CN105279107A - 一种防止从盘启动的方法及系统 - Google Patents
一种防止从盘启动的方法及系统 Download PDFInfo
- Publication number
- CN105279107A CN105279107A CN201510779609.8A CN201510779609A CN105279107A CN 105279107 A CN105279107 A CN 105279107A CN 201510779609 A CN201510779609 A CN 201510779609A CN 105279107 A CN105279107 A CN 105279107A
- Authority
- CN
- China
- Prior art keywords
- interface
- memory card
- disk
- data
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种防止从盘启动的方法及系统。所述系统包括主板、硬盘和安全存储卡,所述安全存储卡连接于所述主板和所述硬盘之间,所述安全存储卡包括SATA?DEVICE接口、SATA?HOST接口、加解密模块。本发明所述方法为通过安全存储卡截获计算机主盘发送的数据流,并对该数据流进行分析和获取当前的启动状态是主盘启动或是从盘启动,当检测到从盘启动时,切断主盘数据通路,从而有效保护主盘数据不被拷出。本发明适用于政府、军工及金融等涉密行业,只有对硬盘加密并且真正从数据通路上防止从盘启动,才能打造真实可信的安全办公环境。
Description
技术领域
本发明涉及计算机安全领域,尤其涉及一种防止从盘启动的系统及方法。
背景技术
随着信息技术的普及和发展,几乎各行各业都在应用计算机进行办公。对于涉及敏感信息或秘密的行业,如政府、军工和银行等,在使用信息化带来方便的同时也带来了风险,所以这些行业一般都采用内网办公与外网隔绝,并且安装各种安全可信管理平台。通过管理平台进行端口管控、进程管理和审计跟踪,从而达到事前预防和事后跟踪的目的。
上述信息安全只是建立在系统正常工作的情况下,但是采用WindowsPE(WindowsPreinstallationEnvironment,Windows预安装环境)从盘启动时,该安全将不复存在。计算机主盘中的数据可以随意拷贝,并且可以通过更改或删除配置文件对可信安全管理平台进行破坏。
因此为了防止计算机主盘中的数据被拷贝或破坏,就需要防止WindowsPE从盘启动,或者允许从盘启动,但是断开计算机的主盘。
针对上述目的,当前各软件厂商通过在BIOS中更改启动顺序,将计算机的主盘作为第一启动选项,并为BIOS设定密码从而达到防止从盘启动目的。但是,在该方法中,由于BIOS密码容易被破解或者通过软件方法进行破解,也可以通过CMOS放电使得BIOS密码丢失,恢复原来设置。因此,该方法安全性低不可靠。
此外,软件厂商还会通过加密主引导扇区的方法达到防止从盘启动保护主盘的方法。该方法通过对主盘的主引导扇区加密,当主盘启动时解密该主引导扇区;当从盘启动时,由于该主盘引导扇区加密,所以无法加载主盘,从而达到保护计算机主盘的目的。但是由于各主盘生产厂商的不一致,使得该加密主引导扇区的方法兼容性不好,无法应用在定制的计算机上。
发明内容
针对上述现有技术的缺陷,本发明提供一种防止从盘启动的系统及方法。通过该方法提供的安全存储卡截获计算机主盘发送的数据流,并对该数据流进行分析和获取当前的启动状态,主盘启动或是从盘启动,当检测到从盘启动时,切断主盘数据通路,从而有效保护主盘数据不被拷出。
本发明提供一种防止从盘启动的系统,所述系统包括主板、硬盘,所述系统还包括安全存储卡,所述安全存储卡连接于所述主板和所述硬盘之间,所述安全存储卡包括SATADEVICE接口、SATAHOST接口、加解密模块,其中,所述SATADEVICE接口与所述主板连接,所述SATAHOST接口与所述硬盘连接,所述加解密模块与所述SATADEVICE接口、所述SATAHOST接口连接,所述安全存储卡通过与PCI或PCIE插槽连接进行固定并充电。
上述方案中优选的是,在初始化所述安全存储卡的所述SATADEVICE接口和所述SATAHOST接口时,建立指令表和PRD表。
上述方案中优选的是,所述加解密模块设有两个双口RAM,分别连接所述SATADEVICE接口和所述SATAHOST接口。
上述方案中优选的是,所述双口RAM的大小为16K。
上述方案中优选的是,所述双口RAM能够进行PIPELINE(线性通信模型)的流水操作。
上述方案中优选的是,所述加解密模块采用256位的SM1国密算法对所述硬盘进行全盘扇区级底层加解密。
本发明还提供一种防止从盘启动的方法,所述方法包括:
加密写入,即所述安全存储卡对从主板获取的数据进行加密处理;
解密读出,即所述安全存储卡对从硬盘获取的数据进行解密处理;
当所述安全存储卡检测到所述主板长时间不发送读取系统引导扇区的指令时,所述安全存储卡自动切断所述主板和所述硬盘之间的数据通路,防止从盘启动。
上述方案中优选的是,所述加密写入包括如下步骤:
所述安全存储卡上的所述SATADEVICE接口从所述主板获取数据;
所述加解密模块通过所述SATADEVICE接口接收所述数据,并对获取的所述数据进行加密处理;
所述加解密模块将所述加密处理后的数据,即密文数据,发送给所述安全存储卡上的所述SATAHOST接口;
所述SATAHOST接口将所述密文数据写入到所述硬盘中。
上述方案中优选的是,所述解密读出包括如下步骤:
所述安全存储卡的所述SATAHOST接口从所述硬盘获取数据;
所述加解密模块通过所述SATAHOST接口接收所述数据,并对获取的所述数据进行解密处理;
所述加解密模块将所述解密后的明文数据发送给所述安全存储卡的所述SATADEVICE接口;
所述SATADEVICE接口将所述明文数据发送给所述主板。
上述方案中优选的是,所述方法还包括当所述安全存储卡被拔出后,所述主板将不能启动系统。
本发明采用安全存储卡,通过截获并分析数据流判断当前为主盘启动还是从盘启动。若为从盘启动,则断开数据通路,从而有效保护数据。本发明适用于政府、军工及金融等涉密行业,只有对硬盘加密并且真正从数据通路上防止从盘启动,才能打造真实可信的安全办公环境。
附图说明
图1为本发明所述的防止从盘启动系统的设计方案框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明通过安全存储卡达到防止从盘启动的目的。图1为本发明所述的防止从盘启动的设计方案框图。
本发明所述的安全存储卡通过SATA(SerialAdvancedTechnologyAttachment串行磁盘接口总线,为硬盘接口规范)接口连接于主板和硬盘之间,并利用PCI(PeripheralComponentInterconnect局部总线标准)或PCIE(PCI-Express,总线和接口标准)插槽进程固定并取电。防止从盘启动的安全存储卡不但可以完成对硬盘的加解密,而且可以从数据通路上防止从盘启动,具有良好的兼容性,能够兼容所有的主板和硬盘。
安全存储卡的工作机理位于操作系统之下,对用户完全透明,通过截获并分析通路中数据流达到对数据加解密和防止从盘启动的目的。
本发明所述的安全存储卡能够解决两个问题:一、完成对硬盘的全盘加解密;二、防止从盘启动。只有完成对硬盘的加解密,才能更好的防止从盘启动。因为当人为地将安全存储卡取走后恢复原来数据通路,若硬盘未加密或进行绑定处理,则会重新启动系统,即若硬盘未采用安全存储卡加密或没有与所述安全存储卡进行绑定处理,则会重新开机,成功启动系统。
如图1所示,本发明所述的安全存储卡连接主板和硬盘之间,用于截获主板发送给硬盘的指令。
当作为主盘启动时,BIOS首先找到硬盘的主引导扇区,然后找到系统引导扇区,最后BIOS将控制权交给系统,进而实现主盘启动系统。
当作为从盘启动时,BIOS首先找到硬盘的主引导扇区,然后不再寻找系统引导扇区。
根据上述特点,当本发明所述的安全存储卡检测到主板上的BIOS长时间不发送读取系统引导扇区的指令时,将会自动切断数据通路,从物理连接上隔绝主板和硬盘,达到防止从盘启动的目的,优选地,当安全存储卡检测到主板上的BIOS三十秒不发送读取系统引导扇区的指令时,就可以自动切断数据通路。
数据加解密技术利用256位高强度的SM1国密算法对硬盘进行全盘扇区级底层加解密,是操作系统之下的加解密,对用户的完全透明的。其操作过程如下:
(1)加密写入
所述安全存储卡上的SATADEVICE接口从主板获取数据,然后通过加解密模块进行加密处理,然后将密文数据发送给所述安全存储卡上的SATAHOST接口,最后再由SATAHOST接口将密文数据写入到硬盘中。
(2)解密读出
所述安全存储卡的SATAHOST接口从硬盘获取数据,然后通过加解密模块进行解密处理,然后将解密后的明文数据发送给安全存储卡的SATADEVICE接口,最后再由SATADEVICE接口将明文数据发送给主板。
所述安全存储卡的SATADEVICE接口和SATAHOST接口在初始化时都会预先建立指令表和PRD表(PhysicalRegionDescriptior物理区域描述符表,里面的内容就是存储的数据的地址和长度)。当SATADEVICE接口从主板上的BIOS接收到指令后,会同时转发给SATAHOST接口。加解密模块设有两个16K的双口RAM,分别连接SATADEVICE接口和SATAHOST接口。由于根据SATA(SerialAdvancedTechnologyAttachment串行磁盘接口总线)通信协议,传输数据的包的最大长度为8K,所以利用16K的双口RAM可以进行PIPELINE(线性通信模型)的流水操作,从而大大提高加解密性能。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种防止从盘启动的系统,所述系统包括主板、硬盘,其特征在于,所述系统还包括安全存储卡,所述安全存储卡连接于所述主板和所述硬盘之间,所述安全存储卡包括SATADEVICE接口、SATAHOST接口、加解密模块,
其中,所述SATADEVICE接口与所述主板连接,
所述SATAHOST接口与所述硬盘连接,
所述加解密模块分别与所述SATADEVICE接口、所述SATAHOST接口连接,
所述安全存储卡通过与PCI或PCIE插槽连接进行固定并充电。
2.如权利要求1所述的防止从盘启动的系统,其特征在于,在初始化所述安全存储卡的所述SATADEVICE接口和所述SATAHOST接口时,建立指令表和PRD表。
3.如权利要求1所述的防止从盘启动的系统,其特征在于,所述加解密模块设有两个双口RAM,分别连接所述SATADEVICE接口和所述SATAHOST接口。
4.如权利要求3所述的防止从盘启动的系统,其特征在于,所述双口RAM的大小为16K。
5.如权利要求3所述的防止从盘启动的系统,其特征在于,所述双口RAM能够进行PIPELINE(线性通信模型)的流水操作。
6.如权利要求1所述的防止从盘启动的系统,其特征在于,所述加解密模块采用256位的SM1国密算法对所述硬盘进行全盘扇区级底层加解密。
7.一种采用权利要求1所述的系统的防止从盘启动的方法,其特征在于,所述方法包括如下步骤:
加密写入,即所述安全存储卡对从主板获取的数据进行加密处理;
解密读出,即所述安全存储卡对从硬盘获取的数据进行解密处理;
当所述安全存储卡检测到所述主板长时间不发送读取系统引导扇区的指令时,所述安全存储卡自动切断所述主板和所述硬盘之间的数据通路,防止从盘启动。
8.如权利要求7所述的防止从盘启动的方法,其特征在于,所述加密写入包括如下步骤:
所述安全存储卡上的所述SATADEVICE接口从所述主板获取数据;
所述加解密模块通过所述SATADEVICE接口接收所述数据,并对获取的所述数据进行加密处理;
所述加解密模块将所述加密处理后的数据,即密文数据,发送给所述安全存储卡上的所述SATAHOST接口;
所述SATAHOST接口将所述密文数据写入到所述硬盘中。
9.如权利要求7所述的防止从盘启动的方法,其特征在于,所述解密读出包括如下步骤:
所述安全存储卡的所述SATAHOST接口从所述硬盘获取数据;
所述加解密模块通过所述SATAHOST接口接收所述数据,并对获取的所述数据进行解密处理;
所述加解密模块将所述解密后的明文数据发送给所述安全存储卡的所述SATADEVICE接口;
所述SATADEVICE接口将所述明文数据发送给所述主板。
10.如权利要求7所述的防止从盘启动的方法,其特征在于,所述方法还包括当所述安全存储卡被拔出后,所述主板将不能启动系统。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510779609.8A CN105279107A (zh) | 2015-11-13 | 2015-11-13 | 一种防止从盘启动的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510779609.8A CN105279107A (zh) | 2015-11-13 | 2015-11-13 | 一种防止从盘启动的方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105279107A true CN105279107A (zh) | 2016-01-27 |
Family
ID=55148147
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510779609.8A Pending CN105279107A (zh) | 2015-11-13 | 2015-11-13 | 一种防止从盘启动的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105279107A (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1286434A (zh) * | 2000-09-13 | 2001-03-07 | 张巨洪 | 密文卷—ide数据通道加密卡 |
CN1553347A (zh) * | 2003-05-28 | 2004-12-08 | 联想(北京)有限公司 | 一种计算机数据保护方法 |
CN1641522A (zh) * | 2004-01-16 | 2005-07-20 | 西北工业大学 | 计算机硬盘数据加密方法及其装置 |
US20060117189A1 (en) * | 2000-11-03 | 2006-06-01 | Chung-Yen Chiu | Cryptographic serial ATA apparatus and method |
CN201126546Y (zh) * | 2007-10-07 | 2008-10-01 | 成都市宇中梅科技有限责任公司 | 双硬盘电脑 |
CN101788957A (zh) * | 2009-01-22 | 2010-07-28 | 深圳市文鼎创数据科技有限公司 | 存储设备加密装置及方法 |
CN102486754A (zh) * | 2010-12-01 | 2012-06-06 | 北京新风机械厂 | 一种硬盘数据保护方法 |
CN102567252A (zh) * | 2010-12-09 | 2012-07-11 | 北京华虹集成电路设计有限责任公司 | 一种硬盘和主机之间数据传输方法和系统 |
CN203084736U (zh) * | 2013-02-04 | 2013-07-24 | 重庆电子工程职业学院 | 一种计算机网络安全控制系统 |
CN103379103A (zh) * | 2012-04-24 | 2013-10-30 | 长春易申软件有限公司 | 线性与加密解密的硬件实现方法 |
-
2015
- 2015-11-13 CN CN201510779609.8A patent/CN105279107A/zh active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1286434A (zh) * | 2000-09-13 | 2001-03-07 | 张巨洪 | 密文卷—ide数据通道加密卡 |
US20060117189A1 (en) * | 2000-11-03 | 2006-06-01 | Chung-Yen Chiu | Cryptographic serial ATA apparatus and method |
CN1553347A (zh) * | 2003-05-28 | 2004-12-08 | 联想(北京)有限公司 | 一种计算机数据保护方法 |
CN1641522A (zh) * | 2004-01-16 | 2005-07-20 | 西北工业大学 | 计算机硬盘数据加密方法及其装置 |
CN201126546Y (zh) * | 2007-10-07 | 2008-10-01 | 成都市宇中梅科技有限责任公司 | 双硬盘电脑 |
CN101788957A (zh) * | 2009-01-22 | 2010-07-28 | 深圳市文鼎创数据科技有限公司 | 存储设备加密装置及方法 |
CN102486754A (zh) * | 2010-12-01 | 2012-06-06 | 北京新风机械厂 | 一种硬盘数据保护方法 |
CN102567252A (zh) * | 2010-12-09 | 2012-07-11 | 北京华虹集成电路设计有限责任公司 | 一种硬盘和主机之间数据传输方法和系统 |
CN103379103A (zh) * | 2012-04-24 | 2013-10-30 | 长春易申软件有限公司 | 线性与加密解密的硬件实现方法 |
CN203084736U (zh) * | 2013-02-04 | 2013-07-24 | 重庆电子工程职业学院 | 一种计算机网络安全控制系统 |
Non-Patent Citations (3)
Title |
---|
中联绿盟信息技术(北京)有限公司: "数据安全我作主——华旗资讯推出爱国者移动存储加密王Ⅲ代", 《信息安全与通信保密》 * |
华荣: "军工企业转型发展信息安全防范战略思考", 《核工业勘察设计》 * |
少轩: "中国电子政务要过安全关", 《中国信息报》 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7121112B2 (ja) | セキュアストレージデバイス | |
KR101959738B1 (ko) | 장치 식별자와 사용자 인증 정보에 기반한 보안 키 생성 장치 | |
US9047486B2 (en) | Method for virtualizing a personal working environment and device for the same | |
EP2759943B1 (en) | File encryption method and device, file decryption method and device | |
US10810138B2 (en) | Enhanced storage encryption with total memory encryption (TME) and multi-key total memory encryption (MKTME) | |
US20190332765A1 (en) | File processing method and system, and data processing method | |
US8924700B1 (en) | Techniques for booting from an encrypted virtual hard disk | |
CN102722670B (zh) | 基于移动存储设备的文件保护方法、设备和系统 | |
CN111201553B (zh) | 一种安全元件及相关设备 | |
WO2016192453A1 (zh) | 一种安全控制方法、装置和终端 | |
CN104951701A (zh) | 一种基于usb控制器的终端设备操作系统引导的方法 | |
US8898807B2 (en) | Data protecting method, mobile communication device, and memory storage device | |
US20160188235A1 (en) | Automatic back-up system with verification key and method of operation thereof | |
US9384353B2 (en) | System and method for encryption of disk based on pre-boot compatibility testing | |
KR102311336B1 (ko) | 안전 저장소 접근정보를 보호하는 위치고정형 사물인터넷 기기 및 위치고정형 사물인터넷 기기의 안전 저장소 접근정보를 보호하는 방법 | |
WO2016101559A1 (zh) | 一种数据安全存取方法、装置和计算机存储介质 | |
CN104361297A (zh) | 一种基于Linux操作系统的文件加解密方法 | |
CN109376119B (zh) | 一种创建磁盘镜像文件加密快照、使用的方法及存储介质 | |
CN112749383A (zh) | 软件认证方法和相关产品 | |
CN102279813B (zh) | 一种加密卡内系统的保护方法 | |
CN108287988B (zh) | 用于移动终端文件的安全管理系统及方法 | |
CN106951790B (zh) | Usb存储介质透明加密方法 | |
US20170262640A1 (en) | Database operation method and device | |
CN102768646A (zh) | 串口硬盘加解密装置 | |
US9122504B2 (en) | Apparatus and method for encryption in virtualized environment using auxiliary medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160127 |
|
RJ01 | Rejection of invention patent application after publication |