本發明涉及計算機安全技術領域，公開了一種基于FPGA的主機安全防護物理卡及其數據處理方法，以確保主機的安全性。本發明安全防護物理卡主要是在FPGA芯片的可配置邏輯模塊中分別設置虛擬的身份認證單元、數據加密單元、入侵檢測單元、防火墻單元、陷阱單元以及規則策略單元；規則策略單元與身份認證單元、數據加密單元、入侵檢測單元、防火墻單元、陷阱單元以及規則策略單元建立邏輯關聯以根據本地固有的以及被防護主機上層應用所制定的各類規格策略進行聯動；且入侵檢測單元還用于記錄引發報警的規則，并對規則進行格式轉換后傳送至規則策略單元以供防火墻單元進行加載并執行。

技術領域

本發明涉及計算機安全技術領域，尤其涉及一種基于FPGA的主機安全防護物理卡及其數據處理方法。

背景技術

網絡的發展在給人們帶來便利的同時也引發了一系列的新問題。針對網絡服務供應商的網絡攻擊屢屢發生，造成網絡阻塞、癱瘓、喪失服務能力，有意或無意的非法操作主機造成主機被破壞，進而造成生產故障。網絡安全技術日益引起人們的重視，針對網絡攻擊、入侵手段的復雜化，單一防火墻、入侵檢測系統等保護手段越來越不能滿足人們的需求。一個新的發展方向就是綜合多種防護手段來提高系統的安全性。

發明內容

本發明目的在于公開一種基于FPGA的主機安全防護物理卡及其數據處理方法，以確保主機的安全性。

為實現上述目的，本發明公開了一種基于FPGA的主機安全防護物理卡，包括FPGA芯片及其連接的數字信號處理器及存儲器，還包括：

與被防護主機進行通信的通信接口；以及

在FPGA芯片的可配置邏輯模塊中分別設置虛擬的身份認證單元、數據加密單元、入侵檢測單元、防火墻單元、陷阱單元以及規則策略單元；

所述規則策略單元與所述身份認證單元、數據加密單元、入侵檢測單元、防火墻單元、陷阱單元以及規則策略單元建立邏輯關聯以根據本地固有的以及被防護主機上層應用所制定的各類規格策略進行聯動；

所述身份認證單元，主要用于對訪問被防護主機的合法用戶及非法用戶進行身份識別并阻止非法用戶進行操作；

所述數據加密單元，主要用于對被防護主機關鍵進程的數據傳輸進行加密；

所述入侵檢測單元，主要用于從被防護主機的進程中檢測入侵行為，并在發現入侵行為后，記錄引發報警的規則，并對規則進行格式轉換后傳送至所述規則策略單元以供所述防火墻單元進行加載并執行；

所述防火墻單元，主要用于從所述規則策略單元獲取各類規則策略以阻止對被防護主機的入侵行為；

所述陷阱單元，用于在被防護主機的進程受干擾后，通過軟件陷阱技術恢復被防護主機的正常進程。

與上述物理卡相對應的，本發明還公開一種基于FPGA的主機安全防護物理卡的數據處理方法，包括：

所述物理卡監聽被防護主機的進程，以及調用在FPGA芯片可配置邏輯模塊中所設置的身份認證單元、數據加密單元、入侵檢測單元、防火墻單元以及陷阱單元以根據規則策略單元固有的以及被防護主機上層應用所制定的各類規格策略進行安全防護聯動；具體包括：

所述身份認證單元對訪問被防護主機的合法用戶及非法用戶進行身份識別并阻止非法用戶進行操作；

所述數據加密單元對被防護主機關鍵進程的數據傳輸進行加密；

所述入侵檢測單元從被防護主機的進程中檢測入侵行為，并在發現入侵行為后，記錄引發報警的規則，并對規則進行格式轉換后傳送至所述規則策略單元以供所述防火墻單元進行加載并執行；

所述防火墻單元從所述規則策略單元獲取各類規則策略以阻止對被防護主機的入侵行為；以及