CN105825136B - 一种软硬件结合实现电子文件安全传递的方法及装置 - Google Patents
一种软硬件结合实现电子文件安全传递的方法及装置 Download PDFInfo
- Publication number
- CN105825136B CN105825136B CN201610170672.6A CN201610170672A CN105825136B CN 105825136 B CN105825136 B CN 105825136B CN 201610170672 A CN201610170672 A CN 201610170672A CN 105825136 B CN105825136 B CN 105825136B
- Authority
- CN
- China
- Prior art keywords
- data
- terminal
- storage medium
- electronic file
- system firmware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明提出一种电子文件安全传递装置,该电子文件安全传递装置包括存储介质和USB数据接头,其特征在于:该存储介质由EOS系统固件管理,并定义有与专用程序相匹配的读\写接口;该EOS系统固件定义为在脱机状态下对存储介质上的数据进行管理,和在联机状态下由专用程序对存储介质上的数据进行管理;该EOS系统固件对数据的管理包括在满足数据过期条件或非法访问条件时对存储介质上的数据进行破坏性删除的操作。同时,本发明还提出使用该装置的一种软硬件结合实现电子文件安全传递的方法。本发明的目的在于解决文件修改、删除或覆盖都得不到有效的控制,存储在脱机载体中的可能会感染病毒或木马,随着介质的不慎遗失、被盗而导致文件内容泄密等若干问题。
Description
技术领域
本发明涉及一种软硬件结合实现电子文件安全传递的方法及装置。
背景技术
随着信息技术不断发展和应用,无纸化办公的方式被广泛采纳和接受,大量文件和数据以电子文件的形式进行存储、传递和应用。文档、音视频、图片图像文件等电子文件也以其高效快速便捷的特点而备受青睐,逐步成为了信息交互的主要方式。
我国政府部门和企事业单位一般都具备了局域网、互联网以及其他专网等物理上相互隔离的网络,不同网络之间的电子文件传输依赖于离线载体脱机传输,目前用于电子文件离线传输的设备包括普通U盘、加密U盘、光盘、移动硬盘等几种方式,使用这些载体进行数据传递,在脱离管理环境下,电子文件的准确性、完整性、可用性和安全性无法保证,面临着以下问题:
1、由于文件存储在脱机载体中,在传输的时候中脱离了系统管理,实际上处于非受控状态,文件修改、删除或覆盖都得不到有效的控制;
2、存储在脱机载体中的可能会感染病毒或木马,电子文件的安全性无法得到保证。
3、存储在脱机载体中的重要文件,可能随着介质的不慎遗失、被盗而导致文件内容泄密。
发明内容
基于上述背景技术,本发明提出一种软硬件结合实现电子文件安全传递的方法及装置,用以解决背景技术中所提及的若干问题,实现电子文件的离线封装、检测、身份认证、加密存取,数据自毁等功能,其具体技术内容如下:
一种电子文件安全传递装置,包括存储介质和USB数据接头,其特征在于:该存储介质由EOS系统固件管理,并定义有与专用程序相匹配的读\写接口;该EOS系统固件定义为在脱机状态下对存储介质上的数据进行管理,和在联机状态下由专用程序对存储介质上的数据进行管理;该EOS系统固件对数据的管理包括在满足数据过期条件或非法访问条件时对存储介质上的数据进行破坏性删除的操作,该存储介质由EOS系统固件分离为配置区和数据加密存储区,该配置区由专用程序写入或修改配置参数,该数据加密存储区用于存放加密数据。
一种软硬件结合实现电子文件安全传递的方法,其具体是:
1)定制上述电子文件安全传递装置;
2)在终端机上加载有基于CA认证的专用程序,且每个终端机分别设置有自身的数字证书和私钥,该私钥固化于终端机的系统固件中;该终端根据数据移交方向分为移交终端和接收终端,该移交终端利用CA认证对数据进行签名和加密,该接收终端利用CA认证对数据进行验证和解密;其中,CA认证所需的对方终端机的公钥由用户输入或直接预存于本地;
3)在该电子文件安全传递装置与终端机联机状态下,由该专用程序对存储介质上的数据进行管理;在该电子文件安全传递装置与终端机脱机状态下,由该电子文件安全传递装置的EOS系统固件对存储介质上的数据进行管理,该EOS系统固件对数据的管理包括在满足数据过期条件或非法访问条件时对存储介质上的数据进行破坏性删除的操作;
该CA认证包含在移交终端上执行的加密步骤,和在接收终端上执行的解密步骤;
该加密步骤为,将明文数据由移交终端的私钥进行签名生成签名数据块,将明文数据由接收终端的公钥进行加密生成加密数据块,该签名数据块和加密数据块合并成电子文件后进行传输;
该解密步骤为,从获得的电子文件中提取该签名数据块,并由移交终端的公钥进行验证以获得明文数据,从获得的电子文件中提取该加密数据块,并由接收终端的私钥进行解密以获得明文数据,将由验证后获得的明文数据与解密后获得的明文数据进行比较,判断数据的完整性。
于本发明的一个或多个实施例当中,在电子文件安全传递装置内具有安全使用环境固件,该安全使用环境固件基于虚拟机技术,实现在装置内加载该专用程序以提供对电子文件检测、加密、解密、离散式存储、读\写功能。
本发明与现有技术相比,其优越性现在:
1)在装置所含存储设备支持分区存储的功能,设置区、数据加密存储区相分离,存储分区实现芯片级别的数据加密算法,保证数据加密存储区不能被暴力破解。
2)在装置所含存储设备内部内置安全使用环境固件,借助虚拟机技术,在设备中加载操作系统和专用程序,提供文件检测、加密、解密、离散式存储、读写等功能。
3)为了应用方便,设备仍使用USB插口接入计算机,但装置所含存储设备不能被操作系统或其他程序直接读写,设备中的数据,只能被配套的软件系统读取。
4)在装置中提供数据自毁的机制,在设定有效期限或者数据被非法访问时,提供数据自毁的功能。
本发明无论从技术性、实用性还是经济性上看,均是具备卓越性的产品,适合推广使用。
附图说明
图1为本发明的电子文件安全传递装置的原理图。
图2为本发明的电子文件CA认证原理图。
具体实施方式
如下结合附图,对本申请方案作进一步描述:
参见附图1,一种电子文件安全传递装置,包括存储介质1和USB数据接头2,该存储介质1由EOS系统固件3管理,并定义有与专用程序相匹配的读\写接口4;该EOS系统固件3定义为在脱机状态下对存储介质1上的数据进行管理,和在联机状态下由专用程序对存储介质1上的数据进行管理;该EOS系统固件3对数据的管理包括在满足数据过期条件或非法访问条件时对存储介质上的数据进行破坏性删除的操作。该EOS系统固件3(嵌入式操作系统)固件解决高强度、高效率的数据管理和加密的问题。
该存储介质1由EOS系统固件3分离为配置区和数据加密存储区,该配置区由专用程序写入或修改配置参数,该数据加密存储区用于存放加密数据。
跟应用普通的移交介质(如光盘、U盘、移动硬盘)相比,本装置可以提供文件安全管理的一体化流程,通过与应用系统地集成以及对脱机离线状态下数据的管理,补充完善了整个文件传输过程的信任链,并且保证包含敏感或涉密的电子文件不被非法访问、篡改、删除,即使在传输过程中遗失,装置的自体数据湮灭功能,保证数据交换过程中不会因为各种因素造成泄密,数据被篡改等后果,同时也可以重复利用,节约设备使用成本。
本装置可以广泛应用于党政机关、企事业单位重要文件或敏感数据的离线安全移交,是电子文件安全传输领域的创新发明,是文件传输安全方面的一大进步。
参见附图1和2,一种软硬件结合实现电子文件安全传递的方法,包括
1)定制上述电子文件安全传递装置;
2)在终端机上加载有基于CA认证的专用程序,且每个终端机分别设置有自身的数字证书和私钥,该私钥固化于终端机的系统固件中;该终端根据数据移交方向分为移交终端51和接收终端52,该移交终端51利用CA认证对数据进行签名和加密,该接收终端52利用CA认证对数据进行验证和解密;其中,CA认证所需的对方终端机的公钥由用户输入或直接预存于本地;
3)在该电子文件安全传递装置与终端机(移交终端51和接收终端52)联机状态下,由该专用程序对存储介质上的数据进行管理;在该电子文件安全传递装置与终端机(移交终端51和接收终端52)脱机状态下,由该电子文件安全传递装置的EOS系统固件3对存储介质上的数据进行管理,该EOS系统固件3对数据的管理包括在满足数据过期条件或非法访问条件时对存储介质上的数据进行破坏性删除的操作;
该CA认证包含在移交终端51上执行的加密步骤,和在接收终端52上执行的解密步骤;
该加密步骤为,将明文数据由移交终端51的私钥进行签名生成签名数据块,将明文数据由接收终端52的公钥进行加密生成加密数据块,该签名数据块和加密数据块合并成电子文件后进行传输;
该解密步骤为,从获得的电子文件中提取该签名数据块,并由移交终端51的公钥进行验证以获得明文数据,从获得的电子文件中提取该加密数据块,并由接收终端52的私钥进行解密以获得明文数据,将由验证后获得的明文数据与解密后获得的明文数据进行比较,判断数据的完整性。
在电子文件安全传递装置内具有安全使用环境固件(包含于EOS系统固件3中),该安全使用环境固件基于虚拟机技术,实现在装置内加载该专用程序以提供对电子文件检测、加密、解密、离散式存储、读\写功能。
对于只有指定目的终端机可以解密的问题,本装置采用加密USB接口,只有部署了专用程序的终端机系统才能访问数据和解密数据;
对于目的终端机必须有可靠的手段验证数据的完整性的问题,本装置配套的专用程序提供对数据的准确性、完整性、可用性和安全性检测,检测完成的数据通过集成在线的CA认证手段进行封装后,才写入存储介质;
对于装置中需要提供特殊条件下的自体数据湮灭功能,在EOS系统固件(嵌入式操作系统)固件中实现,满足数据过期或其他强制销毁条件的时候,由该操作系统对数据进行破坏性删除,保证数据交换过程中不会因为各种因素造成泄密,数据被篡改等后果。即使存储介质遗失,介质上的数据也是安全的。
上述优选实施方式应视为本申请方案实施方式的举例说明,凡与本申请方案雷同、近似或以此为基础作出的技术推演、替换、改进等,均应视为本专利的保护范围。
Claims (2)
1.一种软硬件结合实现电子文件安全传递的方法,其特征在于:
1)定制一种电子文件安全传递装置,其包括存储介质和USB数据接头,该存储介质由EOS系统固件管理,并定义有与专用程序相匹配的读\写接口;该EOS系统固件定义为在脱机状态下对存储介质上的数据进行管理,和在联机状态下由专用程序对存储介质上的数据进行管理;该EOS系统固件对数据的管理包括在满足数据过期条件或非法访问条件时对存储介质上的数据进行破坏性删除的操作,该存储介质由EOS系统固件分离为配置区和数据加密存储区,该配置区由专用程序写入或修改配置参数,该数据加密存储区用于存放加密数据;
2)在终端机上加载有基于CA认证的专用程序,且每个终端机分别设置有自身的数字证书和私钥,该私钥固化于终端机的系统固件中;该终端根据数据移交方向分为移交终端和接收终端,该移交终端利用CA认证对数据进行签名和加密,该接收终端利用CA认证对数据进行验证和解密;其中,CA认证所需的对方终端机的公钥由用户输入或直接预存于本地;
3)在该电子文件安全传递装置与终端机联机状态下,由该专用程序对存储介质上的数据进行管理;在该电子文件安全传递装置与终端机脱机状态下,由该电子文件安全传递装置的EOS系统固件对存储介质上的数据进行管理,该EOS系统固件对数据的管理包括在满足数据过期条件或非法访问条件时对存储介质上的数据进行破坏性删除的操作;
该CA认证包含在移交终端上执行的加密步骤,和在接收终端上执行的解密步骤;
该加密步骤为,将明文数据由移交终端的私钥进行签名生成签名数据块,将明文数据由接收终端的公钥进行加密生成加密数据块,该签名数据块和加密数据块合并成电子文件后进行传输;
该解密步骤为,从获得的电子文件中提取该签名数据块,并由移交终端的公钥进行验证以获得明文数据,从获得的电子文件中提取该加密数据块,并由接收终端的私钥进行解密以获得明文数据,将由验证后获得的明文数据与解密后获得的明文数据进行比较,判断数据的完整性。
2.根据权利要求1所述的软硬件结合实现电子文件安全传递的方法,其特征在于:在电子文件安全传递装置内具有安全使用环境固件,该安全使用环境固件基于虚拟机技术,实现在装置内加载该专用程序以提供对电子文件检测、加密、解密、离散式存储、读\写功能。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610170672.6A CN105825136B (zh) | 2016-03-24 | 2016-03-24 | 一种软硬件结合实现电子文件安全传递的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610170672.6A CN105825136B (zh) | 2016-03-24 | 2016-03-24 | 一种软硬件结合实现电子文件安全传递的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105825136A CN105825136A (zh) | 2016-08-03 |
CN105825136B true CN105825136B (zh) | 2020-04-03 |
Family
ID=56524440
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610170672.6A Active CN105825136B (zh) | 2016-03-24 | 2016-03-24 | 一种软硬件结合实现电子文件安全传递的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105825136B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AT520029B1 (de) * | 2017-05-10 | 2019-04-15 | Pronextor Gmbh | Zugriffssteuerungseinheit zur Steuerung des Zugriffs auf in einem Datenspeicher gespeicherte verschlüsselte Daten |
CN109032505A (zh) * | 2018-06-26 | 2018-12-18 | 深圳忆联信息系统有限公司 | 带时效的数据读写方法、装置、计算机设备及存储介质 |
CN113032854A (zh) * | 2021-03-30 | 2021-06-25 | 杭州华澜微电子股份有限公司 | 一种电子资料安全移交方法 |
CN113312655A (zh) * | 2021-07-29 | 2021-08-27 | 深圳市永达电子信息股份有限公司 | 基于重定向的文件传输方法、电子设备及可读存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101795261A (zh) * | 2009-12-31 | 2010-08-04 | 暨南大学 | 基于移动数据安全的信息保护系统及方法 |
CN203896378U (zh) * | 2013-12-05 | 2014-10-22 | 航天信息股份有限公司 | 一种信息安全传输系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8627104B2 (en) * | 2011-04-28 | 2014-01-07 | Absio Corporation | Secure data storage |
WO2014059575A1 (zh) * | 2012-10-15 | 2014-04-24 | 华为技术有限公司 | 输入输出操作的处理方法和装置 |
-
2016
- 2016-03-24 CN CN201610170672.6A patent/CN105825136B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101795261A (zh) * | 2009-12-31 | 2010-08-04 | 暨南大学 | 基于移动数据安全的信息保护系统及方法 |
CN203896378U (zh) * | 2013-12-05 | 2014-10-22 | 航天信息股份有限公司 | 一种信息安全传输系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105825136A (zh) | 2016-08-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9735962B1 (en) | Three layer key wrapping for securing encryption keys in a data storage system | |
US11263020B2 (en) | System and method for wiping encrypted data on a device having file-level content protection | |
KR101852724B1 (ko) | 컴퓨터 프로그램, 비밀관리방법 및 시스템 | |
US8204233B2 (en) | Administration of data encryption in enterprise computer systems | |
US20140019753A1 (en) | Cloud key management | |
WO2021164166A1 (zh) | 一种业务数据保护方法、装置、设备及可读存储介质 | |
CN104951409A (zh) | 一种基于硬件的全盘加密系统及加密方法 | |
CN105825136B (zh) | 一种软硬件结合实现电子文件安全传递的方法及装置 | |
KR20110055510A (ko) | 보안 저장 장치에 저장된 디지털 컨텐츠의 백업 | |
EP2065828B1 (en) | Media storage structures for storing content, devices for using such structures, systems for distributing such structures | |
US8538890B2 (en) | Encrypting a unique cryptographic entity | |
US20120096257A1 (en) | Apparatus and Method for Protecting Storage Data of a Computing Apparatus in an Enterprise Network System | |
CN109547215B (zh) | 一种基于移动终端指纹的文档信息保护方法 | |
WO2012075904A1 (zh) | 一种验证绑定数据卡和移动主机的方法、装置及系统 | |
CN102831346A (zh) | 一种文件保护方法及系统 | |
CA2891610C (en) | Agent for providing security cloud service and security token device for security cloud service | |
CN112507296A (zh) | 一种基于区块链的用户登录验证方法及系统 | |
CN102724137A (zh) | 一种离线安全使用可信移动存储介质的方法及系统 | |
US20210266301A1 (en) | Secure application processing systems and methods | |
CN104361297A (zh) | 一种基于Linux操作系统的文件加解密方法 | |
CN109858202A (zh) | 一种安全保密的离线软件注册授权方法 | |
CN113545021B (zh) | 预先授权设备的注册 | |
CN103207976A (zh) | 移动存储文件防泄密方法及基于该方法的保密u盘 | |
CN112287415B (zh) | Usb存储设备访问控制方法、系统、介质、设备及应用 | |
CN109344632A (zh) | 一种基于硬件加密卡的openstack卷加密方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |