专利名称:一种内嵌计算机的数据下载传输扩展卡装置的制作方法
技术领域:
本发明涉及一种内嵌计算机的数据下载传输扩展卡装置,它属于数据安全防 护技术领域。
背景技术:
由于国家信息安全的需要,部队、机关单位和涉密企业都面临如何保证低密 级设备(包括低密级计算机或低密级存储体,比如U盘、移动硬盘、CF卡、数 码相机、手机等)向高密级设备(包括高密级计算机或高密级存储存储体等)安 全地传送文件数据。所谓安全就是必须保证在进行数据的拷贝操作过程中,数据 只能是单向从低密级设备到高密级设备,而高密级设备中的涉密数据不会泄密到 低密级的设备。目前通常使用的方法是物理隔绝不同密级的设备,或人工采用便 携式存储设备(比如CF卡、记忆棒、U盘、活动硬盘等)从低密级的计算机 设备中拷贝数据,再将便携式存储设备上的数据拷贝到高密级设备中。这种方法 不仅效率低,而且,如果便携式设备中如有类似木马病毒,或者人为差错,都将 导致涉密数据的泄漏。在公开专利CN200710129797.5中提出了一种解决上述问 题的系统,但该系统涉及的数据单向传输装置是外置于计算机,不能内置计算机, 因此该装置每次上电使用时,用户必须手工把两个存储设备连入该数据传输装置 的两个接口,对于经常使用该装置的用户会觉得繁琐,另外对于空间有限的用户 或者不喜欢在计算机外置设备的用户来说,都会希望所有外设都能内置。另外, 外置于计算机的数据单向传输装置必须连接计算机的一个接口,而这些接口均是 双向数据接口,因此用户可以非法跳过数据单向传输装置,直接通过涉密计算机 的接口拷贝数据,无法防止拷贝过程中的主观窃密,对于涉密存储设备来说仍存 在一定风险。如图4是在公开专利CN200710129797.5中提出的单向数据传输装 置的结构,其中的处理器需要完成系统内部所有的逻辑控制、所有数据读取、所 有数据处理以及数据输出的功能,导致系统只能处于一种串行的工作状态,因此 对处理器的性能要求非常高,提高了系统的成本,同时也限制了系统的数据传输速度,特别是在传输例如图像、视频等大容量数据文件时,用户等待数据传输的 时间会很长。另外,该专利涉及的系统没有对单向数据传输操作过程中的关键历 史信息进行安全记录,因此对失泄密事件后的查证工作无法提供有力的证据,不 便于保密管理工作。
发明内容
本发明针对现有涉密设备安全使用技术中存在的不足,特别是针对公开专利 CN200710129797.5中的技术不足提出了一种内嵌计算机的数据下载传输扩展卡 装置,当"非安全"(定义低密级设备相对高密级设备则称为"非安全"设备) 计算机安装了该装置后,用户可以通过该装置把"非安全"计算机内的数据单向 传输至外部涉密存储设备中,确保在数据拷贝过程中相对计算机为高密级的外部 存储设备内数据的安全,通过对这种"非安全"计算机的其它输入和输出接口的 物理限制,可以防止用户非法跳过数据单向传输装置,直接通过"非安全"计算 机的接口进行数据拷贝,排除了人为因素导致的主观和客观失泄密,因此这种内 置于计算机内的数据单向传输装置比外置数据单向传输装置更加的安全。另外,
本发明涉及的装置采用了数据通道单元和计算机内的高速数据扩展插槽接口进 行数据的传输,大大提高了数据传输装置的数据传输速度,同时也降低了成本。 进一步,本发明涉及的装置内部采用非易失性存储单元存储该装置操作的历史记
录,并且该装置还具有唯一识别号(ID号),因此对失泄密事件后的查证工作提 供了一种有力的证据,极大地方便了保密管理工作。 本发明的特征在于
一种内嵌计算机的数据下载传输扩展卡装置,所述装置内置于目标计算机 内,所述装置包括-
数据单向传输模块,用于从计算机扩展槽接口单元获取目标计算机内的文件 数据,并把该数据单向输出至目标计算机外部的存储体设备或计算机设备;
计算机扩展槽接口单元,在数据单向传输模块的控制下,与目标计算机扩展 槽接口进行通信控制,以及从目标计算机获取文件数据。
所述数据单向传输模块包括
存储单元,是一种非易失性存储器;只读存储单元,是一种只读存储器,
控制单元,连接于存储单元和只读存储单元,用以控制装置内所有其它单元 的工作状态,控制计算机扩展槽接口单元获取计算机要传输的数据文件信息和时 间信息,并作为历史数据写入存储单元,从存储单元读出历史数据以及只读存储 单元中读出识别号,并输出到数据通道单元接口;
数据输出接口单元,连接于控制单元,用以与目标计算机外的存储体设备和 计算机设备的接口通信控制与数据输出;
数据通道单元,连接于数据输出接口单元和控制单元,用以接收来自数据输 入单元的输出数据以及接收来自控制单元输出的历史数据和识别号,并把该数据
单向传输至数据输出接口单元;
数据输入单元,连接于数据通道单元、控制单元、计算机扩展槽接口单元,
用以从计算机扩展槽接口单元读取数据,并把该数据传输至数据通道单元。 所述的只读存储单元存储了该装置的唯一识别号。 所述数据通道单元包括, 数据接收通道,用于接收来自数据输入单元的数据以及来自控制单元输出的
历史数据和识别信号,并把接收的数据写入数据缓冲区;
数据缓冲区,连接于数据接收通道,用于传输数据的缓冲;
数据发送通道,连接于数据接收通道和数据缓冲区,用以从数据缓冲区读取
数据,并把该数据输出至数据输出接口单元。
所述数据缓冲区具有同时进行读和写数据操作能力的存储模块。 所述的数据通道单元可以采用FPGA或者采用FPGA+静态随机存储芯片构成。
所述的控制单元采用低性能的处理器或FPGA实现。 所述的数据单向传输模块和计算机扩展槽接口单元采用SOC实现。 本发明具有以下积极效果 1)本发明涉及的内嵌计算机的数据下载传输扩展卡装置是一种内置计算机的插
件卡,解决了不适合数据单向传输装置外置于计算机外的情况,同时,通过对"非 安全"计算机的其它输入和输出接口的限制,可以防止用户非法跳过数据单向传 输装置,直接通过"非安全"计算机的接口进行数据拷贝,排除了拷贝过程中人为因素导致的主、客观原因造成的失泄密,因此,从防止主观窃密的角度考虑, 这种内置于计算机内的"内嵌计算机的数据下载传输扩展卡装置"比外置的数据 单向传输装置更加的安全。
2) 本发明涉及的内嵌计算机的数据下载传输扩展卡装置中采用了一种的数据通 道单元和计算机内的高速数据扩展插槽接口进行数据的传输,可以提高装置的数
据传输速度,且降低了数据传输装置的成本。
3) 本发明涉及的内嵌计算机的数据下载传输扩展卡装置内部采用非易失性存储 单元存储该装置操作的历史记录,并且该装置还具有唯一识别号,因此对失泄密 事件后的査证工作提供了一种有力的证据,极大地方便了保密管理工作。
图l.本发明的系统示意图。 图2.工作方式一的示意图。 图3.工作方式二的示意图。 图4.现有技术中的数据单向传输器结构 图5.内嵌计算机的数据下载传输扩展卡装置结构。 图6.数据通道单元的硬件结构。
具体实施例方式
图1是要涉及系统的简单示意,其中"内嵌计算机的数据下载传输扩展卡 装置"是本发明要实现的核心硬件装置。该装置主要有两个接口, 一个是A口即 "非安全"计算机扩展槽接口单元(该接口可以是与计算机内的扩展槽相连的接 口,比如PCI接口、 PCI-Express接口、 AGP接口、 ISA接口、 EISA接口、 CNR 接口、 ACR接口、 WI-FI接口、 VXB接口以及PCMCIA接口等),用来与"非安全" 计算机扩展槽接口的通信控制和从"非安全"计算机读入文件数据;另一个是B 口即数据输出接口单元(该接口可釆用COM口、 USB接口、 IDE接口、并口、以 太网口或者其它存储设备接口等),用来连接高密级的存储设备(该设备可以是 U盘、移动硬盘、CF卡、SD卡、带存储体的手机、数码相机、计算机等),以及 与该存储设备的接口通信控制与文件数据输出。在工作时,"非安全"计算机通 过内嵌计算机的数据下载传输扩展卡装置的A 口输出该计算机内的文件数据,然 后再通过B 口把该数据单向输出到涉密存储设备中。为了保证B 口连接的涉密存储设备中的涉密数据不会泄漏到与A 口连接的"非安全"计算机中,本发明涉及
的内嵌计算机的数据下载传输扩展卡装置的数据传输方向是单向的,即数据只能
从A 口输入到B 口输出,设计上不容许从B 口到A 口的数据传输,绝对保证了数 据拷贝过程中的安全性。
根据要实现的功能,系统提供两种工作方式-
1) 低密级计算机单向拷贝本机数据到高密级存储体的工作方式,其中内嵌计 算机的数据下载传输扩展卡装置安装在低密级计算机内,如图2所示。操作过程 如下操作人员把内嵌计算机的数据下载传输扩展卡装置的A 口连接低密级计 算机,然后把高密级移动硬盘或U盘等存储体连接该装置的B 口,最后操作人 员在低密级计算机上安装的与该数据传输装置通信的专用软件来把计算机中的 文件数据通过该装置单向拷贝到高密级移动硬盘或U盘等存储体。
2) 低密级计算机单向拷贝本机数据到高密级计算机的工作方式,如图3所示, 其中内嵌计算机的数据下载传输扩展卡装置安装在低密级计算机内。操作过程如 下操作人员把该数据传输装置的B 口连接高密级计算机,然后把数据传输装 置A 口连接低密级计算机,操作人员在高密级计算机中运行专用软件处于数据 接收状态,然后再在低密级计算机上通过设计的专用软件来把要拷贝的数据选择 传输即可。
本发明装置的实施例采用如图5所示结构,该装置主要是由计算机扩展槽接 口单元和数据单向传输模块组成,计算机扩展槽接口单元在数据单向传输模块的 控制下,完成与该装置所内置的目标计算机扩展槽接口的通信控制,以及从该目 标计算机中获取文件数据;数据单向传输模块用于从该装置内置的目标计算机扩 展槽接口单元获取文件数据,并把该数据单向输出至目标计算机外部的存储设 备,它包括数据输入单元,数据通道单元,数据输出接口单元,存储单元,只读 存储单元和控制单元组成。在该装置中,控制单元是整个系统的控制核心,用于
控制装置内所有其它单元的工作状态,控制计算机扩展槽接口单元(完成与计算 机扩展槽接口的通信控制以及从计算机读入文件数据)从计算机获取要传输的数 据文件信息和计算机的当前时间信息,并写入存储单元作为历史数据,从存储单 元读出历史数据以及只读存储单元中读出ID号,当要从内嵌计算机的数据下载 传输扩展卡装置中读出历史数据时,控制单元可从存储单元中读出历史数据以及从只读存储单元读出该装置的ID号,并通过数据输出接口单元输出至外接磁盘 存储体或计算机。
当内嵌计算机的数据下载传输扩展卡装置的B 口连接存储设备为类似磁盘 的存储体时,即如图2所示工作方式一的情况下,首先,该装置的控制单元通过 控制数据输出接口单元从高密级存储体获取其逻辑分区信息,然后把该信息通过 控制数据通道单元传输到数据输入单元和计算机扩展槽接口单元,再输出到A 口相连接的低密级计算机(低密级计算机根据该逻辑分区信息可以选择文件数据 要拷贝的目的逻辑分区),接着控制单元控制计算机扩展槽接口单元接收来自低 密级计算机发出的传输指定文件到磁盘指定逻辑分区的指令,该指令包含了要传
输文件的信息(文件名、文件创建时间、文件大小等信息)以及计算机当前的时 间信息,控制单元从计算机扩展槽接口单元获取该信息后,并把该文件信息和计 算机当前的时间信息写入存储单元(该单元是非易失性存储器)作为历史数据, 然后控制单元通过控制计算机扩展槽接口单元从A 口的低密级计算机获取要传 输的指定文件数据,接着控制从该接口单元把数据依次传输至数据输入单元、数 据通道单元、数据输出接口单元,最后写入到B 口相连接的高密级存储体中。 每个文件的传输过程依次往复进行,直到所有文件传输完毕。
其中的数据通道单元完全是由高速硬件单元组成,其结构如图6所示,它包 括数据接收通道、数据缓冲区和数据发送通道。在数据文件传输过程中,其作用 是接收来自数据输入单元的输出数据,并把该数据单向输出至数据输出接口单 元。当开始进行数据传输时,控制单元会向数据通道单元发送开始传输数据的命 令,数据接收通道和数据发送通道均处于数据接收就绪状态,同时数据发送通道 向数据接收通道发送数据就绪控制信号,数据接收通道收到该信号后,再向数据 输入单元发送数据就绪的控制信号,当数据接收通道接收到数据后则写入数据缓
存区,由数据发送通道从数据缓存区中再读出这些数据输出到数据输出接口单 元,完成数据的传输工作。在整个数据传输过程中,为防止计算机的数据输出速 率高于磁盘数据的写入速率导致出现数据缓存区满丢失数据的情况,数据发送通 道会向数据接收通道输出"未就绪"的状态控制信号,数据接收通道会传递该信 号至数据输入单元以及计算机扩展槽接口单元,暂停计算机的数据传输,考虑目 前磁盘数据的读取速率一般要低于计算机扩展插槽接口的最高速率,以及成本的因素,本实施例在数据接收通道内的数据缓存区设置在128K字节,且具有同时 读写的功能,因此可以实现数据通道单元同时对数据的读入和输出操作,这样传 输装置实现了在写磁盘数据的同时计算机在输出数据,提高了数据的传输速度。 本发明提出数据传输装置的数据传输过程不会出现如图4所示由于处理器的处 理能力不够导致的数据传输速度下降,对处理器的性能要求也大大下降。因此本 发明提出的单向数据传输装置采用的基于数据通道单元的硬件结构设计使得数 据传输速率会大大高于图4所示只采用单处理器结构的数据传输装置。本实施例 优选采用的由两块同样64K大小的SRAM组成的乒乓读写存储器,当然该缓存 区也可以是采用双端口 RAM组成,或者是其它类型具有同时读写功能的存储介 质。
每一个内嵌计算机的数据下载传输扩展卡装置在出厂前对只读只读存储单 元内写入了一个唯一的ID识别号,本实施例优选ID识别号由32比特组成,这 样能够保证该装置和用户能唯一对应,以便于对装置的统一管理和以后的保密检 查和査证工作。当在对该装置存储的历史数据进行下载时,则计算机向A 口的 计算机扩展槽接口单元发送查寻历史数据的指令,控制单元通过该接口单元获得 指令后,把存储在只读存储单元中的ID号以及存储单元中满足条件的历史数据 读出,写入数据通道单元的数据接收通道,以后的数据传输过程和前面所述的磁 盘文件数据传输过程完全相同,因此不再赘叙述。为了保证历史数据的真实性, 存储单元的数据不能被删除,只有在存储单元的空间满时,采用新历史记录覆盖
旧历史数据的方法,本实施例中存储单元的存储空间优选为1G字节。
工作方式二和工作方式一的区别是,传输装置的B 口连接的高密级存储设 备为计算机,首先控制单元控制计算机扩展槽接口单元接收来自低密级计算机发 出传输指定的低密级计算机内数据文件到高密级计算机的指令,该指令还包含了 要传输的文件信息(文件名、文件创建时间、文件大小等信息)以及计算机的当 前时间信息,控制单元从指令中提取出文件信息和时间信息并写入存储单元作为 历史数据,且控制计算机扩展槽接口单元、数据输入单元、数据通道单元、数据 输出接口单元处于数据接收和传输状态。然后控制单元通过控制计算机扩展槽接
口单元从A 口的低密级计算机获取指定传输文件数据,并控制该单元把该数据 传输至数据输入单元、数据通道单元、数据输出接口单元,最后输出到B 口相连接的高密级计算机中。每个文件的传输过程依次往复进行,直到所有文件传输 完毕。
数据通道的工作原理和数据传输装置的历史数据获取过程与工作方式一基 本相同,因此不再赘述。
上述对本发明提出的内嵌计算机的数据下载传输扩展卡装置的实施例原理 介绍可以知道,该装置文件数据传输的单向性是由数据单向传输模块中的数据通 道单元的数据传输单向性来决定,确保了低密级存储设备在向高密级计算机的传
输数据过程中的单向安全性。其中核心的控制单元可以采用低性能的处理器或是 FPGA实现,也可以采用ASIC设计,而数据通道单元可以采用FPGA或者采用 FPGA+静态随机存储芯片构成,另外控制单元和数据通道单元也可采用SOC (system on chip)设计技术实现单芯片集成,因此本发明提出的内嵌计算机的数 据下载传输扩展卡装置与图4所示的现有技术相比,能够降低数据传输装置的成 本,同时还能提高数据的传输速度。另外,通过对低密级计算机的其它输入和输 出接口的物理限制,可以防止用户非法跳过数据单向传输装置,直接通过"非安 全"计算机自带的接口拷贝数据,从防止主观窃密的角度考虑,这样保证了比使
用外置数据单向传输装置的涉密计算机更加的安全,例如可以物理上隔离或去除 计算机自带的USB接口,或者使用其它方式限制USB接口的使用,就能够防止 用户直接把带USB接口的移动硬盘或U盘插入计算机自带的USB接口进行数 据的拷贝而导致的泄密。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的技 术方案所作的等效变换、替换,均应包含在本发明的保护范围之内。
权利要求
1、一种内嵌计算机的数据下载传输扩展卡装置,其特征在于,所述装置内置于目标计算机内,所述装置包括数据单向传输模块,用于从计算机扩展槽接口单元获取目标计算机内的文件数据,并把该数据单向输出至目标计算机外部的存储体设备或计算机设备;计算机扩展槽接口单元,在数据单向传输模块的控制下,与目标计算机扩展槽接口进行通信控制,以及从目标计算机获取文件数据。
2、 如权利要求1所述的一种内嵌计算机的数据下载传输扩展卡装置,其特 征在于,所述数据单向传输模块包括存储单元,是一种非易失性存储器; 只读存储单元,是一种只读存储器;控制单元,连接于存储单元和只读存储单元,用以控制装置内所有其它单元 的工作状态,控制计算机扩展槽接口单元获取计算机要传输的数据文件信息和时 间信息,并作为历史数据写入存储单元,从存储单元读出历史数据以及只读存储 单元中读出识别号,并输出到数据通道单元接口;数据输出接口单元,连接于控制单元,用以与目标计算机外的存储体设备和 计算机设备的接口通信控制与数据输出;数据通道单元,连接于数据输出接口单元和控制单元,用以接收来自数据输 入单元的输出数据以及接收来自控制单元输出的历史数据和识别号,并把该数据单向传输至数据输出接口单元;数据输入单元,连接于数据通道单元、控制单元、计算机扩展槽接口单元, 用以从计算机扩展槽接口单元读取数据,并把该数据传输至数据通道单元。
3、 如权利要求2所述的一种内嵌计算机的数据下载传输扩展卡装置,其特 征在于,所述的只读存储单元存储了该装置的唯一识别号。
4、 如权利要求2所述的一种内嵌计算机的数据下载传输扩展卡装置,其特 征在于,所述数据通道单元包括,数据接收通道,用于接收来自数据输入单元的数据以及来自控制单元输出的 历史数据和识别信号,并把接收的数据写入数据缓冲区;数据缓冲区,连接于数据接收通道,用于传输数据的缓冲;数据发送通道,连接于数据接收通道和数据缓冲区,用以从数据缓冲区读取 数据,并把该数据输出至数据输出接口单元。
5、 如权利要求4所述的一种内嵌计算机的数据下载传输扩展卡装置,其特 征在于,所述数据缓冲区具有同时进行读和写数据操作能力的存储模块。
6、 如权利要求2所述的一种内嵌计算机的数据下载传输扩展卡装置,其特 征在于所述的数据通道单元可以采用FPGA或者采用FPGA+静态随机存储芯 片构成。
7、 如权利要求2所述的一种内嵌计算机的数据下载传输扩展卡装置,其特 征在于所述的控制单元采用低性能的处理器或FPGA实现。
8、 如权利要求1或2所述的一种内嵌计算机的数据下载传输扩展卡装置, 其特征在于所述的数据单向传输模块和计算机扩展槽接口单元采用SOC实现。
全文摘要
本发明涉及一种内嵌计算机的数据下载传输扩展卡装置,所述装置内置于目标计算机内,该装置由数据单向传输模块和计算机扩展槽接口单元构成,数据单向传输模块由数据通道单元、数据输出接口单元、控制单元和数据输入单元、存储单元、只读存储单元构成。该装置是一种把计算机内存储的数据单向传输到外部存储设备上的装置,该装置采用了数据通道单元和计算机内的高速数据扩展槽接口,大大提高了数据传输速度,并且采用非易失性存储单元存储该装置操作的历史记录,具有唯一识别号,提高了该装置的保密性能管理。
文档编号G06F13/00GK101408920SQ20081022684
公开日2009年4月15日 申请日期2008年11月18日 优先权日2008年11月18日
发明者军 罗, 勇 罗, 翔 谢, 谧 谢 申请人:谢 翔;罗 勇