CN106886719B - 一种控制u盘使用范围的方法 - Google Patents
一种控制u盘使用范围的方法 Download PDFInfo
- Publication number
- CN106886719B CN106886719B CN201710015566.5A CN201710015566A CN106886719B CN 106886719 B CN106886719 B CN 106886719B CN 201710015566 A CN201710015566 A CN 201710015566A CN 106886719 B CN106886719 B CN 106886719B
- Authority
- CN
- China
- Prior art keywords
- disk
- usb flash
- flash disk
- secret
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 238000004519 manufacturing process Methods 0.000 claims description 8
- 239000013589 supplement Substances 0.000 abstract description 3
- 238000012827 research and development Methods 0.000 description 9
- 238000005192 partition Methods 0.000 description 4
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/067—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
- G06K19/07—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
- G06K19/077—Constructional details, e.g. mounting of circuits in the carrier
- G06K19/0772—Physical layout of the record carrier
- G06K19/07732—Physical layout of the record carrier the record carrier having a housing or construction similar to well-known portable memory devices, such as SD cards, USB or memory sticks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种控制U盘使用范围的方法,该方法生成U盘唯一标识,然后通过生成的U盘密钥对U盘存储设备进行加密和终端通过密钥挂载。本发明保留了现有保密U盘的所有优点,并且本发明通过U盘唯一标识码对U盘进行识别的统一的管控,即使U盘被格式化掉同样有效;通过U盘识别码配合U盘密钥对U盘的使用范围进行精准的管控,细粒度的控制U盘的使用范围,并能够灵活的调整和补充。
Description
技术领域
本发明涉及一种控制U盘使用范围的方法,属于信息安全技术领域。
背景技术
U盘作为一种便携的存储设备广泛的在各种场合下使用,在带来方便的同时也存在泄密的严重隐患。比如公司里的技术图纸、核心代码、商业机密都能通过U盘拷贝出去造成泄密。
在现有的解决方案中,保密U盘是一种常用的保护U盘数据的手段。保密U盘的工作原理是通过强加密的方式将整个U盘分区进行加密处理,形成私有的磁盘格式。使用的时候通过VVOL技术将加密后的U盘分区解密并挂载成虚拟卷,这样用户就能和使用普通的U盘一样使用保密U盘了。而如果U盘带出公司,由于无法通过VVOL进行解密和挂载,U盘中的数据无法使用。
现有的保密U盘能从很大程度上杜绝涉密文件通过U盘泄密,但是控制颗粒度太粗,不太易于使用,当有如下需求时,现有保密U盘无法满足:1、公司里有多个部门,不同的部门分配不同的U盘,不同的部门之间只能使用各自的U盘,或者控制U盘在跨部门的情况下只读。2、动态的对U盘的使用范围进行调整,比如A优盘开始是属于研发部门的,通过管理员调整为B部门的。
发明内容
本发明要解决的技术问题是提供一种控制U盘使用范围的方法,对U盘的使用范围进行细粒度的控制,并且支持灵活定制,随时调整。
为了解决所述技术问题,本发明采用的技术方案是:一种控制U盘使用范围的方法,包括以下步骤:S01)、根据U盘的ID串计算U盘的唯一标识码,用于唯一标识U盘,同一个U盘在不同的终端获取到的标识码始终相同,不同的U盘标识码不同;S02)、根据U盘的唯一标识码生成该U盘的密钥,使用密钥制作保密U盘,将U盘的唯一标识、描述和对应的密钥入库;S03)、对不同的终端或者部门配置密钥策略;S04)、终端检测到保密U盘插入后通过本地缓存的密钥进行保密U盘的挂载。
进一步的,计算U盘唯一标识码的步骤为:1)、通过SetupDiGetClassDevs API接口打开磁盘存储管理接口;2)、通过SetupDiEnumDeviceInterfaces并指定GUID遍历本地拥有的磁盘存储设备;3)、通过CM_Get_Device_ID接口获取USB存储设备的ID串,ID串中包括USB存储的生产序号和批次号;4)、通过crc32算法配合私有掩码计算该ID串的crc32值,将crc32值作为该U盘的唯一标识码。
进一步的,使用密钥制作保密U盘的步骤为:1)、设置保密卷创建选项;2)、在内存中创建保密卷头,保密卷头中写入用户数据;3)、对保密卷头进行加密格式化,将其格式化成制定的文件系统;4)、将经过处理的卷写入U盘存储设备的起始位置;5)、根据设置的密钥对完成加密的U盘进行挂载,挂载成功即为创建成功,挂载失败则重复步骤1-4重新加密。
进一步的,步骤4后,填充随机数据,增加保密U盘的安全性。
进一步的,步骤3中,将保密卷头格式化成NTFS的文件系统。
进一步的,保密U盘挂载的步骤为:1)、获取一个闲置的盘符;2)、设置挂载密码,挂载密码为我步骤3中下发的U盘密钥;3)、应用层给驱动层发送IOCTRL对指定的密盘进行挂载动作。
进一步的,针对有多个密钥的终端,依次尝试所有的密钥,直到成功或者所有的密钥都挂载失败。
本发明的有益效果:本发明保留了现有保密U盘的所有优点,如文件存取效率高、稳定,并且本发明通过U盘唯一标识码对U盘进行识别的统一的管控,即使U盘被格式化掉同样有效;通过U盘识别码配合U盘密钥对U盘的使用范围进行精准的管控,细粒度的控制U盘的使用范围,并能够灵活的调整和补充。
附图说明
图1为现有保密U盘的工作流程;
图2为本发明控制U盘使用范围的方法的流程图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步的说明。
首先对本实施例中出现的缩略语进行解释。
VVOL:Virtual Volume,虚拟卷设备,通过Windows底层磁盘设备驱动生成的虚拟设备。
UUM: U盘唯一标识码,通过U盘生产序号加私有的CRC32算法生成的唯一标识U盘的标识串。
保密U盘:通过底层驱动虚拟设备技术配合数据读写加解密技术实现的一种保护U盘内数据的方案。
NTFS:一种文件系统,和Fat32文件系统相比最大优势是支持单个文件超过4G的大文件。
Json:(JavaScript Object Notation) 是一种轻量级的数据交换格式,本实施例中用于描述给终端下发的保密U盘策略的策略内容。
如图1所示,为现有保密U盘的工作原理图,通过强加密的方式将整个U盘分区进行加密处理,形成私有的磁盘格式,使用的时候通过VVOL技术将加密后的U盘分区解密并挂载成虚拟卷,这样用户就能和使用普通的U盘一样使用保密U盘了。
现有保密U盘能从很大程度上杜绝涉密文件通过U盘泄密,因为如果没有在授信环境中,加密过的U盘不会通过VVOL进行挂载,用户也就无法访问密盘中的文件数据,但是控制颗粒度太粗,不太易于使用,比如有如下需求:1.公司里有多个部门,不同的部门分配不同的U盘,不同的部门之间只能使用各自的U盘,或者控制U盘在跨部门的情况下只读。2.动态的对U盘的使用范围进行调整,比如A优盘开始是属于研发部门的,通过管理员调整为B部门。在出现这些需求时,现有保密U盘不能够满足。
本实施例所述方法通过U盘唯一标识和保密U盘密钥授信技术通过策略对内部U盘的使用范围进行细粒度的控制,并且支持灵活定制,随时调整。
如图2所示,为本发明所述控制U盘使用范围的方法的流程图,该方法包括以下步骤:S01)、首先需要计算U盘的唯一标识码,用于唯一标识一个U盘,同一个U盘要保证在不同的终端获取到的标识码始终相同,不同的U盘标识码要不同。
计算U盘唯一标识码的过程为:
1.通过SetupDiGetClassDevs API接口打开磁盘存储管理接口;
2.通过SetupDiEnumDeviceInterfaces并指定GUID遍历本地拥有的磁盘存储设备;
3.通过CM_Get_Device_ID接口获取USB存储设备的ID串,串中包含USB存储的生产序号和批次号,不同的U盘的数据不一样,类似USB\Vid_1b1a&Pid_0000字符串;
4.通过crc32算法配合私有掩码计算该串的crc32值,结果作为该U盘的唯一标识码。
S02)、根据U盘的唯一标识码生成该U盘的密钥,使用这个密钥制作保密U盘,并将U盘的唯一标识、描述和对应的密钥入库。
使用密钥创建保密U盘的详细步骤为:
1).设置保密卷创建选项,保密卷创建的参数选项包括是否是设备类型、是否是隐藏卷、卷路径、卷大小、隐藏卷大小、文件系统、簇大小、是否支持快速格式化、扇区大小、实际的扇区大小(可能和设置的不同)、密码信息(即设置的密钥);
2).在内存中创建保密卷头,保密卷头中写入用户数据,然后对卷头进行加密格式化;
3).格式化成指定的文件系统,通常配置为NTFS(支持单个文件大小超过4G的大文件);
4).将经过处理的卷写入U盘存储设备的起始位置;
5).填充随机数据,增加保密U盘的安全性;
6).最后尝试通过我们设置的密钥对创建完成设备进行挂载,能挂载成功即为创建成功,挂载失败则重新创建。
S03)、对不同的终端或者部门配置密钥策略。比如技术部门和研发部门,分别下发其持有保密U盘对应的密钥,那技术部门和研发部门就只能用其持有的保密U盘。
保密U盘密钥采用Json格式,针对不同的部门,会有多个密钥。
S04)、终端检测到保密盘插入后通过本地缓存的密钥进行密盘的挂载。
保密U盘挂载的步骤为:
1.挂载保密U盘前首先获取一个闲置的盘符,比如P盘;
2.设置挂载密码为我们策略中下发的U盘密钥;
3.应用层给驱动层发送IOCTRL对指定的密盘进行挂载动作;
4.如果终端有多个密钥依次尝试所有的密钥,直到成功或者所有的密钥都挂载失败。
下面以一个实际应用场景为例说下该方法能达到的效果:
公司有三个部门,技术部、研发部、总经办,要求U盘只能在公司内部使用并且技术部和研发部分别只能使用自己的U盘,总经办需要使用所有的U盘。给所有的U盘注册并生成密钥,技术部和研发部只下发其持有的U盘密钥,总经办下发所有的保密U盘密钥即可实现。如果使用过程中需要调整,比如新买了五个盘,重新注册并给指定部门下发密钥即可。
本发明保留了现有保密U盘的所有优点,如文件存取效率高、稳定,并且本发明通过U盘唯一标识码对U盘进行识别的统一的管控,即使U盘被格式化掉同样有效;通过U盘识别码配合U盘密钥对U盘的使用范围进行精准的管控,细粒度的控制U盘的使用范围,并能够灵活的调整和补充。
以上描述的近视本发明的基本原理和优选实施例,本领域技术人员根据本发明做出的改进和替换,属于本发明的保护范围。
Claims (4)
1.一种控制U盘使用范围的方法,其特征在于:包括以下步骤:S01)、根据U盘的ID串计算U盘的唯一标识码,ID串中包括U盘的生产序号和批次号,通过crc32算法配合私有掩码计算该ID串的crc32值,将crc32值作为该U盘的唯一标识码,唯一标识码用于唯一标识U盘,同一个U盘在不同的终端获取到的标识码始终相同,不同的U盘标识码不同;S02)、根据U盘的唯一标识码生成该U盘的密钥,使用密钥制作保密U盘,将U盘的唯一标识码、描述和对应的密钥入库;S03)、对不同的终端或者部门配置密钥策略;S04)、终端检测到保密U盘插入后通过本地缓存的密钥进行保密U盘的挂载;
其中,使用密钥创建保密U盘的步骤为:1)、设置保密卷创建选项,保密卷创建的参数选项包括是否是设备类型、是否是隐藏卷、卷路径、卷大小、隐藏卷大小、文件系统、簇大小、是否支持快速格式化、扇区大小、实际的扇区大小、密钥信息;2)、在内存中创建保密卷头,保密卷头中写入用户数据;3)、对保密卷头进行加密格式化,将其格式化成指定的文件系统;4)、将经过处理的保密卷写入U盘的起始位置;5)、填充随机数据,增加保密U盘的安全性;6)、根据设置的密钥对完成加密的U盘进行挂载,挂载成功即为创建成功,挂载失败则重复步骤1)-5)重新创建;
进行保密U盘挂载的步骤为:1)、获取一个闲置的盘符;2)、设置挂载密钥,挂载密钥为步骤S03)中配置的密钥策略对应的密钥;3)、应用层给驱动层发送IOCTRL对指定的保密U盘进行挂载动作。
2.根据权利要求1所述的控制U盘使用范围的方法,其特征在于:计算U盘唯一标识码的步骤为:1)、通过SetupDiGetClassDevs API接口打开磁盘存储管理接口;2)、通过SetupDiEnumDeviceInterfaces并指定GUID遍历本地拥有的磁盘存储设备;3)、通过CM_Get_Device_ID接口获取U盘的ID串,ID串中包括U盘的生产序号和批次号;4)、通过crc32算法配合私有掩码计算该ID串的crc32值,将crc32值作为该U盘的唯一标识码。
3.根据权利要求1所述的控制U盘使用范围的方法,其特征在于:使用密钥创建保密U盘的步骤3)中,将保密卷头格式化成NTFS的文件系统。
4.根据权利要求1所述的控制U盘使用范围的方法,其特征在于:针对有多个密钥的终端,依次尝试所有的密钥,直到成功或者所有的密钥都挂载失败。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710015566.5A CN106886719B (zh) | 2017-01-10 | 2017-01-10 | 一种控制u盘使用范围的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710015566.5A CN106886719B (zh) | 2017-01-10 | 2017-01-10 | 一种控制u盘使用范围的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106886719A CN106886719A (zh) | 2017-06-23 |
CN106886719B true CN106886719B (zh) | 2020-08-14 |
Family
ID=59176222
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710015566.5A Active CN106886719B (zh) | 2017-01-10 | 2017-01-10 | 一种控制u盘使用范围的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106886719B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110059507B (zh) * | 2019-03-01 | 2021-08-17 | 北京亿赛通科技发展有限责任公司 | 一种实现智能安全u盘的系统及方法 |
CN111125796B (zh) * | 2019-12-26 | 2022-06-21 | 深信服科技股份有限公司 | 对移动存储设备进行保护的方法及装置、设备、存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1983292A (zh) * | 2006-04-21 | 2007-06-20 | 华为技术有限公司 | 一种移动终端拷贝数据时对数据保护的方法 |
CN102073827A (zh) * | 2010-10-15 | 2011-05-25 | 福建新大陆通信科技股份有限公司 | 一种保障机顶盒应用程序安全的方法 |
CN104765987A (zh) * | 2015-04-17 | 2015-07-08 | 深圳市西迪特科技有限公司 | 嵌入式设备软件加密的系统及方法 |
CN105141614A (zh) * | 2015-09-07 | 2015-12-09 | 北京北信源软件股份有限公司 | 一种移动存储设备的访问权限控制方法及装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103678994B (zh) * | 2013-12-05 | 2017-01-11 | 中国科学院数据与通信保护研究教育中心 | 一种具有环境控制的usb加密存储系统及方法 |
CN103955654A (zh) * | 2014-04-02 | 2014-07-30 | 西北工业大学 | 基于虚拟文件系统的u盘安全存储方法 |
-
2017
- 2017-01-10 CN CN201710015566.5A patent/CN106886719B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1983292A (zh) * | 2006-04-21 | 2007-06-20 | 华为技术有限公司 | 一种移动终端拷贝数据时对数据保护的方法 |
CN102073827A (zh) * | 2010-10-15 | 2011-05-25 | 福建新大陆通信科技股份有限公司 | 一种保障机顶盒应用程序安全的方法 |
CN104765987A (zh) * | 2015-04-17 | 2015-07-08 | 深圳市西迪特科技有限公司 | 嵌入式设备软件加密的系统及方法 |
CN105141614A (zh) * | 2015-09-07 | 2015-12-09 | 北京北信源软件股份有限公司 | 一种移动存储设备的访问权限控制方法及装置 |
Non-Patent Citations (1)
Title |
---|
《USB移动存储设备密级保护系统的设计与实现》;李永强;《计算机光盘软件与应用》;20140701(第13期);第89-91页 * |
Also Published As
Publication number | Publication date |
---|---|
CN106886719A (zh) | 2017-06-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10713379B2 (en) | Distributed storage system for long term data storage | |
KR101563461B1 (ko) | 데이터베이스 보안 관리를 위한 방법, 서버 및 컴퓨터-프로그램 | |
US10069914B1 (en) | Distributed storage system for long term data storage | |
US8151119B2 (en) | Method and apparatus for secure data mirroring a storage system | |
CN102945355B (zh) | 基于扇区映射的快速数据加密策略遵从 | |
US11368299B2 (en) | Self-encryption drive (SED) | |
KR101613146B1 (ko) | 데이터베이스 암호화 방법 | |
WO2021164166A1 (zh) | 一种业务数据保护方法、装置、设备及可读存储介质 | |
EP1710725A2 (en) | Secure digital credential sharing arrangement | |
US20020141588A1 (en) | Data security for digital data storage | |
US10824571B1 (en) | Separate cryptographic keys for protecting different operations on data | |
CN103617404A (zh) | 一种安全分区的存储装置 | |
EP2722787A1 (en) | Method and apparatus for writing and reading encrypted hard disk data | |
US20020078049A1 (en) | Method and apparatus for management of encrypted data through role separation | |
CN107590395A (zh) | 适用于云环境的多层数据加密方法、装置、设备及系统 | |
CN106886719B (zh) | 一种控制u盘使用范围的方法 | |
CN101799853A (zh) | 一种层次化信息加密共享方法 | |
JP2013214135A (ja) | 情報記憶装置、情報記憶装置制御プログラム、情報記憶装置制御方法 | |
CN109583242A (zh) | 一种k-ux系统下硬盘分区加密的方法和系统 | |
US20220123932A1 (en) | Data storage device encryption | |
US11995223B2 (en) | Data storage device encryption | |
CN112231779B (zh) | 一种兼容BitLocker加密磁盘的跨平台数据安全保护方法 | |
TW202249471A (zh) | 用於認證在儲存裝置和主機裝置之間的資料傳輸之模組和方法 | |
US20180088846A1 (en) | Multi-user dynamic storage allocation and encryption | |
KR20160114492A (ko) | 데이터베이스 보안 관리를 위한 방법, 서버 및 컴퓨터-프로그램 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
PP01 | Preservation of patent right | ||
PP01 | Preservation of patent right |
Effective date of registration: 20231113 Granted publication date: 20200814 |