本發(fā)明涉及一種可用于數(shù)據(jù)安全應(yīng)用的通信鏈路。

背景技術(shù)：

1、惡意的軟件或簡(jiǎn)稱(chēng)惡意軟件是當(dāng)今的嚴(yán)重威脅。網(wǎng)絡(luò)犯罪者使用諸如鍵盤(pán)記錄器、屏幕捕獲器等間諜軟件來(lái)偷窺計(jì)算機(jī)用戶(hù)并竊取諸如個(gè)人憑證、登錄密碼、信用卡號(hào)、財(cái)務(wù)文件等重要數(shù)據(jù)。勒索軟件攻擊近年來(lái)也在上升。在這些攻擊中，網(wǎng)絡(luò)罪犯獲得對(duì)計(jì)算機(jī)用戶(hù)的數(shù)據(jù)的非法訪(fǎng)問(wèn)，并威脅公開(kāi)或出售這些數(shù)據(jù)或永久阻止對(duì)關(guān)鍵數(shù)據(jù)的訪(fǎng)問(wèn)，除非受害者支付贖金。

2、檢測(cè)惡意軟件變得越來(lái)越困難，因?yàn)閺?fù)雜的惡意軟件可以偽裝為合法軟件以逃避基于惡意軟件簽名或行為的檢測(cè)。還有惡意軟件利用操作系統(tǒng)或應(yīng)用軟件中的零日漏洞來(lái)繞過(guò)安全措施。

3、期望提供一種保護(hù)數(shù)據(jù)免受惡意軟件影響的有效且可靠的方法。

技術(shù)實(shí)現(xiàn)思路

1、在第一方面，提供了一種用于在計(jì)算機(jī)系統(tǒng)和用于計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)處理設(shè)備之間傳送數(shù)據(jù)的通信鏈路。通信鏈路包括第一單向鏈路和第二單向鏈路，第一單向鏈路用于將數(shù)據(jù)從計(jì)算機(jī)系統(tǒng)傳送到數(shù)據(jù)處理設(shè)備，并且包括硬件加密設(shè)備以在數(shù)據(jù)在數(shù)據(jù)處理設(shè)備處被接收之前對(duì)數(shù)據(jù)進(jìn)行加密，第二單向鏈路用于將數(shù)據(jù)從數(shù)據(jù)處理設(shè)備傳送到計(jì)算機(jī)系統(tǒng)。通過(guò)采用單向鏈路和硬件加密設(shè)備，通信鏈路可以使數(shù)據(jù)處理設(shè)備能夠向計(jì)算機(jī)系統(tǒng)提供抗惡意軟件的數(shù)據(jù)處理服務(wù)(例如，數(shù)據(jù)的存儲(chǔ)和/或輸出)，而不需要惡意軟件檢測(cè)。

2、第一單向鏈路可以將第一數(shù)據(jù)從計(jì)算機(jī)系統(tǒng)傳送到數(shù)據(jù)處理設(shè)備，并且第二單向鏈路可以將第二數(shù)據(jù)從數(shù)據(jù)處理設(shè)備傳送到計(jì)算機(jī)系統(tǒng)。優(yōu)選地，硬件加密設(shè)備包括用于生成加密密鑰的隨機(jī)數(shù)生成器。在具體實(shí)施例中，硬件加密設(shè)備被配置為從數(shù)據(jù)處理設(shè)備接收隨機(jī)位以在硬件加密設(shè)備處用作加密密鑰。優(yōu)選地，硬件加密設(shè)備被配置為不向計(jì)算機(jī)系統(tǒng)提供所生成或接收的加密密鑰。

3、在具體實(shí)施例中，第一和第二單向鏈路包括通用異步接收器發(fā)送器(uart)接口鏈路。

4、有利地，第一單向鏈路還包括第一數(shù)據(jù)二極管，并且第二單向鏈路包括第二數(shù)據(jù)二極管。具體地，第一數(shù)據(jù)二極管可以位于計(jì)算機(jī)系統(tǒng)和硬件加密設(shè)備之間。

5、在具體實(shí)施例中，硬件加密設(shè)備包括集成電路。優(yōu)選地，硬件加密設(shè)備包括異或(xor)邏輯門(mén)。有利地，硬件加密設(shè)備被配置為優(yōu)選地基于高級(jí)加密標(biāo)準(zhǔn)(aes)計(jì)數(shù)器模式或一次一密加密經(jīng)由xor運(yùn)算對(duì)接收的數(shù)據(jù)執(zhí)行加密操作。

6、設(shè)想第二單向鏈路可以包括硬件解密設(shè)備，以在數(shù)據(jù)在計(jì)算機(jī)系統(tǒng)處被接收之前對(duì)數(shù)據(jù)進(jìn)行解密。有利地，第二數(shù)據(jù)二極管(如果存在)位于數(shù)據(jù)處理設(shè)備和硬件解密設(shè)備之間。設(shè)想硬件解密設(shè)備可以包括集成電路。

7、在具體實(shí)施例中，通信鏈路還包括與計(jì)算機(jī)系統(tǒng)進(jìn)行第一單向通信并與數(shù)據(jù)處理設(shè)備進(jìn)行第二單向通信的網(wǎng)絡(luò)接口，其中第一單向鏈路被配置為將數(shù)據(jù)從網(wǎng)絡(luò)接口傳送到計(jì)算機(jī)系統(tǒng)，并且其中第二單向鏈路被配置為將數(shù)據(jù)從數(shù)據(jù)處理設(shè)備傳送到網(wǎng)絡(luò)接口。

8、在第二方面，提供了一種計(jì)算裝置，包括：至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)；用于至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)處理設(shè)備；以及至少一個(gè)通信鏈路，用于在計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)處理設(shè)備之間傳送數(shù)據(jù)。通信鏈路包括第一單向鏈路和第二單向鏈路，第一單向鏈路用于將數(shù)據(jù)從用戶(hù)計(jì)算機(jī)系統(tǒng)傳送到數(shù)據(jù)處理設(shè)備，并且包括硬件加密設(shè)備以在數(shù)據(jù)在數(shù)據(jù)處理設(shè)備處被接收之前對(duì)數(shù)據(jù)進(jìn)行加密，第二單向鏈路用于將數(shù)據(jù)從數(shù)據(jù)處理設(shè)備傳送到用戶(hù)計(jì)算機(jī)系統(tǒng)。優(yōu)選地，計(jì)算裝置僅包括數(shù)據(jù)處理設(shè)備和至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)之間的至少一個(gè)通信鏈路，即，數(shù)據(jù)處理設(shè)備和至少一個(gè)計(jì)算機(jī)系統(tǒng)之間沒(méi)有其他通信連接。還設(shè)想至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)可以被配置為僅經(jīng)由至少一個(gè)通信鏈路的第一單向鏈路將數(shù)據(jù)傳送出至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)。此外，設(shè)想數(shù)據(jù)處理設(shè)備可以被配置為除了經(jīng)由至少一個(gè)通信鏈路的第一單向鏈路之外不將傳送的數(shù)據(jù)接收到數(shù)據(jù)處理設(shè)備中。還進(jìn)一步設(shè)想，至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)可以被配置為僅經(jīng)由至少一個(gè)通信鏈路的第二單向鏈路將傳送的數(shù)據(jù)接收到至少一個(gè)計(jì)算機(jī)系統(tǒng)中。

9、應(yīng)當(dāng)理解，數(shù)據(jù)處理設(shè)備和至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)中的一者或兩者可以被配置為接收直接的用戶(hù)輸入。

10、在具體實(shí)施例中，計(jì)算裝置可以包括：第一用戶(hù)計(jì)算機(jī)系統(tǒng)；第二用戶(hù)計(jì)算機(jī)系統(tǒng)；用于第一用戶(hù)計(jì)算機(jī)系統(tǒng)和第二用戶(hù)計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)處理設(shè)備；用于在數(shù)據(jù)處理設(shè)備和第一用戶(hù)計(jì)算機(jī)系統(tǒng)之間傳送數(shù)據(jù)的第一通信鏈路，以及用于在數(shù)據(jù)處理設(shè)備和第一用戶(hù)計(jì)算機(jī)系統(tǒng)之間傳送數(shù)據(jù)的第二通信鏈路。第一通信鏈路和第二通信鏈路中的每一個(gè)包括第一單向鏈路和第二單向鏈路，第一單向鏈路用于將數(shù)據(jù)從相應(yīng)的用戶(hù)計(jì)算機(jī)系統(tǒng)傳送到數(shù)據(jù)處理設(shè)備，并且包括硬件加密設(shè)備，以在數(shù)據(jù)在數(shù)據(jù)處理設(shè)備處被接收之前對(duì)數(shù)據(jù)進(jìn)行加密，第二單向鏈路用于將數(shù)據(jù)從數(shù)據(jù)處理設(shè)備傳送到相應(yīng)的用戶(hù)計(jì)算機(jī)系統(tǒng)。

11、在具體實(shí)施例中，計(jì)算裝置還包括聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)；第三單向鏈路，用于將數(shù)據(jù)從聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)傳送到至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)；以及第四單向鏈路，用于將數(shù)據(jù)從數(shù)據(jù)處理設(shè)備傳送到聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)。優(yōu)選地，在聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)處理設(shè)備之間僅提供第四單向鏈路，并且其中在至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)和聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)之間僅提供第三單向鏈路，即，在它們之間不提供其他直接通信連接。設(shè)想計(jì)算裝置還可以包括與聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)雙向通信的網(wǎng)絡(luò)接口，并且第四單向鏈路可操作以將數(shù)據(jù)從數(shù)據(jù)處理設(shè)備傳送到網(wǎng)絡(luò)接口，并且第三單向鏈路可操作以將數(shù)據(jù)從網(wǎng)絡(luò)接口傳送到至少一個(gè)計(jì)算機(jī)系統(tǒng)。

12、在具體實(shí)施例中，計(jì)算裝置可以包括連接到外部網(wǎng)絡(luò)的聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)和用于在聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)處理設(shè)備之間傳送數(shù)據(jù)的通信鏈路，通信鏈路包括第一單向鏈路和第二單向鏈路，第一單向鏈路用于將數(shù)據(jù)從聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)傳送到數(shù)據(jù)處理設(shè)備并且包括硬件加密設(shè)備以在數(shù)據(jù)在數(shù)據(jù)處理設(shè)備處被接收之前對(duì)數(shù)據(jù)進(jìn)行加密，第二單向鏈路用于將數(shù)據(jù)從數(shù)據(jù)處理設(shè)備傳送到聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)。設(shè)想一個(gè)或多個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)本身可以連接到與外部網(wǎng)絡(luò)隔離的網(wǎng)絡(luò)，即內(nèi)聯(lián)網(wǎng)。

13、在第三方面，提供了一種在計(jì)算裝置中處理數(shù)據(jù)的方法。計(jì)算裝置包括至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)；用于至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)處理設(shè)備；以及至少一個(gè)通信鏈路，用于在用戶(hù)計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)處理設(shè)備之間傳送數(shù)據(jù)。通信鏈路包括第一單向鏈路和第二單向鏈路，第一單向鏈路用于將數(shù)據(jù)從用戶(hù)計(jì)算機(jī)系統(tǒng)傳送到數(shù)據(jù)處理設(shè)備，并且包括硬件加密設(shè)備以在數(shù)據(jù)在數(shù)據(jù)處理設(shè)備處被接收之前對(duì)數(shù)據(jù)進(jìn)行加密，第二單向鏈路用于將數(shù)據(jù)從數(shù)據(jù)處理設(shè)備傳送到用戶(hù)計(jì)算機(jī)系統(tǒng)。方法包括：在聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)處從網(wǎng)絡(luò)接收數(shù)據(jù)；將數(shù)據(jù)傳送到至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)以顯示給用戶(hù)；經(jīng)由至少一個(gè)通信鏈路將數(shù)據(jù)傳送到數(shù)據(jù)處理設(shè)備；以及將數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)處理設(shè)備中或存儲(chǔ)在連接到數(shù)據(jù)處理設(shè)備的數(shù)據(jù)存儲(chǔ)設(shè)備中。

14、在第四方面，提供了一種使用計(jì)算裝置向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)的方法。計(jì)算裝置包括至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)；用于至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)處理設(shè)備；至少一個(gè)通信鏈路，用于在計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)處理設(shè)備之間傳送數(shù)據(jù)；第三單向鏈路，用于將數(shù)據(jù)從聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)傳送到至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)；以及第四單向鏈路，用于將數(shù)據(jù)從數(shù)據(jù)處理設(shè)備傳送到聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)。通信鏈路包括第一單向鏈路，第一單向鏈路用于將數(shù)據(jù)從用戶(hù)計(jì)算機(jī)系統(tǒng)傳送到數(shù)據(jù)處理設(shè)備，并且包括硬件加密設(shè)備，硬件加密設(shè)備用于在數(shù)據(jù)在數(shù)據(jù)處理設(shè)備處被接收之前對(duì)數(shù)據(jù)進(jìn)行加密；以及第二單向鏈路，用于將數(shù)據(jù)從數(shù)據(jù)處理設(shè)備傳送到用戶(hù)計(jì)算機(jī)系統(tǒng)。該方法包括在至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)處接收指示要發(fā)送的數(shù)據(jù)的用戶(hù)輸入；經(jīng)由至少一個(gè)通信鏈路將要發(fā)送的數(shù)據(jù)從至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)傳送到數(shù)據(jù)處理設(shè)備；將要發(fā)送的數(shù)據(jù)從數(shù)據(jù)處理設(shè)備傳送到聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)；以及將要發(fā)送的數(shù)據(jù)從聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)傳送到網(wǎng)絡(luò)。在具體實(shí)施例中，在至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)處接收用戶(hù)輸入包括在數(shù)據(jù)處理設(shè)備處接收用戶(hù)輸入并將其中繼到至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)。

15、設(shè)想該方法還可以包括將數(shù)據(jù)的預(yù)期接收者的公鑰和會(huì)話(huà)密鑰從數(shù)據(jù)處理設(shè)備發(fā)送到至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)；在至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)處用會(huì)話(huà)密鑰對(duì)要發(fā)送的數(shù)據(jù)進(jìn)行加密，并且用預(yù)期接收者的公鑰對(duì)會(huì)話(huà)密鑰進(jìn)行加密；經(jīng)由至少一個(gè)通信鏈路將加密的要發(fā)送的數(shù)據(jù)和加密的會(huì)話(huà)密鑰從至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)傳送到數(shù)據(jù)處理設(shè)備；以及從聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)向網(wǎng)絡(luò)發(fā)送加密的要發(fā)送的數(shù)據(jù)和加密的會(huì)話(huà)密鑰。優(yōu)選地，該方法還包括由硬件加密設(shè)備移除聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)處的至少一個(gè)通信鏈路的硬件加密。在具體實(shí)施例中，可以在數(shù)據(jù)處理設(shè)備處將要發(fā)送的數(shù)據(jù)的硬件加密從第一加密類(lèi)型轉(zhuǎn)換為第二加密類(lèi)型。設(shè)想該方法還可以包括在至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)處用標(biāo)簽標(biāo)記要發(fā)送的數(shù)據(jù)，并在數(shù)據(jù)處理設(shè)備處識(shí)別標(biāo)簽以確定在數(shù)據(jù)處理設(shè)備處如何處理要發(fā)送的數(shù)據(jù)。

16、在第五方面，提供了一種使用計(jì)算裝置認(rèn)證用戶(hù)的方法。該計(jì)算裝置包括至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)；用于至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)處理設(shè)備；以及至少一個(gè)通信鏈路。通信鏈路包括第一單向鏈路，第一單向鏈路用于將數(shù)據(jù)從用戶(hù)計(jì)算機(jī)系統(tǒng)傳送到數(shù)據(jù)處理設(shè)備，并且包括硬件加密設(shè)備，硬件加密設(shè)備用于在數(shù)據(jù)在數(shù)據(jù)處理設(shè)備處被接收之前對(duì)數(shù)據(jù)進(jìn)行加密；以及第二單向鏈路，用于將數(shù)據(jù)從數(shù)據(jù)處理設(shè)備傳送到用戶(hù)計(jì)算機(jī)系統(tǒng)。認(rèn)證用戶(hù)的方法包括在至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)處從驗(yàn)證器接收隨機(jī)數(shù)；在至少一個(gè)用戶(hù)計(jì)算機(jī)系統(tǒng)處將其顯示給用戶(hù)；

17、由用戶(hù)在數(shù)據(jù)處理設(shè)備處輸入隨機(jī)數(shù)；

18、在數(shù)據(jù)處理設(shè)備處使用隨機(jī)數(shù)和用戶(hù)密碼執(zhí)行密碼操作，并將密碼操作的輸出發(fā)送到驗(yàn)證器以用于用戶(hù)的認(rèn)證。在具體實(shí)施例中，該方法還包括由用戶(hù)在數(shù)據(jù)處理設(shè)備處輸入密碼。在另一具體實(shí)施例中，數(shù)據(jù)處理設(shè)備包括數(shù)據(jù)存儲(chǔ)設(shè)備，并且該方法還包括由數(shù)據(jù)處理設(shè)備從數(shù)據(jù)存儲(chǔ)設(shè)備取得密碼。

19、在第六方面，提供了一種計(jì)算裝置，包括：聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)；用戶(hù)計(jì)算機(jī)系統(tǒng)；第一單向通信鏈路，用于將數(shù)據(jù)從聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)傳送到用戶(hù)計(jì)算機(jī)系統(tǒng)；數(shù)據(jù)處理設(shè)備；數(shù)據(jù)處理通信鏈路，數(shù)據(jù)處理通信鏈路在用戶(hù)計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)處理設(shè)備之間并且被配置為在用戶(hù)計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)處理設(shè)備之間傳送數(shù)據(jù)；第二單向通信鏈路，用于將數(shù)據(jù)從數(shù)據(jù)處理設(shè)備傳送到聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)；以及與數(shù)據(jù)處理設(shè)備通信連接的至少一個(gè)外圍輸入設(shè)備。優(yōu)選地，數(shù)據(jù)處理設(shè)備被配置為僅響應(yīng)于在外圍輸入設(shè)備處接收到的命令而從用戶(hù)計(jì)算機(jī)系統(tǒng)接收數(shù)據(jù)。在具體實(shí)施例中，數(shù)據(jù)處理設(shè)備被配置為在數(shù)據(jù)處理設(shè)備處以加密形式存儲(chǔ)接收的數(shù)據(jù)?？商娲鼗蛄硗獾?，計(jì)算裝置還包括連接到數(shù)據(jù)處理設(shè)備的存儲(chǔ)設(shè)備，并且數(shù)據(jù)處理設(shè)備被配置為將由數(shù)據(jù)處理設(shè)備接收的數(shù)據(jù)以加密形式發(fā)送到存儲(chǔ)設(shè)備以存儲(chǔ)在存儲(chǔ)設(shè)備中。

20、有利地，數(shù)據(jù)處理設(shè)備被配置為僅響應(yīng)于在至少一個(gè)外圍輸入設(shè)備處接收到另外的命令而將數(shù)據(jù)傳送出數(shù)據(jù)處理設(shè)備。在具體實(shí)施例中，數(shù)據(jù)處理設(shè)備被配置為僅響應(yīng)于在至少一個(gè)外圍輸入設(shè)備處接收到解密密鑰傳送命令而從數(shù)據(jù)處理設(shè)備傳送解密密鑰。

21、優(yōu)選地，數(shù)據(jù)處理通信鏈路包括用于在用戶(hù)計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)處理設(shè)備之間傳送數(shù)據(jù)的雙向通信鏈路，并且計(jì)算裝置被配置為使用加密密鑰對(duì)數(shù)據(jù)處理設(shè)備經(jīng)由雙向通信鏈路從用戶(hù)計(jì)算機(jī)系統(tǒng)接收的所有數(shù)據(jù)進(jìn)行加密，并且其中用戶(hù)計(jì)算機(jī)系統(tǒng)不能訪(fǎng)問(wèn)加密密鑰。

22、在第七方面，提供了一種聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)；數(shù)據(jù)處理設(shè)備；至少一個(gè)外圍輸入設(shè)備，至少一個(gè)外圍輸入設(shè)備與數(shù)據(jù)處理設(shè)備通信連接；雙向通信鏈路，用于在聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)處理設(shè)備之間傳送數(shù)據(jù)，其中計(jì)算裝置被配置為使用加密密鑰對(duì)由數(shù)據(jù)處理設(shè)備經(jīng)由雙向通信鏈路從聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)接收的所有數(shù)據(jù)進(jìn)行加密，并且其中聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)不能訪(fǎng)問(wèn)加密密鑰，并且進(jìn)一步地，其中數(shù)據(jù)處理設(shè)備被配置為僅響應(yīng)于在至少一個(gè)外圍輸入設(shè)備處接收到命令而將數(shù)據(jù)從數(shù)據(jù)處理設(shè)備傳送到聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)。

23、在第八方面，提供了一種數(shù)據(jù)傳送方法。該方法包括經(jīng)由兩個(gè)單向數(shù)據(jù)傳送鏈路在兩個(gè)計(jì)算設(shè)備之間沿相反方向傳送數(shù)據(jù)，其中單向數(shù)據(jù)傳送鏈路中的一個(gè)是加密鏈路，該加密鏈路包含對(duì)通過(guò)它的所有數(shù)據(jù)進(jìn)行加密的硬件。

24、在具體實(shí)施例中，加密密鑰可以在硬件加密模塊內(nèi)生成，或者由連接到硬件加密模塊的外部隨機(jī)位生成器提供，或者由接收加密數(shù)據(jù)的計(jì)算設(shè)備提供。另外，優(yōu)選地，發(fā)送數(shù)據(jù)的計(jì)算設(shè)備不能訪(fǎng)問(wèn)加密密鑰和解密密鑰。解密密鑰可以保存在接收加密數(shù)據(jù)的計(jì)算設(shè)備中，例如保存在數(shù)據(jù)存儲(chǔ)驅(qū)動(dòng)器中，或者保存在可移除存儲(chǔ)器設(shè)備中。

25、在具體實(shí)施例中，數(shù)據(jù)傳送方法的單向數(shù)據(jù)傳送鏈路可以用uart(通用異步接收器發(fā)送器)接口來(lái)實(shí)現(xiàn)。也可以使用其他單向數(shù)據(jù)傳送協(xié)議，例如udp(用戶(hù)數(shù)據(jù)報(bào)協(xié)議)。

26、在具體實(shí)施例中，諸如光耦合器或光隔離器的數(shù)據(jù)二極管可以用于強(qiáng)制執(zhí)行數(shù)據(jù)傳送的嚴(yán)格單向性。

27、在具體實(shí)施例中，硬件加密模塊可以用集成電路實(shí)現(xiàn)，例如fpga(現(xiàn)場(chǎng)可編程門(mén)陣列)。加密操作可以用xor(異或)門(mén)來(lái)實(shí)現(xiàn)，其中隨機(jī)位用作一次一密加密的密鑰。也可以使用其他形式的數(shù)據(jù)加密，諸如aes(高級(jí)加密標(biāo)準(zhǔn))。

28、在具體實(shí)施例中，不包含硬件加密模塊的單向鏈路可以包含硬件解密模塊(hdm)。在從數(shù)據(jù)發(fā)送計(jì)算設(shè)備接收到加密數(shù)據(jù)和解密密鑰時(shí)，hdm在將解密數(shù)據(jù)傳送到數(shù)據(jù)接收計(jì)算設(shè)備之前執(zhí)行數(shù)據(jù)的解密。hdm可以用集成電路實(shí)現(xiàn)，例如fpga。

29、優(yōu)選地，在使用數(shù)據(jù)二極管的單向數(shù)據(jù)傳送鏈路上，硬件加密模塊或硬件解密模塊相對(duì)于數(shù)據(jù)流的方向被放置在數(shù)據(jù)二極管之后，以防止行進(jìn)到硬件加密模塊或硬件解密模塊的數(shù)據(jù)重新進(jìn)入數(shù)據(jù)發(fā)送計(jì)算設(shè)備。在不關(guān)注這種風(fēng)險(xiǎn)的實(shí)施方式中，可以交換它們的位置。

30、在第九方面，提供了一種包括第一計(jì)算設(shè)備和第二計(jì)算設(shè)備的方法。兩個(gè)計(jì)算設(shè)備通過(guò)第八方面的數(shù)據(jù)傳送方法連接。第一計(jì)算設(shè)備可以?xún)H經(jīng)由單向鏈路從第二計(jì)算設(shè)備和其他計(jì)算設(shè)備接收數(shù)據(jù)。第二計(jì)算設(shè)備可僅經(jīng)由單向鏈路將數(shù)據(jù)發(fā)送到第一計(jì)算設(shè)備或其它計(jì)算設(shè)備。第二計(jì)算設(shè)備可以?xún)H經(jīng)由單向加密鏈路從第一計(jì)算設(shè)備接收數(shù)據(jù)。該方法可以防止數(shù)據(jù)從第一計(jì)算設(shè)備泄漏并保護(hù)存儲(chǔ)在第二計(jì)算設(shè)備中的數(shù)據(jù)。更具體地，可以保護(hù)其中可以解密和顯示數(shù)據(jù)的第一計(jì)算設(shè)備免受間諜軟件的影響，并且可以保護(hù)其中可以存儲(chǔ)關(guān)鍵數(shù)據(jù)的第二計(jì)算設(shè)備免受勒索軟件的影響。

31、在具體實(shí)施例中，第一計(jì)算設(shè)備從連接到外部網(wǎng)絡(luò)的第三計(jì)算設(shè)備接收加密數(shù)據(jù)，例如加密的電子郵件或消息。第一計(jì)算設(shè)備對(duì)接收到的加密數(shù)據(jù)進(jìn)行解密，并在計(jì)算機(jī)屏幕上顯示解密數(shù)據(jù)。第二計(jì)算設(shè)備接收用戶(hù)指令以向外部網(wǎng)絡(luò)的接收者發(fā)送數(shù)據(jù)，例如電子郵件或消息。第二計(jì)算設(shè)備對(duì)數(shù)據(jù)進(jìn)行加密并將加密數(shù)據(jù)發(fā)送到第三計(jì)算設(shè)備或連接到外部網(wǎng)絡(luò)的另一計(jì)算設(shè)備，以使其將數(shù)據(jù)發(fā)送到外部網(wǎng)絡(luò)。

32、在具體實(shí)施例中，第一計(jì)算設(shè)備和第二計(jì)算設(shè)備都可以經(jīng)由外圍輸入設(shè)備接收諸如命令的用戶(hù)輸入數(shù)據(jù)。替代地，從連接到第二計(jì)算設(shè)備的外圍輸入設(shè)備接收的用戶(hù)輸入數(shù)據(jù)可以被中繼到第一計(jì)算設(shè)備。

33、在第十方面，提供了又一種包括第一計(jì)算設(shè)備和第二計(jì)算設(shè)備的方法。兩個(gè)計(jì)算設(shè)備通過(guò)第八方面的數(shù)據(jù)傳送方法連接。第一計(jì)算設(shè)備可以經(jīng)由單向鏈路僅從第二計(jì)算設(shè)備接收數(shù)據(jù)。第二計(jì)算設(shè)備可僅經(jīng)由單向鏈路將數(shù)據(jù)發(fā)送到第一計(jì)算設(shè)備或其它計(jì)算設(shè)備。第二計(jì)算設(shè)備可以?xún)H經(jīng)由單向加密鏈路從第一計(jì)算設(shè)備和其他計(jì)算設(shè)備接收數(shù)據(jù)。該方法可以是特別安全的，因?yàn)榈谝挥?jì)算設(shè)備僅從第二計(jì)算設(shè)備接收數(shù)據(jù)而不從其他計(jì)算設(shè)備接收數(shù)據(jù)，從而減少其攻擊面。其次，這種布置促進(jìn)到第二計(jì)算設(shè)備的多個(gè)連接，第二計(jì)算設(shè)備現(xiàn)在可以充當(dāng)?shù)蕉鄠€(gè)用戶(hù)的集線(xiàn)器或橋接器的角色。

34、在具體實(shí)施例中，第二計(jì)算設(shè)備從連接到外部網(wǎng)絡(luò)的第三計(jì)算設(shè)備接收加密數(shù)據(jù)，例如加密的電子郵件或消息。第二計(jì)算設(shè)備將加密數(shù)據(jù)轉(zhuǎn)發(fā)到第一計(jì)算設(shè)備。第一計(jì)算設(shè)備對(duì)接收到的加密數(shù)據(jù)進(jìn)行解密，并在計(jì)算機(jī)屏幕上顯示解密數(shù)據(jù)。第二計(jì)算設(shè)備從連接到第二計(jì)算設(shè)備的外圍輸入設(shè)備接收用戶(hù)輸入數(shù)據(jù)。從外圍輸入設(shè)備接收的用戶(hù)輸入數(shù)據(jù)可以被中繼到第一計(jì)算設(shè)備以在計(jì)算機(jī)屏幕上顯示。第二計(jì)算設(shè)備從用戶(hù)接收指令以向外部網(wǎng)絡(luò)的接收者發(fā)送數(shù)據(jù)，例如電子郵件或消息，第二計(jì)算設(shè)備對(duì)數(shù)據(jù)進(jìn)行加密并將加密數(shù)據(jù)發(fā)送到第三計(jì)算設(shè)備或連接到外部網(wǎng)絡(luò)的另一計(jì)算設(shè)備，以使其將數(shù)據(jù)發(fā)送到外部網(wǎng)絡(luò)。

35、在具體實(shí)施例中，第一計(jì)算設(shè)備和第二計(jì)算設(shè)備都可以經(jīng)由外圍輸入設(shè)備接收諸如命令的用戶(hù)輸入數(shù)據(jù)。替代地，從連接到第二計(jì)算設(shè)備的外圍輸入設(shè)備接收的用戶(hù)輸入數(shù)據(jù)可以被中繼到第一計(jì)算設(shè)備。

36、在第九方面或第十方面的具體實(shí)施例中，第二計(jì)算設(shè)備可以在沒(méi)有單向加密的情況下經(jīng)由雙向數(shù)據(jù)傳送鏈路連接到其他計(jì)算設(shè)備，只要其他計(jì)算設(shè)備既不連接到外部網(wǎng)絡(luò)，也不連接到連接到外部網(wǎng)絡(luò)的其他計(jì)算設(shè)備，也不對(duì)任何數(shù)據(jù)進(jìn)行解密。例如，第二計(jì)算設(shè)備可以在沒(méi)有單向加密的情況下經(jīng)由雙向數(shù)據(jù)傳送鏈路連接到私有文件服務(wù)器，該私有文件服務(wù)器沒(méi)有到外部網(wǎng)絡(luò)的連接。只要文件服務(wù)器不連接到外部網(wǎng)絡(luò)或除第二計(jì)算設(shè)備之外的計(jì)算設(shè)備，并且它不對(duì)任何數(shù)據(jù)進(jìn)行解密，它就可以具有與第二計(jì)算設(shè)備相同的安全級(jí)別。

37、設(shè)想可以存在僅通過(guò)第八方面的數(shù)據(jù)傳送方法連接到第二計(jì)算設(shè)備的多于一個(gè)的計(jì)算設(shè)備。這些計(jì)算設(shè)備中的每一個(gè)可以執(zhí)行不同的功能。例如，第一計(jì)算設(shè)備可以用于對(duì)從第三計(jì)算設(shè)備接收的電子郵件和消息進(jìn)行解密，而第四計(jì)算設(shè)備可以用于起草機(jī)密文檔。

38、進(jìn)一步設(shè)想，第九方面和第十方面可以組合到包括第一計(jì)算設(shè)備和第四計(jì)算設(shè)備的系統(tǒng)中，第一計(jì)算設(shè)備和第四計(jì)算設(shè)備僅通過(guò)第八方面的數(shù)據(jù)傳送方法連接到第二計(jì)算設(shè)備。第一計(jì)算設(shè)備可以?xún)H經(jīng)由單向鏈路從第二計(jì)算設(shè)備和諸如第三計(jì)算設(shè)備的其他計(jì)算設(shè)備接收數(shù)據(jù)。第二計(jì)算設(shè)備可僅經(jīng)由單向鏈路將數(shù)據(jù)發(fā)送到第一計(jì)算設(shè)備、第四計(jì)算設(shè)備及其他計(jì)算設(shè)備(例如第三計(jì)算設(shè)備)。第二計(jì)算設(shè)備可以?xún)H經(jīng)由單向加密鏈路從第一計(jì)算設(shè)備和第四計(jì)算設(shè)備接收數(shù)據(jù)。第四計(jì)算設(shè)備可以經(jīng)由單向鏈路僅從第二計(jì)算設(shè)備接收數(shù)據(jù)。這可以使第一計(jì)算設(shè)備從第三計(jì)算設(shè)備接收數(shù)據(jù)更高效。

39、在第十一方面，提供了又一種方法，其中第一計(jì)算設(shè)備通過(guò)第八方面的數(shù)據(jù)傳送方法連接到第一網(wǎng)絡(luò)接口，其中從第一網(wǎng)絡(luò)接口接收的數(shù)據(jù)在它們可以進(jìn)入第一計(jì)算設(shè)備之前由硬件加密模塊加密。第一網(wǎng)絡(luò)接口還連接到具有到外部網(wǎng)絡(luò)的連接的一個(gè)或多個(gè)計(jì)算設(shè)備，使得多個(gè)用戶(hù)可以通過(guò)連接到第一網(wǎng)絡(luò)接口同時(shí)利用第一計(jì)算設(shè)備的功能。另外，第一計(jì)算設(shè)備可以通過(guò)第八方面的數(shù)據(jù)傳送方法連接到第二網(wǎng)絡(luò)接口，其中從第二網(wǎng)絡(luò)接口接收的數(shù)據(jù)在它們可以進(jìn)入第一計(jì)算設(shè)備之前由硬件加密模塊加密。第二網(wǎng)絡(luò)接口還連接到?jīng)]有到外部網(wǎng)絡(luò)的連接的一個(gè)或多個(gè)計(jì)算設(shè)備。來(lái)自用戶(hù)的加密數(shù)據(jù)可以在沒(méi)有連接到外部網(wǎng)絡(luò)的計(jì)算設(shè)備之一中被解密和處理，并且數(shù)據(jù)可以被傳送到第一計(jì)算設(shè)備并以加密形式存儲(chǔ)在連接到第一計(jì)算設(shè)備的存儲(chǔ)設(shè)備中。

40、在具體實(shí)施例中，中繼設(shè)備接收經(jīng)由外圍輸入設(shè)備輸入的用戶(hù)輸入數(shù)據(jù)。中繼設(shè)備通過(guò)輸入接口將所接收的用戶(hù)輸入數(shù)據(jù)饋送到第一計(jì)算設(shè)備中。另外，僅允許經(jīng)由中繼設(shè)備接收的命令處理或傳送存儲(chǔ)在第一計(jì)算設(shè)備的存儲(chǔ)設(shè)備中的數(shù)據(jù)。另外，連接到第二網(wǎng)絡(luò)接口的第二計(jì)算設(shè)備可以接收通過(guò)第一計(jì)算設(shè)備和中繼設(shè)備中繼的命令。另外，僅允許經(jīng)由連接到第二計(jì)算設(shè)備的外圍輸入設(shè)備或經(jīng)由通過(guò)第一計(jì)算設(shè)備和中繼設(shè)備的中繼接收的命令將數(shù)據(jù)傳送到第二計(jì)算設(shè)備中和從第二計(jì)算設(shè)備傳送出。另外，連接到第一網(wǎng)絡(luò)接口的第三計(jì)算設(shè)備可以直接從連接到第三計(jì)算設(shè)備的外圍輸入設(shè)備或者經(jīng)由中繼設(shè)備和第一計(jì)算設(shè)備接收命令。另外，從外圍輸入設(shè)備行進(jìn)到中繼設(shè)備的數(shù)據(jù)可以被加密。

41、在另一具體實(shí)施例中，第一計(jì)算設(shè)備可以直接從外圍輸入設(shè)備接收用戶(hù)輸入數(shù)據(jù)，而不需要中繼設(shè)備。

42、在另一具體實(shí)施例中，第一計(jì)算設(shè)備和第二計(jì)算設(shè)備通過(guò)第八方面的數(shù)據(jù)傳送方法連接，其中來(lái)自第一計(jì)算設(shè)備的所有數(shù)據(jù)在它們可以進(jìn)入第二計(jì)算設(shè)備之前由硬件加密模塊加密。另外，網(wǎng)絡(luò)接口通過(guò)單向數(shù)據(jù)傳送鏈路連接到第一計(jì)算設(shè)備和第二計(jì)算設(shè)備，使得網(wǎng)絡(luò)接口僅可以向第一計(jì)算設(shè)備發(fā)送數(shù)據(jù)并且僅從第二計(jì)算設(shè)備接收數(shù)據(jù)。網(wǎng)絡(luò)接口連接到第一網(wǎng)絡(luò)開(kāi)關(guān)，使得多個(gè)計(jì)算設(shè)備可以經(jīng)由第一網(wǎng)絡(luò)開(kāi)關(guān)連接到網(wǎng)絡(luò)接口，以向第一計(jì)算設(shè)備發(fā)送數(shù)據(jù)或從第二計(jì)算設(shè)備接收數(shù)據(jù)。第二網(wǎng)絡(luò)開(kāi)關(guān)將計(jì)算機(jī)屏幕數(shù)據(jù)發(fā)送到相應(yīng)的用戶(hù)，而第三網(wǎng)絡(luò)開(kāi)關(guān)將用戶(hù)輸入數(shù)據(jù)中繼到第二計(jì)算設(shè)備。優(yōu)選地，為了安全起見(jiàn)，對(duì)由所有網(wǎng)絡(luò)開(kāi)關(guān)處理的數(shù)據(jù)進(jìn)行加密。

43、在第十二方面，提供了一種方法，其中從外部網(wǎng)絡(luò)接收數(shù)據(jù)并對(duì)數(shù)據(jù)進(jìn)行解密由第一計(jì)算設(shè)備執(zhí)行，而對(duì)數(shù)據(jù)進(jìn)行加密并將加密數(shù)據(jù)發(fā)送到外部網(wǎng)絡(luò)由第二計(jì)算設(shè)備執(zhí)行。兩個(gè)計(jì)算設(shè)備僅通過(guò)第八方面的數(shù)據(jù)傳送方法連接，其中來(lái)自第一計(jì)算設(shè)備的所有數(shù)據(jù)在它們可以進(jìn)入第二計(jì)算設(shè)備之前由硬件加密模塊加密。第一計(jì)算設(shè)備經(jīng)由單向數(shù)據(jù)傳送鏈路從外部網(wǎng)絡(luò)或從另一計(jì)算設(shè)備接收加密數(shù)據(jù)。第一計(jì)算設(shè)備可以對(duì)加密數(shù)據(jù)進(jìn)行解密并在計(jì)算機(jī)屏幕上顯示解密數(shù)據(jù)。第二計(jì)算設(shè)備從外圍輸入設(shè)備接收用戶(hù)輸入數(shù)據(jù)或者從第一計(jì)算設(shè)備接收由硬件加密模塊加密的數(shù)據(jù)。第二計(jì)算設(shè)備可以對(duì)數(shù)據(jù)進(jìn)行加密并經(jīng)由單向數(shù)據(jù)傳送鏈路將加密數(shù)據(jù)發(fā)送到外部網(wǎng)絡(luò)或具有到外部網(wǎng)絡(luò)的連接的另一計(jì)算設(shè)備。這可以確?？赡荞v留在接收到的數(shù)據(jù)中的任何惡意軟件不能訪(fǎng)問(wèn)用戶(hù)的私有數(shù)據(jù)，其在加密之前可能是易受攻擊的。

44、在第十三方面，提供了一種方法，其中解密數(shù)據(jù)的顯示和處理由第一計(jì)算設(shè)備執(zhí)行，并且加密數(shù)據(jù)的存儲(chǔ)由第二計(jì)算設(shè)備執(zhí)行。兩個(gè)計(jì)算設(shè)備僅通過(guò)第八方面的數(shù)據(jù)傳送方法連接，其中來(lái)自第一計(jì)算設(shè)備的所有數(shù)據(jù)在它們可以進(jìn)入第二計(jì)算設(shè)備之前由硬件加密模塊加密。未加密數(shù)據(jù)在第一計(jì)算設(shè)備中被處理并被傳送到第二計(jì)算設(shè)備以便以加密形式存儲(chǔ)。加密密鑰不可由第一計(jì)算設(shè)備訪(fǎng)問(wèn)。具有用于不同任務(wù)的不同計(jì)算設(shè)備，并且兩個(gè)計(jì)算設(shè)備僅通過(guò)第八方面的通信方法連接，可能進(jìn)入第一計(jì)算設(shè)備的任何惡意軟件可能無(wú)法直接訪(fǎng)問(wèn)以加密形式存儲(chǔ)在第二計(jì)算設(shè)備中的數(shù)據(jù)。

45、在具體實(shí)施例中，在直接經(jīng)由第二計(jì)算設(shè)備的外圍輸入接口從用戶(hù)接收到命令時(shí)，第二計(jì)算設(shè)備可以在不解密所存儲(chǔ)的數(shù)據(jù)的情況下處理所存儲(chǔ)的數(shù)據(jù)或?qū)⑺鎯?chǔ)的數(shù)據(jù)傳送到第一計(jì)算設(shè)備。解密所需的密鑰與加密數(shù)據(jù)一起被傳送到第一計(jì)算設(shè)備。

46、在第十四方面，提供了一種方法，包括僅通過(guò)第八方面的數(shù)據(jù)傳送方法連接的第一計(jì)算設(shè)備和第二計(jì)算設(shè)備，其中來(lái)自第一計(jì)算設(shè)備的所有數(shù)據(jù)在它們可以進(jìn)入第二計(jì)算設(shè)備之前由硬件加密模塊加密。第一計(jì)算設(shè)備向第二計(jì)算設(shè)備發(fā)送預(yù)定數(shù)量的字節(jié)的標(biāo)簽或標(biāo)記，其中每個(gè)標(biāo)簽或標(biāo)記表示可以根據(jù)查找表的一條信息。第二計(jì)算設(shè)備對(duì)預(yù)定數(shù)量的字節(jié)進(jìn)行解密以獲得標(biāo)簽或標(biāo)記，并學(xué)習(xí)所傳達(dá)的信息，其可以基于相同的查找表。查找表可以預(yù)先安裝在兩個(gè)計(jì)算設(shè)備中。設(shè)想標(biāo)簽或標(biāo)記的大小可以短至2字節(jié)，或者在某些情況下更長(zhǎng)，例如256字節(jié)。第二計(jì)算設(shè)備可以根據(jù)由標(biāo)簽或標(biāo)記傳達(dá)的信息來(lái)執(zhí)行動(dòng)作。因此，在第一計(jì)算設(shè)備中將接收到的數(shù)據(jù)轉(zhuǎn)換為短標(biāo)記，并且僅將短標(biāo)記發(fā)送到第二計(jì)算設(shè)備，并且允許第二計(jì)算設(shè)備對(duì)短標(biāo)記進(jìn)行解密以獲得信息。

47、在第十五方面，提供了一種包括第一計(jì)算設(shè)備和第二計(jì)算設(shè)備的加密方法。兩個(gè)計(jì)算設(shè)備通過(guò)第八方面的數(shù)據(jù)傳送方法連接，其中來(lái)自第一計(jì)算設(shè)備的所有數(shù)據(jù)在它們可以進(jìn)入第二計(jì)算設(shè)備之前由硬件加密模塊加密。已經(jīng)以加密形式存儲(chǔ)在第二計(jì)算設(shè)備中的接收者的公鑰與第一解密密鑰和會(huì)話(huà)密鑰一起從第二計(jì)算設(shè)備發(fā)送到第一計(jì)算設(shè)備。會(huì)話(huà)密鑰用于加密要發(fā)送給接收者的數(shù)據(jù)，其中數(shù)據(jù)的加密發(fā)生在第二計(jì)算設(shè)備中。第一計(jì)算設(shè)備通過(guò)使用第一解密密鑰進(jìn)行解密來(lái)獲得接收者的公鑰，并使用接收者的公鑰來(lái)對(duì)會(huì)話(huà)密鑰進(jìn)行加密。然后，第一計(jì)算設(shè)備將加密的會(huì)話(huà)密鑰發(fā)送回第二計(jì)算設(shè)備，在該過(guò)程中，加密的會(huì)話(huà)密鑰由硬件加密模塊進(jìn)一步加密。第二計(jì)算設(shè)備將已經(jīng)由硬件加密模塊加密的加密的會(huì)話(huà)密鑰連同已經(jīng)由會(huì)話(huà)密鑰加密的到接收者的數(shù)據(jù)和用于解密由硬件加密模塊進(jìn)行的加密的第二解密密鑰一起轉(zhuǎn)發(fā)到連接到外部網(wǎng)絡(luò)的第三計(jì)算設(shè)備。第三計(jì)算設(shè)備通過(guò)使用第二解密密鑰進(jìn)行解密來(lái)獲得加密的會(huì)話(huà)密鑰，然后將加密的會(huì)話(huà)密鑰與加密數(shù)據(jù)一起發(fā)送給外部網(wǎng)絡(luò)的接收者。

48、在第十六方面，提供了一種包括第一計(jì)算設(shè)備和第二計(jì)算設(shè)備的加密方法。兩個(gè)計(jì)算設(shè)備通過(guò)第八方面的數(shù)據(jù)傳送方法連接，其中來(lái)自第一計(jì)算設(shè)備的所有數(shù)據(jù)在它們可以進(jìn)入第二計(jì)算設(shè)備之前由硬件加密模塊加密。用戶(hù)在第一計(jì)算設(shè)備中具有要加密并發(fā)送到外部網(wǎng)絡(luò)的接收者的數(shù)據(jù)。用戶(hù)將數(shù)據(jù)傳送到第二計(jì)算設(shè)備。在該過(guò)程中，數(shù)據(jù)由硬件加密模塊加密。在第二計(jì)算設(shè)備中，由硬件加密模塊進(jìn)行的加密可以被轉(zhuǎn)換為由在第二計(jì)算設(shè)備內(nèi)生成的會(huì)話(huà)密鑰進(jìn)行的加密。通過(guò)第十五方面的方法由接收者的公鑰進(jìn)一步加密會(huì)話(huà)密鑰。然后，用戶(hù)可以將由會(huì)話(huà)密鑰加密的數(shù)據(jù)和由接收者的公鑰加密的會(huì)話(huà)密鑰發(fā)送到外部網(wǎng)絡(luò)。

49、在具體實(shí)施例中，可以執(zhí)行加密的轉(zhuǎn)換。通過(guò)硬件加密模塊進(jìn)行的加密可以是基于一次一密加密的xor運(yùn)算。第二計(jì)算設(shè)備接收加密數(shù)據(jù)和一次一密密鑰兩者。在第二計(jì)算設(shè)備中，使用會(huì)話(huà)密鑰(例如，aes密鑰)和初始化向量，通過(guò)諸如aes計(jì)數(shù)器模式的加密方法再次對(duì)一次一密加密的數(shù)據(jù)進(jìn)行加密。隨后，使用一次一密密鑰對(duì)加密數(shù)據(jù)執(zhí)行另一xor運(yùn)算，以使用會(huì)話(huà)密鑰和初始化向量獲得僅由aes計(jì)數(shù)器模式加密的數(shù)據(jù)。

50、在另一具體實(shí)施例中，通過(guò)硬件加密模塊進(jìn)行的加密可以是基于aes計(jì)數(shù)器模式的xor運(yùn)算。第二計(jì)算設(shè)備從硬件加密模塊接收加密數(shù)據(jù)、初始化向量和aes密鑰，其可以直接用作會(huì)話(huà)密鑰(即，不需要在第二計(jì)算設(shè)備中進(jìn)行進(jìn)一步轉(zhuǎn)換)。

51、在第十七方面，提供了一種包括第一計(jì)算設(shè)備和第二計(jì)算設(shè)備的用戶(hù)認(rèn)證的方法。兩個(gè)計(jì)算設(shè)備通過(guò)第八方面的數(shù)據(jù)傳送方法連接，其中來(lái)自第一計(jì)算設(shè)備的所有數(shù)據(jù)在它們可以進(jìn)入第二計(jì)算設(shè)備之前由硬件加密模塊加密。第一計(jì)算設(shè)備接收從驗(yàn)證器發(fā)送的隨機(jī)數(shù)并在計(jì)算機(jī)屏幕上顯示隨機(jī)數(shù)。用戶(hù)讀取隨機(jī)數(shù)并使用連接到第二計(jì)算設(shè)備但與第一計(jì)算設(shè)備斷開(kāi)連接的外圍輸入設(shè)備將隨機(jī)數(shù)和密碼輸入到第二計(jì)算設(shè)備中。第二計(jì)算設(shè)備使用隨機(jī)數(shù)和密碼執(zhí)行密碼操作，例如散列函數(shù)，并將操作的結(jié)果發(fā)送到驗(yàn)證器。驗(yàn)證器將接收到的操作結(jié)果與由驗(yàn)證器獨(dú)立獲得的預(yù)期結(jié)果進(jìn)行比較。如果兩個(gè)結(jié)果相等，則認(rèn)證成功。在一些實(shí)施方式中，用戶(hù)的密碼可以存儲(chǔ)在第二計(jì)算設(shè)備中，并且可以不需要用戶(hù)在認(rèn)證期間輸入密碼。因此，可以實(shí)現(xiàn)雙因素認(rèn)證，并且將隨機(jī)數(shù)發(fā)送到可能不會(huì)將數(shù)據(jù)泄漏到外部網(wǎng)絡(luò)的第一計(jì)算設(shè)備，并且用戶(hù)將隨機(jī)數(shù)和密碼輸入到可能沒(méi)有惡意軟件的第二計(jì)算設(shè)備中。

52、在一些實(shí)施例中，所公開(kāi)的發(fā)明可以以數(shù)據(jù)保護(hù)模塊(dpm)的形式實(shí)現(xiàn)。dpm可以包括一個(gè)或多個(gè)輸入處理單元(ipu)一個(gè)或多個(gè)私有計(jì)算單元(pcu)一個(gè)或多個(gè)不安全計(jì)算單元(ucu)一個(gè)或多個(gè)數(shù)據(jù)存儲(chǔ)單元(dsu)一個(gè)或多個(gè)硬件加密器、一個(gè)或多個(gè)硬件解密器、一個(gè)或多個(gè)隨機(jī)數(shù)生成器(rng)、一個(gè)或多個(gè)非易失性存儲(chǔ)器或數(shù)據(jù)存儲(chǔ)設(shè)備、一個(gè)或多個(gè)單向鏈路，并且不限于dpm起作用所必需的多個(gè)支持子系統(tǒng)、組件、電纜、輸入/輸出接口等。

53、在另一方面，接收用戶(hù)輸入的外圍輸入設(shè)備(諸如鍵盤(pán)、鼠標(biāo)、觸摸屏、麥克風(fēng)、網(wǎng)絡(luò)攝像頭、傳感器等)不連接到具有互聯(lián)網(wǎng)連接的任何計(jì)算單元、設(shè)備或系統(tǒng)。這些外圍輸入設(shè)備通過(guò)諸如usb、藍(lán)牙等適當(dāng)?shù)妮斎虢涌谥苯舆B接到ipu。ipu是由僅從外圍輸入設(shè)備獲得輸入的計(jì)算單元組成的安全輸入空間。這確保不存在惡意軟件從互聯(lián)網(wǎng)訪(fǎng)問(wèn)或進(jìn)入ipu的可能性。

54、在本發(fā)明的另一方面，ipu經(jīng)由單向鏈路連接到ucu。ucu是用作用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)的網(wǎng)關(guān)的計(jì)算單元。ipu和ucu之間的鏈路是單向的，以確保數(shù)據(jù)只能從ipu移動(dòng)到ucu，但不能在相反的方向上移動(dòng)。這防止惡意軟件從ucu訪(fǎng)問(wèn)或進(jìn)入ipu。重要數(shù)據(jù)優(yōu)選地總是在它們被發(fā)送到ucu之前在ipu中被加密，ucu是不安全的空間。單向鏈路可以利用數(shù)據(jù)二極管(諸如光耦合器、光鏈路上的光隔離器)或利用實(shí)現(xiàn)相同效果的任何其他數(shù)據(jù)傳送設(shè)備、協(xié)議或方法來(lái)實(shí)現(xiàn)。

55、根據(jù)本發(fā)明的另一方面，諸如文本、圖像、音頻等的重要數(shù)據(jù)僅在pcu中被解密，pcu是安全的私有空間。pcu由計(jì)算單元組成，該計(jì)算單元具有用于連接到監(jiān)視器顯示器、耳機(jī)或揚(yáng)聲器的輸出接口，諸如hdmi、usb、藍(lán)牙等。pcu經(jīng)由單向鏈路僅從ipu和ucu獲得輸入，并且它沒(méi)有到互聯(lián)網(wǎng)的輸出路徑。這防止可能駐留和隱藏在pcu中的惡意軟件連接到命令和控制(c&c)服務(wù)器或?qū)⒂脩?hù)的數(shù)據(jù)傳送回網(wǎng)絡(luò)罪犯。

56、根據(jù)本發(fā)明的另一方面，重要數(shù)據(jù)優(yōu)選地總是從pcu傳送到dsu以進(jìn)行安全存儲(chǔ)。優(yōu)選地，重要數(shù)據(jù)不保存在pcu中。dsu包括計(jì)算單元和形成安全存儲(chǔ)空間的非易失性存儲(chǔ)器，諸如硬盤(pán)驅(qū)動(dòng)器(hdd)、固態(tài)驅(qū)動(dòng)器(ssd)等。單向鏈路使數(shù)據(jù)能夠從pcu傳送到dsu。該鏈路是硬件加密的，使得穿過(guò)鏈路的所有數(shù)據(jù)在發(fā)送期間都被加密。硬連線(xiàn)加密確保沒(méi)有惡意軟件可以更改或繞過(guò)加密，即使它被偽裝成合法的軟件或數(shù)據(jù)。用于硬件加密的加密密鑰可以從隨機(jī)數(shù)生成器(rng)或從用戶(hù)提供的熵獲得。解密密鑰可以與加密數(shù)據(jù)一起存儲(chǔ)在dsu中或存儲(chǔ)在諸如密碼保護(hù)的拇指驅(qū)動(dòng)器的單獨(dú)位置中。數(shù)據(jù)從不在dsu中解密。當(dāng)用戶(hù)希望查看、編輯或處理存儲(chǔ)在dsu中的文件時(shí)，用戶(hù)指示dsu將文件與其相應(yīng)的解密密鑰一起傳送到pcu，在pcu中可以對(duì)文件進(jìn)行解密。dsu僅通過(guò)ipu從用戶(hù)獲得指令。由于dsu和ipu都沒(méi)有惡意軟件，因此dsu可以整體并入ipu中而不損害安全性。

57、根據(jù)本發(fā)明的另一方面，只有通過(guò)其輸入接口(例如鍵盤(pán)、鼠標(biāo)、觸摸屏、麥克風(fēng)、相機(jī)等)直接物理訪(fǎng)問(wèn)ipu的用戶(hù)才能發(fā)出命令以將文件傳送到dsu中或從dsu中傳送出來(lái)。在一些實(shí)施例中，用戶(hù)可以由計(jì)算機(jī)程序或人工智能(ai)代替。在這種情況下，發(fā)送到輸出設(shè)備的計(jì)算機(jī)屏幕和/或音頻數(shù)據(jù)可以被提供給計(jì)算機(jī)程序或ai，用于代表人類(lèi)用戶(hù)進(jìn)行解釋、決策和動(dòng)作。

58、根據(jù)本發(fā)明的另一方面，當(dāng)需要輸入、查看或編輯私人和敏感數(shù)據(jù)時(shí)，用戶(hù)可以激活作為計(jì)算機(jī)程序或軟件的數(shù)據(jù)處理應(yīng)用程序。數(shù)據(jù)處理應(yīng)用程序安裝在ipu、pcu、ucu和dsu上，并且其作用是解釋和執(zhí)行用戶(hù)的命令。數(shù)據(jù)處理應(yīng)用程序可以在不處理重要數(shù)據(jù)的正常使用期間被用戶(hù)禁用，諸如當(dāng)網(wǎng)上沖浪或在ucu上玩在線(xiàn)游戲時(shí)。

59、在勒索軟件攻擊的情況下，pcu和ucu可能被勒索軟件鎖定，但是存儲(chǔ)在dsu中的數(shù)據(jù)將保持受保護(hù)。由于pcu和ucu不存儲(chǔ)重要的數(shù)據(jù)，因此對(duì)用戶(hù)的損害將是最小的。用戶(hù)可以簡(jiǎn)單地重新格式化pcu和ucu的硬盤(pán)驅(qū)動(dòng)器，并重新安裝操作系統(tǒng)和應(yīng)用軟件。當(dāng)關(guān)于惡意軟件的信息變得可從防病毒軟件供應(yīng)商或網(wǎng)絡(luò)安全專(zhuān)家獲得時(shí)，dsu中的文件可以被復(fù)制到干凈的pcu以用于惡意軟件簽名掃描或啟發(fā)式分析。

60、在不同的實(shí)施例中，dpm可以以各種各樣的方式實(shí)現(xiàn)。在一些實(shí)施例中，ucu可以由具有互聯(lián)網(wǎng)接入的用戶(hù)的不安全計(jì)算設(shè)備代替，例如臺(tái)式計(jì)算機(jī)、膝上型計(jì)算機(jī)、平板計(jì)算機(jī)、智能電話(huà)等。在一些實(shí)施例中，pcu可以由未連接到互聯(lián)網(wǎng)的用戶(hù)的隔離計(jì)算設(shè)備代替。在一些實(shí)施例中，ucu和pcu都可以由用戶(hù)的計(jì)算設(shè)備代替。在一些實(shí)施例中，可以存在多于一個(gè)pcu，其中每個(gè)pcu具有不同的角色。在一些實(shí)施例中，ipu可以由未連接到互聯(lián)網(wǎng)的用戶(hù)的隔離計(jì)算設(shè)備代替。在一些實(shí)施例中，dsu可以由連接到ipu的用戶(hù)的一個(gè)或多個(gè)可移除存儲(chǔ)設(shè)備代替。

61、dpm可以用于保護(hù)私人電子郵件、私人消息傳送、電話(huà)會(huì)議、遠(yuǎn)程工作等。它可以被實(shí)現(xiàn)為用于訪(fǎng)問(wèn)遠(yuǎn)程服務(wù)器或云服務(wù)的安全瘦客戶(hù)端或安全胖客戶(hù)端。它還可以用于保護(hù)與另一方(諸如密鑰分發(fā)服務(wù)提供商)共享或由另一方提供的對(duì)稱(chēng)密鑰。

62、在一些實(shí)施例中，dpm可以采用具有諸如usb、以太網(wǎng)、sata、pcie等的接口的印刷電路板的形式，其可以連接到計(jì)算機(jī)主板或安裝在計(jì)算機(jī)主板上并且被封閉在服務(wù)器、臺(tái)式計(jì)算機(jī)或膝上型計(jì)算機(jī)的機(jī)箱內(nèi)。

63、在其他實(shí)施例中，dpm可以以集成芯片(ic)或片上系統(tǒng)(soc)的形式小型化，其可以嵌入到便攜式計(jì)算設(shè)備(諸如膝上型計(jì)算機(jī)、平板計(jì)算機(jī)、智能電話(huà)等)中。

64、在一些實(shí)施例中，所公開(kāi)的發(fā)明可以以將計(jì)算機(jī)系統(tǒng)或計(jì)算網(wǎng)絡(luò)分成不安全區(qū)域和安全區(qū)域的區(qū)域分離模塊(zsm)的形式實(shí)現(xiàn)。一般而言，不安全區(qū)可包含連接到互聯(lián)網(wǎng)的多個(gè)不安全計(jì)算設(shè)備(ucd)不安全數(shù)據(jù)存儲(chǔ)設(shè)備，而安全區(qū)可包含未連接到互聯(lián)網(wǎng)的多個(gè)私有計(jì)算設(shè)備(pcd)和安全數(shù)據(jù)存儲(chǔ)設(shè)備。

65、zsm可以包括一個(gè)或多個(gè)ipu、一個(gè)或多個(gè)硬件加密器、一個(gè)或多個(gè)硬件解密器、一個(gè)或多個(gè)rng、一個(gè)或多個(gè)單向鏈路、一個(gè)或多個(gè)可選的網(wǎng)絡(luò)接口卡或路由器或網(wǎng)絡(luò)開(kāi)關(guān)，并且不限于zsm起作用所必需的多個(gè)支持子系統(tǒng)、組件、電纜、輸入/輸出接口等。

66、使用氣隙的傳統(tǒng)方法還將計(jì)算機(jī)系統(tǒng)或計(jì)算網(wǎng)絡(luò)分成連接到互聯(lián)網(wǎng)的不安全區(qū)域和與互聯(lián)網(wǎng)隔離的安全區(qū)域。與氣隙方法不同，在本文公開(kāi)的實(shí)施例中，用戶(hù)可以方便且安全地跨兩個(gè)區(qū)域傳送文件，而不必在文件傳送之前或之后物理地連接或斷開(kāi)任何設(shè)備或模塊。

67、在一個(gè)實(shí)施例中，zsm可以實(shí)現(xiàn)為獨(dú)立的安全數(shù)據(jù)存儲(chǔ)產(chǎn)品，其可以經(jīng)由諸如usb、以太網(wǎng)、sata等的接口連接到用戶(hù)的ucd。在另一個(gè)實(shí)施例中，zsm可以實(shí)現(xiàn)為安全數(shù)據(jù)存儲(chǔ)單元，其可以經(jīng)由合適的接口(例如pcie、sata等)連接到或安裝到計(jì)算機(jī)主板上，并且封裝在服務(wù)器、臺(tái)式計(jì)算機(jī)或膝上型計(jì)算機(jī)的機(jī)箱內(nèi)。

68、基于zsm的各種實(shí)施方案是可能的。在另一個(gè)實(shí)施例中，zsm可以實(shí)現(xiàn)為安全網(wǎng)絡(luò)附加存儲(chǔ)(nas)，使得多個(gè)用戶(hù)可以同時(shí)訪(fǎng)問(wèn)它。在另一實(shí)施例中，zsm可以結(jié)合路由或交換功能，使得整個(gè)模塊可以被感知為具有安全數(shù)據(jù)存儲(chǔ)的路由器或網(wǎng)絡(luò)開(kāi)關(guān)。在又一實(shí)施例中，zsm可以實(shí)現(xiàn)為安全遠(yuǎn)程文件服務(wù)器并放置在云上。

69、在另一實(shí)施例中，zsm可被實(shí)現(xiàn)為不安全區(qū)計(jì)算設(shè)備和安全區(qū)計(jì)算設(shè)備之間的橋接器。在另一實(shí)施例中，zsm可以實(shí)現(xiàn)為不安全區(qū)計(jì)算網(wǎng)絡(luò)和安全區(qū)計(jì)算網(wǎng)絡(luò)之間的橋接器。

70、應(yīng)當(dāng)理解，根據(jù)整個(gè)系統(tǒng)的設(shè)計(jì)，如在上述方面中討論的至少一個(gè)外圍輸入設(shè)備可以從人或計(jì)算機(jī)程序接收命令。計(jì)算機(jī)程序可以是基于規(guī)則的或基于ai的，例如在外部處理器上運(yùn)行，從pcu獲得數(shù)據(jù)并在向ipu發(fā)送命令之前分析數(shù)據(jù)。外圍輸入設(shè)備可以配備有用于接收數(shù)據(jù)的輸入接口，并且它可以包括諸如印刷電路板上的fpga的處理器，該處理器被配置為經(jīng)由到ipu的單向uart連接向ipu發(fā)送命令。

71、應(yīng)當(dāng)理解，與一個(gè)方面相關(guān)的特征可以與其他方面相關(guān)。