一種實現處理器及其計算機系統信息處理環境高度安全與可信的方法
2023-07-21 02:30:46 1
專利名稱:一種實現處理器及其計算機系統信息處理環境高度安全與可信的方法
技術領域:
本發明屬於計算機信息安全領域,尤其涉及到一種具有硬體安全保護機制的處理器及其計算機系統。
背景技術:
計算機信息安全在現今的信息化社會中日漸變得非常重要和關鍵,各種計算機危害對人們造成的威協和損失有目共睹,人人皆知,以致發展到現在迫在眉睫的態勢。綜觀計算機信息安全相關的各種現象,如病毒、木馬、蠕蟲、黑客、流氓程序、加解密、身份認證、軟體版權保護、非法複製等等,所有這些計算機信息安全現象歸根結底可劃分為三大類程序安全、數據安全和身份安全。程序安全是指程序對計算機系統的操作控制是用戶正常的、有意識的操作意圖;數據安全是指信息具有正確性、保密性和屬主性,只有合法的用戶才能獲取正確的信息;身份安全是指操作控制計算機系統的用戶是經過身份認證和授權的。
從技術角度來看,計算機信息安全的根本和關鍵還是在於計算機系統在硬體級上實現的安全保護機制,最重要的是處於核心地位的處理器。
從處理器安全技術的角度看,處理器的發展主要經歷了實方式時代和保護方式時代。在實方式時代,任何程序都可以操作訪問處理器的各個寄存器,控制處理器的運行狀態,隨意讀寫存儲器的任何存儲單元,不論是誰,完全可以掌控整個系統資源,系統毫無安全可言。在這種情況下,人們迫切希望處理器廠商在硬體上採取相應的保護機制,以保證系統和信息的安全,至此,處理器的一種新的工作方式即保護方式產生了。在保護方式下,處理器具有四個運行特權級,運行在不同特權級下的程序具有不同的操作訪問權限,特權級高的可以訪問特權級低的,但低的不能訪問高的;根據程序的信任程度,通常作業系統運行在最高特權級,應用程式運行在最低特權級,並對任務之間進行隔離保護。這樣,處理器的保護工作方式在一定程度上有效地保護了計算機系統和信息的安全。
但是,可以運行在最高特權級的程序的作者不具有唯一性,它不一定是最可信任的作業系統,並且任何人都可以寫程序把它放到最高特權級的位置去運行,比如硬體設備驅動程序、擴展應用程式功能的軟體驅動程序以及程序調試器等,它們可以跟最可信任的最高特權級程序一樣操作和訪問所有的系統資源,但它們的作者及其行為並不一定可信。
當計算機系統運行在某一特定的需要高度安全與可信的時刻,比如密碼輸入、身份認證、數據加解密等等,任何人可以在當前任務的任何特權級編寫一段程序並插入到當前任務中,以此來監控和竊取用戶的信息,或進行其它非法操作,但用戶對此毫無所知。
處理器保護方式的進步在於它把不同的程序劃分成了類,不同的類賦於不同的特權,從而在一定程度上實現了系統和信息的安全。但是,它並沒有唯一地確定到個人,不能唯一的確定一個操作者的主觀意圖,因此,也根本無法滿足現在各種情況下的安全需求。
發明內容
為了克服處理器及其系統在現今各種安全(程序安全、數據安全和身份安全)需求下存在的嚴重不足,本發明對處理器及計算機系統提出了一種安全方式、安全數據通道和代碼分離的方法,該方法能實現計算機系統信息處理環境的高度安全與可信,從根本上解決了計算機信息安全存在的各種現象和問題。所謂的「安全方式」是處理器繼實模式、保護模式、V86模式後的一種全新的工作方式。
本發明所採用的技術方案是在處理器保護方式的基礎上增加一安全控制邏輯模塊和一條機器指令即分離代碼執行指令;在系統內存與I/O之間建立一個獨立的安全數據通道,即設置一個特定的安全設備控制模塊及其一個可與系統動態靈活連接的設備接口,並提供一個與該接口配套使用的安全存儲設備;把程序(作業系統或應用程式等)中一段關鍵或安全要求高的代碼分離出來,保存到安全存儲設備中。
安全控制邏輯模塊,它集成在處理器中,用於控制存儲控制器把作業系統指定的一塊或多塊內存設置為安全內存段,並控制處理器中的調試寄存器,在執行安全內存段內的代碼時禁止處理器的單步調試功能,對安全內存段只能以執行的方式訪問,不能進行讀或寫;控制安全設備控制模塊從安全存儲設備讀取數據到安全內存段。
分離代碼執行指令,該指令指使處理器控制安全設備控制模塊從安全存儲設備讀取數據到安全內存段並執行。
安全設備控制模塊,它在安全控制邏輯模塊的控制下根據分離代碼執行指令所提供的參數訪問安全存儲設備,若訪問安全驗證通過,則直接從安全存儲設備讀取數據到安全內存段;數據傳輸只能由安全設備控制模塊在純硬體邏輯功能的基礎上進行,不需其它任何方式的參與,用於在安全內存段和安全存儲設備之間建立一個安全可信的數據通道。
安全存儲設備,該設備可和智慧卡相結合,利用智慧卡的安全性保護分離的數據不被讀取、修改或破壞,能夠對數據進行特定的處理,並能和用戶交互以接受用戶的輸入。
在以上所述硬體提供的安全保護機制的平臺上,本發明提出了一種「代碼分離」的思想,即把作業系統內核、應用程式或具有其它特權級程序中的一段關鍵的或安全要求高的代碼分離出來,保存到安全存儲設備中,發售給各個授權用戶,在源程序分離後的空白處填充一條分離代碼執行指令,並附加指定格式的參數和密碼,以保證對安全存儲設備的合法訪問。
本發明的有益效果是,以克制危害計算機信息安全(程序安全、數據安全和身份安全)的各種現象和問題為出發點,在處理器及其計算機系統硬體層上建立一套完整、安全、可行的保護機制,在極大程度上保證了計算機信息處理的安全,能從根本上滿足用戶的各種安全需求。
下面結合附圖和實施例對本發明作進一步的詳細說明圖1表示本發明所提出的處理器及其計算機系統的整體邏輯結構示意圖;圖2是本發明實現系統安全的原理圖;圖3是本發明實現應用安全的原理圖。
具體實施例方式
圖1是本發明所提出的實現信息處理環境高度安全與可信的處理器100及其計算機系統的整體邏輯結構示意圖。計算機系統包括傳統的處理器100、電橋102、存儲控制器104、存儲器107、和各種I/O設備105,以及包括實現本發明功能的新增加組件安全控制邏輯模塊101、安全設備控制模塊103、安全存儲設備106和存儲器107中的安全內存段108。
安全控制邏輯模塊101集成在處理器100中,作為處理器100的一個邏輯功能模塊,它通過控制集成在電橋102中的存儲控制器104實現對存儲器107的控制和訪問,把指定的一塊或多塊內存設置為安全內存段108,控制處理器100中的調試寄存器,在執行安全內存段108內的代碼時禁止處理器100的調試功能,對安全內存段108隻能以執行的方式訪問,不能進行讀或寫;控制安全設備控制模塊103從安全存儲設備106讀取數據到安全內存段108。處理器100增加一條機器指令即分離代碼執行指令109,該指令指使處理器100控制安全設備控制模塊103從安全存儲設備106讀取數據到安全內存段108並執行。
安全設備控制模塊103,它在處理器100中的安全控制邏輯模塊101的控制下根據分離代碼執行指令109所提供的參數訪問安全存儲設備106,若訪問安全驗證通過,則直接從安全存儲設備106讀取數據到安全內存段108;數據傳輸只能由安全設備控制模塊103在純硬體邏輯功能的基礎上控制存儲控制器104直接在安全內存段108與安全存儲設備106之間進行數據傳輸,禁止其它任何方式的參與,用於在安全內存段108和安全存儲設備106之間建立一個安全可信的數據通道;安全存儲設備106,它通常和智慧卡相結合,利用智慧卡的安全性保護分離數據不被讀取、修改或破壞,能夠對數據進行特定的處理,並能通過安全存儲設備106上的鍵盤接受用戶輸入。通常包含有處理器100、RAM、FALSH、EEPROM、隨機數產生、時鐘計時器和輸入鍵盤等組件,但在實際的應用中也可能不具有這些組件,或具有其它功能的組件。
安全內存段108,安全內存段108分為兩部分,一部分用於存放作業系統的關鍵代碼和數據,這些段具有最高的特權級;另一部分用於存放分離代碼,這些分離代碼可能是來自應用程式,也可以是來自作業系統或其它的程序,這部分段所具有的特權級與分離代碼所屬的原程序段的特權級相同。
在實現系統安全方面如圖2所示,表示了如何實現作業系統的安全。作業系統中的加載模塊在加載作業系統時,根據作業系統本身的情況把系統存儲器107一定大小的內存空間設置成安全內存段108,其中一部分安全內存段108用於存放作業系統的代碼和數據,另一部分安全內存段108用於執行分離代碼。把最初隨作業系統發布時所有的或其中關鍵的、安全要求高的代碼段和數據段放到安全內存段108內,賦予最高特權級RING0,RING0級代碼能訪問所有內存段,RING0級數據段只能由RING0的代碼段訪問,其它任何代碼都不能讀取安全內存段108內的代碼或數據;把不可信任的由第三方廠商或個人開發的驅動程序或其它系統程序放到非安全內存段108,賦予相等或較低特權級;把應用程式放到非安全內存段108,賦予最低特權級RING3。因為在安全控制邏輯模塊101和處理器100傳統保護方式的共同保護機制下,處在安全內存段108內具有最高特權級的作業系統不能被其它程序訪問或調試,以此阻止病毒、黑客、木馬、蠕蟲等惡意程序所進行的修改和破壞。
實現作業系統安全的另一個實施例是和下述的實現應用安全的方式相同,即採用代碼分離的方式,把作業系統中關鍵的或安全要求高的核心代碼分離出來,保存到安全存儲設備106中,在分離處填充一條分離代碼執行指令109。在以後作業系統執行到這個關鍵的地方時,從合法用戶的安全存儲設備106中讀取相應的代碼到安全內存段108並執行。
在實現應用安全方面如圖3所示,表示了如何實現在諸如軟體版權保護、身份認證、加解密等應用方面的安全。
軟體作者把程序中關鍵的、安全性要求高的一段代碼從原程序中分離出來,保存到安全存儲設備106中,在分離後的空白處填充一條分離代碼執行指令109;採用特定的方式使一個程序唯一對應一個安全存儲設備106,程序只有在與它唯一對應的安全存儲設備106存在的情況下才能運行,並把安全存儲設備106授權給程序的合法用戶;在執行程序時,分離代碼執行指令109指使處理器100控制安全設備控制模塊103從安全存儲設備106讀出被分離的代碼到安全內存段108並執行。這樣,當一個任務執行到關鍵時刻,任何程序或個人都無法插入到這個任務中去進行非法操作,也無法進行分析、跟蹤和調試,以此保護軟體作者的計算環境高度安全與可信。
以上所述具體實施方式
僅為本發明的優選實施例,本發明不限於上述實施例,對於本領域的一般技術人員而言,在不背離本發明原理即「在處理器保護方式的基礎上增加一安全控制邏輯模塊和一條機器指令即分離代碼執行指令;在系統內存與I/O之間建立一個獨立的安全數據通道,即設置一個特定的安全設備控制模塊及其一個可與系統動態靈活連接的設備接口,並提供一個與該接口配套使用的安全存儲設備;把程序(作業系統或應用程式等)中一段關鍵或安全要求高的代碼分離出來,保存到安全存儲設備中。」的基礎上所作的任何顯而易見的改動,都屬於本發明的構思和所附權利要求的保護範圍。
權利要求
1.一種實現處理器及其計算機系統信息處理環境高度安全與可信的方法,其特徵是在處理器保護方式的基礎上增加一安全控制邏輯模塊和一條機器指令即分離代碼執行指令,在系統內存與I/O之間建立一個獨立的安全數據通道,即設置一個特定的安全設備控制模塊及其一個可與系統動態靈活連接的設備接口,並提供一個與該接口配套使用的安全存儲設備,把程序(作業系統或應用程式等)中一段關鍵或安全要求高的代碼分離出來,保存到安全存儲設備中。
2.根據權利要求1所述的一種實現處理器及其計算機系統信息處理環境高度安全與可信的方法,其特徵是在處理器中增加一安全控制邏輯模塊,作為處理器的一個邏輯功能模塊,實現以下功能(1)、通過控制集成在電橋中的存儲控制器實現對存儲器的控制和訪問,把指定的一塊或多塊內存設置為安全內存段,對安全內存段只能以執行的方式訪問,禁止以其它任何方式進行讀或寫;(2)、控制處理器中的調試寄存器,在執行安全內存段內的代碼時禁止處理器的單步執行和調試功能。
3.根據權利要求1所述的一種實現處理器及其計算機系統信息處理環境高度安全與可信的方法,其特徵是處理器增加一條機器指令即分離代碼執行指令,該指令指使處理器控制安全設備控制模塊從安全存儲設備讀取數據到安全內存段並執行。
4.根據權利要求1所述的一種實現處理器及其計算機系統信息處理環境高度安全與可信的方法,其特徵是安全設備控制模塊根據分離代碼執行指令所提供的參數訪問安全存儲設備,若訪問安全驗證通過,則直接從安全存儲設備讀取數據到安全內存段,數據傳輸只能由安全設備控制模塊在純硬體邏輯功能的基礎上控制存儲控制器直接在安全內存段與安全存儲設備之間進行數據傳輸,禁止其它任何方式的參與,用於在安全內存段和安全存儲設備之間建立一個安全可信的數據通道。
5.根據權利要求1所述的一種實現處理器及其計算機系統信息處理環境高度安全與可信的方法,其特徵是安全存儲設備通常和智慧卡相結合,利用智慧卡的安全性保護分離數據不被讀取、修改或破壞,能夠對數據進行特定的處理,並能通過安全存儲設備上的鍵盤接受用戶輸入。
全文摘要
本發明對處理器及計算機系統提出了一種安全方式、安全數據通道和代碼分離的方法。在處理器保護方式的基礎上增加一安全控制邏輯模塊和一條機器指令即分離代碼執行指令;在系統內存與I/O之間設置一個特定的安全設備控制模塊及其一個可與系統動態靈活連接的設備接口,並提供一個與該接口配套使用的安全存儲設備;把程序(作業系統或應用程式等)中一段關鍵或安全要求高的代碼分離出來,保存到安全存儲設備中。
文檔編號G06F21/00GK101034378SQ20071009807
公開日2007年9月12日 申請日期2007年4月27日 優先權日2007年4月27日
發明者吳曉棟 申請人:吳曉棟