專利名稱:信息安全控制方法����、信息安全控制裝置以及客戶端的制作方法
信息安全控制方法、信息安全控制裝置以及客戶端技術領域
本發(fā)明屬于計算機安全技術領域�,具體涉及一種信息安全控制方法、信息安全控制裝置以及帶有信息安全控制裝置的客戶端�����。
背景技術:
傳統(tǒng)實現(xiàn)本地計算機信息安全的技術方案主要分為兩大類
一類是軟件技術方案��。這是目前應用最多的技術����,利用安全保護軟件實現(xiàn)計算機信息安全��,這種技術方案成本低��、開發(fā)靈活等優(yōu)點���,但也存在一些不足(1)系統(tǒng)重裝后,需要重新安裝軟件����;(2)軟件容易被卸載,導致計算機處于未保護狀態(tài)�;(3)軟件存在漏洞,木馬����、病毒會攻擊安全防護軟件,停掉保護進程����,使得安全防護失效。
另一類是硬件技術方案����,如帶加密芯片的硬盤�、安全U盤�����,這種解決方案具有安全性高����、破解難等優(yōu)點,但也存在一些不足⑴硬件成本高���;⑵兼容性差,通用性差���。發(fā)明內(nèi)容
本發(fā)明要解決的主要技術問題是提供信息安全控制方法�、信息安全控制裝置以及帶有信息安全控制裝置的客戶端�����,該信息安全控制裝置有效地提高了客戶端上服務器數(shù)據(jù)的安全性���。
為解決上述技術問題�����,本發(fā)明提供一種信息安全控制方法�����,包括步驟
客戶端啟動操作系統(tǒng)時�,其信息安全控制裝置發(fā)送連接請求給服務器,如果收到所述服務器的響應�,則關閉客戶端部分或全部數(shù)據(jù)輸出應用;
客戶端進入操作系統(tǒng)后���,發(fā)送訪問許可的請求給所述服務器��,如果收到允許訪問服務器的響應�����,則允許客戶端訪問所述服務器���,否則禁止客戶端訪問所述服務器。
一實施例中�����,所述的信息安全控制方法,還包括步驟
客戶端定時將客戶端安全信息上傳給所述服務器���;
客戶端的信息安全控制裝置發(fā)送客戶端狀態(tài)認證的請求給所述服務器����,如果收到服務器反饋的安全警告信息����,則信息安全控制裝置禁止客戶端訪問所述服務器或者關閉客戶端。
一實施例中�,所述的信息安全控制方法,還包括步驟
客戶端的信息安全控制裝置監(jiān)視從服務器下載的數(shù)據(jù)���,客戶端關機時��,刪除客戶端上從所述服務器下載的所有數(shù)據(jù)。
一實施例中�����,所述的信息安全控制方法���,還包括步驟
客戶端監(jiān)視自身的存儲設備的運行狀態(tài)����,如果客戶端處于啟動操作系統(tǒng)時存儲設備的運行狀態(tài)發(fā)生改變,則存儲存儲設備的變更信息并上傳給服務器�����;如果客戶端處于操作系統(tǒng)時存儲設備的運行狀態(tài)發(fā)生改變�����,則刪除客戶端上從所述服務器下載的所有數(shù)據(jù)并關閉客戶端���。
一種信息安全控制裝置��,包括
接口模塊�����,用于與客戶端連接���;
網(wǎng)絡通信模塊,用于客戶端進入操作系統(tǒng)時�,發(fā)送連接請求給服務器;
控制模塊���,用于如果客戶端收到所述服務器的響應�,則關閉客戶端部分或全部數(shù)據(jù)輸出應用。
一實施例中�����,信息安全控制裝置還包括存儲模塊�,所述存儲模塊用于存儲網(wǎng)絡通信模塊初始化代碼、存儲模塊初始化及操作代碼以及用于植入客戶端的安全控制程序�,其中網(wǎng)絡通信模塊初始化代碼包括網(wǎng)絡通信模塊驅(qū)動程序以及網(wǎng)絡環(huán)境配置信息,用于網(wǎng)絡通信模塊的驅(qū)動�、網(wǎng)絡環(huán)境的配置以及網(wǎng)絡通信模塊IP地址的設置;存儲模塊初始化及操作代碼用于存儲模塊型號的檢測��、存儲模塊操作規(guī)范和流程的設定以及提供存儲模塊操作接口 �����;所述安全控制程序用于安全身份認證���、網(wǎng)絡配置、計算機輸出端口控制以及在客戶端上提供顯示界面以進行安全配置界面進入密碼的校驗和設定����。
一實施例中����,所述控制模塊還用于在客戶端進入操作系統(tǒng)時判斷是否是第一次啟動信息安全控制裝置�,如果是,則控制模塊要求對信息安全控制裝置進行安全信息配置����。
一實施例中,所述接口模塊與客戶端的PCI接口����、或者PCIE接口、或者USB接口匹配�。
一種客戶端,包括上述的信息安全控制裝置��,客戶端啟動操作系統(tǒng)時�,其信息安全控制裝置發(fā)送連接請求給服務器,如果收到所述服務器的響應�����,則關閉客戶端部分或全部數(shù)據(jù)輸出應用���;客戶端進入操作系統(tǒng)后�����,其信息安全控制裝置發(fā)送訪問許可的請求給所述服務器�,如果收到允許訪問服務器的響應,則允許客戶端訪問所述服務器�����,否則禁止客戶端訪問所述服務器����。
一實施例中,客戶端進入操作系統(tǒng)后�,客戶端定時將客戶端安全信息上傳給所述服務器;客戶端發(fā)送客戶端狀態(tài)認證的訪問請求給所述服務器�����,所述服務器會將收到的客戶端安全信息和自身存儲的該客戶端安全信息對比�����,如果匹配��,則認為客戶端處于服務器認證的安全狀態(tài)��,允許客戶端繼續(xù)訪問服務器���;否則發(fā)送安全警告信息給客戶端����,客戶端收到安全警告信息后被禁止訪問所述服務器或者關機�����。
一實施例中�,客戶端開機時,通過執(zhí)行信息安全控制裝置的映像空間的代碼�,完成對信息安全控制裝置的初始化配置。
一種信息安全控制方法�,包括步驟
服務器收到客戶端的連接請求后,發(fā)送響應給客戶端�����;
服務器收到客戶端的訪問許可的請求后�,獲取客戶端的安全信息并判斷客戶端是否達到安全訪問標準,如果達到安全訪問標準���,則允許客戶端訪問服務器��,否則不允許客戶端訪問服務器��。
一實施例中�,信息安全控制方法還包括步驟
如果客戶端已經(jīng)得到訪問許可,則服務器判斷客戶端的請求是否屬于客戶端狀態(tài)認證的請求�����,如果是��,則將獲取的客戶端的安全信息和自身存儲的該客戶端的安全信息對比���,如果匹配����,則認為客戶端處于服務器認證的安全狀態(tài)�����,允許客戶端繼續(xù)訪問服務器����;否則,服務器發(fā)出安全警告信息給客戶端,客戶端收到該安全警告信息后關機�����。
與現(xiàn)有技術相比����,本發(fā)明實施例提供的信息安全控制方法��,通過在客戶端上安裝信息安全控制裝置���,客戶端連接到服務器時����,信息安全控制裝置關閉客戶端部分或全部數(shù)據(jù)輸出應用�����,客戶端進入操作系統(tǒng)后�,發(fā)送訪問許可的請求給所述服務器,如果到允許訪問服務器的響應���,則允許客戶端訪問所述服務器��,否則禁止客戶端訪問所述服務器���,保證服務器的信息不被客戶端隨意下載并傳播��,從而提高了服務器數(shù)據(jù)的安全性��。
圖1為本發(fā)明實施例提供的一種信息安全控制裝置框圖2為本發(fā)明實施例提供的一種信息安全控制裝置工作原理圖3為本發(fā)明實施例提供的一種信息安全控制方法流程圖4為本發(fā)明實施例提供的一種客戶端工作原理圖�。
具體實施方式
為使本發(fā)明的目的���、技術方案和優(yōu)點更加清楚����,下面結合附圖和實施例對本發(fā)明作進一步的詳細描述���。
請參閱圖1所示����,圖1為本發(fā)明實施例提供的一種信息安全控制裝置框圖����,該信息安全控制裝置與客戶端連接,其包括接口模塊�����、網(wǎng)絡通信模塊和控制模塊。其中接口模塊用于與客戶端連接�����;網(wǎng)絡通信模塊用于客戶端進入操作系統(tǒng)時���,發(fā)送連接請求給服務器;控制模塊用于如果客戶端收到所述服務器的響應����,則關閉客戶端部分或全部數(shù)據(jù)輸出應用, 以保護服務器數(shù)據(jù)安全�����,如圖2所示����。數(shù)據(jù)輸出應用包括USB接口、郵件功能����、wif i接口和藍牙功能等。上述客戶端的數(shù)據(jù)輸出應用的啟用、禁止等信息代表客戶端的安全信息����。
進一步的,信息安全控制裝置還包括存儲模塊�����,所述存儲模塊用于存儲網(wǎng)絡通信模塊初始化代碼�����、存儲模塊初始化及操作代碼以及用于植入客戶端的安全控制程序���,其中網(wǎng)絡通信模塊初始化代碼包括網(wǎng)絡通信模塊驅(qū)動程序以及網(wǎng)絡環(huán)境配置信息��,用于網(wǎng)絡通信模塊的驅(qū)動����、網(wǎng)絡環(huán)境的配置以及網(wǎng)絡通信模塊IP地址的設置���;存儲模塊初始化及操作代碼用于存儲模塊型號的檢測�����、存儲模塊操作規(guī)范和流程的設定以及提供存儲模塊操作接口 ����;所述安全控制程序用于安全身份認證、網(wǎng)絡配置�����、計算機輸出端口控制以及在客戶端上提供顯示界面以進行安全配置界面進入密碼的校驗和設定���。
信息安全控制裝置在進入客戶端操作系統(tǒng)之前檢查是否是第一次啟動��,如果是, 則要求管理者對信息安全控制裝置進行安全信息配置��。
具體的�����,本發(fā)明實施例中的信息安全控制裝置可以通過集成htel 82574L網(wǎng)卡芯片及Winbond 25X40存儲芯片得到���。信息安全控制裝置采用PCI規(guī)范的Expansion ROM 機制�����,在Flash芯片上存在用于植入客戶端的代碼�����,利用擴展BIOS技術����,計算機上的BIOS 進行Post自檢時會自動掃描具有擴展PCHR標記的設備,當計算機的指令指針跳到信息安全控制裝置的代碼映像空間時執(zhí)行該空間的代碼�,將代碼植入客戶端。
存儲模塊包括有Expansion ROM格式的頭結構單元�����、安全配置信息單元和可執(zhí)行代碼單元�。安全配置信息單元包括管理者設定的安全配置界面進入的密碼以及客戶端輸出端口的控制信息?����?蓤?zhí)行代碼單元包括網(wǎng)絡通信模塊初始化代碼�、存儲模塊初始化及操作代碼和安全信息配置接口代碼。
網(wǎng)絡通信模塊初始化代碼主要包括網(wǎng)絡通信模塊驅(qū)動程序和網(wǎng)絡環(huán)境的配置�,網(wǎng)絡環(huán)境配置遵從(地址解析協(xié)議)、TCP��、IP等通訊協(xié)議,它們的作用是保證網(wǎng)絡通信模塊在未進入操作系統(tǒng)前能正常的工作���,完成網(wǎng)絡通信模塊芯片IP地址的設置��。
網(wǎng)絡通信模塊驅(qū)動程序是與進入操作系統(tǒng)之前相關的驅(qū)動程序�,它的作用是讓網(wǎng)絡通信模塊在進入操作系統(tǒng)值前正常工作����。網(wǎng)絡通信模塊驅(qū)動程序被安裝在網(wǎng)絡通信模塊的存儲芯片中,在進入系統(tǒng)前�,驅(qū)動程序?qū)W(wǎng)絡通信模塊芯片完成初始化,主要實現(xiàn)下面三大功能
(1)�、檢測網(wǎng)絡通信模塊,檢查網(wǎng)絡通信模塊是否存在以及網(wǎng)絡通信模塊的型號�, 然后決定是否初始化網(wǎng)絡通信模塊以及如何初始化。
(2)網(wǎng)絡通信模塊芯片初始化�����,硬件的初始化包括數(shù)據(jù)鏈路層MAC (Media Access Control)�����、物理層(PHY)及網(wǎng)絡通信模塊EEPROM和Flash的初始化�。
(3)提供網(wǎng)絡通信模塊芯片的操作接口,包括網(wǎng)絡通信模塊打開��、網(wǎng)絡通信模塊關閉�、網(wǎng)絡通信模塊重啟、網(wǎng)絡通信模塊配置�、數(shù)據(jù)發(fā)送、數(shù)據(jù)接收��、地址解析等����。其中①網(wǎng)絡通信模塊打開,在網(wǎng)絡通信模塊設備驅(qū)動程序中�����,當網(wǎng)絡設備被激活的時候會調(diào)用此接口打開網(wǎng)絡通信模塊����,并申請網(wǎng)絡通信模塊正常工作所需的資源。②網(wǎng)絡通信模塊關閉�,關閉網(wǎng)絡通信模塊并釋放之前申請的資源。③數(shù)據(jù)發(fā)送�,所有的網(wǎng)絡設備驅(qū)動程序都必須有發(fā)送功能,在發(fā)送時��,發(fā)送的數(shù)據(jù)被放在一個TxBuffer中,如果發(fā)送成功��,釋放TxBuffer �����;如果設備暫時無法處理����,比如硬件忙,會等待再次發(fā)送�����。如果發(fā)送不成功�,系統(tǒng)會不斷嘗試重發(fā)直到成功為止。④數(shù)據(jù)接收�,網(wǎng)絡通信模塊收到數(shù)據(jù)后會產(chǎn)生一個中斷,在中斷處理過程中驅(qū)動程序申請一塊緩沖區(qū)�,從硬件讀出數(shù)據(jù)放置到申請好的緩沖區(qū)里,填充Buffer�����,判斷收到幀的類型����,最后把數(shù)據(jù)傳送給協(xié)議層。
需要說明的是���,信息安全控制裝置完成進入操作系統(tǒng)之前網(wǎng)絡通信模塊IP地址的設置����,需要 SNP (Simple Network Protocol���,簡單網(wǎng)絡管理協(xié)議)�、MNP (Manage Network ftOtocol�,管理網(wǎng)絡協(xié)議)、ARP (地址解析協(xié)議)�����、IP4����、IP4Config五個模塊。其中�,MNP是對網(wǎng)絡通信模塊上層協(xié)議模塊的管理,所以模塊必須在ARP、IP4�����、IP4Config之前加載����。SNP 是網(wǎng)絡通信模塊驅(qū)動程序和上層協(xié)議模塊之間聯(lián)系的紐帶,是進入操作系統(tǒng)之前的環(huán)境下特有的��。
為了安全���,本實施例中對通過網(wǎng)絡通信模塊的數(shù)據(jù)還進行加密傳輸�����,并進行網(wǎng)絡通信驗證�����,通信數(shù)據(jù)在傳輸時被加密����,即使被第三方截收����,也是亂碼。
網(wǎng)絡通信模塊存儲芯片初始化及操作代碼完成網(wǎng)絡通信模塊存儲芯片型號檢測��、 存儲芯片操作規(guī)范和流程設定����、存儲芯片操作接口。網(wǎng)絡通信模塊存儲芯片型號檢測����,借助這一步操作,可以使安全信息卡支持多種型號的網(wǎng)絡通信模塊����。存儲芯片操作規(guī)范和流程設定,通過規(guī)范和流程的設定�����,保證對存儲芯片中數(shù)據(jù)的讀��、寫���、擦除能夠成功執(zhí)行���。
存儲芯片操作接口���,該接口提供給其他代碼調(diào)用,例如安全信息配置界面�。當管理者設定好安全配置信息后,就可以調(diào)用存儲芯片操作接口��,存儲芯片操作接口會依據(jù)上面設定的存儲芯片操作規(guī)范和流程將需要保存的安全配置信息寫入到存儲芯片��。由于網(wǎng)絡通信模塊存儲芯片屬于非易失性存儲介質(zhì)��,所以安全配置信息能夠長期保存���,并提供給其他代碼訪問�。
安全信息配置接口完成兩大功能(1)安全配置界面進入密碼的校驗與設定����,如果是第一次啟動安全信息卡,則會強制要求先設定好安全配置界面進入密碼����;如果不是第一次啟動安全信息卡,則會要求進行密碼校驗���,校驗失敗則不進入安全配置界面��,成功則進入安全界面�����,管理者可以進行下面兩步的設定��。( 客戶端輸出端口的控制����,包括USB�,串口,紅外�,甚至網(wǎng)口本身等等,設定端口的開放與關閉�����,從而控制客戶端從服務器得到的數(shù)據(jù)能否從這些端口輸出�,保證服務器的數(shù)據(jù)安全。通過靈活的選擇各個端口的配置����,就能夠?qū)崿F(xiàn)不同客戶需求�����、不同級別的安全防護功能���。
請參閱圖3所示,圖3為本發(fā)明實施例提供的一種信息安全控制方法流程圖�����,包括以下流程
步驟301 將信息安全控制裝置通過PCI接口���、或者PCIE接口���、或者USB接口連接到客戶端上。
步驟302:客戶端開機�����。
步驟303 客戶端開機過程中����,信息安全控制裝置屏蔽客戶端原有的網(wǎng)絡通信模塊。
步驟304 信息安全控制裝置發(fā)送連接請求給服務器��。
步驟305 服務器收到連接請求后,反饋響應���。
步驟306 信息安全控制裝置收到所述服務器的響應����,則關閉客戶端部分或全部數(shù)據(jù)輸出應用��。如果沒有收到服務器端的響應��,則打開客戶端部分或全部數(shù)據(jù)輸出應用�。
步驟307 客戶端進入操作系統(tǒng)后�,客戶端向服務器發(fā)送訪問許可的請求。
步驟308 服務器獲取客戶端的安全信息并判斷客戶端是否達到安全訪問標準�����, 如果達到安全訪問標準����,則允許客戶端訪問服務器,否則不允許客戶端訪問服務器�����。
步驟309 客戶端定時將客戶端安全信息上傳給所述服務器。
步驟310 客戶端發(fā)送客戶端狀態(tài)認證的請求給服務器��。
步驟311 服務器將收到的客戶端安全信息和自身存儲的該客戶端安全信息對比�,如果匹配,則認為客戶端處于服務器認證的安全狀態(tài)��,允許客戶端繼續(xù)訪問服務器����;否則,服務器發(fā)出安全警告信息給客戶端�。
步驟312 客戶端收到該安全警告信息后,刪除客戶端上從所述服務器下載的所有數(shù)據(jù)����,然后關機,以保護服務器數(shù)據(jù)安全���。
上述步驟中��,客戶端的信息安全控制裝置監(jiān)視從服務器下載的數(shù)據(jù)�,客戶端正常關機之前���,信息安全控制裝置也會刪除客戶端上從所述服務器下載的所有數(shù)據(jù)�。
本發(fā)明還公開了一種客戶端,包括上述的信息安全控制裝置�����,客戶端開機之前�����,將信息安全控制裝置通過PCI接口�����、或者PCIE接口���、或者USB接口連接到客戶端上?���?蛻舳碎_機過程中,主機上的BIOS進行Post自檢時會自動掃描具有擴展PCHR標記的設備即信息安全控制裝置�,當計算機的指令指針跳到信息安全控制裝置的代碼映像空間時執(zhí)行該空間的代碼,將信息安全控制裝置上的安全防護軟件置入操作系統(tǒng)����?���?蛻舳碎_機時�,通過執(zhí)行信息安全控制裝置的映像空間的代碼,完成對信息安全控制裝置的初始化配置��。
如圖4所示��,客戶端的信息安全控制裝置發(fā)送連接請求給服務器��,如果收到服務器的響應�����,則關閉客戶端部分或全部數(shù)據(jù)輸出應用��;客戶端進入操作系統(tǒng)后����,發(fā)送訪問許可的請求給服務器,如果收到允許訪問服務器的響應�����,則允許客戶端訪問服務器,否則禁止客戶端訪問服務器�。
信息安全控制裝置會在進入操作系統(tǒng)之前檢查是否一次啟動信息安全控制裝置, 若是����,則要求管理者對信息安全控制裝置進行安全信息配置。
操作系統(tǒng)啟動后����,信息安全控制裝置運行程序會利用植入驅(qū)動程序在操作系統(tǒng)中開一個進程并以SYSTEM權限運行,用于實現(xiàn)信息安全控制裝置的功能���。如果運行程序被強制卸載或者��,主機將會在卸載時出現(xiàn)重啟動或者藍屏現(xiàn)象�����。
操作系統(tǒng)啟動后,客戶端會以看門狗的機制定時訪問信息安全控制裝置上的安全配置信息即客戶端安全信息并上傳給服務器��?�?蛻舳税l(fā)送客戶端狀態(tài)認證的請求給服務器���,服務器將獲取的客戶端安全信息和自身存儲的該客戶端安全信息對比�,如果匹配,則認為客戶端處于服務器認證的安全狀態(tài)��,允許客戶端繼續(xù)訪問服務器��;否則��,服務器發(fā)出安全警告信息給客戶端����,客戶端收到該安全警告信息后,刪除客戶端上從所述服務器下載的所有數(shù)據(jù)�,然后關機。
為了提高客戶端的安全性���,客戶端的信息安全控制裝置還監(jiān)視客戶端從服務器下載的數(shù)據(jù)����,比如數(shù)據(jù)的存儲位置���。針對數(shù)據(jù)的復制���、刪除等操作�,客戶端關機前�,包括客戶端正常關機和客戶端收到服務器反饋的安全警告信息導致的關機,刪除客戶端上從所述服務器下載的所有數(shù)據(jù)�。客戶端的信息安全控制裝置還監(jiān)視客戶端的存儲設備的運行狀態(tài)����,例如連接、移出�、更換等。如果客戶端處于啟動操作系統(tǒng)時存儲設備的運行狀態(tài)發(fā)生改變�,則存儲存儲設備的變更信息并上傳給服務器;如果客戶端處于操作系統(tǒng)時存儲設備的運行狀態(tài)發(fā)生改變�����,則刪除客戶端上從所述服務器下載的所有數(shù)據(jù)并關閉客戶端��。
以上內(nèi)容是結合具體的實施方式對本發(fā)明所作的進一步詳細說明����,不能認定本發(fā)明的具體實施只局限于這些說明。對于本發(fā)明所屬技術領域的普通技術人員來說�,在不脫離本發(fā)明構思的前提下���,還可以做出若干簡單推演或替換��,都應當視為屬于本發(fā)明的保護范圍��。
權利要求
1.一種信息安全控制方法���,其特征在于�����,包括步驟客戶端啟動操作系統(tǒng)時�,其信息安全控制裝置發(fā)送連接請求給服務器����,如果收到所述服務器的響應,則關閉客戶端部分或全部數(shù)據(jù)輸出應用���;客戶端進入操作系統(tǒng)后�,發(fā)送訪問許可的請求給所述服務器����,如果收到允許訪問服務器的響應,則允許客戶端訪問所述服務器���,否則禁止客戶端訪問所述服務器�����。
2.根據(jù)權利要求1所述的信息安全控制方法�����,其特征在于�����,還包括步驟客戶端定時將客戶端安全信息上傳給所述服務器����;客戶端的信息安全控制裝置發(fā)送客戶端狀態(tài)認證的請求給所述服務器,如果收到服務器反饋的安全警告信息����,則信息安全控制裝置禁止客戶端訪問所述服務器或者關閉客戶端。
3.根據(jù)權利要求2所述的信息安全控制方法�,其特征在于,還包括步驟客戶端的信息安全控制裝置監(jiān)視從服務器下載的數(shù)據(jù)����,客戶端關機前����,刪除客戶端上從所述服務器下載的所有數(shù)據(jù)���。
4.根據(jù)權利要求1至3任一項所述的信息安全控制方法,其特征在于�,還包括步驟客戶端監(jiān)視自身的存儲設備的運行狀態(tài),如果客戶端處于啟動操作系統(tǒng)時存儲設備的運行狀態(tài)發(fā)生改變����,則存儲存儲設備的變更信息并上傳給服務器;如果客戶端處于操作系統(tǒng)時存儲設備的運行狀態(tài)發(fā)生改變��,則刪除客戶端上從所述服務器下載的所有數(shù)據(jù)并關閉客戶端�。
5.一種信息安全控制裝置,其特征在于�����,包括接口模塊�,用于與客戶端連接;網(wǎng)絡通信模塊�����,用于客戶端進入操作系統(tǒng)時,發(fā)送連接請求給服務器����;控制模塊,用于如果客戶端收到所述服務器的響應���,則關閉客戶端部分或全部數(shù)據(jù)輸出應用���。
6.根據(jù)權利要求5所述的信息安全控制裝置,其特征在于��,還包括存儲模塊����,所述存儲模塊用于存儲網(wǎng)絡通信模塊初始化代碼、存儲模塊初始化及操作代碼以及用于植入客戶端的安全控制程序�,其中網(wǎng)絡通信模塊初始化代碼包括網(wǎng)絡通信模塊驅(qū)動程序以及網(wǎng)絡環(huán)境配置信息,用于網(wǎng)絡通信模塊的驅(qū)動��、網(wǎng)絡環(huán)境的配置以及網(wǎng)絡通信模塊IP地址的設置���; 存儲模塊初始化及操作代碼用于存儲模塊型號的檢測����、存儲模塊操作規(guī)范和流程的設定以及提供存儲模塊操作接口 ;所述安全控制程序用于安全身份認證����、網(wǎng)絡配置、計算機輸出端口控制以及在客戶端上提供顯示界面以進行安全配置界面進入密碼的校驗和設定��。
7.根據(jù)權利要求5所述的信息安全控制裝置����,其特征在于�,所述控制模塊還用于在客戶端進入操作系統(tǒng)時判斷是否是第一次啟動信息安全控制裝置,如果是��,則控制模塊要求對信息安全控制裝置進行安全信息配置��。
8.根據(jù)權利要求5所述的信息安全控制裝置�,其特征在于,所述接口模塊與客戶端的 PCI接口���、或者PCIE接口����、或者USB接口匹配。
9.一種客戶端����,其特征在于,包括權利要求5-8任一項所述的信息安全控制裝置����,客戶端啟動操作系統(tǒng)時,其信息安全控制裝置發(fā)送連接請求給服務器����,如果收到所述服務器的響應,則關閉客戶端部分或全部數(shù)據(jù)輸出應用�����;客戶端進入操作系統(tǒng)后����,其信息安全控制裝置發(fā)送訪問許可的請求給所述服務器,如果收到允許訪問服務器的響應�����,則允許客戶端訪問所述服務器�,否則禁止客戶端訪問所述服務器。
10.根據(jù)權利要求9所述的客戶端,其特征在于���,客戶端進入操作系統(tǒng)后����,客戶端定時將客戶端安全信息上傳給所述服務器���;客戶端發(fā)送客戶端狀態(tài)認證的訪問請求給所述服務器����,所述服務器會將收到的客戶端安全信息和自身存儲的該客戶端安全信息對比�,如果匹配���,則認為客戶端處于服務器認證的安全狀態(tài)���,允許客戶端繼續(xù)訪問服務器;否則發(fā)送安全警告信息給客戶端�,客戶端收到安全警告信息后被禁止訪問所述服務器或者關機。
11.根據(jù)權利要求9所述的客戶端���,其特征在于�,客戶端開機時,通過執(zhí)行信息安全控制裝置的映像空間的代碼�����,完成對信息安全控制裝置的初始化配置���。
12.一種信息安全控制方法�����,其特征在于�����,包括步驟服務器收到客戶端的連接請求后��,發(fā)送響應給客戶端�����;服務器收到客戶端的訪問許可的請求后�,獲取客戶端的安全信息并判斷客戶端是否達到安全訪問標準�����,如果達到安全訪問標準,則允許客戶端訪問服務器���,否則不允許客戶端訪問服務器����。
13.根據(jù)權利要求12所述的信息安全控制方法����,其特征在于,還包括步驟如果客戶端已經(jīng)得到訪問許可���,則服務器判斷客戶端的請求是否屬于客戶端狀態(tài)認證的請求����,如果是���,則將獲取的客戶端的安全信息和自身存儲的該客戶端的安全信息對比,如果匹配�,則認為客戶端處于服務器認證的安全狀態(tài),允許客戶端繼續(xù)訪問服務器��;否則�,服務器發(fā)出安全警告信息給客戶端����,客戶端收到該安全警告信息后關機�����。
全文摘要
本發(fā)明公開了信息安全控制方法����、信息安全控制裝置以及客戶端,其中信息安全控制方法���,包括步驟客戶端啟動操作系統(tǒng)時�����,其信息安全控制裝置發(fā)送連接請求給服務器�����,如果收到所述服務器的響應��,則關閉客戶端部分或全部數(shù)據(jù)輸出應用�����;客戶端進入操作系統(tǒng)后��,發(fā)送訪問許可的請求給所述服務器���,如果收到允許訪問服務器的響應����,則允許客戶端訪問所述服務器��,否則禁止客戶端訪問所述服務器�����。與現(xiàn)有技術相比�����,本發(fā)明實施例保證服務器的信息不被客戶端隨意下載并傳播���,從而提高了服務器數(shù)據(jù)的安全性。
文檔編號H04L29/06GK102546620SQ20111045198
公開日2012年7月4日 申請日期2011年12月29日 優(yōu)先權日2011年12月29日
發(fā)明者郭俊莉 申請人:郭俊莉