CN106886719A - 一种控制u盘使用范围的方法 - Google Patents

一种控制u盘使用范围的方法 Download PDF

Info

Publication number
CN106886719A
CN106886719A CN201710015566.5A CN201710015566A CN106886719A CN 106886719 A CN106886719 A CN 106886719A CN 201710015566 A CN201710015566 A CN 201710015566A CN 106886719 A CN106886719 A CN 106886719A
Authority
CN
China
Prior art keywords
usb flash
flash disk
secrecy
key
carry
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710015566.5A
Other languages
English (en)
Other versions
CN106886719B (zh
Inventor
娄国栋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Huaruan Goldencis Software Co Ltd
Original Assignee
Shandong Huaruan Goldencis Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Huaruan Goldencis Software Co Ltd filed Critical Shandong Huaruan Goldencis Software Co Ltd
Priority to CN201710015566.5A priority Critical patent/CN106886719B/zh
Publication of CN106886719A publication Critical patent/CN106886719A/zh
Application granted granted Critical
Publication of CN106886719B publication Critical patent/CN106886719B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/077Constructional details, e.g. mounting of circuits in the carrier
    • G06K19/0772Physical layout of the record carrier
    • G06K19/07732Physical layout of the record carrier the record carrier having a housing or construction similar to well-known portable memory devices, such as SD cards, USB or memory sticks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种控制U盘使用范围的方法,该方法生成U盘唯一标识,然后通过生成的U盘密钥对U盘存储设备进行加密和终端通过密钥挂载。本发明保留了现有保密U盘的所有优点,并且本发明通过U盘唯一标识码对U盘进行识别的统一的管控,即使U盘被格式化掉同样有效;通过U盘识别码配合U盘密钥对U盘的使用范围进行精准的管控,细粒度的控制U盘的使用范围,并能够灵活的调整和补充。

Description

一种控制U盘使用范围的方法
技术领域
本发明涉及一种控制U盘使用范围的方法,属于信息安全技术领域。
背景技术
U盘作为一种便携的存储设备广泛的在各种场合下使用,在带来方便的同时也存在泄密的严重隐患。比如公司里的技术图纸、核心代码、商业机密都能通过U盘拷贝出去造成泄密。
在现有的解决方案中,保密U盘是一种常用的保护U盘数据的手段。保密U盘的工作原理是通过强加密的方式将整个U盘分区进行加密处理,形成私有的磁盘格式。使用的时候通过VVOL技术将加密后的U盘分区解密并挂载成虚拟卷,这样用户就能和使用普通的U盘一样使用保密U盘了。而如果U盘带出公司,由于无法通过VVOL进行解密和挂载,U盘中的数据无法使用。
现有的保密U盘能从很大程度上杜绝涉密文件通过U盘泄密,但是控制颗粒度太粗,不太易于使用,当有如下需求时,现有保密U盘无法满足:1、公司里有多个部门,不同的部门分配不同的U盘,不同的部门之间只能使用各自的U盘,或者控制U盘在跨部门的情况下只读。2、动态的对U盘的使用范围进行调整,比如A优盘开始是属于研发部门的,通过管理员调整为B部门的。
发明内容
本发明要解决的技术问题是提供一种控制U盘使用范围的方法,对U盘的使用范围进行细粒度的控制,并且支持灵活定制,随时调整。
为了解决所述技术问题,本发明采用的技术方案是:一种控制U盘使用范围的方法,包括以下步骤:S01)、根据U盘的ID串计算U盘的唯一标识码,用于唯一标识U盘,同一个U盘在不同的终端获取到的标识码始终相同,不同的U盘标识码不同;S02)、根据U盘的唯一标识码生成该U盘的密钥,使用密钥制作保密U盘,将U盘的唯一标识、描述和对应的密钥入库;S03)、对不同的终端或者部门配置密钥策略;S04)、终端检测到保密U盘插入后通过本地缓存的密钥进行保密U盘的挂载。
进一步的,计算U盘唯一标识码的步骤为:1)、通过SetupDiGetClassDevs API接口打开磁盘存储管理接口;2)、通过SetupDiEnumDeviceInterfaces并指定GUID遍历本地拥有的磁盘存储设备;3)、通过CM_Get_Device_ID接口获取USB存储设备的ID串,ID串中包括USB存储的生产序号和批次号;4)、通过crc32算法配合私有掩码计算该ID串的crc32值,将crc32值作为该U盘的唯一标识码。
进一步的,使用密钥制作保密U盘的步骤为:1)、设置保密卷创建选项;2)、在内存中创建保密卷头,保密卷头中写入用户数据;3)、对保密卷头进行加密格式化,将其格式化成制定的文件系统;4)、将经过处理的卷写入U盘存储设备的起始位置;5)、根据设置的密钥对完成加密的U盘进行挂载,挂载成功即为创建成功,挂载失败则重复步骤1-4重新加密。
进一步的,步骤4后,填充随机数据,增加保密U盘的安全性。
进一步的,步骤3中,将保密卷头格式化成NTFS的文件系统。
进一步的,保密U盘挂载的步骤为:1)、获取一个闲置的盘符;2)、设置挂载密码,挂载密码为我步骤3中下发的U盘密钥;3)、应用层给驱动层发送IOCTRL对指定的密盘进行挂载动作。
进一步的,针对有多个密钥的终端,依次尝试所有的密钥,直到成功或者所有的密钥都挂载失败。
本发明的有益效果:本发明保留了现有保密U盘的所有优点,如文件存取效率高、稳定,并且本发明通过U盘唯一标识码对U盘进行识别的统一的管控,即使U盘被格式化掉同样有效;通过U盘识别码配合U盘密钥对U盘的使用范围进行精准的管控,细粒度的控制U盘的使用范围,并能够灵活的调整和补充。
附图说明
图1为现有保密U盘的工作流程;
图2为本发明控制U盘使用范围的方法的流程图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步的说明。
首先对本实施例中出现的缩略语进行解释。
VVOL:Virtual Volume,虚拟卷设备,通过Windows底层磁盘设备驱动生成的虚拟设备。
UUM: U盘唯一标识码,通过U盘生产序号加私有的CRC32算法生成的唯一标识U盘的标识串。
保密U盘:通过底层驱动虚拟设备技术配合数据读写加解密技术实现的一种保护U盘内数据的方案。
NTFS:一种文件系统,和Fat32文件系统相比最大优势是支持单个文件超过4G的大文件。
Json:(JavaScript Object Notation) 是一种轻量级的数据交换格式,本实施例中用于描述给终端下发的保密U盘策略的策略内容。
如图1所示,为现有保密U盘的工作原理图,通过强加密的方式将整个U盘分区进行加密处理,形成私有的磁盘格式,使用的时候通过VVOL技术将加密后的U盘分区解密并挂载成虚拟卷,这样用户就能和使用普通的U盘一样使用保密U盘了。
现有保密U盘能从很大程度上杜绝涉密文件通过U盘泄密,因为如果没有在授信环境中,加密过的U盘不会通过VVOL进行挂载,用户也就无法访问密盘中的文件数据,但是控制颗粒度太粗,不太易于使用,比如有如下需求:1.公司里有多个部门,不同的部门分配不同的U盘,不同的部门之间只能使用各自的U盘,或者控制U盘在跨部门的情况下只读。2.动态的对U盘的使用范围进行调整,比如A优盘开始是属于研发部门的,通过管理员调整为B部门。在出现这些需求时,现有保密U盘不能够满足。
本实施例所述方法通过U盘唯一标识和保密U盘密钥授信技术通过策略对内部U盘的使用范围进行细粒度的控制,并且支持灵活定制,随时调整。
如图2所示,为本发明所述控制U盘使用范围的方法的流程图,该方法包括以下步骤:S01)、首先需要计算U盘的唯一标识码,用于唯一标识一个U盘,同一个U盘要保证在不同的终端获取到的标识码始终相同,不同的U盘标识码要不同。
计算U盘唯一标识码的过程为:
1.通过SetupDiGetClassDevs API接口打开磁盘存储管理接口;
2.通过SetupDiEnumDeviceInterfaces并指定GUID遍历本地拥有的磁盘存储设备;
3.通过CM_Get_Device_ID接口获取USB存储设备的ID串,串中包含USB存储的生产序号和批次号,不同的U盘的数据不一样,类似USB\Vid_1b1a&Pid_0000字符串;
4.通过crc32算法配合私有掩码计算该串的crc32值,结果作为该U盘的唯一标识码。
S02)、根据U盘的唯一标识码生成该U盘的密钥,使用这个密钥制作保密U盘,并将U盘的唯一标识、描述和对应的密钥入库。
使用密钥创建保密U盘的详细步骤为:
1).设置保密卷创建选项,保密卷创建的参数选项包括是否是设备类型、是否是隐藏卷、卷路径、卷大小、隐藏卷大小、文件系统、簇大小、是否支持快速格式化、扇区大小、实际的扇区大小(可能和设置的不同)、密码信息(即设置的密钥);
2).在内存中创建保密卷头,保密卷头中写入用户数据,然后对卷头进行加密格式化;
3).格式化成指定的文件系统,通常配置为NTFS(支持单个文件大小超过4G的大文件);
4).将经过处理的卷写入U盘存储设备的起始位置;
5).填充随机数据,增加保密U盘的安全性;
6).最后尝试通过我们设置的密钥对创建完成设备进行挂载,能挂载成功即为创建成功,挂载失败则重新创建。
S03)、对不同的终端或者部门配置密钥策略。比如技术部门和研发部门,分别下发其持有保密U盘对应的密钥,那技术部门和研发部门就只能用其持有的保密U盘。
保密U盘密钥采用Json格式,针对不同的部门,会有多个密钥。
S04)、终端检测到保密盘插入后通过本地缓存的密钥进行密盘的挂载。
保密U盘挂载的步骤为:
1.挂载保密U盘前首先获取一个闲置的盘符,比如P盘;
2.设置挂载密码为我们策略中下发的U盘密钥;
3.应用层给驱动层发送IOCTRL对指定的密盘进行挂载动作;
4.如果终端有多个密钥依次尝试所有的密钥,直到成功或者所有的密钥都挂载失败。
下面以一个实际应用场景为例说下该方法能达到的效果:
公司有三个部门,技术部、研发部、总经办,要求U盘只能在公司内部使用并且技术部和研发部分别只能使用自己的U盘,总经办需要使用所有的U盘。给所有的U盘注册并生成密钥,技术部和研发部只下发其持有的U盘密钥,总经办下发所有的保密U盘密钥即可实现。如果使用过程中需要调整,比如新买了五个盘,重新注册并给指定部门下发密钥即可。
本发明保留了现有保密U盘的所有优点,如文件存取效率高、稳定,并且本发明通过U盘唯一标识码对U盘进行识别的统一的管控,即使U盘被格式化掉同样有效;通过U盘识别码配合U盘密钥对U盘的使用范围进行精准的管控,细粒度的控制U盘的使用范围,并能够灵活的调整和补充。
以上描述的近视本发明的基本原理和优选实施例,本领域技术人员根据本发明做出的改进和替换,属于本发明的保护范围。

Claims (7)

1.一种控制U盘使用范围的方法,其特征在于:包括以下步骤:S01)、根据U盘的ID串计算U盘的唯一标识码,用于唯一标识U盘,同一个U盘在不同的终端获取到的标识码始终相同,不同的U盘标识码不同;S02)、根据U盘的唯一标识码生成该U盘的密钥,使用密钥制作保密U盘,将U盘的唯一标识、描述和对应的密钥入库;S03)、对不同的终端或者部门配置密钥策略;S04)、终端检测到保密U盘插入后通过本地缓存的密钥进行保密U盘的挂载。
2.根据权利要求1所述的控制U盘使用范围的方法,其特征在于:计算U盘唯一标识码的步骤为:1)、通过SetupDiGetClassDevs API接口打开磁盘存储管理接口;2)、通过SetupDiEnumDeviceInterfaces并指定GUID遍历本地拥有的磁盘存储设备;3)、通过CM_Get_Device_ID接口获取USB存储设备的ID串,ID串中包括USB存储的生产序号和批次号;4)、通过crc32算法配合私有掩码计算该ID串的crc32值,将crc32值作为该U盘的唯一标识码。
3.根据权利要求1所述的控制U盘使用范围的方法,其特征在于:使用密钥制作保密U盘的步骤为:1)、设置保密卷创建选项;2)、在内存中创建保密卷头,保密卷头中写入用户数据;3)、对保密卷头进行加密格式化,将其格式化成制定的文件系统;4)、将经过处理的卷写入U盘存储设备的起始位置;5)、根据设置的密钥对完成加密的U盘进行挂载,挂载成功即为创建成功,挂载失败则重复步骤1-4重新加密。
4.根据权利要求3所述的控制U盘使用范围的方法,其特则在于:步骤4后,填充随机数据,增加保密U盘的安全性。
5.根据权利要求3所述的控制U盘使用范围的方法,其特征在于:步骤3中,将保密卷头格式化成NTFS的文件系统。
6.根据权利要求1所述的控制U盘使用范围的方法,其特征在于:保密U盘挂载的步骤为:1)、获取一个闲置的盘符;2)、设置挂载密码,挂载密码为我步骤3中下发的U盘密钥;3)、应用层给驱动层发送IOCTRL对指定的密盘进行挂载动作。
7.根据权利要求6所述的控制U盘使用范围的方法,其特征在于:针对有多个密钥的终端,依次尝试所有的密钥,直到成功或者所有的密钥都挂载失败。
CN201710015566.5A 2017-01-10 2017-01-10 一种控制u盘使用范围的方法 Active CN106886719B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710015566.5A CN106886719B (zh) 2017-01-10 2017-01-10 一种控制u盘使用范围的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710015566.5A CN106886719B (zh) 2017-01-10 2017-01-10 一种控制u盘使用范围的方法

Publications (2)

Publication Number Publication Date
CN106886719A true CN106886719A (zh) 2017-06-23
CN106886719B CN106886719B (zh) 2020-08-14

Family

ID=59176222

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710015566.5A Active CN106886719B (zh) 2017-01-10 2017-01-10 一种控制u盘使用范围的方法

Country Status (1)

Country Link
CN (1) CN106886719B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110059507A (zh) * 2019-03-01 2019-07-26 北京亿赛通科技发展有限责任公司 一种实现智能安全u盘的系统及方法
CN111125796A (zh) * 2019-12-26 2020-05-08 深信服科技股份有限公司 对移动存储设备进行保护的方法及装置、设备、存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1983292A (zh) * 2006-04-21 2007-06-20 华为技术有限公司 一种移动终端拷贝数据时对数据保护的方法
CN102073827A (zh) * 2010-10-15 2011-05-25 福建新大陆通信科技股份有限公司 一种保障机顶盒应用程序安全的方法
CN103678994A (zh) * 2013-12-05 2014-03-26 中国科学院数据与通信保护研究教育中心 一种具有环境控制的usb加密存储系统及方法
CN103955654A (zh) * 2014-04-02 2014-07-30 西北工业大学 基于虚拟文件系统的u盘安全存储方法
CN104765987A (zh) * 2015-04-17 2015-07-08 深圳市西迪特科技有限公司 嵌入式设备软件加密的系统及方法
CN105141614A (zh) * 2015-09-07 2015-12-09 北京北信源软件股份有限公司 一种移动存储设备的访问权限控制方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1983292A (zh) * 2006-04-21 2007-06-20 华为技术有限公司 一种移动终端拷贝数据时对数据保护的方法
CN102073827A (zh) * 2010-10-15 2011-05-25 福建新大陆通信科技股份有限公司 一种保障机顶盒应用程序安全的方法
CN103678994A (zh) * 2013-12-05 2014-03-26 中国科学院数据与通信保护研究教育中心 一种具有环境控制的usb加密存储系统及方法
CN103955654A (zh) * 2014-04-02 2014-07-30 西北工业大学 基于虚拟文件系统的u盘安全存储方法
CN104765987A (zh) * 2015-04-17 2015-07-08 深圳市西迪特科技有限公司 嵌入式设备软件加密的系统及方法
CN105141614A (zh) * 2015-09-07 2015-12-09 北京北信源软件股份有限公司 一种移动存储设备的访问权限控制方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李永强: "《USB移动存储设备密级保护系统的设计与实现》", 《计算机光盘软件与应用》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110059507A (zh) * 2019-03-01 2019-07-26 北京亿赛通科技发展有限责任公司 一种实现智能安全u盘的系统及方法
CN111125796A (zh) * 2019-12-26 2020-05-08 深信服科技股份有限公司 对移动存储设备进行保护的方法及装置、设备、存储介质

Also Published As

Publication number Publication date
CN106886719B (zh) 2020-08-14

Similar Documents

Publication Publication Date Title
CN110784463B (zh) 一种基于区块链的文件存储和访问方法
US8966288B2 (en) System and method for providing encryption in storage operations in a storage network, such as for use by application service providers that provide data storage services
CN105849738B (zh) 存储阵列密码管理
US8285878B2 (en) Block based access to a dispersed data storage network
US7594257B2 (en) Data security for digital data storage
US7277941B2 (en) System and method for providing encryption in a storage network by storing a secured encryption key with encrypted archive data in an archive storage device
CN100419663C (zh) 数据安全
US9798677B2 (en) Hybrid cryptographic key derivation
CN104852922B (zh) 基于分布式文件系统的大数据加解密方法
JP2001516913A (ja) 暗号化ファイルシステム及び方法
CN102693399B (zh) 一种电子文档在线分离与还原的系统及方法
WO2012075446A2 (en) Attribute-based access-controlled data-storage system
CN101854392A (zh) 一种基于云计算环境的个人数据管理方法
CN101017525A (zh) 基于证书和透明加密的usb存储设备数据防泄密系统和方法
WO2018032375A1 (zh) 一种用于区块链可生存存储系统及其方法
EP2722787A1 (en) Method and apparatus for writing and reading encrypted hard disk data
CN103095452A (zh) 需要采用穷举法解密的随机加密方法
CN105117635A (zh) 一种本地数据的安全保护系统和方法
CN107070649A (zh) 一种减少写入的大文件选择性加密方法
CN106886719A (zh) 一种控制u盘使用范围的方法
CN106682521A (zh) 基于驱动层的文件透明加解密系统及方法
JP2013214135A (ja) 情報記憶装置、情報記憶装置制御プログラム、情報記憶装置制御方法
CN113568568A (zh) 一种基于分布式存储的硬件加密方法、系统及装置
JP4721737B2 (ja) データのバックアップ方法、バックアップ処理システム、およびコンピュータプログラム
CN114282922A (zh) 一种基于冷钱包的区块链交易处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PP01 Preservation of patent right
PP01 Preservation of patent right

Effective date of registration: 20231113

Granted publication date: 20200814