CN102930212A - 用于办公系统的防数据泄密方法 - Google Patents
用于办公系统的防数据泄密方法 Download PDFInfo
- Publication number
- CN102930212A CN102930212A CN2012104584563A CN201210458456A CN102930212A CN 102930212 A CN102930212 A CN 102930212A CN 2012104584563 A CN2012104584563 A CN 2012104584563A CN 201210458456 A CN201210458456 A CN 201210458456A CN 102930212 A CN102930212 A CN 102930212A
- Authority
- CN
- China
- Prior art keywords
- usb
- decryption
- encryption
- key
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
- Information Transfer Systems (AREA)
Abstract
本发明公开一种用于办公系统的防数据泄密方法,包括:由若干台计算机组成的局域网和移动存储设备,一USB加解密桥接器和USB密钥设备;所述USB加解密桥接器一端与所述计算机主板上的南桥芯片连接,其另一端作为外露USB存储设备的主接口;USB加解密桥接器功能管理模块,其位于USB加解密桥接器与USB密钥设备,用于响应USB密钥设备的指令从而配置USB加解密桥接器功能,此USB加解密桥接器进一步包括:第一USB从接口模块;USB主接口模块;数据存储区;第一加解密模块;第一闪存存储模块;USB数据传输管理模块;所述USB密钥设备进一步包括:第二USB从接口模块;第二加解密模块;第二闪存存储模块。本发明防数据泄密方法可任意设置工作域,方便了权限管理效率,且有效避免了工作域内数据的外泄。
Description
原申请号201110020320X,申请日2011年1月18日,发明名称为:阻燃抗撕矿用电缆橡皮护套材料及制备方法。
技术领域
本发明涉及一种用于办公系统的防数据泄密方法,属于安全存储应用领域。
背景技术
目前,USB存储设备是目前应用最广泛的移动存储设备,包括U盘和移动硬盘等。越来越多的企事业单位使用USB存储设备作为日常交换信息的工具,在使用过程中,存在两方面的风险:一方面,企事业单位内部计算机上存储的重要业务数据和内部信息,有可能通过USB端口外泄;另一方面,USB存储设备上的类似信息,在设备丢失的情况下,也有可能外泄。这些数据一旦外泄,将会对企业或个人造成重大的损失。因此,数据安全已经成为信息安全中主要的一个环节。利用USB数据流加解密技术,可同时保护内部计算机和USB存储设备上的重要数据。
目前对于USB数据保护,通常有硬件和软件等技术来实现数据的加密存储。
(1)很多USB存储设备厂商推出了带加密功能的USB存储设备,此类设备在使用前,需校验预设的密码,密码校验通过,才能正常使用设备。这种方式可有效的保护移动存储设备上的数据,但无法保护计算机上的数据。
(1)软件实现的USB存储设备数据防泄密系统。这种方式由一个安装了证书管理软件的服务器,多个安装了客户端软件的内部网络主机----客户端,以及多个由普通USB存储设备经过证书服务器的初始化处理后的安全USB存储设备所组成。使用时:在网络服务器和内阁主机中分别安装证书管理软件和客户端软件,在证书服务器对USB存储设备执行安全初始化,将已初始化的安全USB存储发放给内部用户使用,这种方式,安全管理和数据加解密全部采用软件实现。
一方面,在安全性上,服务器和客户端软件,都存在被破解的可能,只要一个软件被破解,都会导致数据外泄;另一方面,此方案中,USB数据加解密通过内部计算机软件实现,必然导致USB传输效率降低,影响传输速度,且会占用内部计算机大量资源。
发明内容
本发明目的是提供一种用于办公系统的防数据泄密方法,该办公系统可任意设置工作域,方便了权限管理效率,且有效避免了工作域内数据的外泄;并可灵活设置办公系统的功能状态。
为达到上述目的,本发明采用的技术方案是:
一种用于办公系统的防数据泄密方法,所述办公系统包括:由若干台计算机组成的局域网和若干USB存储设备,一USB加解密桥接器和USB密钥设备;
所述USB加解密桥接器一端与所述计算机主板上的南桥芯片连接,其另一端作为外露的USB存储设备的主接口;此USB加解密桥接器进一步包括:
第一USB从接口模块,与计算机南桥相连,用于与所述计算机之间通过USB总线进行数据传输;
USB主接口模块,当与USB存储设备连接时,用于与所述USB存储设备之间通过USB总线进行数据传输;当与USB密钥设备时,接收来自所述USB密钥设备的第二识别码和密钥并将存储于第一闪存存储模块的公钥传输给USB密钥设备;
数据存储区,位于所述第一USB从接口模块和USB主接口模块之间,用于存储来自所述USB主接口模块和第一USB从接口模块的数据;
第一加解密模块,与所述数据存储区连接,当计算机接收来自所述USB存储设备的数据时,采用接收来自USB密钥设备的密钥对来自所述USB主接口模块的数据进行解密处理;当计算机向所述USB存储设备发送数据时,采用来自USB密钥设备的密钥对来自所述USB从接口模块的数据进行加密处理;
第一闪存存储模块,用于存储加解密算法的公钥和私钥对以及设置的第一识别码,此公钥和私钥用于USB加解密桥接器与USB密钥设备之间传输数据的加解密;
USB数据传输管理模块,连接到所述第一USB从接口模块、USB主接口模块和第一加解密模块,当来自所述USB密钥设备的第二识别码与所述第一识别码相等时,则接收来自所述USB密钥设备的密钥并将存储于第一闪存存储模块的公钥传输给USB密钥设备,该密钥为若干USB加解密桥接器的授权密钥,调度USB从接口模块内数据,USB主接口模块内数据和加解密模块内数据之间的数据交互;否则,禁止与所述USB存储设备进行数据传输;
USB加解密桥接器功能管理模块,其位于USB加解密桥接器与USB密钥设备,用于响应USB密钥设备的指令从而配置USB加解密桥接器处于以下功能之一:(a)USB加解密桥接器关闭,关闭USB主接口模块,使主机端口不再工作,客户端计算机无法通过此端口与USB存储设备传输数据,(b)USB加解密桥接器以非加密方式打开,打开USB加解密桥接器的USB主接口模块,不使能加解密功能,客户端计算机可通过此端口与一定USB存储设备传输数据,并且数据不会被加密或解密,(c)USB加解密桥接器以加密方式打开,打开USB加解密桥接器的主机端口,并使能加解密功能,客户端计算机可通过此端口与USB存储设备传输数据,并且当从USB存储设备读取数据时候,数据被解密;当写数据到USB存储设备上时,数据被加密,(d)变更加解密的密钥,改变USB密钥设备内部保存的密钥,由第二真随机数模块生成新密钥,并保存到第二闪存存储模块;此USB加解密桥接器功能管理模块,通信遵循USB2.0协议,使用私有SCSI命令进行交互,工作过程如下:
(1)、USB密钥设备插入第一USB从接口模块后,USB加解密桥接器对其进行枚举,并识别到设备是密钥设备,
(2)、USB加解密桥接器通过私有SCSI命令读取USB密钥设备的第二识别码,并判断此第二识别码是否有效,如果有效,则继续工作,否则弹出USB密钥设备,
(3)、加解密桥接设备查询USB密钥设备是否有按键按下,如果有,则执行对应功能,并在执行完毕后,反馈状态信息到密钥设备,
USB加解密桥接器与USB密钥设备之间通信采用数字信封方式,基于1024位RSA非对称加解算法,并对非对称算法的公钥,采用DES对称加解密算法进行加解密;
所述USB密钥设备进一步包括:
第二USB从接口模块,用于与所述USB加解密桥接器的USB主接口模块连接,用于与所述USB加解密桥接器之间通过USB总线进行数据和第二识别码传输;
第二加解密模块,采用公钥对所述密钥进行加密,同时采用私钥对来自所述USB加解密桥接器的数据进行解密;
第二闪存存储模块,用于保存所述密钥和所述第二识别码并记录USB加解密桥接器的功能状态;
四个按键,包括用于关闭端口的第一按键,用于打开USB桥接设备、以非加密模式的第二按键,用于打开USB桥接设备、以加密模式的第三按键,用于变换密钥的第四按键;
所述防数据泄密方法包括以下步骤:
步骤一. 若干安装好USB加解密桥接器的客户端、一个USB密钥设备和USB存储设备组成一个工作域,USB加解密桥接器在初始状态下,USB主接口模块是关闭的;
步骤二. 通过连接USB密钥设备和一客户端的USB加解密桥接器,通过USB密钥设备按键选择“打开USB加解密桥接器,以加解密方式”功能,此USB加解密桥接器将公钥传给USB密钥设备后,此对非对称算法的所述公钥采用DES对称加解密算法进行加密,接收来自所述USB密钥设备的密钥和第二识别码,此密钥和第二识别码经过公钥、密钥双重加密;
步骤三. USB加解密桥接器通过密钥以及位于第一闪存存储模块内的私钥和将密钥和第二识别码解密;
步骤四. 采用步骤二、三的方式,配置办公系统内其它客户端;
步骤五. 把USB存储设备插入客户端的第一USB从接口模块,此时USB存储设备无法正常使用,需格式化该移动存储设备,成功后可使用该USB存储设备传递数据;
步骤六. 数据从客户端拷贝到USB存储设备,会经过USB加解密桥接器的第一加解密模块通过密钥加密,数据以密文形式存储在USB存储设备上;
步骤七 正常使用过程中,数据从USB存储设备拷贝到客户端,会经过USB加解密桥接器的解密,数据以明文形式存储在客户端硬盘上;
步骤八. 同一USB密钥设备管理的客户端,具有相同的加解密密钥,可互相之间拷贝数据;此密钥可随时更改,使用USB密钥设备的“变更密钥”功能,首先变更USB密钥设备存储的密钥,后通过“以加解密方式,打开桥接设备”这个功能,把新的密钥同步到每个客户端;
步骤九. 添加一个客户端到工作域,使用USB密钥设备,对一个安装好USB加解密桥接器的客户端进行配置,通过“以加解密方式,打开桥接设备”这个功能,把密钥和USB密钥设备的第二识别码同步到客户端即可。
上述技术方案中的有关内容解释如下:
1、上述方案中,所述第一加解密模块进一步包括:
第一非对称算法RSA模块,用于USB加解密桥接器与USB密钥设备通信时用来对敏感数据进行加解密,此敏感数据包括密钥和USB密钥设备的第二识别码;
第一对称算法模块,此对称算法模块内存储SM1或SM4或3DES算法;
第一真随机数模块,用于产生所述第一非对称算法RSA模块需要的随机数。
2、上述方案中,所述第二加解密模块进一步包括:
第二非对称算法RSA模块,用于USB加解密桥接器与USB密钥设备通信时对数据进行处理;
第二对称算法模块,此第二对称算法模块内存储SM1或SM4或3DES算法;
第二真随机数模块,用于产生所述非对称算法RSA模块需要的随机数并根据此随机数产生所述密钥。
由于上述技术方案运用,本发明与现有技术相比具有下列优点和效果:
本发明提出了一种全新的用于办公系统的防数据泄密方法,其基于硬件设备的USB端口数据防泄密系统。整个系统应用灵活,并且在安全性上,具有极大的优势。此方案中,权限管理和USB数据流加解密使用硬件实现,在硬件不被破坏的前提下,可以确保其安全性,并且几乎不影响USB数据传输效率,不占用计算机任何资源。在确保安全性的前提下,本发明具有良好的兼容性,计算机方面,能支持目前市场上所有USB2.0接口的计算机;而移动存储设备方面,能够支持各个品牌的U盘或移动硬盘。
附图说明
附图1为本发明系统结构示意图;
附图2为本发明USB加解密桥接器结构示意图;
附图3为本发明USB密钥设备结构示意图。
具体实施方式
下面结合附图及实施例对本发明作进一步描述:
实施例:一种用于办公系统的防数据泄密方法,包括:由若干台计算机组成的局域网和移动存储设备,一USB加解密桥接器和USB密钥设备;
所述USB加解密桥接器一端与所述计算机主板上的南桥芯片连接,其另一端作为外露USB存储设备的主接口;此USB加解密桥接器进一步包括:
第一USB主接口模块USB Device 1,与计算机南桥相连,用于与所述计算机之间通过USB总线进行数据传输;
USB从接口模块USB Host,用于与所述USB存储设备之间通过USB总线进行数据和来自所述USB密钥设备的第二识别码传输,或者与所述移动存储设备传输数据;
数据存储区,位于所述USB主接口模块USB Device和USB从接口模块USB Host之间,用于存储来自所述第一USB主接口模块和USB从接口模块的数据;
第一加解密模块,与所述数据存储区连接,当计算机接受来自所述移动存储设备的数据时,采用接收的密钥对来自所述USB从接口模块USB Host的数据进行解密处理;当计算机向所述移动存储设备发送数据时,采用接收的密钥对来自所述USB主接口模块USB Device的数据进行加密处理;
第一闪存存储模块FLASH,用于存储加解密算法的公钥和私钥对以及设置的第一识别码,此公钥和私钥用于计算机与USB密钥设备之间传输数据的加解密;
USB数据传输管理模块,连接到所述第一USB主接口模块USB Device 1、USB从接口模块USB Host和第一加解密模块,当来自所述USB密钥设备的第二识别码与所述第一识别码相等时,则接收来自所述USB密钥设备的密钥,调度USB主接口模块USB Device内数据,USB从接口模块USB Host内数据和加解密模块内数据之间的数据交互;否则,禁止与所述移动存储设备进行数据传输;
所述USB密钥设备进一步包括:
第二USB主接口模块,用于与所述USB加解密桥接器的USB从接口模块USB Host连接,用于与所述USB加解密桥接器之间通过USB总线进行数据和第二识别码传输;
第二加解密模块,采用公钥对所述密钥进行加密,同时采用私钥对来自所述USB加解密桥接器的数据进行解密;
第二闪存存储模块FLASH,用于保存所述密钥和所述第二识别码。
上述第一加解密模块进一步包括:
第一非对称算法RSA模块,用于USB加解密桥接器与USB密钥设备通信时对数据进行处理;
第一对称算法模块,此对称算法模块内存储SM1或SM4或3DES算法。
第一真随机数模块,用于产生所述非对称算法RSA模块需要的随机数。
上述第二加解密模块进一步包括:
第二非对称算法RSA模块,用于USB加解密桥接器与USB密钥设备通信时对数据进行处理;
第二对称算法模块,此对称算法模块内存储SM1或SM4或3DES算法。
第二真随机数模块,用于产生所述非对称算法RSA模块需要的随机数。
本实施例上述内容具体工作过程如下。
上述办公系统包括下述部件:
一个用于管理控制的USB密钥设备,USB密钥设备是表现为对外人机接口的USB设备,存储着一个通过随机数产生的密钥,该密钥为若干USB加解密桥接器的授权密钥。USB密钥设备用于初始化USB加解密桥接器,并管理加解密设备的使用。
多个客户端,它是安装了USB加解密桥接器的内部计算机,用于对USB存储设备的读写操作进行透明加解密处理,同时实现对USB存储设备的使用控制。
客户端使用前,必须由USB密钥设备进行初始化。初始化过程中,USB加解密桥接器将获取USB密钥设备上的密钥和密钥设备的唯一ID,并保存。
若干客户端可组成一个工作组,工作组由唯一USB密钥设备管理,同一工作组中的客户端之间,可以通过USB存储设备互相传递数据。
USB加解密桥接器具有具体解释如下:
(1)在使用过程中,USB加解密桥接器介于计算机南桥芯片和USB存储设备之间 ,在USB数据传输过程中起到桥接的作用。
(2)USB加解密桥接器只能识别USB密钥设备和移动存储设备,不支持其他类型的USB设备。
(3)USB加解密桥接器功能受USB密钥设备控制,加解密所使用的密钥,由USB密钥设备提供。
(4)USB加解密桥接器与USB密钥设备通信时,采用USB私有命令,对敏感数据采用RSA非对称数字信封和SM4对称加解密两种叠加的方式,具有强大的安全性。
(5)USB加解密桥接器的USB端口,支持USB2.0和USB1.1协议, 遵循Mass Storage设备类规范,bulk only协议,以及SCSI协议。
(6)加解密过程对计算机用户透明。
(7)效率高,速度快,采用SM1算法,在USB存储设备速度达到30MB/s以上,大文件数据传输时,加解密读写速度可到25MB/S以上。
(8)在数据传输过程中,USB数据接收、USB数据发送和数据加解密同时进行,最大程度上保证了数据传输效率。
(9)对计算机用户来说,加解密过程是透明的,不影响任何操作。加解密设备由密钥设备来控制,无需改变计算机任何配置,方便灵活。
USB密钥设备具有以下特征:
(1)一个USB密钥设备管理一个工作组,工作组由若干客户端即计算机组成,USB密钥设备通过设置客户端上的USB加解密桥接器功能,来实现对工作组的管理。一个工作组对应一个USB密钥设备。
(2)USB密钥设备只有与USB加解密桥接器配合才能使用,将USB密钥设备插入普通USB主机,没有任何效果。
(3)USB密钥设备与USB加解密桥接器之间通信,遵循USB2.0协议,遵循Mass Storage设备类规范,bulk only协议,以及SCSI协议。采用私有命令方式,对敏感数据采用RSA非对称数字信封和SM4对称加解密两种叠加的方式,具有强大的安全性。
(4)每个USB密钥设备都具有唯一的第二识别码ID2,此第二识别码ID2长度为32bit,在设备生产过程中生成,采用时间标定的方式,确保其唯一性,第二识别码ID2保存在USB密钥设备的第二闪存存储模块FLASH2内。
(5)USB密钥设备采用真随机数模块产生密钥,密钥保存在第二闪存存储模块FLASH2内。此密钥供USB加解密桥接器作为数据加解密密钥使用。
(6)USB密钥设备有四个按键,对应可以与USB加解密桥接器配合,进行四种操作:
A: 关闭USB加解密桥接器,此时USB加解密桥接器对插入的USB存储设备无响应。
B: 以非加解密模式,打开USB加解密桥接器,此时USB加解密桥接器与计算机普通USB端口具有一样的功能。
C: 以加解密模式,打开USB加解密桥接器,此时USB加解密桥接器具有加解密的功能,对所传输的数据会进行加密或者解密的操作。
D: 变更USB密钥设备上的密钥,USB密钥设备将通过真随机数发生器,产生新的密钥,并保存到FLASH中。
(7) USB密钥设备有四个指示灯,对应四个按键,表示对应按键的操作是否正确完成。
工作方法
基于USB密钥设备、USB加解密桥接器的数据防泄密系统的使用方法,
包括下列步骤:
(1) 若干安装好USB加解密桥接器的客户端、一个USB密钥设备和移动存储设备组成一个工作域。USB加解密桥接器在初始状态下,USB主机端口是关闭的,因此此时工作域内USB端口不可用。
(2) 通过连接USB密钥设备和某一客户端的USB加解密桥接器,通过USB密钥设备按键选择“打开USB加解密桥接器,以加解密方式”,等待设置完成。
(3) 采用相同方式,配置所有客户端。
(4) 把移动存储设备插入客户端的USB从接口模块,此时移动存储设备无法正常使用,需格式化该移动存储设备,成功后可使用该移动存储设备传递数据。
(5) 正常使用过程中,数据从客户端拷贝到移动存储设备,会经过USB加解密桥接器的加密,数据以密文形式存储在移动存储设备上。
(6) 正常使用过程中,数据从移动存储设备拷贝到客户端,会经过USB加解密桥接器的解密,数据以明文形式存储在客户端硬盘上。
(7) 同一USB密钥设备管理的客户端,具有相同的加解密密钥,可互相之间拷贝数据;此密钥可随时更改,使用USB密钥设备的“变更密钥”功能,首先变更USB密钥设备存储的密钥,后通过“以加解密方式,打开桥接设备”这个功能,把新的密钥同步到每个客户端。
(8) 添加一个客户端到工作域,使用USB密钥设备,对一个安装好USB加解密桥接器的客户端进行配置,通过“以加解密方式,打开桥接设备”这个功能,把加解密密钥和USB密钥设备的ID同步到客户端即可。
(9) 特殊情况之下,可设置客户端拷贝明文数据到存储设备,使用USB密钥设备的“以非加解密方式,打开桥接设备”功能,配置某个客户端对拷贝数据不进行加解密,这种情况下,数据从客户端拷贝到移动存储设备,不进行加密,移动存储设备存储的是数据明文,在任何一台普通计算机上都还可以正确读取。
(10) 特殊情况之下,可关闭客户端的USB端口,使用USB密钥设备的“关闭桥接设备”功能即可实现。
USB加解密桥接器说明:
USB主接口模块USB Host: USB 主机功能模块,支持USB1.1和USB2.0协议,可通过USB主接口模块USB Host接收数据,或通过Host端口发送FIFO内的数据。USB加解密桥接器的主机接口只能识别USB密钥设备和移动存储设备,并且主机接口受USB密钥设备的控制。加解密桥接芯片 USB Host接口外露在计算机外壳外部,作为外部USB存储设备的主接口。主机接口负责与移动存储设备和USB密钥设备进行通信。
第一USB从接口模块USB Dev1: USB设备功能模块,支持USB1.1和USB2.0协议,可通过Device端口接收,或通过第一USB主接口模块USB Dev1发送的数据。USB加解密桥接器的第一USB从接口模块USB Dev1与计算机南桥相连,负责与计算机之间通过USB总线进行通信。
第一闪存存储模块FLASH1:存储模块负责保存相关信息,包括USB密钥设备的ID、数据加解密使用的密钥以及USB加解密桥接器当前功能状态。
对称加解密模块:包括SM1、SM4和DES等,主要作用是对传输的USB数据进行加解密,以及在USB加解密桥接器与USB密钥设备进行通信时,对数字信封的公钥进行加解密。
(5) 非对称加解密RSA模块:非对称RSA模块,在USB加解密桥接器与USB密钥设备通信时,用来对敏感数据进行加解密,敏感数据包括加解密密钥和USB密钥设备的识别码ID等。采用数字信封方式。
数字信封技术是安全通讯领域一种常用技术,用于发起方(A)、响应方(B)双方的重要信息交换,可以保证通讯数据一次一钥。
(1),A随机生成非对称公私钥对。
(2),A方将公钥发送给B方。
(3),B方用A方的公钥将B方需要传输的数据加密。
(4),B方将加密后的数据发送回A方。
(5),A方用私钥解密B方发送回的数据。
(6),解密数据即为B方明文。
采用1024位RSA加解密算法。
(6) 真随机数模块:
USB加解密桥接器包含一个硬件真随机数发生器,能够产生真随机数,用来生成RSA算法所需要的随机数据。
(7) USB数据传输管理模块:
USB数据传输管理模块负责客户端与移动存储设备数据交互管理,负责调度USB加解密桥接器的USB Host模块、USB Device模块和加解密模块。
把从客户端USB 主机收到的命令通过加解密桥接设备USB 主机转发给移动存储设备。
往移动存储设备写数据时,把从客户端收到的数据经过加密后转发给移动存储设备。
从移动存储设备读取数据时,把从移动存储设备读出的数据解密后转发给客户端。
从移动存储设备读取状态时,把从移动存储设备读出的状态直接转发给客户端。
(8) USB加解密桥接器功能管理模块:
此模块负责与USB密钥设备进行交互,配置USB加解密桥接器的功能。USB加解密桥接器与USB密钥设备之间,通信遵循USB2.0协议,使用私有SCSI命令进行交互。过程如下:
(1),USB密钥设备插入客户端后,USB加解密桥接器对其进行枚举,并识别到设备是密钥设备。
(2),USB加解密桥接器通过私有SCSI命令读取密钥设备的ID,并判断此ID是否有效,如果有效,则继续工作,否则弹出密钥设备。
(3),加解密桥接设备查询密钥设备是否有按键按下,如果有,则执行对应功能,并在执行完毕后,反馈状态信息到密钥设备。
USB加解密桥接器与USB密钥设备之间通信采用数字信封方式,基于1024位RSA非对称加解算法,并对非对称算法的公钥,采用DES对称加解密算法进行加解密。
USB加解密桥接器是集成在客户端上特定的USB2.0高速主机端口,内置国芯安全MCU,可以将Mass Storage设备类的数据流进行加解密,该端口只能枚举Mass Storage类设备。
在工作过程中,USB加解密桥接器介于计算机USB 主机和移动存储设备之间。对于客户端的用户来说,USB加解密桥接器是透明的,在平时操作中,加解密过程是用户不可见的。
支持USB 主机接口、 USB密钥设备接口和对应协议栈。支持USB2.0高速协议,支持Mass Storage Bulk only协议。USB 主机借口只支持Mass Storage设备类规范。其他类型设备,主机将不能完成枚举和初始化过程。
USB加解密桥接器使用SM1对称算法将USB Mass Stoage设备通讯中的SCSI命令中的DATA部分加密或解密。支持通过USB密钥设备更新SM1加密密钥。与USB密钥设备通讯协议为Mass Stoage协议,通过私有SCSI命令。与USB密钥设备的数据传输使用数字信封技术,加密方式为RSA(采用1024bit密钥)。
USB加解密桥接器采用SM1算法,在硬盘的速度达到30MB/s以上大文件数据传输时,USB加解密桥接器的USB 主机和设备 端口的数据收发速度可达到25MB/S。
USB密钥设备说明:
(1) USB Dev:
USB设备功能模块,支持USB1.1和USB2.0协议,可通过第二USB从接口模块即Device端口接收数据,或通过第二USB从接口模块即Device端口发送数据。USB密钥设备的Device端口与USB加解密桥接器的USB主接口模块相连,负责与USB加解密桥接器之间通过USB总线进行通信。
(2) 第二闪存存储模块FLASH2:
第二闪存存储模块FLASH2负责保存相关信息,USB密钥设备生成过程中,会生成USB密钥设备的第二识别码ID2,此第二识别码ID2具有唯一性,每个设备都不同,采用时间标定的方式,此第二识别码ID2在生成过程中,保存到第二闪存存储模块FLASH2中;数据加解密使用的密钥在USB密钥设备第一次上电时,通过真随机数自动生成,并保存在第二闪存存储模块FLASH2中。
(3) 对称加解密模块:
DES对称加解密算法,主要作用是在USB加解密桥接器与USB密钥设备进行通信时,对数字信封的公钥进行加解密。
(4) 非对称加解密RSA模块:
非对称RSA模块,在USB加解密桥接器与USB密钥设备通信时,用来对敏感数据进行加解密,敏感数据包括加解密密钥和USB密钥设备的第二识别码ID2等。采用数字信封方式。
(5) 第二真随机数模块:
USB密钥设备包含一个硬件真随机数发生器,能够产生真随机数,用来生成RSA算法所需要的随机数据。
(6) USB加解密桥接器功能管理模块:
此模块负责与USB加解密桥接器进行交互,配置USB加解密桥接器的功能。USB加解密桥接器与USB密钥设备之间,通信遵循USB2.0协议,使用私有SCSI命令进行交互。
USB加解密桥接器功能管理模块,加解密设备具有以下几个可配置功能:USB加解密桥接器关闭、USB加解密桥接器以非加密方式打开、USB加解密桥接器以加密方式打开和变更加解密设备的密钥。以上功能配置,必须与USB加解密桥接器配合实现。
(7) 按键和LED:
USB密钥设备有四个按键,以及与之配套的LED状态显示灯。
四个按键可以选择是进行何种操作。同时有4个指示灯指示操作是否成功。
按键1 | 指示灯1 | 关闭端口 |
按键2 | 指示灯2 | 打开USB桥接设备,以非加密模式 |
按键3 | 指示灯3 | 打开USB桥接设备,以加密模式 |
按键4 | 指示灯4 | 变换密钥 |
USB密钥设备是表现为对外人机接口的USB设备,存储着一个通过随机数产生的密钥。该密钥为若干USB加解密桥接器的授权密钥,USB密钥设备管理一个工作组,需要加入此工作组的客户端,需要经过USB密钥设备的授权。
USB密钥设备通过与USB加解密桥接器的交互,配置USB加解密桥接器的功能,达到控制客户端USB主机接口的目的。
USB密钥设备对USB加解密桥接器可配置的功能如下:
(1) 关闭USB加解密桥接器:
关闭USB加解密设备的主机端口,使主机端口不再工作,客户端计算机无法通过此端口与移动存储设备传输数据。
(2) 打开USB加解密桥接器,以非加密模式:
打开USB加解密桥接器的主机接口,不使能加解密功能。客户端计算机可通过此端口与一定存储设备传输数据,并且数据不会被加密或解密。
(3)打开USB加解密桥接器,以加解密模式:
打开USB加解密桥接器的主机端口,并使能加解密功能,客户端计算机可通过此端口与移动存储设备传输数据,并且当从移动存储设备读取数据时候,数据被解密;当写数据到移动存储设备上时,数据被加密。
(4)变换密钥:
改变USB密钥设备内部保存的密钥,由真随机数发生器生成新密钥,并保存到FLASH存储模块。
USB密钥设备的作用,是通过对USB加解密桥接器进行功能配置,组成一个由多个客户端组成的工作域,并管理此工作域。一个工作域,对应了一个控制器。
USB密钥设备与USB加解密桥接器之间,通过USB进行连接,遵循USB2.0协议,遵循Mass Storage设备类规范,bulk only协议,以及SCSI协议;采用SCSI私有命令与USB加解密桥接器进行通讯;在传递加密密钥时,采用数字信封技术,加密方式为RSA(采用1024bit密钥);每个USB密钥设备都有真随机数发生器生成的唯一的第二识别码ID2,使用时间标定第二识别码ID2的方式生成。
上述实施例只为说明本发明的技术构思及特点,其目的在于让熟悉此项技术的人士能够了解本发明的内容并据以实施,并不能以此限制本发明的保护范围。凡根据本发明精神实质所作的等效变化或修饰,都应涵盖在本发明的保护范围之内。
Claims (3)
1.一种用于办公系统的防数据泄密方法,其特征在于:所述办公系统包括:由若干台计算机组成的局域网和若干USB存储设备,一USB加解密桥接器和USB密钥设备;
所述USB加解密桥接器一端与所述计算机主板上的南桥芯片连接,其另一端作为外露的USB存储设备的主接口;此USB加解密桥接器进一步包括:
第一USB从接口模块,与计算机南桥相连,用于与所述计算机之间通过USB总线进行数据传输;
USB主接口模块,当与USB存储设备连接时,用于与所述USB存储设备之间通过USB总线进行数据传输;当与USB密钥设备时,接收来自所述USB密钥设备的第二识别码和密钥并将存储于第一闪存存储模块的公钥传输给USB密钥设备;
数据存储区,位于所述第一USB从接口模块和USB主接口模块之间,用于存储来自所述USB主接口模块和第一USB从接口模块的数据;
第一加解密模块,与所述数据存储区连接,当计算机接收来自所述USB存储设备的数据时,采用接收来自USB密钥设备的密钥对来自所述USB主接口模块的数据进行解密处理;当计算机向所述USB存储设备发送数据时,采用来自USB密钥设备的密钥对来自所述USB从接口模块的数据进行加密处理;
第一闪存存储模块,用于存储加解密算法的公钥和私钥对以及设置的第一识别码,此公钥和私钥用于USB加解密桥接器与USB密钥设备之间传输数据的加解密;
USB数据传输管理模块,连接到所述第一USB从接口模块、USB主接口模块和第一加解密模块,当来自所述USB密钥设备的第二识别码与所述第一识别码相等时,则接收来自所述USB密钥设备的密钥并将存储于第一闪存存储模块的公钥传输给USB密钥设备,该密钥为若干USB加解密桥接器的授权密钥,调度USB从接口模块内数据,USB主接口模块内数据和加解密模块内数据之间的数据交互;否则,禁止与所述USB存储设备进行数据传输;
USB加解密桥接器功能管理模块,其位于USB加解密桥接器与USB密钥设备,用于响应USB密钥设备的指令从而配置USB加解密桥接器处于以下功能之一:(a)USB加解密桥接器关闭,关闭USB主接口模块,使主机端口不再工作,客户端计算机无法通过此端口与USB存储设备传输数据,(b)USB加解密桥接器以非加密方式打开,打开USB加解密桥接器的USB主接口模块,不使能加解密功能,客户端计算机可通过此端口与一定USB存储设备传输数据,并且数据不会被加密或解密,(c)USB加解密桥接器以加密方式打开,打开USB加解密桥接器的主机端口,并使能加解密功能,客户端计算机可通过此端口与USB存储设备传输数据,并且当从USB存储设备读取数据时候,数据被解密;当写数据到USB存储设备上时,数据被加密,(d)变更加解密的密钥,改变USB密钥设备内部保存的密钥,由第二真随机数模块生成新密钥,并保存到第二闪存存储模块;此USB加解密桥接器功能管理模块,通信遵循USB2.0协议,使用私有SCSI命令进行交互,工作过程如下:
(1)、USB密钥设备插入第一USB从接口模块后,USB加解密桥接器对其进行枚举,并识别到设备是密钥设备,
(2)、USB加解密桥接器通过私有SCSI命令读取USB密钥设备的第二识别码,并判断此第二识别码是否有效,如果有效,则继续工作,否则弹出USB密钥设备,
(3)、加解密桥接设备查询USB密钥设备是否有按键按下,如果有,则执行对应功能,并在执行完毕后,反馈状态信息到密钥设备,
USB加解密桥接器与USB密钥设备之间通信采用数字信封方式,基于1024位RSA非对称加解算法,并对非对称算法的公钥,采用DES对称加解密算法进行加解密;
所述USB密钥设备进一步包括:
第二USB从接口模块,用于与所述USB加解密桥接器的USB主接口模块连接,用于与所述USB加解密桥接器之间通过USB总线进行数据和第二识别码传输;
第二加解密模块,采用公钥对所述密钥进行加密,同时采用私钥对来自所述USB加解密桥接器的数据进行解密;
第二闪存存储模块,用于保存所述密钥和所述第二识别码并记录USB加解密桥接器的功能状态;
四个按键,包括用于关闭端口的第一按键,用于打开USB桥接设备、以非加密模式的第二按键,用于打开USB桥接设备、以加密模式的第三按键,用于变换密钥的第四按键;
所述防数据泄密方法包括以下步骤:
步骤一. 若干安装好USB加解密桥接器的客户端、一个USB密钥设备和USB存储设备组成一个工作域,USB加解密桥接器在初始状态下,USB主接口模块是关闭的;
步骤二. 通过连接USB密钥设备和一客户端的USB加解密桥接器,通过USB密钥设备按键选择“打开USB加解密桥接器,以加解密方式”功能,此USB加解密桥接器将公钥传给USB密钥设备后,此对非对称算法的所述公钥采用DES对称加解密算法进行加密,接收来自所述USB密钥设备的密钥和第二识别码,此密钥和第二识别码经过公钥、密钥双重加密;
步骤三. USB加解密桥接器通过密钥以及位于第一闪存存储模块内的私钥和将密钥和第二识别码解密;
步骤四. 采用步骤二、三的方式,配置办公系统内其它客户端;
步骤五. 把USB存储设备插入客户端的第一USB从接口模块,此时USB存储设备无法正常使用,需格式化该移动存储设备,成功后可使用该USB存储设备传递数据;
步骤六. 数据从客户端拷贝到USB存储设备,会经过USB加解密桥接器的第一加解密模块通过密钥加密,数据以密文形式存储在USB存储设备上;
步骤七 正常使用过程中,数据从USB存储设备拷贝到客户端,会经过USB加解密桥接器的解密,数据以明文形式存储在客户端硬盘上;
步骤八. 同一USB密钥设备管理的客户端,具有相同的加解密密钥,可互相之间拷贝数据;此密钥可随时更改,使用USB密钥设备的“变更密钥”功能,首先变更USB密钥设备存储的密钥,后通过“以加解密方式,打开桥接设备”这个功能,把新的密钥同步到每个客户端;
步骤九. 添加一个客户端到工作域,使用USB密钥设备,对一个安装好USB加解密桥接器的客户端进行配置,通过“以加解密方式,打开桥接设备”这个功能,把密钥和USB密钥设备的第二识别码同步到客户端即可。
2.根据权利要求1所述的防数据泄密方法,其特征在于:所述第一加解密模块进一步包括:
第一非对称算法RSA模块,用于USB加解密桥接器与USB密钥设备通信时用来对敏感数据进行加解密,此敏感数据包括密钥和USB密钥设备的第二识别码;
第一对称算法模块,此对称算法模块内存储SM1或SM4或3DES算法;
第一真随机数模块,用于产生所述第一非对称算法RSA模块需要的随机数。
3.根据权利要求1所述的防数据泄密方法,其特征在于:所述第二加解密模块进一步包括:
第二非对称算法RSA模块,用于USB加解密桥接器与USB密钥设备通信时对数据进行处理;
第二对称算法模块,此第二对称算法模块内存储SM1或SM4或3DES算法;
第二真随机数模块,用于产生所述非对称算法RSA模块需要的随机数并根据此随机数产生所述密钥。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210458456.3A CN102930212B (zh) | 2011-01-18 | 2011-01-18 | 用于办公系统的防数据泄密方法 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110020320XA CN102081713B (zh) | 2011-01-18 | 2011-01-18 | 一种用于防止数据泄密的办公系统 |
CN201210458456.3A CN102930212B (zh) | 2011-01-18 | 2011-01-18 | 用于办公系统的防数据泄密方法 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110020320XA Division CN102081713B (zh) | 2011-01-18 | 2011-01-18 | 一种用于防止数据泄密的办公系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102930212A true CN102930212A (zh) | 2013-02-13 |
CN102930212B CN102930212B (zh) | 2016-03-02 |
Family
ID=44087672
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110020320XA Active CN102081713B (zh) | 2011-01-18 | 2011-01-18 | 一种用于防止数据泄密的办公系统 |
CN201210458456.3A Active CN102930212B (zh) | 2011-01-18 | 2011-01-18 | 用于办公系统的防数据泄密方法 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110020320XA Active CN102081713B (zh) | 2011-01-18 | 2011-01-18 | 一种用于防止数据泄密的办公系统 |
Country Status (1)
Country | Link |
---|---|
CN (2) | CN102081713B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103593616A (zh) * | 2013-11-29 | 2014-02-19 | 国网安徽省电力公司淮南供电公司 | 企业信息网络u盘病毒防控系统和方法 |
WO2014183497A1 (zh) * | 2013-11-29 | 2014-11-20 | 中兴通讯股份有限公司 | 一种设备、设备启动方法及计算机存储介质 |
CN105430565A (zh) * | 2015-10-29 | 2016-03-23 | 广州番禺巨大汽车音响设备有限公司 | 基于双docking接口实现数据接入的方法及系统 |
CN112784319A (zh) * | 2019-11-07 | 2021-05-11 | 成都鼎桥通信技术有限公司 | 一种终端设备的双域实现方法 |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102819707A (zh) * | 2012-07-27 | 2012-12-12 | 郑州信大捷安信息技术股份有限公司 | 实现移动终端安全支付的二代u盾系统 |
CN102833253B (zh) * | 2012-08-29 | 2015-09-16 | 五八同城信息技术有限公司 | 建立客户端与服务器安全连接的方法及服务器 |
CN103632080B (zh) * | 2013-11-06 | 2016-08-17 | 国家电网公司 | 一种基于USBKey的移动数据应用安全保护方法 |
CN106845254A (zh) * | 2017-01-20 | 2017-06-13 | 杭州华澜微电子股份有限公司 | 一种用于计算机的加密数据传输线 |
CN111814212B (zh) * | 2020-09-07 | 2020-12-18 | 南京芯驰半导体科技有限公司 | 总线数据的保护方法、装置、存储介质及芯片 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101034424A (zh) * | 2007-01-12 | 2007-09-12 | 深圳兆日技术有限公司 | 一种数据安全存储系统和装置及方法 |
CN101067802A (zh) * | 2006-11-21 | 2007-11-07 | 深圳易拓科技有限公司 | 安全移动硬盘 |
US7587608B2 (en) * | 2004-11-30 | 2009-09-08 | Sap Ag | Method and apparatus for storing data on the application layer in mobile devices |
CN101557289A (zh) * | 2009-05-13 | 2009-10-14 | 大连理工大学 | 基于身份认证的存储安全密钥管理方法 |
-
2011
- 2011-01-18 CN CN201110020320XA patent/CN102081713B/zh active Active
- 2011-01-18 CN CN201210458456.3A patent/CN102930212B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7587608B2 (en) * | 2004-11-30 | 2009-09-08 | Sap Ag | Method and apparatus for storing data on the application layer in mobile devices |
CN101067802A (zh) * | 2006-11-21 | 2007-11-07 | 深圳易拓科技有限公司 | 安全移动硬盘 |
CN101034424A (zh) * | 2007-01-12 | 2007-09-12 | 深圳兆日技术有限公司 | 一种数据安全存储系统和装置及方法 |
CN101557289A (zh) * | 2009-05-13 | 2009-10-14 | 大连理工大学 | 基于身份认证的存储安全密钥管理方法 |
Non-Patent Citations (1)
Title |
---|
李清俊 等: "基于虚拟磁盘的文件加密方法", 《计算机工程与设计》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103593616A (zh) * | 2013-11-29 | 2014-02-19 | 国网安徽省电力公司淮南供电公司 | 企业信息网络u盘病毒防控系统和方法 |
WO2014183497A1 (zh) * | 2013-11-29 | 2014-11-20 | 中兴通讯股份有限公司 | 一种设备、设备启动方法及计算机存储介质 |
CN103593616B (zh) * | 2013-11-29 | 2016-08-17 | 国网安徽省电力公司淮南供电公司 | 企业信息网络u盘病毒防控系统和方法 |
CN105430565A (zh) * | 2015-10-29 | 2016-03-23 | 广州番禺巨大汽车音响设备有限公司 | 基于双docking接口实现数据接入的方法及系统 |
CN105430565B (zh) * | 2015-10-29 | 2019-04-26 | 广州番禺巨大汽车音响设备有限公司 | 基于双docking接口实现数据接入的方法及系统 |
CN112784319A (zh) * | 2019-11-07 | 2021-05-11 | 成都鼎桥通信技术有限公司 | 一种终端设备的双域实现方法 |
CN112784319B (zh) * | 2019-11-07 | 2023-07-07 | 成都鼎桥通信技术有限公司 | 一种终端设备的双域实现方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102081713B (zh) | 2013-01-16 |
CN102081713A (zh) | 2011-06-01 |
CN102930212B (zh) | 2016-03-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102081713B (zh) | 一种用于防止数据泄密的办公系统 | |
CN106789052B (zh) | 一种基于量子通信网络的远程密钥颁发系统及其使用方法 | |
US5638444A (en) | Secure computer communication method and system | |
CN103020493B (zh) | 一种防拷贝的软件保护与运行装置及方法 | |
CN101196855B (zh) | 移动加密存储设备及密文存储区数据加解密处理方法 | |
US20130230165A1 (en) | Scalable and Secure Key Management for Cryptographic Data Processing | |
CN105871902A (zh) | 数据加密及隔离系统 | |
CN101983385A (zh) | 跨越数据中心对存储区域网加密密钥的分布 | |
CN104902138B (zh) | 加密/解密系统及其控制方法 | |
CN104253694A (zh) | 一种用于网络数据传输的保密方法 | |
CN103746815B (zh) | 安全通信方法及装置 | |
CN101321065B (zh) | 一种具有双因素身份验证功能的usb数据安全传输方法 | |
CN107391232A (zh) | 一种系统级芯片soc及soc系统 | |
CN109104275A (zh) | 一种hsm设备 | |
CN102201044A (zh) | 一种usb安全密钥 | |
CN205792703U (zh) | 数据加密及隔离系统 | |
CN106372516B (zh) | 一种基于M-PHY接口实现的加密Hub装置 | |
CN105389526A (zh) | 加密区和非加密区一体化的移动硬盘及其数据存储方法 | |
CN102930229B (zh) | 用于提高数据安全性的办公系统 | |
CN201051744Y (zh) | 一种安全的加密网卡装置 | |
US20040034768A1 (en) | Data encryption device based on protocol analyse | |
CN106295372B (zh) | 一种基于EMMC接口实现的加密Hub装置 | |
CN110750326B (zh) | 一种虚拟机的磁盘加解密方法以及系统 | |
US11797717B2 (en) | Bus encryption for non-volatile memories | |
CN100550735C (zh) | 多功能智能密钥设备及其安全控制的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder |
Address after: 215011 Zhuyuan Road 209, New District, Suzhou City, Jiangsu Province Patentee after: Suzhou Guoxin Technology Co., Ltd. Address before: 215011 Zhuyuan Road 209, New District, Suzhou City, Jiangsu Province Patentee before: C*Core Technology (Suzhou) Co., Ltd. |
|
CP01 | Change in the name or title of a patent holder |