[发明专利]基于FPGA的主机安全防护物理卡及其数据处理方法

说明书

本发明涉及计算机安全技术领域，公开了一种基于FPGA的主机安全防护物理卡及其数据处理方法，以确保主机的安全性。本发明安全防护物理卡主要是在FPGA芯片的可配置逻辑模块中分别设置虚拟的身份认证单元、数据加密单元、入侵检测单元、防火墙单元、陷阱单元以及规则策略单元；规则策略单元与身份认证单元、数据加密单元、入侵检测单元、防火墙单元、陷阱单元以及规则策略单元建立逻辑关联以根据本地固有的以及被防护主机上层应用所制定的各类规格策略进行联动；且入侵检测单元还用于记录引发报警的规则，并对规则进行格式转换后传送至规则策略单元以供防火墙单元进行加载并执行。

技术领域

本发明涉及计算机安全技术领域，尤其涉及一种基于FPGA的主机安全防护物理卡及其数据处理方法。

背景技术

网络的发展在给人们带来便利的同时也引发了一系列的新问题。针对网络服务供应商的网络攻击屡屡发生，造成网络阻塞、瘫痪、丧失服务能力，有意或无意的非法操作主机造成主机被破坏，进而造成生产故障。网络安全技术日益引起人们的重视，针对网络攻击、入侵手段的复杂化，单一防火墙、入侵检测系统等保护手段越来越不能满足人们的需求。一个新的发展方向就是综合多种防护手段来提高系统的安全性。

发明内容

本发明目的在于公开一种基于FPGA的主机安全防护物理卡及其数据处理方法，以确保主机的安全性。

为实现上述目的，本发明公开了一种基于FPGA的主机安全防护物理卡，包括FPGA芯片及其连接的数字信号处理器及存储器，还包括：

与被防护主机进行通信的通信接口；以及

在FPGA芯片的可配置逻辑模块中分别设置虚拟的身份认证单元、数据加密单元、入侵检测单元、防火墙单元、陷阱单元以及规则策略单元；

所述规则策略单元与所述身份认证单元、数据加密单元、入侵检测单元、防火墙单元、陷阱单元以及规则策略单元建立逻辑关联以根据本地固有的以及被防护主机上层应用所制定的各类规格策略进行联动；

所述身份认证单元，主要用于对访问被防护主机的合法用户及非法用户进行身份识别并阻止非法用户进行操作；

所述数据加密单元，主要用于对被防护主机关键进程的数据传输进行加密；

所述入侵检测单元，主要用于从被防护主机的进程中检测入侵行为，并在发现入侵行为后，记录引发报警的规则，并对规则进行格式转换后传送至所述规则策略单元以供所述防火墙单元进行加载并执行；

所述防火墙单元，主要用于从所述规则策略单元获取各类规则策略以阻止对被防护主机的入侵行为；

所述陷阱单元，用于在被防护主机的进程受干扰后，通过软件陷阱技术恢复被防护主机的正常进程。

与上述物理卡相对应的，本发明还公开一种基于FPGA的主机安全防护物理卡的数据处理方法，包括：

所述物理卡监听被防护主机的进程，以及调用在FPGA芯片可配置逻辑模块中所设置的身份认证单元、数据加密单元、入侵检测单元、防火墙单元以及陷阱单元以根据规则策略单元固有的以及被防护主机上层应用所制定的各类规格策略进行安全防护联动；具体包括：

所述身份认证单元对访问被防护主机的合法用户及非法用户进行身份识别并阻止非法用户进行操作；

所述数据加密单元对被防护主机关键进程的数据传输进行加密；

所述入侵检测单元从被防护主机的进程中检测入侵行为，并在发现入侵行为后，记录引发报警的规则，并对规则进行格式转换后传送至所述规则策略单元以供所述防火墙单元进行加载并执行；

所述防火墙单元从所述规则策略单元获取各类规则策略以阻止对被防护主机的入侵行为；以及