CN100594504C - 基于隐藏加密分区和pki技术的移动介质防泄密方法 - Google Patents
基于隐藏加密分区和pki技术的移动介质防泄密方法 Download PDFInfo
- Publication number
- CN100594504C CN100594504C CN200710044736A CN200710044736A CN100594504C CN 100594504 C CN100594504 C CN 100594504C CN 200710044736 A CN200710044736 A CN 200710044736A CN 200710044736 A CN200710044736 A CN 200710044736A CN 100594504 C CN100594504 C CN 100594504C
- Authority
- CN
- China
- Prior art keywords
- user area
- move media
- user
- encryption key
- accreditation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于隐藏加密分区和PKI技术的移动介质防泄密方法,弥补现有技术的不足之处,包括如下的步骤:1)部署移动设备的注册系统;2)通过注册系统对移动设备的移动介质进行注册;3)由安装在客户机上的控制系统对移动介质进行监控及相应的控制;将移动介质格式化为系统区和用户区,其中系统区是隐藏的,存储了设备信息、用户区的密钥信息及签名信息;用户区的数据是加密的,保证了移动介质丢失时不会泄密,而在内部网络中使用移动介质时需对移动介质系统区中的设备信息及签名信息进行验证,从而确保了外部的普通移动介质无法在内部使用,实现了本发明的目的。
Description
技术领域
本发明涉及一种移动介质的防泄密方法,特别涉及一种基于隐藏加密分区和PKI技术的移动介质防泄密方法。
背景技术
随着USB技术的成熟和普及,基于USB技术的设备和应用层出不穷,如USB硬盘、USB鼠标、USB打印机等等。USB存储设备以其容量大,速度快,携带方便,使用简单(windows自带驱动,无须安装)等特点受到广泛青睐。
但是,USB存储设备带来方便性的同时,也对信息的安全性带来隐患。首先,系统外部人员或者系统内部人员可以轻易地使用USB设备将内部信息带出而不留任何痕迹;其次,USB存储设备种类繁多,包括U盘、USB硬盘、MP3、数码相机等都具有USB的存储功能,都可以接入系统带走信息,可谓防不胜防。
而现有的很多移动介质防泄密系统都是通过重写USB存储设备的头扇区来防止内部的USB存储设备在外部使用,通过写入特定的标志在内部对存储设备进行控制,存在着很多的安全隐患。
发明内容
本发明所要解决的技术问题在于提供一种基于隐藏加密分区和PKI技术的移动介质防泄密方法,弥补现有技术的不足之处。
本发明所要解决的技术问题可以通过以下技术方案来实现:
一种基于隐藏加密分区和PKI技术的移动介质防泄密方法,其特征在于,所述移动介质防泄密方法包括如下的步骤:
1)部署移动设备的注册系统;
2)通过注册系统对移动设备的移动介质进行注册;
3)由安装在客户机上的控制系统对移动介质进行监控及相应的控制。
所述步骤1)包括以下步骤:
(1)产生注册系统的公、私钥对,生成证书请求;
(2)生成自签名证书或者到第三方证书认证中心CA签发证书。
所述步骤2)包括以下的步骤:
(1)对注册系统提出制作申请;
(2)注册系统设定设备标识ID、用户区数据加密算法、用户区加密密钥的散列算法和用户区密钥加密算法;随机生成用户区加密密钥,计算用户区加密密钥的散列值,使用用户认证数据加密用户区密钥。
(3)注册系统格式化移动设备的移动介质,根据设定信息制作系统区和用户区,使用注册系统的私钥对用户区空间大小、用户区数据加密算法、用户区加密密钥的散列算法和用户区加密密钥的散列值信息进行签名,将设备标识ID、用户区空间大小、用户区数据加密算法、用户区加密密钥的散列算法、用户区加密密钥的散列值、签名信息、用户区密钥加密算法和用户区密钥被使用者认证数据加密后的密文写入系统区。
(4)注册系统记录移动介质的信息,完成注册。
所述步骤3)包括以下的步骤:
(1)控制系统发现移动介质接入;
(2)读取系统区,若无系统区则拒绝该移动介质;
(3)获取系统区内的签名信息,并使用信任的注册系统证书验证签名的正确性,若不正确则拒绝该移动介质接入;
(4)读取设备标识ID,根据注册系统发布的废除列表检验此设备是否已经被废除,若已经被废除,则拒绝该移动介质接入;
(5)读取用户区空间大小与系统区内记录的用户空间进行对比,若不相同则拒绝该移动介质接入;
(6)提示用户输入认证数据,使用认证数据解密用户区加密密钥密文,将解密后的密钥进行散列运算,与系统区内的密钥散列值进行对比,若不相同则加载用户区失败;
(7)使用解密后的密钥解密用户区并加载,移动介质接入成功。
本发明的基于隐藏加密分区和PKI技术的移动介质防泄密方法具有如下特点:
1、采用加密技术确保了移动介质中数据的安全性;
2、采用签名技术防止移动介质被伪造,保证了移动介质的可信性;
3、技术与硬件设备无关,可支持任何标准的USB移动设备,可用性高。
本发明的基于隐藏加密分区和PKI技术的移动介质防泄密方法,将移动介质格式化为系统区和用户区,其中系统区是隐藏的,存储了设备信息、用户区的密钥信息及签名信息;用户区的数据是加密的,保证了移动介质丢失时不会泄密,而在内部网络中使用移动介质时需对移动介质系统区中的设备信息及签名信息进行验证,从而确保了外部的普通移动介质无法在内部使用,实现了本发明的目的。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1是本发明的移动介质的结构示意图;
图2是本发明的移动介质的系统区的结构示意图。
具体实施方式
一种基于隐藏加密分区和PKI技术的移动介质防泄密方法,其应用系统至少包含两个部分:移动介质的注册系统和移动介质的控制系统。
移动介质的注册系统:负责对移动介质的注册操作,将移动介质标记为合法设备,同时负责移动介质的作废操作,发布设备作废列表。
移动介质的控制系统:安装在客户机上,对移动介质进行监控及相应的控制。
所述移动介质防泄密方法,包括如下的步骤:
1)部署移动设备的注册系统;
2)通过注册系统对移动设备的移动介质进行注册;
3)由安装在客户机上的控制系统对移动介质进行监控及相应的控制。
所述步骤1)包括以下步骤:
(1)产生注册系统的公、私钥对,生成证书请求;
(2)生成自签名证书或者到第三方证书认证中心CA签发证书。
所述步骤2)包括以下的步骤:
(1)对注册系统提出制作申请;
(2)注册系统设定设备标识ID、用户区数据加密算法、用户区加密密钥的散列算法和用户区密钥加密算法;随机生成用户区加密密钥,计算用户区加密密钥的散列值,使用用户认证数据加密用户区密钥。
(3)注册系统格式化移动设备的移动介质,根据设定信息制作系统区和用户区,使用注册系统的私钥对用户区空间大小、用户区数据加密算法、用户区加密密钥的散列算法和用户区加密密钥的散列值信息进行签名,将设备标识ID、用户区空间大小、用户区数据加密算法、用户区加密密钥的散列算法、用户区加密密钥的散列值、签名信息、用户区密钥加密算法和用户区密钥被使用者认证数据加密后的密文写入系统区。
(4)注册系统记录移动介质的信息,完成注册。
所述步骤3)包括以下的步骤:
(1)控制系统发现移动介质接入;
(2)读取系统区,若无系统区则拒绝该移动介质;
(3)获取系统区内的签名信息,并使用信任的注册系统证书验证签名的正确性,若不正确则拒绝该移动介质接入;
(4)读取设备标识ID,根据注册系统发布的废除列表检验此设备是否已经被废除,若已经被废除,则拒绝该移动介质接入;
(5)读取用户区空间大小与系统区内记录的用户空间进行对比,若不相同则拒绝该移动介质接入;
(6)提示用户输入认证数据,使用认证数据解密用户区加密密钥密文,将解密后的密钥进行散列运算,与系统区内的密钥散列值进行对比,若不相同则加载用户区失败;
(7)使用解密后的密钥解密用户区并加载,移动介质接入成功。
控制系统负责监控移动介质接入,并对其进行了控制。控制系统中保存了信任的注册系统的证书,即允许这些注册系统注册过的存储设备接入。
所述基于隐藏加密分区和PKI技术的移动介质防泄密方法主要通过将普通移动介质转化为安全移动介质,其方法如下:
1、移动介质的注册系统具备系统证书及对应的私钥(系统自生成或者第三方证书认证中心CA颁发)。
2、将移动介质分成两块区域:系统区和用户区。(如图1所示)
移动介质划分的区域必须具备以下条件:
1、系统区是一个特殊区域,存放移动介质的标识信息等相关系统信息,可以从真正的存储区域划分,也可以直接使用移动介质的特殊扇区,普通用户或者系统无法使用该区域。
2、用户区是一个加密区域,必须输入正确的加密密钥才能打开此区域,是用户存储数据的区域。
如图2所示,移动介质的系统区主要包含以下内容:
1、设备信息:移动介质的设备标识ID,用户区域空间信息,用户区数据加密算法,用户区加密密钥的散列算法,用户区密钥的散列值;
2、签名信息:移动介质的注册系统私钥对以上数据的签名;
3、密钥信息:用户区密钥加密算法,用户区密钥被使用者认证数据加密后的密文;使用者认证数据可以是口令、证书等使用者独有的数据。
当移动介质丢失或者由于其他原因需要禁止使用时,需要进行废除操作;因此,所述移动介质防泄密方法还包括移动介质注册的废除,它包括如下的步骤:
(1)向注册系统提出废除申请;
(2)注册系统将该移动介质标记为废除状态,并将该移动介质的设备ID列入废除列表中进行发布。
以上显示和描述了本发明的基本原理和主要特征及其优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (2)
1、一种基于隐藏加密分区和PKI技术的移动介质防泄密方法,其特征在于,所述移动介质防泄密方法包括如下的步骤:
1)部署移动设备的注册系统,包括:
(1)产生注册系统的公、私钥对,生成证书请求;
(2)生成自签名证书或者到第三方证书认证中心CA签发证书;
2)通过注册系统对移动设备的移动介质进行注册,包括:
(1)对注册系统提出制作申请;
(2)注册系统设定设备标识ID、用户区数据加密算法、用户区加密密钥的散列算法和用户区加密密钥加密算法;随机生成用户区加密密钥,计算用户区加密密钥的散列值,使用用户认证数据加密用户区加密密钥;
(3)注册系统格式化移动设备的移动介质,根据设定信息制作系统区和用户区,使用注册系统的私钥对用户区空间大小、用户区数据加密算法、用户区加密密钥的散列算法和用户区加密密钥的散列值信息进行签名,将设备标识ID、用户区空间大小、用户区数据加密算法、用户区加密密钥的散列算法、用户区加密密钥的散列值、签名信息、用户区加密密钥加密算法和被用户认证数据加密后的用户区加密密钥的密文写入系统区;
(4)注册系统记录移动介质的信息,完成注册;
3)由安装在客户机上的控制系统对移动介质进行监控及相应的控制,包括:
(1)控制系统发现移动介质接入;
(2)读取系统区,若无系统区则拒绝该移动介质;
(3)获取系统区内的签名信息,并使用信任的注册系统证书验证签名的正确性,若不正确则拒绝该移动介质接入;
(4)读取设备标识ID,根据注册系统发布的废除列表检验此设备是否已经被废除,若已经被废除,则拒绝该移动介质接入;
(5)读取用户区空间大小与系统区内记录的用户空间进行对比,若不相同则拒绝该移动介质接入;
(6)提示输入用户认证数据,使用用户认证数据解密用户区加密密钥密文,将解密后的加密密钥进行散列运算,与系统区内的用户区加密密钥散列值进行对比,若不相同则加载用户区失败;
(7)使用解密后的加密密钥解密用户区并加载,移动介质接入成功。
2、如权利要求1所述的方法,其特征在于,所述移动介质防泄密方法还包括移动介质注册的废除,它包括如下的步骤:
(1)向注册系统提出废除申请;
(2)注册系统将该移动介质标记为废除状态,并将该移动介质的设备ID列入废除列表中进行发布。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710044736A CN100594504C (zh) | 2007-08-09 | 2007-08-09 | 基于隐藏加密分区和pki技术的移动介质防泄密方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710044736A CN100594504C (zh) | 2007-08-09 | 2007-08-09 | 基于隐藏加密分区和pki技术的移动介质防泄密方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101101615A CN101101615A (zh) | 2008-01-09 |
| CN100594504C true CN100594504C (zh) | 2010-03-17 |
Family
ID=39035887
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710044736A Expired - Fee Related CN100594504C (zh) | 2007-08-09 | 2007-08-09 | 基于隐藏加密分区和pki技术的移动介质防泄密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100594504C (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102930224A (zh) * | 2012-10-19 | 2013-02-13 | 华为技术有限公司 | 硬盘数据写入、读取方法及装置 |
| EP3017582B1 (en) * | 2013-07-01 | 2020-11-04 | InterDigital CE Patent Holdings | Method to enroll a certificate to a device using scep and respective management application |
| CN107454048B (zh) * | 2016-06-01 | 2021-03-23 | 腾讯科技(深圳)有限公司 | 信息的处理方法及装置、信息的认证方法、装置及系统 |
| CN110659522B (zh) * | 2019-09-04 | 2020-11-10 | 广西电网有限责任公司防城港供电局 | 存储介质安全认证方法、装置、计算机设备和存储介质 |
| CN111177783B (zh) * | 2019-12-31 | 2022-05-27 | 北京明朝万达科技股份有限公司 | 移动存储介质防泄密的方法和装置 |
-
2007
- 2007-08-09 CN CN200710044736A patent/CN100594504C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN101101615A (zh) | 2008-01-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11880831B2 (en) | Encryption system, encryption key wallet and method | |
| US8831217B2 (en) | Digital rights management system and methods for accessing content from an intelligent storage | |
| CN101483518B (zh) | 一种用户数字证书私钥管理方法和系统 | |
| US9054880B2 (en) | Information processing device, controller, key issuing authority, method for judging revocation list validity, and key issuing method | |
| US20100005318A1 (en) | Process for securing data in a storage unit | |
| CN103067170B (zh) | 一种基于ext2文件系统的加密方法 | |
| CN104580250A (zh) | 一种基于安全芯片进行可信身份认证的系统和方法 | |
| EP3001599B1 (en) | Method and system for backing up private key of electronic signature token | |
| CN104796265A (zh) | 一种基于蓝牙通信接入的物联网身份认证方法 | |
| JP2006211349A (ja) | ファイルの暗号化・複合化プログラム、プログラム格納媒体 | |
| WO2001054099A1 (fr) | Systeme d'authentification de donnees | |
| CN101908113B (zh) | 一种认证方法及认证系统 | |
| CN102932143B (zh) | 数字审讯设备中的认证、加密解密与防篡改方法 | |
| KR20170047717A (ko) | 서버 및 이에 의한 스마트홈 환경의 관리 방법, 스마트홈 환경의 가입 방법 및 스마트 기기와의 통신 세션 연결 방법 | |
| US20100058047A1 (en) | Encrypting a unique cryptographic entity | |
| US11044105B2 (en) | System, method, and computer program product for sensitive data recovery in high security systems | |
| CN100594504C (zh) | 基于隐藏加密分区和pki技术的移动介质防泄密方法 | |
| US20230388121A1 (en) | Method for encrypting and decrypting data across domains based on privacy computing | |
| CN114267100A (zh) | 开锁认证方法、装置、安全芯片及电子钥匙管理系统 | |
| WO2009100678A1 (zh) | 控制文档库访问安全性的方法、系统及文档库 | |
| CN102811124A (zh) | 基于两卡三码技术的系统验证方法 | |
| JP2009290508A (ja) | 電子化情報配布システム、クライアント装置、サーバ装置および電子化情報配布方法 | |
| CN113326529A (zh) | 一种基于可信计算的去中心化架构统一方法 | |
| CN101795195A (zh) | 一种约束信息可变的加密认证电子地图的方法 | |
| US20080159543A1 (en) | Public Key Cryptographic Method And System, Certification Server And Memories Adapted For Said System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 200436 Room 601, Lane 299, Lane 299, JIANGCHANG West Road, Jingan District, Shanghai Patentee after: Geer software Limited by Share Ltd Address before: 200042 the 4 floor of block A, 288 Yuyao Road, Jingan District, Shanghai. Patentee before: Geer Software Co., Ltd., Shanghai |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100317 Termination date: 20190809 |