专利名称:一种内嵌计算机的数据上载传输扩展卡装置的制作方法
技术领域:
本发明涉及一种内嵌计算机的数据上载传输扩展卡装置,它属于数据安全防 护技术领域。
技术背景由于国家信息安全的需要,部队、机关单位和涉密企业都面临如何保证低密 级设备(包括低密级计算机或低密级存储体,比如U盘、移动硬盘、CF卡、数 码相机、手机等)向高密级设备(包括高密级计算机或高密级存储存储体等)安 全地传送文件数据。所谓安全就是必须保证在进行数据的拷贝操作过程中,数据 只能是单向从低密级设备到高密级设备,而高密级设备中的涉密数据不会泄密到 低密级的设备。目前通常使用的方法是物理隔绝不同密级的设备,或人工采用便 携式存储设备(比如CF卡、记忆棒、U盘、活动硬盘等)从低密级的计算机 设备中拷贝数据,再将便携式存储设备上的数据拷贝到高密级设备中。这种方法 不仅效率低,而且,如果便携式设备中如有类似木马病毒,或者人为差错,都将 导致涉密数据的泄漏。在公开专利CN200710129797.5中提出了一种解决上述问 题的系统,但该系统涉及的数据单向传输装置是外置于计算机,不能内置计算机, 因此该装置每次上电使用时,用户必须手工把两个存储设备连入该数据传输装置 的两个接口,对于经常使用该装置的用户会觉得繁琐,另外对于空间有限的用户 或者不喜欢在计算机外置设备的用户来说,都会希望所有外设能内置。另外,外 置于计算机的数据单向传输装置必须连接计算机的一个接口,而这些接口均是双 向数据接口,因此用户可以非法跳过数据单向传输装置,直接把存储体设备与涉 密计算机的数据接口连接进行拷贝数据,因此这种外置的数据传输装置对于涉密 计算机来说仍存在一定的风险。如图4是在公开专利CN200710129797.5中提出 的单向数据传输装置的结构,其中的处理器需要完成系统内部所有的逻辑控制、 所有数据读取、所有数据处理以及数据输出的功能,导致系统只能处于一种串行 的工作状态,因此对处理器的性能要求非常高,提高了系统的成本,同时也限制 了系统的数据传输速度,特别是在传输例如图像、视频等大容量数据文件时,用
户等待数据传输的时间会很长。另外,该专利涉及的系统没有对单向数据传输操 作过程中的关键历史信息进行安全记录,因此对失泄密事件后的查证工作无法提 供有力的证据,不便于保密管理工作。发明内容本发明针对现有涉密设备安全使用技术中存在的不足,特别是针对公开专利 CN200710129797.5中的技术不足提出了一种内嵌计算机的数据上载传输扩展卡 装置,保证安装了该装置的涉密计算机的外部存储设备通过该装置只能单向拷贝 数据进计算机,确保了在数据拷贝过程中计算机内数据的安全,通过对涉密计算 机的其它双向数据输入和输出接口的控制或物理限制,可以防止用户非法跳过数 据单向传输装置,直接通过涉密计算机的双向数据输入和输出接口拷贝数据,从防止主观窃密的角度考虑,本发明提出的装置比使用外置数据单向传输装置的涉 密计算机更加的安全。另外,本发明涉及的装置采用了高速的数据通道单元和计 算机内的高速数据扩展插槽接口进行数据的传输,大大提高了数据传输装置的数 据传输速度,同时也降低了成本。进一步,本发明涉及的装置内部采用非易失性 存储单元存储该装置操作的历史记录,并且该装置还具有唯一识别号(ID号),因此对失泄密事件后的查证工作提供了一种有力的证据,极大地方便了保密管理 工作。本发明的特征在于一种内嵌计算机的数据上载传输扩展卡装置,所述装置包括 数据单向传输模块,用于从需要进行数据保护的目标计算机以外的存储体或 计算机中获取文件数据,并把该文件数据单向传输至目标计算机的扩展槽接口; 计算机扩展槽接口单元,连接于数据单项传输模块,用以在数据单向传输模块的控制下,从数据单向传输模块获取文件数据,完成与需要进行数据保护的目标计算机扩展槽接口的通信控制,并输出文件数据至该目标计算机;所述数据单向传输模块包括 存储单元,是一种非易失性存储器; 只读存储单元,是一种只读存储器;控制单元,连接于存储单元和只读存储单元,用于控制装置内所有其它单元
的工作状态,控制计算机扩展槽接口单元和数据输入接口单元获取要传输的数据 文件信息和时间信息,并作为历史数据写入存储单元,从存储单元读出历史数据 以及只读存储单元中读出装置的唯一识别号,输出到数据通道单元接口;数据输入接口单元,连接于控制单元,用以与需要进行数据保护的目标计算 机以外存储体设备或计算机设备的接口通信控制与文件数据读入,并把读入文件 数据输出至数据通道单元;数据通道单元,连接于数据输入接口单元和控制单元,接收来自数据输入接 口单元的输出数据以及接收来自控制单元输出的历史数据和装置的唯一识别号, 并把该数据单向传输至数据输出单元;数据输出单元,连接于数据通道单元、控制单元、计算机扩展槽接口单元, 用以把从数据通道单元读取的数据传输至计算机扩展槽接口单元。所述的只读存储单元存储了装置的唯一识别号。 所述数据通道单元包括,数据接收通道,用于接收来自数据输入接口单元的数据以及来自控制单元输 出的历史数据和识别信号,并把接收的数据写入数据缓冲区;数据缓冲区,连接于数据接收通道,用于传输数据的缓冲存储介质;数据发送通道,连接于数据接收通道和数据缓冲区,用以从数据缓冲区读取 数据,并把该数据输出至数据输出单元。所述数据缓冲区具有同时进行读和写数据操作能力的存储模块。所述的数据通道单元可以采用FPGA或者采用FPGA+静态随机存储芯片构成。所述的控制单元采用低性能的处理器或FPGA实现。 所述的数据单向传输模块和计算机扩展槽接口单元采用SOC技术实现.。 本发明具有以下积极效果 1)本发明涉及的内嵌计算机的数据上载传输扩展卡装置是一种内置计算机的插件卡,解决了不适合数据单向传输装置外置于计算机外的情况,同时,通过对涉 密计算机的其它输入和输出接口的控制或物理限制,可以防止用户非法跳过数据单向传输装置,直接通过涉密计算机的双向数据接口拷贝数据,从防止主观窃密 的角度考虑,本发明提出的装置比使用外置数据单向传输装置的涉密计算机更加 的安全。2) 本发明涉及的内嵌计算机的数据上载传输扩展卡装置中采用了一种的高速数 据通道单元和计算机内的高速数据扩展插槽接口进行数据的传输,可以提高装置 的数据传输速度,且降低了数据传输装置的成本。3) 本发明涉及的内嵌计算机的数据上载传输扩展卡装置内部采用非易失性存储 单元存储该装置操作的历史记录,并且该装置还具有唯一识别号,因此对失泄密 事件后的査证工作提供了一种有力的证据,极大地方便了保密管理工作。
图l.本发明的系统示意图。图2.工作方式一的示意图。图3.工作方式二的示意图。图4.现有技术中的数据单向传输器结构图5.内嵌计算机的数据上载传输扩展卡装置结构。图6.数据通道单元的硬件结构。
具体实施方式
图1是要涉及系统的简单示意,其中"内嵌计算机的数据上载传输扩展卡装 置"是本发明要实现的硬件核心装置。该装置主要有两个接口, 一个是A口即数 据输入接口 (该接口可采用COM口、 USB接口、 IDE接口、并口、以太网口或者 其它存储设备接口等),用来连接低密级的存储设备(该设备可以是U盘、移动 硬盘、CF卡、SD卡、带存储体的手机、数码相机、计算机等等),以及与该存储 设备的接口通信控制与数据读入,并把读入数据输出至数据通道单元;另一个是 B口即数据输出接口 (该接口可以是与计算机内的扩展槽相连的接口,比如PCI 接口、 PCI-Express接口、 AGP接口、 ISA接口、 EISA接口、 CNR接口、 ACR接口、 WI-FI接口、 VXB接口以及PCMCIA接口等),用来与计算机扩展槽接口的通信控 制和输出数据至计算机。在工作时,A 口连接的低密级存储设备的数据通过内嵌 计算机的数据上载传输扩展卡装置的A 口读入,然后再通过B 口把读入的数据输 出到涉密计算机。为了保证B 口连接的计算机中的涉密数据不会泄漏到与A 口连 接的低密级设备中,本发明涉及的内嵌计算机的数据上载传输扩展卡装置的数据 传输方向是单向的,即数据只能从A 口输入到B 口输出,设计上不容许从B 口到 A口的数据传输,绝对保证了数据的安全性。根据要实现的功能,系统提供两种工作方式1) 低密级存储体单向拷贝数据到高密级计算机的工作方式,如图2所示。操 作过程如下操作人员把数据传输装置的B 口连接高密级计算机,该接口可以 是COM口、并口、 USB、网络接口,然后把低密级移动硬盘或U盘等存储体连接 数据传输装置的A 口,最后操作人员通过在高密级计算机上安装的与数据传输装置通信的专用软件来实现安全拷贝低密级移动硬盘或u盘的数据。2) 低密级计算机单向拷贝本机数据到高密级计算机的工作方式,如图3所示, 其中内嵌计算机的数据上载传输扩展卡装置安装在高密级计算机内。操作过程如 下操作人员把数据传输装置的B 口连接高密级计算机,然后把数据传输装置A 口连接低密级计算机,操作人员在高密级计算机中运行专用软件处于数据接收状 态,然后再在低密级计算机上通过设计的专用软件来把要拷贝的数据选择传输即 可。本发明装置的实施例采用如图5所示结构,该装置主要是由计算机扩展槽接 口单元和数据单向传输模块组成,数据单向传输模块用于从需要进行数据保护的 计算机(即高密级计算机)以外的相对低密级存储体或计算机中获取文件数据, 并把该文件数据单向传输至计算机扩展槽接口单元,最后输出至需要进行数据保 护的高密级计算机扩展槽接口 ;数据单向传输模块完成用于从需要进行数据保护 的高密级计算机以外的低密级存储体或计算机中获取文件数据,并把该数据单向 传输至需要进行数据保护的计算机的扩展槽接口,它包括数据输入接口单元,数 据通道单元,数据输出单元,存储单元,只读存储单元和控制单元。在该装置中, 控制单元是整个系统的控制核心,用于控制装置内所有其它单元的工作状态,控 制计算机扩展槽接口单元(完成与计算机扩展槽接口的通信控制,简单的文件属 性信息和时间信息的获取,以及从数据单向传输模块获取文件数据,并把该文件 数据输出至计算机)从计算机获取要传输的数据文件信息和计算机的当前时间信 息,并写入存储单元作为历史数据,从存储单元读出历史数据以及只读存储单元 中读出该装置的唯一ID号,当要从内嵌于高密级计算机内的数据上载传输扩展 卡装置中读出历史数据时,控制单元可从存储单元中读出历史数据以及从只读存 储单元读出该装置的唯一ID号,并通过计算机扩展槽接口单元输出至计算机。
当内嵌计算机的数据上载传输扩展卡装置的A 口连接的是类似磁盘的存储 体时,即工作方式一的情况下,该装置的控制单元通过控制数据输入接口单元(该 单元完成与低密级存储体接口的通信控制协议与文件数据读入,并把读入数据输 出到数据通道单元)从低密级存储体获取其逻辑分区信息,然后通过控制数据通 道单元传输到数据输出单元和计算机扩展槽接口单元,再输出到B 口相连接的 高密级计算机(然后计算机可以对感兴趣的逻辑分区进行文件目录和文件相关信 息的获取),接着控制单元控制计算机扩展槽接口单元接收来自高密级计算机发 出的获取低密级存储体的目录与文件信息的命令,并根据该命令控制数据输入接 口单元从A 口的存储体获取该指定信息,然后控制单元把获取的信息再通过计 算机扩展槽接口单元传输到高密级计算机。接着,高密级计算机根据读取的目录 与文件信息,指定要传输的低密级存储体中的文件,并把指定要传输的文件信息 (文件名、文件创建时间、文件大小等信息)以及计算机的当前时间信息发送给 计算机扩展槽接口单元,控制单元从计算机扩展槽接口单元获取该信息,并把该文件信息和计算机当前的时间信息写入存储单元(非易失性存储器)作为历史数 据,最后控制单元通过控制数据输入接口单元从A 口的低密级存储体获取指定 文件数据,并控制把该数据传输至数据通道单元、数据输出接口单元以及计算机 扩展槽接口单元,最后输出到B 口相连接的高密级计算机。每个文件的传输过 程依次往复进行,直到所有文件传输完毕。其中的数据通道单元的结构如图6所示,它包括数据接收通道、数据缓冲区 和数据发送通道。在数据文件传输过程中其作用是用来接收来自数据输入接口单 元的输出数据,并把该数据单向输出至数据输出单元。当开始进行数据传输时, 控制单元会向数据通道单元发送开始传输数据的命令,数据接收通道和数据发送 通道均处于数据接收就绪状态,同时数据发送通道向数据接收通道发送数据就绪 控制信号,数据接收通道收到该信号后,再向数据输入接口单元发送数据就绪的 控制信号,当数据接收通道接收到数据后则写入数据缓存区,由数据发送通道从 数据缓存区中再读出这些数据输出到数据输出接口单元,完成数据的传输工作。 在整个数据传输过程中,若该装置与计算机间的数据传输率低于磁盘数据的读取 率时,会出现数据缓存区满的情况,因此计算机扩展槽接口单元会向数据输出单 元发送未就绪的状态控制信号,数据输出单元传递该信号至数据发送通道,然后数据发送通道会向数据接收通道发送未就绪的状态控制信号暂停数据传输的控 制信号,数据接收通道再向控制单元以及数据输入接口单元发送数据传输暂停控 制信号,暂停从磁盘读取数据,防止因数据缓冲区写满导致的数据丢失,考虑目 前计算机接口的数据传输率一般要高于磁盘接口的数据传输率(因为磁盘数据的 读取速率要低于计算机接口的最高速率)的实际情况,只会由于操作系统的非实 时性会偶尔导致计算机接口速率低于磁盘的读取速率,同时考虑成本的因素,本 实施例优选在数据通道单元内的数据缓存区设置在64K字节,且具有同时读和 写操作功能,因此可以实现数据通道单元同时对数据的读入和输出操作,这样传 输装置实现了在读取磁盘数据的过程中同时在向计算机传输数据,提高了数据的 传输速度。因此本发明提出数据传输装置的数据传输过程不会出现如图4所示由 于处理器的处理能力不够导致的数据传输速度下降,对处理器的性能要求也不 高,采用的数据通道单元的硬件结构,且其数据传输速率会远高于图4所示只采 用单处理器结构。本实施例优选采用的由两块同样32K大小的SRAM组成的乒 乓读写存储器,当然该缓存区也可以是采用双端口RAM组成,或者是其它类型 具有同时读写功能的存储介质。每一个内嵌计算机的数据上载传输扩展卡装置在出厂前对只读只读存储单 元内写入了一个唯一的ID识别号,本实施例优选该ID识别号由32比特组成, 这样能够保证该装置和用户能唯一对应,以便于对装置的统一管理和以后的保密 检查和查证工作。当在对该装置存储的历史数据进行下载时,则计算机向B 口 的计算机扩展槽接口单元发送査寻历史数据的指令,控制单元通过该接口单元获 得指令后,把存储在只读存储单元中的ID号以及存储单元中满足条件的历史数 据读出,写入数据通道单元的数据接收通道,接下来的数据传输过程和前面所述 的磁盘文件数据传输过程完全相同,因此不再赘叙述。为了保证历史数据的真实 性,存储单元的数据不能被删除,只有在存储单元的空间满时,采用新历史记录 覆盖旧历史数据的方法,本实施例中存储单元的存储空间优选为1G字节。工作方式二和工作方式一的区别是,传输装置的A 口连接的低密级存储设 备为计算机,首先控制单元控制数据输入接口单元(该单元完成与低密级计算机 接口的通信协议与文件数据读入,并把读入数据输出到数据通道单元)接收来自 低密级计算机发出传输指定的低密级计算机内数据文件到高密级计算机的指令,
该指令还包含了要传输的文件信息(文件名、文件创建时间、文件大小等信息)以及计算机的当前时间信息,控制单元从指令中提取出文件信息和时间信息并写 入存储单元作为历史数据,且控制数据输入接口单元、数据通道单元以及数据输 出单元、计算机扩展槽接口单元处于数据接收和传输状态。最后控制单元通过控 制数据输入接口单元从A 口的低密级计算机获取指定文件数据,并控制把该数 据传输至数据通道单元、数据输出单元、计算机扩展槽接口单元,最后输出到B 口相连接的高密级计算机中。每个文件的传输过程依次往复进行,直到所有文件 传输完毕。数据通道的工作原理和数据传输装置的历史数据获取过程与工作方式一基 本相同,因此不再赘述。上述对本发明提出的内嵌计算机的数据上载传输扩展卡装置的两个实施例 原理介绍可以知道,该装置的文件数据传输单向性是由数据通道单元的数据传输 单向性来决定,确保了低密级存储设备在向高密级计算机的传输数据过程中的单 向安全性。其中核心的控制单元可以采用处理器或是FPGA实现,也可以采用 ASIC设计,而数据通道单元可以采用FPGA或者采用FPGA+静态随机存储芯片 构成,另外控制单元和数据通道单元也可采用SOC (system on chip)设计技术 实现单芯片集成,因此本发明提出的数据传输装置与图4所示的现有技术相比, 装置对处理器的性能要求不高,能够降低数据传输装置的成本,同时还能提高数 据的传输速度。另外,通过对涉密计算机的其它输入和输出接口的控制或物理限 制,可以防止用户非法跳过数据单向传输装置,直接通过涉密计算机自带的双向 数据接口 (例如USB接口、网络接口、并口、串口、红外接口等)进行拷贝数 据,从防止主观窃密的角度考虑,本发明提出的内置装置比使用外置数据单向传 输装置的涉密计算机更加的安全,例如可以物理上隔离或去除计算机自带的USB 接口,或者使用其它方式物理限制USB接口的使用,就能够防止用户非法把带 USB接口的移动硬盘或U盘插入计算机自带的USB接口进行数据的拷贝而导致 的泄密。以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的技 术方案所作的等效变换、替换,均应包含在本发明的保护范围之内。
权利要求
1、一种内嵌计算机的数据上载传输扩展卡装置,其特征在于,所述装置置于目标计算机内,所述装置包括数据单向传输模块,用于从需要进行数据保护的目标计算机以外的存储体或计算机中获取文件数据,并把该文件数据单向传输至目标计算机的扩展槽接口;计算机扩展槽接口单元,连接于数据单项传输模块,用以在数据单向传输模块的控制下,从数据单向传输模块获取文件数据,完成与需要进行数据保护的目标计算机扩展槽接口的通信控制,并输出文件数据至该目标计算机。
2、如权利要求l所述的一种内嵌计算机的数据上载传输扩展卡装置,其特 征在于,所述数据单向传输模块包括存储单元,是一种非易失性存储器;只读存储单元,是一种只读存储器;控制单元,连接于存储单元和只读存储单元,用于控制装置内所有其它单元 的工作状态,控制计算机扩展槽接口单元和数据输入接口单元获取要传输的数据 文件信息和时间信息,并作为历史数据写入存储单元,从存储单元读出历史数据 以及只读存储单元中读出装置的唯一识别号,输出到数据通道单元接口;数据输入接口单元,连接于控制单元,用以与需要进行数据保护的目标计算 机以外存储体设备或计算机设备的接口通信控制与文件数据读入,并把读入文件 数据输出至数据通道单元;数据通道单元,连接于数据输入接口单元和控制单元,接收来自数据输入接 口单元的输出数据以及接收来自控制单元输出的历史数据和装置的唯一识别号,并把该数据单向传输至数据输出单元;数据输出单元,连接于数据通道单元、控制单元、计算机扩展槽接口单元,用以把从数据通道单元读取的数据传输至计算机扩展槽接口单元。
3、 如权利要求2所述的一种内嵌计算机的数据上载传输扩展卡装置,其特 征在于,所述的只读存储单元存储了装置的唯一识别号。
4、 如权利要求2所述的一种内嵌计算机的数据上载传输扩展卡装置,其特 征在于,所述数据通道单元包括,数据接收通道,用于接收来自数据输入接口单元的数据以及来自控制单元输出的历史数据和识别信号,并把接收的数据写入数据缓冲区;数据缓冲区,连接于数据接收通道,用于传输数据的缓冲存储介质; 数据发送通道,连接于数据接收通道和数据缓冲区,用以从数据缓冲区读取数据,并把该数据输出至数据输出单元。
5、 如权利要求4所述的一种内嵌计算机的数据上载传输扩展卡装置,其特 征在于,所述数据缓冲区具有同时进行读和写数据操作能力的存储模块。
6、 如权利要求2所述的一种内嵌计算机的数据上载传输扩展卡装置,其特 征在于所述的数据通道单元可以采用FPGA或者采用FPGA+静态随机存储芯 片构成。
7、 如权利要求2所述的一种内嵌计算机的数据上载传输扩展卡装置,其特 征在于所述的控制单元采用低性能的处理器或FPGA实现。
8、 如权利要求1或2所述的一种内嵌计算机的数据上载传输扩展卡装置, 其特征在于所述的数据单向传输模块和计算机扩展槽接口单元采用SOC技术 实现.。全文摘要
本发明涉及一种内嵌计算机的数据上载传输扩展卡装置,所述装置内置于目标计算机内,该装置由数据单向传输模块和计算机扩展槽接口单元构成,数据单向传输模块由数据通道单元、数据输入接口单元、控制单元和数据输出单元、存储单元、只读存储单元构成。该装置是一种把计算机外存储设备上的数据单向传输到计算机内的装置,该装置具有唯一的识别号,采用非易失性存储单元存储该装置操作的历史记录,提高了装置的保密管理性能,同时该装置采用了数据通道单元和计算机内的高速数据扩展插槽接口,大大提高了数据的传输速度。
文档编号G06F21/00GK101398877SQ20081022684
公开日2009年4月1日 申请日期2008年11月18日 优先权日2008年11月18日
发明者军 罗, 勇 罗, 翔 谢, 谧 谢 申请人:谢 翔;罗 勇