CN1459729A - 一种实现硬盘安全隔离的装置及方法 - Google Patents
一种实现硬盘安全隔离的装置及方法 Download PDFInfo
- Publication number
- CN1459729A CN1459729A CN02113032A CN02113032A CN1459729A CN 1459729 A CN1459729 A CN 1459729A CN 02113032 A CN02113032 A CN 02113032A CN 02113032 A CN02113032 A CN 02113032A CN 1459729 A CN1459729 A CN 1459729A
- Authority
- CN
- China
- Prior art keywords
- hard disk
- address
- write
- zone
- protected zone
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000002955 isolation Methods 0.000 title description 13
- 239000003607 modifier Substances 0.000 claims description 23
- 230000008859 change Effects 0.000 claims description 22
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 9
- 230000002401 inhibitory effect Effects 0.000 description 6
- 101100205847 Mus musculus Srst gene Proteins 0.000 description 5
- 239000012467 final product Substances 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000000151 deposition Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000001012 protector Effects 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 235000016936 Dendrocalamus strictus Nutrition 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提出了一种实现安全并兼容地隔离硬盘中操作系统的装置及方法。它采用单向锁定装置和硬盘设定地址禁止改变装置构成一个完整且安全的隔离硬盘操作系统的装置。进一步使用硬盘保留区、硬盘前部写保护区、硬盘后部写保护区及硬盘变址技术,可以安全实现一个硬盘在实现隔离操作系统的同时进行数据交换或进行单向数据交换。
Description
本发明涉及的是一种实现硬盘隔离的装置及方法,具体地说,涉及一种如何安全并兼容地隔离硬盘中操作系统的装置及方法。
目前在计算机安全中,出于安全考虑实行内部网(办公或机密网)与外部网(如因特网)进行物理隔离;或者在家用电脑中,需要内部网(私密数据,不一定连网)与外部网(如因特网)进行物理隔离。解决的方法有所谓的单硬盘方案及双硬盘方案。双硬盘方案是指在一台计算机中安装两个硬盘,当需要使用内部网时,用相对于内部网的硬盘启动,并接通相对于内部网的网络联接(或不与网络连接);当需要使用外部网时,用相对于外部网的硬盘启动,并接通相对于外部网的网络联接。显然,为了安全还需要,当外部网(或内部网)启动后,使得内部网(或外部网)用硬盘及网络联接从物理上隔离(即绝对不可用,或不能有效地读写)。这样实现了一台计算机可以使用内部网及外部网,同时保证内外网隔离及内部数据安全。
显然双硬盘方案,安全地实现了内外网的物理隔离。但是这个方案需要两个硬盘,使得该方案的实现成本也比较高,这样就有所谓的单硬盘方案。它指的是,在一个硬盘上分两个分区,每个分区均有自己的操作系统(分别对应于内部网和外部网);然后通过选择使得计算机启动内部网或外部网。在单硬盘方案中,当系统处于外部网时,至少必须保证内部网中的数据不能被读写(这是本人的已授权发明专利94111461);同时又需要启动多个操作系统(内部网及外部网)。启动多个操作系统,比较好的方法是二次启动(本人待批发明专利97116855),上述的两个在先申请作为参考结合在本发明中。同时它还可以解决当系统崩溃时,可以方便地恢复系统,解决了安全系统中操作系统崩溃后的安全管理问题。另外在单硬盘方案中,如果从硬盘上实现一个交换区,在外网启动时该区能读写,而在内网启动后,该区只读不写。这样将保证信息只能从外网向内网单向传递。保证内网信息绝对不可能自动泄露。当然也可以让交换区任何时候均可读写,这时安全性有所下降。总之在保证安全隔离的同时,可以以灵活而安全的方式实现内外网数据的安全交换。
总之,使用单硬盘解决方案的实质是把硬盘分为多个操作系统区域(两个或更多),当一个操作系统启动后,根据具体安全需求使其不能读写(或不能写)其他操作系统所占用的硬盘区域。
但是,分区安全保证及多操作系统的安装,对于广大的计算机使用人员是比较困难的。对它的理解也比较困难(需要理解分区表)。同时多操作系统的启动,一般说来均需要改变分区表中的程序或数据。这样对于有些操作系统的安装与启动,会产生一定的兼容性问题。另外,当硬盘增大而操作系统升级跟不上时,也会产生安装的困难。例如,一个40G的硬盘,为了分区安装内外网,需要对硬盘进行相应的规化,最好是前20G为内部网,后20G为外部网。但是,WIN95不能安装到8G以后,所以这样分割硬盘,实际上无法安装。为了解决这个问题,只能采取内部网(或外部网)使用6G,其它给外部网(内部网);或者使用多个分区,使内部网使用的分区与外部网使用的分区交错。前一种解决方案使用不方便灵活,后一种方案保护的方法相对复杂成本较高、用户理解困难且安装困难。
为此,比较好的方法是使用硬盘变址(本人待批发明专利00132989.8),该在先申请作为参考结合在本发明中。现在硬盘厂家已经意识到硬盘变址技术在解决硬盘多系统启动中的用途,并以一种特殊(不方便)的方式实现了硬盘变址技术。现在硬盘标准中实现变址技术的方法如图1。首先,计算机用硬盘的特殊命令(F8及F9),实现在一个硬盘中分出两个区域:用户可存取硬盘区域及用户不可存取硬盘区域(见图1(1))。显然如果我们把用户可存取硬盘区域看成外网硬盘区域,用户不可存取硬盘区域为内网硬盘,则当计算机处于外网时,计算机不能存取内网区域。然后用户可以通过命令(Feature寄存器中置09H,Command寄存器中置FEH),进入变址模式(见图1(2))。显然如果我们把用户可存取硬盘区域看成内网硬盘区域,用户不可存取硬盘区域为外网硬盘,则当计算机处于内网时,计算机不能存取外网区域。但是,硬盘标准对于计算机安全确实考虑不周。用户可以通过命令(Feature寄存器中置89H,Command寄存器中置FEH),退出变址模式,也可以通过软件复位(Device Control寄存器SRST位置位)使硬盘退出变址模式。
显然从信息安全的角度,必需绝对禁止(包括禁止使用口令方式,因为口令方式相对不安全)用户能够改变用户可存取硬盘区域及用户不可存取硬盘区域大小(绝对禁止使用F9命令),必需绝对禁止用户能够不受控制地进入或退出变址模式(禁止通过Command寄存器中置FEH,进入或退出变址模式,禁止通过软件复位使硬盘退出变址模式),来破坏硬盘的安全策略。这里我们可以认为退出变址模式是,改变了变址地址(从变址地址值R改变到0-即不进行变址)。
显然从上述现行硬盘标准中可以看出,如果使用变址技术就没有硬盘后部的保留区。这样就不可能在使用变址技术解决多操作系统兼容性同时,使用保留区原来的功能(BIOS功能扩展,并保证用户的不可存取)。图1可以理解为,以R值设置变址(SetOffset)。
另外,在现在的硬盘标准中,有一些设置硬盘使用状态的命令及命令序列,也有一些保护用户设置的手段。但是这些保护手段一般为口令保护(即只要有口令就可以改变硬盘使用状态,如F9设置状态保护),或可以用软件复位(Device Control寄存器SRST位置位)复位到初始状态(如,硬盘退出变址模式),或直接改变硬盘设置状态(如,硬盘退出变址模式,通过命令FEH及子命令89H)。而从安全的角度看,必须需要单向锁定装置。它保证只有计算机加电或计算重新启动才能改变硬盘设定的状态。这样才能保证,当单向锁定装置置位后,任何硬盘设定状态的改变必须先通过计算机重新启动,进入肯定安全的程序(如BIOS),在受控情况下进行硬盘状态的设置。绝对防止黑客改变硬盘的安全设置状态。
为了解决现有标准下硬盘用于单硬盘物理隔离的安全要求,必须增加一个单向锁定装置来保证硬盘区域的物理隔离。当单向锁锁定(置位)后,可以禁止任何可能违反单硬盘隔离安全策略的硬盘命令。而单向锁定装置及禁止可能违反单硬盘隔离安全策略命令的装置(硬盘隔离装置)可能处于主板IDE接口与硬盘IDE接口之间,也可以处于主板控制IDE的芯片组中,还可以处于硬盘控制器中。
显然,利用在前的专利可以解决这些问题,但是解决的方法不具体,综合以上三个专利及现有硬盘标准,可以用计算机用户容易理解的方式实现以上三个专利,简单解决多操作系统隔离,软件兼容性,BIOS扩展等安全问题。
本发明的目的是利用所述三个专利及硬盘标准,解决多操作系统隔离,软件兼容性,BIOS扩展等安全问题。并提供一种具体的利用硬盘存取变址装置及硬盘变址存取方法与硬盘读写保护区的有机结合,加上二次启动方法及单向锁锁定装置,以简单且安全地解决在单硬盘中安装多个操作系统时安全操作系统隔离及的软件兼容性问题。
根据本发明的一个方面,一种实现硬盘隔离的装置,它包括:
单向锁定装置;
硬盘设定地址禁止改变装置;
其中,单向锁定装置是一只有当计算机加电或复位时,才能复位的寄存器,当单向锁定装置置位时,锁定当前硬盘设定地址。硬盘设定地址禁止改变装置根据单向锁定装置置位状态,禁止硬盘执行任何能够改变硬盘设定地址的命令。
一般地,在现在硬盘标准下被禁止计算机向硬盘发出的能够改变硬盘设定地址的命令:SetMax Address命令、Set features命令的子命令(89H)、及SRST(软复位)命令。进一步可能禁止的命令是:Set behind(硬盘设置后部写保护区),Set front(设置硬盘前部写保护区),Set Offset(设置硬盘变址地址)。
较佳地,实现硬盘隔离的装置处于硬盘控制器中,也就是说改变硬盘SetMax Address命令及Set features命令的安全使用方式。利用单向锁定装置,当其置位后,锁定当前硬盘设定地址。硬盘设定地址禁止改变装置根据单向锁定装置置位状态,禁止硬盘执行任何能够改变硬盘设定地址的命令。
可选地,实现硬盘隔离的装置处于硬盘控制器与计算机主板IDE口之间。当单向锁定装置置位后,如果计算机向硬盘发出需要禁止任何能够改变硬盘设定地址的命令,则硬盘隔离的装置,不进行相应的转发,以达到硬盘接收不到能够改变硬盘设定地址的命令,从而禁止执行任何能够改变硬盘设定地址的命令。
可选地,实现硬盘隔离的装置处于硬盘控制器与计算机主板IDE口之间,但是处于监控位置。当单向锁定装置置位后,如果计算机向硬盘发出需要禁止任何能够改变硬盘设定地址的命令。则硬盘隔离的装置,向计算机发出复位信号重新启动计算机,从而实际上禁止执行任何能够改变硬盘设定地址的命令;或向硬盘发出复位信号,这里最好只能由计算机复位信号才能清除该复位信号以保证安全。
方便地,实现硬盘隔离的装置处于主板管理IDE口的芯片中(例如南桥)中,在单向锁定装置置位后,如果CPU向硬盘发出需要禁止的命令,则主板管理IDE口芯片使该命令不能通过IDE口到达硬盘,以保证硬盘状态不被改变。
本发明还提出,为了解决硬盘的安全隔离及兼容性,可以利用设置最大地址(SetMax Address命令)使硬盘分为两个区:用户可存取硬盘区域及用户不可存取硬盘区域,利用硬盘提供的变址技术使计算机可以在这两个区域中转换,再利用单向锁定装置及特殊硬盘命令操作禁止装置保证安全,实现硬盘隔离。
更好的,可以设置硬盘为多个区:用户可存取硬盘区域、用户不可存取硬盘区域及用户只读不写区域,利用新的手段使计算机可以方便设置这些区域。再利用单向锁定装置及特殊硬盘命令操作禁止装置保证安全,实现硬盘隔离。
根据本发明的一个具体方面,提供了一种硬盘存取变址装置与硬盘保护区相结合的装置,它包括:
硬盘保留区装置,用于保护硬盘后部数据的安全性(读写均保护),使用SetMax Address命令,参见参见图4之1;
硬盘变址装置,用于保护硬盘前部数据安全(读写均保护)及提供软件兼容性,使用Set Offset(设置硬盘变址地址),参见图4之2;
硬盘后部写保护装置,用于写保护硬盘后部数据的安全性,使用SetBehind命令,参见参见图4之3;
硬盘前部写保护装置,用于写保护硬盘前部数据的安全性,使用SetFront命令,参见参见图4之4;
单向锁定装置;
硬盘设定地址禁止改变装置;
其中,单向锁定装置是一只有当计算机加电或复位时,才能复位的寄存器,当单向锁定装置置位时,锁定当前硬盘设定地址。硬盘设定地址禁止改变装置根据单向锁定装置置位状态,禁止硬盘执行任何能够改变硬盘设定地址的命令,即改变硬盘保留区装置、硬盘变址装置、硬盘后部写保护区装置、硬盘前部写保护区装置所设定的地址。
实用地,当计算机重新启动后,先使硬盘全部只读。通过口令(或不需要口令),才能打开该锁。这样可以把设置硬盘设定地址的工作放入硬盘。这样可以兼容老计算机。
根据本发明的另一方面,一种实现硬盘隔离的方法,它包括:
重新启动计算机,同时复位单向锁定装置;
根据需要设定用户可存取硬盘区域地址;
置位单向锁定装置;
正常启动计算机操作系统。
进一步,根据需要设定用户可存取硬盘区域地址包括,设定硬盘保留区装置地址、硬盘变址装置、硬盘后部写保护区装置地址、硬盘前部写保护区装置地址之任意组合。
下面参照附图,根据最常用的硬盘标准(IDE)及IBM兼容机描绘本发明。
[实施例1]
根据本发明第一种实施方式,实现硬盘隔离装置如图2所示(其上不是所有装置均为必须)。其中:1为计算机主板;11为BIOS;12为PCI总线;13为主板复位装置;14为主板IDE接口;2为硬盘隔离装置;21为硬盘设定地址禁止改变装置;22为存放用户选择程序的ROM;23为单向锁定装置;3是硬盘驱动器(IDE接口);41连接主板PCI总线12与硬盘隔离装置2中选择程序ROM22;42连接硬盘隔离装置中硬盘设定地址禁止改变装置21与主板复位装置13;43连接主板复位装置13与单向锁定装置。IDE总线5连接硬盘驱动器3及硬盘隔离装置2。当计算机加电或重新启动后,计算机发出复位信号并执行BIOS11程序,同时通过复位信号线41复位单向锁定装置23。通过BIOS11程序使计算机进入设置硬盘状态的选择程序(或通PCI总线12并连接线43,执行ROM22中选择程序),根据用户选择(或身份认证后根据权利选择)设置硬盘相应地址,如使用SetMaxAddress(F9)命令,设置硬盘保留区;或使用硬盘标准提供的功能进入变址模式(Set Feature子命令09H),用于保护硬盘前部数据安全(读写均保护)及提供软件兼容性。完成后置位单向锁定装置23。
计算机正常进入操作系统后,当计算机主板1向硬盘驱动器3发出改变改变硬盘设定地址的命令,如退出变址模式(Set Feature子命令89H),重新设置硬盘保留区及软件复位(Device Control寄存器SRST位置位)使硬盘退出变址模式。这些可能破坏安全原则的命令,均通过IDE总线5到达硬盘隔离装置2中硬盘设定地址禁止改变装置21,硬盘设定地址禁止改变装置21根据单向锁定装置23已置位的状态,向主板复位装置13发出复位信号重新启动计算机,以保证硬盘设定地址不能被非法改变。
显然在实施例1中,PCI总线12及选择程序ROM22不是必须,可以通过把选择程序放入BOIS11中即可。另外当计算机发出改变硬盘设定地址命令后,硬盘设定地址禁止改变装置21也可以通过保持复位硬盘驱动器3来禁止设定地址的改变,然后重新启动计算机。总之实际上都需要重新启动计算机,这虽然保证了安全,但是这对一些用户可能不方便。这就有下一个实施例。
[实施例2]
根据本发明第二种实施方式,实现硬盘隔离装置如图3所示(其上不是所有装置均为必须)。其中:1为计算机主板;11为BIOS;12为PCI总线;13为主板复位装置;14为主板IDE接口;2为硬盘隔离装置;21为硬盘设定地址禁止改变装置;22为存放用户选择程序的ROM;23为单向锁定装置;3是硬盘驱动器(IDE接口);41连接主板PCI总线12与硬盘隔离装置2中选择程序ROM22;42连接主板复位装置13与硬盘隔离装置2中单向锁定装置23;IDE总线51连接主板与硬盘隔离装置;IDE总线52连接硬盘隔离装置与硬盘驱动器。当计算机加电或重新启动后,计算机发出复位信号并执行BIOS11程序,同时通过复位信号线42复位单向锁定装置23。通过BIOS11程序使计算机进入设置硬盘状态的选择程序(或通PCI总线12并连接线43,执行ROM22中选择程序),根据用户选择(或身份认证后根据权利选择)设置硬盘相应地址,如使用SetMax Address(F9)命令,设置硬盘保留区;或使用硬盘标准提供的功能进入变址模式(Set Feature子命令09H),用于保护硬盘前部数据安全(读写均保护)及提供软件兼容性。完成后置位单向锁定装置23。
计算机正常进入操作系统后,当计算机主板1向硬盘驱动器3发出改变改变硬盘设定地址的命令,如退出变址模式(Set Feature子命令89H),重新设置硬盘保留区及软件复位(Device Control寄存器SRST位置位)使硬盘退出变址模式。这些可能破坏安全原则的命令,均首先通过IDE总线51到达硬盘隔离装置2中硬盘设定地址禁止改变装置21,硬盘设定地址禁止改变装置21根据单向锁定装置23已置位的状态,不通过IDE总线52向硬盘驱动器3转发该命令,使硬盘驱动器收不到这个命令,硬盘设定地址不能被非法改变。对于非硬盘设定地址改变命令,硬盘设定地址禁止改变装置21通过IDE总线52转发该命令到硬盘驱动器3。
显然在实施例2中,PCI总线12及选择程序ROM22不是必须,可以通过把选择程序放入BOIS11中即可。禁止或转发硬盘命令可以通过多种方法实现,参见前述专利。
另外容易看见,可以把该实施例所用装置集成于主板IDE控制14中,或集成于硬盘驱动器3中。
根据本人已授权发明专利94111461,其中磁道组可以理解为硬盘两个地址所包含的硬盘区域。在其权利要求6中,说明了一种只需要一个地址就可以实现的磁道组。这里用三个特殊的磁道组组成保护区装置:硬盘保留区装置,硬盘后部写保护区装置及硬盘前部写保护区装置,关于这些保护区的安全保护装置可参见所述专利。如图4所示,假设M为硬盘真实最大地址、0、K、R、B、F、M均为硬盘LBA地址值。显然设置硬盘保留区只需要设置硬盘最大用户可存取地址即可,这与现行硬盘标准一致。它使硬盘形成一个读写保护的硬盘保留区装置(如图4(1),以R值执行SetMax命令),它使计算机能够读写硬盘从0到R的区域,不能读写R到M的硬盘区域。
为解决软件兼容性,比较好的方法是使用硬盘变址技术(本人待批发明专利00132989.8),以O值执行SetOffset命令后,所有读写硬盘的命令中,均把读写硬盘的地址加上O值作为硬盘真实读写地址。用真实读写地址比较R值,作为保留区判别地址。所以,该命令它使计算机能够读写硬盘从O到R真实地址的区域(表现为0到R-O硬盘区域),不能读写其它区域。
同理容易理解硬盘后部写保护区装置,它与硬盘保留区装置标准基本一致,差别在于只进行写保护不进行读保护((如图4(3),以B值执行Set behind命令后,不能写硬盘B到M真实地址区域)。同理容易理解硬盘前部写保护区装置,它与硬盘保留区装置标准基本一致,差别在于只进行写保护不进行读保护((如图4(4),以F值执行Set Front命令后,不能写硬盘0到F实地址区域)。
结合上述保护区装置、硬盘变址装置及硬盘隔离装置(单向锁定装置;硬盘设定地址禁止改变装置),形成下面实施例。
[实施例3]
根据本发明第三种实施方式,实现硬盘隔离装置如图5所示,它表示所述装置与硬盘驱动器结合在一起。其中:1为加有硬盘隔离装置、硬盘变址装置及硬盘保护装置的硬盘驱动器;11为硬盘读写装置;12为硬盘IDE总线接口;13为硬盘变址装置;14为硬盘读写保护装置;15为硬盘隔离装置;141为存储硬盘读写地址装置;142为合法性判定装置;143为非法操作禁止装置144为硬盘保留区装置;145为硬盘后部写保护区装置;146为硬盘前部写保护区装置;147为设置硬盘设定地址装置;151为硬盘设定地址禁止改变装置;152为单向锁定装置。
其中,硬盘IDE总线接口12与硬盘变址装置13及硬盘隔离装置15相连接;硬盘变址装置13与存储读写地址装置141及设置硬盘设置地址装置147相连接;硬盘保留区装置144、硬盘后部写保护区装置145及硬盘前部写保护区装置146与设置硬盘设置地址装置147及合法性判断装置相连接;非法操作禁止装置143与合法性判定装置142及硬盘读写装置11相连接;单向锁定装置152与硬盘设定地址禁止改变装置151相连接;硬盘设定地址禁止改变装置151与设置硬盘设定地址装置147及IDE总线接口12相连接;存储读写地址装置141与硬盘变址装置13及硬盘读写装置11相连接。
当硬盘驱动器加电或硬盘驱动器硬复位后,硬盘驱动器1利用硬盘收到的复位信号复位单向锁定装置152。硬盘驱动器通过IDE总线接口12接收设置硬盘设定地址。当单向锁定装置152处于复位状态时,硬盘设定地址禁止改变装置151通过设置硬盘设定地址装置147设置:硬盘变址装置变址地址(O)、硬盘保留区装置地址(R)、硬盘后部写保护区地址(B)及硬盘前保护区装置地址(F)。然后硬盘驱动器通过IDE总线接口12接收置位单向锁定装置。
当硬盘驱动器通过IDE总线接口12接收硬盘读写命令后,通过硬盘变址装置13形成硬盘真实读写地址,并放入存储读写地址装置141。合法性判断装置142通过存储读写地址装置141中地址及硬盘变址装置变址地址(O)、硬盘保留区装置地址(R)、硬盘后部写保护区地址(B)、硬盘前保护区装置地址(F)判断读写操作是否合法,如果合法则非法操作禁止装置143允许硬盘读写装置11根据存储读写地址装置141的地址读写硬盘,并通过IDE总线接口12接收数据(写)或返回数据(读)。如果非法则非法操作禁止装置143禁止硬盘读写装置11读写硬盘。
当硬盘驱动器通过IDE总线接口12接收改变硬盘设定地址(如,如退出变址模式,重新设置硬盘保留区及软件复位使硬盘退出变址模式等),硬盘设定地址禁止改变装置151根据单向锁定装置152置位状态禁止设置硬盘设定地址装置147执行改变:硬盘变址装置变址地址(O)、硬盘保留区装置地址(R)、硬盘后部写保护区地址(B)及硬盘前保护区装置地址(F)。
需要说明的是,单向锁定装置152可以是硬盘驱动器输入的一条线。当该线处于某种状态(高电平,相当于151置位)时,硬盘设定地址禁止改变装置151禁止设置硬盘设定地址装置147执行改变:硬盘变址装置变址地址(O)、硬盘保留区装置地址(R)、硬盘后部写保护区地址(B)及硬盘前保护区装置地址(F)。而当该线处于处于另外状态(底电平)时,可以进行硬盘设定地址改变。显然,单向锁定装置的锁定部分处于硬盘驱动器之外,与处于硬盘驱动器中的部分合起来构成一个完整的硬盘隔离装置。当然这个线选单向锁定装置的置位可以使用机械装置。
[实施例4]
图6,7中示出了根据本发明的一实施例的一种实现硬盘隔离的方法的流程图。如图6所示,该方法包括步骤:该方法包括有步骤:(1)首先重新启动计算机,同时复位单向锁定装置;(2)根据需要设定用户可存取硬盘区域地址;(3)置位单向锁定装置;(4)正常启动操作系统。
如图7所示,当硬盘隔离装置接收到硬盘命令后,判断单向锁是否置位,当单向锁复位时正常执行硬盘命令,单向锁置位时判断该硬盘命令是否是影响硬盘设定地址的命令:如是则禁止该命令执行,如不是则正常执行该命令。
[实施例5]
图5,6,8中示出了根据本发明的一实施例的一种实现硬盘隔离的方法的流程图。如图6所示,该方法包括步骤:该方法包括有步骤:(1)首先重新启动计算机,同时复位单向锁定装置;(2)根据需要设定用户可存取硬盘区域地址;(3)置位单向锁定装置;(4)正常启动操作系统。进一步,根据需要设定用户可存取硬盘区域地址包括,设定硬盘保留区装置地址、硬盘变址装置、硬盘后部写保护区装置地址、硬盘前部写保护区装置地址之任意组合。
当设置完成后,图8中硬盘隔离装置接收到操作指令(101)后,判断是否为读写指令(102),如果不是读写指令则进一步判断是否为设置地址指令(103),如果还不是则为其他指令,硬盘隔离装置让硬盘执行该指令(106)后返回(402);如为设置地址指令则判断单向锁定装置是否置位(104);如果单向锁定装置置位,则不执行设置操作并返回(402);如果单向锁定装置没有置位,则执行设置操作(105)并返回(402)。
当硬盘隔离装置接收到操作指令(101)为读写指令后,把命令所含的地址与硬盘变址装置13(图5)中所保存的硬盘变址地址O相加形成硬盘读写的真实地址(201);判断当前操作是否为写操作,如是则判断真实地址是否小于前部写保护区结束地址F(301)及真实地址是否大于后部写保护区开始地址B(302),如是则禁止读写(401)并返回(402),否则以真实地址写硬盘(304)并返回。
如当前操作不是写操作则为读操作,判断真实地址大于是否硬盘保留区开始地址R(303),如不大于硬盘保留区开始地址R,则以真实地址读硬盘(304)并返回(402),如大于硬盘保留区开始地址R,禁止读硬盘(401)并返回(402)。
显然,当计算机加电或重新启动后,计算机会发出复位信号并进入BIOS程序。利用复位信号可以复位单向锁定装置,通过BIOS程序使计算机进入设置硬盘状态的选择程序,根据用户选择或进行身份认证后选择,设置硬盘相应状态,并置位单向锁定装置,这样就可以把身份认证技术与硬盘隔离技术相结合,以达到更高的安全性。
虽然本发明通过实施例进行了描述,但本领域技术人员可在本发明的精神的范围内,作出各种变形和改进,所附的权利要求应包括这些变形和改进。
Claims (21)
1、一种实现硬盘安全隔离的装置,它包括
单向锁定装置;
硬盘设定地址禁止改变装置;
其中,单向锁定装置是一只有当计算机加电或复位时,才能复位的寄存器装置,或为一只有机械开关才能改变状态的装置,当单向锁定装置置位时,锁定当前硬盘设定地址。硬盘设定地址禁止改变装置根据单向锁定装置置位状态,禁止硬盘执行任何能够改变硬盘设定地址的命令。
2、根据权利要求1的装置,其特征在于还包括硬盘变址装置,用于读写保护硬盘前部区域数据安全及提供软件兼容性,其中硬盘变址地址属于所述硬盘设定地址。
3、根据权利要求1的装置,其特征在于还包括硬盘保留区装置,用于读写保护硬盘后部区域数据安全,其中硬盘保留区开始地址属于所述硬盘设定地址。
4、根据权利要求1的装置,其特征在于还包括硬盘后部写保护区装置,用于写保护硬盘后部区域数据安全,其中硬盘后部区域开始地址属于所述硬盘设定地址。
5、根据权利要求1的装置,其特征在于还包括硬盘前部写保护区装置,用于写保护硬盘前部区域数据安全,其中硬盘前部写保护区域结束地址是属于所述硬盘设定地址。
6.根据权利要求2的装置,还包括一个改变硬盘变址装置基址基址地址的装置。
7、根据权利要求3的装置,还包括一个改变硬盘保留区开始地址的装置。
8、根据权利要求2,3的装置,其特征在于还包括改变硬盘后部写保护区开始地址的装置。
9、根据权利要求2,3,4的装置,其特征在于还包括改变硬盘前部写保护区域结束地址的装置。
10、根据权利要求1到9的装置,其特征在于它是1到9的任意组合。
11、根据权利要求10的装置,其特征在于它处于计算机主板与硬盘之间。
12、根据权利要求10的装置,其特征在于它处于计算机主板上控制与处理硬盘接口的芯片组中。
13、根据权利要求10的装置,其特征在于它处于硬盘驱动器中。
14、根据权利要求10的装置,其特征在于它还包括身份认证装置。
15、一种实现硬盘隔离的方法,它包括:
重新启动计算机,同时复位单向锁定装置;
设定用户可存取区域硬盘设定地址;
置位单向锁定装置;
启动计算机操作系统。
16、根据权利要求15的方法,其中设定用户可存取区域硬盘设定地址步骤还包括一根据用户身份认证步骤。
17、根据权利要求15或(和)16的方法,其中设定用户可存取区域硬盘设定地址步骤包括择一或组合设定变址地址、保留区开始地址、后部写保护区开始地址、前部写保护区结束地址。
18、根据权利要求17的方法,其中所述变址地址、保留区开始地址、后部写保护区开始地址、前部写保护区结束地址等存放于CMOS中。
19、根据权利要求17的方法,其中所述变址地址、保留区开始地址、后部写保护区开始地址、前部写保护区结束地址等存放于硬盘中。
20、根据权利要求17的方法,其中所述变址地址、保留区开始地址、后部写保护区开始地址、前部写保护区结束地址根据硬盘大小计算得出。
21、根据权利要求17的方法,其中所述变址地址、保留区开始地址、后部写保护区开始地址、前部写保护区结束地址,由用户在计算机每次启动时输入。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021130329A CN100476761C (zh) | 2002-05-20 | 2002-05-20 | 一种实现硬盘安全隔离的装置及方法 |
| US10/515,567 US20050172144A1 (en) | 2002-05-20 | 2002-11-29 | Apparatus and method for securely isolating hard disk |
| PCT/CN2002/000858 WO2003098441A1 (fr) | 2002-05-20 | 2002-11-29 | Systeme et procede de protection d'un disque dur |
| AU2002349467A AU2002349467A1 (en) | 2002-05-20 | 2002-11-29 | Apparatus and method for securely isolating hard disk |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021130329A CN100476761C (zh) | 2002-05-20 | 2002-05-20 | 一种实现硬盘安全隔离的装置及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1459729A true CN1459729A (zh) | 2003-12-03 |
| CN100476761C CN100476761C (zh) | 2009-04-08 |
Family
ID=29426416
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB021130329A Expired - Fee Related CN100476761C (zh) | 2002-05-20 | 2002-05-20 | 一种实现硬盘安全隔离的装置及方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20050172144A1 (zh) |
| CN (1) | CN100476761C (zh) |
| AU (1) | AU2002349467A1 (zh) |
| WO (1) | WO2003098441A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101571837B (zh) * | 2008-04-30 | 2013-07-17 | 北京明朝万达科技有限公司 | 一种操作系统集中保护方法 |
| CN111045962A (zh) * | 2019-12-18 | 2020-04-21 | 湖南国科微电子股份有限公司 | 一种sd卡数据保密方法、系统、设备及计算机介质 |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7360073B1 (en) * | 2003-05-15 | 2008-04-15 | Pointsec Mobile Technologies, Llc | Method and apparatus for providing a secure boot for a computer system |
| CN100383761C (zh) * | 2005-03-10 | 2008-04-23 | 联想(北京)有限公司 | 一种建立硬盘物理分区的方法 |
| CN100383881C (zh) * | 2005-12-08 | 2008-04-23 | 杭州海康威视数字技术有限公司 | 一种嵌入式设备中硬盘关键信息区的保护方法 |
| US20080140946A1 (en) * | 2006-12-11 | 2008-06-12 | Mark Charles Davis | Apparatus, system, and method for protecting hard disk data in multiple operating system environments |
| US8239959B2 (en) * | 2007-05-09 | 2012-08-07 | International Business Machines Corporation | Method and data processing system to prevent manipulation of computer systems |
| US9552491B1 (en) * | 2007-12-04 | 2017-01-24 | Crimson Corporation | Systems and methods for securing data |
| US20100070728A1 (en) * | 2008-09-12 | 2010-03-18 | Fujitsu Limited | Method and apparatus for authenticating user access to disk drive |
| US9135447B1 (en) * | 2012-01-30 | 2015-09-15 | Symantec Corporation | Systems and methods for deploying a pre-boot environment to enable an address offset mode after execution of system bios for booting a operating system in a protected area |
| US8667270B2 (en) | 2012-02-10 | 2014-03-04 | Samsung Electronics Co., Ltd. | Securely upgrading or downgrading platform components |
| US10339328B1 (en) | 2014-07-15 | 2019-07-02 | Cru Acquisition Group, Llc | Securing stored computer files from modification |
| CN110874495B (zh) * | 2018-08-31 | 2024-02-27 | 深圳市安信达存储技术有限公司 | 一种基于自动锁定写保护功能的固态硬盘及防篡改方法 |
| US11782610B2 (en) * | 2020-01-30 | 2023-10-10 | Seagate Technology Llc | Write and compare only data storage |
| CN111539045B (zh) * | 2020-04-28 | 2023-04-07 | 深圳市智微智能软件开发有限公司 | 一种具有防泄密功能的水冷散热式电脑机箱 |
| CN112083879B (zh) * | 2020-08-13 | 2023-04-07 | 杭州电子科技大学 | 一种固态硬盘存储空间物理分区隔离与隐藏方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5657445A (en) * | 1996-01-26 | 1997-08-12 | Dell Usa, L.P. | Apparatus and method for limiting access to mass storage devices in a computer system |
| CN1170160A (zh) * | 1996-07-09 | 1998-01-14 | 李志淮 | Dos文件系统安全存取控制方法及设备 |
| CN1095564C (zh) * | 1997-09-02 | 2002-12-04 | 邵通 | 一种计算机二次启动方法 |
| US6192477B1 (en) * | 1999-02-02 | 2001-02-20 | Dagg Llc | Methods, software, and apparatus for secure communication over a computer network |
| US6468160B2 (en) * | 1999-04-08 | 2002-10-22 | Nintendo Of America, Inc. | Security system for video game system with hard disk drive and internet access capability |
| US7155615B1 (en) * | 2000-06-30 | 2006-12-26 | Intel Corporation | Method and apparatus for providing a secure-private partition on a hard disk drive of a computer system via IDE controller |
| US6645077B2 (en) * | 2000-10-19 | 2003-11-11 | Igt | Gaming terminal data repository and information distribution system |
| US20020157010A1 (en) * | 2001-04-24 | 2002-10-24 | International Business Machines Corporation | Secure system and method for updating a protected partition of a hard drive |
-
2002
- 2002-05-20 CN CNB021130329A patent/CN100476761C/zh not_active Expired - Fee Related
- 2002-11-29 WO PCT/CN2002/000858 patent/WO2003098441A1/zh not_active Application Discontinuation
- 2002-11-29 AU AU2002349467A patent/AU2002349467A1/en not_active Abandoned
- 2002-11-29 US US10/515,567 patent/US20050172144A1/en not_active Abandoned
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101571837B (zh) * | 2008-04-30 | 2013-07-17 | 北京明朝万达科技有限公司 | 一种操作系统集中保护方法 |
| CN111045962A (zh) * | 2019-12-18 | 2020-04-21 | 湖南国科微电子股份有限公司 | 一种sd卡数据保密方法、系统、设备及计算机介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2002349467A1 (en) | 2003-12-02 |
| US20050172144A1 (en) | 2005-08-04 |
| CN100476761C (zh) | 2009-04-08 |
| WO2003098441A1 (fr) | 2003-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1459729A (zh) | 一种实现硬盘安全隔离的装置及方法 | |
| CN101180615B (zh) | Usb安全存储装置和方法 | |
| KR101434069B1 (ko) | 피보호 장치 관리 | |
| KR101289581B1 (ko) | 데이터 저장 장치에 대한 원격 서버로부터의 안전한 스캔을 위한 방법 및 장치 | |
| US8452934B2 (en) | Controlled data access to non-volatile memory | |
| US20080271122A1 (en) | Granulated hardware resource protection in an electronic system | |
| CN101458666A (zh) | 一种数据访问控制方法 | |
| CN1767033A (zh) | 存储介质访问控制方法 | |
| JP2001506783A (ja) | 情報の保護方法及び装置 | |
| CN101094097B (zh) | 一种硬件访问控制系统和方法 | |
| CN1831787A (zh) | 一种建立硬盘物理分区的方法 | |
| CN1702591A (zh) | 一种基于usb密钥设备的硬盘加锁解锁控制方案 | |
| US8307175B2 (en) | Data recovery and overwrite independent of operating system | |
| JP2008146642A (ja) | マルチオペレーティングシステム環境下でハードディスクを保護するための装置、システム、および方法 | |
| US20060179326A1 (en) | Security device using multiple operating system for enforcing security domain | |
| CN105279453A (zh) | 一种支持分离存储管理的文件分区隐藏系统及其方法 | |
| CN1632709A (zh) | 一种保证信息安全的计算机系统 | |
| CN116126463A (zh) | 内存访问方法、配置方法、计算机系统及相关器件 | |
| CN101944164A (zh) | 一种智能移动存储设备 | |
| CN1287299C (zh) | 一种逻辑磁盘认证方法 | |
| CN1091902C (zh) | 一种通用计算机的访问控制和软件版权保护装置及方法 | |
| CN113468618A (zh) | 一种移动硬盘多密级交互方法及系统 | |
| CN107087003B (zh) | 基于网络的系统防攻击方法 | |
| CN2754136Y (zh) | 一种保证信息安全的计算机系统 | |
| CN201465120U (zh) | Usb移动存储介质管理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: NANJING E-SECURITY TECHNOLOGY CO.,LTD. Free format text: FORMER OWNER: SHAO TONG Effective date: 20090522 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20090522 Address after: Nanjing city Jiangning District Science Park Corning Road No. 766 building 3 layer Patentee after: Nanjing E-security Technology Co., Ltd. Address before: Nanjing City, Jiangning Science Park Corning Road No. 766 building on the third floor Patentee before: Shao Tong |
|
| ASS | Succession or assignment of patent right |
Owner name: LI TIANMING Free format text: FORMER OWNER: NANJING YISIKE NETWORK SAFETY TECHNOLOGY CO., LTD. Effective date: 20150603 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: NANJING, JIANGSU PROVINCE TO: 211100 NANJING, JIANGSU PROVINCE |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20150603 Address after: 211100 water The Strip No. 1, Jiangning economic and Technological Development Zone, Nanjing, Jiangsu Patentee after: Li Tianming Address before: Nanjing city Jiangning District Science Park Corning Road No. 766 building 3 layer Patentee before: Nanjing E-security Technology Co., Ltd. |
|
| DD01 | Delivery of document by public notice |
Addressee: Shao Tong Document name: Notification of Passing Examination on Formalities |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20170606 Address after: 211100 water The Strip No. 1, Jiangning economic and Technological Development Zone, Nanjing, Jiangsu Patentee after: Nanjing Shenyi Network Technology Co.,Ltd. Address before: 211100 water The Strip No. 1, Jiangning economic and Technological Development Zone, Nanjing, Jiangsu Patentee before: Li Tianming |
|
| TR01 | Transfer of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090408 Termination date: 20210520 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |