发明内容
本发明为克服现有技术的上述不足之处,提出一种多存储器式物理隔离型计算机数据安全防护方法及装置,采用网络隔离系统,将被保护信息与网络物理隔离,使非法用户从网络攻击涉密信息成功的可能性为零;对内采用保护卡,在非法用户使用本机时或硬盘丢失时,涉密文件被破解的可能性降为最低。对被保护硬盘内信息进行有效保护,非法用户无法读取被保护硬盘内文件或逻辑结构。主硬盘系统与被保护硬盘系统物理隔离,由网络隔离系统开关控制;被保护系统无法登陆局域网(自动控制),系统切换时,网络隔离系统监测所有存储介质,异常情况下阻止切换。
本发明还采用多重认证方式,并采用反跟踪和反攻击设计,对操作系统和硬件平台透明,即插即用,适用于任何种类、版本的计算机数据或文件,被保护硬盘、读卡器、IC卡、SAM卡、保护卡一一对应,根据需要,可嵌入用户自选的加解密算法或加装算法芯片,非法用户不可进入本地系统或登录指定系统,传输速度大于24Mbit/s。
本发明的目的可以这样来达到:
本发明提供了一种多存储器式物理隔离型计算机数据安全防护方法,包括操作系统对通用计算机硬件的控制,以及对于数据存取的加密、解密的方法。其中在含有通用计算机结构的系统中,加设一个或多个加密式外部存储器;将所述加密式外部存储器空间的寻址方式设置为间接寻址,采用可逆地址变换映射函数F(c,h,s),按照F(c,h,s)=ccp+hhp+ssp安排数据存储物理地址;式中c是柱面号,h是磁头号,s是扇区号,表示模2加运算,cp、hp、sp是三组随机数;
将欲存入所述加密式外部存储器的数据进行如下变形:
在变形存储的第一时刻,第一组数据P1与初值函数N(c,h,s)模2加,即P1“N”,结果作为正向函数的数据输入;式中,N(c,h,s)=ccp+hhp+ssp。在本申请中,F为地址变换,N为变形存储,二者描述不同的函数式,以下相同。
本发明还提供了一种多存储器式物理隔离型计算机数据安全防护装置,包括主板和经IDE总线连接的第一外存储器及其内设置的第一操作系统。其中还设置有与所述主板相连的IDE隔离切换开关。第一外存储器位于该隔离切换开关的一个切换位。
加密外存储器位于该隔离切换开关另一个切换位。该加密外存储器内设置有第二操作系统,将所述加密式外部存储器空间的寻址方式设置为间接寻址,采用可逆地址变换映射函数F(c,h,s),按照F(c,h,s)=ccp+hhp+ssp的方式安排数据存储物理地址。式中c是柱面号,h是磁头号,s是扇区号,表示模2加运算,cp、hp、sp是三组随机数。
将欲存入所述加密式外部存储器的数据进行如下变形:
在变形存储的第一时刻,第一组数据P1与初值函数N(c,h,s)模2加,即P1“N”,结果作为正向函数的数据输入;式中,N(c,h,s)=ccp+hhp+ssp。
本发明所涉及的网络环境中单台计算机数据安全防护技术,其中需加密数据与普通数据的物理及系统隔离,具有硬件处理式、延时小、对加密数据文件防止非法访问和拷贝、保密强度高的特点,可随用户需要设置不同的算法及选用不同的密钥长度,而且该数据加密安全防护系统不会成为数据文件传输速度的瓶颈和障碍。
具体实施方式
本发明提供了一种多存储器式物理隔离型计算机数据安全防护方法,包括操作系统对通用计算机硬件的控制,以及对于数据存取的加密、解密的方法;其特征在于:在含有通用计算机结构的系统中,加设一个或多个加密式外部存储器;将所述加密式外部存储器空间的寻址方式设置为间接寻址,采用可逆地址变换映射函数F(c,h,s),按照F(c,h,s)=ccp+hgp+ssp安排数据存储物理地址。式中c是柱面号,h是磁头号,s是扇区号,表示模2加运算,cp、hp、sp是三组随机数。
将欲存入所述加密式外部存储器的数据进行如下变形:在变形存储的第一时刻,第一组数据P1与初值函数N(c,h,s)模2加,即P1“N”,结果作为正向函数的数据输入;式中,N(c,h,s)=ccp+hhp+ssp。
加密式外部存储器可以与系统原外部存储器处于同一存储介质的不同分区内,也可以是加装的另一存储器;加密式外部存储器可以是带传统驱动器的硬盘式结构,也可以是电子式外部存储器。
另外设立隔离系统切换开关,控制所述加密式外部存储器与系统原外部存储器分别从网络隔离系统取电,并使被保护系统无法登录局域网。系统切换时,网络隔离系统监测所有存储介质,阻止异常情况下的切换操作。
在所述两存储器上分设不同的操作系统。两套操作系统分别启动,由隔离系统切换开关控制;其中一个操作系统用于连接局域网或互联网,当切换到另一操作系统时,计算机与网络物理隔绝。
在所述计算机内设立硬件加密系统,包括一个保护卡、一张IC卡和IC卡读卡器,并使用该硬件加密系统进行身份认证。保护卡和IC卡已经过一一对应的绑定操作;所述绑定不可逆,且一个保护卡只能被绑定一次;
保护卡检测本保护卡的ID号,并检测板内的绑定存储器的数据格式和标志;确认ID号无误且板内绑定存储器的内容处于原始状态,则对IC卡进行规定操作,将绑定信息按加密格式存储于保护卡上。
用所述保护卡对保密数据进行变形存储与换位存储操作。保护卡上存有对加密存储器读写、授权等操作和特殊操作的管理体系。IC卡读卡器内的装置,使得IC卡插入时,断开串联在主板与网线之间的信号,达到插卡断网功能。
根据本发明,加设密码键盘,用以进行辅助身份认证;该密码键盘经保护卡的串口与保护卡连接,是保护卡与使用者之间唯一的信息交换渠道。使用者输入必要信息后,由卡上CPU进行判断和动作。
本发明还提供了一种多存储器式物理隔离型计算机数据安全防护装置,包括主板和经IDE总线连接的第一外存储器及其内设置的第一操作系统。其中还设置有与所述主板相连的IDE隔离切换开关,第一外存储器位于该隔离切换开关的一个切换位。加密外存储器位于该隔离切换开关另一个切换位,该加密外存储器内设置有第二操作系统。将所述加密式外部存储器空间的寻址方式设置为间接寻址,采用可逆地址变换映射函数F(c,h,s),按照F(c,h,s)=ccp+hhp+ssp安排数据存储物理地址。式中c是柱面号,h是磁头号,s是扇区号,表示模2加运算:cp、hp、sp是三组随机数。将欲存入所述加密式外部存储器的数据进行如下变形:在变形存储的第一时刻,第一组数据P1与初值函数N(c,h,s)模2加,即P1“N”,结果作为正向函数的数据输入。式中,N(c,h,s)=ccp+hhp+ssp。
在本发明的安全防护装置内设立有硬件加密系统,包括一个保护卡、一张IC卡和IC卡读卡器。保护卡通过IDE接口与计算机主板相连,并通过硬盘接口与加密外存储器相连。该保护卡完成从IDE命令解释到存储器管理的全过程,并具备全套完整的ATA通信协议解释能力。
保护卡和IC卡已经过一一对应的绑定操作,所述绑定不可逆,且一个保护卡只能被绑定一次。
用所述保护卡对保密数据进行变形存储与换位存储操作。所述IC卡读卡器内的装置,使得IC卡插入时,断开串联在主板与网线之间的信号,达到插卡断网功能。
所述安全防护装置还包括用以进行辅助身份认证的密码键盘;该密码键盘经保护卡的串口与保护卡连接,是保护卡与使用者之间唯一的信息交换渠道。使用者输入必要信息后,由卡上CPU进行判断和响应。
下面结合附图,详细描述本发明。
系统连接方式如图1-3所示。该系统采用两块存储器或硬盘,IDE1为主硬盘,用于安装操作系统I和应用程序以及放置普通信息。IDE2为加密外存储器或称被保护硬盘,用于安装操作系统II和存储敏感数据,其与主板之间串联计算机数据文件保护卡。身份认证采用用户IC卡和密码键盘双重方式;所述用户IC卡简称IC卡,其读写器具有插卡断网功能。两块硬盘均从一块隔离切换装置取电。隔离切换装置上的切换开关控制两块硬盘分别启动。在要启动被保护硬盘时,用户插入IC卡读卡器,将切换开关拨到单机状态,并且键入口令,系统可以启动被保护硬盘,同时断开本机与局域网联系,使本机处于单机安全状态。此时被保护硬盘对计算机平台与操作系统完全透明,因为被保护硬盘上装有独立的操作系统,且与局域网断开,IDE1不工作,从网络上不会有被攻击的可能。另外,由于采用网络切换装置,所以不法分子采用利用系统残留信息攻击成功的可能性为零。当身份认证未通过时,计算机无法找到被保护硬盘。由于对被保护硬盘的文件存储采用地址变换和变形存储方式,将被保护硬盘安装在其他计算机上时,会被认为是一块未进行初始化的硬盘,从而保证信息安全。当需要浏览网络信息时,将切换开关拨到网络状态,IDE1正常启动,同时本机与局域网重新连接,可以浏览。但是,IDE2不工作,黑客无法威胁被保护硬盘的数据,同样保证信息安全。
如前所述,IDE2与主板无直接关系,它与主板之间串联着IDE数据文件保护卡。
通过IC卡读卡器内的装置,使得IC卡插入时,断开串联在主板与网线之间的信号,达到插卡断网功能。
本发明的一个重要安全措施是绑定,即相关硬件识别信息之间的一一对应。
一个基本的保护卡系统,包括一个保护卡,一张IC卡和IC卡读卡器。
为了保护用户数据安全,一张IC卡与一个保护卡唯一对应。IC卡制造商已经确保每张IC卡都不相同,但是保护卡是普通批量生产的,从生产线上制作出来时是相同的。因此,必须对保护卡和IC卡进行一一对应的绑定。
保护卡检测本卡的ID号,并检测卡内的绑定存储器,通常是非易失存储器的数据存储格式和标志。如果ID号无误,且板内绑定存储器的内容处于原始状态,则对IC卡进行操作,然后将绑定信息按加密格式存储于保护卡上。绑定是不可逆的,一个保护卡只能被绑定一次。
对所述加密存储器需要进行以下地址变换:
对所述加密存储器空间的寻址采用间接寻址,一般通过分别访问柱面寄存器(其值记为c)、磁头寄存器(h)和扇区寄存器(s)来实现。可逆的地址变换映射F(c,h,s)将正常的存储物理地址扰乱,这样,杜绝攻击者进行数据对比攻击的隐患。
函数F(c,h,s)=ccp+hhp+ssp
其中,c是柱面号,h是磁头号,s是扇区号,是模2加运算;cp、hp和sp都是与保护卡的绑定信息相关的随机数。
为保证高的访问速度,须进行IDE数据截流。IDE协议的底层是一套寄存器组,假设此寄存器组的基地址是Base,则:
地址是Base+7的寄存器是IDE命令寄存器;
地址是Base+6的寄存器是磁头寄存器;
地址是Base+5的寄存器是柱面之一寄存器;
地址是Base+4的寄存器是柱面之二寄存器;
地址是Base+3的寄存器是扇区寄存器;
地址是Base+2的寄存器是扇区数寄存器;
地址是Base+1的寄存器是状态寄存器;
地址是Base+0的寄存器是数据寄存器。
一般而言,硬盘操作总是首先发送目标磁盘空间地址,即发送柱面、磁头和扇区等寄存器数值,然后发送命令寄存器,接着查询相关状态或等待中断,最后进行数据读或写操作。IDE命令可以大致分为三大类:1、有数据的状态设置,例如读取磁盘参数、设置特殊性能指标等命令;2、无数据的状态设置,例如复位、设置空闲等命令;3、磁盘数据操作,例如读盘、写盘等命令。
除了第2类外,第1和3类都涉及数据操作,而其中,第1类的数据是不可以被改变的,否则影响硬盘的正常操作,并且,这类数据与用户无关,无须进行加解密处理。用户关心的是必须保证在响应第3类命令时,磁盘数据的安全和完整。
为了保证处理的实时性,使用纯硬件来解析IDE时序和命令,根据命令的类别做相关处理,并使用管道FIFO存储数据。
对第1类命令,由硬件状态机自动设置“旁路加解密管道”,数据可以直接写入或读出磁盘;对第2类命令,由于没有数据操作,硬件状态机可以不作任何操作;对第3类命令,也是最频繁的操作,硬件状态机根据读或写标志,把数据馈入读操作管道FIFO或写操作管道FIFO,从而实现截取IDE数据,提供给下一级硬件状态机进行变形存储处理。
从ISO七层系统层次模型的角度来看,保护卡在物理层(IDE接口)实现数据保护,对应用层(操作系统和应用软件)是完全透明的,软件兼容是100%。这样的优点是明显的,即不依赖特定的软件平台,不需要驱动程序,系统的通用性强,维护和升级的代价比较小。
从电气接口的角度来看,由于使用硬件解析IDE协议,几乎没有插入延时和等待,实时处理IDE时序;严格按照IDE规范,保证电路接口的电平、驱动、阻抗和容抗等等指标符合协议和标准,硬件兼容是98%以上。说明本发明所述的方法和装置的兼容性是很高的。
本发明所述的方法和装置还具有很高的抗攻击性。因为要想攻击所述保护卡的变形存储的数据,有三个硬件前提。第一,必须拥有保护卡;第二,必须拥有与此保护卡对应的IC卡;第三,必须拥有与此保护卡和IC卡对应的硬盘。而由于被保护的磁盘的数据存储格式完全不同于目前市场上任意一种存储格式,因此,把被保护的磁盘直接接在PC的IDE接口上,只能读到密文代码。攻击者可以尝试使用扇区数据比较法,来逆向确定密钥。但是,由于磁盘空间的寻址进行了地址变换,使得这种数据比较毫无意义。
此外,在变形存储的第一时刻,第一组数据P1与初值全“0”模2加,P1“0”,结果作为正向函数的数据输入。如果需要进一步增强保护卡的性能,还可以把这个初值进行地址相关处理,即在第一时刻,第一组数据P1与初值函数N(c,h,s)模2加,P1“N”,结果作为正向函数的数据输入。N(c,h,s)函数与地址变换函数F(c,h,s)同理。这样,攻击者为了逆向确定密钥,必须对每个扇区的数据初值进行额外的遍历计算和验证。大家知道,这几乎是不可能的。
保护卡本板也有较强的自我保护。板内的核心微码使用加密算法处理,压缩后存储在EPROM或FLASH里,保护卡启动后,进行自解密、解压操作,再拷贝到SRAM内执行。
使用多个超时计数器设置软件陷阱,避免被单步跟踪和静态分析代码流程。实时监视本板状态,如果判定当前存在人为的非法操作,则首先破坏本板SRAM存储器内容和绑定存储器内容,然后扰乱IC卡部分信息区格式,并且封闭保护卡上相关的硬件通道。
实施本方法后,由于计算机文件、数据保护卡所保护的是单机状态下的硬盘数据,而不是用于远程传输的数据保护,所以盗窃者不可能从网上获得被保护的数据。
攻击保护卡的变形存储的数据,有三个硬件前提。第一,必须拥有保护卡;第二,必须拥有与此保护卡对应的IC卡系统;第三,必须拥有与此保护卡和IC卡系统对应的硬盘。
由于被保护硬盘的数据存储格式完全不同于目前市场上任意一种存储格式,因此,把被保护硬盘直接接在PC的IDE接口上,读不到分区和数据信息,被保护硬盘未初始化。高级攻击者可以尝试使用扇区数据比较法,但是,由于磁盘空间的寻址进行了地址变换,使得这种数据比较毫无意义;攻击者必须对每个扇区的数据初值进行额外的遍历计算和验证,工作量将极其庞大。破译的难度在于破译者必须完全准确地拥有用户IC卡中2K的信息、获得用户口令和IC卡ID号,并且每一系统此3项参数的信息均不同。非法用户要拦截用户这些信息几乎是办不到的。首先我们在开始时已经介绍过,用户IC卡是CPU智能卡,无法复制;其次用户IC卡的每次认证使用的随机数不同,没有保护卡及对应的用户IC卡以及用户口令,认证不可能通过。另外,由于IC卡具有自锁功能,非法卡插入读写器3次,系统将自动锁住保护卡,使其不能工作,从一定程度上保证了信息的安全。
关键在于计算机主板将其认为是硬盘,硬盘将其认为是主板,对第三方软硬件完全透明。本产品完全兼容标准IDE接口协议,在硬件上完全兼容普通PC机和其他类型计算机的标准IDE接口,不须安装驱动程序,不依赖于任何操作系统和兼容几乎所有主流硬件平台。采用高速80C186EB为核心的嵌入式系统,微码存储在外部存储器EPROM/FLASH,数据存储器为16K的SRAM;使用大规模CPLD构造硬件状态机,管理IDE主机接口的接口时序、数据缓冲区读写时序,保证实时处理能力;采用高速双口RAM作为主机和CPU之间的数据缓冲区。板载EEPROM作为IC卡与保护卡绑定信息存储器。
所以说,本系统的优点在于,在具有较强安全性的同时,实现了兼容性、速度的较高水平,由于采取信道加密的方式,使得破解者盗走硬盘后只有通过穷举法来计算密钥,其工作量无法估计。本系统灵活性也很强,可以采用其他加密算法,实现不同客户的不同需求。