计算机信息安全防拷贝系统构建研究

一、引言

计算机的应用技术广泛, 国家的经济、信息、政治、文化等多个领域都有计算机应用技术的影子, 传统的信息都是通过纸质进行保护, 而现在虽然信息都放在计算机里面, 但是计算机由于是个开放的信息储存与交流平台, 所以很容易产生信息泄露等现象, 近年来, 国内出现很多通过计算机端口来进行窃密的行为, 给国家和人民带来相当大的损失, 有的严重的甚至威胁到了国家主权的安全。因此, 在这种背景下, 急需一种新的技术手段来解决这种问题, 对计算机的端口进行控制, 防止犯罪分子利用这些漏洞进行违法行为, 本系统正是为了达到这个目的而进行设计的。我相信通过对这个系统的研究, 势必会对我国的国防、金融、政治等各个领域起到重要的保护作用[1]。

二、功能特点

信息安全系统是不能出现有安全隐患的, 否则就没有安全性可言。因此, 我们设计了很多安全功能, 例如非法不能进入、能见不能拷贝等, 这样既防止外部人员对信息的不法访问, 又对内部人员的访问权限进一步设置, 这样的系统有很强的保护功能。下面列举其主要功能:设备控制:对计算机所有对外开放的设备接口进行关闭和加密的控制, 包括U盘、光驱等, 从而能全面的控制计算机端口连接能力[2]。网络控制:通过对计算机网络连接能力进行控制, 如果有非法网联入, 直接关闭网络连接功能Internet网控制:实现internet网的单向输入信息, 即只能本系统对intenet进行信息的下载, 而Internet不能对本系统进行信息上传的功能。拷贝加密:对计算的拷贝文件进行严格加密活动, 包括对本系统进行安装时硬盘进行拷贝加密行为。文件加密:增加加密文件工具的选择, 要对计算机文件进行加密, 必须要用户输入密码或口令才能使用文件, 同时还要对重要加密文件进行口令密码管理, 防止口令密码众多而混乱。硬盘保护与数据还原:对硬盘子系统进行硬盘保护功能, 预防保护区的数据遭受到破坏;在硬盘保护同时, 对注册表、设置CMOS信息等关键信息进行备份保存, 防止这些数据被破坏之后不能进行还原。服务器集中式管理:对于硬盘保护与数据还原、网络的配置与控制, 可以在服务器统一配置实现, 同时服务器还能实现跟踪、分组、认证等管理行为。

三、组成结构与原理

系统组成包括三个部分, 第一部分是服务器管理与监控软件, 第二部分是客户端功能软件, 第三部分是信息安全卡硬件子系统[3]。服务器管理与监控软件:主要起到对系统实现安装、维护、监测等功能。同时是起到一个平台的作用, 可以对网络分组, 同一组的计算机可以通过光驱等介质进行交换数据的功能, 但是数据仍然是加密的。对端口的控制, 主要是通过关闭和加密实现, 例如认证管理;对于连接网络的身份进行认证, 防止非法用户进入。硬件子系统:该系统是最核心的部分, 是加/解密操作, 软、硬件协同控制与相互保护, 以及关键数据保存都是在硬件子系统上实现的。硬件子系统是由高速微处理器、集成PCI总线协议和加/解密算法的FPGA芯片、Flash存储器等组成。ARM7核的S3C4510B32-bit微处理器的高速微处理器内部有3级流水, 控制能力强、存在多种与存储器相连的接口。高速微处理器有助于硬盘子系统内部各个部件内部协调, 并与主机进行信息交流, 同时存储主机重要并相关的系数。例如主机硬盘分区等参数, 并判断主机传送过来的数据是否要进行加密等操作, 所以该系统的处理器要有很强的实时处理数据的能力, 否则会存在增加主机负担, 影响主机性能等问题。

四、实现技术

(一) 扩充的PCI总线协议设计

挂接到PCI总线上有两个设备, 第一个设备是S3C4510B处理器, 第二个设备是加/解密运算部件, 这两个设备是独立运行的但有时会同时使用PCI总线, 因此在PCI总线上安装了总线仲裁控制器, 防止两个部件产生冲突, 当产生冲突时, 按照优先级进行处理, S3C4510B处理器大于加/解密运算部件的优先级, 因为硬盘子系统主要是由S3C4510B处理器完成的, 所以必须要先满足S3C4510B处理器的需求。仲裁电路是通过优化电路实现的, 所以工作效率高, 能够在请求信号有效的时钟周期结束时, 实现总线的切换。同时仲裁电路还支持数据块数据传输, 例如一个32-bit传输数据块长度的寄存器, 它由S3C4510B直接读写访问, 以设置数据块长度, 使得硬盘子系统跟主机分开工作, 提高主机的工作效率。

(二) 软件实现

软件的实现是采取Client/Server架构, 就是所谓的“集中式”管理和“独立分散式服务”模式, 集中式是指在网络连接正常情况下, 对所有的客户端及网络上的数据统一进行控制和监控, “独立分散式服务”是指用户具有独立的能力对进行本端口进行安装时所发生敏感性数据进行监控和保护, 这种能力不依靠中心网络服务。服务器应用了应用层和中间件层。即应用层是指网络管理员可以对该系统的安装和运行管理和控制, 即软件形成“防火层”机制, 为整个网络形成一个封闭又独立的环境。中间件是为应用层提供虚拟运行环境平台, 使得能够对不同的操作系统进行兼容, 形成跨平台服务, 因为在网络的环境中运行不同的操作系统是很常见的现象, 例如银行网络系统、电子政务网络系统两者之间肯定使用了不同的操作系统。

五、结语

由于我国的信息安全面对严重的威胁, 故提出软、硬件协同工作的方案, 来实现对计算机各种端口和网络进行控制、加密、监测, 从而在源头和流动两个方面同时进行保护和检测, 本文介绍了计算机信息安全防拷贝系统的功能特点, 进而介绍其组成原理, 最后介绍软件的实现过程, 特别是用FPGA实现了PCI总线协议和加/解密算法, 不仅提高了算法的安全性, 还实现了本系统和主机同步合作, 减少了主机的负担, 本系统的运用, 对提高我国信息安全有重要意义, 希望相关人员在参考本文的基础上继续研究信息安全系统的构建。

摘要：文章通过计算机USB、软驱、网络端口等泄密的安全漏洞、隐患, 提出了通过软件和硬件相互结合的办法实现对信息安全保护的技术方法。该门技术主要是通过对各个端口实现防拷贝系统进行控制和在FPGA上实现了PCI总线协议与加/解密算法, 实现硬件和软件的双重保护机制, 并实现相互保护, 已经有实践表明, 该技术可以对计算机信息安全进行保护。

关键词：信息安全,端口,加密,解密

参考文献

[1] 彭和平, 高德远, 姜刚, 樊晓桠, 杜宏伟.计算机信息安全防拷贝系统研究与实现[J].微电子学与计算机, 2005, (08) :104-107.

[2] 党万胜, 刘文波, 张柳.智能语音收费系统[J].电子技术应用, 1999, 25 (10) :62-63.

[3] 唐明道.ISD2500系列单片语音录放电路[J].电子技术, 1996, (09) :31-34.