【技术实现步骤摘要】
【国外来华专利技术】非对称系统与网络体系结构
技术介绍
如今用于IT通信的网络通常基于根据TCP/IP标准对消息分组的处理,因此需要所参与的系统之间的对称协议栈。这导致在软件中的大部分映射的功能对称性,从而导致相对高的复杂性以及对于与IT安全性相关的错误和弱点的许多可能性,尤其是在最终用户端。对使用的软件的频繁更改使整体情况复杂化。许多最终用户通常无法完全理解该复杂性,并无法对各种错误作出适当的反应-这对丰富的知识支助有很高的要求,而往往没有提供足够水平的支助。这反过来又会严重影响应用的使用。甚至比偶尔的故障更具损害性,并且所造成的代价是严重的IT安全事件,这可能导致非常高程度的损害和严重的声誉损失。在某些情况下(例如,通过工业间谍或破坏生产过程的专有技术排水),有关公司的存在可能受到威胁,并且会担心在关键的基础设施中(例如在能源供应环境中)产生更严重的影响。即使训练有素的最终用户也只能在某种程度上检测到安全威胁,并且通常无法抵御有针对性的攻击,例如,由精明的网络犯罪分子或国家情报专家进行的攻击。如果关于打开所附文档或点击链接的通常警告不起作用,则尤其如此,因为给定的工作流程确实需要这样的操作。主题“工业4.0”和“物联网”导致了与IT安全相关的进一步问题,这特别是由于大量的不同“物品”连接起来导致的。出于成本原因,这些物品具有的内部处理能力往往有限,这通常会阻碍更强大的安全措施的实施。另一个限制因素是大量缺失对这类“物品”的活动的人为控制。从历史上看,互联网的发展主要集中在有限数量的善意、信任和合作的用户群体之间的通信。在全球的、高度异质和事实上不可信赖的环境中,缺乏适当的程序来 ...
【技术保护点】
1.安全最终用户设备,所述安全最终用户设备被限定作为新的非对称系统和网络体系结构的一部分,所述设备的特征在于将常见的个人计算机、工作站、膝上型电脑/笔记本电脑、平板电脑、智能手机、智能手表等的已知功能提供给最终用户,但是所述设备不包含常规的软件控制的通用微处理器,所述安全最终用户设备的功能基于硬件例如专用ASIC(专用集成电路)、以及包含在只读存储器模块中的固件,从而控制所述设备的功能和基于设备的固定应用程序,所述只读存储器模块的内容不能在线修改,功能改变或功能增强需要在本地对所述设备的物理访问,例如替换只读存储卡之类,任何此类功能修改都将被自动地记录,并将产生在所述设备上显示警告消息,在所述安全最终用户设备中,代码和数据内容被严格地分开,从外部将功能和应用程序下载到所述安全最终用户设备上是不可能的。
【技术特征摘要】
【国外来华专利技术】1.安全最终用户设备,所述安全最终用户设备被限定作为新的非对称系统和网络体系结构的一部分,所述设备的特征在于将常见的个人计算机、工作站、膝上型电脑/笔记本电脑、平板电脑、智能手机、智能手表等的已知功能提供给最终用户,但是所述设备不包含常规的软件控制的通用微处理器,所述安全最终用户设备的功能基于硬件例如专用ASIC(专用集成电路)、以及包含在只读存储器模块中的固件,从而控制所述设备的功能和基于设备的固定应用程序,所述只读存储器模块的内容不能在线修改,功能改变或功能增强需要在本地对所述设备的物理访问,例如替换只读存储卡之类,任何此类功能修改都将被自动地记录,并将产生在所述设备上显示警告消息,在所述安全最终用户设备中,代码和数据内容被严格地分开,从外部将功能和应用程序下载到所述安全最终用户设备上是不可能的。2.根据权利要求1所述的安全最终用户设备的对应设备,所述非对称系统和网络体系结构(ASNA)使用相关的门户软件(以下称为“门户”),所述门户软件运行于主机(10)上,并且支持硬件控制的所述最终用户设备的操作;通过结合,它们执行常规浏览器的功能并且为所述安全最终用户设备中可用的固定应用程序提供接口;所述门户软件连接到中央应用程序(例如ERP和CRM系统、预订和预约系统、支付系统、消息系统等),并且提供软件接口(API),从而允许软件供应商能够经由所述安全最终用户设备而使其产品可用;所述门户还允许转换页面内容,以使所述安全设备能够与现有网站进行通信;此外,所述门户支持能够联合处理安全最终用户设备和用于参见权利要求7的“物联网”的安全端点的统一协议。3.根据权利要求1所述的安全最终用户设备,其特征在于,所述安全最终用户设备具有固定的、不可改变的设备标识、加上具有可用的若干存储插槽的任何已安装的固件和固定的应用程序的许可证标识和版本标识、以及经由诸如芯片卡或电子笔等令牌实现的当前活动的用户的安全标识;所述令牌对用户进行标识并为数据加密(例如端到端加密和VPN功能)提供控制信息,此外,所述令牌还能够被用来对设备和用户配置文件进行个性化;此外,所述令牌包含所述用户能自由使用的数据空间,例如以允许在不同的安全最终用户设备之间轻松地传输文档;在特定设备配置的情况下,安全最终用户设备能够允许没有令牌的操作,例如匿名从公共网站检索内容;交易通常需要经由令牌进行用户标识;支付能够要求使用额外的组件(例如带有芯片或磁条的银行卡)和相应的插槽;或者,在使用移动安全最终用户设备时,非接触式支付例如经由NFC支付是可能的,并且特别有用。4.非对称系统和网络体系结构,其特征在于,能够经由两个或更多个单独的通信信道来连接根据权利要求1所述的安全最终用户设备,所述通信信道能使用不同的模式、协议和传输介质;由此能够包括支持常规的分组交换(TCP/IP)和临时或永久使用的点对点或多点连接;最终设备也能够同时使用不同的信道,例如用于标准数据通信的TCP/IP和用于控制和信令目的的交换连接;为了冗余,每个设备能够具有若干能服务于相同目的信道,所述体系结构支持在线操作期间的流量交换(例如,在主机系统故障时通过连接到其他主机,或者在线路故障时通过切换到蜂窝网络);由此还允许在分组交换和专用连接之间移动,并为软转移提供其他选项,如(17)、(18)和(19)。5.根据权利要求1所述的安全最终用户设备,其特征在于,能够同时支持若干通信流到不同的主机,例如在不同的屏幕窗口中显示不同的内容,并在这些窗口之间传输内容(“复制和粘贴”);然而,与当前体系结构不同的是,能够以可靠和非常精细的方式对待使用的可用通道/窗口的数量以及应用程序和功能的类型进行个性化;最终用户的角色和权限能够通过所述令牌的中心个性化来精确限定,所述门户能够经由诸如白名单之类的适当措施来确保所述最终用户设备按照限定的策略正确使用;对于私人最终用户,通常使用公共通信提供商的门户,能够提供用于提供各种功能和资费选项的不同计划,也允许与其他安全最终用户设备一起使用个性化令牌;例如,这种私人资费计划能够指定与其供应商的门户的专用连接,所述门户也将根据需要连接到其他门户的明确限定的子集(例如订户银行的门户);这样的计划将提供非常高程度的保护,以防止窥探和操纵。6.根据权利要求1所述的安全最终用户设备、以及根据权利要求7所述的安全端点,其特征在于,尽管缺乏通用微处理器和常规操作系统,但是通过利用硬件驻存功能,所述安全设备能够通过诸如USB或蓝牙之类的标准有线或者无线接口来处理诸如打印机、扫描仪、外部存储设备、音频/视频设备、家庭自动化设备和类似设备之类的外围设备。7.非对称系统和网络体系结构,其特征在于,根据权利要求1所述的安全最终用户设备以及支持物联网功能且通常连接到无人值守设备...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。