WO2011029254A1 - 一种基于互联网的usb移动存储设备保护方法 - Google Patents

Description

一种基于互联网的 USB移动存储设备保护方法 技术领域

本发明涉及存储设备保护，特别是涉及一种基于互联网的 USB移动存储设备 保护方法。

背景技术

现有存储设备的保护技术多种多样。 本申请人的在先专利申请 200910107860. 4《一种基于互联网的存储设备保护方法》和 200910109258. 4《一 种基于通讯网的存储设备保护方法》 提出了网络在线保护固态存储硬盘 (Solid-State Drive, 缩略词 SSD) 的方法。 SSD采用闪存存储单元储存数据， 具备相当高的数据安全性， 由于主控和接口方法的不同， 导致所使用的网络在线 保护方法有以下区别： USB闪存盘经常插拔移动， 必须做移动随机鉴别； 由于涉 及的通讯协议和传输速度不同， 网络保护方法中相应的通讯管理技术就有所不 同， 且加密和保护措施也有所不同。 至于涉及通用串行总线又称通用串联接口 ( Universal Serial Bus , 缩略词 USB ) 的闪存产品的网络在线保护 （ USB flashdisk network protect system, 缩略词为 UNS) 方法， 至今尚未见有报导。

发明内容

本发明所要解决的技术问题是弥补上述现有技术的不足，提出一种基于互联 网的 USB移动存储设备保护方法。帮助合法用户通过互联网在线保护其使用的存 储设备， 为合法用户提供在线数据保护和设备遗失后数据销毁动作， 彻底保护合 法身份持有人的重要数据不被泄密；还为合法用户恢复文件系统及还原所保护的 数据， 在线升级管理存储设备的固件， 并有效拒绝非法用户使用合法用户的存储 设备。 这种基于互联网的 USB 移动存储设备保护方法尤其适用于对 USB 接口的 闪存盘实施保护。

本发明的技术问题采用以下技术方案予以解决：

这种基于互联网的 USB移动存储设备保护方法，采用互联网实行全球在线鉴 定， 包括对保护对象进行数据安全读写保护， 对数据进行加密， 对合法身份特征 持有者进行身份鉴别， 并拒绝非法用户使用， 以及对保护对象设备控制程序区的 数据中的合法用户身份鉴别使用密码保护。现有的分区工具和操作系统根本无法 对设备控制程序区的数据进行操作，即使能读出机器码也无法知晓其密匙的准确 字节位置。

这种基于互联网的 USB移动存储设备保护方法的特点是： 所述保护对象是采用每个存储单元中只有 lbit数据 （Single level cell , 缩略词为 SIX) 或者允许 2 bit数据存储在一个存储单元中 （Multi Level Cell , 缩略词为 MIX) 工艺结构的 FLASH存储芯片的 USB 移动存储设备。

还采用互联网实时在线对所述 USB 移动存储设备进行远程锁定。

本发明的技术问题采用以下进一步的技术方案予以解决：

所述采用互联网实行全球在线鉴定，包括在 USB移动存储设备和互联网上发 布用户注册系统， 以及在用户申请 UNS成功后， 由服务器端对客户端的保护对象 即时启用实时网络在线监测， 即启用实时 USB移动存储设备远程监管程序。

所述实行全球在线锁定是一旦保护对象遗失或被盗、非法用户占有， 即可激 活 UNS安全保护锁， 拒绝继续使用， 或者对非法占有正在使用状态的保护对象以 远程命令方式自毁数据，以保证合法用户的数据安全，防止数据非法泄露及使用； 且只有合法用户才能以远程指令控制方式向保护对象制造商办理恢复使用权限 和其它所有权限， 恢复其内部数据的使用权。

所述合法身份特征持有者身份鉴别，包括对合法持有保护对象的用户提供终 身身份注册信息管理服务，确保保护对象的合法身份特征持有者的合法用户身份 的安全性和合法性。

所述合法身份特征持有者身份鉴别，还包括由合法持有保护对象的用户在线 填写进行网络身份安全认证的保密码和使用期限授权码，经过采用 MD5不可逆加 密算法转换的动态加密后保存在保护对象制造商的服务器数据库，从客户端和服 务器端实行双重比对鉴定和更新，确保保护对象的主人的合法用户身份信息极难 破解。

本发明的技术问题采用以下再进一步的技术方案予以解决：

所述对合法持有保护对象的用户提供终身身份注册信息管理服务，是将注册 信息通过互联网络电子注册， 作为合法用户售后升级服务的终身凭证。

所述注册信息包括合法身份特征持有者身份、 邮件、 联络方式， 保护对象的 产品编码、 产品序号、 产品软件、 用户密钥、 使用期限授权码， 以及用户信息。

所述 USB 移动存储设备是采用 USB接口的移动 U盘、 Flash Disk和闪盘中 的一种。

所述移动 U盘是闪存型存储盘和 USB接口的存储装置中的一种。

优选的， 所述移动 U盘是由控制单元、 闪存存储单元组成的存储设备。 本发明的技术问题采用以下再进一步的技术方案予以解决： 一种基于互联网的 USB 移动存储设备保护方法， 依次包括以下步骤， 1 ) USB 移动存储设备接入电脑后首先寻找网络并与服务器端交互， 服务器 端实时查询锁定 USB 移动存储设备的指令是否激活；

2 )如果查询得到锁定 USB 移动存储设备的指令没有激活， 则进入正常 工作状态， 否则进入步骤 3 ) 中的保护状态；

3 ) USB 移动存储设备拒绝正常运行。

优选地，

所述步骤 1 )中的交互通过用户注册时产生的 USB移动存储设备标识码进行 交互， 所述标识码由服务器端产生存储于服务器端数据库和 USB 移动存储设备 中； 如果用户报警， 则所述标识码会被标出， 其对应的 USB移动存储设备的锁定 指令将激活。

所述标识码存储在 USB移动存储设备的只读存储空间中。

所述步骤 3 ) 还包括如下步骤中的至少一种：

3-1 ) 对 USB移动存储设备进行用户数据安全保护及加密备份；

3-2 )对 USB移动存储设备进行 0XFFFF填充， 保证 USB移动存储设备即使被 迫打开也将视为空盘；

3-3 ) 对 USB移动存储设备进行启动失败操作， 使其处于故障状态或空盘出 厂状态， 所有用户均无法使用。

本发明与现有技术对比的有益效果是：

本发明方法相比传统优盘文件加密或者文件夹密码加密的保护方法，更加安 全简单， 用户不必每次都要使用密码解压缩。 只有发现丢失才会锁定， 且只有原 始授权人凭保密码与服务器验证通过， 由服务器给被盗或者遗失 USB 移动存储 设备解锁。 即使遗忘保密码， 也可以通过互联网平台合法取回， 并在制造商服务 器管理平台统计、 实时显示和监管所有非法用户群体。 本发明方法可以保护 USB 移动存储设备的全部数据和合法身份特征持有者的权益，对合法身份特征持有者 提供终身身份注册信息管理服务，确保保护对象的合法身份特征持有者身份的安 全性和合法性；由合法持有保护对象的用户在线填写进行网络身份安全认证的保 密码， 经过采用 MD5不可逆加密算法转换的动态加密后， 保存在保护对象制造商 的服务器数据库， 从用户端和服务器端实行双重比对鉴定和更新， 确保保护对象 的合法身份特征持有者身份信息极难破解。还对用户数据安全提供保护， 对保护 对象的工作状态进行保护。在保护对象遗失或非法用户使用时， 可为合法身份特 征持有者提供追索、 维权的信息

附图说明

图 1是本发明具体实施方式 -的注册阶段用户工作流程图；

图 2是本发明具体实施方式 -的注册阶段移动 U盘工作流程图；

图 3是本发明具体实施方式. 的注册阶段移动 U盘制造商服务器端工作流程 图；

图 4是本发明具体实施方式 -的报警阶段用户流程图；

图 5是本发明具体实施方式 -的报警阶段制造商服务器端流程；

图 6是本发明具体实施方式 -的锁盘阶段移动 U盘工作流程图。

具体实施方式

下面将结合具体实施方式对本发明作进一步说明。

具体实施方式一

一种基于互联网的采用 USB接口的移动 U盘保护方法：

客户端依次有以下步骤：

1 ) 自动运行网络注册单元；

2 ) 自动读取移动 U盘的 SN、 CN码， 机主填写注册信息上传服务器；

3 ) 填写机主保护密码及其它信息上传服务器， 向服务器端申请 UNS保 护；

4) 接收服务器端下传的确认注册成功信息， 被确认为合法用户的机主 开启 UNS， 向服务器实时上传移动 U盘的产品信息；

5 ) 在实时接收服务器端下传的保密码比对鉴定结果后， 一旦发现优盘 遗失或被盗、 被非法用户占有， 立即将机主是非法用户的提示上传服务器端；

6 ) 合法用户启用实时在线保护， 激活 UNS安全保护锁； 启用实时在线 保护方式是登录制造商的 SNS-U主页管理系统报警、通过制造商指定的服务热线 进行电话或传真报警；

7 ) 移动 U盘接收到服务器指令并激活锁定， 立即进入自动保护程序被 锁定， 当用户重新插入电脑将被视为空盘， 不能读取任何数据。

制造商服务器端依次有以下步骤：

1 ) SNS-U服务平台提供移动 U盘注册信息；

2 )客户端步骤 2 )上传的注册信息与制造商的产品出厂信息进行对比验证， 且将验证正确的注册信息记录到 SNS-U数据库； 3 ) 将客户端步骤 3 ) 上传的申请 SNS-U保护的机主保护密码及其它信息进 行对比验证， 且将通过验证申请 SNS-U成功的用户予以标示， 对客户端的保护对 象即时启用实时网络在线监测， 即启用实时移动 U盘远程监管程序， 指令客户端 实时将优盘运行状态上传制造商服务器，通过制造商服务器对优盘进行技术比对 和升级管理固件；

4) 将客户端步骤 4) 开启 SNS-U实时上传的移动 U盘产品信息实时进行合 法用户身份验证， 将上传来的采用 MD5 不可逆加密算法转换的动态加密的保密 码， 与客户端进行网络在线实时双重比对认证， 即将保密码比对认证结果下传客 户端， 如果比对认证结果正确， 再重复进行一次比对认证， 如果比对认证结果不 正确， 进入步骤 5)， 比对认证结果保存在制造商服务器数据库， 确保用户信息 唯一性和保密性；

5 ) 将客户端步骤 5 ) 上传的机主是非法用户的提示与存入 SNS-U数据库的 注册信息进行对比验证，二次确认机主的身份，如果确认机主的身份是非法用户， 进入步骤 6 );

6 ) 应对机主的身份确认是非法用户， 以及客户端步骤 6 ) 上传的要求激活

SNS-U安全保护锁的报警， 标示非法用户， 等待机授权激活远程锁定优盘；

7 ) 收到合法身份特征持有者授权， 且由制造商服务器审核通过后， 立即远 程发布激活锁定移动 U盘指令， 激活锁定非法目标终端， 包括建立服务器端预警 公告广播机制、主动巡逻实时扫描非法用户装置， 启动 SNS-U有效保护合法用户 的移动 U盘， 命令客户端移动 U盘拒绝正常运行， 并对包括移动 U盘的整个存储 设备进行数据安全保护及加密备份。如果暴力强制解开运行， 本移动 U盘主控进 入自毁程序， 存储单元失效， 使非法用户无法正常使用， 只有由合法用户将移动 u盘返回原制造商进行修复或数据恢复。

上述数据安全保护及加密备份的步骤如下：

7-1 ) 对用户使用数据及文件系统关键字节进行抽样、 备份， 压缩成一个文 件；

7-2 ) 对压缩文件加密后写在制造商特定的设备控制程序区， 并备份； 7-3 ) 对移动 U 盘的分区信息表、 客户端用户数据原来的关键字节位进行 0XFFFF填充， 以保证即本移动 U盘优盘安装在任何 PC机仍然视为空盘。

具体实施方式二

本实施方式中保护方法的保护对象仍然是移动 U盘。当客户购买制造商移动 u盘后， 如果不需要申请制造商的移动 u盘网络在线保护， 则不需要注册； 如果 需要申请制造商的移动 U盘网络在线保护， 则需要注册。 注册阶段流程如图 1、 2、 3所示。

用户购买制造商移动 U盘后， 登陆互联网注册。用户通过制造商服务器端的 网络注册单元进行注册的信息包括用户姓名、用户自己设定的 U盘保护密码， 邮 件、 联络方式。

注册阶段， 移动 u盘也接入互联网， 向移动 U盘制造商服务器端发送移动 U 盘产品信息， 包括移动 U盘的产品序列码 SN码。 同时， 移动 U盘与制造商服务 器端交互。

服务器端接收用户的注册信息和移动 U盘的产品信息。当接收移动 U盘产品 信息后，制造商服务器将比对此移动 u盘产品信息和已存储在服务器上的产品出 厂信息，以验证此移动 u盘是否为本制造商出厂的移动 u盘。如果两种信息相符， 则说明此移动 U盘是本制造商出厂的； 如果两种信息不相符， 则说明此移动 U盘 不是本制造商出厂的， 则不能提供移动 u盘网络在线保护， 直接向用户发送注册 失败信息， 则注册结束。此步骤可以将制造商的移动 U盘网络在线保护仅提供给 制造商出厂的移动 u盘上。

经过比对后， 如果两种信息相符， 服务器端就随机生成 20位的随机密码作 为移动 U盘 CN码。移动 U盘 CN码作为标识码， 用于移动 U盘与服务端交互。 CN 码是由计算机随机生成的， 因此 CN码保密性高， 不易破解。 同时， 此 CN码和需 要申请网络在线保护的移动 U盘一一对应， 因此 CN码也具有唯一性。

产生移动 U盘 CN码后，服务器通过互联网发送此移动 U盘 CN码至移动 U盘 上开辟的量产程序控制区中。 将 CN码存储在量产程序控制区中而不是用户数据 区或可见分区信息表中，是因为量产程序控制区中存储的数据通过目前的分区工 具和操作系统根本无法操作，即使能读出机器码也无法知晓量产程序控制区中数 据存储的准确字节位置， 因此进一步对 CN码进行了保护。 即使 U盘被遗失， 此 CN码也不会轻易被非法复制、 盗用。 另外， 由于此 CN码同时存在于制造商的服 务器端和移动 U盘中， 制造商的服务器端就与此移动 U盘通过互联网和 CN码建 立了永久联系。 即， 制造商的服务器能远程监管控制此移动 U盘。

最后， 制造商的服务器端通过互联网发送用户注册成功的信息， 用户即可在 用户端获知注册是否成功。 服务器端发出通知后， 注册阶段结束。

用户注册成功后， 即开启了制造商的移动 U盘网络在线保护。 以后每次使用 不需要进行其他操作。如果用户是在接入互联网的情形下使用移动 u盘， 则制造 商服务器通过互联网读取此移动 U盘的 CN码进行比对后，若确认此 CN码不在已 遗失的移动 U盘 CN码序列中， 就帮助用户打开移动 U盘； 若确认此 CN码在已遗 失的移动 U盘 CN码序列中， 就不帮助用户打开移动 U盘， 从而锁定 U盘。 如果 用户是在没有接入互联网的情形下使用移动 U盘，则用户通过自己设定的 U盘保 护密码打开移动 u盘。

当移动 U盘遗失后， 则用户需要立即报警， 通知制造商服务器端此移动 U盘 已遗失， 授权服务器对 u盘进行锁定。报警方式可以通过互联网， 也可以通过传 真、 客服电话或短信的方式。 采用互联网方式的报警阶段流程如图 4、 5所示。

用户通过用户姓名和用户自己设定的 U盘保护密码登陆互联网， 上传移动 U 盘已遗失的提示。此阶段移动 u盘制造商服务器端会接收用户姓名、用户自己设 定的 u盘保护密码和移动 u盘已遗失的信息。

接着，移动 u盘制造商服务器端会根据用户姓名调出保存在服务器数据库中 的用户移动 U盘 CN码， 将此 CN码放入预警公告区。该预警公告区存储的是用户 已发送移动 U盘已遗失提示的移动 U盘的 CN码序列。服务器端调出 CN码的同时 将激活锁定此 CN码对应的移动 U盘的指令。 非法用户一旦在接入互联网的情形 下使用该移动 U盘，则移动 U盘就会通过互联网接收到激活的指令进入自动保护 程序， 保护移动 U盘中存储的数据。

激活锁定指令后， 移动 U盘制造商服务器端会通知用户已激活锁定， 最后报 警结束。 而用户通过互联网也能获知激活锁定指令的信息。

经过上述报警阶段后， 就可等待非法用户在接入互联网的情形下使用移动 U 盘， 从而使移动 U盘接收锁定指令进行锁盘。 锁盘阶段流程如图 6所示。

当移动 U盘被非法用户在接入互联网的情形下使用时，由于此移动 U盘的合 法用户已经报警了， 所以互联网上已经发布了激活锁定的指令， 移动 U盘会通过 互联网立即接收到此激活锁定的指令， 从而进入自动保护步骤， 使移动 U盘被锁 定， 禁止非法用户使用。 其中自动保护步骤包括： 首先， 对移动 U盘中用户使用 数据及文件系统关键字节进行抽样、 备份、压缩成一个文件， 经加密后写在特定 的移动设备只读存储空间中。 该文件， 除移动 U盘的主控程序能辨识外， 其它操 作系统灼无法辨识。接着， 对移动 U盘的分区信息表以及存储的用户数据的关键 字节位进行 0XFFFF填充， 从而保证即使此移动 U盘被迫打开也视为空盘。然后， 将移动 U盘中制造商的主控工作指令更改为启动失败，使其处于故障状态或空盘 出厂状态， 所有用户均无法使用。 上述自动保护步骤中， 也可以将存储设备主控 程序数据抽样、 备份、 压缩成一个文件后进行后续步骤。

另外， 如果非法用户发现移动 u盘被锁定后， 使用暴力强制解开运行， 则该 移动 U盘主控程序将进入自毁， 接口通讯单元失效， 使非法用户无法正常使用。 如果要修复移动 u盘，则只有通过合法用户将移动 u盘返回制造商进行修复或数 据恢复。 以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能 认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术 人员来说， 在不脱离本发明构思的前提下做出若干等同替代或明显变型， 而且性 能或用途相同， 都应当视为属于本发明的保护范围。

Claims

权 利 要 求 书

1、 一种基于互联网的 USB 移动存储设备保护方法， 采用互联网实行全球在 线鉴定， 包括对保护对象进行数据安全读写保护， 对数据进行加密， 对合法身份 特征持有者进行身份鉴别， 并拒绝非法用户使用， 以及对保护对象设备控制程序 区的数据中的合法用户身份鉴别使用密码保护， 其特征在于：

所述保护对象是采用 SLC或者 MLC工艺结构的 FLASH存储芯片的 USB 移动存储 设备；

还采用互联网实时在线对所述 USB 移动存储设备进行远程锁定。

2、 如权利要求 1所述的基于互联网的 USB 移动存储设备保护方法， 其特征 在于：

所述采用互联网实行全球在线鉴定，包括在 USB移动存储设备和互联网上发布 用户注册系统， 以及在用户申请 UNS成功后， 由服务器端对客户端的保护对象即 时启用实时网络在线监测， 即启用实时 USB移动存储设备远程监管程序。

3、 如权利要求 1或 2所述的基于互联网的 USB 移动存储设备保护方法， 其 特征在于：

所述实行全球在线锁定是一旦保护对象遗失或被盗、非法用户占有， 即可激 活 UNS安全保护锁， 拒绝继续使用， 或者对非法占有正在使用状态的保护对象以 远程命令方式自毁数据，且只有合法用户才能以远程指令控制方式向保护对象制 造商办理恢复使用权限和其它所有权限。

4、 如权利要求 3所述的基于互联网的 USB 移动存储设备保护方法， 其特征 在于- 所述合法身份特征持有者身份鉴别，包括对合法持有保护对象的用户提供终 身身份注册信息管理服务。

5、 如权利要求 4所述的基于互联网的 USB 移动存储设备保护方法， 其特征 在于：

所述合法身份特征持有者身份鉴别，还包括由合法持有保护对象的用户在线 填写进行网络身份安全认证的保密码和使用期限授权码，经过采用 MD5不可逆加 密算法转换的动态加密后保存在保护对象制造商的服务器数据库，从客户端和服 务器端实行双重比对鉴定和更新。

6、 如权利要求 5所述的基于互联网的 USB 移动存储设备保护方法， 其特征 在于- 所述对合法持有保护对象的用户提供终身身份注册信息管理服务，是将注册 信息通过互联网络电子注册， 作为合法用户售后升级服务的终身凭证。

7、 如权利要求 6所述的基于互联网的 USB 移动存储设备保护方法， 其特征 在于- 所述注册信息包括合法身份特征持有者身份、 邮件、 联络方式， 保护对象的 产品编码、 产品序号、 产品软件、 用户密钥、 使用期限授权码， 以及用户信息。

8、 如权利要求 7所述的基于互联网的 USB 移动存储设备保护方法， 其特征 在于- 所述 USB 移动存储设备是采用 USB接口的移动 U盘、 Flash Disk和闪盘中 的一种。

9、 如权利要求 8所述的基于互联网的 USB 移动存储设备保护方法， 其特征 在于- 所述移动 U盘是闪存型存储盘和 USB接口的存储装置中的一种。

10、 如权利要求 9所述的基于互联网的 USB 移动存储设备保护方法， 其特征 在于- 所述移动 u盘是由控制单元、 闪存存储单元组成的存储设备。

11、 一种基于互联网的 USB 移动存储设备保护方法， 其特征在于： 依次包 括以下步骤，

1 ) USB 移动存储设备接入电脑后首先寻找网络并与服务器端交互， 服务器 端实时查询锁定 USB 移动存储设备的指令是否激活；

2 ) 如果查询得到锁定 USB 移动存储设备的指令没有激活， 则进入正常工 作状态， 否则进入步骤 3 ) 中的保护状态；

3 ) USB 移动存储设备拒绝正常运行。

12、 如权利要求 11所述的固态硬盘保护方法， 其特征在于： 所述步骤 1 ) 中的交互通过用户注册时产生的 USB移动存储设备标识码进行交互，所述标识码 由服务器端随机生成， 存储于服务器端数据库和 USB移动存储设备中； 如果用户 报警， 则所述标识码会被标出， 其对应的 USB移动存储设备的锁定指令将激活。

13、 如权利要求 12所述的固态硬盘保护方法， 其特征在于： 所述标识码存 储在 USB移动存储设备的量产程序控制区中。

14、 如权利要求 11所述的固态硬盘保护方法， 其特征在于： 所述步骤 3 ) 还包括如下步骤中的至少一种：

3-1 ) 对 USB移动存储设备进行用户数据安全保护及加密备份；

3-2 )对 USB移动存储设备进行 OXFFFF填充， 保证 USB移动存储设备即使被 迫打开也将视为空盘；

3-3 ) 对 USB移动存储设备进行启动失败操作， 使其处于故障状态或空盘出 厂状态， 所有用户均无法使用。