CN102567233B - 基于磁盘虚拟技术的usb存储设备数据保护方法 - Google Patents
基于磁盘虚拟技术的usb存储设备数据保护方法 Download PDFInfo
- Publication number
- CN102567233B CN102567233B CN201110440944.7A CN201110440944A CN102567233B CN 102567233 B CN102567233 B CN 102567233B CN 201110440944 A CN201110440944 A CN 201110440944A CN 102567233 B CN102567233 B CN 102567233B
- Authority
- CN
- China
- Prior art keywords
- key
- module
- user
- encryption
- usb
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种基于磁盘虚拟技术的USB存储设备数据保护方法,包括如下步骤:10、U盘初始化模块生成U盘校验密钥、用户校验密钥、加解密密钥,将U盘划分普通分区、加密分区、日志分区,隐藏加密分区和日志分区;20、加解密密钥对U盘的策略加密后消失,而U盘校验密钥、用户校验密钥被保存;30、认证模块利用访问密钥计算用户密钥,再将用户密钥和用户校验密钥计算出加解密密钥,对策略和U盘校验密钥进行校验;40、认证成功,用户访问加密分区,操作记录模块将用户对加密分区的操作行为记录到日志分区;50、访问结束,设备挂载模块解除虚拟设备与window卷的挂载。本发明能够在软件层实现对USB存储设备的数据保护功能。
Description
【技术领域】
本发明涉及一种基于磁盘虚拟技术的USB存储设备数据保护方法。
【背景技术】
USB存储设备的应用已经相当的广泛,USB存储设备在使用过程中易造成数据泄密,因此数据的保密和安全问题日益突出。现有技术中针对USB存储设备的加密常用的有安全U盘,安全U盘主要包括用户认证和硬件层数据透明加解密两部分。但是由于安全U盘需要专门的硬件来实现数据的保护,市面上现有的安全U盘都是基于硬件层实现数据保护功能,无法解决用户现有大量USB存储设备的数据安全问题,而且使用安全U盘替换用户大量现有的普通USB存储设备成本很高,又造成资源浪费。
【发明内容】
本发明要解决的技术问题,在于提供一种基于磁盘虚拟技术的USB存储设备数据保护方法,它能够在软件层实现对USB存储设备的数据保护功能。
本发明是这样实现的:一种基于磁盘虚拟技术的USB存储设备数据保护方法,具体包括如下步骤:
步骤10、初始化步骤:用户通过UI交互模块输入访问密钥,U盘初始化模块根据访问密钥和HASH生成模块生成的数据密钥生成U盘校验密钥、用户校验密钥、加解密密钥,并将USB存储设备划分为复数个分区,所述分区包括:普通分区、加密分区、日志分区,同时更改USB存储设备分区表,隐藏加密分区和日志分区;
步骤20、U盘初始化模块生成的加解密密钥被加解密模块用于对U盘的策略进行加密后消失,而生成的U盘校验密钥、用户校验密钥被保存起来;
步骤30、认证步骤:设备检测模块检测USB存储设备是否连接到系统,当连接之后,用户通过UI交互模块输入访问密钥,认证模块利用上述访问密钥计算出用户密钥,再将用户密钥和保存的用户校验密钥计算出加解密密钥,然后利用该加解密密钥对加密后的策略和保存的U盘校验密钥进行校验;
步骤40、访问步骤:认证模块校验成功之后,系统服务模块加载虚拟设备驱动模块并生成虚拟设备,加解密模块利用认证模块生成的加解密密钥对数据进行加解密,设备挂载模块将生成的虚拟设备挂载到window卷,用户即可访问加密分区,操作记录模块将用户对加密分区的操作行为记录到日志分区;
步骤50、访问结束步骤:当设备检测模块检测USB存储设备移除系统的时候,系统服务模块与虚拟设备驱动模块解除引用关系并删除虚拟设备,设备挂载模块解除虚拟设备与window卷的挂载关系。
进一步的,所述步骤10中,普通分区可正常访问,加密分区需要认证模块的认证成功后才可访问。
进一步的,所述步骤20中,所述U盘校验密钥和USB存储设备的分区信息保存在USB存储设备的0扇区中,所述用户校验密钥及U盘的策略保存到U盘加密分区的头部。
进一步的,所述步骤10、20之间还包括步骤15,即注册审核步骤:用户将USB存储设备连接到系统进行注册;管理员审核并设置使用权限即策略。
本发明具有如下优点:
1.本发明通过U盘初始化模块进行初始化,将普通USB存储设备划分为至少三个分区,在未认证情况下只允许访问普通分区,而对加密分区则进行认证保护,只有认证模块的认证成功之后,用户才可以访问加密分区,实现了数据保护功能,防止USB存储设备遗失或非法访问造成数据泄密。
2.本发明通过操作记录模块记录用户对加密分区的访问行为,可以实现对加密分区的数据访问的审计功能,可追踪加密分区的使用行为。
3.本发明是在软件层基于虚拟磁盘技术将普通USB存储设备划分为普通分区、加密分区和日志分区,使用纯软件技术实现对普通USB存储设备的数据保护功能,不需要额外购买其他硬件设备,可以减少客户采购成本。
【附图说明】
下面参照附图结合实施例对本发明作进一步的说明。
图1为本发明的模块结构示意图。
【具体实施方式】
请参阅图1所示,对本发明的实施例进行详细的说明。
结合图1,本发明一种基于磁盘虚拟技术的USB存储设备数据保护方法,它包括如下模块:
1、认证模块:对USB存储设备的上层应用开放认证接口。认证模块会根据上层应用所输入的访问密钥计算出用户密钥,用户密钥与用户校验密钥进行运算,计算出加解密密钥,同时利用加解密密钥对校验密钥和USB存储设备的策略进行校验,验证合法性。
2、HASH生成模块:进行数据运算随机产生512Bit的散列数据,用于生成数据密钥。
3、U盘初始化模块:根据HASH生成模块所产生的数据密钥以及用户的访问密钥,生成U盘校验密钥、用户校验密钥以及加解密密钥,并对USB存储设备中的数据进行初始化,同时将USB存储设备划分为普通分区、加密分区和日志分区,同时更改USB存储设备分区表,隐藏普通分区外的其它分区。
4、加解密模块:对数据进行透明加解密。
5、UI交互模块:提供用户交互界面,并与系统服务模块进行数据交互。
6、操作记录模块:将用户对加密分区的操作行为记录到日志分区。
7、系统服务模块:系统服务模块是所有模块的纽带,为虚拟设备驱动模块,设备检测模块,设备挂载模块,认证模块提供数据交换服务。
8、虚拟设备驱动模块:对USB存储设备的加密分区生成虚拟设备。
9、设备检测模块:检测USB存储设备是否接入系统或移除系统,并通知系统服务模块。
10、设备挂载:将虚拟设备驱动模块生成的虚拟设备挂载到windows卷,或解除虚拟设备与windows卷的挂载。
本发明具体包括如下步骤:
步骤10、初始化步骤:用户通过UI交互模块输入访问密钥,U盘初始化模块根据访问密钥和HASH生成模块生成的数据密钥生成U盘校验密钥、用户校验密钥、加解密密钥,并将USB存储设备划分为复数个分区,所述分区包括:普通分区、加密分区、日志分区,同时更改USB存储设备分区表,隐藏加密分区和日志分区,而普通分区可正常访问。
步骤20、U盘初始化模块生成的加解密密钥被加解密模块用于对U盘的策略进行加密后消失,而生成的U盘校验密钥、用户校验密钥被保存起来。所述策略是指对USB存储设备的权限信息,如定义USB存储设备在什么网络环境下可运行,在什么PC上可登录使用,加密分区是否开启写保护,USB存储设备是否记录加密分区的使用日志信息。所述用户校验密钥是根据用户访问密钥和加解密密钥生成的验证密钥;所述U盘校验密钥是U盘的验证密钥;所述加解密密钥是提供数据加解密使用的。所述U盘校验密钥和USB存储设备的分区信息保存在USB存储设备的0扇区中,所述用户校验密钥及U盘的策略保存到U盘加密分区的头部。
步骤30、认证步骤:设备检测模块检测USB存储设备是否连接到系统,当连接之后,用户通过UI交互模块输入访问密钥,认证模块利用上述访问密钥计算出用户密钥,再将用户密钥和保存的用户校验密钥计算出加解密密钥,然后利用该加解密密钥对加密后的策略和保存的U盘校验密钥进行校验;
步骤40、访问步骤:认证模块校验成功之后,系统服务模块加载虚拟设备驱动模块并生成虚拟设备,加解密模块利用认证模块生成的加解密密钥对数据进行加解密,设备挂载模块将生成的虚拟设备挂载到window卷,用户即可访问加密分区,操作记录模块将用户对加密分区的操作行为记录到日志分区;
步骤50、访问结束步骤:当设备检测模块检测USB存储设备移除系统的时候,系统服务模块与虚拟设备驱动模块解除引用关系并删除虚拟设备,设备挂载模块解除虚拟设备与window卷的挂载关系。
当本发明在内网的环境下,则还需要对进行注册审核,即在步骤10、20之间还包括步骤15,注册审核步骤:用户将USB存储设备连接到系统进行注册;管理员审核并设置使用权限即策略。
即本发明产品在内网的环境的使用过程如下:1、用户初始化普通USB存储设备。2、用户插入USB存储设备并注册。(用于填写该U盘使用者的信息,包括但不限于姓名,工号,邮件,联系电话,能够加强对U盘的使用管理。以便后期能够根据U盘使用日志追溯到使用者)3、管理员审核并设置使用权限(即策略的信息,管理员可以设置该U盘能够在什么样的网络环境下,或PC中使用等)。4、用户插入USB存储设备,进行认证,认证通过后可访问加密分区。5、系统记录用户对加密分区的使用日志,并保存在日志分区。6、用户结束访问。
本发明通过U盘初始化模块进行初始化,将普通USB存储设备划分为至少三个分区,在未认证情况下只允许访问普通分区,而对加密分区则进行认证保护,只有认证模块的认证成功之后,用户才可以访问加密分区,实现了数据保护功能,防止USB存储设备遗失或非法访问造成数据泄密。本发明通过操作记录模块记录用户对加密分区的访问行为,可以实现对加密分区的数据访问的审计功能,可追踪加密分区的使用行为。本发明是在软件层基于虚拟磁盘技术将普通USB存储设备划分为普通分区、加密分区和日志分区,使用纯软件技术实现对普通USB存储设备的数据保护功能,不需要额外购买其他硬件设备,可以减少客户采购成本。
以上所述,仅为本发明较佳实施例而已,故不能依此限定本发明实施的范围,即依本发明专利范围及说明书内容所作的等效变化与修饰,皆应仍属本发明涵盖的范围内。
Claims (4)
1.一种基于磁盘虚拟技术的USB存储设备数据保护方法,其特征在于:具体包括如下步骤:
步骤10、初始化步骤:用户通过UI交互模块输入访问密钥,U盘初始化模块根据访问密钥和HASH生成模块生成的数据密钥生成U盘校验密钥、用户校验密钥、加解密密钥,并将USB存储设备划分为复数个分区,所述分区包括:普通分区、加密分区、日志分区,同时更改USB存储设备分区表,隐藏加密分区和日志分区;
步骤20、U盘初始化模块生成的加解密密钥被加解密模块用于对U盘的策略进行加密后消失,而生成的U盘校验密钥、用户校验密钥被保存起来;
步骤30、认证步骤:设备检测模块检测USB存储设备是否连接到系统,当连接之后,用户通过UI交互模块输入访问密钥,认证模块利用上述访问密钥计算出用户密钥,再将用户密钥和保存的用户校验密钥计算出加解密密钥,然后利用该加解密密钥对加密后的策略和保存的U盘校验密钥进行校验;
步骤40、访问步骤:认证模块校验成功之后,系统服务模块加载虚拟设备驱动模块并生成虚拟设备,加解密模块利用认证模块生成的加解密密钥对数据进行加解密,设备挂载模块将生成的虚拟设备挂载到window卷,用户即可访问加密分区,操作记录模块将用户对加密分区的操作行为记录到日志分区;
步骤50、访问结束步骤:当设备检测模块检测USB存储设备移除系统的时候,系统服务模块与虚拟设备驱动模块解除引用关系并删除虚拟设备,设备挂载模块解除虚拟设备与window卷的挂载关系。
2.根据权利要求1所述的基于磁盘虚拟技术的USB存储设备数据保护方法,其特征在于:所述步骤10中,普通分区可正常访问,加密分区需要认证模块的认证成功后才可访问。
3.根据权利要求1所述的基于磁盘虚拟技术的USB存储设备数据保护方法,其特征在于:所述步骤20中,所述U盘校验密钥和USB存储设备的分区信息保存在USB存储设备的0扇区中,所述用户校验密钥及U盘的策略保存到U盘加密分区的头部。
4.根据权利要求1所述的基于磁盘虚拟技术的USB存储设备数据保护方法,其特征在于:所述步骤10、20之间还包括步骤15,即注册审核步骤:用户将USB存储设备连接到系统进行注册;管理员审核并设置使用权限即策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110440944.7A CN102567233B (zh) | 2011-12-23 | 2011-12-23 | 基于磁盘虚拟技术的usb存储设备数据保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110440944.7A CN102567233B (zh) | 2011-12-23 | 2011-12-23 | 基于磁盘虚拟技术的usb存储设备数据保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102567233A CN102567233A (zh) | 2012-07-11 |
| CN102567233B true CN102567233B (zh) | 2014-07-02 |
Family
ID=46412690
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110440944.7A Active CN102567233B (zh) | 2011-12-23 | 2011-12-23 | 基于磁盘虚拟技术的usb存储设备数据保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102567233B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102866964B (zh) * | 2012-09-18 | 2015-06-03 | 北京奇虎科技有限公司 | 一种保护存储设备上数据的方法及装置 |
| CN103051687B (zh) * | 2012-12-10 | 2016-05-25 | 浪潮(北京)电子信息产业有限公司 | 一种将应用业务部署到云存储虚拟机的系统及方法 |
| CN103593308B (zh) * | 2013-10-10 | 2016-08-17 | 福建升腾资讯有限公司 | 基于扇区写保护的u盘写保护方法 |
| CN103617005A (zh) * | 2013-11-28 | 2014-03-05 | 中国联合网络通信集团有限公司 | 智能卡的访问方法、装置及系统 |
| CN103902931A (zh) * | 2013-12-17 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种移动存储设备自动加密方法 |
| CN104731633B (zh) * | 2015-04-15 | 2018-02-13 | 上海斐讯数据通信技术有限公司 | 一种Linux系统下多分区存储设备卸载失败后回滚方法及系统 |
| CN104933348A (zh) * | 2015-05-21 | 2015-09-23 | 福建省卓展信息科技有限公司 | 防打扰安全优盘及其实现方法 |
| CN106529308B (zh) * | 2015-09-10 | 2020-01-31 | 深圳市中兴微电子技术有限公司 | 一种数据加密方法、装置及移动终端 |
| CN109840435A (zh) * | 2017-11-27 | 2019-06-04 | 深圳市朗科科技股份有限公司 | 一种存储设备的数据保护方法 |
| CN109684866B (zh) * | 2018-11-19 | 2021-03-23 | 北京计算机技术及应用研究所 | 一种支持多用户数据保护的安全优盘系统 |
| CN109815729A (zh) * | 2018-12-28 | 2019-05-28 | 北京奇安信科技有限公司 | 一种审计源文件的存储处理方法及装置 |
| CN110321302B (zh) * | 2019-06-28 | 2021-10-01 | 兆讯恒达科技股份有限公司 | 一种嵌入式系统数据存储区管理方法 |
| CN111045601A (zh) * | 2019-11-07 | 2020-04-21 | 北京北信源软件股份有限公司 | 一种基于fuse的虚拟磁盘加载方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101154256A (zh) * | 2006-09-26 | 2008-04-02 | 英特尔公司 | 启动可信共存环境的方法和装置 |
| CN101241527A (zh) * | 2007-02-09 | 2008-08-13 | 联想(新加坡)私人有限公司 | 用于普通验证的系统和方法 |
| CN102016873A (zh) * | 2008-06-24 | 2011-04-13 | 松下电器产业株式会社 | 访问控制装置、访问控制程序及访问控制方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8799680B2 (en) * | 2005-09-15 | 2014-08-05 | Microsoft Corporation | Transactional sealed storage |
| US8213618B2 (en) * | 2008-12-30 | 2012-07-03 | Intel Corporation | Protecting content on client platforms |
-
2011
- 2011-12-23 CN CN201110440944.7A patent/CN102567233B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101154256A (zh) * | 2006-09-26 | 2008-04-02 | 英特尔公司 | 启动可信共存环境的方法和装置 |
| CN101241527A (zh) * | 2007-02-09 | 2008-08-13 | 联想(新加坡)私人有限公司 | 用于普通验证的系统和方法 |
| CN102016873A (zh) * | 2008-06-24 | 2011-04-13 | 松下电器产业株式会社 | 访问控制装置、访问控制程序及访问控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102567233A (zh) | 2012-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102567233B (zh) | 基于磁盘虚拟技术的usb存储设备数据保护方法 | |
| CN102646077B (zh) | 一种基于可信密码模块的全盘加密的方法 | |
| CN103065102B (zh) | 基于虚拟磁盘的数据加密移动存储管理方法 | |
| CN107908574B (zh) | 固态盘数据存储的安全保护方法 | |
| CN107563213B (zh) | 一种防存储设备数据提取的安全保密控制装置 | |
| CN102262599B (zh) | 一种基于可信根的移动硬盘指纹认证方法 | |
| CN101494541B (zh) | 一种实现对pin码进行安全保护的系统及方法 | |
| TW202036347A (zh) | 資料儲存、驗證方法及裝置 | |
| CN106161024B (zh) | 一种usb控制芯片级的usb设备可信认证方法及其系统 | |
| CN101593550B (zh) | 警用高强度加密u盘 | |
| CN102495982A (zh) | 一种基于进程线程的防拷贝系统和防拷贝存储介质 | |
| CN101650693A (zh) | 一种移动硬盘的安全控制方法及安全移动硬盘 | |
| CN109190401A (zh) | 一种Qemu虚拟可信根的数据存储方法、装置及相关组件 | |
| CN103336746A (zh) | 一种安全加密u盘及其数据加密方法 | |
| CN206611427U (zh) | 一种基于可信计算装置的密钥存储管理系统 | |
| CN107911221B (zh) | 固态盘数据安全存储的密钥管理方法 | |
| CN105279453B (zh) | 一种支持分离存储管理的文件分区隐藏系统及其方法 | |
| CN104506480A (zh) | 基于标记与审计结合的跨域访问控制方法及系统 | |
| CN105303093A (zh) | 智能密码钥匙密码验证方法 | |
| CN102902903B (zh) | 一种带按键的电子商务智能密码钥匙及其实现方法 | |
| CN107239681A (zh) | 一种加密移动硬盘上位机软件结构 | |
| CN106778326A (zh) | 一种实现移动存储设备保护的方法及系统 | |
| CN103051593A (zh) | 一种数据安全摆渡的方法及系统 | |
| CN102983969B (zh) | 一种操作系统的安全登录系统及安全登录方法 | |
| CN104468491A (zh) | 一种基于安全信道的虚拟桌面系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |