專利名稱:一種保證信息安全的計算機系統的制作方法
技術領域:
本實用新型涉及一種計算機系統,尤其涉及一種保證信息安全的計算機系統。
背景技術:
現有的計算機體系結構不完善從而造成了信息安全的漏洞。目前,PC機的文件加密技術通常是經過軟件和操作系統的參與來完成,即PC機內的加密軟件對文件進行軟件或加密卡加密后,通過操作系統(軟件),存入到永久存儲介質(如硬盤)中,這種加密方法不安全,例如,藏于系統中的黑客程序能將加密前后的文件比較處理后,得到密鑰,將全部文檔解密。因此出現了一種通過介質加密的方法,例如專利號為ZL99113164.9,實用新型名稱為一種計算機硬盤加密裝置的中國專利文獻,其公開了一種計算機硬盤加密方法及裝置,在常規的計算機基礎上,通過加密芯片而組成加密電路,加密芯片是由控制單元電路、加解密單元電路、RAM存儲器及控制開關K組成,對進出硬盤的數據流選擇性的硬件加密,從而實現了所謂的介質加密。即使非法得到硬盤,沒有合法的密鑰,也只能讀到加密后的文件,無法破譯;有合法密鑰,但不同組,雖然能看到D盤,亦由于解碼方式不同,仍不能得到有用信息。實現了計算機硬盤加密,增加了計算機的保密性。但此類型的加密算法是不能更改的,因此其安全性也不高。
實用新型內容本實用新型所要解決的技術問題在于提供一種加強對硬盤的數據進行加解密的保證信息安全的計算機系統。
本實用新型進一步要解決的技術問題在于提供一種具有硬盤保護的保證信息安全的計算機系統。
本實用新型進一步要解決的技術問題在于提供一種具有網絡隔離的保證信息安全的計算機系統。
為解決上述技術問題,本實用新型所采用的技術方案是提供一種保證信息安全的計算機系統,其包括組成個人計算機的通用部件,該計算機的硬盤集成了一個嵌入式智能處理系統,包括處理器、微內核操作系統和存儲器,且硬盤驅動電路中還集成了硬件邏輯加密電路模塊,對數據加解密過程是由處理器和微內核操作系統的指令下調用硬件邏輯加密電路完成。
該計算機系統通過硬件電路強制硬盤的磁頭偏置,將硬盤劃分為保護區和對應的鏡像區兩個部分,保護區在負磁道,用戶無法訪問。
該計算機系統還配置有外部的網絡隔離卡,硬盤驅動電路引出一排物理連接信號線連接到該網絡隔離卡。
本實用新型的有益效果是由于本實用新型的計算機的硬盤集成了一個嵌入式智能處理系統,包括處理器、微內核操作系統和存儲器,因此其加密算法可以更改,因此本實用新型既有介質加密,又可以更改加密算法,因此其安全系數高,即使計算機出現機器被盜,也不會使數據內容呈解密狀態,達到硬盤數據保密目的,和專用硬盤數據加密卡比較,集成設計技術增加了系統可靠性、穩定性和兼容性;加解密操作繞過主板和BIOS直接對硬盤的出入口控制,大大降低密碼被截獲破解和繞道開通的幾率,增強了保密性;本實用新型的保證信息安全的計算機系統在使用過程中用戶只需要按照開機過程的操作提示進行初始功能設置即可實現數據加密、硬盤保護、網絡隔離等功能,簡單易用。滿足對計算機數據安全比較迫切的用戶,如科研院所、金融和政府以及國防等需求。
圖1是本實用新型的保證信息安全的計算機系統工作流程圖。
圖2是本實用新型的保證信息安全的計算機系統的標準保護模式和靈活保護模式的實現方法流程圖。
圖3是本實用新型的保證信息安全的計算機系統的保護區分區與鏡像區實現原理示意圖。
圖4是本實用新型的保證信息安全的計算機系統的加密示意圖。
圖5是本實用新型的保證信息安全的計算機系統的硬盤物理隔離分區示意圖。
圖6是本實用新型的保證信息安全的計算機系統的網絡隔離卡與不同用戶連接的連接關系拓撲結構圖。
圖7是本實用新型的保證信息安全的計算機系統的硬盤隔離區和物理隔離卡的對應關系示意圖。
圖8是本實用新型的保證信息安全的計算機系統的USB驅動電路與對用戶接口拓撲聯結圖。
圖9是本實用新型的保證信息安全的計算機系統的KEY與系統建立通訊的流程圖。
具體實施方式
本實用新型的保證信息安全的計算機系統包括(1)防止電磁泄露的可屏蔽機殼和外部連接數據線纜;(2)具有數據鏡像、數據加密專用電路的硬盤;(3)硬盤驅動電路提供的USB設備的連線與接口;(4)用戶身份強制認證的智能USB KEY;(5)網絡隔離卡以及組成個人計算機的其它通用部件。
本實用新型的改進集中在硬盤和USB KEY兩個關鍵部件上,兩個部件中分別集成了一個嵌入式智能處理系統,包括處理器(CPU)、微內核操作系統(COS)和存儲器。目的是確保兩個息息相關的子系統能安全通訊,并在各自功能架構基礎上為用戶提供更容易操作交互平臺。主要包括以下幾個方面的改進(1).硬盤驅動電路中集成了硬件邏輯加密電路模塊,所有寫入硬盤的數據都經過加密,反之,讀出的數據也進行解密操作;(2).在固件(Firmware)中增加了密碼認證程序,未通過認證不可以訪問硬盤數據;
(3).通過硬件電路使硬盤區域隔離和虛擬管理系統,構造虛擬鏡像操作區域;(4).硬盤內部存儲區域隔離,構造多用戶主引導區;(5).硬盤驅動電路板設計出一根短程USB連線與接口;(6).一個智能USB Key系統;(7).外部網絡聯結隔離卡;(8).防止電磁泄露的可屏蔽機殼和外部連接線纜;機殼與外部連接線纜增加了防止EMI無線電磁波信息泄露的屏蔽處理;電源增強了防止傳導的EMI電路。
請參閱圖1,本實用新型的保證信息安全的計算機系統工作流程包括以下步驟101.計算機主機開機并自檢;102.HDD初始化;103.判斷是否插入USB KEY,若是,則執行步驟104,若不是,則執行步驟111;104.USB KEY密鑰識別;105.HDD工作模式配置;106.讀取MBR;107.OS啟動;108.OS正常運行;109.判斷USB KEY是否正常,若正常,則返回步驟108,若不正常,則執行步驟110;110.等待USB KEY正常,停止系統運行,然后返回步驟109;111.用戶身份密碼識別,然后執行步驟105至108;本實用新型的計算機信息安全系統主要有以下技術。
1.硬盤保護技術本實用新型實現硬盤保護的方法是利用硬盤加電磁頭歸零的特性,通過硬件電路強制磁頭偏置,將硬盤劃分為保護區和對應的鏡像區兩個部分,保護區在負磁道,用戶無法訪問;用虛擬硬盤存儲管理系統,讓用戶按正常條件下的讀寫操作的數據區實際上是鏡像區,并沒有觸及到真實保護區;當有權限執行“備份”操作時才可以寫入保護區;執行“恢復”操作就可以將當前的系統整個“刷新”。保護區的存在可以防止任何刪除、病毒破壞、格式化甚至低級格式化操作破壞,達到保護硬盤數據目的。
硬盤保護有標準保護模式和靈活保護模式兩種。
這兩種模式實現方法是由授權用戶在系統初始設置確定的,詳細步驟和設置操作流程圖如圖2所示。
標準保護模式和靈活保護模式的實現方法包括以下步驟201.計算機主機開機并自檢;202.和硬盤建立握手信號;203.硬盤微內核程序獲得控制權;204.彈出用戶功能設置操作組合熱鍵;205.判斷是否執行初始設置,若是,則執行步驟206,若不是,則檢測用戶身份,然后判斷身份是否正確,若正確,則讀取硬盤MBR信息,然后加載操作系統OS,若不正確,則返回檢測用戶身份;206.彈出設置菜單;207.輸入口令;208.判斷口令是否正確,若不正確,則重新執行步驟208,若正確,則執行步驟209;209.輸入參數;210.判斷是否保存設置更改,若是,則執行步驟211,若不是,則重新執行步驟210;211.計算機主機重新啟動。
操作過程是系統開機自檢后,主機BIOS發送命令給HDD,檢測硬盤反饋是否準備就緒的信號,準備就緒則進入下一步,檢測到硬盤的初始化信息并在加載硬盤的Firmware信息,將控制權交給硬盤控制,CPU與內存等架構在主板上的核心部件在與硬盤有數據交換都受硬盤的和微系統(COS)介入控制;COS面向用戶彈出“Ctr+Alt+M”交互操作熱鍵,執行后彈出詳細功能設置菜單;用戶按菜單并輸入身份驗證口令;按幫助提示執行初始配置操作,將硬盤劃分成受保護的主分區(PrimaryMaster)C,同時自動生成鏡像虛擬區C′,并確認是否將更改的配置保存。請參閱圖3,是保護區分區與鏡像區實現原理示意圖。
有剩余空間的話,系統自動將剩余部分置為從分區(Primary Slave)。
兩個模式的區別是權限不同,標準保護模式的用戶只有讀取硬盤數據的權限,不能保存數據更改;靈活保護模式的用戶除了以上權限外增加了享有臨時寫存儲權限。
這種設計和硬盤保護卡以及主板內嵌程序操作的備份恢復軟件功能很類似,但是基于硬盤低層設計方案優勢明顯,表現在兼容性、可靠性、穩定性、是否占用主機的資源、執行效率以及成本等方面。
2.數據加解密技術數據加解密的實現方法是所有寫入硬盤的數據都是經過8組8位寄存器硬件邏輯加密電路自動加密,所有讀出的數據自動解密,加解密電路作為控制數據的進出關卡。加密示意圖,如圖4所示。
對數據加解密過程是由處理器和微內核操作系統(COS)指令下調用硬件邏輯加密電路完成,對用戶完全透明。文件在磁盤上永遠是加密存放的,從這個角度來看整個硬盤就是一個完整的加密文件。目的是即使計算機出現機器被盜,也不會使數據內容呈解密狀態,達到硬盤數據保密目的。
和專用硬盤數據加密卡比較,集成設計技術增加了系統可靠性、穩定性和兼容性;加解密操作繞過主板和BIOS直接對硬盤的出入口控制,大大降低密碼被截獲破解和繞道開通的幾率,增強了保密性。
解密過程是其逆過程,原理相同。
3.身份認證技術本實用新型的身份認證包括兩種,一種是口令驗證識別;另一種是USB KEY識別。
3.1口令驗證識別法口令驗證識別法的實現方法是啟用三級身份與權限設置安全管理,實現方式是憑口令登錄。三個身份級別是普通用戶、系統管理員、安全行政管理員。
主要權限界定,以普通用戶口令登錄的用戶有讀硬盤數據權限可以引導系統進入OS操作平臺,或者可以擁有備份恢復讀寫操作權限(由最高行政級別確定);系統管理員可以享有普通用戶的全部權限,此外還擁有更改自身和普通用戶的口令權限。安全行政管理員是應用戶需要增加的,為最高級別用戶,主要作用是防止口令丟失等不測情形下的口令注銷與注冊管理活動。
操作流程可參考系統流程圖。
3.2 USB KEY識別法USB KEY識別法的實現方法是開機后當檢測USB總線接口時檢測到有USB KEY設備并且準備就緒后,由硬盤調用KEY的驅動和二者通信協議,實現與KEY的通訊;接著KEY發送經過自己和算法加密的密鑰暗文給硬盤,硬盤收到暗文密鑰后,調用ROM中存儲的算法(和KEY中加密算法相同)解開暗文密鑰進行驗證,合格后反饋給KEY一串新密鑰字符,作為下次加密的密鑰。為了保證發送的密鑰都不同,采用的方法是每次發送的密鑰串至少有一位和前次不同。KYE收到密鑰后進行加密保存,等待再次讀取使用。
在USB KEY識別方法里采用開機過程強制認證與使用操作過程中的跟蹤監督相結合的方法。如果硬盤的加密控制身份驗證失敗,則再次發送讀取密鑰的命令,重復三次失敗,則KEY鎖死不再響應請求,停止供應密鑰。
身份識別成功并進入操作系統后,由應用軟件一發卡系統不間斷掃描KEY端口和合法KEY的在線狀態,若檢測不到KEY則停止工作,并鎖死硬盤數據出入端口。
4.硬盤存儲區域隔離與多個主引導區并存技術硬盤存儲區域隔離與多個主引導區并存的實現方法是讓虛擬硬盤管理技術,將一個硬盤按指定的空間分成幾個區域(最多不超過3個)。當用戶開機時,彈出開機引導區選擇菜單,當選中其中一個為開機主引導區并激活時,則將其它兩個置成負磁道,不讓用戶訪問。
特點是每個區域都可以實現各自的激活狀態的主引導區實現安裝引導各自(可以是不同類型)操作系統和正常的OS作業環境。如圖5所示為硬盤物理隔離分區示意圖。
5.網絡隔離技術外部網絡隔離功能的實現方法是在硬盤內部隔離功能的前提下,再配置一塊外部的網絡隔離卡,就可以將不同用戶連接到不同的外部網絡。連接關系的拓撲結構如圖6示。
實現方法是用不同的隔離引導區與網絡隔離卡每個RJ-45端口一對一捆綁的方法,實現內部隔離區與隔離卡RJ-45口(通道)一一對應關系。硬件設計是通過硬盤驅動電路引出一排物理連接信號線連接到隔離卡,開機后當用戶每次選擇不同的引導區時系統自動識別并發送一個信號給隔離卡的微繼電器撥動開關去選通對應的網絡接口通道。執行不同通道切換動作時,強迫主機系統重新復位以清空動態存儲器(內存)和網絡適配器中的數據。
其中硬盤和卡的連接拓撲關系如下,在硬盤內部分區隔離功能的基礎上,在配合外部網絡連接隔離卡,實行每個隔離區和每個隔離卡的端口一對一綁定的原則。如圖7所示為硬盤隔離區和物理隔離卡的對應關系示意圖。
6.USB驅動電路與連接線路技術USB驅動電路與對用戶接口整體拓撲結構構思比較巧妙,拓撲聯結如圖8所示,實現方法是將USB總線驅動控制器集成到硬盤驅動電路板并從硬盤的電路板引出USB端口線直接給用戶接入USB KEY。同時機箱在硬盤支架位置布局設計時使之盡可能靠前面板的USB出口位置,達到硬盤USB引線到機箱面板USB接口之間連線最短。連接線纜進行電磁屏蔽處理。
目的是避開因為目前通用的USB KEY身份認證裝置接在主板(BIOS)參與,增加被截獲的幾率。
7.USB KEY的技術安全USB KEY實現方法是一個帶有數據處理器(CPU)、存儲器和微操作內核(COS)與加密算法程序的系統,本身具有安全加密功能,在和硬盤CPU通訊過程有自己的判斷與應答交互機制,目的是增強安全可靠。
USB帶有微操作系統(COS)和沒有COS的自帶加密算法的高級KEY相比較,不帶自己COS的產品加密是把存儲在Key里的軟件算法程序調用出來,借助外界硬件平臺(CPU和RAM)來實現加密操作;有COS的產品有自己的CPU和微操作系統(COS)的KEY對數據加密運算是自己獨立完成,沒有中間環節更安全。
KEY與系統建立通訊的流程圖如圖9所示,KEY與系統建立通訊的方法包括以下步驟301.身份認證;302.檢測USB連線與端口設備物理連接;303.判斷是否準備好,若準備好,則執行步驟304,若沒準備好,則提示檢查設備與連接線路,然后再返回步驟302;304.系統發送命令讀USB端口設備;305.提示輸入KEY口令;306.判斷口令是否正確,若不正確,則返回步驟305,若正確,則執行步驟307;307.USB設備響應返回值;308.系統調用USB設備驅動建立通信協議;309.讀取KEY密鑰暗文;310.系統解密處理311.判斷是否合法,若不合法,則鎖死系統,若合法,則系統生成一串新的隨機字符串作為下次身份認證的密鑰;312.發送給USB KEY,加載OS,同時KEY檢測新字符串是否有效,若有效,則加密處理,并保存結果成暗文。
8.電磁防護技術本實用新型計算機信息安全系統的電磁防護處理方法是利用抑源法或包容法等現有技術從發射源頭采取措施,把電磁輻射降到最低,同時結合濾波技術來抑制電網傳導。主要是對主機和顯示器外殼、顯示器與主機之間數據線傳導線、鍵盤、鼠標的數據線以及USB KEY與硬盤連接線等增加屏蔽外層處理,主機與顯示器的大功率開關電源加強濾波電路(PFC)處理,鍵盤、鼠標和顯示數據線以及主機敏感的I/O端口連接器選用內部帶增加濾波網罩或導電處理的接插件。
權利要求1.一種保證信息安全的計算機系統,其包括組成個人計算機的通用部件,其特征在于該計算機的硬盤集成了一個嵌入式智能處理系統,包括處理器、微內核操作系統和存儲器,且硬盤驅動電路中還集成了硬件邏輯加密電路模塊,對數據加解密過程是由處理器和微內核操作系統的指令下調用硬件邏輯加密電路完成。
2.如權利要求1所述的保證信息安全的計算機系統,其特征在于該計算機系統通過硬件電路強制硬盤的磁頭偏置,將硬盤劃分為保護區和對應的鏡像區兩個部分。
3.如權利要求1所述的保證信息安全的計算機系統,其特征在于該計算機還包括一個智能USB Key系統,其是一個帶有數據處理器、存儲器和微操作內核與加密算法程序的系統。
4.如權利要求1所述的保證信息安全的計算機系統,其特征在于該計算機系統還配置有外部的網絡隔離卡,硬盤驅動電路引出一排物理連接信號線連接到該網絡隔離卡。
5.如權利要求4所述的保證信息安全的計算機系統,其特征在于不同的隔離引導區與網絡隔離卡的每個RJ-45端口一對一捆綁。
6.如權利要求3所述的保證信息安全的計算機系統,其特征在于該計算機系統的USB總線驅動控制器集成到硬盤驅動電路板并從硬盤的電路板引出USB端口線直接給用戶接入USB KEY。
7.如權利要求6所述的保證信息安全的計算機系統,其特征在于硬盤支架靠近機箱前面板的USB出口位置,該硬盤USB引線到機箱面板USB接口之間連接線纜最短,該連接線纜是經過電磁屏蔽處理的。
8.如權利要求1所述的保證信息安全的計算機系統,其特征在于該計算機系統的主機和顯示器外殼以及外部連接數據線纜均具有屏蔽外層。
9.如權利要求8所述的保證信息安全的計算機系統,其特征在于該主機與顯示器的大功率開關電源具有加強濾波電路。
10.如權利要求8所述的保證信息安全的計算機系統,其特征在于鍵盤、鼠標和顯示數據線以及主機敏感的I/O端口連接器為內部帶增加濾波網罩或導電處理的接插件。
專利摘要本實用新型涉及一種保證信息安全的計算機系統,其包括組成個人計算機的通用部件,該計算機的硬盤集成了一個嵌入式智能處理系統,包括處理器、微內核操作系統和存儲器,且硬盤驅動電路中還集成了硬件邏輯加密電路模塊,對數據加解密過程是由處理器和微內核操作系統的指令下調用硬件邏輯加密電路完成。本實用新型的保證信息安全的計算機系統在使用過程中用戶只需要按照開機過程的操作提示進行初始功能設置即可實現硬盤保護、硬盤隔離、網絡隔離、數據加密、密鑰安全存儲、用戶身份強制認證、運行過程中身份保護、用戶權限管理、電磁防護等功能,簡單易用。適用于對計算機數據安全比較迫切的用戶,如科研院所、金融和政府以及國防等需求。
文檔編號G06F12/14GK2754136SQ20042010295
公開日2006年1月25日 申請日期2004年12月15日 優先權日2004年12月15日
發明者孫治成, 石明, 賈兵, 童廣勝 申請人:中國長城計算機深圳股份有限公司