一種防止從盤啟動(dòng)的方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)安全領(lǐng)域��,尤其涉及一種防止從盤啟動(dòng)的系統(tǒng)及方法�����。
【背景技術(shù)】
[0002]隨著信息技術(shù)的普及和發(fā)展��,幾乎各行各業(yè)都在應(yīng)用計(jì)算機(jī)進(jìn)行辦公��。對(duì)于涉及敏感信息或秘密的行業(yè)����,如政府、軍工和銀行等���,在使用信息化帶來方便的同時(shí)也帶來了風(fēng)險(xiǎn)��,所以這些行業(yè)一般都采用內(nèi)網(wǎng)辦公與外網(wǎng)隔絕����,并且安裝各種安全可信管理平臺(tái)。通過管理平臺(tái)進(jìn)行端口管控�、進(jìn)程管理和審計(jì)跟蹤,從而達(dá)到事前預(yù)防和事后跟蹤的目的���。
[0003]上述信息安全只是建立在系統(tǒng)正常工作的情況下��,但是采用Windows PE (WindowsPreinstallat1n Environment���,Windows預(yù)安裝環(huán)境)從盤啟動(dòng)時(shí),該安全將不復(fù)存在���。計(jì)算機(jī)主盤中的數(shù)據(jù)可以隨意拷貝��,并且可以通過更改或刪除配置文件對(duì)可信安全管理平臺(tái)進(jìn)行破壞����。
[0004]因此為了防止計(jì)算機(jī)主盤中的數(shù)據(jù)被拷貝或破壞����,就需要防止Windows PE從盤啟動(dòng),或者允許從盤啟動(dòng)���,但是斷開計(jì)算機(jī)的主盤���。
[0005]針對(duì)上述目的,當(dāng)前各軟件廠商通過在B1S中更改啟動(dòng)順序����,將計(jì)算機(jī)的主盤作為第一啟動(dòng)選項(xiàng),并為B1S設(shè)定密碼從而達(dá)到防止從盤啟動(dòng)目的����。但是,在該方法中�����,由于B1S密碼容易被破解或者通過軟件方法進(jìn)行破解��,也可以通過CMOS放電使得B1S密碼丟失�����,恢復(fù)原來設(shè)置����。因此,該方法安全性低不可靠�����。
[0006]此外,軟件廠商還會(huì)通過加密主引導(dǎo)扇區(qū)的方法達(dá)到防止從盤啟動(dòng)保護(hù)主盤的方法���。該方法通過對(duì)主盤的主引導(dǎo)扇區(qū)加密�����,當(dāng)主盤啟動(dòng)時(shí)解密該主引導(dǎo)扇區(qū)���;當(dāng)從盤啟動(dòng)時(shí),由于該主盤引導(dǎo)扇區(qū)加密���,所以無法加載主盤��,從而達(dá)到保護(hù)計(jì)算機(jī)主盤的目的��。但是由于各主盤生產(chǎn)廠商的不一致���,使得該加密主引導(dǎo)扇區(qū)的方法兼容性不好,無法應(yīng)用在定制的計(jì)算機(jī)上�����。
【發(fā)明內(nèi)容】
[0007]針對(duì)上述現(xiàn)有技術(shù)的缺陷,本發(fā)明提供一種防止從盤啟動(dòng)的系統(tǒng)及方法�����。通過該方法提供的安全存儲(chǔ)卡截獲計(jì)算機(jī)主盤發(fā)送的數(shù)據(jù)流���,并對(duì)該數(shù)據(jù)流進(jìn)行分析和獲取當(dāng)前的啟動(dòng)狀態(tài),主盤啟動(dòng)或是從盤啟動(dòng)���,當(dāng)檢測到從盤啟動(dòng)時(shí)�����,切斷主盤數(shù)據(jù)通路�����,從而有效保護(hù)主盤數(shù)據(jù)不被拷出����。
[0008]本發(fā)明提供一種防止從盤啟動(dòng)的系統(tǒng)���,所述系統(tǒng)包括主板����、硬盤,所述系統(tǒng)還包括安全存儲(chǔ)卡�,所述安全存儲(chǔ)卡連接于所述主板和所述硬盤之間,所述安全存儲(chǔ)卡包括SATADEVICE接口�����、SATA HOST接口�����、加解密模塊��,其中�����,所述SATA DEVICE接口與所述主板連接�����,所述SATA HOST接口與所述硬盤連接�,所述加解密模塊與所述SATA DEVICE接口、所述SATAHOST接口連接,所述安全存儲(chǔ)卡通過與PCI或PCIE插槽連接進(jìn)行固定并充電���。
[0009]上述方案中優(yōu)選的是��,在初始化所述安全存儲(chǔ)卡的所述SATA DEVICE接口和所述SATA HOST接口時(shí)��,建立指令表和PRD表�。
[0010]上述方案中優(yōu)選的是�����,所述加解密模塊設(shè)有兩個(gè)雙口 RAM�,分別連接所述SATADEVICE 接口和所述 SATA HOST 接口���。
[0011]上述方案中優(yōu)選的是�����,所述雙口 RAM的大小為16K�����。
[0012]上述方案中優(yōu)選的是��,所述雙口 RAM能夠進(jìn)行PIPELINE (線性通信模型)的流水操作�。
[0013]上述方案中優(yōu)選的是,所述加解密模塊采用256位的SM1國密算法對(duì)所述硬盤進(jìn)行全盤扇區(qū)級(jí)底層加解密�。
[0014]本發(fā)明還提供一種防止從盤啟動(dòng)的方法,所述方法包括:
[0015]加密寫入����,即所述安全存儲(chǔ)卡對(duì)從主板獲取的數(shù)據(jù)進(jìn)行加密處理;
[0016]解密讀出����,即所述安全存儲(chǔ)卡對(duì)從硬盤獲取的數(shù)據(jù)進(jìn)行解密處理;
[0017]當(dāng)所述安全存儲(chǔ)卡檢測到所述主板長時(shí)間不發(fā)送讀取系統(tǒng)引導(dǎo)扇區(qū)的指令時(shí)���,所述安全存儲(chǔ)卡自動(dòng)切斷所述主板和所述硬盤之間的數(shù)據(jù)通路�����,防止從盤啟動(dòng)��。
[0018]上述方案中優(yōu)選的是�,所述加密寫入包括如下步驟:
[0019]所述安全存儲(chǔ)卡上的所述SATA DEVICE接口從所述主板獲取數(shù)據(jù)��;
[0020]所述加解密模塊通過所述SATA DEVICE接口接收所述數(shù)據(jù)����,并對(duì)獲取的所述數(shù)據(jù)進(jìn)行加密處理���;
[0021]所述加解密模塊將所述加密處理后的數(shù)據(jù),即密文數(shù)據(jù)�����,發(fā)送給所述安全存儲(chǔ)卡上的所述SATA HOST接口 ���;
[0022]所述SATA HOST接口將所述密文數(shù)據(jù)寫入到所述硬盤中����。
[0023]上述方案中優(yōu)選的是��,所述解密讀出包括如下步驟:
[0024]所述安全存儲(chǔ)卡的所述SATA HOST接口從所述硬盤獲取數(shù)據(jù)����;
[0025]所述加解密模塊通過所述SATA HOST接口接收所述數(shù)據(jù)�,并對(duì)獲取的所述數(shù)據(jù)進(jìn)行解密處理;
[0026]所述加解密模塊將所述解密后的明文數(shù)據(jù)發(fā)送給所述安全存儲(chǔ)卡的所述SATADEVICE 接口 �;
[0027]所述SATA DEVICE接口將所述明文數(shù)據(jù)發(fā)送給所述主板。
[0028]上述方案中優(yōu)選的是��,所述方法還包括當(dāng)所述安全存儲(chǔ)卡被拔出后,所述主板將不能啟動(dòng)系統(tǒng)��。
[0029]本發(fā)明采用安全存儲(chǔ)卡�����,通過截獲并分析數(shù)據(jù)流判斷當(dāng)前為主盤啟動(dòng)還是從盤啟動(dòng)���。若為從盤啟動(dòng)�����,則斷開數(shù)據(jù)通路�,從而有效保護(hù)數(shù)據(jù)��。本發(fā)明適用于政府���、軍工及金融等涉密行業(yè)���,只有對(duì)硬盤加密并且真正從數(shù)據(jù)通路上防止從盤啟動(dòng),才能打造真實(shí)可信的安全辦公環(huán)境�。
【附圖說明】
[0030]圖1為本發(fā)明所述的防止從盤啟動(dòng)系統(tǒng)的設(shè)計(jì)方案框圖。
【具體實(shí)施方式】
[0031]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案����,下面將結(jié)合本發(fā)明實(shí)施例中的附圖�����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚���、完整地描述,顯然��,所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例���,而不是全部的實(shí)施例��?����;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例��,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍��。
[0032]本發(fā)明通過安全存儲(chǔ)卡達(dá)到防止從盤啟動(dòng)的目的���。圖1為本發(fā)明所述的防止從盤啟動(dòng)的設(shè)計(jì)方案框圖�����。
[0033]本發(fā)明所述的安全存儲(chǔ)卡通過SATA (Serial Advanced TechnologyAttachment串行磁盤接口總線�,為硬盤接口規(guī)范)接口連接于主板和硬盤之間,并利用PCI (Peripheral Component Interconnect 局部總線標(biāo)準(zhǔn))或 PCIE (PC1-Express���,總線和接口標(biāo)準(zhǔn))插槽進(jìn)程固定并取電�����。防止從盤啟動(dòng)的安全存儲(chǔ)卡不但可以完成對(duì)硬盤的加解密��,而且可以從數(shù)據(jù)通路上防止從盤啟動(dòng)����,具有良好的兼容性�,能夠兼容所有的主板和硬盤。
[0034]安全存儲(chǔ)卡的工作機(jī)理位于操作系統(tǒng)之下�����,對(duì)用戶完全透明��,通過截獲并分析通路中數(shù)據(jù)流達(dá)到對(duì)數(shù)據(jù)加解密和防止從盤啟動(dòng)的目的。
[0035]本發(fā)明所述的安全存儲(chǔ)卡