[发明专利]一种基于密态哈希标签防护的便携式安全计算机系统

说明书

本发明公开了一种基于密态哈希标签防护的便携式安全计算机系统，便携式安全计算机基于数据块密态哈希标签防护机制实现与互联网之间的安全隔离，并采用安全TFTP协议实现与移动智能终端之间的密态文件的安全交换，对USB HID接口实施单一设备功能限制以防御来自接口的攻击。本发明采用了数据块密态哈希标签防护机制、安全传输协议控制机制和USB HID接口单一设备功能限制机制等，这些安全机制共同为便携式计算机的运行环境提供严格的安全隔离防护，既能够为涉及敏感文件的所有处理环节提供一个安全的运算环境，同时也能够抵御各种可能的恶意攻击。

技术领域

本发明涉及网络安全传输技术领域，尤其涉及一种基于密态哈希标签防护的便携式安全计算机系统。

背景技术

在现有的便携式计算机架构内，敌手利用互联网协议、文件传输与拷贝、USB接口中任何一个环节存在的安全漏洞都可能侵入计算机软件系统，窃取重要的敏感信息。各种未知的网络安全威胁层出不穷、网络安全事件频发的形势，迫使处理敏感信息的便携式计算机都绝对不允许接入公共互联网，敏感文件的传递受到了很大的限制，要么必须依赖于VPN加密机的保护，要么由可靠人员携带传递或以机要途径传递，不能充分利用本来随处可用的移动互联网带来的数据通信便利，客观上形成了以低效率工作为代价来保障敏感文件安全的现状。

因此迫切需要一种新型的便携式安全计算架构，既能够为敏感文件的处理与存储提供一个与移动互联网严格安全隔离、安全完全受控的运行环境，而且也能够基于移动互联网的通信便利来实现密态敏感文件的安全传输。

发明内容

为了解决上述问题，本发明提出一种基于密态哈希标签防护的便携式安全计算机系统，便携式安全计算机基于数据块密态哈希标签防护机制实现与互联网之间的安全隔离，并采用安全TFTP协议实现与移动智能终端之间的密态文件的安全交换，对USB HID接口实施单一设备功能限制以防御来自接口的攻击。这三种安全机制共同为便携式安全计算机的运行环境提供严格的安全隔离防护，既能够为涉及敏感文件的所有处理环节提供一个安全的运算环境，同时也能够抵御各种可能的恶意攻击。

进一步的，密态哈希标签防护机制工作在便携式安全计算机与移动智能终端之间的USB CDC链路上，针对发送的每个安全TFTP协议数据块，基于哈希标签密钥执行哈希标签运算与填充再进行加密保护，并且针对接收的每个安全TFTP协议报文内的数据块与哈希标签值执行分组解密和哈希标签运算验证，即时发现并过滤掉任何伪造和篡改的安全TFTP协议报文。因此，能够阻止针对便携式安全计算机的任何伪造与篡改STFTP协议报文的攻击，同时也能够防止出现敏感文件明文数据块传输的现象。此外，安全TFTP协议基于有限状态机，针对每个递增的控制序号执行一报文一应答的严格流量控制。

进一步的，便携式安全计算机上运行有密态哈希标签防护软件模块，密态哈希标签防护软件模块对于接收到的每个安全TFTP协议报文的密态数据块与数据块哈希标签值，在进行分组解密后，只有通过了基于哈希标签密钥的哈希标签一致性验证才能转交给上层协议去作进一步的接收处理；对于未通过哈希标签一致性验证的所有非法的安全TFTP协议报文全部滤除掉，清除接收该报文所使用的内存空间；

密态哈希标签防护软件模块对于发送的正确规范的写请求报文和确认报文不进行过滤，也不填充哈希标签值，但需要检查其文件名是否合规，数据块序号是否合规，滤除不符合安全TFTP协议流程的、可能具有安全风险的写请求报文和确认报文。

这种数据块密态哈希标签嵌入与接收验证过滤机制与分组加密防护机制密切配合，实现了安全性极高的隔离功能，使得任何网络攻击都无法通过USB链路渗透到便携式安全计算机中，因此能够防御对便携式安全计算机的任何网络攻击。数据块密态哈希标签嵌入机制也能够防止出现明文数据传输的现象。