專利名稱：一種保密卡的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及數(shù)據(jù)安全存儲領(lǐng)域，特別地，涉及具備病毒隔離功能的數(shù)據(jù)存儲設(shè)備。
背景技術(shù)：
目前，公知的數(shù)據(jù)安全保障系統(tǒng)均是由軟件系統(tǒng)實現(xiàn)，通過軟件反編譯等逆向工 程容易將軟件保密過程解析從而實現(xiàn)系統(tǒng)保密數(shù)據(jù)的還原，造成需要得到安全保護的數(shù)據(jù) 泄露。除此之外，軟件系統(tǒng)還存在以下缺陷首先，軟件系統(tǒng)在加解密過程中大量占用系 統(tǒng)CPU資源造成系統(tǒng)性能明顯下降；其次，軟件系統(tǒng)重裝操作系統(tǒng)后可能發(fā)生忘記安裝軟 件保密系統(tǒng)的情況，這樣造成保密數(shù)據(jù)隨意的拷貝；還有，軟件加密使用操作系統(tǒng)資源為保 證性能而無法達到很高的加密秘鑰長度，一般來說很難超過1024位。

發(fā)明內(nèi)容
為了克服目前軟件保密系統(tǒng)的缺點.本發(fā)明提供了一種保密卡，通過硬件加密手 段將相關(guān)的加密解密程序做到芯片中，這大大的增加了破解成本。本發(fā)明的保密卡包括插槽連接模塊，用于將該保密卡安裝到主機的插槽中；多個硬件計算機板卡，在不同的板卡上分別提供不同接口 ；多個協(xié)議實現(xiàn)和加解密芯片，其中每個芯片分別針對上述不同接口中的一種，用 于對相應接口的數(shù)據(jù)進行加密和解密。所述的保密卡還包括檢測器，用于當外部設(shè)備接入到板卡時，檢測該外部設(shè)備是 否被授權(quán)使用，對于被授權(quán)的設(shè)備，主機的系統(tǒng)將開始工作。所述不同接口包括 IDE、SATA, USB、NIC、PCMCIA、PS/2、串行口、并行 口、IEEE1394、 Express卡和無線模塊接口。該外部設(shè)備的授權(quán)是由主機中的管理中心負責的，授權(quán)后的設(shè)備即可在系統(tǒng)中使用。檢測器中設(shè)有數(shù)據(jù)庫，其中保存有授權(quán)后設(shè)備的列表，供檢測器查詢以確定接入 到板卡的外部設(shè)備是否被授權(quán)。這樣，整個外部設(shè)備對操作系統(tǒng)來說是完全透明的，用戶可以像使用正常設(shè)備一 樣使用授權(quán)的外部設(shè)備。通過本發(fā)明提供的保密卡，在硬件級別保證了數(shù)據(jù)安全，更加安全可靠，并且不占 用系統(tǒng)的主機CPU資源，完全不影響系統(tǒng)的正常使用；由于本發(fā)明提供了系統(tǒng)所有外部設(shè) 備接口，設(shè)備可以保證系統(tǒng)不被病毒和木馬入侵到整個網(wǎng)絡(luò)；系統(tǒng)在硬件級別對設(shè)備進行 鑒權(quán)，同時提供設(shè)備的操作日志等內(nèi)容，方便管理。


圖1是根據(jù)本發(fā)明的保密卡結(jié)構(gòu)框圖；圖2是根據(jù)本發(fā)明的保密卡實物電路板圖。
具體實施例方式下面結(jié)合附圖對本發(fā)明實施例進行詳細說明。本發(fā)明的保密卡這個硬件系統(tǒng)通過PCI、PCI-Express、PCMCIA、Express卡等系統(tǒng) 總線或接口與主機連接，硬件連接完成后系統(tǒng)需要安裝相應的驅(qū)動程序以驅(qū)動卡上的安全 硬件設(shè)備模塊，在主機與外部進行數(shù)據(jù)交換時，驅(qū)動程序?qū)用鏁帘沃鳈C上相應的外部接 口，由于主機與外部交換數(shù)據(jù)種類很多，如有線網(wǎng)絡(luò)數(shù)據(jù)、無線網(wǎng)絡(luò)數(shù)據(jù)、硬盤數(shù)據(jù)、可移 動存儲數(shù)據(jù)等等，我們以向USB可移動存儲設(shè)備寫入數(shù)據(jù)為例說明通用過程。其他類型數(shù) 據(jù)交換基本原理和此例相同，對于數(shù)據(jù)的讀取為寫入的逆過程。具體安裝和數(shù)據(jù)交換過程如下1、將本發(fā)明的保密卡本專利設(shè)備插入到主機板卡上，通電讓系統(tǒng)檢測板卡正常通 過。2、在上位主機上安裝相關(guān)驅(qū)動程序，驅(qū)動板卡相應加密模塊并初始化板卡數(shù)據(jù)。3、主機向外部進行數(shù)據(jù)輸出時通過系統(tǒng)總線傳送到MDISP模塊。4,MDISP模塊負責將數(shù)據(jù)分發(fā)給MMS、MNIC等，如U盤數(shù)據(jù)將被發(fā)送到MSAT解析 模塊。5、MSAT模塊將數(shù)據(jù)傳入PREXA模塊進行數(shù)據(jù)整理和編碼工作。6、PREXA通過和Conf通信取得密鑰算法等相關(guān)信息，并開始進行數(shù)據(jù)整理和編 碼。7、PREXA將編碼后的數(shù)據(jù)傳送到FPGA模塊進行最后的數(shù)據(jù)整理和協(xié)議還原。8、FPGA模塊進行日志處理，同時，將整理后數(shù)據(jù)傳送到IFDIS模塊。9、IFDIS模塊將數(shù)據(jù)送到USB設(shè)備接口處，同時，檢測外部設(shè)備是否為授權(quán)設(shè)備。10、接口將數(shù)據(jù)給外部設(shè)備，如U盤。設(shè)備數(shù)據(jù)讀取工作是寫入工作的逆過程。圖2示出了本發(fā)明的保密卡的實物板圖。保密卡同時提供了審計、監(jiān)控、防病毒、防木馬功能，能夠應用在軍隊、政府、企業(yè) 等對數(shù)據(jù)有安全保密要求的單位。顯然，本領(lǐng)域的技術(shù)人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精 神和范圍。這樣，倘若對本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范 圍之內(nèi)，則本發(fā)明也意圖包含這些改動和變型在內(nèi)。
權(quán)利要求
1.一種保密卡，包括插槽連接模塊，用于將該保密卡安裝到主機的插槽中；其特征在 于，還包括多個硬件計算機板卡，在不同的板卡上分別提供不同接口 ；多個協(xié)議實現(xiàn)和加解密芯片，其中每個芯片分別針對上述不同接口中的一種，用于對 相應接口的數(shù)據(jù)進行加密和解密。
2.根據(jù)權(quán)利要求1所述的保密卡，其特征在于，還包括檢測器，用于當外部設(shè)備接入到 板卡時，檢測該外部設(shè)備是否被授權(quán)使用，對于被授權(quán)的設(shè)備，主機的系統(tǒng)將開始工作。
3.根據(jù)權(quán)利要求1所述的保密卡，其特征在于，所述不同接口包括IDE、SATA、USB、NIC、 PCMCIA、PS/2、串行 口、并行 口、IEEE1394、Express 卡和無線模塊接 口。
4.根據(jù)權(quán)利要求2所述的保密卡，其特征在于，該外部設(shè)備的授權(quán)是由主機中的管理 中心負責的，授權(quán)后的設(shè)備即可在系統(tǒng)中使用。
5.根據(jù)權(quán)利要求2或4所述的保密卡，其特征在于，檢測器中設(shè)有數(shù)據(jù)庫，其中保存有 授權(quán)后設(shè)備的列表，供檢測器查詢以確定接入到板卡的外部設(shè)備是否被授權(quán)。
全文摘要
本發(fā)明提供了一種保密卡，通過硬件加密手段將相關(guān)的加密解密程序做到芯片中，這大大的增加了破解成本。本發(fā)明的保密卡包括插槽連接模塊，用于將該保密卡安裝到主機的插槽中；多個硬件計算機板卡，在不同的板卡上分別提供不同接口；多個協(xié)議實現(xiàn)和加解密芯片，其中每個芯片分別針對上述不同接口中的一種，用于對相應接口的數(shù)據(jù)進行加密和解密；檢測器，用于當外部設(shè)備接入到板卡時，檢測該外部設(shè)備是否被授權(quán)使用，對于被授權(quán)的設(shè)備，主機的系統(tǒng)將開始工作。通過本發(fā)明提供的保密卡，在硬件級別保證了數(shù)據(jù)安全，更加安全可靠，并且不占用系統(tǒng)的主機CPU資源，完全不影響系統(tǒng)的正常使用。
文檔編號G06F21/00GK102129529SQ20101030036
公開日2011年7月20日 申請日期2010年1月15日 優(yōu)先權(quán)日2010年1月15日
發(fā)明者宿明, 徐鋼 申請人:北京國信經(jīng)緯信息安全技術(shù)有限公司