CN102799539B - 一种安全优盘及其数据主动防护方法 - Google Patents
一种安全优盘及其数据主动防护方法 Download PDFInfo
- Publication number
- CN102799539B CN102799539B CN201210187755.8A CN201210187755A CN102799539B CN 102799539 B CN102799539 B CN 102799539B CN 201210187755 A CN201210187755 A CN 201210187755A CN 102799539 B CN102799539 B CN 102799539B
- Authority
- CN
- China
- Prior art keywords
- flash disk
- user
- flash
- disk
- management software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 16
- 230000006399 behavior Effects 0.000 claims abstract description 4
- 244000035744 Hura crepitans Species 0.000 claims description 35
- 238000004891 communication Methods 0.000 claims description 27
- 238000001514 detection method Methods 0.000 claims description 13
- 235000019580 granularity Nutrition 0.000 claims description 13
- 239000004576 sand Substances 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 claims description 7
- 230000000505 pernicious effect Effects 0.000 claims description 7
- 230000003612 virological effect Effects 0.000 claims description 6
- 230000002093 peripheral effect Effects 0.000 claims description 5
- 230000007613 environmental effect Effects 0.000 claims description 4
- 238000007689 inspection Methods 0.000 claims 1
- 239000002023 wood Substances 0.000 claims 1
- 241000700605 Viruses Species 0.000 abstract description 7
- 238000005516 engineering process Methods 0.000 abstract description 3
- 230000006378 damage Effects 0.000 abstract 1
- 230000002860 competitive effect Effects 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 5
- 238000007639 printing Methods 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000000151 deposition Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供了一种安全优盘及其数据主动防护方法,该安全优盘包括安全主控芯片、芯片内的COS系统、Flash存储器以及内置在Flash存储器上的优盘安全管理软件;COS系统在安全芯片内存储并管理用户对应的权限证书;优盘安全管理软件采用内存沙盒技术,监测并过滤用户和程序对优盘进行的各种操作,并在COS系统的配合下检查优盘设备使用环境和访问权限、控制解密到内存的优盘数据文件的非授权使用行为、并记录各种关键敏感操作。该优盘采用软硬件结合的一体化保护技术,不仅可以实现优盘的安全访问控制,还可以让权限不同的用户具有不同的优盘数据视图和细粒度操作权限,从而能够防止用户私自拷贝优盘内文件和内容,避免优盘数据遭病毒及木马的破坏和窃取。
Description
技术领域
本发明涉及移动信息存储领域,特别地,涉及一种安全优盘及其数据主动防护方法。
背景技术
优盘因其使用灵活、方便的特点,已经成为信息保存和传输的重要移动存储媒介,在企事业单位、政府和军队中也得以广泛使用。然而,优盘在信息安全防护上的脆弱性,使得所保存的涉及个人隐私信息、企业商业机密信息或政府军队机密信息等重要数据面临严重的安全威胁。
根据统计,近年各种安全漏洞造成的损失中,30%-40%是由于电子文件的泄露造成的;数据被窃案例中60%以上与存储文件的移动设备丢失或被窃有关。而据美国一研究机构的报告显示,企业数据泄密的损失在逐年递增,2008年平均损失是660万美元,部分公司的损失甚至高达3200万美元。因此,保证优盘数据的物理存储安全与可控性已成为优盘安全的重要课题。
目前,在优盘安全防护方面的解决方案主要有以下几种:
1、优盘加密:在优盘上集成加解密部件,或者通过文件系统的透明加解密方式,可以防止优盘信息丢失,但对于病毒木马不起作用,并可能导致格式不兼容等问题;
2、USB访问控制:在终端电脑上安装优盘控制系统来控制优盘中程序的自动运行或者控制USB端口的启用和禁用,前者只能在优盘插入时防止病毒和木马自动运行而导致的摆渡攻击,而后者严重影响用户的正常使用;
3、智能优盘:在优盘内安装安全控制软件,将本地机器上的安全控制机制引入到优盘上的控制软件中,实质上只是把安全控制的问题转移到了安全控制软件上,而没有提供很好的解决方法,对于信息泄露和病毒木马的防护还是需要借助于杀毒软件和防火墙来实现。
上述现有方案主要偏重于对优盘数据的加密存储保护,技术手段比较单一,不能实现优盘内数据从创建、存储、访问到使用的全生命周期管理,在使用过程中仍然存在诸如信息泄露等安全隐患。
发明内容
本发明目的在于提供一种安全优盘及其数据主动防护方法,以解决目前优盘不能防止未授权用户私自拷贝文件和木马随意窃取优盘数据的技术问题。
一种安全优盘,包括安全芯片、COS系统以及Flash存储器,所述Flash存储器上集成了优盘安全管理软件;
所述安全芯片包含USB通信接口、Flash控制器接口和存储空间,所述存储空间内存储有权限证书,所述权限证书上设置有账号的身份字段和对应的权限字段;所述权限字段包含对优盘内文件进行浏览、创建、修改、重命名、复制、打印、删除、另存、拖拽、粘贴和网络发送等用户操作权限,所述用户操作权限由所述优盘安全管理软件设置;
所述COS系统包含安全通信协议、加密文件索引信息、权限证书管理和安全算法协处理模块;所述安全算法协处理模块包含RSA算法、AES算法、SHA算法和真随机数产生的硬件加速电路;
COS系统通过USB通信接口和安全通信协议接收用户账号和访问请求后,从权限证书中获取当前账号的权限字段,并将是否允许其访问的判断返回给沙盒;符合权限则从COS控制的USB接口上放行当前访问,并根据具体权限级别,设置COS系统内的文件索引信息;
优盘安全管理软件包含内存沙盒控制模块、优盘登录界面、安全通信协议;所述优盘安全管理软件启动时检测优盘设备使用环境的安全状态,并通过登录界面接收用户账户和密码信息,由安全通信协议与COS系统进行交互,获取其授权后读取优盘文件数据并解密到内存沙盒中,同时对用户的细粒度操作实施进一步监控。
优选的,所述优盘安全管理软件还包括环境检测模块,所述环境检测模块检测优盘宿主的硬件特征信息、网络连接状态信息,并检测是否有木马、病毒或恶性插件在主机环境中运行。
优选的,所述权限证书包含证书有效期和证书使用环境特征。
优选的,所述权限证书对应相应的情景用户;所述情景用户包括网吧情景用户、打印社情景用户、招标情景用户、授课情景用户、办公室情景用户和家庭情景用户中的至少一种。
本发明还提供一种上述安全优盘的数据主动防护方法,包括如下步骤:
S101、安全优盘与终端连接后,内置的安全优盘管理软件被运行,启动沙盒控制模块,从登录界面接收用户输入的用户账号、密码后,通过安全通信协议将终端环境特征、用户帐号、密码等信息发送给优盘COS系统;
S102、COS系统通过查找内部管理的权限证书,匹配检查用户帐号、密码、终端环境及使用时段的合法性,如果全合法,则COS系统设置允许优盘数据访问标识,转入步骤S103;否则将匹配结果返回给优盘安全管理软件,并转入步骤S108;
S103、COS系统根据用户权限,设置用户视图能见的优盘容量和加密文件索引信息,并通知操作系统更新当前设备信息,将允许优盘数据访问的状态和当前用户权限返回给优盘安全管理软件;
S104、安全优盘管理软件提示优盘设备进入登录状态,并枚举安全优盘内的文件和目录信息,在沙盒控制下调用资源管理器显示,安全优盘管理软件进入后台托盘运行模式;
S105、优盘安全管理软件的沙盒控制模块监测用户和程序对优盘文件的各种操作和访问,并根据用户权限匹配各种细粒度操作是否被允许,如果允许,则转入步骤S106;否则转入步骤S107;所述细粒度操作包括浏览、修改、创建、删除、打印、另存、拷贝内容、网络发送操作;
S106、沙盒放行操作系统或应用程序的优盘访问请求,如果本次访问为读文件操作,COS系统将解密FLASH存储器内的文件数据,并放到沙盒对应的缓冲区中;如果本次访问为写文件操作,COS系统将加密对应的缓冲区数据,并存储到FLASH存储器上;加解密文件的密钥由COS系统在安全芯片内部管理,不同用户使用不同密钥,密钥通过优盘安全管理软件进行修改;
S107、沙盒阻止当前操作系统或应用程序对优盘的访问,通知COS系统记录本次违规操作日志,通知优盘安全管理软件显示操作被拒绝的提示信息;
S108、优盘数据访问接口保持关闭状态,优盘安全管理软件主动退出。
优选的,步骤S101中,安全优盘管理软件检测优盘宿主终端中是否有木马、病毒或恶性插件在运行,若是,则转入步骤S108。
本发明具有以下有益效果:
1、软硬件结合保护:本发明采用安全芯片替换普通优盘的USB接口芯片,并在安全芯片中实现一个芯片操作系统(COS,全称为Chip Operating Systems),安全优盘还内置安全管理软件。由于安全芯片及其COS系统具备Pin码保护、密钥和证书管理、加解密硬件加速等安全功能,能通过约定的安全通信协议与优盘盘安全管理软件及其沙盒控制模块紧密配合,极大地增强了系统的安全性。
2、细粒度访问控制:
a、权限细粒度:用户或应用程序对优盘及其文件访问和操作的权限细分为:创建、浏览/读取、修改、重命名、删除、另存、拖拽、复制/粘贴、打印、网络发送等,不同权限还可相互组合;
b、文件索引细粒度:不同权限用户对应的文件索引表视图不同,实现不同用户登录优盘后看到的优盘中,文件数目多少,文件目录结构都可以不同,从而可以隐藏没有授权给该用户的保护文件;
c、时间细粒度:可在权限证书上增加时间有效期,超过证书有效期后未授权用户不能对优盘进行任何操作,甚至不能打开优盘浏览文件;
d、环境细粒度:权限证书使用的终端环境受到限制,某些权限证书只能在具有特定物理硬件特征和网络连接状态信息的终端(如某个CPU序列号的机器或非互联网机器)上使用。
3、沙盒安全控制:沙盒通过虚拟化技术将终端内存进行隔离,并能监测到该内存区域的所有访问和修改,沙盒安全控制能够保护解密到内存的优盘数据文件片段,防止其他用户、恶意软件通过内存直接拷贝的方法泄漏保护内容,确保保护的敏感数据始终处于严格管控状态下。
4、环境可信检测:优盘与终端连接后,主动检测该终端的使用环境,例如检测优盘宿主的硬件特征和网络连接状态,检测宿主中是否有木马、病毒及恶性插件在运行,有则禁止优盘登录和打开,达到主动识别优盘所处环境优劣,减少使用风险的目的。
5、主动隔离防护:通过内存沙盒和COS系统的密切配合,从各个角度对优盘数据的创建、使用、存储、删除等整个生命周期中的操作进行监控,保护优盘数据的物理安全,实现对优盘数据灵活的访问控制,形成一套多层次的立体隔离体系,实现真正意义上的文件“内容防泄漏”,适用于个人隐私、企业机密、银行业务、电子商务、政府军队机要秘密文件等对机密性要求高的数据物理性传输。
除了上面所描述的目的、特征和优点之外,本发明还有其它的目的、特征和优点。下面将参照图,对本发明作进一步详细的说明。
附图说明
构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明优选实施例的模块结构示意图;
图2是本发明优选实施例的方法流程示意图。
具体实施方式
以下结合附图对本发明的实施例进行详细说明,但是本发明可以根据权利要求限定和覆盖的多种不同方式实施。
参见图1,一种安全优盘,包括安全芯片1、安全芯片1上的COS系统2以及Flash存储器3,Flash存储器3上集成了优盘安全控制软件31,可灵活配置各账号的权限、进行自锁、拒绝非授权操作等。
所述安全芯片1包含USB通信接口、Flash控制器接口和存储空间4,所述存储空间4内存储有固件代码、配置参数和权限证书41,所述权限证书41对应相应的用户,设置有账号的身份字段和对应的权限字段。安全芯片1已经具备USB通信接口和Flash控制器接口,因此可以通过该安全芯片1直接连接优盘的Flash存储器3,则不再需要USB接口芯片。
权限证书41直接存储在安全芯片1的存储空间4内。可将该存储空间4分成两个部分,一部分用于存储固件代码,另一部分存储空间4和EEPROM用于存储各种配置参数和权限证书41等。由于权限证书41的容量一般不会超过2K,因而存储空间4为128k的安全芯片1可以存储至少80个权限证书41;也即可以创建至少80个不同的用户账号。
权限证书41可在X509证书上进行字段扩展,优盘安全控制软件31在该扩展字段中填入该证书对应账号的身份字段和相关权限信息,例如浏览、创建、修改、重命名、复制、打印、删除、另存、拖拽、粘贴的操作权限,并可灵活组合上述操作权限,从各个细化操作上对优盘数据进行保护。
优选地,权限证书41上的所述权限字段还可以包含证书有效期;在时间上限定该证书效力,加强安全保护。
用户账号可以是个人用户账号,也可以是情景用户账号。情景用户即针对某个特殊场景的虚拟用户;优盘的管理者可通过优盘安全控制软件31对各个用户的账号、密码、权限进行设置。例如,可以预先创建一个“网吧情景”或者“打印社情景”的情景用户,在创建时要设置在预期环境中所需设置的权限,比如能否拷贝文件、删除文件等,并为其设置一个与之对应的帐户信息:用户名和密码。到达网吧时,就使用“网吧情景”的账户信息登录优盘系统,到达“打印社”时就选择“打印社情景”的账户登录,这样就能够使优盘内数据按照相应的权限被访问,基于预期进行访问控制。可以理解的是,情景用户可包含网吧情景用户、打印社情景用户、招标情景用户、授课情景用户、办公室情景用户和家庭情景用户等。
所述COS系统2可包括安全通信协议、加密文件索引信息、权限证书管理和安全算法协处理模块21;接口模块可包括GPIO接口、Flash接口和USB接口,可针对多种模块进行数据传输。
安全算法协处理模块21则包含RSA算法、AES算法、DES算法、SHA算法和真随机数产生的硬件加速电路,运用多种手段进行辅助运算。
COS系统2通过USB通信接口和安全通信协议接收用户账号和访问请求后,从权限证书41中获取当前账号的权限字段,并将是否允许其访问的判断返回给沙盒;符合权限则从COS控制的USB接口上放行当前访问,并根据具体权限级别,设置COS系统内的文件索引信息。
优盘安全管理软件31还包含内存沙盒控制模块5、优盘登录界面和安全通信协议;优盘安全管理软件31启动时检测优盘设备使用环境的安全状态,并通过登录界面接收用户的账户和密码信息,由安全通信协议与COS系统2进行交互,获取其授权后读取优盘文件数据并解密到内存沙盒中,同时对用户的细粒度操作实施进一步监控。
优选地,COS系统还可包括环境检测模块,在检测优盘宿主的外设连接后,将外设信息发送给所述通讯协议模块,所述通讯协议模块可将其显示在宿主屏幕上,并关闭优盘数据访问接口。例如包括防火墙、杀毒软件、网络连接、刻录设备、打印机、绘图仪、其他USB设备等进行必要的安全检测,以期优盘能够识别所处环境的优劣,从而为用户决定是否进行相应的操作提供参考信息。特别是可以检测优盘宿主中是否有木马、病毒及恶性插件等在运行,为优盘数据提供安全保障。
本发明还提供一种支持安全优盘数据防泄漏的方法,包括步骤:
S101、安全优盘与终端连接后,内置的安全优盘管理软件被运行,该软件可先检测所在终端的环境特征,如果发现病毒和木马运行,则提示优盘使用环境不安全,转入步骤S108;否则启动沙盒控制模块,从登录界面接收用户输入的用户账号、密码后,通过安全通信协议将终端环境特征、用户帐号、密码等信息发送给优盘COS系统;也可不检测环境而直接启动沙盒控制模块;
S102、COS系统通过查找内部管理的用户权限证书,匹配检查用户帐号、密码、终端环境及使用时段的合法性,如果全合法,则COS系统设置允许优盘数据访问标识,转入步骤S103;否则将匹配结果返回给优盘安全管理软件,并转入步骤S108;管理者可预先设置多个权限证书41,以应对多个不同情境、多个用户需要多种级别权限的情况。
S103、COS系统根据用户权限,设置用户视图能见的优盘容量和加密文件索引信息,并通知操作系统更新当前设备信息,将允许优盘数据访问的状态和当前用户权限返回给优盘安全管理软件;
S104、安全优盘管理软件提示优盘设备进入登录状态,并枚举安全优盘内的文件和目录信息,在沙盒控制下调用资源管理器显示,安全优盘管理软件进入后台托盘运行模式;
S105、优盘安全管理软件的沙盒控制模块监测用户和程序对优盘文件的各种操作和访问,重点监测解密到内存沙盒的数据是否被转移到沙盒外,并根据用户权限匹配各种细粒度操作是否被允许,如果允许,则转入步骤S106;否则转入步骤S107;所述细粒度操作包括浏览、修改、创建、删除、打印、另存、拷贝内容、网络发送操作;
S106、沙盒放行操作系统或应用程序的优盘访问请求,如果本次访问为读文件操作,COS系统将解密FLASH存储器内的文件数据,并放到沙盒对应的缓冲区中;如果本次访问为写文件操作,COS系统将加密对应的缓冲区数据,并存储到FLASH存储器上;加解密文件的密钥由COS系统在安全芯片内部管理,不同用户使用不同密钥,密钥通过优盘安全管理软件进行修改;
S107、沙盒阻止当前操作系统或应用程序对优盘的访问,通知COS系统记录本次违规操作日志,通知优盘安全管理软件显示操作被拒绝的提示信息。管理员可以预先设置非法操作的容忍次数,当使用者违规行为超过既定次数时,根据其情节轻重,系统主动采取“自锁”的防护措施保护优盘数据安全。
S108、优盘数据访问接口保持关闭状态,优盘安全管理软件主动退出。
以下为具体实施例。
实施例一、
A、管理者在优盘安全控制软件中建立“网吧”情景用户的账号和密码,并将其权限设置为“防止文件拷贝”;安全芯片的存储空间内存储“网吧”情景用户的权限证书;
B、使用者在网吧将优盘与终端连接,输入“网吧”情景用户的账号和密码,优盘对比权限证书,匹配合格;
C、在优盘上点击“建立新文档”;
D、COS系统的通讯协议模块在沙盒中比对优盘安全控制软件中“网吧”情景用户账号的权限,发现建立新文档是被允许的;
E、新文档被建立;
F、电脑木马企图拷贝优盘上文档;
G、COS系统在沙盒中比对优盘安全控制软件中“网吧”情景用户账号的权限,发现拷贝文件是被禁止的;
H、木马拷贝文件的操作被阻止,给出权限不足的提示,并可同时记录至日志,并关闭优盘数据访问接口。
实施例二、
A、竞标方在优盘安全控制软件中建立“竞标”情景用户的账号和密码,并将其权限设置为“防止文件拷贝、另存、删除、修改、打印;允许浏览”,其证书有效期为24个小时;安全芯片的存储空间内存储“竞标”情景用户的权限证书;
B、将优盘及“竞标”情景用户的账号和密码发送给招标方;
C、招标方将优盘与终端连接,安全优盘管理软件检测所在终端的环境特征,未发现病毒和木马运行,启动沙盒控制模块;接收到输入的“竞标”情景用户的账号和密码,优盘对比权限证书,匹配合格;
C、在优盘上点击“打开文档”;
D、COS系统的通讯协议模块在沙盒中比对优盘安全控制软件中“竞标”情景用户账号的权限,发现打开文档是被允许的;
E、文档被打开,显示在终端屏幕上;
F、招标方点击“打印文档”;
G、COS系统在沙盒中比对优盘安全控制软件中“竞标”情景用户账号的权限,发现打印文件是被禁止的;
H、招标方打印文件的操作被阻止,给出权限不足的提示,并可同时记录至日志;
I、招标方点击“另存文档”,想将该文档另存至本地硬盘上;
J、COS系统在沙盒中比对优盘安全控制软件中“竞标”情景用户账号的权限,发现另存文件是被禁止的;
K、招标方另存文件的操作被阻止,给出权限不足的提示,并可同时记录至日志;
L、24小时后,招标结束;竞标方的竞争对手得到该优盘和招标方账号密码,试图登陆该优盘;
M、COS系统在沙盒中比对优盘安全控制软件中“竞标”情景用户账号的权限和有效期,发现该账号证书已过期;
N、优盘关闭优盘数据访问接口,优盘安全管理软件主动退出,拒绝该用户的任何操作。
上述实施例终端可以是电脑、移动通讯设备等。优盘还可主动检测优盘宿主的外设连接,并将外设信息显示至宿主屏幕,为优盘使用者提供操作参考。特别是可以检测优盘宿主中是否有木马、病毒及恶性插件在运行,有则禁止沙盒执行操作命令,为数据安全提供保障。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种安全优盘,其特征在于,
包括安全芯片、COS系统以及Flash存储器,所述Flash存储器上集成了优盘安全管理软件;
所述安全芯片包含USB通信接口、Flash控制器接口和存储空间,所述存储空间内存储有权限证书,所述权限证书上设置有账号的身份字段和对应的权限字段;所述权限字段包含对优盘内文件进行浏览、创建、修改、重命名、复制、打印、删除、另存、拖拽、粘贴和网络发送等用户操作权限,所述用户操作权限由所述优盘安全管理软件设置;
所述COS系统包含安全通信协议、加密文件索引信息、权限证书管理和安全算法协处理模块;所述安全算法协处理模块包含RSA算法、AES算法、SHA算法和真随机数产生的硬件加速电路;所述权限证书包含证书有效期和证书使用环境特征;所述权限证书对应相应的情景用户;所述情景用户包括网吧情景用户、打印社情景用户、招标情景用户、授课情景用户、办公室情景用户和家庭情景用户中的至少一种;
COS系统通过USB通信接口和安全通信协议接收用户账号和访问请求后,从权限证书中获取当前账号的权限字段,并将是否允许其访问的判断返回给沙盒;符合权限则从COS控制的USB接口上放行当前访问,并根据具体权限级别,设置COS系统内的文件索引信息;
优盘安全管理软件包含内存沙盒控制模块、优盘登录界面、安全通信协议以及环境检测模块;所述环境检测模块检测优盘宿主的外设连接后,将外设信息发送给通讯协议模块;所述优盘安全管理软件启动时检测优盘设备使用环境的网络连接状态,并通过登录界面接收用户账户和密码信息,由安全通信协议与COS系统进行交互,获取其授权后读取优盘文件数据并解密到内存沙盒中,同时对用户的细粒度操作实施进一步监控。
2.根据权利要求1所述的一种安全优盘,其特征在于,所述环境检测模块检测是否有木马、病毒或恶性插件在主机环境中运行。
3.一种如权利要求1所述的安全优盘的数据主动防护方法,其特征在于,包括如下步骤:
S101、安全优盘与终端连接后,内置的安全优盘管理软件被运行,启动沙盒控制模块,从登录界面接收用户输入的用户账号、密码后,通过安全通信协议将终端环境特征、用户帐号、密码等信息发送给优盘COS系统;
S102、COS系统通过查找内部管理的权限证书,匹配检查用户帐号、密码、终端环境及使用时段的合法性,如果全合法,则COS系统设置允许优盘数据访问标识,转入步骤S103;否则将匹配结果返回给优盘安全管理软件,并转入步骤S108;
S103、COS系统根据用户权限,设置用户视图能见的优盘容量和加密文件索引信息,并通知操作系统更新当前设备信息,将允许优盘数据访问的状态和当前用户权限返回给优盘安全管理软件;
S104、安全优盘管理软件提示优盘设备进入登录状态,并枚举安全优盘内的文件和目录信息,在沙盒控制下调用资源管理器显示,安全优盘管理软件进入后台托盘运行模式;
S105、优盘安全管理软件的沙盒控制模块监测用户和程序对优盘文件的各种操作和访问,并根据用户权限匹配各种细粒度操作是否被允许,如果允许,则转入步骤S106;否则转入步骤S107;所述细粒度操作包括浏览、修改、创建、删除、打印、另存、拷贝内容、网络发送操作;
S106、沙盒放行操作系统或应用程序的优盘访问请求,如果本次访问为读文件操作,COS系统将解密FLASH存储器内的文件数据,并放到沙盒对应的缓冲区中;如果本次访问为写文件操作,COS系统将加密对应的缓冲区数据,并存储到FLASH存储器上;加解密文件的密钥由COS系统在安全芯片内部管理,不同用户使用不同密钥,密钥通过优盘安全管理软件进行修改;
S107、沙盒阻止当前操作系统或应用程序对优盘的访问,通知COS系统记录本次违规操作日志,通知优盘安全管理软件显示操作被拒绝的提示信息;
S108、优盘数据访问接口保持关闭状态,优盘安全管理软件主动退出。
4.根据权利要求3所述的一种安全优盘数据主动防护方法,其特征在于,步骤S101中,安全优盘管理软件检测优盘宿主终端中是否有木马、病毒或恶性插件在运行,若是,则转入步骤S108。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210187755.8A CN102799539B (zh) | 2012-06-08 | 2012-06-08 | 一种安全优盘及其数据主动防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210187755.8A CN102799539B (zh) | 2012-06-08 | 2012-06-08 | 一种安全优盘及其数据主动防护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102799539A CN102799539A (zh) | 2012-11-28 |
| CN102799539B true CN102799539B (zh) | 2016-12-21 |
Family
ID=47198652
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210187755.8A Active CN102799539B (zh) | 2012-06-08 | 2012-06-08 | 一种安全优盘及其数据主动防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102799539B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105468552A (zh) * | 2014-09-12 | 2016-04-06 | 中兴通讯股份有限公司 | Usb设备的驱动方法、主机及usb设备 |
| CN105631315B (zh) * | 2015-12-25 | 2021-03-09 | 北京奇虎科技有限公司 | 一种移动存储设备内文件的编辑方法和装置 |
| CN106951790B (zh) * | 2016-12-15 | 2019-12-13 | 中国电子科技集团公司第三十研究所 | Usb存储介质透明加密方法 |
| CN111223557A (zh) * | 2018-11-23 | 2020-06-02 | 深圳市帝迈生物技术有限公司 | 一种终端设备及其系统管理方法、存储器 |
| CN109902513A (zh) * | 2019-03-05 | 2019-06-18 | 黄冈职业技术学院 | 一种智能化计算机安全系统 |
| CN111597544B (zh) * | 2020-05-18 | 2024-05-14 | 贵州电网有限责任公司 | 一种应用于usb接口的中介式物理隔离方法及系统 |
| CN112291206B (zh) * | 2020-10-14 | 2023-08-15 | 北京安石科技有限公司 | 通过主控芯片提升操作系统安全的方法 |
| JP2022124165A (ja) * | 2021-02-15 | 2022-08-25 | キオクシア株式会社 | メモリシステム |
| CN113794777A (zh) * | 2021-09-16 | 2021-12-14 | 深圳潮数软件科技有限公司 | 一种安全文件摆渡系统 |
| CN116150786B (zh) * | 2023-01-10 | 2023-11-28 | 深圳技术大学 | 基于指令密匙自行设定的u盘文件加密系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002342286A (ja) * | 2001-05-22 | 2002-11-29 | Hitachi Ltd | 電子情報管理システムおよびサーバおよびクライアント |
| CN1797372A (zh) * | 2004-12-23 | 2006-07-05 | 钟巨航 | 用于数据处理系统的存储方法和装置 |
| CN101320413A (zh) * | 2007-06-07 | 2008-12-10 | 李武 | 移动存储防病毒设备及其防毒、杀毒方法 |
| CN102197363A (zh) * | 2008-10-24 | 2011-09-21 | 汤姆逊许可公司 | 用于选择和配置默认存储区的设备及对应方法 |
| CN102368230A (zh) * | 2011-10-31 | 2012-03-07 | 北京天地融科技有限公司 | 移动存储器的访问控制方法、移动存储器及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070118609A1 (en) * | 2005-11-23 | 2007-05-24 | France Telecom | Distributed computing architecture and associated method of providing a portable user environment |
| CN100464315C (zh) * | 2006-05-22 | 2009-02-25 | 中国软件与技术服务股份有限公司 | 移动存储器失泄密防护的方法和系统 |
-
2012
- 2012-06-08 CN CN201210187755.8A patent/CN102799539B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002342286A (ja) * | 2001-05-22 | 2002-11-29 | Hitachi Ltd | 電子情報管理システムおよびサーバおよびクライアント |
| CN1797372A (zh) * | 2004-12-23 | 2006-07-05 | 钟巨航 | 用于数据处理系统的存储方法和装置 |
| CN101320413A (zh) * | 2007-06-07 | 2008-12-10 | 李武 | 移动存储防病毒设备及其防毒、杀毒方法 |
| CN102197363A (zh) * | 2008-10-24 | 2011-09-21 | 汤姆逊许可公司 | 用于选择和配置默认存储区的设备及对应方法 |
| CN102368230A (zh) * | 2011-10-31 | 2012-03-07 | 北京天地融科技有限公司 | 移动存储器的访问控制方法、移动存储器及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102799539A (zh) | 2012-11-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102799539B (zh) | 一种安全优盘及其数据主动防护方法 | |
| US8341756B2 (en) | Securing data in a networked environment | |
| US8769605B2 (en) | System and method for dynamically enforcing security policies on electronic files | |
| US8141159B2 (en) | Method and system for protecting confidential information | |
| CN104102595A (zh) | 一种高保密可移动存储设备 | |
| US20080052539A1 (en) | Inline storage protection and key devices | |
| CN102043927B (zh) | 一种用于计算机系统的数据泄密防护方法 | |
| KR101373542B1 (ko) | 가상화 기반 논리적 망 분리 기법을 이용한 개인정보 보호 시스템 | |
| CN101853363A (zh) | 一种文件保护方法及系统 | |
| GB2411988A (en) | Preventing programs from accessing communication channels withut user permission | |
| KR101414580B1 (ko) | 다중 등급 기반 보안 리눅스 운영 시스템 | |
| CN104778954B (zh) | 一种光盘分区加密方法及系统 | |
| Pramanik et al. | Security policies to mitigate insider threat in the document control domain | |
| JP6729013B2 (ja) | 情報処理システム、情報処理装置及びプログラム | |
| CN105205403B (zh) | 基于文件过滤的管控局域网文件数据的方法、系统 | |
| Rehman et al. | Strengthening the bitcoin safety: a graded span based key partitioning mechanism | |
| Michalska et al. | Security risks and their prevention capabilities in mobile application development | |
| JP4974246B2 (ja) | ファイルの持ち出し監視システム | |
| Wang et al. | Security strategy and research of power protection equipment based on SELinux | |
| Griscioli et al. | Securing promiscuous use of untrusted usb thumb drives in industrial control systems | |
| Liu et al. | A sustainable approach to security and privacy in health information systems | |
| Арустамов et al. | Профессиональный иностранный язык для специалистов в области компьютерной безопасности: учебное пособие | |
| Poniszewska-Marańda et al. | Secure Development Strategy Model Framework for Security of Mobile Applications | |
| Nyamwaro | Application for enhancing confidentiality and availability for sensitive user data using AES algorithm in smartphone devices | |
| Naguib et al. | Database Security: Current Challenges and Effective Protection Strategies |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C53 | Correction of patent of invention or patent application | ||
| CB03 | Change of inventor or designer information |
Inventor after: Ren Shuangchun Inventor before: Ren Jiangchun |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: INVENTOR; FROM: REN JIANGCHUN TO: REN SHUANGCHUN |
|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 410000 Hunan province Changsha Kaifu District, North Station Road No. 649 Building 1 room 27015 days Applicant after: HUNAN WENDUN INFORMATION TECHNOLOGY CO.,LTD. Address before: 410012 Hunan province Changsha Station Road, No. 649, Tonghua day a 27015 room Applicant before: CHANGSHA WENDUN INFORMATION TECHNOLOGY Co.,Ltd. |
|
| COR | Change of bibliographic data | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210310 Address after: Room 503, building 12, wanxuyuan, 203 Sany Avenue, Kaifu District, Changsha City, Hunan Province, 410005 Patentee after: Ren Jiangchun Address before: 410000 room 27015, building 1, Tiandu building, 649 Chezhan North Road, Kaifu District, Changsha City, Hunan Province Patentee before: HUNAN WENDUN INFORMATION TECHNOLOGY Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210702 Address after: Room 301, complex building, Futian Xingye building, 377 Jinma Road, Furong North Road Street, Kaifu District, Changsha City, Hunan Province, 410005 Patentee after: HUNAN WENDUN INFORMATION TECHNOLOGY Co.,Ltd. Address before: Room 503, building 12, wanxuyuan, 203 Sany Avenue, Kaifu District, Changsha City, Hunan Province, 410005 Patentee before: Ren Jiangchun |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240527 Address after: No. 601, Building 12, Phase II, Jinzhuo Industrial Park, No. 118 Qingzhuhu Road, Qingzhuhu Street, Kaifu District, Changsha City, Hunan Province, 410201 Patentee after: HUNAN WENDUN INFORMATION TECHNOLOGY CO.,LTD. Country or region after: China Patentee after: National University of Defense Technology Address before: Room 301, complex building, Futian Xingye building, 377 Jinma Road, Furong North Road Street, Kaifu District, Changsha City, Hunan Province, 410005 Patentee before: HUNAN WENDUN INFORMATION TECHNOLOGY CO.,LTD. Country or region before: China |
|
| TR01 | Transfer of patent right |