CN110059507B - 一种实现智能安全u盘的系统及方法 - Google Patents
一种实现智能安全u盘的系统及方法 Download PDFInfo
- Publication number
- CN110059507B CN110059507B CN201910155136.2A CN201910155136A CN110059507B CN 110059507 B CN110059507 B CN 110059507B CN 201910155136 A CN201910155136 A CN 201910155136A CN 110059507 B CN110059507 B CN 110059507B
- Authority
- CN
- China
- Prior art keywords
- usb flash
- subsystem
- flash disk
- lower computer
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种实现智能安全U盘的系统及方法,所述系统包括:上位机系统和至少一个下位机;上位机策略下发子系统用于根据用户需求制定使用策略,并将使用策略下发给下位机策略决策子系统;上位机安全U盘管理子系统用于在安全U盘插入管理机时,接收下位机状态收集子系统上报的状态,并根据用户指令向下位机发送安全U盘解锁信息;下位机策略决策子系统用于执行所述使用策略;所述下位机状态收集子系统用于收集安全U盘的状态,并将状态上报给上位机安全U盘管理子系统。本发明提供的系统及方法,通过让安全U盘数据拷入者和安全U盘内数据持有人的权限分离,来保证数据拷入者不能盗取或者修改安全U盘内的数据。
Description
技术领域
本发明属于信息安全技术领域,具体涉及一种实现智能安全U盘的系统及方法。
背景技术
目前,USB接口已经成为计算机的标准配置端口,而USB移动存储设备,尤其是U盘,由于具有存储速度快,容量大,使用方便、体积小等特点,在日常工作中得到越来越广泛的应用。普通U盘是一个透明的移动存储介质设备,对数据的访问没有任何访问控制,只要具有USB接口的接入方都可以无阻碍地使用。因此,U盘在给人们带来便利的同时,也带来了两个重要问题:信息泄密和恶意软件的植入。
为了解决U盘的安全问题,当前市面上流通的安全U盘在使用的时候需要登录,登录后向U盘拷贝数据进行加密或者浏览安全U盘上的数据进行解密,当安全U盘丢失后,由于不知道安全U盘的登录密码,就无法操作安全U盘内的数据。但就现有技术而言,无法实现不信任的数据拷入者持有安全U盘的需求。即不信任的数据拷入者在获得账号密码后,在将数据拷入安全U盘时,由于持有安全U盘,还是能浏览、修改或者拷贝安全U盘内的数据。
所以有必要提供一种实现智能安全U盘的系统及方法去解决上述问题。
发明内容
针对现有技术中存在的缺陷,本发明的目的是提供一种实现智能安全U盘的系统及方法,通过让安全U盘数据拷入者和安全U盘内数据持有人的权限分离,来保证数据拷入者不能盗取或者修改安全U盘内的数据。
为达到以上目的,本发明采用的技术方案是:一种实现智能安全U盘的系统,所述系统包括:上位机系统和至少一个下位机;
所述上位机系统包括上位机策略下发子系统和上位机安全U盘管理子系统,所述上位机策略下发子系统用于根据用户需求制定使用策略,并将所述使用策略下发给下位机策略决策子系统;
所述上位机安全U盘管理子系统用于在安全U盘插入管理机时,接收下位机状态收集子系统上报的状态,并根据用户指令向下位机发送安全U盘解锁信息;
所述下位机包括下位机策略决策子系统和下位机状态收集子系统,所述下位机策略决策子系统用于执行所述使用策略;
所述下位机状态收集子系统用于收集安全U盘的状态,并将所述状态上报给上位机安全U盘管理子系统。
进一步的,所述下位机状态收集子系统用于收集安全U盘的状态具体包括:
下位机状态收集子系统收集安全U盘的使用状态,如插入次数,插入时间,拷贝的数据大小和类型;下位机状态收集子系统还收集安全U盘是否处于锁定状态。
进一步的,所述下位机还包括下位机状态显示子系统;
所述下位机状态显示子系统用于根据所述下位机状态收集子系统收集的状态向用户通知当前安全U盘的状态。
进一步的,所述下位机状态显示子系统为指示灯,当满足安全U盘可读写条件时指示灯点亮,不满足安全U盘可读写条件时指示灯熄灭。
进一步的,所述系统还包括认证子系统和位于上位机系统的上位机通信子系统,以及位于下位机的下位机通信子系统和下位机认证子系统;
所述认证子系统用于根据下位机的认证请求判断插入的U盘是否属于本系统的安全U盘,如果属于,则向下位机发送解密信息;
所述上位机通信子系统用于与下位机通信;
所述下位机通信子系统用于与上位机通信;
所述下位机认证子系统用于向所述认证子系统发送认证请求,并认证上位机发送的解密信息,若认证通过,则解密安全U盘内的数据。
进一步的,所述使用策略包括:
根据安全U盘的允许插入次数和/或允许插入时间和/或允许拷入安全U盘的数据的大小和/或数据的类型决定是否锁定U盘。
本发明采用的另一种技术方案是:一种实现智能安全U盘的方法,所述方法包括:
(1)用户通过上位机策略下发子系统制定安全U盘的设置使用策略;
(2)下位机策略决策子系统接收并判断安全U盘的使用是否符合所述使用策略;
(3)当安全U盘在使用过程不符合使用策略时,下位机策略决策子系统锁定安全U盘。
进一步的,所述使用策略包括:
根据安全U盘的允许插入次数和/或允许插入时间和/或允许拷入安全U盘的数据的大小和/或数据的类型决定是否锁定U盘。
进一步的,所述方法还包括根据下位机策略决策子系统的判断结果通过下位机状态显示子系统同步显示安全U盘的状态。
进一步的,所述方法还包括:用户可以通过认证子系统对安全U盘进行双向认证,当双向认证通过时解密安全U盘内的数据。
本发明的效果在于,本发明提供的系统和方法通过让安全U盘数据拷入者和安全U盘内数据持有人的权限分离,来保证数据拷入者不能盗取或者修改安全U盘内的数据。
附图说明
图1是本发明所述系统一实施例的结构示意图;
图2是本发明所述系统另一实施例的结构示意图;
图3是本发明所述方法一实施例的流程示意图。
具体实施方式
为使本发明解决的技术问题、采用的技术方案和达到的技术效果更加清楚,下面将结合附图对本发明实施例的技术方案作进一步的详细描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,均属于本发明保护的范围。
参阅图1所示,图1是本发明所述系统一实施例的结构示意图。所述系统1包括上位机系统10和至少一个下位机20。
在本申请中下位机20为安全U盘,同一个系统1中包括至少一个安全U盘20,当安全U盘20的数目过多时,为了方便安全U盘20的管理,本系统中还包括管理机30。下位机20通过接口与上位机10或管理机30连接,具体的连接方式属于本领域公知常识,也不属于本发明的重点,故不展开叙述。
需要指出的是,在现有技术中安全U盘是通过账户密码来设定权限,如果安全U盘的持有者必须委托第三来拷贝数据,那么第三方可能在获得登陆权限完成拷贝数据的同时,可能于个人目的对数据进行修改,或者进行复制扩散。即目前的安全模式不能保证安全U盘中的数据未经修改或者被复制扩散。本发明主要是实现安全U盘数据拷入者和安全U盘数据持有者的权限分离,保证数据拷入者不能盗取或修改安全U盘内的数据。
在这个安全U盘的使用情景中包含多个使用场景,也包含多个使用者。本文中的用户为数据持有者。
参阅图2所示,图2是本发明所述系统另一实施例的结构示意图。
所述上位机系统100包括上位机策略下发子系统101和上位机安全U盘管理子系统102。
所述上位机策略下发子系统101用于根据用户需求制定使用策略,并将所述使用策略下发给下位机策略决策子系统201。所述使用策略包括:根据安全U盘的允许插入次数和/或允许插入时间和/或允许拷入安全U盘的数据的大小和/或数据的类型决定是否锁定U盘。
所述上位机安全U盘管理子系统102用于在安全U盘插入管理机时,接收下位机状态收集子系统202上报的状态,并根据用户指令向下位机发送安全U盘解锁信息,解锁后的安全U盘可以正常读写安全U盘内的数据。
所述下位机200包括下位机策略决策子系统201和下位机状态收集子系统202。
所述下位机策略决策子系统201用于执行所述使用策略。具体的,根据上位机下发的使用策略,决定是否需要锁定安全U盘。例如,通过安全U盘插入次数决策是否锁定安全U盘,如果允许插入次数为1,则第一次插入的时候,下位机策略决策子系统201判断不满足使用策略的条件,则允许对安全U盘进行读写访问,第二次插入,下位机策略决策子系统201判断满足使用策略的条件,对安全U盘进行锁定,不允许进行读写访问。又例如通过安全U盘插入时间决策是否锁定安全U盘,如果允许插入时间为30分钟,则插入时间在30分钟之内的时候,下位机策略决策子系统201判断不满足使用策略的条件,则允许对安全U盘进行读写访问,如果插入时间在30分钟之外,下位机策略决策子系统201判断使用策略锁定的条件,对安全U盘进行锁定,不允许进行读写访问。下位机策略决策子系统201也可以根据上位机策略下发子系统101下发的其它使用策略类型,例如根据拷入安全U盘的数据的大小和/或数据的类型决策是否锁定安全U盘。
所述下位机状态收集子系统202用于收集安全U盘的状态,并将所述状态上报给上位机安全U盘管理子系统102。
其中,所述下位机状态收集子系统202用于收集安全U盘的状态具体包括:下位机状态收集子系统202收集安全U盘的使用状态,如插入次数,插入时间,拷贝的数据大小和类型;下位机状态收集子系统202还收集安全U盘是否处于锁定状态。
所述下位机200还包括下位机状态显示子系统203。所述下位机状态显示子系统203用于根据所述下位机状态收集子系统202收集的状态向用户通知当前安全U盘的状态。
在一个具体的实施例中,所述下位机状态显示子系统203为指示灯,当满足安全U盘可读写条件时指示灯点亮,不满足安全U盘可读写条件时指示灯熄灭。
在另一个具体的实施例中,所述下位机状态显示子系统203还可以为显示设备,通过示设备指示安全U盘可读写状态,在此不做限定。
为了保证安全U盘中的数据的安全,以及为了方便用户使用,本发明还提供一种双向认证模式。当双向认证通过后,可以对安全U盘中的数据进行解密操作。具体的,所述系统还包括认证子系统300和位于上位机系统100的上位机通信子系统104,以及位于下位机200的下位机通信子系统204和下位机认证子系统205。需要指出的是,认证子系统300并不属于上位机,而是一个单独的系统,比如一个独立的单片机。用于与安全U盘配合使用,这样方便用户收集数据时不做任何修改即可使用我们的安全U盘。
所述认证子系统300用于根据下位机200的认证请求判断插入的U盘是否属于本系统的安全U盘,如果属于,则向下位机200发送解密信息。所述上位机通信子系统104用于与下位机200通信。所述下位机通信子系统204用于与上位机100通信。所述下位机认证子系统205用于向所述认证子系统300发送认证请求,并认证上位机100发送的解密信息,若认证通过,则解密安全U盘内的数据,即可按正常普通U盘使用方式收集数据。
在一个具体的实施方式中,认证子系统300保存私钥,下位机认证子系统205保存公钥。下位机认证子系统205使用公钥加密数据发送给认证子系统300,认证子系统300使用私钥进行认证。认证通过后,认证子系统300使用私钥加密数据,发给下位机认证子系统205,下位机认证子系统205通过公钥验证是否为认证子系统300发送的数据,如果认证通过,则解密安全U盘内的数据。
在另一个具体的实施例中,所述上位机系统100中还包括密钥管理子系统。密钥管理子系统用于给下位机和认证子系统分配密钥,从而实现双向认证。
区别于现有技术,本发明提供的一种实现智能安全U盘的系统,通过设定下位机策略决策子系统,使得安全U盘能根据预设的使用策略自主决定是否允许访问安全U盘存储的数据信息的能力,不需要数据源任何系统的配合;设定上位机安全U盘管理子系统,使得数据持有者能检查安全U盘使用情况的能力;设定下位机状态显示子系统能快速展示安全U盘的锁定状态;设定认证子系统使得插入的安全U盘有进行双向认证的能力。
参阅图3,图3是本发明所述方法一实施例的流程示意图。所述所述方法具体包括以下步骤:
步骤101:用户通过上位机策略下发子系统制定安全U盘的设置使用策略。
即持有者在将安全U盘给第三方之前,可以通过上位机策略下发子系统设定相应的使用策略。
所述使用策略包括:根据安全U盘的允许插入次数和/或允许插入时间和/或允许拷入安全U盘的数据的大小和/或数据的类型决定是否锁定U盘。
步骤102:下位机策略决策子系统接收并判断安全U盘的使用是否符合所述使用策略。
步骤103:当安全U盘在使用过程不符合使用策略时,下位机策略决策子系统锁定安全U盘。
即,当安全U盘在第三方手中时,第三方也只能根据持有者设定的锁定状态来使用安全U盘。
所述方法还包括根据下位机策略决策子系统的判断结果通过下位机状态显示子系统同步显示安全U盘的状态,以方便安全U盘的使用。
所述方法还包括当安全U盘插入管理机时,上位机安全U盘管理子系统接收下位机状态收集子系统上报的状态,并根据用户指令向下位机发送安全U盘解锁信息。即在持有者从第三方手里获取到安全U盘后,既可以知道安全U盘在第三方手里的使用状态,如数据的写入、复制和修改等,还可以解锁安全U盘,用于正常读写安全U盘内的数据。
所述方法还包括:用户可以通过认证子系统对安全U盘进行双向认证,当双向认证通过时解密安全U盘内的数据。具体的,认证子系统保存私钥,安全U盘保存公钥。安全U盘使用公钥加密数据发送给认证子系统,认证子系统使用私钥进行认证。认证通过后,认证子系统使用私钥加密数据,发给安全U盘,安全U盘通过公钥验证是否为认证子系统发送的数据,如果认证通过,则解密安全U盘内的数据。即持有者想解密安全U盘中的数据时,可以通过认证系统进行双向认证,从而完成正常使用。
区别于现有技术,本发明提供的一种实现智能安全U盘的方法,当安全U盘在第三方手中使用时,用户可以自己设置使用策略以保证数据安全。用户还可以在管理机上读取安全U盘的使用状态,以及通过双向认证模式快速解密安全U盘中的数据。
本领域技术人员应该明白,本发明所述的系统及方法并不限于具体实施方式中所述的实施例,上面的具体描述只是为了解释本发明的目的,并非用于限制本发明。本领域技术人员根据本发明的技术方案得出其他的实施方式,同样属于本发明的技术创新范围,本发明的保护范围由权利要求及其等同物限定。
Claims (3)
1.一种实现智能安全U盘的系统,其特征在于,所述系统包括:上位机系统和至少一个下位机;
所述上位机系统包括上位机策略下发子系统和上位机安全U盘管理子系统,所述上位机策略下发子系统用于根据用户需求制定使用策略,并将所述使用策略下发给下位机策略决策子系统;
所述上位机安全U盘管理子系统用于在安全U盘插入管理机时,接收下位机状态收集子系统上报的状态,并根据用户指令向下位机发送安全U盘解锁信息;
所述下位机包括下位机策略决策子系统和下位机状态收集子系统,所述下位机策略决策子系统用于执行所述使用策略;
所述下位机状态收集子系统用于收集安全U盘的状态,并将所述状态上报给上位机安全U盘管理子系统;
所述系统还包括认证子系统和位于上位机系统的上位机通信子系统,以及位于下位机的下位机通信子系统和下位机认证子系统;
所述认证子系统用于根据下位机的认证请求判断插入的U盘是否属于本系统的安全U盘,如果属于,则向下位机发送解密信息,具体为:安全U盘使用公钥加密数据发送给认证子系统,认证子系统使用私钥进行认证,认证通过后,认证子系统使用私钥加密数据,发给安全U盘;
所述上位机通信子系统用于与下位机通信;
所述下位机通信子系统用于与上位机通信;
所述下位机认证子系统用于向所述认证子系统发送认证请求,并认证上位机发送的解密信息,若认证通过,则解密安全U盘内的数据,具体为:安全U盘通过公钥验证是否为认证子系统发送的数据,如果认证通过,则解密安全U盘内的数据;
所述下位机状态收集子系统用于收集安全U盘的状态具体包括:
下位机状态收集子系统收集安全U盘的使用状态,包括插入次数,插入时间,拷贝的数据大小和类型;下位机状态收集子系统还收集安全U盘是否处于锁定状态;
所述使用策略包括:
根据安全U盘的允许插入次数和/或允许插入时间和/或允许拷入安全U盘的数据的大小和/或数据的类型决定是否锁定U盘。
2.根据权利要求1所述一种实现智能安全U盘的系统,其特征在于,所述下位机还包括下位机状态显示子系统;
所述下位机状态显示子系统用于根据所述下位机状态收集子系统收集的状态向用户通知当前安全U盘的状态。
3.根据权利要求2所述一种实现智能安全U盘的系统,其特征在于,
所述下位机状态显示子系统为指示灯,当满足安全U盘可读写条件时指示灯点亮,不满足安全U盘可读写条件时指示灯熄灭。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910155136.2A CN110059507B (zh) | 2019-03-01 | 2019-03-01 | 一种实现智能安全u盘的系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910155136.2A CN110059507B (zh) | 2019-03-01 | 2019-03-01 | 一种实现智能安全u盘的系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110059507A CN110059507A (zh) | 2019-07-26 |
| CN110059507B true CN110059507B (zh) | 2021-08-17 |
Family
ID=67316540
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910155136.2A Active CN110059507B (zh) | 2019-03-01 | 2019-03-01 | 一种实现智能安全u盘的系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110059507B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112394688B (zh) * | 2019-08-19 | 2022-07-15 | 上海明我信息技术有限公司 | 工控机保护设备及控制方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100555936C (zh) * | 2007-01-08 | 2009-10-28 | 中国信息安全产品测评认证中心 | 一种在智能卡与u盘复合设备中提高访问安全性的方法 |
| CN202276360U (zh) * | 2011-11-04 | 2012-06-13 | 北京工业大学 | 一种基于安全芯片的可信移动存储系统 |
| CN104102595A (zh) * | 2013-04-12 | 2014-10-15 | 张永昌 | 一种高保密可移动存储设备 |
| CN103366797B (zh) * | 2013-07-19 | 2016-03-30 | 丁贤根 | 用无线认证终端授权认证及加解密的安全u盘设计方法 |
| CN105550598B (zh) * | 2015-12-25 | 2018-10-12 | 北京奇虎科技有限公司 | 一种移动存储设备的安全管理方法和装置 |
| CN106886719B (zh) * | 2017-01-10 | 2020-08-14 | 山东华软金盾软件股份有限公司 | 一种控制u盘使用范围的方法 |
| CN109308426A (zh) * | 2017-07-27 | 2019-02-05 | 中天安泰(北京)信息技术有限公司 | 移动存储介质的权限控制方法及装置 |
-
2019
- 2019-03-01 CN CN201910155136.2A patent/CN110059507B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110059507A (zh) | 2019-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6275653B2 (ja) | データ保護方法及びシステム | |
| CN101430752B (zh) | 计算机与移动存储设备的敏感数据交换控制模块及方法 | |
| JP4398145B2 (ja) | 自動データベース暗号化の方法および装置 | |
| US9246887B1 (en) | Method and apparatus for securing confidential data for a user in a computer | |
| US8266378B1 (en) | Storage device with accessible partitions | |
| CN101237353B (zh) | 一种利用usbkey监控移动存储设备的方法和系统 | |
| US20070300031A1 (en) | Memory data shredder | |
| KR100608575B1 (ko) | 자동 소유권 인증이 가능한 홈 네트워크 장치, 홈네트워크 시스템 및 그 방법 | |
| US20130007426A9 (en) | Recovery of data access for a locked secure storage device | |
| CN202795383U (zh) | 一种保护数据的设备和系统 | |
| JP2007220122A (ja) | 外部記憶媒体とそれに関連する装置 | |
| EP3525127B1 (en) | System for blocking phishing or ransomware attack | |
| CN103065102A (zh) | 基于虚拟磁盘的数据加密移动存储管理方法 | |
| CN109190389A (zh) | 一种基于u盘鉴权的固态硬盘数据保护方法 | |
| CN100429668C (zh) | 一种电子文件的自动保护方法及系统 | |
| CN101441601A (zh) | 一种硬盘ata指令的加密传输的方法 | |
| CN100399304C (zh) | 利用过滤驱动程序结合智能密钥装置自动保护磁盘数据的方法 | |
| CN110543775B (zh) | 一种基于超融合理念的数据安全防护方法及系统 | |
| JP2008005408A (ja) | 記録データ処理装置 | |
| CN110059507B (zh) | 一种实现智能安全u盘的系统及方法 | |
| CN109190365A (zh) | 一种基于u盘鉴权的固态硬盘数据保护系统 | |
| CN110851880A (zh) | 一种电脑数据安全控制系统 | |
| KR101445708B1 (ko) | 보안 시스템, 이를 위한 단말기 및 보안 방법 | |
| CN113342896B (zh) | 一种基于云端融合的科研数据安全保护系统及其工作方法 | |
| CN103942502B (zh) | 摆渡式安全数据交换方法与装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |