一種防止從盤啟動的方法及系統的制作方法
【技術領域】
[0001]本發明涉及計算機安全領域,尤其涉及一種防止從盤啟動的系統及方法。
【背景技術】
[0002]隨著信息技術的普及和發展,幾乎各行各業都在應用計算機進行辦公。對于涉及敏感信息或秘密的行業,如政府、軍工和銀行等,在使用信息化帶來方便的同時也帶來了風險,所以這些行業一般都采用內網辦公與外網隔絕,并且安裝各種安全可信管理平臺。通過管理平臺進行端口管控、進程管理和審計跟蹤,從而達到事前預防和事后跟蹤的目的。
[0003]上述信息安全只是建立在系統正常工作的情況下,但是采用Windows PE (WindowsPreinstallat1n Environment,Windows預安裝環境)從盤啟動時,該安全將不復存在。計算機主盤中的數據可以隨意拷貝,并且可以通過更改或刪除配置文件對可信安全管理平臺進行破壞。
[0004]因此為了防止計算機主盤中的數據被拷貝或破壞,就需要防止Windows PE從盤啟動,或者允許從盤啟動,但是斷開計算機的主盤。
[0005]針對上述目的,當前各軟件廠商通過在B1S中更改啟動順序,將計算機的主盤作為第一啟動選項,并為B1S設定密碼從而達到防止從盤啟動目的。但是,在該方法中,由于B1S密碼容易被破解或者通過軟件方法進行破解,也可以通過CMOS放電使得B1S密碼丟失,恢復原來設置。因此,該方法安全性低不可靠。
[0006]此外,軟件廠商還會通過加密主引導扇區的方法達到防止從盤啟動保護主盤的方法。該方法通過對主盤的主引導扇區加密,當主盤啟動時解密該主引導扇區;當從盤啟動時,由于該主盤引導扇區加密,所以無法加載主盤,從而達到保護計算機主盤的目的。但是由于各主盤生產廠商的不一致,使得該加密主引導扇區的方法兼容性不好,無法應用在定制的計算機上。
【發明內容】
[0007]針對上述現有技術的缺陷,本發明提供一種防止從盤啟動的系統及方法。通過該方法提供的安全存儲卡截獲計算機主盤發送的數據流,并對該數據流進行分析和獲取當前的啟動狀態,主盤啟動或是從盤啟動,當檢測到從盤啟動時,切斷主盤數據通路,從而有效保護主盤數據不被拷出。
[0008]本發明提供一種防止從盤啟動的系統,所述系統包括主板、硬盤,所述系統還包括安全存儲卡,所述安全存儲卡連接于所述主板和所述硬盤之間,所述安全存儲卡包括SATADEVICE接口、SATA HOST接口、加解密模塊,其中,所述SATA DEVICE接口與所述主板連接,所述SATA HOST接口與所述硬盤連接,所述加解密模塊與所述SATA DEVICE接口、所述SATAHOST接口連接,所述安全存儲卡通過與PCI或PCIE插槽連接進行固定并充電。
[0009]上述方案中優選的是,在初始化所述安全存儲卡的所述SATA DEVICE接口和所述SATA HOST接口時,建立指令表和PRD表。
[0010]上述方案中優選的是,所述加解密模塊設有兩個雙口 RAM,分別連接所述SATADEVICE 接口和所述 SATA HOST 接口。
[0011]上述方案中優選的是,所述雙口 RAM的大小為16K。
[0012]上述方案中優選的是,所述雙口 RAM能夠進行PIPELINE (線性通信模型)的流水操作。
[0013]上述方案中優選的是,所述加解密模塊采用256位的SM1國密算法對所述硬盤進行全盤扇區級底層加解密。
[0014]本發明還提供一種防止從盤啟動的方法,所述方法包括:
[0015]加密寫入,即所述安全存儲卡對從主板獲取的數據進行加密處理;
[0016]解密讀出,即所述安全存儲卡對從硬盤獲取的數據進行解密處理;
[0017]當所述安全存儲卡檢測到所述主板長時間不發送讀取系統引導扇區的指令時,所述安全存儲卡自動切斷所述主板和所述硬盤之間的數據通路,防止從盤啟動。
[0018]上述方案中優選的是,所述加密寫入包括如下步驟:
[0019]所述安全存儲卡上的所述SATA DEVICE接口從所述主板獲取數據;
[0020]所述加解密模塊通過所述SATA DEVICE接口接收所述數據,并對獲取的所述數據進行加密處理;
[0021]所述加解密模塊將所述加密處理后的數據,即密文數據,發送給所述安全存儲卡上的所述SATA HOST接口 ;
[0022]所述SATA HOST接口將所述密文數據寫入到所述硬盤中。
[0023]上述方案中優選的是,所述解密讀出包括如下步驟:
[0024]所述安全存儲卡的所述SATA HOST接口從所述硬盤獲取數據;
[0025]所述加解密模塊通過所述SATA HOST接口接收所述數據,并對獲取的所述數據進行解密處理;
[0026]所述加解密模塊將所述解密后的明文數據發送給所述安全存儲卡的所述SATADEVICE 接口 ;
[0027]所述SATA DEVICE接口將所述明文數據發送給所述主板。
[0028]上述方案中優選的是,所述方法還包括當所述安全存儲卡被拔出后,所述主板將不能啟動系統。
[0029]本發明采用安全存儲卡,通過截獲并分析數據流判斷當前為主盤啟動還是從盤啟動。若為從盤啟動,則斷開數據通路,從而有效保護數據。本發明適用于政府、軍工及金融等涉密行業,只有對硬盤加密并且真正從數據通路上防止從盤啟動,才能打造真實可信的安全辦公環境。
【附圖說明】
[0030]圖1為本發明所述的防止從盤啟動系統的設計方案框圖。
【具體實施方式】
[0031]為了使本技術領域的人員更好地理解本發明方案,下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分的實施例,而不是全部的實施例。基于本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都應當屬于本發明保護的范圍。
[0032]本發明通過安全存儲卡達到防止從盤啟動的目的。圖1為本發明所述的防止從盤啟動的設計方案框圖。
[0033]本發明所述的安全存儲卡通過SATA (Serial Advanced TechnologyAttachment串行磁盤接口總線,為硬盤接口規范)接口連接于主板和硬盤之間,并利用PCI (Peripheral Component Interconnect 局部總線標準)或 PCIE (PC1-Express,總線和接口標準)插槽進程固定并取電。防止從盤啟動的安全存儲卡不但可以完成對硬盤的加解密,而且可以從數據通路上防止從盤啟動,具有良好的兼容性,能夠兼容所有的主板和硬盤。
[0034]安全存儲卡的工作機理位于操作系統之下,對用戶完全透明,通過截獲并分析通路中數據流達到對數據加解密和防止從盤啟動的目的。
[0035]本發明所述的安全存儲卡