WO2002088954A2

WO2002088954A2 - Dispositif et procede permettant de realiser une transition d'etat de securite d'un dispositif informatique

Info

Publication number: WO2002088954A2
Application number: PCT/CN2002/000299
Authority: WO
Inventors: Tong Shao
Original assignee: Tong Shao
Priority date: 2001-04-27
Filing date: 2002-04-27
Publication date: 2002-11-07
Also published as: CN100356350C; US20040088569A1; CN1383069A

Description

实现计算设备状态安全转换的设备及其方法发明领域

本发明涉及的是一种实现计算设备状态安全转换的装置及方法，具体地说，涉及一种实现只有经过认证的状态转换装置才能进行计算设备状态转换的装置及方法。

背景技术

目前在计算机安全中，出于安全考虑实行内部网（办公或机密网）与外部网（如因特网）进行物理隔离；或者在家用电脑中，需要内部网（私齊数据，不一定连网）与外部网（如因特网.）进行物理隔离。解决这个问题从历史上看，首先采用两台电脑分别接入内网和外网，这个解决方案的成本太高，同时不能很好地在解决安全的同时解决内外网数据的安全交换；第二个解决方案是所谓的双主板方案，它的实质是把两台计算机放入一个机箱中，共用一个显示器和键盘，这个方案的成本也太高，同时也没有解决安全进行内外网数据交换的问题。

因此，后来提出了双硬盘方案和单硬盘方案。双硬盘方案是指在一台计算机中安装两个硬盘，当需要使用内部网时，用相对于内部网的硬盘启动，并接通相对于内部网的网络联接（或不与网络连接）；当需要使用外部网时，用相对于外部网的硬盘启动， .并接通相对于外部网的网络联接。显然，为了安全还需要，当外部网（或内部网）启动后，使得内部网（或外部网）用硬盘及网络联接从物理上隔离（即绝对不可用，或不能有效地读写）。这样实现了一台计算机可以使用内部网及外部网，同时保证内外网隔离及内部数据安全。显然双硬盘方案，安全地实现了内外网的隔离。但是这个方案需要两个硬盘，使得该方案的实现成本也比较高，这样就有所谓的单硬盘方案。它指的是，在一个硬盘上分两个分区，每个分区均有自己的操作*** （分别对应于内部网和外部网）；然后通过选择使得计算机启动内部网或外部网。在单硬盘方案中，当***处于外部网时，至少必须保证内部网中的数据不能被读写（请参见中国发明专利 9 4 1 1 1 4 6 1 )；同时又需要启动多个操作*** （内部网及外部网）。启动多个操作***，比较好的方法是二次启动（请参见中国发明专利申请 9 7 1 1 6 8 5 5 ), 同时它还可以解决当***崩溃时，可以方便地恢复***，解决了安全***中操作***崩溃后的安全管理问题。另外在单硬盘方案中，如果从硬盘上实现一个交换区，在外网启动时该区能读写，而在内网启动后，该区只读不写。这样将保证信息只能从外网向内网单向传递。保证内网信息绝对不可能自动泄露。当然也可以让交换区任何时候均可读写，安全性有所下降。总之在保证安全隔离的同时，可以以灵活而安全的方式实现内外网数据的安全交换。

但是，无论单硬盘方案与双硬盘方案，当我们需要从内网转换到外网、或外网转换到内网都必须重新启动计算机（为了安全也必须重新启动计算机）。对用户而言，这显然是一件很不方便的事。特别是在安全电子商务中，我们需要从外网中与网上的其它用户进行信息交流，当需要用数字签名进行某种签名保证时，希望进内网进行数字签名以保证签名的安全（签名密钥放入内网，使得任何黑客都不可能从网上取得用户的签名密钥），然后把安全签名后的信息交换到外网并送给相关用户。这样就可以把签名所用的程序及密钥放入内网保证安全，在保证安全的前提下进行安全的电子商务。

在因特网上的电子商务中，一个重要的问题就是安全性。在客户端，由于病毒的不能绝对防止、黑客进入及 B O等，所以客户端计算机中的信息完全可以被盗窃。而电子商务中重要的一环是数字签名，它用于表明客户身份、签订与其他人的合同。显然这个签名所用的密钥信息被盗窃是不能忍受的安全问题。也就是说，这个密钥信息不能放在可能被泄露的地方。在 1999年 5月 13递交的中国专利申请号 99806523且专利权人为波***股份有限公司的申请中公开了一种解决方案，采用专用计算机进行数字签名，但是这个计算机（如聪明卡）速度太慢或价格太高，这样只能用强度相对弱的加密算法。所以最好的方法是利用客户端这台计算机，它需要即 1、满足该计算机能进行内外网物理隔离，保证当计算机处于外网时，从物理上保证任何程序（包括用户自己）都不能从内网中获得信息。 2、在内网时用户可以选择控制性地把相关信息送到外网（为了保证安全必须保证该控制程序不能被任何病毒修改一一写保护）。 3、能够方便、快速地进行内外网相互转换。

显然可以把这个计算机延伸到所有计算设备，例如手持设备。当需要与网络通信时使用外网，当需要使用数字签名时进入内网，然后把经过数字签名的文件送到外网，并交给需要给的地方。

显然，通过可进行这种状态转换的装置，可以实现一台计算机 "同时"运行两套操作***，也可以为计算机多***教学提供方便。

因此本申请人在与本申请同时递交的另一中国发明专利申请中提出了一种用于实现计算设备状态转换的装置，包括有状态转换指令输入装置、一计算设备当前状态保存装置、一计算设备先前状态保存装置、择一地与两状态保存装置相连以使其与计算设备连通的一转换连接装置、和控制该转换连接装置分别与所述两状态保存装置之一连接的转换控制装置。通过釆用该实现计算设备状态转换的装置，使计算设备可快速切换操作***，并能够在实现内外网物理隔离的同时，进行快速内外网转换。但是如果由于病毒或网上黑客通过某种手段控制了该实现计算设备状态转换的装置的操作，则计算设备的安全性就会遭到破坏，因此，期望提出一种实现只有经过认证的状态转换装置才能进行计算设备状态转换的装置及方法。发明概述

按照本发明的一个方面，提供一种用于实现计算设备状态安全转换的设备，包括：请求装置，用于请求计算设备从当前的状态转换到先前状态；转换装置，用于实现所述的计算设备的状态转换；用于保证状态转换过程为绝对不可中断的控制装置，其中所述的控制装置响应于该请求装置发出的请求，控制该转换装置将计算设备从当前状态转换到先前的状态。

较佳地，所述的转换装置是一个转换开关，用于根据该控制装置发出的指令择一地在所述的当前状态与先前状态之间进行切换，以改变或恢复计算设备当前所有可变状态信息。

较佳地，其中该控制装置进一步包括一个认证装置，用于保证只有经过身份认证后转换装置才能执行转换。

较佳地，其中该控制装置包括：存储器，存储有供完成状态转换操作的控制指令；监控装置，用于保证响应于状态转换请求只能执行该存储器的控制指令，否则控制该转换装置不能进行转换。

较佳地，其中该控制装置进一步包括：置位触发器，作为允许转换装置可以进行正常转换的标志，同时向计算设备内的中央处理装置发出不可屏蔽中断；复位触发器，用于在转换完成后复位所述的置位触发器以防止为其它程序所用。

较佳地，其中该控制装置进一步包括一个中断监控装置，用于保证处理所述的不可屏蔽的程序在所述的复位触发器完成复位之前是不可再被中断的。

较佳地，其中该控制装置包括：存储器，存储有供完成状态转换操作的控制指令；禁止读写计算设备内所有 RAM 的装置，用于保证在转换过程中只能执行所述存储器中的程序。

按照本发明的另一个方面，提供一种用于实现计算设备状态安全转换的方法，包括： a) 接收要求进行计算设备从当前的状态转换到先前转换的请求； b) 响应该请求，执行一个保证绝对不可中断的状态转换控制程序； c) 将计算设备的状态从当前状态转换为先前存储的状态，以改变或恢复计算设备当前所有可变状态信息。

较佳地，其中步骤 b)进一步包括步骤：

保证只有经过身份认证后才能执行转换。

较佳地，其中步骤 b)包括： d)设置允许可以进行正常转换的标志，同时发出不可屏蔽中断； c) 在转换完成后复位所述的标志以防止为其它程序所用。

较佳地，其中所述的步骤 b)进一步包括步骤：保证处理所述的不可屏蔽的程序在完成所述复位之前是不可再被中断的。

较佳地，其中步骤 b)包括步骤：保证响应于状态转换请求只能执行预定的控制程序，否则不允许进行转换。 '

较佳地，其中步骤 b)包括步骤：禁止读写计算设备内所有 RAM, 以保证在转换过程中只能执行所述存储器中的程序。

附图说明

通过以下结合附图的对优选实施例的详细描述，本发明的以上及其他的特征和优点变得显见。

图 1为根据本发明的一个优选实施例的装置的方框图；

图 2是根据本发明的另一优选实施例的装置的方框图；图 3是根据本发明的再另一优选实施例的装置的方框图；图 4是根据本发明的一个优选实施例的方法的流程图；图 5是根据本发明的另一优选实施例的方法的流程图；图 6是根据本发明的在另一优选实施例的方法的流程图。

优选实施方式

[实施例 1 ]

图 1示出了根据本发明的一个实施例的计算设备 100，如本技术领域内人所知的，有关计算设备的运行状态信息均存储在各自相应的位置，例如，关于计算设备当前运行的程序地址或数据信息存储中内存^^缓冲存储器或其它存储器中，有关计算设备当前显示的信息存储在计算设备内的显存中等，并且这些存储状态信息的装置分别与相应的控制器相连，例如内存与一个内存控制器连接，显存与显存控制器连接等。本发明的计算设备可以运行在诸如双操作系统或处于两种完全不同的状态，因此，从图中可以看出，用于存储计算设备的运行状态的信息均有两个，一个用于存储当前状态信息，另一个用于存储先前状态信息或计算设备将要进入的下一个状态的信息，如图所示，表示为双内存（11， 21)，双显存（12， 22)、双硬盘 (17，，23)以及因特网（202) (外网）和局域网（203) (内网）等，且分别只与唯一的内存控制器 13、显存控制器 14、硬盘控制单元 18、以及网络适配单元 19相连等。在该计算设备内还包括有一个中央处理装置 101用于执行计算操作等。

根据本发明的该实施例，在该计算设备 100 内还包括一个用于实现计算设备在上述的两种状态之间安全转换的设备，如图 1所示，该用于转换的设备由一个状态转换装置 205、一状态转换指令输入装置 201、以及用于保证转换过程为绝对不可中断的安全转换控制装置 208。其中该指令输入装置 201 接受用户的请求，触发一个信号以通知计算设备从当前状态变换到前一个状态或进入下一个状态，该指令装置 201 可以是包括按键在内的任意可产生指令的装置实现。安全转换控制装置 208从输入装置 201接收该状态转换请求信号，作为响应，安全转换控制装置 208 发出一不可屏蔽中断信号给所述中央处理装置 101，所述中央处理装置 101 响应该不可屏蔽中断信号，开始执行由安全转换控制装置 208 限定的一个中断处理程序，用于执行该状态转换，保存计算设备中当前状态的可变状态寄存器中的数据，例如当前因特网信息包括地址、页面以及客户的其它动作等，并在保存完毕后向所述转换连接装置 205 发出的执行转换动作，而转换装置 205 则用于控制在计算设备的两个状态之间进行切换，具体是，例如，根据转换过程的进行，在安全转换控制装置 208的控制下，将显存控制器 14与当前的显存 12连接切换到与显存 22的连接，硬件盘控制单元 18与硬盘 17的连接切换到与硬件 23的连接，以及网络适配单元 19与因特网 202的连接切换到与局域网或内部网 203的连接等。

在转换过程中，该安全转换控制装置 208 保证状态转换过程为绝对不可再被中断的，即保证转换过程是一个原语的过程，从而保证在转换过程中中央处理装置 101不会再去执行任何其它程序。

在执行完该中断服务程序后，所述安全转换控制装置 208 通知所述中央处理装置 101 可以读取转换后所连接的、存储有先前状态信息的各存储装置，以便恢复前一状态的计算设备中可变状态寄存器中的数据，从而完成从一个操作***或到另一个操作***的转换，或者从内网到外网的转换以及其它任何可能的两种不同状态的转换。

可替换地，在执行完该中断服务程序后，并且在转换装置 205 完成转换连接控制后，安全转换控制装置 208 通知所述的中央处理装置 101可以开始执行另外一个操作***或进入一个新服务。

在本发明的该实施例中，转换连接装置 205 既可以是一个电子式开关也可以是一个机械式开关，根据该安全转换控制装置 208 发出的指令择一地在所述的当前状态与先前状态之间进行切换，以改变或恢复计算设备 100当前所有可变状态信息。

应明白，尽管在本实施例中是利用计算设备内的中央处理装置 101 来执行一个中断处理程序来完成转换处理的，但是也可以在安全转换控制装置 208 内集成的一个具有计算处理功能的处理装置来执行该中断处理程序，从而可免除对计算设备 100 内的中央处理装置 101的依赖。

较佳地，在本发明的该实施例中，安全转换控制装置 208 最好还包括一个身份认证装置。当认证装置判断出是合法法用户时，可以使转换连接装置 205动作，否则禁止转换连接装置 205的动作。

[实施例 2]

较佳地，图 2 示出了根据本发明的另一实施例的具有实现计算设备状态安全转换的设备的计算设备 100 ' 。如图 2 所示，该设备 100 ' 与实施例 1中的设备 100基本相同，其中相同的元件用相同的参考标号表示，不同之处在于在计算设备 100 ' 内利用一个监控装置 110和存储器 ROM 111来替换实施例 1中的安全转换控制装置 208。在本实施例中， ROM 111 中存储有供完成状态转换操作的控制指令，而监控装置 110则用于接收请求装置 201发出的请求转换指令，然后，发出一个中断控制信号给中央处理装置 101，指示该处理装置 101 执行存储在 ROM 111 内的中断服务程序。同时，该监控装置 110监视中央处理装置 101 的执行过程，确认中央处理装置的执行过程始终处于中断服务程序的原语（一种在执行过程中不允许被中断的程序码），从而保证只能执行存储在 ROM 111 内的程序，否则控制转换连接装置 205不能进行任何转换。

在本实施例中，存储器 111是由 ROM实现的，但是也可以是任何具有写保护功能的存储装置来实现，如具有写保护的 _RAM、 FLASH 等。

[实施例 3]

图 3 示出了根据本发明的另一实施例的具有实现计算设备状态安全转换的设备的计算设备 100" 的。如图所示，该设备 100" 与实施例 2 中的设备 100 ' 基本相同，其中相同的元件用相同的参考标号表示，不同之处在于计算设备 100" 还包括与所述监控装置 110 连接的置位触发器 206，该触发器作为允许转换连接装置 205 进行正常转换的标志，同时向计算设备内的中央处理装置发出不可屏蔽的中.断。在转换过程中，转换连接装置 205 可通过读取该置位触发器的标志值来确定是否进行正常的转换；同时还包括一个复位触发器 207，分别与监控装置 110和置位触发器 206相连，其功能是当转换完成后，监控装置 110 向复位触发器 207发送一个信号，复位触发器 206 接收到该信号后复位所述的置位触发器 206，屏蔽掉转换连接装置 205 的转换功能，以禁止为其它的程序所用，非法进行转换。

[实施例 4]

图 4 示出了根据本发明的一实施例的一种实现计算设备状态安全转换的方法的流程图，如图所示，该方法包括有步骤：（1 ) 首先接收经所述状态转换指令输入装置 201 输入的一状态转换指令；

(2 ) 并发出一转换请求给一安全转换控制装置 208; ( 3 ) 所述转换控制装置 208 响应该转换请求，验证是否是经过身份认证的请求，如果是，则发出一不可屏蔽中断信号给所述中央处理装置 101，否则程序返回并处于等待状态；（4) 所述中央处理装置 101 响应该不可屏蔽中断信号，执行一个物理上保证不可更改的中断服务程序 (步骤；（5 ) 保存当前状态的计算设备中可变状态寄存器中的数据，并在保存完毕后向所述转换控制装置 208 发出一完成信号，所述转换控制装置 208响应该完成信号，向所述状态转换装置 200 中的所述转换控制装置 205发出指令，通过所述转换连接装置 205来完成与所述两状态保存装置之一的转换连接动作；（6 ) 在执行完中断服务程序后，所述转换控制装置 208通知所述中央处理装置 101 以便恢复前一状态的计算设备中可变状态寄存器中的数据）。 [实施例 5]

图 5 中示出了根据本发明的一实施例的一种实现计算设备状态安全转换的方法的流程图，如图所示，该方法包括步骤：该方法包括有步骤：（1 ) 首先接收经所述状态转换指令输入装置 201 输入的一状态转换指令；（2 ) 并发出一转换请求给一个监控装置 110; (3 ) 所述监控装置响应该转换请求，验证是否是经过身份认证的请求，如果是，则发出一不可屏蔽中断信号给所述中央处理装置 101，否则程序返回并处于等待状态；（4) 所述中央处理装置 101 响应该不可屏蔽中断信号，执行一个物理上保证不可更改的中断服务程序 (步骤；（5 ) 所述的监控装置验证正在执行的中断服务程序是否是存储在预定的存储器中的程序，并在确认计算设备处于中断服务程序的原语后，则程序继续进行，否则程序退出；（6)保存当前状态的计算设备中可变状态寄存器中的数据，并在保存完毕后向所述监控装置 110 发出一完成信号，所述监控装置 110 响应该完成信号，向所述转换连接装置 205发出指令，指示转换连接装置 205完成与所述两状态保存装置之一的转换连接动作；（7 ) 在执行完中断服务程序后，所述监控装置 110通知所述中央处理装置 101 以便恢复前一状态的计算设备中可变状态寄存器中的数据）。

[实施例 6]

图 6 中示出了根据本发明的一实施例的一种实现计算设备状态安全转换的方法的流程图，如图所示，该方法包括步骤：该方法包括有步骤：（1 ) 首先接收经所述状态转换指令输入装置 201 输入的一状态转换指令；（2) 并发出一转换请求给一个监控装置 110; ( 3) 所述监控装置响应该转换请求，验证是否是经过身份认证的请求； (4) 如果验证通过，则向一个置位触发器发出一个置位信号，并由置位触发器发出一个不可屏蔽中断信号给所述中央处理装置 101 ; ( 5 ) 所述中央处理装置 101 响应该不可屏蔽中断信号，执行一个物理上保证不可更改的中断服务程序；（6 ) 所述的监控装置验证正在执行的中断服务程序是否是存储在预定的存储器中的程序，并在确认计算设备处于中断服务程序的原语后，则程序继续进行，否则程序退出；（7)保存当前状态的计算设备中可变状态寄存器中的数据，并在保存完毕后向所述监控装置 110发出一完成信号，所述监控装置 110 响应该完成信号，向所述转换连接装置 205 发出指令，指示转换连接装置 205完成与所述两状态保存装置之一的转换连接动作；（8)转换连接装置 205 接收到转换指令后检査置位触发器的标志，并据此判断是否进行转换连接；（8) 在执行完中断服务程序并且进行了转换连接后，监控装置 110 指示复位触发器向置位触发器发出一个复位信号；（9)所述监控装置 110通知所述中央处理装置 101以便恢复前一状态的计算设备中可变状态寄存器中的数据。

尽管在以上的实施例中对本发明进行了描述，但可以理解，以上实施例的描述是说明性的而非限制性的，本领域的熟练技术人员可以理解，在不脱离由后附权利要求定义的本发明的精神和范围的前提下，可作出各种修改和替换。

Claims

权利要求书

1、一种用于实现计算设备状态安全转换的设备，包括：请求装置，用于请求计算设备从当前的状态转换到先前状态；转换装置，用于实现所述的计算设备的状态转换；

用于保证状态转换过程为绝对不可中断的控制装置，其中所述的控制装置响应于该请求装置发出的请求，控制该转换装置将计算设备从当前状态转换到先前的状态。

2、如权利要求 1所述的设备，其中所述的转换装置是一个转换开关，用于根据该控制装置发出的指令择一地在所述的当前状态与先前状态之间进行切换，以改变或恢复计算设备当前所有可变状态信息。

3、如权利要求 1所述的设备，其中该控制装置进一步包括一个认证装置，用于保证只有经过身份认证后转换装置才能执行转换。

4、如权利要求 1-3中任一个所述的设备，其中该控制装置包括: 存储器，存储有供完成状态转换操作的控制指令；

监控装置，用于保证响应于状态转换请求只能执行该存储器的控制指令，否则控制该转换装置不能进行转换。

5、如权利要求 4中任一个所述的设备，其中该控制装置进一步包括：

置位触发器，作为允许转换装置可以进行正常转换的标志，同时向计算设备内的中央处理装置发出不可屏蔽中断；

复位触发器，用于在转换完成后复位所述的置位触发器以防止为其它程序所用。

6、如权利要求 5所述的设备，其中该控制装置进一步包括一个中断监控装置，用于保证处理所述的不可屏蔽的程序在所述的复位触发器完成复位之前是不可再被中断的。

7、如权利要求 1-3 ·中任一个所述的设备，其中该控制装置包括: 存储器，存储有供完成状态转换操作的控制指令；禁止读写计算设备内所有 RAM 的装置，用于保证在转换过程中只能执行所述存储器中的程序。

8、一种用于实现计算设备状态安全转换的方法，包括： a) 接收要求进行计算设备从当前的状态转换到先前转换的请求；

b) 响应该请求，执行一个保证绝对不可中断的状态转换控制程序；

c) 将计算设备的状态从当前状态转换为先前存储的状态，以改变或恢复计算设备当前所有可变状态信息。

9、如权利要求 7所述的方法，其中步骤 b)进一步包括步骤：保证只有经过身份认证后才能执行转换。

10、如权利要求 7或 8所述的方法，其中步骤 b)包括： d)设置允许可以进行正常转换的标志，同时发出不可屏蔽中断； c) 在转换完成后复位所述的标志以防止为其它程序所用。

11、如权利要求 9所述的方法，其中所述的步骤 b)进一步包括步骤：

保证处理所述的不可屏蔽的程序在完成所述复位之前是不可再被中断的。

12、如权利要求 7-8中任一个所述的方法，其中步骤 b)包括步骤：

保证响应于状态转换请求只能执行预定的控制程序，否则不允许进行转换。

13、如权利要求 7-8中任一个所述的方法，其中步骤 b)包括步骤：

禁止读写计算设备内所有 RAM, 以保证在转换过程中只能执行所述存储器中的程序。