阅读说明：本技术 安全红-黑气隙便携式计算机 (Safety red-black air gap portable computer ) 是由 阿维·索芬 于 2018-11-12 设计创作，主要内容包括：一种提供高安全性级别的便携式计算机包括位于一个防篡改外壳内的两个完全逻辑隔离且电隔离的计算机模块。一个计算机模块用于较高安全性应用(将较高安全性称为“红色”),另一个用于诸如电子邮件和因特网的较低安全性应用(将较低安全性称为“黑色”)。这两个模块耦接在一起以保护能够进行直观用户交互的外围共享开关的安全,同时使共享相同的外围设备所带来的安全风险最小化。(A portable computer that provides a high level of security includes two fully logically and electrically isolated computer modules within a single tamper-resistant enclosure. One computer module is used for higher security applications (higher security is referred to as "red") and the other is used for lower security applications such as email and the internet (lower security is referred to as "black"). The two modules are coupled together to secure a peripheral sharing switch capable of intuitive user interaction while minimizing the security risks presented by sharing the same peripheral device.)

安全红-黑气隙便携式计算机

技术领域

本发明涉及一种与现有技术的计算机相比提供更高安全性级别的便携式计算机平台。更具体地，本发明涉及一种便携式计算机，其包括两个高度隔离(有气隙)的计算机模块，每个计算机模块具有不同的安全性级别。

背景技术

如今便携式计算机无处不在。从智能电话到个人计算机，各种组织正在将这些平台用于重要的安全性应用程序。在工作过程中，用户可能需要与安全性级别较低的网络或数据库通信而不损害高安全性数据的安全性。

确保主机隔离的安全KVM设备

Softer的标题为“Secure KVM device ensuring isolation of host computer”的美国专利8769172公开了一种键盘视频鼠标(KVM)装置及系统，其用于使用安全KVM设备从单个控制台操作多个计算机，同时防止计算机之间的信息泄漏。该系统包括通过安全KVM设备与键盘和鼠标以及一个或多个用户显示器连接的若干主机。安全KVM使得安全KVM与用户键盘和鼠标之间以及主机***端口与安全KVM之间的能够进行标准双向通信。安全KVM在物理上强制数据从连接的键盘和鼠标单向流动到连接的主机***端口，以避免主机之间的潜在泄漏。

加密/解密模块可以在市场上购得。例如，www.raytheon.com/capabilities/rtnwcm/groups/corporate/documents/image/pcm_proteu s.pdf中描述了RaytheonProteus加密模块(PCM)。

Yaron Heietz的标题为“Secured audio channel for voice communication”美国专利9697837，公开了用于阻止经由计算机系统的音频通道的数据盗窃和数据泄漏的安全设备和方法。该设备和方法基于使音频信号通过编码声码器以及解码声码器，编码声码器从计算机接收输入音频信号并将该信号压缩成指示人类语音的低比特率数字数据；解码声码器将数字数据解压缩回安全音频信号。受保护的音频通道的数据传输被有意地限制为不超过承载被声码器压缩的人类语音所需的比特率，其远低于未受保护的音频通道的能力。模拟音频端口和数字音频端口都可以受到保护。硬件比特率限制器保护系统免受软件黑客攻击。

网站www.en.wikipedia.org/wiki/Hardware_restriction讨论了诸如可信引导的硬件安全措施。

一些背景技术信息可以在以下引用的专利和申请中找到：

专利US6578089——Multi-computer access secure switching system；

专利US8646108——Multi-domain secure computer system；

专利US8892627——Computers or microchips with a primary internalhardware firewall and with multiple internal hardware compartments protectedby multiple secondary interior hardware firewalls；

专利US20090037996——Multi-Domain Secure Computer System。

发明内容

本发明涉及一种与现有技术的计算机相比提供更高安全性级别的便携式计算机平台。更具体地，本发明涉及一种便携式计算机，其包括两个完全隔离(术语“有气隙的(Air-Gapped)”的计算机模块。在行业中，使用术语“有气隙的”来表示在两个子单元之间存在物理屏障(与易受攻击的基于软件的逻辑分离相反)。一个计算机模块用于高安全性应用(称为“红色”)；另一个(称为黑色)用于诸如电子邮件和因特网的低安全性应用。这两个模块耦接在一起以保护能够进行直观用户交互的***共享开关(PSS)或***共享设备(PSD)的安全，同时使共享相同的***设备所带来的安全风险最小化。注意，气隙是在一个或多个计算机上采用的网络安全措施，以确保安全计算机网络与非安全网络(比如公共因特网或非***域网)物理隔离。

在示例性实施方式中，提供安全便携式计算机设备，该安全便携式计算机设备包括：较高安全性计算机模块，用于执行较高安全性操作；较低安全性计算机模块，用于执行较低安全性操作；安全KVM(键盘视频鼠标)开关，将较高安全性计算机模块和较低安全性计算机模块连接到键盘、指向设备以及显示器，同时防止数据从较高安全性计算机模块流向较低安全性计算机模块；以及外壳，用于至少封装较高安全性计算机模块、较低安全性计算机模块以及安全KVM，其中，外壳的尺寸适于用作由用户携带的便携式计算机。

在一些实施方式中，较高安全性计算机模块与较高安全性网络连接，并且较低安全性计算机模块与较低安全性网络络连接。

在一些实施方式中，较低安全性网络为互联网。

在一些实施方式中，安全KVM还防止数据从较低安全性计算机模块流向较高安全性计算机模块。

在一些实施方式中，仅较低安全性计算机模块包括无线通信设备。

在一些实施方式中，至少一个无线通信设备选自由以下各项组成的组：蜂窝调制解调器、无线LAN调制解调器、WiFi调制解调器以及蓝牙调制解调器。

在一些实施方式中，高安全性计算机模块还包括：较高安全性过滤器；以及至少一个较高安全性USB插口，其中，较高安全性过滤器用于：允许授权的USB设备通过较高安全性USB插口与较高安全性计算机模块通信，并且防止未授权的USB设备通过较高安全性USB插口与较高安全性计算机模块通信。

在一些实施方式中，较高安全性过滤器基于较高安全性设备资格参数表赋予或不赋予连接至较高安全性USB插口的USB的资格。

在一些实施方式中，较低安全性计算机模块还包括：较低安全性过滤器；以及至少一个较低安全性USB插口，其中，较低安全性过滤器用于：允许授权的USB设备通过较低安全性USB插口与较低安全性计算机模块通信，并且防止未授权的USB设备通过较低安全性USB插口与较低安全性计算机模块通信，其中，较低安全性过滤器基于较低安全性设备资格参数表赋予或不赋予连接至较低安全性USB插口的USB的资格，并且其中，较低安全性设备资格参数表与较高安全性设备资格参数表不同。

在一些实施方式中，安全KVM开关还包括视频处理器，视频处理器提供由来自较低安全性计算机模块和较高安全性计算机模块两者的信号得出的复合视频信号。

在一些实施方式中，安全KVM开关还包括系统控制器，系统控制器用于执行以下中的至少一项：鼠标跟踪；以及控制键盘信号识别，并且使用鼠标跟踪和控制键盘信号识别中的至少一项的结果来控制视频处理器执行以下操作中的至少一项：在显示器上选择活动窗口、创建窗口、关闭窗口、调整窗口尺寸以及移动窗口。

在一些实施方式中，便携式计算机设备还包括用户认证设备。

在一些实施方式中，用户认证设备选自由以下各项组成的组：生物特征识别传感器和智能卡。

在一些实施方式中，安全便携式计算机设备还包括：平面屏幕显示器，以及触摸屏或触摸板中的至少一者以用作指向设备。

在一些实施方式中，较低安全性计算机模块被配置为通过视频输出连接器耦接到外部显示器或投影仪。

在一些实施方式中，电源充电器中的隔离用于通过高安全性计算机模块与低安全性计算机模块之间的电力信号传输来防止数据泄露。

在一些实施方式中，较高安全性计算机模块运行较高安全性操作系统；并且较低安全性计算机模块运行较低安全性操作系统。

在一些实施方式中，外壳是防篡改的。

在一些实施方式中，外壳被细分为用于单独封装至少以下各项中的每一项的多个隔室：较高安全性计算机模块、较低安全性计算机模块以及安全KVM开关。

在一些实施方式中，用于单独封装较高安全性计算机模块和安全KVM开关的隔室由金属制成。

在一些实施方式中，外壳还包括至少一个篡改传感器，其中，当检测到篡改企图时，执行以下动作中的至少一个：永久地禁用至少较高安全性计算机模块，以及永久地擦除与高安全性计算机模块关联的大容量存储器中的数据。

在一些实施方式中，篡改传感器选自由以下各项组成的组：机械篡改开关；加速度计；光传感器；覆盖整个模块PCB板的微网；以及X射线传感器。

在一些实施方式中，安全便携式计算机设备还包括以下中的至少一者：音频输出，诸如扬声器，或者音频输出接口；以及将至少来自较高安全性计算机模块的音频信号经由以下各项中的至少一项路由到音频输出：音频输出数据二极管；或背靠背编码声码器-解码声码器。

在一些实施方式中，安全便携式计算机设备还包括加密模块，其与较高安全性计算机模块和较低安全性计算机模块连接，其中，加密模块用于允许通过较低安全性计算机模块中的至少一个无线通信设备以加密格式发送和接收诸如文件、消息、语音以及视频的数据。

在一些实施方式中，加密模块支持诸如日志、防篡改以及密钥存储的功能。

除非另外定义，否则本文使用的所有技术和科学术语具有与本发明所属领域的普通技术人员通常理解的相同的含义。尽管在本发明的实践或测试中可以使用与本文所述的那些类似或等同的方法和材料，但是以下描述了合适的方法和材料，在发生冲突的情况下，将以专利说明书(包括定义)为准。此外，材料、方法和实施方式仅仅是说明性的而不是限制性的。

除非标记为背景或技术，否则本文所揭示的任何信息可以视为本发明或其实施方式的一部分。

附图说明

为了更好地理解本发明并且示出如何实施本发明，现在将仅通过举例的方式来参考附图。

现在详细地具体参考附图，要强调的是，所显示的细节是通过举例的方式并且仅用于对本发明的选定实施方式进行说明性讨论的目的，并且是为了提供被认为是对本发明的实施方式的原理和概念方面的最有用和容易理解的描述而呈现的。在这方面，未试图展示比对实施方式的基本理解所必需的更详细的结构细节；结合附图进行的描述使本领域技术人员清楚如何在实践中实施本发明的几种形式。在附图中：

图1示意性地示出了根据现有技术的便携式计算机系统。

图2示意性地示出了根据本发明示例性实施方式的一种安全气隙便携式计算机系统。

图3示意性地示出了根据本发明示例性实施方式的另一种安全气隙便携式计算机系统。

图4示意性地示出了根据本发明示例性实施方式的用于在安全气隙便携式计算机系统内配置USB过滤器的编程软件的屏幕。

图5示意性地示出了本发明的示例性实施方式，其类似于图3所示的实施方式，并且进一步配备有根据本发明的示例性实施方式的红-黑加密模块。

图6示意性地示出了图3所示的本发明的相同示例性实施方式，仅详细示出了音频电路。

具体实施方式

在详细解释本发明的至少一个实施方式之前，应当理解，本发明不必将其应用限于以下描述中阐述的或通过实例方式举例说明的细节。本发明能够具有其他实施方式或者能够以各种方式实践或执行。

应当理解，为清楚起见，在单独的实施方式的上下文中描述的本发明的某些特征也可以在单个实施方式中组合提供。相反地，为简洁起见而在单个实施方式的上下文中描述的本发明的各种特征也可单独提供或以任何合适的子组合形式提供或如在本发明的任何其他描述的实施方式中合适地提供。在各种实施方式的上下文中描述的某些特征不被认为是那些实施方式的基本特征，除非该实施方式在没有那些元件的情况下不起作用。

在下面描述的各个附图的讨论中，相同的数字表示相同的部分。附图通常不是按比例绘制的。为了清楚起见，可以从一些附图中省略不必要的元件。

在附图示出各种实施方式的功能块的示图方面，功能块不一定指示硬件电路之间的划分。因此，例如，一个或多个功能块(例如，处理器或存储器)可以在单个硬件(例如，通用信号处理器或随机存取存储器等)或多个硬件中实现。类似地，程序可以是独立运行的程序，可以作为子程序并入操作系统，可以是已安装的软件包中的功能等。

图1示意性地示出了根据现有技术的便携式计算机系统200。

在该图中，便携式计算机200被封装在紧凑的自容式塑料或金属外壳201中。显示模块66通常是具有LED(发光二极管)或CCFL(冷阴极荧光灯)背光的小型LCD(液晶显示器)面板。它通常使用柔性接头或铰链59连接到主外壳部分，以使得显示器能够在键盘/指向设备67上折叠。键盘/指向设备67具有由字母数字键构成的部分以及诸如GlidePoint^TM(Alps商标)或其他指向设备技术的可选的指向设备。在一些现有技术的便携式计算机中，显示器66还配备有将显示器66上的用户手指位置数字化的触摸屏或多点触摸功能68。在一些现有技术的便携式计算机中，可选的键盘/指向设备67被省略，并由显示在显示器66上并由触摸屏控制器68捕获的软键盘来代替。在现有技术的便携式计算机的一些实施方式中，设备200还配备有一个或多个摄像头69，以使用户能够拍摄视频或电影并支持诸如视频会议和面部识别的功能。

CPU(中央处理单元)18是运行操作系统和用户应用的单核或多核处理器或SOC(片上系统)。CPU 18可以是ARM、Intel、AMD或任何其他处理架构。它由冷却装置24冷却。冷却装置24可以是简单的散热器、带有风扇的散热器、热管或冷却有源部件(比如CPU 18、图形处理单元(GPU)27、随机存取存储器(RAM)20以及其他发热组件)的任何其他散热技术。CPU 18耦接到LAN(局域网)接口19，LAN接口19还通过LAN插口102和LAN电缆103通过以太网电缆耦接到LAN 4。CPU 18还耦接到无线LAN或蜂窝式调制解调器接口40，无线LAN或蜂窝调制解调器接口40耦接到无线LAN天线42以能够连接到附近的无线网络。通常，Wi-Fi协议用于连接附近的无线网络。可选地，支持其他无线协议，例如蓝牙。

CPU 18进一步耦接到RAM(随机存取存储器)易失性存储器20。该存储器可以是DDR(双倍数据速率)2、3、4或任何其他合适的易失性存储器技术。CPU 18还耦接到大容量存储设备(MSD)21。MSD 21是大容量非易失性存储器，其用于存储操作系统、用户应用、用户数据以及本地存储的任何其他永久数据。MSD 21可以是机电硬盘、基于固态闪存的SSD(固态盘)或任何其他非易失性存储器技术。

CPU 18进一步耦接到USB插口92和93，USB插口92和93使用户能够连接各种标准USB设备，比如USB大容量存储设备或USB键盘。一些制造商使用除USB之外的协议来连接***设备。

CPU 18还通过内部或外部总线(比如PCI总线31)耦接到GPU(图形处理单元)27。由GPU 27产生的视频输出33被耦接到显示模块66。

音频CODEC 53通过串行总线26(比如USB或I2S)耦接到CPU 18。它通过一个或多个扬声器54播放数字声音。另外，音频CODEC 53连接到麦克风52。

可选地，便携式计算机系统200进一步包括用户认证设备85，比如耦接到智能卡读取器或生物特征识别读取器仲裁器83的生物特征识别传感器(例如指纹读取器)或智能卡读取器85。

用于为电池充电并使系统运行的AC电源通过AC或DC电线连接到电源连接器63。电源连接器63耦接到电源和充电器61，电源和充电器61将电源输入转换为低电压DC并调节所耦接的电池62的充电电流。应当注意，AC/DC电源61可以在设备101的外部。在这种情况下，电池62耦接到内部开关/充电器模块(本文未示出)。当AC电力不可用时，电源和充电器61用电池62电力为整个系统供电。

通常，便携式计算机系统200包括母板90，母板90是一个或多个互连的印刷电路板组件(PCBA)。

图2示意性地示出了根据本发明示例性实施方式的一种安全气隙便携式计算机系统100。

在该图中，安全便携式计算机100被封装在紧凑的自容式塑料或金属外壳101中。

在本发明的该实施方式中，设备安全便携式计算机系统100被分成四个不同的组件或模块：

1.运行较高安全性应用的红色(高安全性)计算机模块2a；

2.运行较低安全性应用的黑色(低安全性)计算机模块2b；

3.***共享交换机(PSS)或***共享设备(PSD)模块82；

4.共享的输入/输出设备，比如：

显示模块66；键盘和指向设备模块67；生物特征识别用户认证传感器85；摄像头69；麦克风52；以及扬声器54

在下面的附图和讨论中，数字后面跟随字母“a”将指红色(高安全性)模块2a中的元件或与红色(较高安全性)模块2a相关的元件，而同样的数字后面跟随字母“b”将指黑色(较低安全性)模块2b中的元件或与黑色(较低安全性)模块2a相关的元件。后面没有字母的数字一般是指红色(较高安全性)和黑色(较低安全性)模块共有或与它们都相关的元件，或属于现有技术的对应元件。即使没有具体地反映在元件的名称中，也应理解该约定。应当理解，术语“较低安全性”是指没有任何类型的安全性。黑色(较低安全性)模块2b可以具有保护措施，但其缺乏至少一些由红色(较高安全性)计算机模块2a提供的安全性。

所列出的模块和组件被机械地连接以形成在物理上类似于现有技术膝上型计算机、平板电脑或智能电话的单个便携式设备100。应当注意，外壳101可以在内部被细分以分离不同的组件。例如，分开的组件可以彼此辐射屏蔽。

红色(较高安全性)计算机模块2a包括CPU(中央处理单元)18a。CPU 18a可以是x86、ARM、MIPS(无内部互锁流水级的微处理器)、RISC(精简指令集计算机)或任何其他单核或多核微处理器。为了图的清晰起见，北桥和南桥以及其他处理器芯片组组件在此处都被组合为单个组件18a。CPU 18a耦接到RAM(随机存取存储器)20a。RAM 20a可以是高速缓存、SRAM、DDR(双倍数据速率)SDRAM、DDR 2、DDR 3、DDR 4或任何其他易失性存储器技术。RAM20a可以作为一个或多个存储器模块或作为单独的芯片被安装。CPU 18a还耦接到大容量存储设备(MSD)21a。大容量存储设备是非易失性存储器，其用于存储红色(较高安全性)计算机模块2a的数据和程序。它可以使用非易失性存储器技术，比如使用闪存、机械硬盘驱动器或任何其他合适的非易失性存储器技术的SSD(固态盘)。优选地，为了增加安全性，与大容量存储设备21a交互的CPU 18a应当支持完全数据加密。MSD 21a可以可选地通过现有技术的基于全时硬件的磁盘加密模块(此处未示出)耦接到CPU 18a。大容量存储设备21a可以是模块化的(可移除的)或优选地为机械固定的，以增加安全性。

CPU 18a还机械地且热地耦接到冷却设备24a。冷却设备可以使用冷却风扇、热管、散热片、散热器或任何其他方法的组合，以能够有效地冷却CPU 18a。CPU 18a功率管理和冷却设备24a控制被设计为在相同的噪声水平下连续运行，以防止滥用冷却系统噪声特征的网络攻击(称为Fansmitting)。

CPU 18a还耦接到较高安全性LAN(本地接入网)接口19b，以使用较高安全性LAN电缆103a和较高安全性LAN插口104a来以有线方式连接到高安全性LAN 4a。LAN接口19a可以包括MAC(媒体接入控制器)、PHY(物理层)、用于隔离的LAN变压器以及较高安全性LAN插口104a。较高安全性LAN插口104a可选地配置为防止较低安全性LAN 4b电缆103b交叉连接到高安全性接口19a中。较高安全性LAN插口104a可选地是RJ-45类型，具有修进的形状或钥匙形状，以防止其他标准插头***。

可替代地，较高安全性LAN插口104a被清楚地标记、定位或着色，以使其与低安全性LAN插口104b不同。例如，高安全性LAN插口103a可以具有需要被移除或打开以***高安全性LAN电缆103a的盖子(图中未示出)。可选地，打开高安全性LAN插口103a的盖子具有锁，该锁需要钥匙来打开它。

CPU 18a还可选地通过USB线17a耦接到USB高安全性过滤器16a。USB过滤器16a是以下各项的组合：

·通用主机仿真器，其配置为仅连接(枚举)基于预编程的白名单和黑名单允许的USB设备。

·设备仿真器，其耦接到通用主机仿真器以重复面对CPU 18a的相同的USB设备。

可替代地，USB高安全性过滤器16a可以包括：

·资格预审微控制器；

·模式选择开关，其连接至串行通信***设备端口并且选择性地将串行通信***设备端口连接至以下各项中的选中的一个：

·资格预审微控制器；以及

·第一串行通信主机连接器；以及

·串行通信枚举和复位检测器，其连接到串行通信***设备端口，以监视串行通信***设备端口，并在串行通信设备与串行通信***设备端口断开连接时，使模式选择开关将串行通信***设备端口切换到资格预审微控制器；

其中，资格预审微控制器能够根据***设备资格表枚举连接的***设备，

并且其中，***设备资格表可以被现场重新编程。

Aviv Softer的标题为“USB security gateway”的US 20150365237提供了关于用于构造和操作过滤器16x的可能实施方式的更多细节，该专利通过引用结合于此。

Aviv Softer的标题为“Electro-mechanic USB locking device”的US20150020189提供了关于将过滤器安全地连接到暴露的USB插口的可能实施方式的更多细节，该专利通过引用结合于此。

高安全性USB过滤器18a的主机仿真器通过USB线14a和15a分别耦接到通用过滤高安全性USB插口12a和13a。

CPU 18a的另外的USB接口26a耦接到红色(较高安全性)计算机模块2a的较高安全性主连接器28a。高安全性主连接器28a用于向红色(较高安全性)计算机模块2a提供所有其他***设备接口以及电力。

应当注意，主连接器28x可以被分成几个物理连接器，比如电源连接器、视频连接器等。在这里，数字后面的“x”可以表示字母a、b等中的任一个，或者表示没有字母以表示相同或相似的绘图元件。

CPU 18a还通过接口31a耦接到较高安全性图形处理单元(或GPU)27a。该芯片或芯片组产生高安全性图形显示视频输出33a，其通过较高安全性模块主连接器28a并且通过PSS/PSD模块82耦接到平板显示器66，以提供用户显示。较高安全性GPU 27a可以使用内部存储器或可以与高安全性CPU 18a共享较高安全性主RAM 20a。显示器66通常是TFT(薄膜晶体管)LCD(液晶显示器)，然而，也可以使用其他显示技术。为了增加安全性，显示器66优选地或可选地具有光学薄膜，以允许仅从垂直于面板表面的狭窄角度可见。

红色(较高安全性)计算机模块2a包括较高安全性电源30a，较高安全性电源30a从PSS/PSD模块82接收一个或多个低电压输入，并将其转换为向CPU 18a、GPU 27a、RAM 20a和所有其他计算机模块2a的用电设备供电所需的多个低电压平面。电源30a被设计成过滤(衰减)从红色(较高安全性)计算机模块2a经由PSS/PSD模块82到黑色(低安全性)计算机模块2b的数字噪声。

红色(较高安全性)计算机模块2a包括可选的防篡改或自毁功能35a，其在设备100通电时由电源30a供电，或者在设备100断电时由备用电池32a供电。篡改事件由一个或多个篡改传感器36a检测到。篡改传感器36a可以包括：

·机械篡改开关；

·加速度计；

·光传感器；

·覆盖整个模块PCB的微网；以及

·X射线传感器。

当通过一个或多个篡改传感器36a检测到篡改事件时，防篡改或自毁功能35a将可选地对安全计算机模块2a造成永久损坏，例如完全删除或甚至毁坏高安全性MSD 21a。

红色(高安全性)计算机模块2a通常运行安全操作系统，比如Linux内核或Android其他定制映像或操作系统。计算机模块2a还可以包括现有技术的可信引导和可信执行软件(例如UEFI)或硬件(例如TPM)。

可选地，对MSD 21a(以及可选地还有MSD 21b)进行加密，使得如果移除MSD 21a，则在没有正确密钥的情况下无法恢复MSD 21a内的数据。当检测到篡改事件时，可以删除这样的密钥。

黑色(较低安全性)计算机模块2b类似于红色(较高安全性)计算机模块2a。因此，本文将不讨论一些类似的组件。

例如，可选的过滤器16b可以在物理上类似于或等同于16a，但是可以以不同方式配置，并且旨在保护模块免受USB网络攻击。

黑色(较低安全性)计算机模块2b的CPU 18b可以运行不同的操作系统(例如，微软窗口)并且可以具有不同的性能规格。

GPU 27b可以可选地通过视频输出连接器700b耦接到外部显示器或投影仪。GPU27a优选地不连接到外部显示器支持，以作为附加的安全措施。

视频输出连接器700b可以是VGA、DVI、HDMI、MicroHDMI、显示器端口或任何其他标准视频协议。

与红色(较高安全性)计算机模块2a不同，本发明的示例性实施方式的黑色(较低安全性)计算机模块2b可以不具有防篡改功能。

与红色(较高安全性)计算机模块2a不同，黑色(较低安全性)计算机模块2b可以配备有耦接到天线42b的无线LAN或蜂窝调制解调器功能40b。无线LAN功能40b可以为IEEE802.11G、蓝牙、蜂窝调制解调器、LTO或任何其他无线语音和数据调制解调器。

计算机模块2a和2b均机械地且电气地耦接到PSS/PSD模块82。计算机模块2a和2b可以通过诸如手拧螺钉的紧固件与PSS/PSD分离。这允许模块化以及更简单的维护和支持。在应当升级一个或两个计算模块的情况下，这种布置还使得能够更容易地进行升级。

PSS/PSD模块82包括主机仿真器和控制器功能72。该功能面对连接的USB HID(人机接口设备)***设备—通过链接78耦接的键盘、触摸板67以及可选的触摸屏仿***机。主机仿真器和控制器功能72将键盘、触摸板和触摸屏命令转换成串行单向数据流，该串行单向数据流由HID多路复用器70和数据二极管71a和71b分别切换到HID设备仿真器74a和74b。HID设备仿真器74a和74b将单向数据流转换回USB HID命令，以通过模块主连接器80a和80b(其分别与模块主连接器28a和28b配合)交互。

可选地，被过滤以仅接受外部鼠标(或鼠标和键盘)的外部USB插口(或两个插口，在这些附图中未示出)可以耦接到主机仿真器和控制器功能72以增加或替代HID 67和/或68。

USB线41a和41b经由分别与模块主连接器28a和28b配合的模块主连接器80a和80b而分别被路由到所路由的计算机模块2a和2b中的USB线26a和26b以及CPU 18a和18b。

红-黑开关96通过选择线79和HID多路复用器70以及视频多路复用器65来控制PSS/PSD模块82的通道选择。当用户想要与红色(较高安全性)计算机模块2a交互时，红-黑开关96被置于顶部位置(红色)。这允许两个多路复用器将HID(键盘、鼠标、触摸板和触摸屏)和视频都切换到红色(高安全性)计算机模块2a。类似地，当红-黑开关被置于底部位置(黑色)时，两个多路复用器将HID(键盘、鼠标、触摸板和触摸屏)和视频都切换到黑色(低安全性)计算机模块2b。

为电池充电并使系统运行的AC电源通过AC或DC电线连接到电源连接器63。电源连接器63耦接到电源和充电器61，电源和充电器61将电源输入转换为低电压DC并调节所耦接的电池62的充电电流。应当注意，AC/DC电源61可以在装置101的外部。在这种情况下，电池62耦接到内部开关/充电器模块(这里未示出)。当AC电力不可用时，电源和充电器61用电池62电力为整个系统供电。电源和充电器61为两个不同的高度隔离的输出通道供电：分别通过模块主连接器80a和80b，其中一个55a通过模块主连接器80a配合模块主连接器28a以及电源30a为红色(高安全性)计算机模块2a供电，55b通过模块主连接器80b配合模块主连接器28b以及电源30b为黑色(低安全性)计算机模块2b供电。电源充电器61中的隔离是出于安全目的，以防止通过两个计算机模块2x之间的电力信号传输造成数据泄露。

PSS/PSD模块82可以进一步包括多域智能卡读取器或优选地生物特征识别(指纹)读取器仲裁器83，其在一侧耦接到生物特征识别传感器和/或卡读取器85，并耦接到两个HID设备仿真器74a和74b。两个HID装置仿真器74a和74b可选地还被配置作为生物特征识别读取器设备仿真器以支持生物特征识别传感器85。

Aviv Softer的标题为“User authentication device having multipleisolated host interfaces”的US 9286460提供了关于用于构造和操作设备以使用户能够使用诸如智能卡读取器的单个用户认证设备，使得用户能够与两个或更多个隔离的计算机安全地交互，并且使得用户能够认证并同时在多个计算机处保持认证的可能的实施方式的更多细节，该专利通过引用结合于此。

图3示意性地示出了根据本发明示例性实施方式的另一种安全气隙便携式计算机系统300。

在该示例性实施方式中，便携式计算机系统300的PSS/PSD模块82a与上述图2中的PSS/PSD模块82类似，但是具有视频处理器97(FPGA、ASIC或微控制器)和视频存储器99。

经由通道87连接到视频处理器97的主机仿真器72可以用作系统控制器以用于执行鼠标跟踪功能并控制键盘信号传输，用于控制视频处理器97以在显示器66上选择活动窗口，对显示器66上窗口进行创建、关闭、调整尺寸和移动，等等。

Aviv Softer的标题为“isolated multi-network computer system andapparatus”的US 20140289433提供了关于使用视频开关或视频组合器安全地控制共享的单个显示器，同时防止两个主机之间的任何可能的信息泄漏的可能的实施方式的细节，其通过引用结合于此。

图4示意性地示出了根据本发明示例性实施方式的用于在安全气隙便携式计算机系统内配置USB过滤器16x的编程软件工具屏幕800的屏幕。

该屏幕800呈现在显示器66上以能够对设备100或300内的USB过滤器16x进行配置和监视。它可以实现为在对应的模块2x中本地运行的程序。可选地，黑色模块2b中的过滤器16b对所有设备保持打开或完全丢失。每个过滤器16x可以具有单独的滤波配置。另外地和可选地，不同的USB端口，例如，12a和13a(和/或12b和13b)可以以不同方式配置，并且可以与单独的屏幕800相关联。或者，可以使用如下详述的列209进行指定。

屏幕800分为3个主要区域：

区域220a是设备白名单区域。在该区域中，各行中的条目指示被对应的过滤器允许(有资格)的设备。

区域220b是设备黑名单区域。在该区域中，各行中的条目指示被对应的过滤器不允许(将被拒绝)的设备。

区域220c是设备读取区域。在该区域中，各行中的条目示出了当前连接的***设备的捕获参数。

为了访问屏幕800，用户激活安全应用。用户或管理员将需要特定的口令来与安全应用交互。一旦口令被认证并且程序员被认证，当前设备策略将出现在该屏幕中。

可选地，实现了用于防止用户修改过滤器16a(以及可选地还有16b)的配置的措施。例如，只有特许的“超级用户”可以进行这样的修改，或者需要外部编程设备(例如，***到USB插口中，或者***到专有编程插口中，在这些附图中未示出)，或者16a的列表是在工厂安装的并且不可更新。

由于红色模块和黑色模块分离，优选将管理应用复制并针对红色模块和黑色模块分开运行。

用户/管理员可以在三个区域—白名单、黑名单和设备读取之间输入新行或放弃行。

当输入新行时，用户/管理员可以指定以下参数(行号202由系统自动输入)：

1.列203是USB类ID。用户/管理员可以输入此字段以允许/拒绝特定类的USB***设备。例如：类03h是由键盘、鼠标、操纵杆使用的人机接口设备(HID)。如果在白名单中输入值03h，则将使得所有具有类03h的USB设备被赋予资格。

2.列204是USB子类ID。用户/管理员可以输入该字段以允许/拒绝特定子类的USB***设备。例如：子类02h，如果在黑名单中输入值02h，将使得所有具有在对应的列203中指示的指定类和子类02h的USB设备被拒绝。

3.列205是USB协议。用户/管理员可以输入该字段以允许/拒绝特定协议的USB***设备。例如：协议01。如果在白名单中输入值01，则将使得所有具有在对应的列203中指示的指定类以及在相应的列204中指示的子类并且使用通信协议01的USB设备被赋予资格。

4.列206是USB供应商ID(VID)。用户/管理员可以输入该字段以允许/拒绝特定VID的USB***设备。

5.列207是USB产品ID(PID)。用户/管理员可以输入该字段以允许/拒绝特定PID的USB***设备。

6.列208是USB唯一序列号(SN)。用户/管理员可以输入该字段以允许/拒绝指定的序列号或序列号范围的USB***装置。

7.列209是映射到模块(2a或2b)或指定的插口(12a、13a、12b、13b)。用户/管理员可在该字段中输入+或-符号以指示该装置是否能够被映射到指定的模块或插口。

8.列210是方向字段。用户/管理员可以在此字段中输入：

a.N表示空(对应的模块/插口不与指定的设备通信，这相当于在209列中的对应位置***“-”，以免将设备映射到对应模块/插口)；

b.R表示只读(对应的模块/插口只能从指定的设备中读取)

c.W表示只写(对应的模块/插口只能写入到指定的设备上)；

d.RW表示读取和写入(对应的模块/插口可以读取和写入指定的设备)。

使用符号约定，例如从左到右的模块(或插口)指定。

注意，可以在每个文本输入字段中输入“*”来表示通配符。

屏幕800可以用于创建、显示或修改授权矩阵中的参数，该授权矩阵将授权设备关联到模块2x并关联到数据流的方向。

优选地，授权矩阵的参数(特别是针对红色模块2a)不可经由黑色模块2b访问，因为该模块可能不被信任为未感染不友好代码或以其他方式受到损害。类似地，连接到插口12x或13的设备可能不被信任为未感染不友好代码或以其他方式受到损害。

图5示意性地示出了与以上图3所示的实施方式300类似的本发明的示例性实施方式400。

在本发明的该实施方式400中，该设备还配备有红-黑加密模块110。红-黑加密模块110允许通过黑色无线或蜂窝调制解调器40b和天线42b以加密格式发送和接收红色消息、语音和视频。红-黑加密模块110可以具有电池130以支持诸如日志、防篡改、密钥存储的功能。红-黑加密模块110可通过LAN或RGII或SGMII接口108a耦接到红色(较高安全性)计算模块2a LAN接口19a，并且其可以通过LAN或RGII或SGMII接口108b耦接到黑色(较低安全性)计算模块2b LAN接口19b。可选地，红-黑加密模块110可以通过高速USB链路或通过任何其他合适的串行化接口耦接到两个计算模块2x。红-黑加密模块110可以是例如RaytheonProteus加密模块(PCM)或其他类似产品。

图6示意性地示出了根据本发明示例性实施方式的安全气隙便携式计算机系统的音频安全电路。

为了减少混乱，在图2、图3和图5中省略了该可选的音频安全电路。在该图中说明了PSS/PSD 82c的一些细节。应当注意，可以对来自所有PSS/PSD 82x的特征和配置进行组合。

每个模块2x都包括对应的音频CODEC 53x，该音频CODEC 53x生成对应的CODEC音频输出121x并接收对应的CODEC音频输入120x。音频CODEC 53x例如经由串行总线26x耦接到对应的CPU 18x。

CODEC音频输出121a和121b被连接，或者它们中的一个被音频输出多路复用器122选择。音频输出多路复用器122的输出通过音频输出数据二极管125、被音频输出放大器128放大、并经由扬声器54被用户听到。

可选地，音频输出放大器128被设计为具有低输出到输入信号耦合，并且因此可以用作音频输出数据二极管125。

可选地，附加地或可替代地，如美国专利9697837中所公开的背靠背编码声码器-解码声码器，可以添加到或替换音频输出数据二极管125。

来自麦克风52的信号中的音频被放大器133中的音频放大，可选地通过二极管131中的音频并馈送到音频输入多路复用器129。音频输入多路复用器129选择CODEC音频输入120a或120b中的一者，使得每次音频CODEC 53a和53b中的一者从麦克风52接收信号。

可选地，音频输入放大器133被设计为具有低输出到输入信号耦合，并且因此可以用作音频输入数据二极管131。

可选地，附加地或可替代地，如美国专利9697837中所公开的背靠背编码声码器-解码声码器，可以添加到或替换音频输入数据二极管131。

音频命令行139控制音频输入多路复用器129和音频输出多路复用器122，使得音频输出信号和音频输入信号同时被耦合到同一模块2x。优选地，音频命令行139由红-黑开关96或音频开关96a控制。可选地，附加地或可替代地，主机仿真器和控制器功能72经由通道87a控制音频输入多路复用器129和音频输出多路复用器122。

应当注意，音频源的控制可以独立于视频控制，但是处于安全考虑，优选地，音频输入和音频输出都耦接到同一模块2x以避免由音频信号引起的气隙桥接(例如，从扬声器54输出的音频可以通过麦克风52达到峰值)。

如本文所用，术语“计算机”、处理器或“模块”可以包括任何基于处理器或基于微处理器的系统，包括使用微控制器、精简指令集计算机(RISC)、专用集成电路(ASIC)、逻辑电路以及能够执行本文中描述的功能的任何其他电路或处理器的系统。上述示例仅是示例性的，并且因此不旨在以任何方式限制术语“计算机”的定义和/或含义。

计算机或处理器执行存储在一个或多个存储元件中的一组指令，以便处理输入数据。存储元件还可以根据期望或需要存储数据或其他信息。存储元件可以是信息源或处理机器内的物理存储元件的形式。

该组指令可以包括指示计算机或处理器作为处理机器来执行诸如本发明的各种实施方式的方法和过程等特定操作的各种命令。该组指令可以是软件程序的形式。软件可以是各种形式，比如系统软件或应用软件。此外，软件可以是单独的程序或模块的集合、较大程序内的程序模块或程序模块的一部分的形式。软件还可以包括面向对象编程形式的模块化编程。处理机器对输入数据的处理可以响应于操作者命令，或者响应于先前处理的结果，或者响应于另一处理机器做出的请求。

如本文所用，术语“软件”和“固件”是可互换的，并且包括存储在存储器中用于由计算机执行的任何计算机程序，存储器包括RAM存储器、ROM存储器、EPROM存储器、EEPROM存储器以及非易失性RAM(NVRAM)存储器。上述存储器类型仅是示例性的，因此不限制可用于存储计算机程序的存储器类型。

应当理解，以上描述是说明性的，而不是限制性的。例如，上述实施方式(和/或其方面)可以彼此组合使用，另外，在不脱离本发明的范围的情况下，可以进行许多修改以使特定情况或材料适应本发明的各种实施方式的教导。虽然在此描述的材料的尺寸和类型旨在限定本发明的各种实施方式的参数，但是这些实施方式绝不是限制性的并且是示例性实施方式。在审阅本公开之后，许多其他实施方式对于本领域技术人员来说是显而易见的。因此，本发明的各种实施方式的范围应当参考所附权利要求以及这些权利要求所赋予的等同物的全部范围来确定。在所附权利要求中，术语“包括(including)”和“其中(in which)”用作对应术语“包括(comprising)”和“其中(wherein)”的普通英语等同物。此外，在所附权利要求中，术语“第一”、“第二”和“第三”等仅用作标记，而不旨在对它们的对象施加数字要求。

此外，所附权利要求的限制不以装置加功能的形式书写，并且不旨在基于35U.S.C.§112第六段来解释，除非并且直到这样的权利要求限制明确地使用短语“用于…的装置”之后没有进一步结构的功能陈述。

本书面描述使用示例来公开本发明，包括最佳模式，并且还使得本领域技术人员能够实践本发明，包括制造和使用任何设备或系统以及执行任何并入的方法。本发明的专利范围由权利要求限定，并且可以包括本领域技术人员想到的其他示例。如果这些其他示例具有与权利要求的文字语言并无不同的结构元素，或者如果它们包括与权利要求的文字语言没有实质差异的等效结构元素，则这些其他示例旨在落入权利要求的范围内。

尽管已经结合本发明的特定实施方式描述了本发明，但是很明显，许多替换、修改和变化对于本领域的技术人员来说是显而易见的。因此，旨在包括落入所附权利要求的精神和广泛范围内的所有这样的替换、修改和变化。本说明书中提及的所有出版物、专利和专利申请通过引用以其整体并入本说明书，其程度如同每个单独的出版物、专利或专利申请被具体地且单独地指明通过引用并入本文。此外，本申请中任何参考文献的引用或标识不应被解释为承认这样的参考文献可用作本发明的现有技术。