一种安全隔离控制计算机系统及方法与流程

本发明涉及信息安全领域，尤其是一种安全隔离控制计算机系统及方法。

背景技术：

随着计算机的普遍应用及双网办公的迫切需求，以切换器和隔离卡为代表的双网隔离计算机方案得到了一定程度的应用。但是由于架构本身的缺陷，现有安全隔离控制计算机产品存在严重的安全和泄密隐患，如果继续应用在国家政府机关等对信息保密要求高的重要机构，必然会对我国信息安全造成重大威胁。目前，具有隔离功能的同类产品主要采用网络接口隔离方式、简单物理隔离方式与隔离卡方式。

现有技术中现有网络接口隔离方式的缺陷,现有内外网计算机的网线的插头和插座都采用普通的rj45接口标准，因此，内外网计算机的网线可能会被误插，会直接导致内网主机内的敏感数据通过网线泄露到外网计算机，或者外网计算机的病毒或木马程序通过网线进入内网主机及网络。

两台独立的内外网计算机采用简单物理隔离方式的缺陷现有技术中有采用“简单物理隔离”的方式，即使用两台独立的计算机分别联接内网、外网进行工作。但这种方式既增加了物理空间和成本，又不方便使用。为此，人们又采用了双主机加键盘鼠标显示器切换器的方法，这种方案虽然在一定程度上方便了使用，但是仍然存在显著缺点。内网和外网主机缺乏统一的防护系统，不便对用户的操作进行纪录和回溯。需要两套独立的主机和电源，增加了物理空间，能耗和成本。

为了解决这些问题，采用隔离卡进行内外网隔离的技术应运而生，主要原理是在计算机上使用一套cpu主板等主要部件，配备两套硬盘等存储设备，分别分配给内网和外网使用。利用隔离卡上的电子开关或电源开关，实现内网和外网的切换和隔离，这样虽然实现了利用一套cpu和主板等主要部件来进行内外网的分时工作，但是存在如下显著缺陷：隔离卡本身存在物理失效的可能，导致内外网信息隔离失败。内外网共享外网等外部存储设备，导致内外网信息隔离失败。内外网共享cpu和主板，它们内嵌存储部件，如cpu内的缓存，主板上的显存，主板上的闪存。前两者是易失性存储器，后者是非易失性存储器。对于非断电切换的第三代隔离卡，这三者都构成了内外网间的隐蔽信道。对于断电或重启切换的第三代隔离卡，非易失性存储器也构成了内外网间的隐蔽信道，不满足国家对物理隔离相关标准的要求。

技术实现要素：

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本发明的一个目的是提供一种安全隔离控制计算机系统，能够克服现有技术中存在物理隔离方式占用物理空间大、能耗和成本高、存在安全和泄密隐患技术问题，实现了节省物理空间、能耗和成本，消除安全和泄密隐患的有益效果。

为此，本发明的第二个目的是提供一种安全隔离控制计算机方法。

本发明所采用的技术方案是：

第一方面，本发明提供一种安全隔离控制计算机系统，包括：安全管控装置：分别与内网装置、外网装置、处理器装置、路由挑战应答管控装置电连接，用于外网网络的管控、外网装置与内网系统的usb通信管控，所述usb通信管控包括usb通信管控单元；内网装置：内网装置包括cpu、emmc、ddr、内网接口单元、外网装置通信接口管控单元，所述内网装置与所述安全管控装置连接，用于与内部网络通信；外网装置：外网装置包括cpu、硬盘、内存、外网接口单元，所述外网装置与所述安全管控装置电连接，用于与外部网络通信；处理器装置：与安全管控装置电连接，用于电连接所述外网装置或所述内网装置以构成外网计算机或者内网计算机；挑战应答管控装置：与安全管控装置电连接，用于与管控装置之间进行挑战应答。

进一步地，其中，外网接口单元与所述usb通信管控单元，包括外网装置通信接口、usb通信接口和切换接口。

进一步地，其中安全管控装置包括：切换装置，所述切换装置包括外网开关器件和内网开关器件，用于接收切换指令。

进一步地，所述内网开关器件包括设置在所述内网和所述处理器装置、管控单元之间的第一内网开关器件和设置在所述内网接口单元和所述处理器装置之间的第二内网开关器件；

所述外网开关器件包括设置在所述内网和所述处理器装置之间的第一外网开关器件和设置在所述外网接口单元和所述处理器装置之间的第二外网开关器件。

进一步地，所述处理器装置包括：处理器模块，与所述处理器模块通信连接的随机存储模块，以及用于复位所述处理器模块以及随机存储模块的复位模块。

第二方面，本发明提供一种安全隔离控制计算机方法，包括外网工作流程、内网工作流程；

进一步地，包括外网工作流程、内网工作流程。

进一步地，外网工作流程包括以下步骤：

管控装置控制电源按键瞬低，进外网操作系统界面。

s1：启动安全隔离控制计算机系统，进入内网系统显示界面，安全隔离控制计算机内部路由器与机房路由器自动进行认证；

s2：安全管控装置释放热点；

s3：安全管控系统启动挑战应答业务；

s4：安全隔离控制计算机系统释放鼠标键盘通信、触摸屏通信、外网通信业务，显示外网操作系统；

s5:安全管控装置关闭显示业务、禁用键盘鼠标、触摸屏、外网通信功能；

s6:安全管控装置控制电源按键瞬低，进外网操作系统界面；

进一步地，步骤s2和s3之间还包括步骤：

s1：计算机切换信号变为瞬低电平；

s2：安全隔离控制计算机系统进入外网系统界面，所有接口通信被禁用；

进一步地，步骤s4和s5之间还包括步骤：

安全管控装置控制电源按键变瞬低电平；

进一步地，步骤s6之后还要执行如下步骤：

s1:挑战应答装置和安全管控装置启用挑战应答业务；

s:2：安全管控装置释放键鼠、触碰、外网通信业务，关机。

内网工作流程包括以下步骤：

s1:安全隔离控制计算机系统启动，进入内网系统显示界面，安全隔离控制计算机内部路由与机房路由器自动进行认证；

s2:安全管控装置释放热点；

s3:挑战管控装置和安全管控装置之间启用挑战应答业务；

s4：安全隔离控制计算机系统释放鼠标接盘的通信功能与触摸屏通信功能；

s5:安全隔离控制计算机系统进行正常内网办公操作；

s6:电源按键瞬低，进入内网操作系统界面；

进一步地，步骤s5和s6之间还包括如下步骤：

s1:安全管控装置控制电源按键变瞬低；

s2:安全管控装置灭掉显示屏幕、断开键鼠功能与触碰功能；

进一步地，步骤s6之后还要执行如下步骤：

s1:挑战应答装置和安全管控装置之间启动挑战应答业务；

s2:安全管控装置释放鼠标键盘通信功能信与触摸屏通信功能，关机。

本发明的有益效果是：

本发明通过利用在计算机系统中设置管控装置的技术手段，克服现有技术中存在物理隔离方式占用物理空间大、能耗和成本高，存在安全和泄密隐患技术问题，实现了节省物理空间、能耗和成本，消除安全和泄密隐患的有益效果。

附图说明

图1是本发明一种安全隔离控制计算机系统实施例1示意图；

图2a-2c是本发明实施例一种安全隔离控制计算机系统实施例1管控系统io部分连接电路图；

图3是本发明实施例一种安全隔离控制计算机系统实施例1系统原理详细框图；

图4是本发明实施例一种安全隔离控制计算机方法实施例2外网工作流程图；

图5是本发明实施例一种安全隔离控制计算机方法实施例2内网工作流程图；

图6是本发明实施例一种安全隔离控制计算机方法实施例2usb接口安全管控流程图。

具体实施方式

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

实施例1：本发明一种安全隔离控制计算机系统，如图1所示，安全管控装置：分别与内网装置、外网装置、处理器装置、路由挑战应答管控装置电连接，用于外网网络的管控、外网装置与内网系统的usb通信管控，所述usb通信管控包括usb通信管控单元；内网装置：内网装置包括cpu、emmc、ddr、内网接口单元、外网装置通信接口管控单元，上述内网装置与安全管控装置连接，用于与内部网络通信；外网装置：外网装置包括cpu、硬盘、内存、外网接口单元，上述外网装置与所述安全管控装置电连接，用于与外部网络通信；处理器装置：与安全管控装置电连接，用于电连接外网装置或内网装置以构成外网计算机或者内网计算机；挑战应答管控装置：与安全管控装置电连接，用于与管控装置之间进行挑战应答。

其中，外网接口单元与所述usb通信管控单元，包括外网装置通信接口、usb通信接口和切换接口。

其中内网开关器件包括设置在内网装置和所述处理器装置、安全管控装置之间的第一内网开关器件和设置在内网接口单元和所述处理器装置之间的第二内网开关器件，用于电连接内网显示装置和所述处理器装置以及安全管控装置。

其中外网开关器件包括设置在外网装置和处理器装置之间的第二外网开关器件和设置在外网接口单元和所述处理器装置之间的第一外网开关器件，用于电连接外网显示装置和所述处理器装置。

其中，在安全管控装置中还包括切换装置，切换装置，包括外网开关器件和内网开关器件，上述切换装置用于接收切换指令；其中的内网开关器件，内网开关器件包括设置在内网cpu、emmc、ddr和处理器装置、管控单元之间的第一内网开关器件和设置在内网接口单元和处理器装置之间的第二内网开关器件，用于电连接所述外网装置和处理器装置；上述外网开关器件包括设置在所述内网硬盘、内存、cpu和所述处理器装置之间的第二外网开关器件和设置在所述外网接口单元和所述处理器装置之间的第一外网开关器件，用于电连接内网显示装置和所述处理器装置。

具体的，切换装置用于切换外网显示装置和内网显示装置之间的电连接以及外网显示装置和内网显示装置之间的电连接；用于切换外网触摸装置和内网触摸装置之间的电连接以及内网触摸装置和外网触摸装置之间的电连接；用于切换外网键鼠操作装置和内网键鼠装置之间的电连接以及所述内网键鼠装置和外网键鼠装置之间的电连接；

其中的切换装置可以包括设置在内网装置和处理器装置之间的内网继电器组件，以及设置在外网装置和处理器装置之间的外网继电器组件，以及控制上述内网继电器组件和外网继电器组件通断的控制器件。在本发明中，也可以采用其他开关器件，例如晶体管、开关管、逻辑开关等开关器件来代替继电器组件。上述外网装置和内网装置可以具有独立的存储单元和操作系统。其中的处理器装置可以包括处理器模块和随机存储模块。例如处理器模块可以采用rk3288，采用cortex-a17的cpu架构，1.8ghz的cpu频率，最新mali-t76x系列gpu的芯片。

处理器装置是采用了适合android以及windows系统开发的cpu，可提供外部连接接口例如usb接口、wifi接口、蓝牙接口，红外接口，以及显示屏接口、摄像机接口、音频接口、hdm接口和触摸屏接口。

如图2为管控系统io电路图，其中图2a为安全管控gpio整体电路图，用于安全管控装置对输入输出信号的控制。

图2b为安全管控装置usb输出到内网或外网装置电路io图，此电路是通过安全管控usb通信接口控制内外网的输入输出图，实现了通过安全管控装置控制内外网装置的目的。

图2c为挑战应答wifi模块接口图，因在挑战应答装置和安全管控装置之间需要挑战应答方式建立连接，在安全管控装置中设置挑战应答wifi模块接口，可以连接wifi模块，从而释放wifi热点，以便于挑战应答装置例如手机或者其他移动终端和安全管控装置之间建立通信连接进行相应操作。

图3为图1所示系统框图的内部系统详细框图，安全隔离控制计算机系统包括安全管控系统，内网装置、外网装置、处理器装置、挑战应答管控装置，其中安全管控系统中设有接口例如usb、网口、hdmi口、i2c接口等，其中usb口用于连接鼠标、键盘等usb接口设备，网口用于连接安全管控装置、外网装置以及内外网切换；hdmi接口用于连接处理器装置中的显示屏以及内网装置中相对应的hdmi接口；i2c接口用于连接触摸屏。

对于内网能正常工作，k1、k5断开，k2、k3、k4打开，k6、k7拨到内网通道；

对于外围能正常工作，k1、k5导通，k2、k3、k4打开，k6、k7拨到外网通道。

如图5为usb安全管控流程图，包括如下步骤：

s1:打开usb鼠标键盘以及hid设备；

其中提到的hid设备，在usb协议中，hid设备的定义放置在接口描述符中，usb的设备描述符和配置描述符中不包含hid设备的信息。因此，对于某些特定的hid设备，可以定义多个接口，只要其中一个接口为hid设备类即可，hid设备的特点如下表：

s2:获取鼠标键盘数据；

s3:键盘鼠标数据转换为hid协议数据；

当定义一个usb设备为hid设备时，需要对设备描述符和接口描述符进行设置，其中设备描述符一般设置如下参数即可：

bdeviceclass＝0

bdevicesubclass＝0

bdeviceprotocol＝0

s4：hid协议数据包封装；

s5:将hid数据包写到底层驱动；

s6：底层驱动通过usb发送到windons主机；

上述中的内网装置包括内网显示的cpu、emmc、ddr、内网接口单元、外网装置通信接口控单元。

上述外网装置包括外网操作系统的硬盘、内存、cpu和外网通信接口控单元。

所述处理器装置包括：处理器模块，与处理器模块通信连接的随机存储模块，以及用于复位处理器模块以及随机存储模块的复位模块。

实施例2：本发明的一种安全隔离控制计算机方法，包括外网工作流程、内网工作流程。

需要说明的是，本实施例中，高电平为外网模式，低电平为内网模式。

其中，外网工作流程如图4所示，包括如下步骤：

s1：启动安全隔离控制计算机系统，进入内网系统显示界面，安全隔离控制计算机内部路由器与机房路由器自动进行认证；

此步骤执行时，所有通信接口，包括用户界面接口涉及到的usb、网口、i2c被禁用，除显示与云平台连接的专网。

s2：安全管控装置释放热点；

上述热点主要是指wifi热点，用于手机登录无线进行启动挑战应答业务。

s3：安全管控系统启动挑战应答业务；

上述步骤中利用了挑战应答业务方式，其实质就是每次认证时认证服务器端也即本系统中的路由器，都给客户端例如手机及其他客户端设备发送一个不同的"挑战"字串，客户端程序收到这个"挑战"字串后，做出相应的"应答"，以此机制而形成的认证过程，其具体过程包括：

客户端向认证服务器发出请求，要求进行身份认证；

认证服务器从用户数据库中查询用户是否是合法的用户，若不是，则不做进一步处理；

认证服务器内部产生一个随机数，作为"提问"，发送给客户端；

客户端将用户名字和随机数合并，使用单向hash函数，例如md5算法，生成一个字节串作为应答；

认证服务器将应答串与自己的计算结果比较，若二者相同，则通过一次认证；否则，认证失败；

认证服务器通知客户认证成功或失败。以后的认证由客户不定时地发起，过程中没有了客户端认证请求一步，两次认证的时间间的密钥隔不能太短，否则就给网络、客户和认证服务器带来太大的开销；也不能太长，否则不能保证用户不被他人盗用ip地址，一般定为1-2分钟。

s4：安全隔离控制计算机系统释放鼠标键盘通信、触摸屏通信、外网通信业务，显示外网操作系统；

s5:安全管控装置关闭显示业务、禁用键盘鼠标、触摸屏、外网通信功能；

s6:安全管控该装置控制电源按键瞬低，进外网操作系统界面；

具体的，步骤s2和s3之间还包括步骤：

s1：计算机切换信号变为瞬低电平；

s2：安全隔离控制计算机系统进入外网系统界面，所有接口通信被禁用；

具体的，步骤s4和s5之间还包括步骤：

安全管控装置控制电源按键变瞬低电平；

具体的，步骤s6之后还要执行如下步骤：

s1:挑战应答装置和安全管控装置启用挑战应答业务；

其挑战应答认证方式同步骤s5。

s2:安全管控装置释放键鼠、触碰、外网通信业务，关机。

其中内网工作流程包括如下步骤：

内网工作流程如图5包括以下步骤：

s1:安全隔离控制计算机系统启动，进入内网系统显示界面，安全隔离控制计算机内部路由与机房路由器自动进行认证；

s2:安全管控装置释放热点；

上述热点主要是指wifi热点，用于手机登录无线进行启动挑战应答业务。

s3:挑战管控装置和安全管控装置之间启用挑战应答业务；

挑战应答认证过程同外网工作流程步骤s5所述。

s4：安全隔离控制计算机系统释放鼠标接盘的通信功能与触摸屏通信功能；

s5:安全隔离控制计算机系统进行正常内网办公操作；

s6:电源按键瞬低，进入内网操作系统界面；

s9:挑战应答装置和安全管控装置之间启动挑战应答业务；

挑战应答认证过程同上述步骤s3。

s10:安全管控装置释放鼠标键盘通信功能信与触摸屏通信功能,关机。

具体的，步骤s5和s6之间还包括如下步骤：

s1:安全管控装置控制电源按键变瞬低；

s2:安全管控装置灭掉显示屏幕、断开键鼠功能与触碰功能；

进一步地，步骤s6之后还要执行如下步骤：

s1:挑战应答装置和安全管控装置之间启动挑战应答业务；

s2:安全管控装置释放鼠标键盘通信功能信与触摸屏通信功能，关机。

本发明中实施例中，该安全隔离控制计算机系统可以采用以下配置：

以上是对本发明的较佳实施进行了具体说明，但本发明创造并不限于所述实施例，熟悉本领域的技术人员在不违背本发明精神的前提下还可做出种种的等同变形或替换，这些等同的变形或替换均包含在本申请权利要求所限定的范围内。