CN106951790B - Usb存储介质透明加密方法 - Google Patents
Usb存储介质透明加密方法 Download PDFInfo
- Publication number
- CN106951790B CN106951790B CN201710156290.2A CN201710156290A CN106951790B CN 106951790 B CN106951790 B CN 106951790B CN 201710156290 A CN201710156290 A CN 201710156290A CN 106951790 B CN106951790 B CN 106951790B
- Authority
- CN
- China
- Prior art keywords
- storage medium
- usb storage
- usb
- data
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种USB存储介质透明加密方法,通过USB存储介质检测模块完成USB存储介质的识别与配置,同时对USB存储介质的设备标识、事件信息等根据需求自定义上报或延时上报给上位机系统;控制管理模块对USB存储介质进行用户身份及访问权限的认证和鉴定,并根据配置的安全策略实现对USB存储介质的管控;USB数据解析模块解析访问USB存储介质所需的命令块包、状态块包和普通数据,分流控制命令操作和USB数据操作;数据安全服务模块利用高速总线接口,提供基于扇区全盘保护功能的安全保护服务和安全管理服务。本发明实现了计算机对USB存储介质读写的透明加密保护功能,保障用户数据存储的安全可靠性和合法性。
Description
技术领域
本发明涉及一种USB存储介质透明加密方法。
背景技术
当前,国内外已经存在诸多USB存储介质数据安全保护的产品。业界对于此类产品的功能和定位非常清晰,涉及的产品功能、应用场景等方面也比较明确。大部分产品仅专注于其中一方面。商用领域有加密优盘,主要解决移动存储数据安全问题,但大多采用的是文件级别加密,没有考虑磁盘加密以及对数据输入输出控制。国内也有很多应用软件,提供了数据输入输出控制以及基于文件级别加密保护,但其在宿主机操作系统中实现,安全应用推广以及访问速度有限,同时对移动存储介质的支持不完善。也有软件实现了移动存储介质的全盘加密,但对存储介质上的数据读写必须采用第三方软件,不能进行其他操作,大大改变了用户的操作习惯。
发明内容
为了克服现有技术的上述缺点,本发明提供了一种USB存储介质透明加密方法,实现了计算机对USB存储介质读写的透明加密保护功能,通过分析计算机与USB存储介质之间交互的USB数据流,将控制命令和用户数据进行分流,对控制命令进行透传处理,对用户数据进行保护操作,保障用户数据存储的安全可靠性和合法性。本发明的应用不影响用户对USB存储介质数据的访问方式,可作为一个独立模块集成在相关安全设备中。
本发明解决其技术问题所采用的技术方案是:一种USB存储介质透明加密方法,包括如下内容:
一、USB存储介质检测模块完成USB存储介质的识别与配置,同时对USB存储介质的设备标识、事件信息等根据需求自定义上报或延时上报给上位机系统;
二、USB存储介质控制管理模块对USB存储介质进行用户身份及访问权限的认证和鉴定,并根据配置的安全策略实现对USB存储介质的管控;
三、USB数据解析模块解析访问USB存储介质所需的命令块包、状态块包和普通数据,分流控制命令操作和USB数据操作;
四、数据安全服务模块利用高速总线接口,提供基于扇区全盘保护功能的安全保护服务和安全管理服务。
与现有技术相比,本发明的积极效果是:
1)所有来自终端采用本发明方法写入USB存储介质的用户数据,均被加密保护后再被写入;
2)采用全盘保护技术的存储介质,其存储内容无法被普通计算机解析识别;
3)USB存储介质即便被强制性写入病毒或木马,解密后得到无效数据,无法对终端造成危害;
4)用户可以像使用普通USB存储介质一样对USB加密存储介质进行任意操作,最大程度遵循了用户的操作习惯。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为本发明的原理框图。
具体实施方式
本发明的工作原理如图1所示,采用本发明的管控设备在完成USB存储介质的用户身份和访问权限的认证和鉴定后,得到了保护用户数据的相关信息。设备通过解析计算机与USB存储介质之间进行通信的USB数据,将操作存储介质的控制命令直接放行,对USB数据命令中的用户数据进行保护操作,在实现终端用户透明访问加密存储介质功能的同时,能有效地防止敏感信息明文被输出到USB存储介质。
一种USB存储介质透明加密方法,包括如下内容:
一、USB存储介质检测模块
USB存储介质插入后,系统调用该模块对设备进行搜索,要求USB存储介质提供相应的描述符。获取到相应描述符后,即完成对插入设备的配置,识别出基于Bulk-Only传输的大容量设备,进入Bulk-Only传输方式。该技术实现如下:
1)Netlink是一种在内核进程和应用进程之间进行进程间通信方式,为内核进程与应用进程搭建了一条高效的快速通道。利用Netlink,内核进程可以快速检测出USB存储介质设备热插拔事件,并及时通知用户进程快速处理;
2)当系统检测到USB存储介质设备插入或拔除事件,内核使用uevent事件通知用户空间。处于用户空间的应用进程使用标准sock API创建socket,实现应用进程与内核进程之间的双向数据通信,处理检测到的USB热插拔事件;
3)利用Netlink检测到USB存储介质设备插入,构造SCSI命令查询USB存储介质设备信息,识别USB存储介质设备标识、存储容量等介质信息;
4)根据USB存储介质设备信息匹配配置策略,区分该USB存储介质是否为合法的存储设备。
系统利用此技术可以自动完成USB存储介质的识别与配置,同时对设备标识、事件信息等可以根据需求自定义上报或延时上报给上位机系统中。
二、USB存储介质控制管理模块
完成对USB存储介质检测识别后,该模块对该USB存储介质进行用户身份和访问权限认证和鉴定,根据管理模块配置的安全策略实现对该USB存储介质管控。该模块技术实现如下:
1)上位机系统管理策略允许USB存储介质接入,USB存储介质控制管理模块自动上报插入的USB存储介质信息;
2)如果无法识别USB存储介质文件系统,控制管理模块格式化USB存储介质;如果能够正常识别USB存储介质文件系统,控制管理模块则将USB存储介质以独立的磁盘分区形式展现在上位机系统中;
3)上位机系统管理策略只允许该特定设备标识的USB存储介质接入,禁止其他USB外设接入。USB存储介质控制管理模块根据设备标识匹配插入的USB设备,仅上报匹配允许的USB存储介质设备信息;
4)USB存储介质控制管理模块根据上位机系统管理策略配置,可对已接入USB存储设备的进行断开连接操作。
采用此模块可以有效地对接入的USB存储介质进行合法管控,在涉密敏感和安全管控环境中可以防止用户利用系统漏洞进行非法设备的接入,进行敏感数据的非法导出访问。
三、USB数据解析模块
USB存储介质在经过用户身份和访问权限的认证和鉴定后,以独立的磁盘分区形式展现在上位机系统中。该技术研究了实际应用中所遵从的USB Mass Storage类规范和USB Mass Storage Bulk-Only传输规范,设计了一套基于此规范的数据处理模块。该技术具体实现为:
1)命令数据过滤处理。解析访问USB存储介质所需的CBW(Command BlockWrapper,命令块包)、CSW(Command Status Wrapper,状态块包)和普通数据。分流控制命令操作和USB数据操作。某些控制命令操作需要USB存储介质反馈相应的操作结果,模块需要识别与过滤此类命令;
2)解析从上位机系统中发送的CBW,分析命令块中的SCSI命令子集,执行相关操作:对USB存储介质写入的数据进行加密保护,对USB存储介质读取的数据进行解密还原,使USB存储介质可以很方便地通过USB与上位机系统进行数据通讯;
3)同理解析从USB存储介质返回的当前命令执行状态的CSW。
用户通过该技术可以像使用普通USB存储介质一样对USB加密存储介质进行任意操作,不改变用户对USB加密存储介质上存储文件的访问方式。用户感知不到访问数据的保护恢复过程,最大程度的贴近了用户的操作习惯,满足了用户的业务需求。
四、数据安全服务模块
该技术利用高速总线接口,提供基于扇区加解密等功能的高速安全保护服务和安全管理服务。实际应用中对USB存储介质进行操作,用户数据的保护输出和还原输入均由该技术进行透明调用实现,无需用户人工参与。该技术具体实现为:
1)在磁盘扇区全盘保护技术方案中,保护分组算法工作模式采用XTS模式。与传统的分组密码加密模式相比,XTS模式多了调整值(Tweak,也称为调柄)的输入。这个调整值的增加,相比ECB模式大大增强了加密强度,并在保障安全性的同时给分组密码带来了更大的灵活性;
2)基于高速总线接口的安全服务调用接口,克服了由于软件加密算法计算速度慢,影响USB用户数据传输所带来的瓶颈问题;
3)USB存储介质采用磁盘扇区全盘保护技术方案。加密保护操作对操作系统是透明的,支持多种操作系统下的USB存储介质数据加密保护。
根据USB存储介质磁盘扇区全盘保护技术方案,利用数据安全服务技术将USB存储介质上的文件系统和用户数据一起加密保护。当非法者操作时,该USB存储介质会被系统误认为是一块没有格式化的空白介质,可以有效地防止攻击。USB存储介质上的文件系统是被加密保护的,可以防止误插非密计算机导致的感染病毒和木马。
Claims (4)
1.一种USB存储介质透明加密方法,其特征在于:包括如下内容:
一、USB存储介质检测模块完成USB存储介质的识别与配置,内核进程利用Netlink快速检测出USB存储介质设备热插拔事件,并使用uevent事件通知用户空间,处于用户空间的应用进程使用标准sock API创建socket,实现应用进程与内核进程之间的双向数据通信;同时对USB存储介质的设备标识、事件信息等根据需求自定义上报或延时上报给上位机系统;
二、USB存储介质控制管理模块对USB存储介质进行用户身份及访问权限的认证和鉴定,并根据配置的安全策略实现对USB存储介质的管控;
三、USB数据解析模块解析访问USB存储介质所需的命令块包、状态块包和普通数据,分流控制命令操作和USB数据操作;
四、数据安全服务模块利用高速总线接口,提供基于扇区全盘保护功能的安全保护服务和安全管理服务。
2.根据权利要求1所述的USB存储介质透明加密方法,其特征在于:USB存储介质控制管理模块对USB存储介质进行用户身份及访问权限的认证和鉴定,并根据配置的安全策略实现对USB存储介质管控的方法为:
1)如果上位机系统管理策略允许USB存储介质接入,则USB存储介质控制管理模块自动上报插入的USB存储介质信息:如果无法识别USB存储介质文件系统,则格式化USB存储介质;如果能够正常识别USB存储介质文件系统,则将USB存储介质以独立的磁盘分区形式展现在上位机系统中;
2)如果上位机系统管理策略不允许USB存储介质接入,则断开连接操作。
3.根据权利要求1所述的USB存储介质透明加密方法,其特征在于:USB数据解析模块解析访问USB存储介质所需的命令块包的方法为:分析命令块中的SCSI命令子集,执行相关操作:对USB存储介质写入的数据进行加密保护,对USB存储介质读取的数据进行解密还原。
4.根据权利要求1所述的USB存储介质透明加密方法,其特征在于:基于扇区全盘保护功能的保护分组算法工作模式采用XTS模式。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2016111572268 | 2016-12-15 | ||
| CN201611157226 | 2016-12-15 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106951790A CN106951790A (zh) | 2017-07-14 |
| CN106951790B true CN106951790B (zh) | 2019-12-13 |
Family
ID=59473486
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710156290.2A Active CN106951790B (zh) | 2016-12-15 | 2017-03-16 | Usb存储介质透明加密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106951790B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109543472A (zh) * | 2018-11-22 | 2019-03-29 | 北京双洲科技有限公司 | 数据安全交换系统 |
| CN109766730A (zh) * | 2018-12-26 | 2019-05-17 | 中孚信息股份有限公司 | 一种数据安全存储的方法及装置 |
| CN111783177A (zh) * | 2020-07-15 | 2020-10-16 | 山东云天安全技术有限公司 | 一种对usb端口进行安全防护和管理的装置及方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102830970A (zh) * | 2012-08-10 | 2012-12-19 | 深圳市共进电子股份有限公司 | 一种适用于Linux嵌入式系统的热插拔处理方法 |
| CN103065102A (zh) * | 2012-12-26 | 2013-04-24 | 中国人民解放军国防科学技术大学 | 基于虚拟磁盘的数据加密移动存储管理方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102646076B (zh) * | 2012-02-21 | 2015-04-29 | 福建伊时代信息科技股份有限公司 | 移动介质数据防泄密方法及移动介质 |
| CN102799539B (zh) * | 2012-06-08 | 2016-12-21 | 湖南文盾信息技术有限公司 | 一种安全优盘及其数据主动防护方法 |
-
2017
- 2017-03-16 CN CN201710156290.2A patent/CN106951790B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102830970A (zh) * | 2012-08-10 | 2012-12-19 | 深圳市共进电子股份有限公司 | 一种适用于Linux嵌入式系统的热插拔处理方法 |
| CN103065102A (zh) * | 2012-12-26 | 2013-04-24 | 中国人民解放军国防科学技术大学 | 基于虚拟磁盘的数据加密移动存储管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106951790A (zh) | 2017-07-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101853363B (zh) | 一种文件保护方法及系统 | |
| CN100437618C (zh) | 一种便携式信息安全设备 | |
| CN103020493B (zh) | 一种防拷贝的软件保护与运行装置及方法 | |
| US10079835B1 (en) | Systems and methods for data loss prevention of unidentifiable and unsupported object types | |
| CN113312676B (zh) | 数据访问方法、装置、计算机设备及可读存储介质 | |
| US20190332765A1 (en) | File processing method and system, and data processing method | |
| CN107563213B (zh) | 一种防存储设备数据提取的安全保密控制装置 | |
| CN105718825B (zh) | 一种恶意usb设备的检测方法及装置 | |
| EP2181394B1 (en) | Method of protecting input/output packet of usb device and apparatus thereof | |
| CN106951790B (zh) | Usb存储介质透明加密方法 | |
| CN101593252B (zh) | 一种计算机对usb设备进行访问的控制方法和系统 | |
| CN100429668C (zh) | 一种电子文件的自动保护方法及系统 | |
| KR20150128328A (ko) | 증거 수집 도구 제공 방법, 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치 및 방법 | |
| CN100399304C (zh) | 利用过滤驱动程序结合智能密钥装置自动保护磁盘数据的方法 | |
| TW201939337A (zh) | 行為識別、數據處理方法及裝置 | |
| CN101840476B (zh) | 一种otp-sd电子出版物加密方法 | |
| CN100419719C (zh) | 利用过滤驱动程序结合智能密钥装置自动保护u盘的方法 | |
| CN111046405B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN103617127A (zh) | 带分区的存储装置及存储器分区的方法 | |
| CN103870765A (zh) | 一种usb安全锁及利用该usb安全锁保护数据的方法 | |
| CN108287988B (zh) | 用于移动终端文件的安全管理系统及方法 | |
| CN102768646A (zh) | 串口硬盘加解密装置 | |
| CN201917912U (zh) | Usb存储设备的监控管理系统 | |
| CN104361280A (zh) | 一种通过smi中断实现对usb存储设备进行可信认证的方法 | |
| CN106952659B (zh) | 基于xts加密模式的光盘多段刻录加密方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |