專利名稱:基于磁盤虛擬技術的usb存儲設備數(shù)據(jù)保護方法
基于磁盤虛擬技術的USB存儲設備數(shù)據(jù)保護方法
技術領域:
本發(fā)明涉及一種基于磁盤虛擬技術的USB存儲設備數(shù)據(jù)保護方法。背景技術:
USB存儲設備的應用已經(jīng)相當?shù)膹V泛�,USB存儲設備在使用過程中易造成數(shù)據(jù)泄密,因此數(shù)據(jù)的保密和安全問題日益突出?,F(xiàn)有技術中針對USB存儲設備的加密常用的有安全U盤,安全U盤主要包括用戶認證和硬件層數(shù)據(jù)透明加解密兩部分����。但是由于安全U 盤需要專門的硬件來實現(xiàn)數(shù)據(jù)的保護,市面上現(xiàn)有的安全U盤都是基于硬件層實現(xiàn)數(shù)據(jù)保護功能����,無法解決用戶現(xiàn)有大量USB存儲設備的數(shù)據(jù)安全問題,而且使用安全U盤替換用戶大量現(xiàn)有的普通USB存儲設備成本很高��,又造成資源浪費����。
發(fā)明內(nèi)容本發(fā)明要解決的技術問題��,在于提供一種基于磁盤虛擬技術的USB存儲設備數(shù)據(jù)保護方法����,它能夠在軟件層實現(xiàn)對USB存儲設備的數(shù)據(jù)保護功能�。本發(fā)明是這樣實現(xiàn)的一種基于磁盤虛擬技術的USB存儲設備數(shù)據(jù)保護方法,具體包括如下步驟步驟10�、初始化步驟用戶通過UI交互模塊輸入訪問密鑰,U盤初始化模塊根據(jù)訪問密鑰和HASH生成模塊生成的數(shù)據(jù)密鑰生成U盤校驗密鑰�����、用戶校驗密鑰�、加解密密鑰�,并將USB存儲設備劃分為復數(shù)個分區(qū),所述分區(qū)包括普通分區(qū)���、加密分區(qū)�����、日志分區(qū)�,同時更改USB存儲設備分區(qū)表,隱藏加密分區(qū)和日志分區(qū)�;步驟20、U盤初始化模塊生成的加解密密鑰被加解密模塊用于對U盤的策略進行加密后消失��,而生成的U盤校驗密鑰�����、用戶校驗密鑰被保存起來��;步驟30����、認證步驟設備檢測模塊檢測USB存儲設備是否連接到系統(tǒng),當連接之后��,用戶通過UI交互模塊輸入訪問密鑰��,認證模塊利用上述訪問密鑰計算出用戶密鑰�,再將用戶密鑰和保存的用戶校驗密鑰計算出加解密密鑰,然后利用該加解密密鑰對加密后的策略和保存的U盤校驗密鑰進行校驗��;步驟40�、訪問步驟認證模塊檢驗成功之后,系統(tǒng)服務模塊加載虛擬設備驅(qū)動模塊并生成虛擬設備�����,加解密模塊利用認證模塊生成的加解密密鑰對數(shù)據(jù)進行加解密,設備掛載模塊將生成的虛擬設備掛載到window卷�����,用戶即可訪問加密分區(qū)��,操作記錄模塊將用戶對加密分區(qū)的操作行為記錄到日志分區(qū)����;步驟50、訪問結束步驟當設備檢測模塊檢測USB存儲設備移除系統(tǒng)的時候�,系統(tǒng)服務模塊與虛擬設備驅(qū)動模塊解除引用關系并刪除虛擬設備,設備掛載模塊解除虛擬設備與window卷的掛載關系����。進一步的��,所述步驟10中��,普通分區(qū)可正常訪問�,加密分區(qū)需要認證模塊的認證成功后才可訪問。進一步的����,所述步驟20中���,所述U盤校驗密鑰和USB存儲設備的分區(qū)信息保存在USB存儲設備的0扇區(qū)中,所述用戶校驗密鑰及U盤的策略保存到U盤加密分區(qū)的頭部���。進一步的��,所述步驟10����、20之間還包括步驟15�,即注冊審核步驟用戶將USB存儲設備連接到系統(tǒng)進行注冊;管理員審核并設置使用權限即策略����。本發(fā)明具有如下優(yōu)點1.本發(fā)明通過U盤初始化模塊進行初始化,將普通USB存儲設備劃分為至少三個分區(qū)�����,在未認證情況下只允許訪問普通分區(qū)���,而對加密分區(qū)則進行認證保護�,只有認證模塊的認證成功之后,用戶才可以訪問加密分區(qū)�,實現(xiàn)了數(shù)據(jù)保護功能,防止USB存儲設備遺失或非法訪問造成數(shù)據(jù)泄密��。2.本發(fā)明通過操作記錄模塊記錄用戶對加密分區(qū)的訪問行為����,可以實現(xiàn)對加密分區(qū)的數(shù)據(jù)訪問的審計功能,可追蹤加密分區(qū)的使用行為���。3.本發(fā)明是在軟件層基于虛擬磁盤技術將普通USB存儲設備劃分為普通分區(qū)��、加密分區(qū)和日志分區(qū)�,使用純軟件技術實現(xiàn)對普通USB存儲設備的數(shù)據(jù)保護功能�����,不需要額外購買其他硬件設備���,可以減少客戶采購成本。
下面參照附圖結合實施例對本發(fā)明作進一步的說明����。圖1為本發(fā)明的模塊結構示意圖�����。
具體實施方式請參閱圖1所示�,對本發(fā)明的實施例進行詳細的說明�。結合圖1,本發(fā)明一種基于磁盤虛擬技術的USB存儲設備數(shù)據(jù)保護方法�����,它包括如下模塊1�、認證模塊對USB存儲設備的上層應用開放認證接口。認證模塊會根據(jù)上層應用所輸入的訪問密鑰計算出用戶密鑰�����,用戶密鑰與用戶校驗密鑰進行運算�,計算出加解密密鑰,同時利用加解密密鑰對校驗密鑰和USB存儲設備的策略進行校驗���,驗證合法性���。2、HASH生成模塊進行數(shù)據(jù)運算隨機產(chǎn)生512Bit的散列數(shù)據(jù),用于生成數(shù)據(jù)密鑰����。3、U盤初始化模塊根據(jù)HASH生成模塊所產(chǎn)生的數(shù)據(jù)密鑰以及用戶的訪問密鑰�����, 生成U盤校驗密鑰�����、用戶校驗密鑰以及加解密密鑰���,并對USB存儲設備中的數(shù)據(jù)進行初始化���,同時將USB存儲設備劃分為普通分區(qū)�����、加密分區(qū)和日志分區(qū)���,同時更改USB存儲設備分區(qū)表,隱藏普通分區(qū)外的其它分區(qū)�。4��、加解密模塊對數(shù)據(jù)進行透明加解密。5�����、UI交互模塊提供用戶交互界面����,并與系統(tǒng)服務模塊進行數(shù)據(jù)交互。6���、操作記錄模塊將用戶對加密分區(qū)的操作行為記錄到日志分區(qū)���。7、系統(tǒng)服務模塊系統(tǒng)服務模塊是所有模塊的紐帶����,為虛擬設備驅(qū)動模塊,設備檢測模塊����,設備掛載模塊,認證模塊提供數(shù)據(jù)交換服務��。8、虛擬設備驅(qū)動模塊對USB存儲設備的加密分區(qū)生成虛擬設備��。9����、設備檢測模塊檢測USB存儲設備是否接入系統(tǒng)或移除系統(tǒng),并通知系統(tǒng)服務模塊�����。
10����、設備掛載將虛擬設備驅(qū)動模塊生成的虛擬設備掛載到windows卷,或解除虛擬設備與windows卷的掛載�����。本發(fā)明具體包括如下步驟步驟10�����、初始化步驟用戶通過UI交互模塊輸入訪問密鑰����,U盤初始化模塊根據(jù)訪問密鑰和HASH生成模塊生成的數(shù)據(jù)密鑰生成U盤校驗密鑰�����、用戶校驗密鑰、加解密密鑰���,并將USB存儲設備劃分為復數(shù)個分區(qū)�����,所述分區(qū)包括普通分區(qū)����、加密分區(qū)�����、日志分區(qū)����,同時更改USB存儲設備分區(qū)表,隱藏加密分區(qū)和日志分區(qū)���,而普通分區(qū)可正常訪問���。步驟20��、U盤初始化模塊生成的加解密密鑰被加解密模塊用于對U盤的策略進行加密后消失�����,而生成的U盤校驗密鑰�����、用戶校驗密鑰被保存起來�����。所述策略是指對USB存儲設備的權限信息�,如定義USB存儲設備在什么網(wǎng)絡環(huán)境下可運行�����,在什么PC上可登錄使用���, 加密分區(qū)是否開啟寫保護��,USB存儲設備是否記錄加密分區(qū)的使用日志信息���。所述用戶校驗密鑰是根據(jù)用戶訪問密鑰和加解密密鑰生成的驗證密鑰�;所述U盤校驗密鑰是U盤的驗證密鑰�;所述加解密密鑰是提供數(shù)據(jù)加解密使用的。所述U盤校驗密鑰和USB存儲設備的分區(qū)信息保存在USB存儲設備的0扇區(qū)中�����,所述用戶校驗密鑰及U盤的策略保存到U盤加密分區(qū)的頭部�。步驟30�、認證步驟設備檢測模塊檢測USB存儲設備是否連接到系統(tǒng),當連接之后����,用戶通過UI交互模塊輸入訪問密鑰,認證模塊利用上述訪問密鑰計算出用戶密鑰�����,再將用戶密鑰和保存的用戶校驗密鑰計算出加解密密鑰��,然后利用該加解密密鑰對加密后的策略和保存的U盤校驗密鑰進行校驗��;步驟40�����、訪問步驟認證模塊檢驗成功之后,系統(tǒng)服務模塊加載虛擬設備驅(qū)動模塊并生成虛擬設備����,加解密模塊利用認證模塊生成的加解密密鑰對數(shù)據(jù)進行加解密,設備掛載模塊將生成的虛擬設備掛載到window卷��,用戶即可訪問加密分區(qū)��,操作記錄模塊將用戶對加密分區(qū)的操作行為記錄到日志分區(qū)���;步驟50����、訪問結束步驟當設備檢測模塊檢測USB存儲設備移除系統(tǒng)的時候����,系統(tǒng)服務模塊與虛擬設備驅(qū)動模塊解除引用關系并刪除虛擬設備,設備掛載模塊解除虛擬設備與window巷的掛載關系����。當本發(fā)明在內(nèi)網(wǎng)的環(huán)境下,則還需要對進行注冊審核�����,即在步驟10、20之間還包括步驟15����,注冊審核步驟用戶將USB存儲設備連接到系統(tǒng)進行注冊;管理員審核并設置使用權限即策略�。即本發(fā)明產(chǎn)品在內(nèi)網(wǎng)的環(huán)境的使用過程如下1、用戶初始化普通USB存儲設備��。 2����、用戶插入USB存儲設備并注冊���。(用于填寫該U盤使用者的信息��,包括但不限于姓名�,エ 號�����,郵件����,聯(lián)系電話��,能夠加強對U盤的使用管理�。以便后期能夠根據(jù)U盤使用日志追溯到使用者)3��、管理員審核并設置使用權限(即策略的信息�,管理員可以設置該U盤能夠在什么樣的網(wǎng)絡環(huán)境下,或PC中使用等)�����。4��、用戶插入USB存儲設備�,進行認證,認證通過后可訪問加密分區(qū)����。5、系統(tǒng)記錄用戶對加密分區(qū)的使用日志�,并保存在日志分區(qū)。6�����、用戶結束訪問。本發(fā)明通過U盤初始化模塊進行初始化�����,將普通USB存儲設備劃分為至少三個分區(qū)��,在未認證情況下只允許訪問普通分區(qū)�,而對加密分區(qū)則進行認證保護,只有認證模塊的認證成功之后���,用戶才可以訪問加密分區(qū)����,實現(xiàn)了數(shù)據(jù)保護功能��,防止USB存儲設備遺失或非法訪問造成數(shù)據(jù)泄密��。本發(fā)明通過操作記錄模塊記錄用戶對加密分區(qū)的訪問行為�,可以實現(xiàn)對加密分區(qū)的數(shù)據(jù)訪問的審計功能�,可追蹤加密分區(qū)的使用行為。本發(fā)明是在軟件層基于虛擬磁盤技術將普通USB存儲設備劃分為普通分區(qū)�、加密分區(qū)和日志分區(qū),使用純軟件技術實現(xiàn)對普通USB存儲設備的數(shù)據(jù)保護功能,不需要額外購買其他硬件設備�,可以減少客戶采購成本。 以上所述��,僅為本發(fā)明較佳實施例而已����,故不能依此限定本發(fā)明實施的范圍,即依本發(fā)明專利范圍及說明書內(nèi)容所作的等效變化與修飾��,皆應仍屬本發(fā)明涵蓋的范圍內(nèi)���。
權利要求
1.一種基于磁盤虛擬技術的USB存儲設備數(shù)據(jù)保護方法�,其特征在于具體包括如下步驟步驟10����、初始化步驟用戶通過UI交互模塊輸入訪問密鑰,U盤初始化模塊根據(jù)訪問密鑰和HASH生成模塊生成的數(shù)據(jù)密鑰生成U盤校驗密鑰�����、用戶校驗密鑰�����、加解密密鑰,并將 USB存儲設備劃分為復數(shù)個分區(qū)�,所述分區(qū)包括普通分區(qū)、加密分區(qū)����、日志分區(qū),同時更改 USB存儲設備分區(qū)表����,隱藏加密分區(qū)和日志分區(qū);步驟20�、U盤初始化模塊生成的加解密密鑰被加解密模塊用于對U盤的策略進行加密后消失,而生成的U盤校驗密鑰�、用戶校驗密鑰被保存起來;步驟30�、認證步驟設備檢測模塊檢測USB存儲設備是否連接到系統(tǒng),當連接之后��,用戶通過UI交互模塊輸入訪問密鑰���,認證模塊利用上述訪問密鑰計算出用戶密鑰����,再將用戶密鑰和保存的用戶校驗密鑰計算出加解密密鑰��,然后利用該加解密密鑰對加密后的策略和保存的U盤校驗密鑰進行校驗�;步驟40、訪問步驟認證模塊檢驗成功之后��,系統(tǒng)服務模塊加載虛擬設備驅(qū)動模塊并生成虛擬設備��,加解密模塊利用認證模塊生成的加解密密鑰對數(shù)據(jù)進行加解密���,設備掛載模塊將生成的虛擬設備掛載到window卷���,用戶即可訪問加密分區(qū),操作記錄模塊將用戶對加密分區(qū)的操作行為記錄到日志分區(qū)�;步驟50、訪問結束步驟當設備檢測模塊檢測USB存儲設備移除系統(tǒng)的時候�,系統(tǒng)服務模塊與虛擬設備驅(qū)動模塊解除引用關系并刪除虛擬設備,設備掛載模塊解除虛擬設備與 window卷的掛載關系���。
2.根據(jù)權利要求1所述的基于磁盤虛擬技術的USB存儲設備數(shù)據(jù)保護方法��,其特征在于所述步驟10中����,普通分區(qū)可正常訪問�����,加密分區(qū)需要認證模塊的認證成功后才可訪問。
3.根據(jù)權利要求1所述的基于磁盤虛擬技術的USB存儲設備數(shù)據(jù)保護方法���,其特征在于所述步驟20中���,所述U盤校驗密鑰和USB存儲設備的分區(qū)信息保存在USB存儲設備的 0扇區(qū)中,所述用戶校驗密鑰及U盤的策略保存到U盤加密分區(qū)的頭部��。
4.根據(jù)權利要求1所述的基于磁盤虛擬技術的USB存儲設備數(shù)據(jù)保護方法�����,其特征在于所述步驟10�、20之間還包括步驟15,即注冊審核步驟用戶將USB存儲設備連接到系統(tǒng)進行注冊�����;管理員審核并設置使用權限即策略����。
全文摘要
本發(fā)明提供一種基于磁盤虛擬技術的USB存儲設備數(shù)據(jù)保護方法,包括如下步驟10���、U盤初始化模塊生成U盤校驗密鑰����、用戶校驗密鑰��、加解密密鑰����,將U盤劃分普通分區(qū)、加密分區(qū)����、日志分區(qū),隱藏加密分區(qū)和日志分區(qū)����;20、加解密密鑰對U盤的策略加密后消失�,而U盤校驗密鑰、用戶校驗密鑰被保存��;30����、認證模塊利用訪問密鑰計算用戶密鑰��,再將用戶密鑰和用戶校驗密鑰計算出加解密密鑰���,對策略和U盤校驗密鑰進行校驗;40����、認證成功,用戶訪問加密分區(qū)�,操作記錄模塊將用戶對加密分區(qū)的操作行為記錄到日志分區(qū);50���、訪問結束��,設備掛載模塊解除虛擬設備與window卷的掛載���。本發(fā)明能夠在軟件層實現(xiàn)對USB存儲設備的數(shù)據(jù)保護功能。
文檔編號G06F12/14GK102567233SQ20111044094
公開日2012年7月11日 申請日期2011年12月23日 優(yōu)先權日2011年12月23日
發(fā)明者張輝 申請人:福建升騰資訊有限公司