专利名称:防网络被动泄密的个人计算机系统及其方法
技术领域:
本发明涉及双主机的个人计算机系统,特别是具有防网络被动泄密的个人终端双主机计算机系统。
背景技术:
成熟的双主机计算机系统伴随计算机系统硬件的模块化和标准化,以及集成电子技术的成熟,如今的个人计算机系统已经成熟;在满足单个计算机系统的基础上,借助服务器的模式,也发展成多种双计算机系统。模块接口的标准化和电子技术的发展,计算机系统的附件也快速发展,比如KVM,以及为双计算机系统提供一套共用的显示器、鼠标、键盘的私有切换器。 这种双主机计算系统虽然可以通用一套外设,但是双主机之间要么相互独立、要么相互通信,彼此之间的安全依赖传统的计算机系统中的安全程序。计算机系统中安全程序网络化、信息化带来安全问题,为了有效降低安全风险,各种各样的安全工具层出不断,从单一的保护目标向多个保护目标。常规的安全程序有防火墙;防病毒;桌面控制系统;硬盘加密系统;操作系统加固(安全操作系统);甚至要与硬件捆绑,建立可信平台。防火墙基于PC操作系统的防火墙软件以一定的规则来拒绝或允许程序对某些资源的访问以及操作权限。对大部分的非法访问实用性很高。但是当操作系统被突破或是配置访问控制不够足够完美,尤其是非专业的广大的使用者来说,系统中的木马程序或网络蠕虫就有机会从某个漏洞控制系统,将电脑PC中的资料悄悄转移到其它地方,形成资料被动泄
LU O防病毒目前的病毒库能够检测大部分病毒,特别是流行病毒。但是不管是采用蜜罐技术、行为特征分析、特定标识字符串或其它技术获取的入侵检测,存在病毒库或是行为特征滞后,给网络被动泄密留下时间窗口。虽然当前很多所谓主动防病毒技术有一定的进步,但目前仍然是初始阶段,并且太多的限制,对不断打操作系统补丁、应用程序升级以及网络程序等与操作方便冲突。加密工具加密工具在访问或是硬盘丢失等情况下,具有保护信息不外泄的重要作用。但是不管硬盘加解密、网络加解密,在实际的应用中的通用办公软件,比如微软的office等都需要明文信息,而这些工具为了速度往往都有明文缓存,因为加密工具并没有在整个安全链中保障明文信息的泄密。桌面控制系统有效控制非授权任务或特殊系统资源的执行。但是当操作系统未公开的途径被某些病毒或是蠕虫利用,以系统内核合法的身份作非法访问,桌面控制系统也无能为力。网络交换设备
1986年思科生产第一台路由器,1994年第一台交换机,到目前网络交换市场是百花齐放。特别在国内的网络设备异军突起,中低端的网络交换设备技术在国内比较成熟,图2所示为低端交换机设计系统概要图所示。网络交换设备芯片为网络交换提供了多种灵活的控制手段,满足不同的需要。其基本的原则是处理器处理协议报文和配置管理;而ASIC芯片根据处理器指定的规则或路由进行数据转发,包含转发给目的地是处理器的数据转发。就网络设备的安全来说,目前主要是通过伪造路由报文等来扰乱网络设备的路由导致网络混乱;还有一种是通过协议包等需要处理器处理的报文,对网络交换设备的控制中心入侵。到目前,很少有对数据转发芯片进行攻击的入侵。因此,如果没有动态路由、处理器不接收网络数据包,网络交换设备的安全有保 障。上面分别概述双主机系统的计算机、个人主机安全措施以及网络交换设备的安全。由于操作系统本身具有漏洞,以及流行的Window操作系统的源代码不可见性,基于操作系统之上的安全程序在安全控制中存在被绕过的风险,以及安全程序本身的安全问题或是复杂的配置管理与使用简单矛盾,而一旦任何软件被病毒、木马、蠕虫和间谍软件突破,这些病毒、木马、蠕虫和间谍软件就可能控制和使用整个计算机资源。因此,计算机上网的需要决定了必须接受计算机的任何软件因安全被突破而带来整个计算机失控的事实,而如何提供一个允许计算机系统被入侵,但不能影响网络生活、网络工作,还能阻止因为入侵而导致计算机系统中的重要信息被动泄密到网络的计算机系统是急需解决的问题。
发明内容
个人电脑防网络被动泄密系统包含普通的计算机系统A和B,以及连接A和B的单向交换机C。交换机C是一个不能管理的封闭式系统,不接收外界的任何管理信息;但是交换机的ASIC交换芯片提供两个普通以太网端口 d和e,端口 d只接收数据报文,并且通过端口 e转发出去;端口 d不输出数据;端口 e不接收数据,即使收到数据也抛弃;端口 e只输出从端口 d接收的数据。负责将与既没有CPU,也没有操作系统,是一个ASIC交换芯片为主体,并且交换芯片的所有的单向转发规则需要通过专用工具写入芯片EEPROM中,因此这个单向交换器C本身具有极高的安全性。防网络被动泄密计算机系统遵循网络互联完全开放性,提供一个独立的计算机系统A与外界互联网相连;同时为了满足计算机系统内部的私密性,拒绝用户不知情的情况下的被动泄密,将提供一个独立的计算机系统B,计算机系统B既可以独立存在不与任何网络相连,也可以与内部的可信网络进行连接。任何需要通过公共网络(即是没有安全保障,比如现在的internet网络)获取的高安全信息Ml (或是高私密信息)需要计算机系统A直接获取,但不使用;M1以文件的方式暂时存放在计算机系统A,然后通过没有反馈的文件传输协议T将Ml通过不能配置管理的单向交换器C传送到计算机系统B,然后在私有的与公共网络隔离的环境下安全使用。如果要将计算机系统B上的任何信息通过公共internet网络传送到目的地,都必须通过移动存储设备D (比如优盘)从计算机系统B上的USB接口获取,再手动移动到计算机系统A上的USB接口,实现数据从计算机系统B转移到计算机系统A。计算机系统B不能通过网络的方式将数据传送给计算机A,即使计算机系统B强制发送数据给交换机C,不可配置管理的交换机C将拒绝转发。因为不可配置的交换机C的不可配置管理性,让试图通过入侵交换机C修改配置来实现计算机系统B的数据可以到达计算机系统A的可能性为零。为了通用性,计算机系统A、B与单向传输交换机C的接口为普通的以太网端口。单向传输交换机C置运行数据从计算机系统A传送到计算机系统B,计算机系统A就获取不到计算机系统B数据层的信息,也无法获取协议层的反馈信息,导致传统的可以用于文件传送协议(比如Http,FTP,TFPT,邮件传送协议)失效,因此我们提供一个无反馈的单向文件传输协议T来传递文件,这个协议具有如下的性质
(I)协议包含两部分发送端和接收端;
(2)发送端接收不到接收端的反馈信息;(3)接收端不给发送端发送反馈信息;(4)发送端可以同时异步传递多个文件;(5)接收器端可以可以同时接收多个文件;(6)接收器端具有校验文件的完整性以及简单的纠错能力;(7)接收端具有识别指定客户端的信息发送端可以指定用于内部交互的网卡、指定套接口、指定本端口 IP、指定组播IP、组标示字符串以及加密算法。如果不提供将利用缺省值。发送端发送的头为
Structure file_header_sι int random;
char protocol_flag[4j ; /*字符串 TRUE*/
int version;
int file—len;
char timer[8];
int current一num;
int max—num;
int content一crc;
int head_crc;
}如果是第一个包,则包含如下文件的相关信息Struct file—description—s
f
int current_num; int max_num; char filename[256」;
}
如果是第二个之后的数据包,则为下面的结构
Struct file_content_s
int current—num; int max—num; char data[256J;
I为了安全与高效,file_header_s的内容将是明文,通过发送端的IP和这个报头的时间戳timer来区别一个文件。第一个报文包含file_header_s 和 file_description_s 两部分内容。当发送端确定一个需要发送的文件后(如果是文件夹,文件夹压缩为一个压缩文件),取系统的时间,包含年月日小时分钟秒钟微秒存放在timer中,protocol_flag强制为” TRUE”,file_len为需要发送文件的具体大小,current_num开始为O, max_num为文件的长度与256的整数倍。同时准备 file_description_s 的内容,current_num 为 O, max_num 与 file_header_s的max_num—样,同时将文件名放入file_description_s的data中。准备好file_description_s的内容后,利用本地的匹配字符串做为密钥,采用可选择的对称加密算法,对整个file_description_s的内容加密。因为得到file_description_s内容加密的加密内容,则可以算出这个file_description_s 内容的 CRC 校验值,放入 f ile_header_s 的 content_crc 中;再将 file_header_s中除开head_crc的其它内容作CRC校验,结果放入file_header_s的head_crc中。因为是组播报文,因此不需要目的具体MAC地址和IP地址,报文UDP使用的目的MAC是配置组播IP对应的MAC地址,目的IP是组播IP。源MAC为发送报文的网卡MAC,源IP为配置的网卡的IP,套接口号为配置的套接口。第一个包通过组播套接口从指定的网卡发送出去。第二个包开始是数据包,包含file_header_s和file_content_s两部分内容。file_description_s 以第一个包的 file_description_s 内容为基础。准备file_content_s 的内容,current_num 为 I, max_num 与 file_header_s 的max_num—样,同时将文件的第一块的256字符的内容读出来存储到file_content_s的data中。准备好file_COntent_S的内容后,利用本地的匹配字符串做为密钥,采用可选择的对称加密算法,对整个file_content_s的内容加密。
因为得到file_content_s内容加密的加密内容,贝U可以算出这个file_content_s内容的CRC校验值,放入file_header_s的content_crc中;因为目前是第一块数据报文,将 file_header_s 的 current_num设置为 I。再将 file_header_s 中除开 head_crc 的其它内容作CRC校验,结果放入f ile_header_s的head_crc中。发送第二个报文。如果文件没有发送完,继续通过第二个报文的发送方式准备file_COntent_S结构,只是根据具体的多少块数据修改f ile_content_s和f ile_header_scurrent_num。准备好就继续发送,直到结束。接收端采用组播接收到报文。首先做file_header_s内容检查,判断protocol_flag是否为” TRUE”,如果不是,·则直接丢弃。接下来将file_header_s中除开head_crc的其它内容作CRC校验值与head_crc比较,如果不同则丢弃;再将后面的内容计算CRC校验值,与content_crc做比较。相同则检查current_num,如果为O,则记录下file_header_s的timer,根据根据发送方的IP查找对应的字符串和解密算法,解密file_desCripti0n_s内容并作检查,根据文件名建立文件。同时保留file_header_s的信息。相同则检查current_num,如果不为O,则根据timer的信息找到建立的文件,做检查接收的序列号是否正确;根据根据发送方的IP查找对应的字符串和解密算法,解密file_content_s内容并作检查,根据数据块的地址将文件写入。不断接收报文,直到接收到文件传输的最后一个报文,将文件关闭。在此过程中,如果有任何的错误,则文件传输失败,记录哪个文件失败。单向传输交换机单向传输交换机以普通的交换机为基础,只是内部的配置是固定并且不能修改的;固定的配置是让交换机只能做单方向的数据传输。单向传输交换机以ASIC交换芯片提供两类数据接口 以太网端口 d和e。端口 d只接收数据报文,并且通过端口 e转发出去;端口 d不输出数据;端口 e不接收数据,即使收到数据也抛弃;端口 e只输出从端口 d接收的数据。单向传输交换机没有任何配置接口,所有的配置都提前写入EEPROM芯片,因为也是不可配置的。具体的配置,在常规的三层交换芯片基本满足,不管是Marvell公司的还是broadcom公司的,可以采用PVLAN或是ACL的方式都可以独立实现。
图I是防网络被动泄密的个人计算机系统图;图2所示为低端交换机设计系统概要具体实施例方式具体实施方式
一家庭中使用个人电脑防网络被动泄密系统购买双主机系统的计算机;
购买只有单向交换功能的交换机C。单向交换机内置于双主机系统机箱内。双计算机系统A和B,每个计算机系统包含两个网口,计算机系统A的两个端口为h和I,计算机系统B的两个端口为m和η,计算机系统A的I与internet网络连接,h然后将单向交换机C的端口 d连接;计算机系统B的m与交换机C的e端口连接。在计算机系统A上安装单向文件传输发送端,在计算机系统B上安装单向文件传输接收端。在计算机系统A上配置I端口 IP为192. 168. O. 100,套接口为10000,目标组播IP地址为235. O. O. O. 1,指定字符串名为“test”,可以选择传输的加密算法,比如3DES。在计算机系统B上配置m端口的IP为192. 168. O. 101,套接口为10000,目标组播IP地址为235. O. O. O. 1,接收来自192. 168. O. 100的匹配字符串名为“test”,可以选择传输
的加密算法,比如3DES。用户需要上网浏览网页,MSN聊天等,则用计算机系统A ;当从网络上下载资料文件f,在计算机系统A的发送端将这个文件f传输到计算机系统B.在计算机系统B上得到文件f。这样在计算机系统B上的工作信息不会被动泄密到internet网络上。如果需要将计算机系统B上的信息发z送到Internet网络的某个邮箱,可以在计算机系统B上加密等处理后,用U盘拷贝z,然后在计算机系统A上通过U盘发送到internet网络邮箱中。
具体实施方式
二 需要保密的企业员工使用个人电脑防网络被动泄密系统在某些科研单位,特别是与军工相关的课题,资料涉及保密,但是还需要与internet上与其他组织联系。购买内置单向交换机的双主机系统的计算机;双计算机系统A和B,每个计算机系统包含两个网口,计算机系统A的两个端口为h和I,计算机系统B的两个端口为m和η,计算机系统A的I与internet网络连接,h然后将单向交换机C的端口 d连接;计算机系统B的m与交换机C的e端口连接。在计算机系统A上安装单向文件传输发送端,在计算机系统B上安装单向文件传输接收端。在计算机系统A上的h端口通过DHCP协议获取连接Internet网络的局域网配置;配置A上I端口 IP为192. 168. O. 100,套接口为10000,目标组播IP地址为235. O. O. O. I,指定字符串名为“test”,可以选择传输的加密算法,比如AES。在计算机系统B上的η端口通过DHCP协议获取连接内部工作网终的局域网配置;配置m端口的IP为192. 168. O. 101,套接口为10000,目标组播IP地址为235. 0.0.0. 1,接收来自192. 168. O. 100的匹配字符串名为“test”,可以选择传输的加密算法,比如AES。用户需要上网浏览网页,MSN聊天等,则用计算机系统A ;当从网络上下载资料文件f,在计算机系统A的发送端将这个文件f传输到计算机系统B.在计算机系统B上得到文件f。这样在计算机系统B上的工作信息不会被动泄密到internet网络上。综上所述,本发明是在现有双主机计算机系统技术、交换机技术的基础上,通过提供非管理的单向交换功能与无反馈的单向文件传输协议T,解决计算机系统B可以通过计算机系统A间接与Internet网络连接。通过提供一个计算机系统A满足正常的网络生活、网络工作;同时允许计算机系统A和计算机系统B被入侵;但关键信息在计算机系统B上,而计算机系统B被交换机C阻断与internet网络相通,从而有效阻止计算机系统B上的信息被动泄密到网上。·
权利要求
1.一种防网络被动泄密的个人计算机系统及其方法,其特征在于系统包含普通的计算机系统A和B,以及连接A和B的单向交换机C。交换机C是一个不能管理的封闭式系统,不接收外界的任何管理信息;但是交换机的ASIC交换芯片提供两个普通以太网端口 d和e,端口 d只接收数据报文,并且通过端口 e转发出去;端口 d不输出数据;端口 e不接收数据,即使收到数据也抛弃;端口 e只输出从端口 d接收的数据。
2.根据权利I所述的防网络被动泄密的个人计算机系统及其方法,其特征在于引入的一个无反馈的单向文件传输协议T来传递文件。在协议T中包含但不限制于提供的安全和数据完整性方法。
全文摘要
防网络被动泄密的个人计算机系统及其方法涉及个人计算机网络信息安全技术领域,包含双主机个人计算机系统A、B和单向交换机C三部分;计算机系统A的一个网口与Internet网络相连,另外一个网口与单向交换机C相连;计算机系统B的一个网口与单向交换机C相连。单向交换机C是不可配置管理的,并且只接收A的数据转发给B。B发送给C的数据会被C丢失,C阻断B中的信息通过C被动泄密出去。提供从A到B的文件传输协议,B系统通过A获取间接与internet网络连接,重要信息在B系统上操作。系统满足网络生活、网络工作,允许计算机系统被入侵,但保障被入侵的计算机系统B中信息不会被动泄密到网络。
文档编号H04L29/06GK102904864SQ20111021646
公开日2013年1月30日 申请日期2011年7月29日 优先权日2011年7月29日
发明者龚华清 申请人:龚华清