专利名称:密文卷—ide数据通道加密卡的制作方法
技术领域:
本发明涉及一种计算机数据加密装置,特别是密文卷-IDE数据通道加密卡。
现有的计算机加密解密产品可以归纳为以下几种通信信道加密,如加密传真,加密MODEM等;网络传输加密/解密;文件加密解密;身份验证和文件(目录)授权管理及防火墙安全技术。从所列内容来看,计算机加密/解密的产品主要集中在安全进出系统控制、安全存取控制、安全传输控制和数据文件的加密/解密。目前国内外都没有解决数据库的加密问题,即数据要加密,数据库就不能用,与数据库相关的应用软件也就不能用,如在线分析(OLAP)、数据仓库(warehouse)、数据挖掘和人工智能等等。若要使用这些软件,数据库就不能加密,否则就无法使用,因此限制相关软件的应用。
本发明的目的在于提供一种可用于数据库使用的数据加密技术,密文卷-IDE数据通道加密卡,它与计算机硬件和软件无关,可在任何硬件系统和软件环境下即插即用,只要硬件连上线,不需要软件安装,开机就可以使用。
本发明中,在计算机主机和硬盘的IDE通道之间,加上一个数据加密卡,当主机向硬盘写数据时就加密,从硬盘中读数据就解密,密文卷作为计算机的第二硬盘存放已经被加密的密文数据。IDE数据通道加密卡的保护目标就是计算机的第二硬盘,它将第二硬盘作为一个整体加以保护处理,实现在对操作系统完全透明的情况下,将存储在第二硬盘中的数据写入时加密,读出时解密,保证第二硬盘中的数据的安全存储。实现这个功能的“卡”,就叫做IDE数据通道加密卡,而被保护的第二硬盘就称之为密文卷。
由于IDE数据通道加密卡完成了从IDE命令解释到硬盘管理的全过程控制,因此从主机的角度看,这个卡本身就是系统的一个IDE外设。由于相关的信号处理完全符合ATA3的标准,主机就把该卡当成一个实在的IDE硬盘。换句话来说,从主机来看,有这个卡与无这个卡完全是一样的,所以主机将以对硬盘的管理方式来管理和使用IDE数据通道加密卡。
由于具有仿真IDE硬盘的功能,因此对加密卡而言就必须具备全套完整的ATA3通信协议解释能力和完整的硬盘管理能力。为此,本发明分成如下几个主要部分接口协议部分、数据通道管理、硬盘管理、数据加/解密、IC卡控制。接口协议部分是由一片FPGA或PLD器件及相应外围电路组成,负责与主机的通信,接收主机送来的所有IDE指令,将指令传给卡上的管理芯片,经管理芯片处理后,返回相应的状态信号,该信号再由接口芯片组合成IDE返回信息供主机使用数据通道管理主要由接口器件、双口RAM和管理芯片CPU等组成,双口RAM的两端分别接向IDE接口和硬盘接口,IDE接口连接主机,接受主机送来的数据和向主机返回数据硬盘接口则是卡与硬盘的连接通道。双口RAM中数据的具体内容、传输方向等,则由管理芯片CPU来控制,这是一个16位的通道;硬盘管理加密卡的核心目标是对硬盘的控制,因此,卡上要有对硬盘的完整管理体系。这个体系中包括对硬盘的读写操作、特殊操作、授权操作等;数据加/解密通过硬盘加密卡的所有数据,在管理芯片CPU的控制下,由专用加密DSP芯片进行加/解密处理;IC卡控制器IC卡控制器是硬盘加密卡与使用者之间的唯一信息交换渠道。使用者的标识信息和权限等安全信息由IC卡控制器读入后,交予卡上的管理芯片CPU进行分析和使用。将前述各部分按照实际进行硬件和软件的协调、整合,就形成完整的密文卷-IDE数据通道加密卡。
下面结合附图及实施例对发明进一步详细说明。
图1为本发明的结构示意图;图2和图3为本发明的硬件逻辑框图;图4为本发明的软件程序框图。
参见图1、2、3,本发明通过IDE接口与主机连接,通过硬盘接口与第二硬盘连接。数据缓冲器由74LS245双向驱动器构成,控制数据信号的通断及流向,逻辑控制器由一片Lattice公司的ISP1032及辅助元件组成,内含IDE接口信号处理单元、数据缓冲器控制单元、硬盘控制信号单元、主处理器接口逻辑单元、内部寄存器等组成,是本卡的核心逻辑器件;主处理器由一片80186及辅助元件组成,完成数据处理、接口协议解析、IC卡控制、存取控制和密钥管理、权限管理、身份认证等;数据缓存区由双口RAM构成,既是数据缓存区,也是与加密芯片进行数据交换的通道;程序存储器为Flash存储器;IC卡座连接IC卡读卡器,用于读取用户IC卡上的用户信息;IDE接口为40PIN标准IDE接口与主机相连;硬盘接口为40PIN标准IDE接口与硬盘相连;加密器件根据国家密码办的规定、用户对加密密文的等级要求及不同使用环境,由国家密码办为其指定使用不同的专用加密芯片(密文等级一般分核密、普密和商密)。本加密卡可按用户需要选用安装不同加密芯片完成数据的加、解密处理。
参见图4,当主机加电开机之后,加密卡自动进入初始化,给出常规IDE初始化信号。初始化结束后,进入等待状态,等待主机对本硬盘的读写命令。若主机发来的不是数据读写命令,即旁路(按IDEATA3协议)执行,卡上CPU不对命令参数进行任何处理。若主机发来的是数据读写命令,首先把主机的命令完整接受下来,然后再逐步解析处理。一切处理完之后,通知主机此命令执行完。对主机的读写命令的解析处理包括以下几个步骤(1)把读(写)的地址和扇区个数记下;(2)确定合法用户。对不合法用户,记日志返回,送主机“硬盘没有准备好”信息;(3)是合法用户,形成工作密钥;(4)区分是读还是写命令,分别按IDE协议规定,进行读写操作和加解密处理;(5)记日志。进入循环等待主机后续磁盘读写命令,直到下电关机为止。
本发明中应达到的技术要求是(1)IDE硬盘加解密卡可以对硬盘数据进行实时加密或解密,从而保护硬盘数据的安全。IDE硬盘加解密卡在标准IDE接口上对数据进行处理,在硬件上完全兼容普通PC机和其他类型计算机的IDE外设接口,不依赖于任何操作系统或软件平台,可以直接运行DOS、Windows9x、Linux和Unix等主流操作系统,也可以运行pSOS、VxWorks等实时操作系统和SYBASE、ORACLE等应用数据库。(2)完全兼容True IDE接口,兼容ATA3接口协议。(3)加解密处理流程对用户和应用程序“透明”,实时加解密处理基本不影响硬盘数据的传输速率。(4)模块化,便于修改和扩充。(5)与用户程序完全“透明”。
利用市场上可买到的通用元器件,设计制造线路板,把读卡器和线路板装配成一个约146×42×170mm(五寸半高)大小的盒子,安装在主机的前面板,甩出两条辫子线分别接在主机底版的第二硬盘插口和第二个硬盘,并由主机电源供电。硬件安装完后,不需安装任何软件,加电开机,主机就认识该盘。在DOS6.22、Windows 95/98、WindowsNT、UNIX、Linux等操作系统下正常使用。各种软件包括系统软件和应用软件,皆可正常运行,如WORD、EXECL、ACCESS、POWERPONIT、SQL、FOXBASE、INFORMAX等。在TCP/IP网和NOVELL网都能正常使用。加密后的硬盘,不通过加密卡而把硬盘直接插到主机底板的第二硬盘插口时,主机BIOS能认识磁盘参数,但磁盘中的数据(密文)不能读取。实现了用户数据加密,以及加密功能对硬件和软件透明的目标要求。
因为IDE是计算机的标准硬盘接口协议,本发明加密卡只是针对读写数据进行加解密处理,其他完全遵从IDE协议规定,因此IDE加密卡和密文卷可适用于任何型号的计算机,可适用于任何操作系统和网络环境。解决了数据库加密这个IT行业的一大难题。对既要求数据加密又要求使用数据库、OLAP(在线分析)、数据仓库、数据挖掘、人工决策等系统的用户来说,具有非常重要的应用价值。
权利要求
1.一种用于计算机数据加密装置的密文卷-IDE数据通道加密卡,其特征在于在计算机主机和硬盘连接的IDE通道上加一个数据加密卡,当主机向硬盘写数据时就加密,从硬盘中读数据就解密,密文卷作为第二硬盘存放加密数据。
2.如权利要求1所述的加密卡,其特征在于上述加密卡包括接口协议部分由一片FPGA或PLD器件及相应外围电路组成,负责与主机的通信,接收主机送来的所有IDE指令,将指令传给卡上的管理芯片CPU,经管理芯片处理后,返回相应的状态信号,该信号再由接口芯片组合成IDE返回信息供主机使用;数据通道管理主要由接口器件、双口RAM和管理芯片CPU等组成,双口RAM的两端分别接向IDE接口和硬盘接口,IDE接口连接主机,接受主机送来的数据和向主机返回数据,硬盘接口则是卡与硬盘的连接通道,双口RAM中数据的具体内容、传输方向等,则由管理芯片CPU来控制;硬盘管理加密卡的核心,具有对硬盘的完整管理体系,包括对硬盘的读写操作、特殊操作、授权操作等;数据加/解密在管理芯片CPU的控制下,由专用加密DSP芯片进行加/解密处理;IC卡控制用于存取和密钥管理。
3.如权利要求1所述的加密卡,其特征在于加密卡与硬盘组装在一个约146×42×170mm(五寸半高)大小的盒子里,可从主机前面板插拔。
全文摘要
密文卷-IDE数据通道加密卡是在计算机主机和硬盘连接的IDE通道上,加上一个数据加密卡,当主机向硬盘写数据时就加密,从硬盘中读数据就解密,密文卷成为计算机的第二硬盘。本发明可适用于任何型号的计算机,可适用于任何操作系统和网络环境,解决了数据库加密的IT行业的一大难题,对既要求数据加密又要求使用数据库、OLAP(在线分析)、数据仓库数据挖掘、人工决策等系统的用户来说,是非常有价值的。
文档编号G06F12/16GK1286434SQ00124500
公开日2001年3月7日 申请日期2000年9月13日 优先权日2000年9月13日
发明者张巨洪 申请人:张巨洪