[发明专利]一种网络传输的安全状态管理方法及系统

权利要求书

1.一种网络传输的安全状态管理方法，其特征在于，包括：

拦截从远程计算机或虚拟机上的一个或多个源指向本地连接的加密处理器的命令，从而获得截取的命令序列；

将一组一个或多个安全规则应用于截获的命令序列以获得修改的命令序列；

将修改的命令序列指向加密处理器；

从加密处理器接收对修改的命令序列中的每个命令的响应；和

基于加密处理器响应和一组一个或多个安全规则，向一个或多个源提供对每个被截取命令的答复。

2.如权利要求1所述的方法，其特征在于，其中所述拦截，应用，指导，接收和提供操作由具有加密处理器作为物理连接外围设备的客户计算机执行，其中客户端计算机通过网络耦合到远程计算机或虚拟机，以及其中所述一组一个或多个安全规则防止用户提供的认证信息穿过网络。

3.如权利要求1所述的方法，其特征在于，还包括：

监控加密处理器是否处于认证状态，

其中该组包括至少一个安全规则，该安全规则延迟用于加密操作的截取命令，直到该加密处理器处于认证状态；还包括：检测到加密处理器未处于认证状态；在修改的命令序列中插入一个或多个命令，以将加密处理器置于认证状态；还包括：在所述插入之前，提示用户提供个人识别码(PIN)或其他识别信息；和至少部分地基于用户提供的信息生成一个或多个插入的命令。

4.如权利要求3所述的方法，其特征在于，还包括：丢弃用户提供的信息以防止在所述生成之后进一步使用；在所述插入之前，利用独立于所述加密处理器的安全机制执行认证过程；所述安全机制是基于加密处理器的智能卡或可信平台模块；还包括：

监控加密处理器是否处于认证状态，其中，集合包括至少一个安全规则，该安全规则在达到认证状态之后保留安全状态。

5.如权利要求4所述的方法，其特征在于，所述至少一个安全规则防止所述修改的命令序列具有将破坏所述认证状态的命令；还包括：基于来自加密处理器的响应确定加密处理器所属的类，其中集合包括至少一个安全规则，该安全规则基于加密处理器的类阻止所有或至少一些预定类型的响应信息被包括在对所述一个或多个源的所述答复中。

6.如权利要求5所述的方法，其特征在于，其中所述确定包括分析所述加密处理器的重置答案；所述提供包括将附加安全规则应用于所述加密处理器响应以使得能够仅对所选类型的加密信息进行源访问；所选择的加密信息类型包括由预定的证书颁发机构发布的数字证书；所述一个或多个安全规则的集合阻止来自未授权源的命令。

7.一种网络传输的安全状态管理系统，其特征在于，包括：

具有持久密钥存储器的可移除或嵌入式加密处理器；

网络接口，用于从远程计算机上的一个或多个源接收通过网络引导到加密处理器的命令；

存储安全状态管理(SSM)软件的存储器或永久存储设备；一个或多个中央处理单元(CPU)耦合到存储器或永久存储设备以执行SSM软件，SSM软件使一个或多个CPU实现SSM方法，该方法包括：接受所述命令，从而获得接收到的命令序列；将一组一个或多个安全规则应用于所接收的命令序列以获得修改的命令序列；

将修改的命令序列指向加密处理器；

从加密处理器接收对修改的命令序列中的命令的响应；和

基于加密处理器响应和一个或多个安全规则的集合，向一个或多个源提供对所接收的命令序列中的命令的回复，

其中，所述一个或多个安全规则的集合阻止用户提供的认证信息穿过网络。