CN107563213B - 一种防存储设备数据提取的安全保密控制装置 - Google Patents
一种防存储设备数据提取的安全保密控制装置 Download PDFInfo
- Publication number
- CN107563213B CN107563213B CN201710902643.9A CN201710902643A CN107563213B CN 107563213 B CN107563213 B CN 107563213B CN 201710902643 A CN201710902643 A CN 201710902643A CN 107563213 B CN107563213 B CN 107563213B
- Authority
- CN
- China
- Prior art keywords
- module
- host
- data
- key
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开了一种防存储设备数据提取的安全保密控制装置,其中,包括:认证管理模块,用于与认证钥匙完成认证和密钥加密传输;密钥管理模块,用于对接收到的加密密钥进行解密和子密钥扩展;加密处理模块,用于数据的加解密处理;存储控制模块,用于控制器内各模块间的协调处理和安全控制;主机端接口处理模块,用于模拟硬盘存储设备操作;设备端接口处理模块,用于模拟主机访问操作;上电启动在线监控模块,用于监测协议命令格式、数据访问地址和命令接收时间;协议增强模块,用于响应主机绑定驱动模块发送的自定义专用协议命令,并对该协议数据进行匹配和验证,并将结果反馈给存储控制模块;过滤驱动与端口控制模块,用于控制主机相关接口的可用性。
Description
技术领域
本发明属于数据安全技术领域,是一种防存储设备数据提取的安全保密控制装置。
背景技术
随着信息技术的迅猛发展,大量敏感信息、涉密数据,包括商业秘密和国家秘密信息等重要资产,存储于计算机中。为此,各大公司、军工单位、政府部门等,纷纷采取各种技防、人防、物防措施,提高计算机系统的数据安全保密性,目前采用的主要安全控制措施主要如下:
1)基于口令或双因子的安全认证。利用计算机系统开机口令、操作系统登录口令、屏幕保护口令等,防止非授权用户进入系统,进而访问受保护数据;采用UKey结合密码的双因子认证,在操作系统启动过程进行用户身份认证,实现用户登录访问控制。
2)基于信息安全管控平台的强制访问控制。结合操作系统过滤驱动、软件中间件、数据库、虚拟存储等技术,依据控制策略或权限实现对计算机端口、资源、服务等的授权访问,实现对数据的安全访问控制。
3)基于系统资源或服务的实时监控。对平台CPU、内存、网络资源、操作系统文件和服务等进行监控和完整性检测,通过使用状况超过阈值、系统文件或服务发生篡改的实时检测或阻断,防止系统和存储数据的非法入侵。
4)基于硬盘的数据保护机制。采用硬盘访问密码保护、硬盘HPA保护、硬盘加密存储等控制技术,实现数据的安全保护。其中硬盘访问密码保护、硬盘HPA保护,是基于硬盘固件的安全访问控制技术,与硬盘工作环境无关;而硬盘加密存储,对授权用户则是透明访问。
上述安全控制措施在一定程度上保证了计算机存储设备数据的安全保密性,但仍存在一些不足。其中,基于口令或双因子的安全认证、基于信息安全管控平台的强制访问控制、基于系统资源或服务的实时监控,主要针对系统引导盘实现访问控制和实时监控,可以通过将受保护存储设备以数据盘形式挂载到通用计算平台,屏蔽操作系统和安全控制服务环境等,获取敏感数据;基于硬盘访问密码保护、硬盘HPA保护技术,通过更换计算平台或硬盘控制电路方式,获取存储数据;采用硬盘加密技术,因对于授权用户(拥有加密密钥)为透明访问,其数据同样可被其它计算平台访问。
发明内容
本发明的目的在于提供一种防存储设备数据提取的安全保密控制装置,用于解决上述现有技术的问题。
本发明一种防存储设备数据提取的安全保密控制装置,其中,包括:FPGA可编程逻辑控制器、认证钥匙和预装操作系统;认证管理模块、密钥管理模块、加密处理模块、存储控制模块、主机端接口处理模块、设备端接口处理模块、上电启动在线监控模块和协议增强模块均置于FPGA可编程逻辑控制器中;主机绑定驱动模块和过滤驱动与端口控制模块集成到预装操作系统中;认证管理模块,用于与认证钥匙完成认证和密钥加密传输;密钥管理模块,用于对接收到的加密密钥进行解密和子密钥扩展,提供加密算法所需子密钥;加密处理模块,用于数据的加解密处理;存储控制模块,用于控制器内各模块间的协调处理和安全控制;主机端接口处理模块,用于模拟硬盘存储设备操作,并按存储设备接口协议要求,进行与主机间在物理层、链路层、传输层和应用层的信息交互;设备端接口处理模块,用于模拟主机访问操作,按照存储设备接口协议的物理层、链路层、传输层和应用层处理要求,向硬盘发送控制信息以及接收反馈数据;上电启动在线监控模块,用于监测协议命令格式、数据访问地址和命令接收时间,并以此判定存储设备是系统盘还是数据盘;协议增强模块,用于响应主机绑定驱动模块发送的自定义专用协议命令,并对该协议数据进行匹配和验证,并将结果反馈给存储控制模块;过滤驱动与端口控制模块,用于控制主机相关接口、端口、资源、服务的可用性,控制防存储设备数据提取安全保密控制装置作为系统盘时,其敏感数据的可导出性;防存储设备数据提取安全保密控制装置通过主机端接口处理模块接收主机访问请求,对于主机绑定驱动模块发送的自定义专用协议命令请求,由协议增强模块进行数据解析并获取主机的特征值,以及操作系统版本和核心文件哈希值配置信息,与协议增强模块中预存的各基础值依次进行字符串一一匹配,验证结果提供给存储控制模块,用以判断计算平台是否为授权主机,若与任一基础值不一致,则为非授权主机,存储控制模块将禁止所有数据读写命令直至主机重新加电工作,并控制主机端接口处理模块不响应任何主机访问请求;否则为授权主机,则具有访问存储设备的权限。
根据本发明的防存储设备数据提取的安全保密控制装置的一实施例,其中,FPGA可编程逻辑控制器与认证钥匙之间进行认证,认证先以认证钥匙为认证操作发起端,将自身的认证信息M1通过公钥P1加密后传递给认证管理模块,认证管理模块4在接收到认证信息并用自身私钥R2解密,然后用自身公钥P2加密后回传给认证钥匙,认证钥匙通过自身私钥R1解密认证信息,并将其与最初发送的认证信息M1进行比对,若信息一致则认证成功;若信息不一致,则认证失败,由存储控制模块控制主机端接口处理模块不响应主机访问以及设备端接口处理模块不产生访问硬盘的命令。
根据本发明的防存储设备数据提取的安全保密控制装置的一实施例,其中,FPGA可编程逻辑控制器与认证钥匙认证通过后,认证钥匙将密钥以加密形式发送给认证管理模块,进而传递给密钥管理模块,由密钥管理模块完成加密密钥的解密和子密钥扩展,并将产生的子密钥提供给加密处理模块。
根据本发明的防存储设备数据提取的安全保密控制装置的一实施例,其中,主机的特征值包括:主机CPU型号、网卡、显卡、USB接口以及IP地址。
根据本发明的防存储设备数据提取的安全保密控制装置的一实施例,其中,对于数据读命令,由上电启动在线监控模块在接收到读存储设备主引导扇区地址命令后约定的时钟周期内,检测是否收到读预装操作系统启动扇区地址命令,检测结果传给存储控制模块用以判断存储设备是系统盘还是数据盘,若未收到读预装操作系统启动扇区地址命令,则是数据盘,存储控制模块将禁止所有数据读写命令直至主机重新加电工作;否则为系统盘,存储控制模块控制设备端接口处理模块向硬盘等存储设备发送读数据命令,提取从存储设备接收的数据并交由加密处理模块进行解密,最后将解密的数据通过主机端接口处理模块反馈给主机。
根据本发明的防存储设备数据提取的安全保密控制装置的一实施例,其中,对于数据写命令,存储控制模块首先将从主机接口处理模块提取的主机写数据,传给加密处理模块进行加密,然后控制设备端接口处理模块9向硬盘等存储设备发送写命令,并将加密后的数据写入存储设备。
根据本发明的防存储设备数据提取的安全保密控制装置的一实施例,其中,对于非数据传输命令,存储控制模块进行缓冲并转发给设备端接口处理模块。
根据本发明的防存储设备数据提取的安全保密控制装置的一实施例,其中,硬盘作为系统盘正常引导预装操作系统后,自动运行过滤驱动与端口控制模块,通过对端口、服务、进程及存储设备协议的操作访问控制,仅允许将防存储设备数据提取安全保密控制装置中存储的数据导出/拷贝至授权的存储设备或接口;对于非授权设备或接口,禁止防存储设备数据提取安全保密控制装置导出数据。
根据本发明的防存储设备数据提取的安全保密控制装置的一实施例,其中,FPGA可编程逻辑控制器与认证钥匙双向连接,FPGA可编程逻辑控制器与主机接口双向连接,FPGA可编程逻辑控制器与硬盘等存储设备接口双向连接,硬盘已预装集成有主机绑定驱动模块和过滤驱动与端口控制模块的操作系统。
根据本发明的防存储设备数据提取的安全保密控制装置的一实施例,其中,存储控制模块进行的控制器内各模块间的协调处理和安全控制包括:数据提取与转发控制、处理流程状态控制与反馈和信号量控制。
本发明的防存储设备数据提取的安全保密控制装置,解决了传输过程中日志传输可信,管理员和运维人员操作可信,行为可以被审计。由于采取了无中心的架构,一方面,存储和传输均为加密的方式,传输过程不能被篡改;另一方面,合法用户和非法攻击不能找到数据的同时也不能更改各节点的数据,因此避免了非法操作。本发明由一组对等体组成去中心化的管理端,解决了中心化管理端存在的弊病。
附图说明
图1所示为本发明一种防存储设备数据提取的安全保密控制装置的模块图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
图1所示为本发明一种防存储设备数据提取的安全保密控制装置的模块图,如图1所示,本发明一种防存储设备数据提取的安全保密控制装置,包括FPGA可编程逻辑控制器1、认证钥匙2和预装操作系统3。认证管理模块4、密钥管理模块5、加密处理模块6、存储控制模块7、主机端接口处理模块8、设备端接口处理模块9、上电启动在线监控模块10和协议增强模块11均置于FPGA可编程逻辑控制器1中。主机绑定驱动模块12和过滤驱动与端口控制模块13集成到预装操作系统3中。
如图1所示,FPGA可编程逻辑控制器1与认证钥匙2双向连接,FPGA可编程逻辑控制器1与主机接口双向连接,FPGA可编程逻辑控制器1与硬盘等存储设备接口双向连接。硬盘等存储设备已预装集成有主机绑定驱动模块12和过滤驱动与端口控制模块13的操作系统3。
如图1所示,认证管理模块4用于与认证钥匙2完成认证和密钥加密传输,控制该防存储设备数据提取安全保密控制装置可访问性。
如图1所示,密钥管理模块5用于对接收到的加密密钥进行解密和子密钥扩展,提供加密算法所需子密钥。
如图1所示,加密处理模块6用于数据的加解密处理。
如图1所示,存储控制模块7负责控制器内各模块间的协调处理和安全控制,包括数据提取与转发控制、处理流程状态控制与反馈、信号量控制等。
如图1所示,主机端接口处理模块8用于模拟硬盘等存储设备操作,并按存储设备接口协议要求,实现与主机间在物理层、链路层、传输层和应用层的信息交互。
如图1所示,设备端接口处理模块9用于模拟主机访问操作,按照存储设备接口协议的物理层、链路层、传输层和应用层处理要求,向硬盘等存储设备发送控制信息、接收反馈数据,实现与存储设备间的信息交互。
如图1所示,上电启动在线监控模块10用于监测协议命令格式、数据访问地址和命令接收时间等,并以此判定存储设备是系统盘还是数据盘,进而确定主机对防存储设备数据提取安全保密控制装置的可访问性。
如图1所示,协议增强模块11用于响应主机绑定驱动模块12发送的自定义专用协议命令,并对该协议数据进行匹配、验证,并将结果反馈给存储控制模块7。
如图1所示,过滤驱动与端口控制模块13用于控制主机相关接口、端口、资源、服务的可用性,控制防存储设备数据提取安全保密控制装置作为系统盘时,其敏感数据的可导出性。
如图1所示,加电后,FPGA可编程逻辑控制器1首先与认证钥匙2之间进行认证。认证先以认证钥匙2为认证操作发起端,将自身的认证信息M1通过公钥P1加密后传递给认证管理模块4,认证管理模块4在接收到认证信息并用自身私钥R2解密,然后用自身公钥P2加密后回传给认证钥匙2,认证钥匙2通过自身私钥R1解密认证信息,并将其与最初发送的认证信息M1进行比对,若信息一致则认证成功;若信息不一致,则认证失败,由存储控制模块7控制主机端接口处理模块8不响应主机访问、设备端接口处理模块8不产生访问硬盘等存储设备的命令,从而使得防存储设备数据提取的安全保密控制装置不可访问。
如图1所示,FPGA可编程逻辑控制器1与认证钥匙2认证通过后,认证钥匙2将密钥以加密形式发送给认证管理模块4,进而传递给密钥管理模块5,由密钥管理模块5完成加密密钥的解密和子密钥扩展,并将产生的子密钥提供给加密处理模块6。
如图1所示,然后,防存储设备数据提取安全保密控制装置通过主机端接口处理模块8接收主机访问请求,对于主机绑定驱动模块12发送的自定义专用协议命令请求,由协议增强模块11进行数据解析并获取主机CPU型号、网卡、显卡、USB接口、IP地址的特征值,以及操作系统版本、核心文件哈希值配置信息,与协议增强模块11中预存的各基础值依次进行字符串一一匹配,验证结果提供给存储控制模块7,用以判断计算平台是否为授权主机,若与任一基础值不一致,则为非授权主机,存储控制模块7将禁止所有数据读写命令直至主机重新加电工作,并控制主机端接口处理模块8不响应任何主机访问请求;否则为授权主机,则具有访问存储设备的权限。
如图1所示,对于数据读命令,由上电启动在线监控模块10在接收到读存储设备主引导扇区地址命令后约定的时钟周期内,检测是否收到读预装操作系统3启动扇区地址命令,检测结果传给存储控制模块7用以判断存储设备是系统盘还是数据盘,若未收到读预装操作系统3启动扇区地址命令,则是数据盘,存储控制模块7将禁止所有数据读写命令直至主机重新加电工作;否则为系统盘,存储控制模块7控制设备端接口处理模块9向硬盘等存储设备发送读数据命令,提取从存储设备接收的数据并交由加密处理模块6进行解密,最后将解密的数据通过主机端接口处理模块8反馈给主机。
如图1所示,对于数据写命令,存储控制模块7首先将从主机接口处理模块8提取的主机写数据,传给加密处理模块6进行加密,然后控制设备端接口处理模块9向硬盘等存储设备发送写命令,并将加密后的数据写入存储设备。
如图1所示,对于非数据传输命令,存储控制模块7进行缓冲并转发给设备端接口处理模块9。
如图1所示,硬盘等存储设备作为系统盘正常引导预装操作系统3后,自动运行过滤驱动与端口控制模块,通过对端口、服务、进程及存储设备协议的操作访问控制,仅允许将防存储设备数据提取安全保密控制装置中存储的数据导出/拷贝至授权的存储设备或接口;对于非授权设备或接口,禁止防存储设备数据提取安全保密控制装置导出数据。
至此通过以上各项安全控制措施,安全存储设备实现了与主机的有效绑定,并有效防止了安全存储设备作为数据盘,敏感数据被非法提取。
本发明一种防存储设备数据提取的安全保密控制装置,综合应用了协议增强、上电启动在线监控、数据加密、安全认证、主机绑定、端口控制等安全控制技术,基于FPGA可编程器件逻辑设计和操作系统过滤驱动设计,实现敏感数据的安全保密防护。该装置硬件层面主要由FPGA可编程逻辑控制器、认证密钥组成;软件层面主要是预装操作系统。其中,FPGA可编程逻辑控制器,集成有存储控制模块、主机端接口处理模块、设备端接口处理模块、协议增强模块、上电启动在线监控模块、认证管理模块、密钥管理模块、加密处理模块;预装操作系统,集成主机绑定驱动模块、过滤驱动与端口控制模块,直接存储于与安全保密控制装置相连的存储设备中。
FPGA可编程逻辑控制器内集成的存储控制模块负责控制器内各模块的协调处理和安全控制;主机端接口处理模块,模拟硬盘物理层、链路层、传输层和应用层间相关协议处理,接收主机的命令,并分离出读写数据,送至加密模块进行数据加解密处理;设备端接口处理模块,则模拟主机的物理层、链路层、传输层和应用层间相关协议处理,向硬盘等存储设备发送命令,并分离出对硬盘读写的数据,送至加密模块进行处理;协议增强模块则支持专用协议命令处理,监测系统应用平台环境,实现与主机的绑定;上电启动在线监控模块,检测上电后数据访问情况和时钟计时,控制存储设备的可访问性;认证管理模块、密钥管理模块、加密处理模块,则完成FPGA可编程逻辑控制器与认证钥匙间的认证、密钥加密传输与更新、数据在线加解密处理;预装操作系统,存储于安全保密控制装置控制下的硬盘等存储设备内且不可卸载,集成主机绑定驱动模块、过滤驱动与端口控制模块,上电时自动加载,并开启相关端口的监测、控制服务。
在系统连接关系上,一种防存储设备数据提取的安全保密控制装置的FPGA可编程逻辑控制器与主机通过主机端接口处理模块互连,与硬盘等存储设备通过设备端接口处理模块互连,与认证钥匙通过认证管理模块互连。
一种防存储设备数据提取的安全保密控制装置具体工作流程描述如下:
1)密钥认证。加电后,FPGA可编程逻辑控制器与认证密钥采用非对称加密算法进行认证,即以认证钥匙为认证操作发起端,将自身的认证信息通过公钥加密后传递给认证接收端,认证接收端在接收到认证信息并用自身私钥解密,然后用自身公钥加密后回传给认证发起端,最后认证发起端通过自身私钥解密认证信息,并将其与最初发送的认证信息进行比对,确定认证成功与否。只有通过认证,认证钥匙才将加密密钥以加密形式发送给认证管理模块,进而传给密钥管理模块,由加密处理模块进行密钥扩展和数据加解密处理;若认证失败,则禁止FPGA可编程逻辑控制器接收和相应主机访问请求。
2)数据加载与解密。主机向FPGA可编程逻辑控制器的主机端接口控制模块发送数据读命令,通过设备端接口控制模块向硬盘等存储设备转发,同时设备端接口控制模块提取接收到的读数据,并由加解密控制模块解密,同过主机端接口控制模块反馈给主机,实现数据的加载与解密。
3)主机绑定与防止作为数据盘访问。数据加载过程,主机绑定驱动模块启动,FPGA可编程逻辑控制器通过协以增强模块,接收主机绑定驱动模块产生的匹配信息,确定系统计算平台是否可访问存储设备;通过上电启动在线监控模块,检测数据访问地址和延时是否符合要求。对于受控的计算平台,当作为数据盘访问时,因无法接收匹配信息、数据访问地址违规和访问超时,计算平台无法访问作为数据盘的本发明设计的安全保密控制装置,屏蔽通过光盘、USB设备或其它系统盘引导操作系统访问数据盘问题;对于非受控的计算平台,则直接因信息不匹配而禁止对本发明设计的安全保密控制装置的数据访问。
4)防止作为系统盘时数据被非授权导出。当本发明设计的安全保密控制装置作为系统盘引导操作系统后,通过预置的过滤驱动、端口控制等安全访问控制模块,屏蔽敏感数据的非授权输出。
本发明在安全认证的基础上,进一步实现安全存储设备与主机平台环境的安全绑定,解决目前存储设备与主机间缺乏安全认证,网卡、显卡等关键硬件不可控的问题;通过上线启动在线监控模块,实时监测操作系统启动状态,进一步判定存储设备硬件连接状态,有效屏蔽通过光盘、USB设备或其他系统盘引导操作系统访问数据盘非法提取数据;通过身份认证、数据硬件加密、端口及服务控制等,可以防止存储设备作为系统盘时非授权导出数据,确保存储信息的安全保密性。
本发明的一种防存储设备数据提取的安全保密控制装置,解决目前安全存储设备运行平台不可控,以及将安全存储设备作为数据盘而绕过计算平台相关安全管控措施,造成敏感信息被非法提取的问题,从技术上提高敏感数据的安全保密性。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (10)
1.一种防存储设备数据提取的安全保密控制装置,其特征在于,包括:FPGA可编程逻辑控制器、认证钥匙和预装操作系统;认证管理模块、密钥管理模块、加密处理模块、存储控制模块、主机端接口处理模块、设备端接口处理模块、上电启动在线监控模块和协议增强模块均置于FPGA可编程逻辑控制器中;主机绑定驱动模块和过滤驱动与端口控制模块集成到预装操作系统中;
认证管理模块,用于与认证钥匙完成认证和密钥加密传输;
密钥管理模块,用于对接收到的加密密钥进行解密和子密钥扩展,提供加密算法所需子密钥;
加密处理模块,用于数据的加解密处理;
存储控制模块,用于控制器内各模块间的协调处理和安全控制;
主机端接口处理模块,用于模拟硬盘存储设备操作,并按存储设备接口协议要求,进行与主机间在物理层、链路层、传输层和应用层的信息交互;
设备端接口处理模块,用于模拟主机访问操作,按照存储设备接口协议的物理层、链路层、传输层和应用层处理要求,向硬盘发送控制信息以及接收反馈数据;
上电启动在线监控模块,用于监测协议命令格式、数据访问地址和命令接收时间,并以此判定存储设备是系统盘还是数据盘;
协议增强模块,用于响应主机绑定驱动模块发送的自定义专用协议命令,并对该协议数据进行匹配和验证,并将结果反馈给存储控制模块;
过滤驱动与端口控制模块,用于控制主机相关接口、端口、资源、服务的可用性,控制防存储设备数据提取安全保密控制装置作为系统盘时,其敏感数据的可导出性;
防存储设备数据提取安全保密控制装置通过主机端接口处理模块接收主机访问请求,对于主机绑定驱动模块发送的自定义专用协议命令请求,由协议增强模块进行数据解析并获取主机的特征值,以及操作系统版本和核心文件哈希值配置信息,与协议增强模块中预存的各基础值依次进行字符串一一匹配,验证结果提供给存储控制模块,用以判断计算平台是否为授权主机,若与任一基础值不一致,则为非授权主机,存储控制模块将禁止所有数据读写命令直至主机重新加电工作,并控制主机端接口处理模块不响应任何主机访问请求;否则为授权主机,则具有访问存储设备的权限。
2.如权利要求1所述的防存储设备数据提取的安全保密控制装置,其特征在于,FPGA可编程逻辑控制器与认证钥匙之间进行认证,认证先以认证钥匙为认证操作发起端,将自身的认证信息M1通过公钥P1加密后传递给认证管理模块,认证管理模块在接收到认证信息并用自身私钥R2解密,然后用自身公钥P2加密后回传给认证钥匙,认证钥匙通过自身私钥R1解密认证信息,并将其与最初发送的认证信息M1进行比对,若信息一致则认证成功;若信息不一致,则认证失败,由存储控制模块控制主机端接口处理模块不响应主机访问以及设备端接口处理模块不产生访问硬盘的命令。
3.如权利要求2所述的防存储设备数据提取的安全保密控制装置,其特征在于,FPGA可编程逻辑控制器与认证钥匙认证通过后,认证钥匙将密钥以加密形式发送给认证管理模块,进而传递给密钥管理模块,由密钥管理模块完成加密密钥的解密和子密钥扩展,并将产生的子密钥提供给加密处理模块。
4.如权利要求3所述的防存储设备数据提取的安全保密控制装置,其特征在于,主机的特征值包括:主机CPU型号、网卡、显卡、USB接口以及IP地址。
5.如权利要求1所述的防存储设备数据提取的安全保密控制装置,其特征在于,对于数据读命令,由上电启动在线监控模块在接收到读存储设备主引导扇区地址命令后约定的时钟周期内,检测是否收到读预装操作系统启动扇区地址命令,检测结果传给存储控制模块用以判断存储设备是系统盘还是数据盘,若未收到读预装操作系统启动扇区地址命令,则是数据盘,存储控制模块将禁止所有数据读写命令直至主机重新加电工作;否则为系统盘,存储控制模块控制设备端接口处理模块向硬盘存储设备发送读数据命令,提取从存储设备接收的数据并交由加密处理模块进行解密,最后将解密的数据通过主机端接口处理模块反馈给主机。
6.如权利要求1所述的防存储设备数据提取的安全保密控制装置,其特征在于,对于数据写命令,存储控制模块首先将从主机接口处理模块提取的主机写数据,传给加密处理模块进行加密,然后控制设备端接口处理模块向硬盘存储设备发送写命令,并将加密后的数据写入存储设备。
7.如权利要求1所述的防存储设备数据提取的安全保密控制装置,其特征在于,对于非数据传输命令,存储控制模块进行缓冲并转发给设备端接口处理模块。
8.如权利要求1所述的防存储设备数据提取的安全保密控制装置,其特征在于,硬盘作为系统盘正常引导预装操作系统后,自动运行过滤驱动与端口控制模块,通过对端口、服务、进程及存储设备协议的操作访问控制,仅允许将防存储设备数据提取安全保密控制装置中存储的数据导出/拷贝至授权的存储设备或接口;对于非授权设备或接口,禁止防存储设备数据提取安全保密控制装置导出数据。
9.如权利要求1所述的防存储设备数据提取的安全保密控制装置,其特征在于,FPGA可编程逻辑控制器与认证钥匙双向连接,FPGA可编程逻辑控制器与主机接口双向连接,FPGA可编程逻辑控制器与硬盘存储设备接口双向连接,硬盘已预装集成有主机绑定驱动模块和过滤驱动与端口控制模块的操作系统。
10.如权利要求1所述的防存储设备数据提取的安全保密控制装置,其特征在于,存储控制模块进行的控制器内各模块间的协调处理和安全控制包括:数据提取与转发控制、处理流程状态控制与反馈和信号量控制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710902643.9A CN107563213B (zh) | 2017-09-29 | 2017-09-29 | 一种防存储设备数据提取的安全保密控制装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710902643.9A CN107563213B (zh) | 2017-09-29 | 2017-09-29 | 一种防存储设备数据提取的安全保密控制装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107563213A CN107563213A (zh) | 2018-01-09 |
| CN107563213B true CN107563213B (zh) | 2020-09-08 |
Family
ID=60984150
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710902643.9A Active CN107563213B (zh) | 2017-09-29 | 2017-09-29 | 一种防存储设备数据提取的安全保密控制装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107563213B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108509802B (zh) * | 2018-02-28 | 2020-01-14 | 郑州信大捷安信息技术股份有限公司 | 一种应用程序数据防泄密方法和装置 |
| CN110213306B (zh) * | 2018-02-28 | 2022-03-08 | 北京金风科创风电设备有限公司 | 风力发电机组启动控制方法及装置 |
| CN108416232A (zh) * | 2018-03-02 | 2018-08-17 | 湖南源科创新科技有限公司 | 用于存储设备的加密方法 |
| CN109089084B (zh) * | 2018-09-20 | 2020-06-02 | 北京计算机技术及应用研究所 | 视频线传输数据在线提取与隐形存储控制装置及其工作方法 |
| US11308243B2 (en) * | 2019-09-11 | 2022-04-19 | International Business Machines Corporation | Maintenance of access for security enablement in a storage device |
| CN113014385B (zh) * | 2021-03-25 | 2023-09-01 | 黑龙江大学 | 一种双网口硬件网络数据加密系统 |
| CN113506090B (zh) * | 2021-07-13 | 2024-01-23 | 远光软件股份有限公司 | 审计数据的处理方法、装置、存储介质及电子设备 |
| CN113268775B (zh) * | 2021-07-16 | 2021-10-15 | 深圳市永兴元科技股份有限公司 | 照片处理方法、装置、系统及计算机可读存储介质 |
| CN114816571B (zh) * | 2022-04-15 | 2023-06-16 | 西安广和通无线通信有限公司 | 外挂闪存的方法、装置、设备及存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100487715C (zh) * | 2007-01-12 | 2009-05-13 | 深圳兆日技术有限公司 | 一种数据安全存储系统和装置及方法 |
| CN101122942B (zh) * | 2007-09-21 | 2012-02-22 | 飞天诚信科技股份有限公司 | 数据安全读取方法及其安全存储装置 |
| CN101944164A (zh) * | 2009-07-10 | 2011-01-12 | 同方股份有限公司 | 一种智能移动存储设备 |
| CN104346556A (zh) * | 2014-09-26 | 2015-02-11 | 中国航天科工集团第二研究院七〇六所 | 基于无线安全认证的硬盘安全防护系统 |
-
2017
- 2017-09-29 CN CN201710902643.9A patent/CN107563213B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN107563213A (zh) | 2018-01-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107563213B (zh) | 一种防存储设备数据提取的安全保密控制装置 | |
| US8510572B2 (en) | Remote access system, gateway, client device, program, and storage medium | |
| US8041947B2 (en) | Computer architecture for an electronic device providing SLS access to MLS file system with trusted loading and protection of program execution memory | |
| TWI438686B (zh) | 用於使用狀態確認來保護作業系統啟動過程的系統及方法 | |
| CN102624699B (zh) | 一种保护数据的方法和系统 | |
| JP4089171B2 (ja) | 計算機システム | |
| US7861015B2 (en) | USB apparatus and control method therein | |
| EP1840786B1 (en) | Computer architecture for an electronic device providing single-level secure access to multi-level secure file system | |
| CN104951409A (zh) | 一种基于硬件的全盘加密系统及加密方法 | |
| US11269984B2 (en) | Method and apparatus for securing user operation of and access to a computer system | |
| CN102948114A (zh) | 用于访问加密数据的单次使用认证方法 | |
| CN102456111B (zh) | 一种Linux操作系统许可控制的方法及系统 | |
| CN101441601B (zh) | 一种硬盘ata指令的加密传输的方法及系统 | |
| CN104335548A (zh) | 安全数据处理 | |
| CN105740725A (zh) | 一种文件保护方法与系统 | |
| CN109800605A (zh) | 一种安全计算机 | |
| CN111815812B (zh) | 一种电子锁第三方开锁控制方法和系统 | |
| JP2008005408A (ja) | 記録データ処理装置 | |
| JP2009526472A (ja) | 実時間鍵生成を含むデータ・セキュリティ | |
| CN111046405A (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN112395631B (zh) | 基于sgx技术的安全数据库系统、方法及介质 | |
| CN104361298A (zh) | 信息安全保密的方法和装置 | |
| TW201738802A (zh) | 用以防止檔案的未授權利用及控制存取的可卸式安全裝置及方法 | |
| US7934099B2 (en) | Device and method for generating digital signatures | |
| CN112149167B (zh) | 一种基于主从系统的数据存储加密方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |