防黑客计算机设计制造技术

公开了一种用于实现防黑客计算装置的计算机结构。可以是大型计算机、个人计算机、智能手机、或者适用于网络通信的任何其他的计算装置的计算装置包含第一分区和和第二分区。第二分区能够通过例如互联网的网络而通信。相比之下，第一分区不能连接到互联网，并且能够仅仅与第二分区通过总线直接通信或者与直接连接到第一分区的输入/输出装置直接通信。进一步，第一分区将它的存储器寻址分割为计算机可执行代码，关键数据文件，以及从第二分区读取的数据文件。第二分区被硬件限制不能从第一分区的存储器寻址读取或者向第一分区的存储器寻址写入。结果，存储在第一分区上的关键数据文件和程序代码被保护防御感染第二分区的恶意代码。

【技术实现步骤摘要】
【国外来华专利技术】防黑客计算机设计相关申请的交叉引用本申请要求2015年8月31日提交的第14/841，469号美国专利申请的权益。
公开了一种用于实现防黑客计算装置的计算机结构。
技术介绍
潜入计算机的常用方法是通过借助于互联网或者其他的网络连接将恶意的计算机可执行代码(恶意软件)置入计算机。这种入侵已经成为主要的威胁，并且入侵的主要情况已经被广泛报导。阻挠这种入侵的广泛流行的方法依赖于软件来识别和禁用或者删除恶意软件。然而，黑客正在变得越来越富有经验，并且通常的保护是不足够的。因此，在本领域中具有对利用硬件方法的防黑客计算机系统结构的需要。这种硬件方法将对用于各种应用的各种计算机可用。例如，使用本专利技术中公开的硬件方法的银行、公司、政府机构、或者个人将被更好的保护，防御可能企图控制他们的计算机以窃取或者破坏存储在计算机上的机密数据、个人信息、或者密码的黑客。本文公开的硬件方法保护防御黑客至利用当前基于软件的解决方案不可能达到的程度。
技术实现思路
用于实现防黑客计算装置的计算机系统结构被公开。计算机系统结构通过限制关键数据文件对互联网的直接访问的硬件，以及分割关键数据文件、从互联网接收的文件和计算机可执行代码的存储地址的硬件，防止从互联网接收的恶意计算机可执行代码访问或者感染关键数据文件。可以是大型计算机、个人计算机、智能手机、或者适用于网络通信的任何其他的计算装置的计算装置包含第一分区和第二分区。第二分区能够通过例如互联网的网络而通信。相比之下，第一分区能够直接与第二分区通过总线通信，或者与直接连接到第一分区的输入/输出装置通信。结果，第一分区被硬件限制不能连接到互联网以及任何其他的装置，例如连接到互联网的服务器。由第一分区对互联网的所有访问受限于第一分区和相比之下能够连接到互联网的第二分区之间的硬件连接。进一步，第一分区包括利用操作系统将第一分区的存储地址分割为三个部分的硬件电路，该三个部分为计算机可执行代码；存储在第一分区上的关键数据文件；以及通过总线从第二分区读取的数据文件。本方法也能够受到第一分区中三个分立的存储单元的使用的影响。为了保护关键数据文件，第二分区被硬件限制不能从第一分区的存储器寻址读取或者向第一分区的存储器寻址写入。来自第二分区的数据通过由第一分区的操作系统执行的“拉取”命令而被传送至第一分区。进一步，第二分区不能够将数据“推送”至第一分区或者控制第一分区发送“拉取”命令。通过硬件设计，由第一分区从第二分区拉取的所有数据被存储在专门用于从第二分区读取的数据文件的第一分区的存储器部分中。进一步，通过硬件限制，第一分区防止从第二分区读取的数据文件被执行。结果，存储在第一分区上的关键程序和关键数据文件被保护，防御来自互联网或者来自任何其他来源的感染第二分区的恶意代码。附图说明将引用附图进行详细的说明，其中：图1说明了示例性的网络图；图2是根据本专利技术的各个实施例的描绘用于实现防黑客计算装置的计算机系统结构的框图；图3描绘了根据优选实施例的计算装置的存储器寻址；图4是描绘根据优选实施例的进程的流程图；图5是描绘了适合于利用现有计算机结构的计算装置使用的本专利技术的实施例的框图；以及图6是描绘适合于利用现有计算机结构的计算装置使用的本专利技术的软件实施例的框图。本专利技术的其他的目的、特征和特性，以及操作的方法和结构的相关元件的功能和部件的组合在考虑了以下参考附图的详细说明后将变得更加显而易见，以上所有构成本说明书的一部分。具体实施方式此处公开了本专利技术的详细的说明性的实施例。然而，根据本专利技术的技术、方法、处理、系统和操作结构可以以各式各样的形式和模式被具体化，其中的一些可以完全不同于被公开的实施例中的那些。因此，此处公开的具体的结构上的和功能上的细节仅仅是代表性的，然而在这方面，它们被认为出于公开目的提供了最好的实施例。除非上下文另有明确要求，遍及说明书和权利要求书的词语“包含”，“包括”等等将以包容性的意义被解释，与排外的或者详尽无遗的意义相反；也就是说，是“包括，但不限于”的意义。当在此处被使用时，术语“连接”“耦合”或者其任意变体，意味着两个或以上的元件之间直接的或者间接的、电子的或以其他方式的任意的连接或者耦合；元件之间的连接的耦合可以是物理上的、逻辑上的、或者其结合。此外，单词“此处”，“以上”，“以下”以及类似含义的词语，当在本申请中被使用时，应该指的是作为一个整体的本申请而非本申请的任意特定部分。上下文允许之处，使用单数或者复数的优选实施例的详细说明中的词语也可以分别包括复数或者单数的含义。关于一列两个或以上的项，词语“或者”包括该词语的所有以下解释：列表中的任意项，列表中的所有项，以及列表中项的任意组合。以下参考图呈现本专利技术的优选实施例的详细说明。首先参考图1，示出的是防黑客计算装置的示例性的网络图。计算装置300能够包含任意大规模的商业或者政府计算机或者“主机”、一组联合操作的连接在一起的计算机、单个个人计算机(PersonalComputer，PC)或者移动通信装置，移动通信装置包括但不限于移动电话、蜂窝电话、智能电话、便携计算机、上网本、个人数字助理(PersonalDigitalAssistant，PDA)、家用电器、家庭的或者商业的建筑控制器、或者适用于网络通信的任何其他的计算装置。计算装置300包含第一分区100和第二分区200。第一分区100被直接与例如键盘、数据存储驱动器、打印机等等的输入/输出装置互连。在用于大规模使用的实施例中，通过直接的硬线，第一分区能够被连接至处于计算装置的用户的控制下的物理位置的较小的计算机或者PC。在该实施例中，用户能够禁用较小计算机或者PC的任意形式的互联网连接，包括电线、电缆、或者Wi-Fi。第二分区200通过网络500与终端600通信。如以下参考图2详细描述的那样，第一分区100能够使用总线直接与第二分区200通信，但是第一分区100与网络500的通信被硬件限制。在优选实施例中，第一分区的CPU能够直接访问第二分区的存储器和第二分区的CPU，但是第二分区的CPU对第一分区的存储器和第一分区的CPU的访问被硬件限制。网络500可以是局域网(LocalAreaNetwork，LAN)、广域网(WideAreaNetwork，WAN)、互联网、蜂窝网络、卫星网络或者上述的结合，或者允许向计算装置300的数据的传送和/或来自计算装置300的数据的接收的任意其他的网络。通过网络500从终端600被发送到计算装置300或者从计算装置300被发送到终端600的数据能够利用标准通信协议或者标准网络协议而被发送和/或接收。在优选实施例中，系统利用传输控制协议/网际协议(TransmissionControlProtocol/InternetProtocol，TCP/IP)并且网络500是互联网和/或内联网。用于发送和/或接收数据的协议的其他实例包括但不限于网络电话(VoiceOverIP，VOIP)协议、短消息服务(ShortMessageService，SMS)、蓝牙无线传输、以及全球移动通信系统(GlobalSystemforMobileCommunications，GSM)。网络500能够利用计算装置300和终端600的一个或多个协议。此外，网络500能本文档来自技高网...

【技术保护点】
一种计算机系统，其特征在于，包含：第一分区，所述第一分区包含：第一CPU，至少一个存储模块，至少一个写入模块，至少一个I/O模块，至少一个数据存储，所述数据存储包含至少一个数据文件，以及存储器寻址结构，所述存储器寻址结构包含至少一个程序代码地址范围，至少一个第一分区数据地址范围，以及至少一个第二分区数据地址范围；至少一个关键数据文件；计算机可执行代码，所述计算机可执行代码被存储在所述程序代码地址范围中，其中所述计算机可执行代码包含操作系统；其中所述第一CPU被配置为仅仅执行存储在所述程序代码地址范围中的所述计算机可执行代码；总线，以及第二分区，所述第二分区包含：第二CPU，至少一个数据存储，所述数据存储包含至少一个数据文件，以及通信模块，所述通信模块被耦合到网络；其中，所述第一分区与所述第二分区通过所述总线互连；其中，所述第一分区被配置为执行拉取命令以从所述第二分区读取数据；其中，所述第一分区被配置为执行推送命令以向所述第二分区写入数据；其中，所述至少一个写入模块被配置为通过所述总线将所述第二分区的所述至少一个数据文件写入所述第一分区的所述至少一个第二分区数据地址范围；其中，所述至少一个写入模块被配置为通过所述总线将所述第一分区的所述至少一个数据文件写入所述第二分区的所述至少一个数据存储；其中，所述第一分区被配置为限制来自所述第二分区的推送命令；以及其中，所述第一分区被配置为限制来自所述第二分区的拉取命令；其中，所述第一分区是硬件配置的；其中，所述第二分区是硬件配置的；以及其中，所述第二分区对所述存储器寻址结构的访问被硬件限制。...

【技术特征摘要】
【国外来华专利技术】2015.08.31 US 14/841,4691.一种计算机系统，其特征在于，包含：第一分区，所述第一分区包含：第一CPU，至少一个存储模块，至少一个写入模块，至少一个I/O模块，至少一个数据存储，所述数据存储包含至少一个数据文件，以及存储器寻址结构，所述存储器寻址结构包含至少一个程序代码地址范围，至少一个第一分区数据地址范围，以及至少一个第二分区数据地址范围；至少一个关键数据文件；计算机可执行代码，所述计算机可执行代码被存储在所述程序代码地址范围中，其中所述计算机可执行代码包含操作系统；其中所述第一CPU被配置为仅仅执行存储在所述程序代码地址范围中的所述计算机可执行代码；总线，以及第二分区，所述第二分区包含：第二CPU，至少一个数据存储，所述数据存储包含至少一个数据文件，以及通信模块，所述通信模块被耦合到网络；其中，所述第一分区与所述第二分区通过所述总线互连；其中，所述第一分区被配置为执行拉取命令以从所述第二分区读取数据；其中，所述第一分区被配置为执行推送命令以向所述第二分区写入数据；其中，所述至少一个写入模块被配置为通过所述总线将所述第二分区的所述至少一个数据文件写入所述第一分区的所述至少一个第二分区数据地址范围；其中，所述至少一个写入模块被配置为通过所述总线将所述第一分区的所述至少一个数据文件写入所述第二分区的所述至少一个数据存储；其中，所述第一分区被配置为限制来自所述第二分区的推送命令；以及其中，所述第一分区被配置为限制来自所述第二分区的拉取命令；其中，所述第一分区是硬件配置的；其中，所述第二分区是硬件配置的；以及其中，所述第二分区对所述存储器寻址结构的访问被硬件限制。2.根据权利要求1所述的计算机系统，其特征在于，多个输入/输出装置被耦合到所述第一分区的所述I/O模块。3.根据权利要求1所述的计算机系统，其特征在于，所述程序代码地址范围包含第一存储单元；所述第一分区数据地址范围包含第二存储单元；以及所述第二分区数据地址范围包含第三存储单元。4.根据权利要求1所述的计算机系统，其特征在于，进一步包含芯片，所述芯片包含所述第一分区和所述第二分区。5.根据权利要求1所述的计算机系统，其特征在于，进一步包含第一芯片和第二芯片，所述第一芯片包含所述第一分区，所述第二芯片包含所述第二分区。6.根据权利要求1所述的计算机系统，其特征在于，进一步包含至少一个外部物理开关，所述外部物理开关包含接通位置和断开位置，其中所述外部物理开关的所述接通位置能够使所述至少一个写入模块访问所述第一分区的所述程序代码地址范围。7.根据权利要求1所述的计算机系统，其特征在于，所述至少一个写入模块包含现场可编程门阵列。8.根据权利要求1所述的计算机系统，其特征在于，所述写入模块被配置为从所述第一分区的所述至少一个数据存储、所述至少一个程序代码地址范围、所述至少一个第一分区数据地址范围、或者所述至少一个第二分区数据地址范围向所述第二分区写入。9.根据权利要求1所述的计算机系统，其特征在于，所述第一CPU被硬件配置以仅仅执行存储在所述程序代码地址范围中的所述计算机可执行代码。10.一种计算机系统，其特征在于，包含：至少一个分区计算机，所述分区计算机包含：第一分区，所述第一分区包含：至少一个CPU，至少一个存储模块，至少一个写入模块，至少一个I/O模块，至少一个数据存储，以及存储器寻址结...

【专利技术属性】
技术研发人员：弗兰克·N·纽曼，丹·纽曼，
申请(专利权)人：纽曼HR计算机设计有限责任公司，
类型：发明
国别省市：美国,US