本发明涉及计算机安全技术领域,尤其涉及一种基于FPGA的主机安全防护物理卡及其数据处理方法。
背景技术:
网络的发展在给人们带来便利的同时也引发了一系列的新问题。针对网络服务供应商的网络攻击屡屡发生,造成网络阻塞、瘫痪、丧失服务能力,有意或无意的非法操作主机造成主机被破坏,进而造成生产故障。网络安全技术日益引起人们的重视,针对网络攻击、入侵手段的复杂化,单一防火墙、入侵检测系统等保护手段越来越不能满足人们的需求。一个新的发展方向就是综合多种防护手段来提高系统的安全性。
技术实现要素:
本发明目的在于公开一种基于FPGA的主机安全防护物理卡及其数据处理方法,以确保主机的安全性。
为实现上述目的,本发明公开了一种基于FPGA的主机安全防护物理卡,包括FPGA芯片及其连接的数字信号处理器及存储器,还包括:
与被防护主机进行通信的通信接口;以及
在FPGA芯片的可配置逻辑模块中分别设置虚拟的身份认证单元、数据加密单元、入侵检测单元、防火墙单元、陷阱单元以及规则策略单元;
所述规则策略单元与所述身份认证单元、数据加密单元、入侵检测单元、防火墙单元、陷阱单元以及规则策略单元建立逻辑关联以根据本地固有的以及被防护主机上层应用所制定的各类规格策略进行联动;
所述身份认证单元,主要用于对访问被防护主机的合法用户及非法用户进行身份识别并阻止非法用户进行操作;
所述数据加密单元,主要用于对被防护主机关键进程的数据传输进行加密;
所述入侵检测单元,主要用于从被防护主机的进程中检测入侵行为,并在发现入侵行为后,记录引发报警的规则,并对规则进行格式转换后传送至所述规则策略单元以供所述防火墙单元进行加载并执行;
所述防火墙单元,主要用于从所述规则策略单元获取各类规则策略以阻止对被防护主机的入侵行为;
所述陷阱单元,用于在被防护主机的进程受干扰后,通过软件陷阱技术恢复被防护主机的正常进程。
与上述物理卡相对应的,本发明还公开一种基于FPGA的主机安全防护物理卡的数据处理方法,包括:
所述物理卡监听被防护主机的进程,以及调用在FPGA芯片可配置逻辑模块中所设置的身份认证单元、数据加密单元、入侵检测单元、防火墙单元以及陷阱单元以根据规则策略单元固有的以及被防护主机上层应用所制定的各类规格策略进行安全防护联动;具体包括:
所述身份认证单元对访问被防护主机的合法用户及非法用户进行身份识别并阻止非法用户进行操作;
所述数据加密单元对被防护主机关键进程的数据传输进行加密;
所述入侵检测单元从被防护主机的进程中检测入侵行为,并在发现入侵行为后,记录引发报警的规则,并对规则进行格式转换后传送至所述规则策略单元以供所述防火墙单元进行加载并执行;
所述防火墙单元从所述规则策略单元获取各类规则策略以阻止对被防护主机的入侵行为;以及
所述陷阱单元在被防护主机的进程受干扰后,通过软件陷阱技术恢复被防护主机的正常进程。
本发明具有以下有益效果:
基于FPGA的可配置逻辑资源虚拟了对主机进行多重保护的功能单元,且各功能单元之间进行合理的分工及联动,精简成本、缩短开发时间的同时,还确保了主机的安全性。而且,基于FPGA便捷的在线更新,使得产品的维护方便且可实现对主机的定制化保护。
下面将参照附图,对本发明作进一步详细的说明。
附图说明
构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例公开的安全防护物理卡与主机的通信连接框图;
图2为本发明实施例公开的安全防护物理卡的结构框图。
具体实施方式
以下结合附图对本发明的实施例进行详细说明,但是本发明可以由权利要求限定和覆盖的多种不同方式实施。
实施例1
本实施例公开一种基于FPGA的主机安全防护物理卡。
如图1和图2所示,本实施例安全防护物理卡包括FPGA芯片及其连接的数字信号处理器及存储器(包括内存和缓存),以及还包括:与被防护主机进行通信的通信接口(如图1所示的PCI接口或图2所示的PCIE接口)。
本实施例中,在FPGA芯片的可配置逻辑模块中分别设置虚拟的身份认证单元、数据加密单元、入侵检测单元、防火墙单元、陷阱单元以及规则策略单元。其中,规则策略单元与身份认证单元、数据加密单元、入侵检测单元、防火墙单元、陷阱单元以及规则策略单元建立逻辑关联以根据本地固有的以及被防护主机上层应用所制定的各类规格策略进行联动。各单元的功能分述如下:
身份认证单元,主要用于对访问被防护主机的合法用户及非法用户进行身份识别并阻止非法用户进行操作。
数据加密单元,主要用于对被防护主机关键进程的数据传输进行加密。
入侵检测单元,主要用于从被防护主机的进程中检测入侵行为,并在发现入侵行为后,记录引发报警的规则,并对规则进行格式转换后传送至规则策略单元以供防火墙单元进行加载并执行。其中,可选地,将入侵检测的规则格式转换为防火墙单元可以执行的规则,还可通过主机的软/硬件交互界面进行辅助处理,进一步的,用户可以通过主机相关应用层的交互界面修改规则和配置,实现了对主机更好的保护。
可选地,本实施例入侵检测单元可采用开源Snort入侵检测系统,在此基础上进行修改使之完成对数据包进行预处理,完成规则分析和特征检测功能。
防火墙单元,主要用于从规则策略单元获取各类规则策略以阻止对被防护主机的入侵行为。例如:根据数据包的头部信息完成最基本的静态过滤,阻断访问服务器未开放服务的数据包。
陷阱单元,用于在被防护主机的进程受干扰后,通过软件陷阱技术恢复被防护主机的正常进程。
优选地,本实施例安全防护物理卡上还集成有指示灯和声光报警装置以方便用户使用及维护并及时发现相关告警。
实施例2
与上述安全防护物理卡相对应的,本实施例公开一种基于FPGA的主机安全防护物理卡的数据处理方法,主要包括:
物理卡监听被防护主机的进程,以及调用在FPGA芯片可配置逻辑模块中所设置的身份认证单元、数据加密单元、入侵检测单元、防火墙单元以及陷阱单元以根据规则策略单元固有的以及被防护主机上层应用所制定的各类规格策略进行安全防护联动。
具体的,本实施例的安全防护联动包括下述几方面:
a、身份认证单元对访问被防护主机的合法用户及非法用户进行身份识别并阻止非法用户进行操作;
b、数据加密单元对被防护主机关键进程的数据传输进行加密;
c、入侵检测单元从被防护主机的进程中检测入侵行为,并在发现入侵行为后,记录引发报警的规则,并对规则进行格式转换后传送至规则策略单元以供防火墙单元进行加载并执行;
d、防火墙单元从规则策略单元获取各类规则策略以阻止对被防护主机的入侵行为;以及
e、陷阱单元在被防护主机的进程受干扰后,通过软件陷阱技术恢复被防护主机的正常进程。
综上,本发明上述各实施例公开的基于FPGA的主机安全防护物理卡及其数据处理方法,具有以下有益效果:
基于FPGA的可配置逻辑资源虚拟了对主机进行多重保护的功能单元,且各功能单元之间进行合理的分工及联动,精简成本、缩短开发时间的同时,还确保了主机的安全性。而且,基于FPGA便捷的在线更新,使得产品的维护方便且可实现对主机的定制化保护。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。