[发明专利]一种防止从盘启动的方法及系统

说明书

技术领域

本发明涉及计算机安全领域，尤其涉及一种防止从盘启动的系统及方法。

背景技术

随着信息技术的普及和发展，几乎各行各业都在应用计算机进行办公。对于涉及敏感信息或秘密的行业，如政府、军工和银行等，在使用信息化带来方便的同时也带来了风险，所以这些行业一般都采用内网办公与外网隔绝，并且安装各种安全可信管理平台。通过管理平台进行端口管控、进程管理和审计跟踪，从而达到事前预防和事后跟踪的目的。

上述信息安全只是建立在系统正常工作的情况下，但是采用WindowsPE(WindowsPreinstallationEnvironment，Windows预安装环境)从盘启动时，该安全将不复存在。计算机主盘中的数据可以随意拷贝，并且可以通过更改或删除配置文件对可信安全管理平台进行破坏。

因此为了防止计算机主盘中的数据被拷贝或破坏，就需要防止WindowsPE从盘启动，或者允许从盘启动，但是断开计算机的主盘。

针对上述目的，当前各软件厂商通过在BIOS中更改启动顺序，将计算机的主盘作为第一启动选项，并为BIOS设定密码从而达到防止从盘启动目的。但是，在该方法中，由于BIOS密码容易被破解或者通过软件方法进行破解，也可以通过CMOS放电使得BIOS密码丢失，恢复原来设置。因此，该方法安全性低不可靠。

此外，软件厂商还会通过加密主引导扇区的方法达到防止从盘启动保护主盘的方法。该方法通过对主盘的主引导扇区加密，当主盘启动时解密该主引导扇区；当从盘启动时，由于该主盘引导扇区加密，所以无法加载主盘，从而达到保护计算机主盘的目的。但是由于各主盘生产厂商的不一致，使得该加密主引导扇区的方法兼容性不好，无法应用在定制的计算机上。

发明内容

针对上述现有技术的缺陷，本发明提供一种防止从盘启动的系统及方法。通过该方法提供的安全存储卡截获计算机主盘发送的数据流，并对该数据流进行分析和获取当前的启动状态，主盘启动或是从盘启动，当检测到从盘启动时，切断主盘数据通路，从而有效保护主盘数据不被拷出。

本发明提供一种防止从盘启动的系统，所述系统包括主板、硬盘，所述系统还包括安全存储卡，所述安全存储卡连接于所述主板和所述硬盘之间，所述安全存储卡包括SATADEVICE接口、SATAHOST接口、加解密模块，其中，所述SATADEVICE接口与所述主板连接，所述SATAHOST接口与所述硬盘连接，所述加解密模块与所述SATADEVICE接口、所述SATAHOST接口连接，所述安全存储卡通过与PCI或PCIE插槽连接进行固定并充电。

上述方案中优选的是，在初始化所述安全存储卡的所述SATADEVICE接口和所述SATAHOST接口时，建立指令表和PRD表。

上述方案中优选的是，所述加解密模块设有两个双口RAM，分别连接所述SATADEVICE接口和所述SATAHOST接口。

上述方案中优选的是，所述双口RAM的大小为16K。

上述方案中优选的是，所述双口RAM能够进行PIPELINE(线性通信模型)的流水操作。

上述方案中优选的是，所述加解密模块采用256位的SM1国密算法对所述硬盘进行全盘扇区级底层加解密。

本发明还提供一种防止从盘启动的方法，所述方法包括：

加密写入，即所述安全存储卡对从主板获取的数据进行加密处理；

解密读出，即所述安全存储卡对从硬盘获取的数据进行解密处理；

当所述安全存储卡检测到所述主板长时间不发送读取系统引导扇区的指令时，所述安全存储卡自动切断所述主板和所述硬盘之间的数据通路，防止从盘启动。

上述方案中优选的是，所述加密写入包括如下步骤：

所述安全存储卡上的所述SATADEVICE接口从所述主板获取数据；

所述加解密模块通过所述SATADEVICE接口接收所述数据，并对获取的所述数据进行加密处理；

所述加解密模块将所述加密处理后的数据，即密文数据，发送给所述安全存储卡上的所述SATAHOST接口；

所述SATAHOST接口将所述密文数据写入到所述硬盘中。

上述方案中优选的是，所述解密读出包括如下步骤：

所述安全存储卡的所述SATAHOST接口从所述硬盘获取数据；

所述加解密模块通过所述SATAHOST接口接收所述数据，并对获取的所述数据进行解密处理；