本实用新型专利技术涉及一种信息安全保护装置,属于信息安全技术领域。所述信息安全保护装置,包括用于安全管理的中央处理器(CPU);还有存储器;和用于与外部传递信息的输入、输出单元;以及管理、控制计算机的底层硬件的安全控制单元。本实用新型专利技术优点在于,计算机的硬件资源不再是完全开放的,而是由信息安全保护装置来管理控制,从硬件底层对计算机进行安全保护,对不同身份的用户的使用权限进行限制。(*该技术在2011年保护过期,可自由使用*)
【技术实现步骤摘要】
信息安全保护装置
本技术涉及一种信息安全保护装置,属于信息安全
,特别适合对计算机信息安全要求严格的场合使用。
技术介绍
现有的计算机系统构架中,对任何标准设备的访问都是开放的,像软盘驱动器,硬盘驱动器,PCI设备,USB设备。这些设备的读写方式和通讯协议都是公开的,它允许任何用户直接访问这些设备,并可直接从这些设备中读取信息。由于这种开放式的构架,使得一些恶意的攻击者有可能通过直接读写这些硬件设备获取计算机存储的信息,或破坏这些信息。比如一个攻击者可以直接通过底层的程序直接操作硬盘驱动器直接从硬盘磁道扇区中读出数据,通过这种方法可以将整个硬盘的数据读出,加以分析,从中提取需要的资料,或者通过简单的低级格式化程序破坏整个硬盘数据。由于这种攻击行为可以不依赖于特定的操作系统,这使得任何基于操作系统及其上层软件的防护都无法防止这种攻击行为。一个熟悉计算机系统的人甚至可以修改BIOS或从新编写底层驱动程序,从而使这种攻击行为可以不依赖于BIOS,从而避开某些BIOS的限制,或者通过修改BIOS对计算机进行破坏,象以前爆发的CIH病毒就是修改BIOS的例子。
技术实现思路
-->本技术的目的在于,解决上述计算机安全的问题,提供一种计算机安全保护装置即信息安全保护装置。所述信息安全保护装置是作为计算机信息安全保护的核心部分,它能够管理控制计算机的底层硬件设备,具有用户权限或身份信息输入接口,能够对不同身份的用户使用计算机底层硬件的权限控制。本技术的一种信息安全保护装置的技术方案是这样实现的:它包括一个用于安全管理的中央处理器(CPU);还有存储器和用于与外部传递信息的输入、输出单元;以及管理、控制计算机的底层硬件的安全控制单元。本技术的优点在于:计算机的硬件资源不再是完全开放的,而是由信息安全装置,通过是安全模块来管理控制,从硬件底层对计算机进行安全保护,对不同身份的用户的使用权限进行限制。 附图说明图1是信息安全保护装置为安全模块结构示意图;图2是与信息安全保护装置配套的计算机控制部分示意图;图3是更具体的实施例构成部件示意图;图4是信息安全保护装置为安全模块工作流程示意图。 具体实施方式如图1所示,本技术的信息信息安全保护装置是硬件模块,还可以是包含安全模块部件的芯片,或包含安全模块部件的其他封装形式的器件;安全模块是嵌入于计算机内对计算机实施安全控制,还可以是外挂在计算机外;安全模块有一个中央处理器(CPU)1,它是基于X86的内核的处理器,还可以是,ARM.MIPS.POWER PC内核的处理器,或其他专用处理器;有一个存储器2,它是如图3随机存储器2.1和电可擦写的存储器2.2或/和只读存储器;还有图1所示输入输出单元3,它是用户专有信息输入设备接口3.3,连接计算机用于模-->块与计算机间交换信息的接口3.1、3.2;如图所示的用户专有信息输入设备是IC卡读卡器5,还可以是指纹识别设备,声音识别设备,及其他光电识别设备的一种或多种。还有时钟电路3.4或/和报警电路3.5,时钟电路3.4是为安全模块提供时间基准的电路,报警电路是安全模块检测到异常通知用户的电路;安全模块与计算机之间交换的信息可以是计算机与模块之间传递的命令信息,还可以是计算机交由模块处理的数据信息。这种处理是加密、和解密等。如图1所示,安全模块的安全控制单元4是一个连接到计算机并对计算机底层硬件管理控制的电路;该电路的控制总线如图3所示是I2C总线4.1,还可以是USB总线,或串行总线,或并行总线,或其他专用总线的一种或多种;所述的管理的计算机底层硬件可以是如图2所示的USB设备16,PCI设备12,硬盘驱动器20,软盘驱动器22,串行通讯设备14,并行通讯设备10,键盘、鼠标8及其他可控设备18的一种或多种。与本技术信息安全保护装置配套的计算机或类似设备包括至少一个如图2所示的开关电路6,该电路至少由一个能与安全保护装置的控制单元4连接的信号,通过此信号控制开关电路7、9、10等打开或关闭计算机相应的硬件资源。所述的类似设备可以是工控设备。如图3所示是本技术信息安全保护装置为安全模块更具体的实施例。本实施例安全模块由一个中央处理器1,存储器2有一个随机存储器2.1,一个电可擦写存储器2.2,输入输出单元3还有一个实时时钟电路3.4,一个报警电路3.5,一个IC卡的接口电路3.3;安全控制单元4是I2C总线控制器4.1。中央处理器1用于安全处理,随机存储器2.1用于存储程序临时数据,电可擦写存储器2.2用于存储程序本身和需存储的数据信息,实时时钟电路3.4用于给安全模块提供一个时间基准,报警电路3.5通过报警提示异常情况,7816总线-->控制器3.3作为一种身份认证接口提供给安全模块用户专有信息。安全控制电路使用的是I2C总线控制器4.1输出控制信号,该控制信号通过该总线控制器连接到计算机主板上的开关电路6上(如图2所示),该开关电路还包含一个有I2C总线接口的GPIO扩展电路和与该扩展电路输出端连接的开关电路(如图2的7、9、11、15、19、21、13、17),该开关电路控制计算机的软盘驱动器22、硬盘驱动器20、PCI设备12、USB设备16、串行通讯设备14、并行通讯设备10、键盘、鼠标3开启/关闭,该开关电路并且连接到计算机的开机关机电路23和复位电路24取代原计算机的开机、关机按钮25、复位开关按钮26。如图4所示的是信息安全保护装置安全模块的工作流程示意图:图中,在计算机系统正常工作前,安全模块首先启动,在安全模块启动后即执行自检程序,当自检出现异常后,安全模块通过报警电路报警,等待用户处理,当自检正常后,安全模块等待用户插入IC卡,用户插入IC卡后,安全模块验证IC卡的合法性,只有IC卡合法安全模块(ESM)才通过安全控制电路给计算机加电、等待计算机运行;计算机加电后开始进入BIOS程序;BIOS完成计算机自身初始化后,弹出一个要求用户输入密码的界面,用户输入密码后,计算机将此密码通过输入、输出端口传送到安全模块,并向安全模块发出验证密码的命令,安全模块开始认证程序,从IC卡中读取密码信息并与用户输入密码进行验证,如果认证错误,安全模块通知计算机并要求用户重新输入密码;认证正确后,安全模块从IC卡中取出用户权限数据,安全模块依据用户权限数据开启计算机相应底层硬件设备,此过程完成后通知BIOS继续执行BIOS程序;BIOS完成自身程序后将控制权交给操作系统,操作系统从安全模块中取出用户权限等信息,开始应用程序;当应用程序检测到异常情况,应用程序通过操作系统通知安全模块,安全模块报警,并将异常情况记录、存储在电可擦-->写的存储器中,记录的时间是由安全模块本身的实时时钟提供,并根据异常情况的等级关闭相应的计算机硬件底层设备。本文档来自技高网...
【技术保护点】
一种信息安全保护装置,其特征在于,它包括: 一个用于安全管理的中央处理器(CPU)(1); 还有存储器(2);和 用于与外部传递信息的输入、输出单元(3);以及 管理、控制计算机底层硬件的安全控制单元(4)。
【技术特征摘要】
1、一种信息安全保护装置,其特征在于,它包括:一个用于安全管理的中央处理器(CPU)(1);还有存储器(2);和用于与外部传递信息的输入、输出单元(3);以及管理、控制计算机底层硬件的安全控制单元(4)。2、根据权利要求1所述的信息安全保护装置,其特征在于,所述的中央处理器(CPU)(1)是基于X86内核的处理器,还可以是ARM、MIPS、POWERPC内核的处理器,或其他专用处理器。3、根据权利要求1所述的信息安全保护装置,其特征在于,所述的存储器(2),是随机存储器和电可擦写的存储器,或/和只读存储器。4、根据权利要求1所述的信息安全保护装置,其特征在于,所述的输入、输出单元(3)是与用户专有信息输入设备接口和连接计算机用于安全模块与计算间交换信息的接口;所述的用户专有信息输入设备是IC卡读卡器,或/和指纹、声音、图象等识别设备,以及其他光、电识别设备;所述的信息安全保护装置是安全模块,它与计算机之间交换的信息可以是计算机与该模块之间传递的命令信息,或计算机交由模块处理的数据信息。5、根据权利要求1所述的信息安全保护装置,其特征在于,它还有一个时钟电路(3.4),或/和报警电路(3.5);所述的时钟电路(3.4)是信息安全保护装置提供时间基准的电路;所述的报警电路(3.5)是信...
【专利技术属性】
技术研发人员:刘毅,吕永康,张焕国,
申请(专利权)人:武汉瑞达电子有限公司,
类型:实用新型
国别省市:83[中国|武汉]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。