一、概述
      随着计算机应用的普及，人们在提高办公效率的同时，也面临着一个更重要的问题：信息安全。一个敏感文件的安全，涉及到国家、企业或者个人的重要利益，而编写过程、发送过程和存储后都可能成为盗窃者攻击的目标。在人们费尽心机建立昂贵庞大的网络安全设备和机制时，盗窃者可以以另外一种身份，即合法身份打开你的计算机，毫无顾忌地拷贝走所有他需要的文件。据有关方面统计，目前国际上计算机失密案中70%是出于内盗。这样看来，敏感文件通过层层保护措施放到你的计算机内仍然不安全，而且是盗窃者重要的攻击目标。目前本地信息安全存储系统较多，但普遍存在着一个问题：速度慢、兼容性较差等问题。而常见的网络隔离卡虽然能够彻底隔绝内、外网的联系，但对于组织内部——内网上发生的盗窃却丝毫无能为力。“隔离技术”不能防止组织内部非法用户打开别人的计算机上去观看，更不能防止非法用户在偷走硬盘后为所欲为。举例说明，一个保安系统最严密的小区，虽然外人无法闯入，但谁也不敢不装防盗门，因为他不知道他的邻居是否可靠？所以，对于计算机内的敏感信息，是否可以采用有效方法保护？在不调用时不影响浏览网络和共享信息，在需要查看时将之与网络物理隔离，而且即便硬盘被盗走也无法查看，即设计计算机敏感信息的“门禁”和保护系统来保证敏感信息的安全。
二、系统硬件组成及操作
 图1 系统构成
如图1，系统由四部分组成：
读卡器和用户卡：       身份认证
保护卡和SAM卡：      身份认证与IDE信息控制
密码键盘：             身份认证
被保护硬盘：           存储介质
l 用户不插IC卡或键入密码不对，系统不显示被保护硬盘信息（上电时，计算机BIOS找不到被保护硬盘，操作系统也找不到被保护硬盘）；
l 一个安全保护卡对应一个IC卡和唯一一个密码，而且这种对应是唯一的；不合法的IC卡插到读卡器时或键入密码不对时将得不到系统认可，此时系统同样不显示被保护盘信息（找不到硬盘）；只有插入合法的IC卡并键入正确密码，系统才能对被保护磁盘进行正常的读写。
l IC卡中存储有用户的身份信息，以便使用时作为用户身份认证使用；另外3.5K字节用于改变硬盘的存储结构的信息，每张IC卡中的信息均不同；IC卡无法复制。
l IC卡具有身份认证和安全控制管理功能，只有通过身份认证后，IC卡中存储的3.5K字节内容才能被访问。
三、认证原理：
      如图2初始化时，保护卡从用户卡（用户IC卡）读取控制码对存储设备进行初始化。初始化完成后，每次启动时，保护卡发出指令控制SAM卡（嵌入在保护卡上）对用户卡进行认证，认证通过后从用户卡中读取控制码对存储设备进行
图2  磁盘、SAM卡、用户卡之间的关系
相关的安全控制操作。
四、数据保护原理
对磁盘数据的保护主要表现在以下三个方面：
l IC卡的认证
图3用户卡的认证过程
      当某种操作发生时，需对其身份的合法性进行认证。此时，持证人将卡插入读卡器，系统自动认证该卡的有效性，系统采用对称加密算法来进行与卡的相互认证。其主要过程如图3。
a、保护卡发送认证命令，SAM卡产生一随机数X，发往用户卡。用户卡用子密钥对X进行加密，将结果C及标示符W送回SAM卡。
b、SAM卡首先使用W来恢复验证密钥，通过主控密钥MK，产生卡的私钥。
c、然后通过密钥对C进行计算得出X1。
d、判断X与X1是否相等，如相等，则表明认证卡的合法有效。
SAM模块和用户卡相互验证通过后，保护卡就可对用户卡进行下一步操作，
读取用户卡内的信息或者密钥，供保护卡进行下一步的操作了。
 小键盘键入密码（作为辅助认证手段）
 改变磁盘存储格式
      通过改变硬盘存储格式（如除FAT或NTFS以及其他一些操作系统等使用的格式之外的某一格式）的方式来实现对磁盘数据的保护，以防非法用户盗取、使用。
      破译的难度在于破译者必须完全准确地拥有用户IC卡中3.5K的信息、获得用户密码和IC卡ID号，并且每一系统此3项参数的信息均不同。非法用户要拦截用户这些信息几乎是办不到的。首先我们在开始时已经介绍过，用户IC卡是CPU智能卡，无法复制；其次我们从图3及上述第一步用户IC卡的认证可以看到，每次认证使用的随机数不同，没有保护卡及对应的用户IC卡以及用户密码，认证不可能通过。
五、系统主要特点
 敏感数据、程序与非敏感数据、程序分盘存放；
 读写器、用户CPU卡、SAM卡、保护卡一一对应，无互换性；
 采用多重认证方式，安全可靠；
 采用反跟踪和反攻击设计；
 完全支持各种操作系统, Windows系列，Mac系列，Linux；
 不与任何应用软件冲突；
 适用于保护任何计算机数据或文件；
 无需安装驱动程序，即插即用；
 用户根据需要可嵌入自选的加解密算法；
 不占用系统资源，传输速度大于24Mbit/秒。（视硬件平台而定）
 支持任何使用IDE硬盘的硬件平台的PC计算机，兼容性能好； 
 采用的被保护硬盘品牌、型号、容量不受限制；
 具有物理隔离和自锁功能，杜绝网络上对本地计算机的攻击。
六、主要技术指标
接口 RS232串口、标准IDE协议接口
输入电源 DC 5V±5%
传输速度 ≥24Mbit/s
符合标准 PC/SC、CE、FCC
支持运行平台 DOS/WINDOWS95/98/ME/NT/XP以及LINCX系统
工作环境 温度：0-50摄氏度      温度：10-90%
时钟频率 80MHZ
七、系统应用方案
WS-523可被应用于多种方案，如下为较常采用方案供参考。
方案一：基本方式
IDE1为主硬盘，用于安装操作系统、应用程序和存储普通信息。IDE2为被保护硬盘，用于存储敏感信息。在系统运行时，计算机自动与网络断开，即主机与网络处于物理隔离状态，上述两硬盘之间可进行信息交流。
方案二：用户在安全的内网上，可以访问被保护硬盘。
      IDE1为主硬盘，用于安装操作系统，应用系统和存储普通信息。IDE2为被保护硬盘，用于通过安全认证后，拔出身份认证卡，这时，安全网络上的用户就可以通过网络访问被保护硬盘。如果用户想结束被保护硬盘的被访问，再将身份认证卡插入读卡器中。阻断网络。只有用户自己可以访问被保护硬盘。
      需要强调的是，据公安部最新统计，70%的泄密犯罪来自于内部；电脑应用单位80%未设立相应的安全管理；58%无严格的调存管理制度。各种重要数据、文件的滥用、丢失、被盗所造成的损失以亿计。对于信息安全，从企业或组织内部针对存储系统进行的非法入侵，基本上都是有预定目标的。这类计算机犯罪造成了信息安全较大部分的损失。内部非法入侵包括对数据信息的窃取、篡改、破坏，甚至偷走硬盘或整体。IDC2001年通过对超过300家大公司信息安全问题调查后指出，61%的被调查公司报告公司的信息有非授权使用和篡改的非法行为在内部发生。70%公司认为，PC计算机由于是公司主要存储信息的工具而成为公司的主要资产，信息的丢失和被篡改是造成公司经济损失的主要原因。所以我们原则上不鼓励用户在安全的内网上访问被保护硬盘。
*密码键盘为选加件。