CN101311939A - 操作系统的自引导、安全访问控制存储技术实现方法 - Google Patents
操作系统的自引导、安全访问控制存储技术实现方法 Download PDFInfo
- Publication number
- CN101311939A CN101311939A CN 200710107627 CN200710107627A CN101311939A CN 101311939 A CN101311939 A CN 101311939A CN 200710107627 CN200710107627 CN 200710107627 CN 200710107627 A CN200710107627 A CN 200710107627A CN 101311939 A CN101311939 A CN 101311939A
- Authority
- CN
- China
- Prior art keywords
- module
- data
- high speed
- pin
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了操作系统的自引导、安全访问控制存储技术实现方法,它由电源模块、主引导核心模块、高速读写存储器模块、数据加密模块、安全访问控制模块、外部高速IDE接口模块所组成。它将通过外部高速IDE接口在主引导核心模块的支持下,引导操作系统的核心文件自启动进入系统,通过安全访问控制模块建立起操作系统用户态与内核态的安全访问机制,通过数据加密模块对读取内核态的数据报文进行加密并通过外部接口传输到其他控制器或存储器。本发明主要是进一步地解决操作系统内核文件系统的安全访问控制、对核心文件系统数据加密算法、以及该存储技术的实现也降低了操作系统软件的去盗版化和杜绝移动存储介质的滥用或非授权使用等缺点,具有高速率的访问接口、高可靠性、高安全机制、高存储空间、完全自主知识产权的操作系统安全存储技术等特点,在行业专用网络内的计算机软件中实现的该存储技术具有实际推广应用价值。
Description
技术领域
本发明专门用于现有的行业专网(如国防专网、公安专网、国际广播专网)内计算机操作系统安全存储技术领域,通过将操作系统文件内容按照一定的文件格式、加密数据和安全访问控制模块来实现操作系统安全体系结构、减少非法机制进入操作系统,减少非法读写操作系统关键文件等,其存储技术也大大地降低了操作系统的盗版行为,不再以光盘、软盘等为存储介质、而是以基于闪存的电子硬盘技术为主要实现方法。本方法实现的主要功能包括完整的核心操作系统、基于闪存的电子硬盘存储技术、安全访问控制模块、操作系统在存储介质上的自引导功能、基于电子硬盘存储技术的数据加密认证模块等功能。
背景技术
随着计算机网络安全、计算机强制访问控制、计算机操作系统的逐渐更新,本发明鉴于这些新技术的出现提出一种基于闪存电子硬盘的操作系统自引导、安全访问控制模块的存储技术实现方法。本发明目的在于针对背景技术中存在的如非法索取重要数据、非法进行各种入侵攻击、非法进行各种数据文件的改写等传统的移动存储技术,提出的一种能够逐步解决计算机核心操作系统的安全访问控制、安全存储介质的存储技术等问题。该实现方法主要体现在系统自引导即插即用的功能,减少传统任何软件都需要先安装后使用的特点;并在对操作系统核心态数据访问策略上增加安全机制,如安全访问控制的逻辑电路模块和集成数字芯片加密算法的数据加密模块。本系统具有集成化高、性能稳定、安全可靠、成本低、体积小、操作方便、保证社会公共安全等优点。
发明内容
本发明的目的是这样实现的:它由高速读写存储器模块1、主引导核心模块2、数据加密模块3、安全访问控制模块4、电源管理模块5、外部高速IDE接口模块6所组成。下面按照系统工作流程对各功能模块进行说明。
其中,系统在电源管理模块5的输出端1、2脚接在高速读写存储器模块1的电源输入端,给高速读写存储器模块1供电启动后,整个系统开始处于工作状态。主引导核心模块2的输入端1脚、输出端2、3脚分别与高速读写存储器模块1的输出端1脚、输入端2、3脚相连。高速读写存储器模块1的4位双向控制总线端4脚、16位双向数据总线端5脚和16位双向地址总线段6脚分别与外部高速IDE接口模块6的双向控制总线端1脚、双向数据总线端2脚和双向地址总线端3脚相连。数据加密模块3的输入端1、4、5脚分别与高速读写存储器模块1的输出端15、12、11脚相连,其输出端2、3脚分别于高速读写存储器模块1的输入端14、13脚相连。安全访问控制模块4的输入端1脚与高速读写存储器模块1的输出端7脚相连,其输出端2、3脚与高速读写存储器模块1的输入端8、9脚相连。系统上电工作后,由主引导核心模块2通过输出端2、3脚将自引导并启动存储在高速读写存储器模块1中的操作系统核心文件,启动完毕之后,高速读写存储器模块1将系统的启动脚本信息通过输出端1脚传输给主引导核心模块2,完成系统的自引导功能。高速读写存储器模块1通过高速的16位数据总线、在控制总线的时序请求下,将地址总线上的数据位通过输出的双向总线端口传输到外部高速IDE接口模块6上,跟其他外设如计算机主板进行数据交换和数据信息处理等功能。在外部的控制器或存储器跟高速读写存储器模块1进行数据通信时,为了保证数据通信和访问控制模型的数据安全,该发明设计了安全访问控制模块和数据加密模块,其中安全访问控制模块是将外部访问高速读写存储器模块1的访问等级设置,一旦访问被拒绝之类的非法操作都被安全访问控制采取强制的措施将阻止于接口总线上,不对高速读写存储器模块1进行任何读写等操作权限。若外设的访问被安全访问控制模块所授权认可之后,可以对高速读写存储器模块1所在的操作系统核心文件进行合法地读写等操作,如果需要从高速读写存储器模块1的核心系统中读取相应得数据文件,本存储技术实现方式采用对相应的数据报文进行数据加密,联同密文和控制码一同封装后传输到外部控制器或存储器中,保证数据在传输过程中的数据安全和高速读写存储器模块1进行数据通信的可靠性,减少因移动存储介质的滥用或非授权使用所造成的数据被改写,数据被非法使用等技术问题。
本发明的目的还可以通过以下措施实现:
本发明的功能实现还可以采用高集成电路设计实现,将高速读写存储器模块1、主引导核心模块2、数据加密模块3、安全访问控制模块4、可以将各个模块的IC设计实现封装成一块芯片,即将原来高速读写存储器模块1的外围接口和功能电路集成在一起来实现本发明自引导、安全访问控制的操作系统新存储技术。
本发明的安全访问控制模块4通过核心控制器模块1、访问数据接收发送模块2、访问控制验证模块3和外围接口模块4所组成。其中,实施方案是将任何需要进入操作系统内核态执行各项系统调用,都必须在核心控制模块1启动安全访问控制算法功能,并通过访问数据接收发送模块2将接收到的数据进行安全访问验证,如果通过安全访问控制验证模块3的认证后将访问系统核心态的权利授权给该系统访问对象,进入系统,需要所获得的各种数据需要通过数据加密模块加密之后传输出去,本发明中为了提高系统执行效率,不对取得访问控制权限的操作进行数据加密。
本发明的数据加密模块3通过核心控制器模块1、数据收发模块2、加密解密模块3和外围接口模块4所组成。其中,实施方案是将控制器1启动数据加密算法功能,并通过数据收发模块2将收到的数据进行加密和解密处理,加密和解密模块通过加密解密模块3的加密解密芯片算法来实现,先将传来的数据进行解密运算后,执行操作系统各种系统操作,然后从系统核心态获取的数据,由随机噪声源产生密钥对数据加密处理后传输到外围接口电路,完成操作系统和心态和用户态的数据安全通信。
本发明相比背景技术有如下优点:
1、本发明集成数据加密、安全访问控制的操作系统文件,可以自引导、数据交换具有安全访问的高速存储技术的功能。将原本在计算机操作系统使用中的许多不安全因素如盗版光盘、黑客非法访问控制授权认证的各种恶意的入侵和攻击,数据传输之间缺少安全通信机制等问题考虑到,同时又具有在各种硬件平台上具有可移植性、可集成、可扩展等功能。
2、本发明具有较高的硬件安全控制模块,不仅在软件体系上确保存储的操作系统具有一定的安全可靠性,而且还从硬件访问控制电路结构上对需要访问操作系统核心态的各种系统调用权限取得认证机制。从而较大程度上较少因为非法入侵、非法访问地索取访问权限和获取用户信息和数据,甚至严重者篡改用户数据。
3、本发明的存储技术实现了操作系统文件自引导功能,改变了传统的光盘/硬盘等介质的安装过程,体现了操作系统核心文件能即插即用的功能,启动过程与硬件无关的自动加载。
4、本发明实现了高速的数据存储和通信,并对传输过程中的数据进行双向的加密或解密算法实现机制,从软件实现和硬件实现的角度让数据加密解密功能得以体现。
5、本发明模块集成化程度高,系统性能稳定可靠,体积小,成本低廉,数据安全,操作方便,具有一定的操作系统自引导、安全访问控制的存储技术推广价值。
附图说明
以一下结合附图和实施对本发明作进一步详细描述。
图1是本发明原理方框图
图2是本发明安全访问控制模块电路原理图
图3是本发明数据加密模块电路原理图
参见图1到图3,本发明由高速读写存储器模块1、主引导核心模块2、数据加密模块3、安全访问控制模块4、电源管理模块5、外部高速IDE接口模块6所组成。其中,高速读写存储器模块1在电源管理模块5给供电启动后,整个系统开始处于工作状态。高速读写存储器模块1不断地向从外部高速IDE接口模块6处获取数据和指令,由自引导核心模块启动并引导进入存储在高速读写存储器模块1中的操作系统引导装载程序进入操作系统。将传到高速读写存储器模块1的缓冲区,高速读写存储器模块1将存储下来的数据进行访问控制权限认证,把存储下来的数据格式提交给安全访问控制模块4,若通过安全模块的认证,即把数据传输到存储在高速读写存储器模块1中的操作系统核心文件进行系统调用。
本发明将从操作系统核心态读取的数据通过数据加密模块3将需要从系统级传输到其他外部接口进行数据加密算法的操作。数据加密模块3将通过其数据收发模块2将数据接收下来,然后通过加密解密模块3进行加密或解密操作,然后通过外围接口模块4发送到其他地方。
本发明简要工作原理:先启动电源管理模块9让高速读写存储器模块1供电出于工作状态,主引导核心模块2开始执行存储在存储器中的操作系统核心文件的引导装载程序,完成系统自引导启动过程。安全访问控制模块4从其访问数据接收发送模块2处获取系统访问数据、对数据进行安全访问控制权限的认证,只有通过认证的数据才能获得进入操作系统核心态,否则被安全访问控制模块所拒绝进入系统如恶意的数据报文攻击等。当通过安全访问控制模块授权之后的数据报进入系统,完成与系统相关的调用。获取了系统调用之后通过数据加密模块3将数据进行加密处理,并通过其数据收发模块2把数据发送出去,通过外部高速IDE接口模块6与其他外设存储器或控制器进行数据通信。
具体实施方式
本发明安装结构如下:把本发明附图1到附图3中的结构电路设计实现都安装在一块长×宽为70×50毫米的印制电路板上。其中包括高速读写存储器模块1、主引导核心模块2、数据加密模块3、安全访问控制模块4、电源管理模块5、外部高速IDE接口模块6、高速IDE接口插座,组成本发明。
Claims (3)
1.操作系统的自引导、安全访问控制存储技术实现方法,其特征是由高速读写存储器模1、主引导核心模块2、数据加密模块3、安全访问控制模块4、电源管理模块5、外部高速IDE接口模块6所组成。其中,系统在电源管理模块5的输出端1、2脚接在高速读写存储器模块1的电源输入端,给高速读写存储器模块1供电启动后,整个系统开始处于工作状态;主引导核心模块2的输入端1脚、输出端2、3脚分别与高速读写存储器模块1的输出端1脚、输入端2、3脚相连;高速读写存储器模块1的4位双向控制总线端4脚、16位双向数据总线端5脚和16位双向地址总线段6脚分别与外部高速IDE接口模块6的双向控制总线端1脚、双向数据总线端2脚和双向地址总线端3脚相连;数据加密模块3的输入端1、4、5脚分别与高速读写存储器模块1的输出端15、12、11脚相连,其输出端2、3脚分别于高速读写存储器模块1的输入端14、13脚相连;安全访问控制模块4的输入端1脚与高速读写存储器模块1的输出端7脚相连,其输出端2、3脚与高速读写存储器模块1的输入端8、9脚相连;系统上电工作后,由主引导核心模块2通过输出端2、3脚将自引导并启动存储在高速读写存储器模块1中的操作系统核心文件,启动完毕之后,高速读写存储器模块1将系统的启动脚本信息通过输出端1脚传输给主引导核心模块2,完成系统的自引导功能;高速读写存储器模块1通过高速的16位数据总线、在控制总线的时序请求下,将地址总线上的数据位通过输出的双向总线端口传输到外部高速IDE接口模块6上,跟其他外设如计算机主板进行数据交换和数据信息处理等功能,在外部的控制器或存储器跟高速读写存储器模块1进行数据通信时,为了保证数据通信和访问控制模型的数据安全,该发明设计了安全访问控制模块和数据加密模块,其中安全访问控制模块是将外部访问高速读写存储器模块1的访问等级设置,一旦访问被拒绝之类的非法操作都被安全访问控制采取强制的措施将阻止于接口总线上,不对高速读写存储器模块1进行任何读写等操作权限。若外设的访问被安全访问控制模块所授权认可之后,可以对高速读写存储器模块1所在的操作系统核心文件进行合法地读写等操作,如果需要从高速读写存储器模块1的核心系统中读取相应得数据文件,本存储技术实现方式采用对相应的数据报文进行数据加密,联同密文和控制码一同封装后传输到外部控制器或存储器中,保证数据在传输过程中的数据安全和高速读写存储器模块1进行数据通信的可靠性,减少因移动存储介质的滥用或非授权使用所造成的数据被改写,数据被非法使用等技术问题。
2.根据权利要求1所述的操作系统的自引导、安全访问控制存储技术实现方法,其特征在于安全访问控制模块4通过核心控制器模块1、访问数据接收发送模块2、访问控制验证模块3和外围接口模块4所组成。其中,主要特点是将任何需要进入操作系统内核态执行各项系统调用,都必须在核心控制模块1启动安全访问控制算法功能,并通过访问数据接收发送模块2将接收到的数据进行安全访问验证,如果通过安全访问控制验证模块3的认证后将访问系统核心态的权利授权给该系统访问对象,进入系统,需要所获得的各种数据需要通过数据加密模块加密之后传输出去,本发明中为了提高系统执行效率,不对取得访问控制权限的操作进行数据加密。
3.根据权利要求1和2所述的操作系统的自引导、安全访问控制存储技术实现方法,其特征在于数据加密模块3通过核心控制器模块1、数据收发模块2、加密解密模块3和外围接口模块4所组成。其中,主要特点是将控制器1启动数据加密算法功能,并通过数据收发模块2将收到的数据进行加密和解密处理,加密和解密模块通过加密解密模块3的加密解密芯片算法来实现,先将传来的数据进行解密运算后,执行操作系统各种系统操作,然后从系统核心态获取的数据,由随机噪声源产生密钥对数据加密处理后传输到外围接口电路,完成操作系统和心态和用户态的数据安全通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710107627 CN101311939A (zh) | 2007-05-23 | 2007-05-23 | 操作系统的自引导、安全访问控制存储技术实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710107627 CN101311939A (zh) | 2007-05-23 | 2007-05-23 | 操作系统的自引导、安全访问控制存储技术实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101311939A true CN101311939A (zh) | 2008-11-26 |
Family
ID=40100582
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200710107627 Pending CN101311939A (zh) | 2007-05-23 | 2007-05-23 | 操作系统的自引导、安全访问控制存储技术实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101311939A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105630710A (zh) * | 2015-04-24 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 外设设备的访问控制方法、系统和服务器 |
| CN109375875A (zh) * | 2018-10-11 | 2019-02-22 | 北京明朝万达科技股份有限公司 | 文件传输方法和装置 |
| CN111143004A (zh) * | 2019-12-25 | 2020-05-12 | 上海联影医疗科技有限公司 | 一种场景引导方法、装置、电子设备及存储介质 |
-
2007
- 2007-05-23 CN CN 200710107627 patent/CN101311939A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105630710A (zh) * | 2015-04-24 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 外设设备的访问控制方法、系统和服务器 |
| CN109375875A (zh) * | 2018-10-11 | 2019-02-22 | 北京明朝万达科技股份有限公司 | 文件传输方法和装置 |
| CN111143004A (zh) * | 2019-12-25 | 2020-05-12 | 上海联影医疗科技有限公司 | 一种场景引导方法、装置、电子设备及存储介质 |
| CN111143004B (zh) * | 2019-12-25 | 2024-02-27 | 上海联影医疗科技股份有限公司 | 一种场景引导方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7636844B2 (en) | Method and system to provide a trusted channel within a computer system for a SIM device | |
| US8276185B2 (en) | Enhanced security memory access method and architecture | |
| US8528096B2 (en) | Secure universal serial bus (USB) storage device and method | |
| CN101908106B (zh) | 具有通用内容控制的存储设备 | |
| CN100421102C (zh) | 便携式存储装置和使用该便携式存储装置的内容管理方法 | |
| KR100629069B1 (ko) | 데이터 액세스 방법, 데이터 액세스 시스템 및 컴퓨터 판독 가능 기록 매체 | |
| CN1327357C (zh) | 用于验证的系统和方法 | |
| CN101103628B (zh) | 主机装置、便携式存储装置以及用于更新元信息的方法 | |
| US20090150631A1 (en) | Self-protecting storage device | |
| CN100437618C (zh) | 一种便携式信息安全设备 | |
| CN101765845A (zh) | 用于数字内容分发的系统和方法 | |
| US20060075259A1 (en) | Method and system to generate a session key for a trusted channel within a computer system | |
| US20140325176A1 (en) | Security memory access method and apparatus | |
| US20090276474A1 (en) | Method for copying protected data from one secured storage device to another via a third party | |
| MX2007014237A (es) | Implementacion de almacenamiento seguro con integridad protegida. | |
| JP2017518558A (ja) | アクセス保護スキームを確保するための装置及び方法 | |
| CN101443744A (zh) | 传送权限对象的方法和电子装置 | |
| CN101578608B (zh) | 用于基于会话票证存取内容的方法及设备 | |
| CN102053925A (zh) | 硬盘数据加密实现方法 | |
| US20090086965A1 (en) | Secure, two-stage storage system | |
| JP2006506697A (ja) | 半導体メモリ装置によるデータセキュリティの記憶およびアルゴリズムの記憶を実現する方法 | |
| US20090187770A1 (en) | Data Security Including Real-Time Key Generation | |
| KR100798927B1 (ko) | 스마트카드 기반의 복제방지 기능을 가진 데이터 저장장치, 그의 데이터 저장 및 전송 방법 | |
| US20080104368A1 (en) | Storage element having data protection functionality | |
| CN101311939A (zh) | 操作系统的自引导、安全访问控制存储技术实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20081126 |