本发明专利技术涉及一种应用于信息安全的实现信息安全处理的新型计算机体系结构,应用这种体系结构的计算机装置通过对系统内部的网络化构造,实现了对网络入侵的全面防御和对信息的安全处理。该计算机系统由一个共享区、多个安全工作区和非安全工作区、一个工作区切换控制单元、多个操作系统内核模块、一个工作区切换模块、一个跨区域文件交换协议、多个守护进程模块组成。在该系统中,安全区域中的信息只有合法用户可以进行访问,其他任何非法用户或信息都被隔离在非安全区中,因此保证了安全区域的数据安全性。本发明专利技术设计思路新颖,实现路线正确,可以很大程度上解决网络入侵、病毒、木马程序带来的安全隐患,实现信息的安全处理,应用前景非常广阔。
【技术实现步骤摘要】
本专利技术属于电子数据处理
,具体涉及一种实现信息安全处理 的新型计算机系统。
技术介绍
在计算机信息安全领域,为了提高信息的安全性,实现信息的安全处 理,目前主要采用的技术有病毒扫描技术和防火墙技术,各类入侵检测技术,软硬件加密技术,网络终端设备中植入TPM (Trusted Platform Module,可信平台模块)安全芯片。这些技术在一定程度上缓解了安全问 题,但是都存在不同程度局限性(1) 病毒扫描技术的滞后和无法预知的缺陷,无法及时应对计算机病 毒、黑客或恶意软件的攻击。(2) 入侵检测技术发展的不成熟、智能化程度不高,在当前还无法得 到广发的应用。(3) 软硬件加密技术由于对密钥的高度依赖性以及性能和响应速度要 求,使其应用受到很大的局限性。(4) TPM安全芯片在信息安全中体现的作用在于群体效应,即企业内部 网络中,绝大多数网络终端设备均采用TPM技术,并且在使用过程 中终端用户的的确确开启了此项功能。只有这样,这个网络则成为 一个建立了信用体系的网络,其终端设备的可信赖性将有很大提 高。但是当前要建立这样一种体系十分困难。上述这些缺陷的存在,使得计算机信息安全受到较大的威胁。
技术实现思路
本专利技术的目的是提供一种内部网络化的新型计算机体系结构及装置, 该体系结构及装置通过对计算机系统的内部网络化构造,实现对网络入侵 的全面防御和对信息的安全处理。本专利技术包括一个共享区A、多个工作区B、 一个工作区切换控制单 元C, 一个多内核操作系统D、 一个工作区切换模块E、 一个跨区域文. 件交换协议F、多个守护进程G以及相应的守护进程路由表;多个工作区B分别设置为不与网络相连的安全工作区和与网络相连的非安全工作 区两类,它们是工作区B1、工作区B2、……、工作区Bn,工作区的 数量可以根据实际需要进行设定;多内核操作系统D包括n个内核模块, 它们是内核D1、内核D2、 、内核Dn,内核的数目由工作区的数目决定,两者在数量上相等,每个内核Dn分别负责管理一个不同的工作 区;多个守护进程G包括n个守护进程,它们是守护进程G1、守护进 程G2、……、守护进程Gn,守护进程的数目由工作区的数目决定,两 者在数量上相等,每个工作区均设有一个文件传输守护进程Gn;各工作 区之间通过工作区切换控制单元C分时共享CPU资源,各工作区之间 通过跨区域文件交换协议F实现数据在内部网络上的交互传输以及数据 的安全存放;其中在共享区A上还设有共享内存资源信号量表和共享内 存分区状态表。本专利技术在不同工作区间上的文件传输按以下步骤进行① 在一个区内用户发起文件传输,生成一个文件传输用户进程,由该用 户进程与守护进程进行信号交互,其中用户进程发出的信号主要为建 立连接请求信号;② 守护进程对用户进程的信号进行处理,验证用户合法性,并向用户进 程发送反馈信号,反馈信号包括连接创建成功信号、连接创建失败信 号、文件传送成功信号;③ 守护进程利用工作区切换模块通过被私有协议封装的共享内存与其 他区内的守护进程进行报文交互,报文交互按连接建立,数据传输, 连接释放三个步骤进行;其中每个守护进程都有自己的路由表,用于 报文的转发及信号的发送;除守护进程自身的路由表外,报文交互还 需要被私有协议封装的共享内存中存储的共享内存资源信号量表和 共享内存分区状态表。本专利技术的守护进程路由表包括链接、目的区、源区、报文号、偏移 量、PID、 FD信息字段;共享内存资源信号量表包括资源信号量、资源量信息字段;共享内存分区状态表包括区号、状态信息字段。 本专利技术采用的安全机制包括① 设置了验证码机制,用户进程发送的请求信号中携带验证码信息, 守护进程核对验证码后才决定是否接受请求传送文件;② 设置了私有协议,发送的报文不符合私有协议,守护进程不予接受;③ 设置了报文摘要机制,在报文被篡改后,守护进程经核对报文摘要 发现错误,将对此数据报不予接受,同时发送重发请求报文;④ 设置了报文加密机制,防止用户信息被外泄。本专利技术的实施装置由CPU、总线桥接器、交叉开关及多总线系统构成, 且CPU、总线桥接器、交叉开关及多总线系统均设置在现场可编程门阵列 FPGA上;其中多总线系统由共享总线、安全区域总线和多条非安全区域总线构成,交叉开关设置在总线桥接器内,各总线分别对应连接总线桥接器和交叉开关,共享总线上连接有CPU、 RAM/ROM、 FLASH及基本输入 输出设备,安全区域总线上连接有RAM/ROM、 FLASH、 STORAGE,非 安全区域总线上连接有RAM/ROM、网络设备,总线桥接器按CPU的指令 通过交叉开关控制共享总线与其它总线的连通。本专利技术的实施装置还包括系统加电配置模块,该模块连接在现场可编 程门阵列FPGA的配置接口上;该模块由JTAG接口、串行配置芯片、主动 串口编程接口构成,JTAG接口和主动串口编程接口对应连接在串行配置芯 片上。本专利技术的实施装置在任何区域之间都可以相互传送文件。下面以任意 一个非安全区的一个用户向任意一个安全区发送文件为例说明本专利技术实施 装置的工作流程。设本专利技术的实施装置共有N个区,每个区最多可建立M条链接。发送的 非安全区为i区,接收的安全区为j区,相应共享内存分区划分及建立的 表参见共享内存分区图(附图5)及守护进程路由表(表l)、共享内存资 源信号量表(表2)、共享内存分区状态表(表3)。<table>table see original document page 7</column></row><table>表1<table>table see original document page 7</column></row><table>表2区号状态11CLOSE12SYN1MOPEN21CLOSE22CLOSE2MCLOSENlCLOSEN2CLOSE画CLOSE表3首先,i区内核运行时,用户在文件传输应用程序界面中输入需要传送 的文件的源地址(源区域号、源目录、文件名)与目的地址(目的区域号、 目的目录、文件名)发送文件,发送流程对用户透明。文件传输应用程序8所对应的用户进程,通过调用传送函数senckiessage(),利用携带信息的 信号发送函数sigqueue()向文件传输守护进程发送建立连接请求信号(此 信号中携带源地址,目的地址及验证码)。i区守护进程收到信号后,检查验证码是否正确,如果不正确,则表明 为非法用户,对此请求将不予处理。如果正确,则i区守护进程检査共享 内存资源信号量表的Si, Sj是否满足Si^1, Sj^1。若不满足,表明无 法建立链接。否则,将信号量Si, Sj减l (如果Si在减l之前为最大值, 则同时要提升守护进程i的优先级),再查找共享内存分区状态表,分别在 i, j两区找到一个状态为CLOSE的小区,将小区状态改为SYN。同时守护 进程I将该链路添加到自己的路由表中,state置为STATE—S—SYN。假设i 找的到的小区为ia(l^aSM), j找到的小区为jb(l^b^M), 路由表修 改后,守护进程i通过ft—send(S—SYN—ACQ—本文档来自技高网...
【技术保护点】
一种内部网络化的新型计算机体系结构,其特征在于:包括一个共享区A、多个工作区B、一个工作区切换控制单元C,一个多内核操作系统D、一个工作区切换模块E、一个跨区域文件交换协议F、多个守护进程G以及相应的守护进程路由表;多个工作区B分别设置为不与网络相连的安全工作区和与网络相连的非安全工作区两类,它们是工作区B1、工作区B2、……、工作区Bn,工作区的数量可以根据实际需要进行设定;多内核操作系统D包括n个内核模块,它们是内核D1、内核D2、……、内核Dn,内核的数目由工作区的数目决定,两者在数量上相等,每个内核Dn分别负责管理一个不同的工作区;多个守护进程G包括n个守护进程,它们是守护进程G1、守护进程G2、……、守护进程Gn,守护进程的数目由工作区的数目决定,两者在数量上相等,每个工作区均设有一个文件传输守护进程Gn;各工作区之间通过工作区切换控制单元C分时共享CPU资源,各工作区之间通过跨区域文件交换协议F实现数据在内部网络上的交互传输以及数据的安全存放;其中在共享区A上还设有共享内存资源信号量表和共享内存分区状态表。
【技术特征摘要】
1、一种内部网络化的新型计算机体系结构,其特征在于包括一个共享区A、多个工作区B、一个工作区切换控制单元C,一个多内核操作系统D、一个工作区切换模块E、一个跨区域文件交换协议F、多个守护进程G以及相应的守护进程路由表;多个工作区B分别设置为不与网络相连的安全工作区和与网络相连的非安全工作区两类,它们是工作区B1、工作区B2、……、工作区Bn,工作区的数量可以根据实际需要进行设定;多内核操作系统D包括n个内核模块,它们是内核D1、内核D2、……、内核Dn,内核的数目由工作区的数目决定,两者在数量上相等,每个内核Dn分别负责管理一个不同的工作区;多个守护进程G包括n个守护进程,它们是守护进程G1、守护进程G2、……、守护进程Gn,守护进程的数目由工作区的数目决定,两者在数量上相等,每个工作区均设有一个文件传输守护进程Gn;各工作区之间通过工作区切换控制单元C分时共享CPU资源,各工作区之间通过跨区域文件交换协议F实现数据在内部网络上的交互传输以及数据的安全存放;其中在共享区A上还设有共享内存资源信号量表和共享内存分区状态表。2、根据权利要求1所述的一种内部网络化的新型计算机体系结构,其特征 在于不同工作区间的文件传输按以下步骤进行.-① 在一个区内用户发起文件传输,生成一个文件传输用户进程,由该用 户进程与守护进程进行信号交互,其中用户进程发出的信号主要为建 立连接请求信号;② 守护进程对用户进程的信号进行处理,验证用户合法性,并向用户进 程发送反馈信号,反馈信号包括连接创建成功信号、连接创建失败信 号、文件传送成功信号;③ 守护进程利用工作区切换模块通过被私有协议封装的共享内存与其 他区内的守护进程进行报文交互,报文交互按连接建立,数据传输, 连接释放三个步骤进行;其中每个守护进程都有自己的路由表,用于 报文的转发及信号的发送;除守护进程自身的路由表外,报文交互还 需要被私有...
【专利技术属性】
技术研发人员:邵峰晶,
申请(专利权)人:邵峰晶,刘振宇,王伟,
类型:发明
国别省市:95[中国|青岛]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。