專利名稱:一種網(wǎng)絡安全系統(tǒng)及安全方法
技術(shù)領(lǐng)域:
本發(fā)明涉及的是一種網(wǎng)絡安全系統(tǒng),具體地說,涉及一種如何利用隔離方法及安全操作系統(tǒng)等手段,同時實現(xiàn)安全性與通用易用性合二為一的系統(tǒng)。
目前在計算機信息安全中,出于安全考慮實行內(nèi)部網(wǎng)(辦公網(wǎng)或機密網(wǎng))與外部網(wǎng)(例如,因特網(wǎng))進行物理隔離;或者在家用電腦中,需要內(nèi)部網(wǎng)(私密數(shù)據(jù),不一定連網(wǎng))與外部網(wǎng)(例如,因特網(wǎng))進行物理隔離。解決的方法有所謂的單硬盤方案及雙硬盤方案單硬盤方案是將單一的PC物理隔離成兩個虛擬工作站,分別有自己獨立的硬盤分區(qū)和操作系統(tǒng),并能通過各自的專用接口與網(wǎng)絡連接。它通過有效而全面地控制計算機的硬盤數(shù)據(jù)線,使得計算機一次只能訪問及使用其中的一個硬盤分區(qū),從而最大限度地保證了安全(內(nèi)網(wǎng))與非安全(外網(wǎng))之間的物理隔離。根據(jù)需要,還可以創(chuàng)建一個數(shù)據(jù)交換區(qū);雙硬盤方案是指在一臺計算機中安裝兩個硬盤,當需要使用內(nèi)部網(wǎng)時,用對應于內(nèi)部網(wǎng)的硬盤啟動,并接通對應于內(nèi)部網(wǎng)的網(wǎng)絡聯(lián)接(或不與網(wǎng)絡連接);當需要使用外部網(wǎng)時,用對應于外部網(wǎng)的硬盤啟動,并接通對應于外部網(wǎng)的網(wǎng)絡聯(lián)接。顯然,為了安全當外部網(wǎng)(或內(nèi)部網(wǎng))啟動后,使得內(nèi)部網(wǎng)(或外部網(wǎng))所使用的硬盤及網(wǎng)絡聯(lián)接,從物理上被隔離(即絕對不可使用,或不能有效地讀寫)。這樣實現(xiàn)了一臺計算機可以分時共用地使用內(nèi)部網(wǎng)及外部網(wǎng),同時保證內(nèi)外網(wǎng)物理隔離及內(nèi)部數(shù)據(jù)安全。本發(fā)明中把采用上述單、雙硬盤隔離方案的計算機稱之為分時共用隔離計算機。
網(wǎng)絡之間的物理隔離解決了網(wǎng)絡世界里黑客攻擊內(nèi)部網(wǎng)絡的問題。但是,內(nèi)部網(wǎng)絡比較大、結(jié)點計算機比較多以后,內(nèi)部網(wǎng)絡并不能防止內(nèi)部人員的攻擊。例如,可能的攻擊方法是攻擊網(wǎng)絡內(nèi)部中重要的計算機、竊取重要計算機的CA證書、瀏覽重要計算機硬盤中的信息、瀏覽重要計算機顯示器上的信息。由于重要計算機使用者的計算機信息安全水平相對不高,所以內(nèi)部人員的攻擊比較容易成功。解決的方法可以采用信息加密等技術(shù)手段。但是,解密后的重要信息是明文,還會出現(xiàn)在與網(wǎng)絡連接的計算機硬盤中或顯示器上。否則,重要計算機的使用者也不能使用這些信息。
在計算機信息安全中,我們總是要假定什么是安全的,什么是不安全的,只有這樣才能談到安全。現(xiàn)在普遍的安全共識是計算機硬件能夠滿足其功能,并且沒有嚴重危及安全的錯誤;計算機軟件,特別是操作系統(tǒng)有嚴重危及安全的錯誤。也就是說,我們相信計算機硬件,而不相信計算機操作系統(tǒng)等軟件。當操作系統(tǒng)不可信后,任何出現(xiàn)在用戶計算機中的信息均不可能絕對相信。
例如,當操作系統(tǒng)被黑客控制后,用戶用于表明身份的CA證書就有可能被盜竊。這樣網(wǎng)絡系統(tǒng)的任何安全手段就失去了一個最重要的基礎。一個可能的解決方案是,可以把CA證書做成一個固定的硬件(黑盒子),來保證它本身的安全。這樣,CA證書的確是不可能被盜竊的。但是,由于操作系統(tǒng)的不安全,CA證書顯然還是可以被盜用,即黑客控制操作系統(tǒng)進行非授權(quán)使用。所以,有人提出采取只有需要使用時,才使CA證書與計算機連接的方案,即把CA證書放入SMART卡中,使用時才插入計算機。由于操作系統(tǒng)的不安全,顯然這個方法也不是絕對安全的,即在用戶使用時,黑客仍然可能進行盜用---中間人攻擊。
另外,在電子政務和商務中,我們需要驗證網(wǎng)站的數(shù)字證書。對計算機使用者而言,只是需要一個計算機屏幕顯示的結(jié)果證書是否合法。但是,由于操作系統(tǒng)的不安全,黑客完全可以偽造一個結(jié)果給計算機用戶,誤導計算機用戶。計算機用戶所見的結(jié)果,可能是不真實的,發(fā)明人稱之為視覺詐騙。要使計算機用戶絕對相信屏幕上的信息,放心地進行數(shù)字簽名,必須使用絕對安全操作系統(tǒng)。但是,現(xiàn)實表明絕對安全的操作系統(tǒng)功能單一、不通用易用;而通用易用且功能多的操作系統(tǒng)則不可能安全。
所以,徹底解決內(nèi)部網(wǎng)絡信息安全和安全數(shù)字簽名的方法必須是使用兩臺計算機一臺計算機與網(wǎng)絡連接,通過網(wǎng)絡與其他計算機交換信息,并使用通常的操作系統(tǒng),該操作系統(tǒng)可能有安全漏洞;另外一臺計算機不與任何網(wǎng)絡連接,它把與網(wǎng)絡連接的計算機所得到的信息進行解密并使用,該臺計算機可以使用特殊的安全操作系統(tǒng)。顯然,為了節(jié)約安全成本,可以使用分時共用隔離計算機來實現(xiàn)兩臺或多臺計算機的功能。
本發(fā)明的目的是使用兩臺計算機,在解決與網(wǎng)絡連接的信息交換問題后,解決保證機密及隱私信息加密、解密和使用的安全問題。與網(wǎng)絡連接的計算機解決通用易用的問題,而用另一臺計算機專門解決安全問題,以達到通用易用與安全的統(tǒng)一。
根據(jù)本發(fā)明的一個方面,一種網(wǎng)絡安全系統(tǒng)它包括用于連接網(wǎng)絡的計算機主機;不與網(wǎng)絡直接連接的安全計算機;安全計算機與計算機主機之間的信息交換裝置;其中,計算機主機處理不涉及機密及隱私的信息,或通過網(wǎng)絡收發(fā)涉及機密及隱私信息的加密形式;安全計算機處理涉及機密及隱私的信息。
一般地,安全計算機中還有密碼系統(tǒng)及密鑰。使用安全計算機處理涉及機密及隱私的信息是進行身份認證、驗證數(shù)字證書(CA)、形成數(shù)字簽名信息、解密從網(wǎng)絡傳來的信息、形成加密請求、顯示解密信息、保存解密信息及打印解密信息。
較佳地,可以使用分時共用單硬盤隔離計算機來代替所述兩臺計算機。
可選地,可以使用分時共用雙硬盤隔離計算機來代替所述兩臺計算機。
更好地,可以使用物理隔離、實時在線切換計算機來代替所述兩臺計算機。
根據(jù)本發(fā)明的一個方面,一種安全使用信息的方法,它包括通過連接網(wǎng)絡的計算機主機從網(wǎng)絡獲得信息;通過連接網(wǎng)絡的計算機主機與安全計算機的信息交換裝置,把信息交換到安全計算機;通過安全計算機使用或處理信息。
根據(jù)本發(fā)明的一個方面,一種安全發(fā)送信息的方法,它包括通過安全計算機加密需要發(fā)送的信息;通過連接網(wǎng)絡的計算機主機與安全計算機的信息交換裝置,把信息交換到連接網(wǎng)絡的計算機主機;連接網(wǎng)絡的計算機主機把加密信息通過網(wǎng)絡發(fā)送。
下面參照附圖,描繪本發(fā)明。(雙機安全系統(tǒng))根據(jù)本發(fā)明第一種實施方式,用雙計算機實現(xiàn)網(wǎng)絡安全的系統(tǒng)如
圖1所示。其中1為信息網(wǎng)站(或網(wǎng)絡中其他計算機);2為網(wǎng)絡,包括網(wǎng)線、路由及交換機等網(wǎng)絡基礎設施,它是網(wǎng)絡中計算機信息交流的中介;3為網(wǎng)絡安全系統(tǒng),其中31為連接網(wǎng)絡的計算機主機,它可以使用普通的操作系統(tǒng),32為安全計算機,可以使用專用的安全操作系統(tǒng),它不與網(wǎng)絡直接連接,但與計算機主機連接并可交換信息;321為安全計算機32中的密碼系統(tǒng);322為安全計算機32中的密鑰,它與密碼系統(tǒng)321一起用于加密及解密信息。
信息可以在信息網(wǎng)站1中加密(或已經(jīng)加密的信息),通過網(wǎng)絡2傳送到計算機主機31,然后從計算機主機31傳送到安全計算機32。安全計算機32用存儲于其上的密碼系統(tǒng)321及密鑰322解密傳送過來的信息。最后,安全計算機可以正常處理加密后的信息(顯示、保存及打印)。
需要傳送到信息網(wǎng)站1的機密信息,可以在安全計算機中生成或利用已經(jīng)生成的信息,通過安全計算機32用存儲于其上的密碼系統(tǒng)321及密鑰322加密傳送該信息。并把該信息傳送到計算機主機31,通過網(wǎng)絡2傳送到信息網(wǎng)站1。
由于安全計算機中的操作系統(tǒng)是以絕對安全為設計目標,又不與網(wǎng)絡連接,所做的工作相當簡單,所以非常安全。顯然,加密解密系統(tǒng)可以采用密碼學中的各種體制、算法及協(xié)議。總之,就是把加密解密的運算都讓安全計算機在安全操作系統(tǒng)的管理下執(zhí)行。從現(xiàn)在來說,安全加密解密的工作可以是,CA簽名認證、CA簽名生成、信息加密解密(單密鑰體制或雙密鑰體制)。顯然,在安全計算機中顯示解密后的信息是比較合理的安全方法。通過這種系統(tǒng)和方法,可以把與安全不相關(guān)的工作(如網(wǎng)絡信息交換)交給計算機主機,而把與安全相關(guān)的工作及信息交給安全計算機。例如加密解密的算法程序、加密解密的硬件模塊、加密解密的密鑰及解密后的信息均只能出現(xiàn)在安全計算機中,而連網(wǎng)的計算機主機中不出現(xiàn)機密信息的明文,所以該系統(tǒng)是非常安全的安全系統(tǒng)。
這樣的系統(tǒng)構(gòu)成需要兩臺計算機。雖然保證了安全,但是成本較高。而且,對某些用戶來說,機密及隱私信息的使用并不頻繁。因此,可以采用分時共用計算機,達到既安全又經(jīng)濟的目的。據(jù)此,可以得到下面的實施例。(單硬盤安全系統(tǒng))根據(jù)本發(fā)明第二種實施方式,用分時共用計算機實現(xiàn)網(wǎng)絡安全的系統(tǒng)如圖2所示。其中1為信息網(wǎng)站(或網(wǎng)絡中其他計算機);2為網(wǎng)絡包括網(wǎng)線、路由及交換機等網(wǎng)絡基礎設施,是網(wǎng)絡中計算機信息交流的中介;3為網(wǎng)絡安全系統(tǒng)其中31為計算機主板,32為分時共用計算機的選擇切換裝置;33為安全硬盤區(qū)域可以使用專用的安全操作系統(tǒng);331為安全硬盤區(qū)域32中的密碼系統(tǒng);332為安全硬盤區(qū)域32中的密鑰,它與密碼系統(tǒng)331一起用于加密及加密信息;34為安全硬盤區(qū)域與連網(wǎng)公共硬盤區(qū)域信息交換的交換區(qū);35為連網(wǎng)公共硬盤區(qū)域可以使用普通操作系統(tǒng),該區(qū)域可以與網(wǎng)絡2相連接。
用戶啟動計算機,通過分時共用計算機的選擇切換裝置32選擇啟動連網(wǎng)公共硬盤區(qū)域35中的操作系統(tǒng)。這時安全硬盤區(qū)域從硬件上是不可讀寫,這保證了安全硬盤區(qū)域中的信息安全(參見發(fā)明專利ZL 94111461)。信息可以在信息網(wǎng)站1中加密(或已經(jīng)加密的信息),通過網(wǎng)絡2傳送到網(wǎng)絡安全系統(tǒng)3中,連網(wǎng)公共硬盤區(qū)域35中的操作系統(tǒng)把信息放到交換區(qū)34。重新啟動計算機,通過分時共用計算機的選擇切換裝置32選擇啟動安全硬盤區(qū)域33中的操作系統(tǒng)。安全硬盤區(qū)域中的操作系統(tǒng),使用交換區(qū)中的信息,用存儲于其上的密碼系統(tǒng)331及密鑰332解密傳送過來的信息。最后安全硬盤區(qū)域33中的操作系統(tǒng)計算機可以正常處理加密后的信息(顯示、保存及打印)。
用戶啟動計算機,通過分時共用計算機的選擇切換裝置32選擇啟動安全硬盤區(qū)域33中的操作系統(tǒng),把需要傳送到信息網(wǎng)站1的機密信息,可以在安全硬盤區(qū)域33中的操作系統(tǒng)中生成或利用已經(jīng)生成的信息,通過安全硬盤區(qū)域33中的操作系統(tǒng)用存儲于其上的密碼系統(tǒng)331及密鑰332加密傳該信息。并把該信息傳送到交換區(qū)34。重新啟動計算機,通過分時共用計算機的選擇切換裝置32選擇啟動連網(wǎng)公共硬盤區(qū)域35中的操作系統(tǒng)。通過網(wǎng)絡2傳送到信息網(wǎng)站1。
由于計算機安全硬盤區(qū)域中的操作系統(tǒng)是以絕對安全為設計目標,又不與網(wǎng)絡連接,所做的工作相當簡單,所以非常安全。顯然,加密解密系統(tǒng)可以采用密碼學中的各種體制、算法及協(xié)議??傊?,就是把加密解密的運算都讓計算機安全硬盤區(qū)域在安全操作系統(tǒng)的管理下執(zhí)行。從現(xiàn)在來說,安全加密解密的工作可以是CA簽名認證、CA簽名生成、信息加密解密(單密鑰體制或雙密鑰體制)。顯然,在計算機安全硬盤區(qū)域中顯示解密后的信息是比較合理的安全方法。通過這種系統(tǒng)和方法,可以把與安全不相關(guān)的工作(如網(wǎng)絡信息交換)交給計算機公共硬盤區(qū)域,而把與安全相關(guān)的工作及信息交給計算機安全硬盤區(qū)域。例如加密解密的算法程序、加密解密的硬件模塊、加密解密的密鑰及解密后的信息均只能出現(xiàn)在計算機安全硬盤區(qū)域中,而連網(wǎng)的計算機公共硬盤區(qū)域中不出現(xiàn)機密信息的明文,所以該系統(tǒng)是非常安全的安全系統(tǒng)。
顯然,可以用雙硬盤分時共用計算機。但是,雙硬盤分時共用計算機實現(xiàn)交換區(qū)需要另外增加存儲設備,與單硬盤分時共用計算機相比成本較高。
總的說來,使用分時共用計算機構(gòu)成網(wǎng)絡安全系統(tǒng),成本較低。但是,每次轉(zhuǎn)換均需要重新啟動計算機,這非常不方便。由于很多密碼協(xié)議需要進行多次密碼信息交換,所以這是一個應該且必須解決的問題。解決的方法應該是采用物理隔離、實時在線切換計算機---可信計算機、或信息安全計算機(參見待批發(fā)明專利ZL 01115545及ZL01117401)。分時共用計算機和物理隔離、實時在線切換計算機的實質(zhì)還是兩臺計算機,用兩臺計算機構(gòu)成網(wǎng)絡安全系統(tǒng),進行安全信息交換、信息加密和信息解密,可以有多種方法和多種應用。據(jù)此,可以得到下面的一個實施例。在以下的實施例中,均用計算機主機及安全計算機兩臺計算機來說明。但是,兩臺計算機的實現(xiàn)方法可以采用兩臺真實計算機,分時共用計算機,或物理隔離、實時在線切換計算機。(安全請求,安全回復)圖3中示出了根據(jù)本發(fā)明的一種流程圖。如圖3所示,該方法包括有步驟(1)在計算機安全硬盤區(qū)域中,生成請求信息;(2)用計算機安全硬盤區(qū)域中的密碼系統(tǒng)及密鑰加密該請求信息(或簽名該請求信息);(3)把已經(jīng)過加密的請求信息(或已簽名的請求信息)交換到主機;(4)主機把經(jīng)過加密的請求信息(或已簽名的請求信息)通過網(wǎng)絡傳送到信息網(wǎng)站(或連網(wǎng)的其他計算機);(5)信息網(wǎng)站(或連網(wǎng)的其他計算機)根據(jù)加密請求信息,或者根據(jù)加密請求信息的數(shù)字簽名進行身份認證;(6)根據(jù)身份認證,決定是否回答請求信息;(7)如果信息請求者有權(quán)利獲得信息,則把該信息加密,并通過網(wǎng)絡送回到主機;(8)主機接收到加密信息后,把該信息交換到計算機安全硬盤區(qū)域;(9)計算機安全硬盤區(qū)域通過其中的密碼系統(tǒng)及密鑰,解密相應的信息,然后計算機用戶正常使用解密后的信息。
在一個大的計算機網(wǎng)絡中,比較好的身份認證方法可能是CA。它實質(zhì)是利用公開密鑰體制密碼系統(tǒng)進行身份認證、數(shù)字簽名和信息加密??傊?,它有密碼算法及密鑰,這些信息是不能出現(xiàn)在計算機主機中,否則無法保證這些信息的安全,而這些信息的安全是網(wǎng)絡安全的核心。但是,保證這些信息的安全,并不一定能保證信息不被誤用。例如,我們可以把密碼算法及密鑰用硬件的方法做成黑盒子,它負責加密解密及簽名。但是,它不能自動、或很難決定什么信息是應該加密解密及簽名。
使用兩臺計算機,連接網(wǎng)絡的計算機主機和不與網(wǎng)絡連接的安全計算機,把通用易用與安全統(tǒng)一起來。用計算機主機保證通用易用,用安全計算機保證安全。
以上敘述了使用兩臺計算機解決安全問題的系統(tǒng)和方法。進一步,為了增強安全性,可以把加密、解密的工作放入SMART卡。把該卡插入安全計算機后,安全計算機才能利用存儲于該卡的密碼系統(tǒng)進行機密及隱私信息的處理。顯然也可以利用該卡實現(xiàn)安全操作系統(tǒng)對使用者的身份認證。進而實現(xiàn)網(wǎng)絡管理者對使用者的身份認證。
在網(wǎng)絡中,進行身份認證的方法可以是利用CA的方法,對不同的計算機可以給相應的CA證書,實現(xiàn)網(wǎng)絡對計算機的認證。另外,還可以對每個使用者也發(fā)一個身份認證的CA證書。這樣,網(wǎng)絡管理者可以對計算機及使用計算機的人均有可靠的認證,也可以進行相應的紀錄。這顯然是計算機審計的重要信息。同時利用CA證書的權(quán)利,就可以實現(xiàn)分級的機密信息管理及分發(fā)。還可以實現(xiàn)把機密信息發(fā)送到指定的計算機,甚至指定的人。
雖然本發(fā)明通過實施例進行了描述,但是本領(lǐng)域技術(shù)人員可在本發(fā)明的精神的范圍內(nèi),做出各種變形和改進,所附的權(quán)利要求應包括這些變形和改進。權(quán)利要求
1.一種網(wǎng)絡安全系統(tǒng),它包括用于連接網(wǎng)絡的計算機主機;不與網(wǎng)絡直接連接的安全計算機;計算機主機安全計算機之間的信息交換裝置;其中,計算機主機處理不涉及機密及隱私的信息,或通過網(wǎng)絡收發(fā)涉及機密信息及隱私信息的加密形式;安全計算機處理涉及機密及隱私的信息。
2.根據(jù)權(quán)利要求1的系統(tǒng),其特征在于使用安全計算機處理涉及機密及隱私的信息是進行身份認證、驗證數(shù)字證書(CA)、形成數(shù)字簽名信息、解密從網(wǎng)絡傳來的信息、形成加密請求、顯示解密信息、保存解密信息及打印解密信息、或其中任意組合。
3.根據(jù)權(quán)利要求1,2的系統(tǒng),其特征在于安全計算機是與計算機主機分時共用的隔離計算機。
4.根據(jù)權(quán)利要求3的系統(tǒng),其特征在于分時共用的隔離計算機是單硬盤隔離計算機。
5.根據(jù)權(quán)利要求3的系統(tǒng),其特征在于分時共用的隔離計算機是雙硬盤隔離計算機。
6.根據(jù)權(quán)利要求1,4的系統(tǒng),其特征在于安全計算機與計算機主機之間的信息交換裝置是單硬盤隔離計算機中的讀寫交換區(qū)。
7.根據(jù)權(quán)利要求1,5的系統(tǒng),其特征在于安全計算機與計算機主機之間的信息交換裝置是采用輔助存儲設備(如UBS硬盤、USB盤、FLASH內(nèi)存、內(nèi)存等)連接分時共用隔離計算機。
8.根據(jù)權(quán)利要求1的系統(tǒng),其特征在于安全計算機與計算機主機之間的信息交換裝置是采用接口連接(如UBS口,串口,并口,網(wǎng)卡等)連接兩臺計算機。
9.一種安全使用信息的方法,它包括(1)通過連網(wǎng)計算機主機從網(wǎng)絡獲得信息;(2)通過連網(wǎng)計算機主機與安全計算機的連接把信息交換到安全計算機;(3)通過安全計算機使用信息。
10.根據(jù)權(quán)利要求9的方法,所述信息是經(jīng)過加密處理的信息,并在(3)使用之前,需要進行相應的解密步驟。
11.根據(jù)權(quán)利要求9,10的方法,所述通過安全計算機使用信息是進行身份認證、驗證數(shù)字證書(CA)、解密從網(wǎng)絡傳來的信息、顯示解密信息、保存解密信息及打印解密信息、或其中任意組合。
12.一種安全發(fā)送信息的方法,它包括(1)通過安全計算機加密需要發(fā)送的信息;(2)通過連網(wǎng)計算機主機與安全計算機的連接把信息交換到連網(wǎng)計算機;(3)連網(wǎng)計算機主機把加密信息通過網(wǎng)絡發(fā)送。
13.根據(jù)權(quán)利要求12的方法,所述通過安全計算機加密需要發(fā)送的信息形成數(shù)字簽名信息、形成加密請求、或其中任意組合。
全文摘要
本發(fā)明提出了一種利用物理隔離方法及安全操作系統(tǒng)等手段,實現(xiàn)了安全與通用易用合二為一的系統(tǒng)。它采用兩臺計算機及信息交換手段,用連接網(wǎng)絡的計算機主機處理不涉及機密及隱私的信息,或通過網(wǎng)絡收發(fā)涉及機密信息及隱私信息的加密形式;不與網(wǎng)絡連接的安全計算機處理涉及機密及隱私的信息。
文檔編號G06F21/62GK1503143SQ02138659
公開日2004年6月9日 申請日期2002年11月26日 優(yōu)先權(quán)日2002年11月26日
發(fā)明者通 邵, 邵通 申請人:南京易思克網(wǎng)絡安全技術(shù)有限責任公司