CN113553296A - 一种数据安全传输系统 - Google Patents

Abstract

本发明公开了一种数据安全传输系统，所述系统包括接口设备和接口设备访问单元，其中，所述接口设备访问单元用于安装在与所述接口设备不同的计算机系统中，通过指定接口与所述接口设备建立唯一识别关系；所述接口设备访问单元包括显示单元和操作单元；所述接口设备包括只读分区和隐藏分区；所述显示单元用于在所述接口设备访问单元与所述接口设备连接后，同时显示接口设备隐藏分区的文件和本地文件；所述操作单元用于实现所述接口设备与本地之间的文件传输。本发明通过接口设备与接口设备访问单元建立唯一识别关系，使得接口设备访问单元能够识别具有隐藏分区的接口设备，大大降低了数据文件泄露的风险，提高了数据传输的安全性。

Description

一种数据安全传输系统

技术领域

本发明属于数据传输技术领域，特别涉及一种数据安全传输系统。

背景技术

现有的数据传输方式是通过资源浏览器直接访问接口设备，没有专用的数据传输系统，接口设备能够被随意识别，且接口设备中的数据无法隐藏，对数据的安全性没有要求，不利于保密性文件的隐藏，尤其在铁路的列控、联锁等安全要求高、文件数据多的场合。对于数据安全性高的接口设备而言，需要对其中的数据进行加密处理和特殊保护处理。

因此，如何设计一种数据传输系统能够提高接口设备中数据的安全性成为亟需解决的问题。

发明内容

针对上述问题，本发明提供了一种数据安全传输系统，所述系统包括接口设备和接口设备访问单元，其中，

所述接口设备访问单元用于安装在与所述接口设备不同的计算机系统中，通过指定接口与所述接口设备建立唯一识别关系；

所述接口设备访问单元包括显示单元和操作单元；

所述接口设备包括只读分区和隐藏分区；

所述显示单元用于在所述接口设备访问单元与所述接口设备连接后，同时显示接口设备隐藏分区的文件和本地文件；

所述操作单元用于实现所述接口设备与本地之间的文件传输。

进一步地，所述只读分区设置有引导程序；

所述隐藏分区用于存储由所述引导程序加密的加密数据。

进一步地，所述显示单元包括第一显示单元和第二显示单元，其中，

所述第一显示单元用于显示本地文件；

所述第二显示单元用于显示接口设备隐藏分区的文件。

进一步地，所述接口设备隐藏分区采用专用文件系统，所述接口设备访问单元通过调用所述专用文件系统的文件操作接口，识别所述接口设备隐藏分区中的文件。

进一步地，所述专用文件系统的文件操作接口基于FSShell库实现。

进一步地，所述接口访问单元对外提供第一协议指令接口，用于访问只读分区；

所述引导程序提供访问隐藏分区的第二协议指令接口，所述第二协议为非标准协议；

所述接口设备访问单元通过调用所述第一协议指令接口和所述第二协议指令接口与所述接口设备建立唯一识别关系。

进一步地，所述显示单元采用仿资源浏览器设计，具体为：

所述接口设备访问单元通过提取Windows系统中资源浏览器相关图标并应用于所述显示单元实现仿资源浏览器的用户界面。

进一步地，所述接口设备访问单元提供用于查看所述接口设备与所述接口设备访问单元之间文件传输进度的接口。

进一步地，所述接口设备访问单元采用异步委托方式执行与所述接口设备之间的文件传输。

进一步地，系统支持接口设备与接口设备访问单元的实时双向互传。

进一步地，所述接口设备访问单元提供数据写入操作接口，所述接口设备根据所述接口设备访问单元发送的写入指令，将本地指定文件加密后写入隐藏分区；

所述接口设备访问单元提供数据读出操作接口，所述接口设备根据所述接口设备访问单元发送的读出指令，将隐藏分区的指定文件解密后发送到本地。

本发明通过接口设备与接口设备访问单元建立唯一识别关系，使得接口设备访问单元能够识别具有隐藏分区的接口设备，大大降低了数据文件泄露的风险，提高了数据传输的安全性；其次，通过采用仿资源浏览器设计，用户在操作时更加的方便，数据文件展示的更加直观，提升了用户的使用体验。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所指出的结构来实现和获得。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本发明实施例的数据安全传输系统的示意图；

图2示出了本发明实施例的数据安全传输系统总体结构示意图；

图3示出了本发明实施例的数据安全传输系统的主界面示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地说明，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供了一种数据安全传输系统，示例性的，图1示出了根据本发明实施例的数据安全传输系统的示意图，如图1所示，所述系统包括接口设备和接口设备访问单元，其中，

所述接口设备访问单元用于安装在与所述接口设备不同的计算机系统中，通过指定接口与所述接口设备建立唯一识别关系，所述建立唯一识别关系是指：所述接口设备只有通过接口设备访问单元才能够识别和使用，而不能通过普通操作系统中的资源浏览器识别；约束了接口设备的使用权限，有效降低了接口设备中数据泄露的风险。

所述接口设备包括只读分区和隐藏分区；具体的，所述只读分区设置有引导程序；所述隐藏分区用于存储由所述引导程序加密的加密数据。并且，所述接口设备隐藏分区采用专用文件系统，所述接口设备访问单元通过调用所述专用文件系统的文件操作接口，识别所述接口设备隐藏分区中的文件。其中，所述专用文件系统基于FSShell库实现专用文件操作接口，所述接口设备访问单元通过调用专用文件操作接口访问隐藏分区。通过专用文件系统的设置进一步提高了非法获取隐藏分区文件的难度和对隐藏分区文件反编译的难度，提高了存储的安全性。

所述接口设备访问单元包括显示单元和操作单元；具体的，所述显示单元包括第一显示单元和第二显示单元，

所述显示单元用于在所述接口设备访问单元与所述接口设备连接后，同时显示接口设备隐藏分区的文件和本地文件。

所述操作单元用于实现所述接口设备与本地之间的文件传输。

需要说明的是，本实施例中的本地是指接口设备访问单元所在的计算机系统。

本发明中，接口设备访问单元与接口设备建立唯一识别关系是通过接口设备访问单元调用第一协议指令接口和第二协议指令接口与接口设备建立唯一识别关系，其中，接口访问单元对外提供第一协议指令接口，用于访问只读分区；引导程序提供访问隐藏分区的第二协议指令接口，并且第二协议为非标准协议。

为了提升用户的使用体验，显示单元采用仿资源浏览器设计，即将本地化文件仿照windows电脑桌面的形式进行显示，包括图标、名称、大小等都是通过windows的各类文件图标的接口来获取，实现了系统中的文件图标、名称、大小、类型都和通用的Windows资源浏览器结构的一致性。显示单元的显示内容主要包括两部分，第一部分为本地文件资源，由第一显示单元显示；第二部分为接口设备文件资源，由第二显示单元显示。接口设备访问单元通过调用本地所在操作系统的文件操作接口获取本地文件资源，接口设备访问单元通过调用接口设备中提供的指定文件操作接口，即专用文件操作接口获取接口设备文件资源，包括隐藏分区的文件资源。两部分文件资源可同时显示在显示单元中，示例性地，在显示的界面上分左右两部分，分别显示两部分文件资源。并设置操作按钮，以便将选中的文件从其中一个文件系统中传输到另一个文件系统中。接口设备访问单元还提供用于查看接口设备与接口设备访问单元之间文件传输进度的接口，便于用户查看剩余时间。

本系统中的接口设备访问单元是采用异步委托方式执行与所述接口设备之间的文件传输，并且支持接口设备与本地文件系统的实时双向互传，具体为：

所述接口设备访问单元提供数据写入操作接口，所述接口设备根据所述接口设备访问单元发送的写入指令，将本地指定文件加密后写入隐藏分区；

所述接口设备访问单元提供数据读出操作接口，所述接口设备根据所述接口设备访问单元发送的读出指令，将隐藏分区的指定文件解密后发送到本地。

本实施例中接口设备以U盘为例进行说明，将U盘插在计算机上进行连接，图2示出了根据本发明实施例的数据安全传输系统总体结构示意图，如图2所示，数据安全传输系统基于通用串行总线实现数据在本地与U盘之间进行传输。需要说明的是，目前，为实现加密功能所采用的文件管理方式中，大多数采用的是开源的FAT32(文件分配表是采用32位二进制数记录管理的磁盘文件管理方式)文件系统或者基于Linux的EXT(Extended filesystem，延伸文件系统)文件系统实现文件管理与加密，然而这些加密方式都容易被数据恢复分析工具识别读取。为避免这一问题，本实施例中的U盘采用上述专用文件系统，实现文件存储格式自主可控、完全隐藏式的文件操作，并通过内置AES(Advanced EncryptionStandard，高级加密标准)算法实现了对文件的加密操作，采用独立的加密隐藏分区以及只读分区进行存储载体的设计，并且采用AES算法通过密码演算生成密钥，确保密钥数据安全。

需要说明的是，专用文件系统是基于FSShell库文件提供的接口实现文件管理，由深圳市数组科技有限公司针对加密U盘而自主研发的，相比于Windows上Kernel32.dll内核库函数所提供的WinApi(视窗操作系统应用程序接口)接口，本发明在软件上采用独立的文件系统操作开发接口。本发明所提供的API(Application Programming Interface，应用程序接口)函数库文件为FSShell库，是32位和64位的动态库文件。

其中，加密隐藏分区存储加密数据，可存放需要保护的电子文件数据，该分区的数据文件无法被本地系统资源浏览器查看、读取，无法被本地系统磁盘管理或被其他第三方硬盘分析工具识别；只读分区存放引导程序，用于实现第二协议指令接口，包括写入指令接口和读出指令接口，进而接口设备访问单元与接口设备隐藏分区的数据交互，通过调用引导程序实现。

由于普通的接口设备均通过标准的通信协议与计算机系统进行数据交换，几乎所有标准的USB设备均采用SCSI(Small Computer System Interface，小型计算机系统接口)指令，一旦存储介质中的IC(integrated circuit，集成电路)实现了SCSI协议通信，同时也实现了标准USB设备的指令集，操作系统即可自动识别并访问该USB设备。因此，本实施例中的U盘的只读分区即采用了该标准指令，当U盘接入后即可通过驱动自动识别出来，实现了普通数据分区的功能。而本实施例中的U盘的加密隐藏分区的访问使用非标准的SCSI指令集，通过第二协议指令接口访问加密隐藏分区。因此，操作系统无法对加密隐藏分区进行识别访问，从而杜绝了加密隐藏分区的数据被随意访问。外部程序若想要对该U盘中的加密隐藏分区的数据进行操作，必须基于本数据安全传输系统对U盘中的加密隐藏分区发送专用的写入指令和读出指令，从而实现对加密隐藏分区数据的操作。本系统中的U盘还具备密码认证功能，在访问隐藏分区数据之前需要用户输入指定密码才能读写隐藏分区文件。同时，还采用MD5(信息摘要算法)特征比较技术，防止被误修改。另外，专用文件系统能够防止加密数据逆向分析。

使用时，首先数据文件存放于笔记本电脑或工控机中，将U盘通过USB接口连接电脑，打开数据安全传输系统，将本地的数据文件存入U盘中。对于加密隐藏分区的数据文件需要通过输入U盘用户密码进行身份认证，当认证成功后才能对加密隐藏分区进行识别访问及操作。由于本系统采用SDK接口与U盘建立唯一识别关系，在任意时刻，本系统都可识别U盘只读分区中的内容，并通过只读分区中的引导程序，使用AES算法完成文件的加密、转换，最终将生成的加密数据文件存储于加密隐藏分区中。如果直接插入U盘而不使用本数据安全传输系统，就无法识别U盘隐藏分区，从而无法显示和获取U盘中的加密数据文件，对于笔记本电脑或工控机而言就相当于是数据进行了隐藏，只有通过数据安全传输系统才能显示加密隐藏分区中的加密数据文件，并对加密数据文件进行读写操作，保障了笔记本或工控机中的数据安全性及保密性。

本系统与U盘建立唯一识别关系后，会为用户呈现一个便捷的windows桌面风格的界面，并且支持鼠标右键等多种操作。示例性的，图3示出了根据本发明实施例的数据安全传输系统的主界面示意图，如图3所示，数据安全传输系统主界面直观显示了本地分区与加密隐藏分区，以及本地分区与加密隐藏分区中的数据文件，并具备在两个分区上进行数据的上传、下载功能。示例性的，如图3所示，选中本地中的数据文件，鼠标点击“>”按钮，接口设备访问单元会执行数据写入过程，写入过程中向U盘的引导程序发送写入指令，引导程序写入指令接口被调用。引导程序写入指令接口使用AES算法对该数据文件进行加密、转换，然后将生成的加密数据文件上传至U盘的加密隐藏分区中。文件上传结束后，基于接口设备访问单元设定的周期性刷新或者用户手动刷新操作，U盘的加密隐藏分区中就会显示出该加密数据文件；选中U盘的加密隐藏分区中的加密数据文件，鼠标点击“<”按钮，U盘只读分区中的引导程序读出指令接口被调用，读出指令接口通过AES算法对该加密数据文件进行解密，然后将生成的解密数据文件下载至本地，下载结束后，本地分区中就会显示出该解密数据文件。引导程序读出指令接口还用于向接口设备访问单元反馈隐藏分区中的文件列表。引导程序对隐藏分区的文件操作通过调用专用文件操作接口实现。本系统通过采用异步处理方式，在使用数据安全传输系统进行操作时用户还可进行其他本地操作，消除了用户等待时间。删除数据文件时，系统同样也采用异步委托的方式将U盘中的数据文件直接删除掉。此外，系统还具有以下功能：

校验U盘是否已连接：数据安全传输系统的主界面会显示当前引导区的信息，即U盘的连接状态信息，以保证U盘连接及加密操作的正常运行。

格式化U盘：提供格式化功能，可清除U盘中所储存的文件。

U盘容量信息：数据安全传输系统的主界面会显示U盘的可用空间和U盘的总容量。

日志和文件传输进度：直观显示了系统所操作的所有文件日志，包括所传输的文件或文件夹的进度情况，方便用户查看当前的操作进度。

本地和U盘刷新：为本地文件和U盘文件提供了刷新功能，鼠标点击刷新按钮可以实现刷新，更新文件系统状态，避免不断实时获取隐藏分区的文件列表状态，提高接口设备文件传输的效率。

本数据安全传输系统基于通用总线进行数据传输，可在列控中心维护机、联锁控显机、联锁维护机、TSRS维护机、Windows8系统笔记本、Windows10系统笔记本等场景中实现本地与U盘中文件数据流的转换、加密、解密等操作。

本发明通过接口设备与接口设备访问单元建立唯一识别关系，使得接口设备访问单元能够识别具有隐藏分区的接口设备，大大降低了数据文件泄露的风险，提高了数据传输的安全性；其次，通过采用仿资源浏览器设计，用户在操作时更加的方便，数据文件展示的更加直观，提升了用户的使用体验。

尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (11)

1.一种数据安全传输系统，其特征在于，所述系统包括接口设备和接口设备访问单元，其中，

所述接口设备访问单元用于安装在与所述接口设备不同的计算机系统中，通过指定接口与所述接口设备建立唯一识别关系；

所述接口设备访问单元包括显示单元和操作单元；

所述接口设备包括只读分区和隐藏分区；

所述显示单元用于在所述接口设备访问单元与所述接口设备连接后，同时显示接口设备隐藏分区的文件和本地文件；

所述操作单元用于实现所述接口设备与本地之间的文件传输。

2.根据权利要求1所述的数据安全传输系统，其特征在于，

所述只读分区设置有引导程序；

所述隐藏分区用于存储由所述引导程序加密的加密数据。

3.根据权利要求1所述的数据安全传输系统，其特征在于，所述显示单元包括第一显示单元和第二显示单元，其中，

所述第一显示单元用于显示本地文件；

所述第二显示单元用于显示接口设备隐藏分区的文件。

4.根据权利要求1所述的数据安全传输系统，其特征在于，所述接口设备隐藏分区采用专用文件系统，所述接口设备访问单元通过调用所述专用文件系统的文件操作接口，识别所述接口设备隐藏分区中的文件。

5.根据权利要求4所述的数据安全传输系统，其特征在于，

所述专用文件系统的文件操作接口基于FSShell库实现。

6.根据权利要求2所述的数据安全传输系统，其特征在于，

所述接口访问单元对外提供第一协议指令接口，用于访问只读分区；

所述引导程序提供访问隐藏分区的第二协议指令接口，所述第二协议为非标准协议；

所述接口设备访问单元通过调用所述第一协议指令接口和所述第二协议指令接口与所述接口设备建立唯一识别关系。

7.根据权利要求1所述的数据安全传输系统，其特征在于，所述显示单元采用仿资源浏览器设计，具体为：

所述接口设备访问单元通过提取Windows系统中资源浏览器相关图标并应用于所述显示单元实现仿资源浏览器的用户界面。

8.根据权利要求1所述的数据安全传输系统，其特征在于，所述接口设备访问单元提供用于查看所述接口设备与所述接口设备访问单元之间文件传输进度的接口。

9.根据权利要求1所述的数据安全传输系统，其特征在于，所述接口设备访问单元采用异步委托方式执行与所述接口设备之间的文件传输。

10.根据权利要求1所述的数据安全传输系统，其特征在于，系统支持接口设备与接口设备访问单元的实时双向互传。

11.根据权利要求1-10任一项所述的数据安全传输系统，其特征在于，

所述接口设备访问单元提供数据写入操作接口，所述接口设备根据所述接口设备访问单元发送的写入指令，将本地指定文件加密后写入隐藏分区；

所述接口设备访问单元提供数据读出操作接口，所述接口设备根据所述接口设备访问单元发送的读出指令，将隐藏分区的指定文件解密后发送到本地。

Images