash值的计算困难性为2128,用每秒可试验1000000000个消息的计算机需时 1. 07X 1022年。若采用生日攻击法,寻找有相同Hash值的两个消息需要试验264个消息, 用每秒可试验1000000000个消息的计算机需时585年。本发明的系统通过多种手段结合的方式,更加确保了系统整体的安全性。PC单元与绿盾单元之间采用串行通信方式进行通信,采用多种软件策略确保数据传输的有效性和正确性,具体如下。1)环形缓冲。PC单元在同绿盾单元的连接中设置环形缓冲区,环形缓冲区的首尾相连,形成一个圆环,系统每次读取数据缓冲都会在环形缓冲区内搜索是否存在完整的数据帧。这样就可以有效防止在传输过程中,在数据帧的前段或末端由于受到干扰被加进乱码而把整段数据帧丢弃的情况。2)数据帧识别码。在数据帧的前两个字节固定设置为两个特殊字符,作为有效数据的开始,辅助软件通过寻找两个特殊字符确定数据帧的起点;其中,在本系统的协议中, 数据帧的前两个字节就是数据帧的识别码。3)数据验证码。在数据传输的过程中,有可能受到干扰导致数据中间某些部分发生变化,遇到这种情况,环形缓冲和数据帧识别码都无法发现错误,这时PC单元就需要用到校验码寻找数据错误。而为了降低系统由于计算校验码的额外负载,本系统的校验码算法并没有采用比较复杂的CRC等算法,而是采用了如下校检码算法数据帧中从命令开始到数据域结束的所有字节的算术和,取算术和最低字节的反码为校检码。网卡控制单元通过访问系统的硬件库获得硬件列表,并枚举硬件获得需要的接口,之后获得硬件的属性值,从而根据设备名称和硬件设备的对象名称找到网卡设备,来实现对网卡的禁用和启用操作。PC单元需要保证自己不被强制关闭,才能保证对网络的有效控制。PC单元通过拦截系统API函数的方式进行自我保护,具体为,通过在系统调用函数的时候预先判断是否是PC单元程序进程的句柄,进而实现禁止强制关闭的功能。通常采用的自我保护方法是创建一个线程不停检测进程名(通过枚举进程列表),但这种方法占用资源比较严重,因此本发明采用拦截系统API函数的方法。举例说明,在强行关闭一个进程时系统调用的是BOOL WINAPI TerminateProcess(HANDLE hProcess,UINT uExitCode);如果利用钩子拦截TerminateProcess这个API函数,在系统调用这个函数的时候先判断是不是我们的PC单元程序进程的句柄就可以实现禁止强制关闭的功能。操作系统在调用BOOL WINAPI TerminateProcess(HANDLE hProcess,UINT uExitCode);之前必须要先调用HANDLE WINAPI OpenProcess(DWORD dwDesiredAccess,BOOL blnheritHandle,DWORD dwProcessId);在开进程的句柄,如果第一参数是PR0CESS_TERMINATE方式,说明是要强行结束此进程,因此也可以对用这种方法打开的调用进程进行分析,查看进程ID是不是系统不让关闭的进程的ID。创建一个DLL工程,使用windows核心编程里面的ΑΡΙΗ00Κ类,在DLL工程里加入一个WH_SHELL的钩子,它的作用是进程创建时将DLL文件插入到每一个进程里面,从而达到拦截API函数的目的。将DLL文件插入其它进程里,然后将Operfr0cess函数替换成用户自己定义的Operfrocess函数。用户的进程在运行时的进程ID是通过IpData- > dwProcessId = :GetCurrentProcessId();得到并以内存映射的方式传给DLL工程。DLL里面拦截了 OpenProcess函数里面的DWORD dwProcessId参数,如果这个数据是用户自己进程的ID就直接反回一个NULL值,也就是打开用户进程失败,这样系统就没有办法掉用TerminateProcess强行关闭用户的进程了。应用中,在PC单元上先安装好用于网络过滤检测的软件,同时在绿盾单元设置好过滤软件的路径和文件名,PC单元通过检测该软件是否启动进而判断系统是否已经安装用于网络过滤检测的软件并使其生效。以后PC单元就通过检测该软件是否启动以判断系统是否已经安装了用于网络过滤检测的软件并且软件是否已经生效。
权利要求
1.一种益于互联网应用信息安全的绿盾防控系统,其特征在于包括PC单元和绿盾单元,PC单元和绿盾单元通过串行总线传递数据,同时系统为绿盾单元设定专属的硬件ID 其中,PC单元包括密码设置单元、绿盾处理单元、网卡控制单元和指令控制单元;密码设置单元、绿盾处理单元、网卡控制单元和指令控制单元两两相连;密码设置单元用于设置及修改系统密码;绿盾处理单元用于挂载绿盾单元以及删除绿盾单元的挂载;网卡控制单元用于控制网卡;指令控制单元用于接收指令;另外,绿盾单元包括单片机和USB/串口转换单元;单片机为绿盾单元的核心处理模块,同时单片机包括相连的密码存储器和输入单元; 密码存储器用于保存系统密码,输入单元用于向PC单元的指令控制单元输入指令;USB/串口转换单元与USB总线连接,单片机通过USB/串口转换单元与PC单元进行通讯。
2.根据权利要求1所述的益于互联网应用信息安全的绿盾防控系统,其特征在于所述的PC单元预先设定一个虚拟串口,并通过该虚拟串口与绿盾单元进行通讯;同时,PC单元启动后,会向预设好的虚拟串口发送指令,当绿盾单元已与PC单元有效连接时,绿盾单元会收到PC单元所发送的指令并发送回应消息至PC单元;PC单元收到绿盾单元的回应消息后,即认为已与绿盾单元有效连接,继续进行余下的操作;同时,PC单元会重复以上步骤, 检测是否与绿盾单元有效连接。
3.根据权利要求1所述的益于互联网应用信息安全的绿盾防控系统,其特征在于系统启动后,只有当所述的绿盾单元所存储的硬件ID和密码跟PC单元内的设定匹配时,系统才启用网卡,对于绿盾单元不存在或者绿盾单元所存储的硬件ID和密码跟PC单元的设定不匹配时,系统将禁用网卡。
4.根据权利要求1所述的益于互联网应用信息安全的绿盾防控系统,其特征在于所述的密码设置单元将系统密码通过MD5算法进行加密,同时将加密后的密码存储到绿盾单元的密码存储器上。
5.根据权利要求1所述的益于互联网应用信息安全的绿盾防控系统,其特征在于所述的PC单元在同绿盾单元的连接中设置环形缓冲区,环形缓冲区的首尾相连,形成一个圆环,系统每次读取数据缓冲都会在环形缓冲区内搜索是否存在完整的数据帧。
6.根据权利要求5所述的益于互联网应用信息安全的绿盾防控系统,其特征在于所述的数据帧的前两个字节固定设置为两个特殊字符,作为有效数据的开始,辅助软件通过寻找两个特殊字符确定数据帧的起点;其中,在本系统的协议中,数据帧的前两个字节就是数据帧的识别码。
7.根据权利要求1所述的益于互联网应用信息安全的绿盾防控系统,其特征在于所述的PC单元通过校验码寻找数据错误,具体的校检码算法为数据帧中从命令开始到数据域结束的所有字节的算术和,取算术和最低字节的反码为校检码。
8.根据权利要求1所述的益于互联网应用信息安全的绿盾防控系统,其特征在于所述的网卡控制单元通过访问系统的硬件库获得硬件列表,并枚举硬件获得需要的接口,之后获得硬件的属性值,从而根据设备名称和硬件设备的对象名称找到网卡设备,来实现对网卡的禁用和启用操作。
9.根据权利要求1所述的益于互联网应用信息安全的绿盾防控系统,其特征在于所述的绿盾处理单元删除绿盾单元的挂载后,该绿盾单元将在PC单元中失效,同时该绿盾单元内的关于PC单元的密码信息也会被清除。
10.根据权利要求1所述的益于互联网应用信息安全的绿盾防控系统,其特征在于所述的PC单元通过拦截系统API函数的方式进行自我保护,具体为,通过在系统调用函数的时候预先判断是否是PC单元程序进程的句柄,进而实现禁止强制关闭的功能。
全文摘要
本发明公开了一种益于互联网应用信息安全的绿盾防控系统,包括PC单元和绿盾单元,PC单元和绿盾单元通过串行总线传递数据。其中,PC单元包括两两相连的密码设置单元、绿盾处理单元、网卡控制单元和指令控制单元。另外,绿盾单元包括单片机和USB/串口转换单元。单片机为绿盾单元的核心处理模块,同时单片机包括密码存储器和输入单元;密码存储器用于保存系统密码,输入单元用于向PC单元的指令控制单元输入指令。本发明能够对网络使用进行有效的管理,同时又非常的便于青少年的家长掌握和使用,能够更有效地发挥网络过滤监控系统的作用,可以还原一个绿色的网络环境,使青少年用户从网络中获取知识的时候不至受到不良信息的干扰。
文档编号H04L9/00GK102299790SQ201110243880
公开日2011年12月28日 申请日期2011年8月23日 优先权日2011年8月23日
发明者张世良, 黎瀚洲 申请人:张世良, 黎瀚洲