技術領域

本發明涉及數據安全技術領域，特別是一種計算機及其操作系統間的數據交換方法。

背景技術

電子政務要求內、外網絡之間“物理隔離”，因此使用雙網隔離機，在網絡通信上進行物理隔離。

但是網絡的物理隔離，給數據通訊帶來很多不便，隨著網絡業務的日益成熟，數據交換的需求提議強烈。

根據這種數據交換的需求，最開始采用人工傳遞的方式，也就是將數據從一臺計算機拷貝到一個存儲介質，然后將該存儲介質中的數據拷貝到另外一臺計算機，很明顯這種方式不但麻煩，而且效率極低。

為了改變上述處理方式的缺點，后來出現了網閘技術，其利用中間數據倒換區，分時地與內外網連接，但一個時刻只與一個網絡連接，保持內外網的物理隔離，實現數據的倒換。

然而，發明人在實現本發明的實現過程中，發現現有技術至少存在以下的缺點：

由于中心網閘處于特定的位置，因此在一些特定的場合(如用戶外出使用雙網隔離計算機)，用戶將無法使用中心網閘進行數據交換，同時對于頻繁的內、外網數據交互，使用中心網閘也極為不便。

發明內容

本發明實施例的目的是提供一種計算機及其操作系統間的數據交換方法，在一臺計算機上實現不同網絡之間隔離和操作系統間安全可靠的數據交換。

為了實現上述目的，本發明實施例提供了一種計算機，包括：

第一操作系統；

第二操作系統，與所述第一操作系統間相互隔離；

設置于一個芯片中的專屬于所述第一操作系統的第一數據通道和專屬于所述第二操作系統的第二數據通道；

第三存儲模塊，與所述第一數據通道和所述第二數據通道連接；

所述第一操作系統能且僅能通過所述第一數據通道實現與所述第三存儲模塊之間的數據交互；所述第二操作系統能且僅能通過所述第二數據通道實現與所述第三存儲模塊之間的數據交互。

優選的，所述專屬于所述第一操作系統的第一數據通道和專屬于所述第二操作系統的第二數據通道設置于安全芯片中。

優選的，所述第一操作系統設置有第一數據交換模塊，所述第二操作系統設置有第二數據交換模塊，所述第一數據交換模塊能且僅能通過所述第一數據通道實現與所述第三存儲模塊之間的數據交互；所述第二數據交換模塊能且僅能通過所述第三數據通道實現與所述第二存儲模塊之間的數據交互。

優選的，所述第三存儲模塊設置有：

數據存儲單元；

監聽單元，用于監聽來自所述數據通道的數據讀命令或寫命令；

處理單元，用于在監聽到數據寫命令時，從接收到所述數據寫命令的數據通道接收待交換數據，并發送到所述數據存儲單元，并在監聽數據讀命令時，將所述待交換數據從接收到所述數據讀命令的數據通道發送。

優選的，所述安全芯片中設置有：

第一認證單元，用于對所述第一操作系統和所述第二操作系統中請求進行數據交換的操作系統及用戶進行認證。

優選的，所述安全芯片中設置有：

策略配置單元，用于配置安全策略；

判斷單元，用于根據所述安全策略策略判斷是否允許所述請求進行數據交換的操作系統與所述第二存儲模塊進行數據交互。

優選的，所述數據交換模塊與所述第二存儲模塊之間傳輸的數據為平臺配置寄存器綁定加密的數據。

為了實現上述目的，本發明實施例還提供了一種計算機的操作系統間的數據交換方法，其特征在于，包括：

第一操作系統從與所述第一操作系統對應的第一數據存儲模塊讀取待交換數據；

所述第一操作系統利用所述第一操作系統專用的第一數據通道將所述待交換數據傳輸到第三數據存儲模塊；

其中，傳輸到所述第三數據存儲模塊的所述待交換數據在被第二操作系統利用所述第二操作系統專用的第二數據通道讀取后，被交換到所述第二操作系統；

所述第一數據存儲模塊、所述第二數據存儲模塊與所述第三數據存儲模塊物理隔離。

優選的，所述第一操作系統利用所述第一數據通道將所述待交換數據傳輸到第三存儲模塊具體包括：

所述第一操作系統和所述第三存儲模塊利用所述第一數據通道的狀態寄存器交互，相互通知對端準備好進行數據交換；

所述第一操作系統向所述第一數據通道寫入所述待交換數據的數據長度和所述待交換數據；

所述第三存儲模塊從所述第一數據通道讀取所述待交換數據，并根據所述數據長度判斷所述待交換數據是否接收完成；

所述第三存儲模塊在判斷出所述待交換數據接收完成后，保存所述待交換數據到所述第三存儲模塊。