[发明专利]一种基于双处理器KVM切换与密码隔离的安全计算机系统

权利要求书

1.一种基于双处理器KVM切换与密码隔离的安全计算机系统，其特征在于，计算机包括外网处理器板、内网处理器板以及安全隔离控制板，

所述外网处理器板用于提供连接公共互联网的普通运行环境，内网处理器板用于提供一个与敏感文件处理相关的所有操作的安全运行环境；外网处理器板与内网处理器板通过安全隔离控制板进行通信；所述安全隔离控制板包括KVM接口切换模块、切换控制逻辑电路模块以及密码网闸模块；所述切换控制逻辑电路模块接收内网、外网处理器命令，对KVM接口切换模块下达执行KVM接口切换命令；KVM接口切换模块通过KVM接口切换控制实现普通运行环境与安全运行环境的人机操作界面的安全隔离；密码网闸模块设置在内网处理器板与外网处理器板之间实现严格的安全隔离控制，并建立一条基于密码防护的内部安全通信链路，通过安全TFTP协议实现密态文件的双向安全交换；采用密码保护及数据块密态哈希标签机制确保文件拷贝安全，并且对内网处理器的USB设备HID接口实施严格的单一功能限制以防御来自USB接口的攻击；

所述密码网闸隔离控制机制工作在内部安全通信链路上，针对内网处理器发送的每个安全TFTP协议报文密态数据块基于哈希标签密钥执行哈希标签运算填充，并且针对内网处理器接收的每个安全TFTP报文内的数据块与哈希标签值域执行分组解密和哈希标签运算验证，阻止针对内网处理器的任何伪造与篡改安全TFTP协议报文的攻击；密码网闸基于有限状态机，针对安全TFTP协议的每个递增的控制序号执行一报文一应答的严格流量控制；

所述密码网闸对于接收到的每个安全TFTP报文的密态数据块与数据块哈希标签值域，在进行分组解密后，只有通过了基于哈希标签密钥的哈希标签一致性验证才能中继转发给内网处理器；对于未通过哈希标签一致性验证的所有非法的安全TFTP报文全部滤除掉；

密码网闸对于内网处理器发送的正确规范的写请求报文和确认报文不进行过滤，也不填充哈希标签值，但需要检查其文件名是否合规，数据块序号是否合规，滤除不符合安全TFTP协议流程的、可能具有安全风险的写请求报文和确认报文；

还包括防御USB HID对内网攻击的安全机制：在内网处理器的USB的驱动软件系统中，增加安全控制机制，只允许具备单一功能的HID USB接口设备接入内网处理器，包括：

对USB HID接口接收的HID报表数据执行严格的过滤控制，当键鼠USB设备经过枚举进入正常工作状态后，不允许产生批量输出/输入的事务；

禁止通过拓展键鼠USB设备的端点存储功能使键鼠USB设备具备复合型USB设备的功能，即禁止键盘、鼠标USB设备同时具备USB存储设备的功能，若键鼠USB的配置描述符内含的端点描述符中出现了USB存储设备的描述符，则禁止其接入；

禁止USB存储设备具备键盘、鼠标的功能，若USB存储设备的配置描述符内含的端点描述符中出现了键鼠设备的描述符，则禁止其接入；

禁止键盘输入的报表数据长度超过8个字节，禁止鼠标输入的报表数据长度超过4个字节，禁止键鼠USB接口输出帧的字节长度超过规定的字节数，其中IN帧内容为3字节，ACK帧内容为1字节；

所述密码保护及数据块密态哈希标签机制：

当需要通过安全USB接口拷贝输出敏感文件时，首先基于文件拷贝密钥初值与用户在人机界面输入的安全拷贝密码串接后的哈希运算值形成文件拷贝保护密钥，对敏感文件明文实施文件加密，基于文件哈希密钥对加密后的文件密态数据执行哈希运算，将获得的哈希运算值附加在文件密态数据末尾，形成密态拷贝输出文件；然后将密态拷贝敏感文件的每个数据块嵌入哈希标签，并基于数据块保护密钥针对每个数据块值域及其哈希标签值域执行分组加密运算，形成密态拷贝输出文件，通过安全USB接口输出到安全USB存储器，形成每个数据块都包含有哈希标签并由分组加密保护的密态拷贝文件；

当需要将安全USB存储器中存储的密态拷贝文件通过安全USB接口拷贝到内网处理器时，基于拷贝数据块保护密钥，对拷贝输入的每个密态数据块载荷值域及其哈希标签值域实施分组解密运算，并基于哈希标签密钥进行哈希标签验证运算，过滤掉未通过哈希验证的拷贝数据块，经过分组解密的每个密态数据块载荷数据形成密态拷贝输入文件；以文件拷贝密钥初值与人机界面输入的文件拷贝密码串接后的哈希运算值形成文件拷贝保护密钥，对密态拷贝输入文件实施文件解密，获得敏感文件明文；

将用户记忆密码作为产生文件拷贝保护密钥的一个要素，只有输入了正确的安全保护密码才能形成正确的文件拷贝保护密钥。