一种多存储器式物理隔离型计算机数据安全防护装置,包括主板和经IDE总线连接的第一外存储器及其内设置的第一操作系统;其特征在于:还设置有: 与所述主板相连的IDE隔离切换开关;所述第一外存储器位于该隔离切换开关的一个切换位; 位于该隔离切换开关另一个切换位的加密外存储器;该加密外存储器内设置有第二操作系统; 硬件加密装置,包括:一个对对保密数据进行变形存储与换位存储操作的保护卡;一张IC卡和IC卡读卡器;所述保护卡通过IDE接口与计算机主板相连,并通过硬盘接口与加密外存储器相连;该保护卡完成从IDE命令解释到存储器管理的全过程,并具备全套完整的ATA通信协议解释能力;所述保护卡和IC卡已经过一一对应的绑定操作;所述绑定不可逆,且一个保护卡只能被绑定一次;所述IC卡读卡器内的插卡断网装置可以使得IC卡插入时,断开串联在主板与网线之间的信号,达到插卡断网功能。(*该技术在2012年保护过期,可自由使用*)
【技术实现步骤摘要】
多存储器式物理隔离型计算机数据安全防护装置
本技术涉及网络环境中单台计算机数据安全防护装置,特别涉及需加密数据与普通数据的物理及系统隔离,硬件处理式、延时小、保密性高的数据加密安全防护装置。
技术介绍
目前计算机隔离技术仅限于单纯隔离,只能防止网络上的攻击,对内部盗窃无能为力。本系统将隔离与加密技术合二为一。在具备防止黑客攻击的同时,还可以有效防止内部失窃。另外,目前通常采用的算法芯片级的“硬件”加密,对计算机软硬件要求较多,局限性大,如对操作系统、硬件平台的要求等,往往难以达到实时性的速度要求。并行数据处理要求的带宽比较大,如果使用DSP等处理器,目前的技术条件下,几乎不可能以大规模商业化的价格实现。而且,由于普通软件处理的方法,将引入较大的延时,还将极大的影响接口带宽,影响用户正常的使用,其通用性和实用性不能达到要求。目前流行的算法芯片,基本是基于DSP架构。使用过程一般是三步:首先,向算法芯片写入密钥;其次,向算法芯片写入明文和加密指令(或者是密文和解密指令);由于加、解密计算需要一定的时间,一般的等待时间是微秒(μs)级;其三,DSP处理完成之后,将发出转换结束信号,此时才能得到加密后(或者解密后)的数据。因此,可以看出基于上述架构的系统,其处理带宽是相当有限的,一般仅仅适用于低速的实时通讯或高速的存储转发通讯等。对于IDE接口这类高速率又要求实时性的应用,目前通用的算法芯片是无法胜任的。还有,以往的数据加密只注重数据本身,其存储格式和存储器空间安排没有改变,一旦发生盗窃,盗窃者多花一点时间就能破解;而且对存储介质在网络环境下抵抗黑客入侵也没有根本的解决办法。-->
技术实现思路
本技术为克服现有技术的上述不足之处,提出一种多存储器式物理隔离型计算机数据安全防护装置,采用网络隔离系统,将被保护信息与网络物理隔离,使非法用户从网络攻击涉密信息成功的可能性为零;对内采用保护卡,在非法用户使用本机时或硬盘丢失时,涉密文件被破解的可能性降为最低。对被保护硬盘内信息进行有效保护,非法用户无法读取被保护硬盘内文件或逻辑结构。主硬盘系统与被保护硬盘系统物理隔离,由网络隔离系统开关控制;被保护系统无法登陆局域网(自动控制),系统切换时,网络隔离系统监测所有存储介质,异常情况下阻止切换。本技术还采用多重认证方式,并采用反跟踪和反攻击设计,对操作系统和硬件平台透明,即插即用,适用于任何种类、版本的计算机数据或文件,被保护硬盘、读卡器、IC卡、SAM卡、保护卡一一对应,根据需要,可嵌入用户自选的加解密算法或加装算法芯片,非法用户不可进入本地系统或登录指定系统,传输速度大于24Mbit/s。本技术的目的可以这样来达到:本技术提供了一种多存储器式物理隔离型计算机数据安全防护装置,包括主板和经IDE总线连接的第一外存储器及其内设置的第一操作系统;其特征在于:还设置有与所述主板相连的IDE隔离切换开关;所述第一外存储器位于该隔离切换开关的一个切换位。位于该隔离切换开关另一个切换位的加密外存储器;该加密外存储器内设置有第二操作系统,将所述加密式外部存储器空间的寻址方式设置为间接寻址,采用可逆地址变换映射函数F(c,h,s),按照F(c,h,s)=ccp+hhp+ssp的方式安排数据存储物理地址。式中c是柱面号,h是磁头号,s是扇区号,表示模2加运算:cp、hp、sp是三组随机数。将欲存入所述加密式外部存储器的数据进行如下变形:在变形存储的第一时刻,第一组数据P1与初值函数N(c,h,s)模2加,即P1“N”,结果作为正向函数的数据输入;式中,N(c,h,s)=ccp+hhp+ssp。在本申请中,F为地址变换,N为变形存储,二者描述不同的函数式,以下相同。-->本专利技术所涉及的网络环境中单台计算机数据安全防护技术,其中需加密数据与普通数据的物理及系统隔离,具有硬件处理式、延时小、对加密数据文件防止非法访问和拷贝、保密强度高的特点,可随用户需要设置不同的算法及选用不同的密钥长度,而且该数据加密安全防护系统不会成为数据文件传输速度的瓶颈和障碍。附图简要说明图1是本技术的计算机数据安全防护装置的总体结构示意图;图2是本技术的安全防护装置隔离切换开关的连接状态示意图;图3是本技术的安全防护装置的硬件逻辑示意图。具体实施方式本技术提供了一种多存储器式物理隔离型计算机数据安全防护装置,包括操作系统对通用计算机硬件的控制,以及对于数据存取的加密、解密;其特征在于:在含有通用计算机结构的系统中,加设一个或多个加密式外部存储器;将所述加密式外部存储器空间的寻址方式设置为间接寻址,采用可逆地址变换映射函数F(c,h,s),按照F(c,h,s)=ccp+hhp+ssp安排数据存储物理地址。式中c是柱面号,h是磁头号,s是扇区号,表示模2加运算:cp、hp、sp是三组随机数。将欲存入所述加密式外部存储器的数据进行如下变形:在变形存储的第一时刻,第一组数据P1与初值函数N(c,h,s)模2加,即P1“N”,结果作为正向函数的数据输入;式中,N(c,h,s)=ccp+hhp+ssp。加密式外部存储器可以与系统原外部存储器处于同一存储介质的不同分区内,也可以是加装的另一存储器;加密式外部存储器可以是带传统驱动器的硬盘式结构,也可以是电子式外部存储器。另外设立隔离系统切换开关,控制所述加密式外部存储器与系统原外部存储器分别从网络隔离系统取电;并使被保护系统无法登录局域网。系统切换时,网络隔离系统监测所有存储介质,阻止异常情况下的切换操作。在所述两存储器上分设不同的操作系统。两套操作系统分别启动,由隔离系统切换开关控制;其中一个操作系统用于连接局域网或互联网,当切换到另一操作系统时,计算机与网络物理隔绝。-->在所述计算机内设立硬件加密系统,包括一个保护卡、一张IC卡和IC卡读卡器,并使用该硬件加密系统进行身份认证。保护卡和IC卡已经过一一对应的绑定操作;所述绑定不可逆,且一个保护卡只能被绑定一次;保护卡检测本保护卡的ID号,并检测板内的绑定存储器的数据格式和标志;确认ID号无误且板内绑定存储器的内容处于原始状态,则对IC卡进行规定操作,将绑定信息按加密格式存储于保护卡上。用所述保护卡对保密数据进行变形存储与换位存储操作。保护卡上存有对加密存储器读写、授权等操作和特殊操作的管理体系。IC卡读卡器内的装置,使得IC卡插入时,断开串联在主板与网线之间的信号,达到插卡断网功能。根据本技术,加设密码键盘,用以进行辅助身份认证;该密码键盘经保护卡的串口与保护卡连接,是保护卡与使用者之间唯一的信息交换渠道。使用者输入必要信息后,由卡上CPU进行判断和动作。下面结合附图,详细描述本技术。系统连接方式如图1-3所示。该系统采用两块存储器或硬盘,IDE1为主硬盘,用于安装操作系统I和应用程序以及放置普通信息。IDE2为加密外存储器或称被保护硬盘,用于安装操作系统II和存储敏感数据,其与主板之间串联计算机数据文件保护卡。身份认证采用用户IC卡和密码键盘双重方式;所述用户IC卡简称IC卡,其读写器具有插卡断网功能。两块硬盘均从一块隔离切换装置取电。隔离切换装置上的切换开关控制两块硬盘分别启动。在本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种多存储器式物理隔离型计算机数据安全防护装置,包括主板和经IDE总线连接的第一外存储器及其内设置的第一操作系统;其特征在于:还设置有:与所述主板相连的IDE隔离切换开关;所述第一外存储器位于该隔离切换开关的一个切换位;位于该隔离切换开关另一个切换位的加密外存储器;该加密外存储器内设置有第二操作系统;硬件加密装置,包括:一个对对保密数据进行变形存储与换位存储操作的保护卡;一张IC卡和IC卡读卡器;所述保护卡通过IDE接口与计算机主板相连,并通过硬盘接口与加密外存储器相连;该保护卡完成从IDE命令解释到存储器管理的全过程,并具备全套完整的ATA通信协议解释能力;所述保护卡和IC卡已经过一一对应的绑定操作;所述绑定不可逆,且一个保护卡只能被绑定一次;所述IC卡读卡器内的插卡断网装置可以使得IC卡插入时,断开串联在主板与网线之间的信号,达到插卡断网功能。2.根据权利要求1所述的计算机数据安全防护装置,其特征在于:所述安全防护装置还包括用以进行辅助身份认证的密码键盘;该密码键盘经保护卡的串口与保护卡连接,是保护卡与使用者之间唯一的信息交换渠道,使用者输入必要信息后,...
【专利技术属性】
技术研发人员:崔军,蒋海涛,
申请(专利权)人:北京唯美星计算机安全保护技术有限公司,
类型:实用新型
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。