CN109241785A - 基于usb嵌入式操作系统的安全存储系统 - Google Patents

Abstract

本发明公开的基于USB嵌入式操作系统的安全存储系统，涉及数据存储技术领域，包括应用模块，用于为用户提供处理文字信息的操作界面，管理模块，用于管理并存储密钥材料，其中，密钥材料包括密码卡主控程序、密码算法代码、操作日志管理模块和工作密钥，管理模块还用于管理并存储安全管理策略，其中，安全管理策略包括引导启动安全策略、用户访问安全策略、安全访问权限及操作日志，加密模块，用于根据密钥材料，对文件进行加密并生成加密文件，存储模块，用于存储所述加密文件及操作日志，提高了存储系统及数据的安全性，解决了现有技术存在的存储系统及数据的安全性安全性低的缺陷。

Description

基于USB嵌入式操作系统的安全存储系统

技术领域

本发明涉及数据存储技术领域，具体涉及一种基于USB嵌入式操作系统的安全存储系统。

背景技术

私有信息的安全日益成为单位、企业和个人关注的热点安全问题。用户总是希望能在一个可信赖的计算机环境下进行敏感信息的处理，如单位公文(内文)信息处理、商务信息处理、个人理财等。但在绝大多数情况下，处理私有信息的计算平台软硬件环境由于结构简化，导致资源任意使用，尤其是执行代码可修改、恶意程序可被植入，木马、病毒、黑客活动等安全威胁始终存在；更为重要的是，对合法的用户没有进行严格的控制访问，造成越权访问，从而造成敏感信息泄露或关键数据丢失。因此，为私有信息系统提供一个安全可信赖的计算环境显得尤为重要，在安全环境内存取可加密的信息，并对存取的条目进行日志记录及hash防伪。

目前对计算机存储的安全措施及手段主要为内容加密、生物认证、NFC认证、口令认证与混合认证等主要方式对设备的访问权进行控制。上述认证方式多为面向单一身份认证的访问控制方式，对存储介质访问管理薄弱，并且存在以技术手段无法完全防御以社会工程为手段的攻击方式。即使泄密事件发生需要为执法机关及组织内部提供调查线索及数字取证。

现有的存储设备主要存在以下技术问题：

(1)没有采取防护措施，容易被别人任意使用；

(2)没有记录操作日志，无法追踪敏感文件是否被窃取，或被恶意写入病毒、木马等恶意程序。

(3)类似产品存在重要日志被覆盖的情况，导致重要日志丢失的情况。

发明内容

为解决现有技术的不足，本发明实施例提供了一种基于USB嵌入式操作系统的安全存储系统，包括：

应用模块，用于为用户提供处理文字信息的操作界面；

管理模块，用于管理并存储密钥材料，其中，所述密钥材料包括密码卡主控程序、密码算法代码、操作日志管理模块和工作密钥；

所述管理模块还用于管理并存储安全管理策略，其中，安全管理策略包括引导启动安全策略、用户访问安全策略、安全访问权限及操作日志；

加密模块，用于根据所述密钥材料，对文件进行加密并生成加密文件；

存储模块，用于存储所述加密文件及操作日志。

优选地，所述应用模块包括：

Monta Vista Linux操作系统、文字处理组件、图片处理组件、PDF阅读器组件、浏览器组件和邮件客户端组件。

优选地，所述密码算法代码包括：

SM4分组密码算法代码及SM3-hash密码算法代码。

本发明实施例提供的基于USB嵌入式操作系统的安全存储系统具有以下有益效果：

设有没有采取防护措施，容易被别人任意使用，实时记录操作日志，可追踪敏感文件是否被窃取，或被恶意写入病毒、木马等恶意程序，不存在导致日志丢失的情况，提高了存储系统及数据的安全性。

附图说明

图1为本发明实施例提供的基于USB嵌入式操作系统的物理装置组成结构示意图；

图2为本发明实施例提供的基于USB嵌入式操作系统组成结构示意图；

图3为本发明实施例提供的基于USB嵌入式操作系统的使用步骤流程示意图。

具体实施方式

以下结合附图和具体实施例对本发明作具体的介绍。

如图1所示，本发明实施例提供的基于USB嵌入式操作系统的物理装置组成结构包括：ARM芯片、USB接口及Flash存储芯片。

如图2所示，本发明实施例提供的基于USB嵌入式操作系统的安全存储系统包括：包括：应用模块、管理模块、加密模块及存储模块，其中：

应用模块，用于为用户提供处理文字信息的操作界面。

管理模块，用于管理并存储密钥材料，其中，所述密钥材料包括密码卡主控程序、密码算法代码、操作日志管理模块和工作密钥。

进一步地，操作日志管理模块的工作原理及流程如下：

在操作系统成功启动后，用户对存储设备上文件的操作都会被监控软件记录下来，然后存放在存储模块中。用户的操作记录包括用户所申请操作的文件路径，用户对文件所申请的操作类别(如新建、打开、写、删除、重命名、复制)，用户所申请操作的结果(如成功、失败、锁死)，并将用户操作记录导出成xml文件。其格式定义的部分代码如下:

所述管理模块还用于管理并存储安全管理策略，其中，安全管理策略包括引导启动安全策略、用户访问安全策略、安全访问权限及操作日志。

在管理模块中操作日志的存储管理上采用按操作级别分文件管理的形式，例如：对名称为“朝花夕拾.txt”文件的成功修改操作作为非常重要的A级别操作会记录在名称为“2018-6-28_A.txt”的文档中，对每天的日志分级别写入不同的文本文件中存储在管理模块中，操作分级如表1所示：

表1

加密模块，用于根据所述密钥材料，对文件进行加密并生成加密文件。

存储模块，用于存储所述加密文件。

可选地，所述应用模块包括：

Monta Vista Linux操作系统、文字处理组件、图片处理组件、PDF阅读器组件、浏览器组件和邮件客户端组件。

Montana Vista LINUX操作系统是Monta Vista软件公司的产品，是一款开放源码无版税的操作系统而且具有实时性、高级开发环境，并且在嵌入式领域中支持广泛的硬件平台。在单一操作系统上可以同时支持多线程、多进程、多处理器，系统运行高效稳定，是嵌入式安全开发的高效平台。

可选地，所述密码算法代码包括：

SM4分组密码算法代码及SM3-hash密码算法代码。

按照图3所示，使用步骤如下：

(1)设置计算机终端的BIOS，使该计算机终端以USB接口引导启动；

(2)插入USB嵌入式操作系统的安全存储装置；

(3)计算机终端开机加电；

(4)正确输入身份保护PIN码，系统释放出所述USB嵌入式操作系统处理装置启动区和自裁剪LINUX操作系统，依次检测操作系统内核、系统重要进程以及私有信息处理组件的完整性，其中私有信息处理组件提供SM4分组密码服务和处理私有信息的应用组件；以及其他应用组件；

(5)如果完整，安全引导所述操作系统至安全可靠的环境，使用系统提供的加密U盘功能，安全存储私有信息；如果操作系统内核、系统重要进程以及私有信息处理组件不完整，停止引导和启动，其中加密U盘的存储区对用户不可见，通过用户认证，将加密后的用户数据存储于加密U盘的存储区，并且从该存储区导出时需要解密，并对以上操作进行日志记录，在使用结束时保存日志hash值，日志则保存在加密区作为只读信息不可修改。

如果计算机终端不设置为从USB启动，则插入计算机终端的所述系统用作加密U盘，同时嵌入式LINUX系统在ARM芯片中引导，对用户进行认证，并对用户的操作行为进行日志记录。

本发明实施例提供的基于USB嵌入式操作系统的安全存储系统，包括应用模块，用于为用户提供处理文字信息的操作界面，管理模块，用于管理并存储密钥材料，其中，密钥材料包括密码卡主控程序、密码算法代码、操作日志管理模块和工作密钥，管理模块还用于管理并存储安全管理策略，其中，安全管理策略包括引导启动安全策略、用户访问安全策略、安全访问权限及操作日志，加密模块，用于根据密钥材料，对文件进行加密并生成加密文件，存储模块，用于存储所述加密文件及操作日志，提高了存储系统及数据的安全性。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

此外，存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)，存储器包括至少一个存储芯片。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

需要说明的是，上述实施例不以任何形式限制本发明，凡采用等同替换或等效变换的方式所获得的技术方案，均落在本发明的保护范围内。

Claims (3)

1.一种基于USB嵌入式操作系统的安全存储系统，其特征在于，包括：

应用模块，用于为用户提供处理文字信息的操作界面；

管理模块，用于管理并存储密钥材料，其中，所述密钥材料包括密码卡主控程序、密码算法代码、操作日志管理模块和工作密钥；

所述管理模块还用于管理并存储安全管理策略，其中，安全管理策略包括引导启动安全策略、用户访问安全策略、安全访问权限及操作日志；

加密模块，用于根据所述密钥材料，对文件进行加密并生成加密文件；

存储模块，用于存储所述加密文件及操作日志。

2.根据权利要求1所述的系统，其特征在于，所述应用模块包括：

Monta Vista Linux操作系统、文字处理组件、图片处理组件、PDF阅读器组件、浏览器组件和邮件客户端组件。

3.根据权利要求1所述的系统，其特征在于，所述密码算法代码包括：

SM4分组密码算法代码及SM3-hash密码算法代码。