一种在多个CPU之间传输数据的方法与流程

一种在多个cpu之间传输数据的方法
技术领域
1.本发明涉及一种在多个cpu之间传输数据的方法。


背景技术：

2.数据传输是所有it应用的基层功能。一般而言，数据传输可分为两大类：一类叫片间传输(类型ⅰ)，即数据在两个或两个以上的cpu之间进行传输。一类叫片内传输(类型ⅱ)，即数据在同一个cpu上的不同进程或任务之间进行传输。
3.类型ⅰ的数据传输，最典型的用户体验就是各种终端上的应用程序(如手机上的各种app)，同远端的服务器之间进行的数据传输。
4.类型ⅱ的数据传输，最典型的用户体验就是各种终端上的应用程序，通过“剪贴板”，将数据从一个应用或进程，传输到另外一个应用或进程中。
5.对于任何一个构建在操作系统之上的应用程序而言，都面临着基于类型ⅰ、类型ⅱ的数据传输的两个安全漏洞：
6.漏洞1：病毒利用操作系统上、应用系统上的安全漏洞，监控、盗取、篡改通过类型ⅰ传输的数据。这个漏洞产生的直接后果就是，中毒终端上的数据泄露。而通过“剪贴板”盗取数据，又是一种最常见的数据泄露方式。
7.漏洞2：病毒会利用操作系统上的安全漏洞，通过类型ⅰ的数据传输，从一个cpu传染到另外一个cpu上。这个漏洞产生的直接后果就是，病毒在一个网络空间的终端上，蔓延开来。
8.观察所有的病毒危害案件，可以发现病毒必然会利用类型ⅰ、类型ⅱ数据传输上的这两个安全漏洞，构成一个完成的攻击链条。如果有效封堵了以上两个安全漏洞，则整个病毒的攻击链条就会被彻底打断。但直到今天，业内并没有找到如何能有效封堵以上两个安全漏洞的方法。


技术实现要素：

9.为彻底封堵基于操作系统的应用程序，在数据传输过程中，必然具有的两个安全漏洞，本发明提供的了一种在多cpu直接进行数据传输的方法，用于封堵操作系统、应用系统上必然具有的两个安全漏洞。
10.本发明提供的封堵两个安全漏洞的方法是：
11.多个cpu共享一个用于传输数据的ram；在所述的多个cpu之间传输的数据都通过所述的ram完成数据传输。所述ram的数据总线通过一个控制模块同所述的多个cpu的数据总线相连。在任意一个时间段内，有且只有其中一个cpu通过控制模块，获得对所述ram的数据总线的独占使用权。获得独占使用权的cpu可以对所述ram进行数据的读/写操作。在此期间所述ram的数据总线同其他cpu的数据总线处于完全隔离的状态。所述的控制模块有红绿灯型控制模块和智能型控制模块两种类型。
12.所述的红绿灯型控制模块由控制模块和信息模块组成；控制模块实现各cpu对所
述ram数据总线的控制权的获取和释放。信息模块指示的信息包括但不限于当前数据总线的使用状态、ram的数据状态信息等信息。各cpu根据信号灯的指示，并按照既定的使用规则，独占或释放所述ram的数据总线，将数据写入或读出所述的ram。
13.所述的智能型控制模块上包括一个cpu，此cpu被标识为控制cpu。控制cpu的数据总线同所述ram的数据总线，没有任何形式的电气连接。既控制cpu无法读取所述ram上的数据。各cpu通过向控制cpu申请或接受控制cpu的控制指令，在控制cpu的调度下，获取所述ram数据总线的控制权。控制cpu的对各cpu使用所述ram数据总线的调度包括但不限于实现如下功能：
14.功能1：各cpu向控制cpu发送申请使用所述ram数据总线的请求信息，并在控制cpu设定的时间段内，使用所述ram数据总线。
15.功能2：各cpu在使用完毕所述ram数据总线后，向控制cpu报告使用完毕的信息。
16.功能3：各cpu接收控制cpu读取所述ram上数据的指令，并在控制cpu设定的时间段内，读取所述ram上的数据。
17.所述数据传输方法的优点是：
18.优点1：目前在两个或两个以上cpu之间传输数据，都必须基于一个相同的通讯协议来实现。本发明所述的传输方式，是在传统的基于通讯协议的数据传输模式之外，提供了一种基于共享ram的数据传输方式。这就使得，在两个或两个以上的cpu之间，特别是使用不同的操作系统的cpu之间，在没有通讯协议的条件下，也能实现数据传输。从而彻底解决了长期困扰it行的通讯协议上的存在的安全漏洞之苦。由此，所有基于通讯协议安全漏洞的攻击方式，统统作废。
19.优点2：对于采用本发明所述方法进行数据传输的多cpu系统而言，入侵到其中一个cpu的病毒，将不再能通过操作系统、应用系统上的安全漏洞，入侵或感染到另外一个cpu上，同时也无法盗取到传输到其他cpu的数据。
20.探测、侦查被感染的cpu的运行状态、相关参数，是病毒攻击的必备的前期准备动作。对于采用本发明所述传输数据方式的多cpu系统而言，无疑将会极大的提高感染到所述多cpu系统中其中一个cpu的病毒，探测整个系统上各个cpu运行状态、相关参数的难度。
21.优点3：困扰it行多年的、始终无法有效封堵的漏洞1、漏洞2将因本发明方案的使用而被永久的封闭。
22.优点4：本为同板多cpu之间的数据传输，提供了一个字全新的、不需要通讯协议即可实现的通讯方式。
23.本发明是业内首次给出的可用彻底封堵数据传输安全漏洞的技术方案。
附图说明
24.图1：串行的片间传输(类型ⅰ)的多cpu的连接示意图。
25.图2：并行的片间传输(类型ⅰ)的多cpu的连接示意图。
26.图3：片内传输(类型ⅱ)的cpu连接示意图。
27.图4：一种三cpu的红绿灯型控制模块的连接示意图。
28.图5：一种智能型控制模块的连接示意图。
29.图6：一种由图3演变而来的三cpu的红绿灯型控制模块的手机app的加密键盘、核
心敏感数据的管理方案示意图。
30.图7：一种由图5演变而来的新型防火墙的结构示意图。
具体实施方式
31.图1是串行的片间传输(类型ⅰ)的多cpu的连接示意图。
32.手机同服务器连接，就是图1连接示意图在日常生活中的典型表现。
33.其中：“cpu1+ram1”就构成了手机的基本架构。“cpun+ramn”就构成了服务器的基本架构。“cpui+rami(i＝2、3、
……
n-1”就构成了路由器的基本架构。手机传输数据到服务器的数据传输过程就是，手机将数据传输到路由器2，路由器2将数据传输到路由器3
……
直到“路由器n-1”将数据传输到服务器。通过上述过程的逆过程，服务器就可将数传输到手机。在这种数据传输方式中，入侵到手机、路由器的病毒，都有可能借用漏洞1、漏洞2盗取到手机同服务器之间的通讯数据。
34.当然在一个包含多cpu的电子版上也可以采用图1的连接方式
35.图2是一种并行的片间传输(类型ⅰ)的多cpu的连接示意图。
36.在图2的连接方式中，多个cpu通过一条公用的数据总线连接起来，在某个时段内，实现点对点或单点对多点的数据传输。
37.图3是片内传输(类型ⅱ)的cpu连接示意图。
38.手机就是一个图3连接示意图的典型表现。在这种连接示意图下，数据在同一台手机上的不同应用、进程之间进行数据传输。两个典型表现。表现1：验证短信的验证码通过“剪切板”输入到验证码输入页面。表现2：在操作系统的作用下，数据块从ram地址1写到地址2。
39.需特别说明的是，
40.第一：在一个it系统中，基于图1、图2、图3示意图的数据传输方式，普遍存在。
41.第二：在图1、图2示意图中，运行于各个cpu的操作系统之上的应用程序，绝大多数都是通过操作系统提供的通讯协议，完成数据传输。最典型的就是各种手机app，都是通过tcp/ip协议完成同服务器之间的数据传输。
42.第三：不管图1、图2中的cpu上运行的是什么操作系统，都必须准守相同的通协议。
43.第四：对于一次成功的病毒攻击，在其攻击链条中，必然包含如下三个攻击手段，且这三个攻击手段都达到其攻击目的。
44.手段1：在图3中，入侵到cpu1的病毒，利用操作系统、应用系统上的安全漏洞，对感染设备进行探测。
45.手段2：在图1、图2中入侵到cpu1的病毒，利用操作系统、应用系统上的安全漏洞，将探测到的数据，传输到远端的服务器上，并根据探测到的数据，迭代感染病毒，以扩大病毒的攻击功效。
46.手段3：在图1、图2中入侵到cpu1的病毒，利用操作系统、应用系统上的安全漏洞，感染、入侵到其他cpu上，以扩大病毒感染的设备数量。
47.换而言之，对于防守方而言，只要能有效防御三个攻击手段中的一个，就可以对病毒攻击实施有效的防御。但从多年网络安全攻防大战的现实看，防守方至今尚未找打长期有效的防御方案。令人沮丧的是因技术的发展进步，操作系统、应用系统上的安全漏洞不断
被发现。
48.图4是一种三cpu的红绿灯型控制模块的连接示意图。
49.在图4中,各cpu之间的数据传输，都通过他们通过红绿灯型控制模块的ram进行。既源cpu将要传输的数据在其独占ram数据总线期间，写入ram。目标cpu在其独占ram数据总线期间，将ram中的数据读出。各cpu的读写操作，依红绿灯型控制模块上给出的控制信息进行。
50.图5是一种智能型控制模块的连接示意图。
51.在图5中，各cpu在控制cpu调度下，获得ram数据总线的控制权，将需要传输的数据写入ram，或将接收的数据从ram中读出。
52.需要特别说明的是：
53.第一：在图4、图5中，各cpu之间的数据传输，都通过ram进行。控制cpu同ram之间，没有数据总线。这就从机制上保证了控制cpu永远都不可能读取到ram中的数据。
54.第二：各个cpu之间的数据传输将不再依靠通讯协议，这就使得使用于本发明所述的应用场景下的cpu上的操作系统，可以进行系统瘦身，既将操作系统中用于本发明所应用场景的通讯协议去除。对于用户而言，则永远将不再需要担心操作系统中通讯协议上的安全漏洞的影响。
55.下面结合具体实施例对本发明内容进行详细说明。
56.实施例1：手机app的加密键盘、核心敏感数据的管理方案。
57.以下几个威胁，始终威胁着各种各样的手机app的安全。
58.威胁1：手机操作系统上的安全漏洞，永远都是攻击方的攻击要点和可利用的资源。自从智能手机问世以来，所有的手机app始终都处于手机操作系统上的安全漏洞的威胁之下。
59.威胁2：手机app的键盘输入、保证手机app安全运行的核心敏感数据，不但是手机病毒的攻击目标，也是某些不良app或被病毒感染的app攻击目标。
60.时至今日，所有同财物相关的app，都被以上两个威胁所困扰。
61.图3就是手机的基本架构，多年的攻防实践已经证明，如果手机架构不做出根本改变，以上两个威胁就不可能从根本上得到消除。换而言之，无论是手机app的用户还是网络应用供应商，始终都处于两个威胁的阴影之下。
62.图6是一种由图4演变而来的新型的手机架构。其中cpu1上实现app的主要的业务功能。cpu2实现app业务中的核心敏感数据的处理。cpu3则用于管理核心敏感数据。
63.以手机网银app为例，登录、查询、网银业务功能的启动等操作皆在cpu1上通过key1完成。登录账号识别id等核心敏感数据，存储在cpu3上。cpu2用于处理转账业务信息的输入、加密、解密的工作。完成此项工作中需要输入的相关参数，从key2输入。
64.在这个架构下，cpu2只要采用无操作系统的cpu或其他技术手段保证cpu2永远都不会被病毒感染，即可达到如下安全特性：
65.安全特性1：入侵到cpu1的病毒或不良app，永远都无法检测到key2上输入的数据。
66.安全特性2：入侵到cpu1的病毒或不良app，永远都无法侦查到由cpu2构成的一个核心敏感数据处理器的数据工作过程。
67.安全特性3：入侵到cpu1的病毒或不良app，永远都无法盗取到由cpu3管理的登录
账号识别id等核心敏感数据。
68.安全特性4：在图3中因操作系统内存管理不善而照成的数据泄露，在图6中的cpu2上永远都不会出现。
69.实施例2：一种新型架构的防火墙
70.防火墙是当下分割内、外网，保证内网安全的标配设备。各种各样的防火墙，基本上都可以分割为图1、图2、图3。不管结构如何，操作系统、应用系统上的安全漏洞则始终存在。业内至今并未找到能长期有效的封堵防火墙的操作系统、应用系统上的安全漏洞的方法。
71.从图5连接示意图可以拓展到图7构成一种新型架构的防火墙。
72.在图7架构的防火墙中，控制cpu、cpu3需选用无操作系统的cpu以确保控制cpu、cpu3永远都不会被病毒感染。从而确保入侵到cpu1、cpu2、cpun的病毒，永远都无法对控制cpu、cpu3的工作状态进行探测。
73.在图7架构的防火墙中，cpu1、cpu2分别控制两条外网通讯线路。在两个图7架构的防火墙通过公网进行数据传输时，传输数据被分为两份，分别通过cpu1、cpu2控制的两个数据通道进行传输。两个数据通道，分别有不同的网络运营商是本实施例的优选方案。两个不同运营商的数据通道，可以保证攻击方在公网拦截数据时，在任何一个入侵点，都无法拦截到全部数据。cpu3控制一条高安全等级、小数据流量的数据通道，如北斗短信。这个数据通道，主要用于传输密码、数据校验核等重要的核销敏感短数据数据。cpun控制内网数据通讯。
74.两个通讯点，通过图7架构的防火墙进行通讯时，传输过程如下：
75.第一步：内网发送的数据，在cpun的控制下，通过ram，传输到cpu3。cpu3将数据分拆为两个数据流，通过ram分别传输到cpu1、cpu2。在传输过程中，cpu3分别计算出两个数据流、总数据流的校验值。并将校验值通过cpu3控制的高安全等级、小数据流量的数据通道，如北斗短信传输到图7结构的接收方防火墙的cpu3处。
76.第二步：图7结构的接收方的防火墙的cpu1、cpu2将收到的两个数据流，通过ram送入到cpu3中。cpu3用收到的两个数据流、总数据流的校验值进行校验。校验通过，则将合并后的总数据流，通过ram传输到cpun，cpun将总数据流，送入内网。校验不通过，则将将收到的数据抛弃。
77.图7架构的防火墙同现在所有在役防火墙相比，最大的优点就是：
78.优先1：控制cpu、cpu3的技术特征，保证了这两个cpu不会被病毒感染。对于入侵到cpu1、cpu2的病毒而言，无法探测到完整的传输数据；对于入侵到cpun处的病毒而言，无法探测到cpu3处数据分拆/汇总的工作情况。
79.优点2：内网、外网至今有了一个清晰明了的技术边界。现在以及未来的操作系统上的安全漏洞，都无法跨越这个清晰明了的技术边界。
80.优点3：传统的软件模块化，是以实现的软件功能为主要划分指标，图7结构的防火墙，首先是以cpu为划分指标。既在做整体设计时，首先要确认需要多少个cpu，每个cpu上实现什么功能。后期升级、维护、迭代是以cpu为基本单位进行。这样的模块化更为清晰明了，维护更加便利。