基于PCI总线的硬件级计算机防护系统

基于PCI总线的硬件级计算机防护系统吕晶晶王和洲刘飞（东南大学信息科学与工程学院南京210096）摘要：本文主要介绍了涉密计算机硬件安全防护系统——PCI板卡的设计方法。该板卡主要包含PCI总线的通用接口芯片CH365，51单片机，以及RS232串口蓝牙适配器，能够轻松实现当使用者离开时对计算机的操作保护。由于是通过向CPU不断发送中断申请达到持续占用CPU的纯硬件方法，相比于传统的软件防护，不存在被破解的危险。关键词：硬件防护CH365中断蓝牙适配器1引言在政府机关或一些机密机构中，经常会遇到这样一些问题：为了防止机密文件被盗，尽管本地电脑没有连接外部网络，但若使用者暂时离开，攻击者仍有机会非法访问计算机。设置开机密码或安装安全防护软件是目前使用最多的方法，但这些方法都是基于软件，存在被高手攻破的风险。本文就是针对这一现象提出了一种基于PCI总线的硬件安全防护系统，确保使用者离开后别人无法访问计算机。具体流程如下：PCI板卡上的蓝牙适配器事先绑定使用者的手机蓝牙地址，当使用者离开时，板上蓝牙与手机蓝牙连接中断，单片机根据这个信息通过PCI总线向CPU不断发送中断请求，从而使CPU忙于处理外部中断，此时攻击者便无法正常访问电脑，因为稍微点击鼠标或操作键盘就会使电脑彻底死机，而当合法使用者回来时蓝牙连接重新建立，PCI总线停止发送中断申请，电脑便可恢复正常。2系统原理及结构：整个系统中的结构如图1所示：图1系统结构整个系统以单片机AT89S52为核心，其中CH365为PCI总线的通用接口芯片，用来简化PCI板卡的设计，下面详细说明每一单元的实现方法。CH365MCUAT89S52PCI总线CPU用户手机蓝牙适配器2.1PCI总线单元PCI总线协议比较复杂，用户可以根据具体实际需求选择相应的开发方[1]式。一般，PCI总线开发采用两种方式：一是采用CPLD来设计控制接口。它的最大好处是比较灵活，用户可以根据自己的需要开发出适合于特定功能的芯片，而不必实现PCI的全部功能。由于PCI总线协议复杂，设计PCI控制接口难度较大，对于产品不大又有时限的工程项目来说，成本巨大。二是采用通用PCI接口芯片，例如南京沁恒公司的CH365、AMCC公司的AMCCS5920和AMCCS5933，PLX公司的PLX9054和PLX9080[2]等。通过专用芯片可以实现完整的PCI主控模块和目标模块的功能，将复杂的PCI总线接口转换为相对简单的用户接口，用户只要设计转换后的总线接口即可，它能实现PCI规范所要求的所有硬件接口信号和配置空间寄存器，专用接口芯片具有较低的成本和通用性，能够有效降低接口设计的难度，缩短开发时间,并能获得较好的数据传输性能。第二种方法适合于小规模的情况，能够有效缩短开发时间以及成本投入，因此在设计我们的计算机安全防护卡上选择CH365PCI接口芯片。CH365芯片应用电路原理图如图2所示。由于CH365芯片上有一个中断请求位，故我们很容易由本地向CPU发送中断请求。2.2单片机单元在本系统中，单片机主要负责判断用户离开与否以及当用户离开时的操作，就是通过CH365向CPU发中断（发送一定频率的方波），因此我们采图2CH365应用原理图图3单片机原理图用简易方便的AT89S52单片机，AT89S52是一种低功耗、高性能CMOS8位微控制[3]器。我们用其P3.0和P3.1引脚与串口连接，串口使用了MAX232芯片来进行电平准换。用P1.0发送中断请求（方波）。单片机部分的原理图如图3所示。2.3蓝牙适配器单元蓝牙适配器部分我们采用了重庆金瓯科技公司生产的蓝牙模块，这款模块采用蓝牙V2.0规范，RF输出功率为CLASS2标准，工作频段为ISM频段2.400～2.483MHz，波特率范围为1.2K～1382.4Kbps，可通过LED指示灯判断出电源指示、连接状态、工作模式，为应用到我们的电路系统中提供了方便。这一模块的外观如图4所示。我们可以通过相应的模式设置工具将其设置为主设备，并记忆绑定使用者的蓝牙名称及地址，下次上电后自动搜索绑定的蓝牙地址，单片机则可以根据搜索结果和连接状态作出不同的动作。我们项目的实际做法是：首先初始化适配器，然后通过单片机向蓝牙适配器串口发送指令“55AA00001B41542B434F4E4E3D4130344530343730393236452C313130310D0A”（十六进制），这一指令即为让适配器查询周围是否存在我们设定好的特定手机，若使用者手机在旁边且蓝牙开着，适配器则通过串口向单片机返回“55AA01000B0D0A2B4F50454E3A310D0A”，反之返回“55AA01001F0D0A2B434F4E4E3A302C4130344530343730393236452C313130312C320D0A”，我们就可以利用这一差别判断出用户是否在旁边并作出相应的响应。2.4系统集成我们将以上三个模块独立测试通过后对其进行了集成处理，最终的PCI板卡PCB版图如图5所示。图中最前端为PCI插槽的金手指，贴片芯片为CH365，其余为AT89S52，MAX232，串口，实际的PCB表面有敷铜，此处为观察方便省略了敷铜。图4蓝牙模块外观图5PCI板卡PCB版图3总结：我们设计并实现的这一计算机防护板卡充分考虑到了实际应用情景，所有模块集成在一块板子上，最后插入机箱的主板PCI插槽上，有很强的隐蔽性。当非法用户试图操作计算机时若发现机器很卡而无法使用时，是无法通过强制关机解决死机问题的，因为只要开机上电单片机及PCI板卡就开始工作，CPU仍然是满负荷工作，在实际试验中，我们重启后发现甚至无法进入开机界面就已经彻底死机了。另外，由于这是存硬件防护方案，不存在对应的程序进程，因此即便是程序高手也是无可奈何的。总之，我们这一方案具有很高的安全性。致谢本项目受到国家创新性实验计划项目（项目名称：计算机第三方安全模块项目编号：091028611）的资金支持，项目实施过程中项目指导老师胡爱群教授给予了很多重要的技术指导，信息安全学科江苏省网络与信息安全重点实验室提供了工作环境和设备支持，在此特别感谢。参考文献：[1]李贵山，戚德虎.PCI局部总线开发者指南.西安电子科技大学出版社，1997[2]刘建中，李清宝.基子PCI总线加密卡硬件设计.《电子技术应用》2004年第1期[3]刘海涛赵金波晁阳.8051单片机C语言程序设计与实例解析.清华大学出版社,2009年01月作者简介：吕晶晶男江苏省姜堰市生日：1988年12月15日学历：本科单位：东南大学信息科学与工程学院职称：无（学生）研究方向：信息科学与技术。王和洲男河南省淇县市生日：1989年11月4日学历：本科单位：东南大学信息科学与工程学院职称：无（学生）研究方向：信息科学与技术。刘飞女河南省郑州市生日：1988年11月1日学历：本科单位：东南大学信息科学与工程学院职称：无（学生）研究方向：信息科学与技术。