专利名称:移动介质数据防泄密方法及移动介质的制作方法
技术领域:
本发明涉及一种移动介质数据防泄密方法及移动介质。
背景技术:
随着计算机技术的快速发展,移 动存储设备的应用非常普遍,这些设备在方便人们使用的同时也会存在信息泄露这样的危险。目前市面上也有一些移动介质采取了防泄密措施,但是这些防泄密措施都存在不足。I、硬件级加密方法,在生产过程中将加密算法固化在闪存中,这种硬件级加密方法存在加密算法单一不可更改的缺点,而且影响数据的传输速度,也无法满足用户对数据防泄密的多样化需求。2、将移动介质划分为加密区、隐藏区等,并对加密区采用特定格式进行格式化,操作系统无法直接访问,需要通过特定的接口界面对移动介质进行访问,因此存在用户使用不习惯的问题。3、硬件绑定,只允许移动介质在特定的范围内使用,这样大大降低了移动介质的便捷性。4、以软加密的方式来防止数据的泄漏,单个文件加密,文件本身不受控制,可以被非法复制破解。5、硬件开关控制,在移动介质上设置硬件开关,由硬件控制U盘的读写权限,一旦用户在数据交互的时候忘记拨打开关,很容易造成数据泄露。6、在没有采取任何反病毒手段的情况下,当移动介质可以在任意的计算机上随意使用,容易造成病毒的传播与泛滥。
发明内容
鉴于上述技术问题,本发明提供一种通用的、不改变现有设备、不改变用户使用习惯的移动介质数据防泄密方法及移动介质。本发明第一方面所涉及的移动介质数据防泄密方法,包括以下步骤固件程序配置步骤,配置所述移动介质的主控芯片的固件程序,以使通过所述固件程序在所述主控芯片中形成有虚拟光驱接口和数据交互接口,所述虚拟光驱接口使所述移动介质当与主机连接时被所述主机的操作系统识别为光驱设备,所述数据交互接口通过虚拟光驱中所存储的控制程序加载后使用;以及存储芯片划分步骤,所述移动介质的存储芯片被划分为作为模拟CD-ROM的映像区域的第一区域和作为存储区域的第二区域。在上述的移动介质数据防泄密方法中,在所述存储芯片划分步骤中,通过修改所述主控芯片所存储的所述固件程序中的设备描述符字段,使所述存储芯片的实际存储地址向后移动一段空间。在上述的移动介质数据防泄密方法中,在所述存储芯片划分步骤中,所述第一区域使用CD-ROM IS09660文件系统格式格式化,使所述第一区域模拟生成映像文件,所述映像文件模拟真实的CD-ROM的文件和目录结构。在上述的移动介质数据防泄密方法中,当所述移动介质与所述主机连接时,只使用所述存储芯片的所述第一区域,所述存储芯片的所述第二区域被屏蔽。在上述的移动介质数据防泄密方法中,当所述移动介质与所述主机连接、所述移动介质被识别为光驱后,在通过运行所述虚拟光驱中所存储的控制程序激活所述主控芯片的数据交互接口、所述主机的操作系统加载所述第二区域的驱动,所述移动介质被暴露为多接口模式时,所述移动介质被识别为具有所述虚拟光驱和磁盘设备的复合设备。在上述的移动介质数据防泄密方法中,所述第二区域的启用模式包括常规模式和透明加解密模式。在上述的移动介质数据防泄密方法中,当所述移动介质被识别为所述复合设备后,当判断为是通过常规模式启用所述第二区域时,所述主机的操作系统直接管理所述第二区域,不改变所述第二区域的数据的读写方式,所述主控芯片的固件程序不再截获驱动程序指令,直接将包括所述第二区域的起始地址在内的设备描述各种标志告知驱动程序,常规使用所述第二区域。在上述的移动介质数据防泄密方法中,当所述移动介质被识别为所述复合设备后,当判断为是通过透明加解密模式启用所述第二区域时,所述主控芯片的固件继续截获驱动程序指令,并启动数据交互接口。在上述的移动介质数据防泄密方法中,利用所述主机的所述操作系统本身的磁盘管理接口,将所述第二区域的实际物理空间模拟成所述操作系统的磁盘管理接口能够识别的逻辑盘,并有磁盘管理接口为该逻辑盘分配盘符。在上述的移动介质数据防泄密方法中,所述控制程序在所述第二区域实现大小任意调节的多个逻辑盘,所述控制程序会在所述第二区域的实际物理空间中创建作为加密文件的控制文件,所述控制文件记录有所述第二区域中实际物理空间信息、以及逻辑盘信息,所述操作系统的所述磁盘管理接口通过所述控制程序调用所述控制文件,向所述操作系统提供所述逻辑盘、分配盘符;当所述操作系统对所述逻辑盘进行访问的时候,所述控制程序自动将逻辑地址翻译为物理地址,即、将所述操作系统对所述逻辑盘的访问地址自动转换为物理地址,并提交给标准驱动程序;以及所述控制程序自动对读写的数据透明加解密。在上述的移动介质数据防泄密方法中,当所述操作系统对所述逻辑盘进行访问的时候,首先所述控制程序截获访问指令,并判断用户权限,根据用户权限进行读或写的操作。本发明第二方面所涉及的移动介质,包括主控芯片、存储芯片、晶振、与主机连接的接口,其中,在所述主控芯片中通过所存储的固件程序形成有虚拟光驱接口和数据交互接口,使所述移动介质当与主机连接时被所述主机的操作系统识别为光驱设备,所述数据 交互接口通过虚拟光驱中所存储的控制程序加载后使用;所述移动介质的存储芯片被划分为作为模拟CD-ROM的映像区域的第一区域和作为存储区域的第二区域。在上述的移动介质中,所述第一区域使用⑶-ROM IS09660文件系统格式格式化,使所述第一区域模拟生成映像文件,所述映像文件模拟真实的CD-ROM的文件和目录结构。根据本发明的移动介质数据防泄漏方法和移动介质,能够实现以下技术效果
I、移动介质一旦丢失,存储在介质中的信息也不会泄露。2、移动存储介质可以在任意的计算机上随意使用,且不会造成病毒的传播。3、在不需要增加新的系统硬件设施、不增加用户的使用成本和负担,且无需额外驱动的基础上使用户实现移动介质上的数据防泄密处理,保证了移动介质上的信息安全。
当结合附图考虑时,通过参照下面的详细描述,能够更完整更好地理解本发明以及容易得知其中许多伴随的优点,但此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发 明的不当限定,其中图I是示出了现有的移动介质的主控芯片和存储芯片的示意图。图2是本发明的移动介质数据防泄密方法的一实施例的示意图。图3示出了本发明的移动介质的存储芯片被划分为两个区域的示意图。图4示出了移动介质的识别过程的流程图。图5示出了启用存储区域(2. 2区域)的示意图。图6示出了透明加解密模式下逻辑盘的实现流程。图7示出了数据交互的示意流程图。
具体实施例方式现有的移动介质,从组成结构上看,主要由四个部分主控芯片、存储芯片、晶振(时钟电路)、与主机连接的接口。图I示出了现有的移动介质的主控芯片和存储芯片的示意图。如图I所示,可以存储信息的是主控芯片I和存储芯片2,其中主控芯片I 一般用来存放固件(移动介质的控制程序和设备描述符信息,容量非常小),存储芯片2主要用来存储用户数据,容量一般很大。图2是本发明的移动介质数据防泄密方法的实施例的示意图,如图2所示,移动介质数据防泄密方法包括固件程序配置步骤S10,配置移动介质的主控芯片的固件程序,以使通过固件程序在主控芯片中形成有虚拟光驱接口和数据交互接口,虚拟光驱接口使移动介质当与主机连接时被主机的操作系统识别为光驱设备,数据交互接口通过虚拟光驱中所存储的控制程序加载后使用。存储芯片划分步骤S20,移动介质的存储芯片被划分为作为模拟⑶-ROM的映像区域的第一区域和作为存储区域的第二区域。为了实现该发明,本发明重新配置了主控芯片中的固件程序和存储芯片的格式。在主控芯片固件中配置虚拟光驱接口,使操作系统可以将移动介质识别为光驱设备。固件提供两个虚拟接口,一个是虚拟光驱接口,一个是数据交互接口,数据交互接口不直接面对系统的磁盘管理,必须通过光驱中的程序加载后使用。通过修改主控芯片固件中设备描述符字段,使存储芯片的实际存储地址的起始位置向后移动一段空间。图3示出了本发明的移动介质的存储芯片被划分为两个区域的示意图。如图3所示,存储芯片被划分为作为模拟CD-ROM的映像区域的2. I区域和作为存储区域的2. 2区域。在2. I区域中使用⑶-ROM IS09660文件系统格式格式化该区域,将该区域模拟生成映像文件,该映像文件模拟真实的CD-ROM的文件和目录结构。2. 2区域为修改后的实际的存储空间。如图3所示,I是存储有固件的控制芯片,其中通过固件程序形成有两个逻辑接口 光驱设备逻辑接口和数据交互接口。当移动介质插入计算机,与主机连接时,将移动介质识别为光驱设备,此时移动介质只使用2. I区域,作为存储区域的2. 2区域被屏蔽。图4示出了移动介质的识别过程的流程图,如图4所示,包括以下步骤
S410 :移动介质与计算机主机连接;S420 :主机的操作系统加载标准驱动程序,用于识别设备和主控器;S430 :主控芯片的固件截获驱动程序指令,启动光驱设备逻辑接口,此时,屏蔽作为存储区域的2. 2区域;S440 :挂载2. I区域的文件系统,操作系统将设备识别为光驱。虚拟光驱中存储有控制程序,电脑主机将移动介质识别为光驱后,当用户想启用
2.2区域时,必须运行该控制程序,由该控制程序去激活固件区的实际数据交互接口,系统加载2. 2区域的驱动,此时移动存储介质被暴露为多接口模式时,电脑主机会认为此时的移动存储介质是复合设备,即、具有虚拟光驱和磁盘设备的复合设备。启用2.2区域后,对2. 2区域的使用方式有两种模式常规模式和透明加解密模式。图5示出了启用存储区域(2. 2区域)的示意图。如图5所示,包括以下步骤S510 :用户运行虚拟光驱中的控制程序;S520 :控制程序判断用户的操作指令,是否驱动存储区域;S530 :当操作指令指示不启动存储区域时,操作结束;S540 :当操作指令指示启动存储区域时,判断启动模式;S550 :当启动模式是常规模式时,操作系统直接管理存储区域,识别存储区域为移动存储介质,不改变数据的读写方式;S560 :主控芯片的固件不再截获驱动程序指令,直接将设备描述标志(包括存储区域的起始地址)告知驱动程序,常规使用存储区域;S570:当启动模式是透明加解密模式时,主控芯片的固件继续截获驱动程序指令,并启动数据交互接口;S580 :启动存储区域,操作系统对存储区域的操作必须经过控制程序处理判断。其中,透明加解密模式也可以应用于计算机本身自带的磁盘,实现计算机本身磁
盘的安全管理。利用操作系统本身的磁盘管理接口,将存储区域的实际物理空间模拟成操作系统磁盘管理接口可以识别的逻辑盘,并有磁盘管理接口为该逻辑盘分配盘符。图6示出了透明加解密模式下逻辑盘的实现流程。如图6所示,包括以下步骤S610 :控制程序创建逻辑盘,控制程序在第二区域实现大小任意调节的多个逻辑盘,创建的时候控制程序会在B区域的实际物理空间中创建一个文件(下文将该文件简称为控制文件),控制文件记录了 B区域中实际物理空间信息(包括B区域物理容量、多少簇,每簇扇区数、每扇区字节数、起始地址,链表信息等),以及模拟盘的信息(包括逻辑盘的空间大小,多少簇,每簇扇区数、每扇区字节数、逻辑盘在B区域中的起始地址,结束地址,链表信息等)。操作系统的磁盘管理接口通过控制程序调用控制文件,向操作系统提供逻辑盘,分配盘符。S620 当操作系统对逻辑盘进行访问的时候,控制程序自动将逻辑地址翻译为物理地址,即、将操作系统对逻辑盘的访问地址自动转换为物理地址,并将信息提交给标准驱 动程序。S630 :控制程序自动对读写的数据透明加解密。其中,该控制文件为加密文件,控制程序自动对进出的数据透明加解密,操作系统无法直接对这个文件进行访问,必须透过控制程序,控制程序会自动截获系统对逻辑盘的操作指令并判断。此外,系统对逻辑盘写入的数据经过控制程序自动加密后写入该文件。图7示出了数据交互的示意流程图,如图7所示,包括以下步骤S710 :系统访问逻辑盘;S720 :控制程序截获访问指令;S730:判断用户权限;S740 :提示权限限制,并循环判断;S750 :判断是读还是与?S760 当指示读取的时候,进行地址翻译;S770 :控制程序透明解密读取数据;S780 :当是写指令时,进行地址翻译;S790 :控制程序透明加密,在实际物理空间进行写操作。根据本发明的移动介质数据防泄密方法及移动介质,将移动介质划分为多个区域,移动介质接入计算机时,只是将介质识别为光驱设备,屏蔽实际存储空间,避免病毒传播。主控芯片中的固件包含两个虚拟接口,其中数据交互接口用来启用存储空间,控制程序可以通过在磁盘中创建的文件截获操作系统对磁盘的访问动作,将虚拟磁盘的数据读写地址翻译成实际介质中的空间地址,系统访问虚拟空间和实际的空间一样,中间的环节对用户是透明的,控制程序无法脱离移动介质直接运行,移动介质不仅充当存储空间,而且可以充当key,其中key密钥可以保存在本地,也可以备份到其他介质,控制程序不仅可以在移动介质上制作模拟磁盘,而且可以在硬盘上创建模拟磁盘,其中模拟磁盘的空间的大小由用户定制,空间是加密的,即使移动介质丢失不会造成数据的泄密。如上所述,对本发明的实施例进行了详细地说明,但是只要实质上没有脱离本发明的发明点及效果可以有很多的变形,这对本领域的技术人员来说是显而易见的。因此,这样的变形例也全部包含在本发明的保护范围之内。
权利要求
1.一种移动介质数据防泄密方法,包括以下步骤 固件程序配置步骤,配置所述移动介质的主控芯片的固件程序,以使通过所述固件程序在所述主控芯片中形成有虚拟光驱接口和数据交互接口,所述虚拟光驱接口使所述移动介质当与主机连接时被所述主机的操作系统识别为光驱设备,所述数据交互接口通过虚拟光驱中所存储的控制程序加载后使用;以及 存储芯片划分步骤,所述移动介质的存储芯片被划分为作为模拟CD-ROM的映像区域的第一区域和作为存储区域的第二区域。
2.根据权利要求I所述的移动介质数据防泄密方法,其中, 在所述存储芯片划分步骤中,通过修改所述主控芯片所存储的所述固件程序中的设备描述符字段,使所述存储芯片的实际存储地址向后移动一段空间。
3.根据权利要求2所述的移动介质数据防泄密方法,其中, 在所述存储芯片划分步骤中,所述第一区域使用CD-R0MIS09660文件系统格式格式化,使所述第一区域模拟生成映像文件,所述映像文件模拟真实的CD-ROM的文件和目录结构。
4.根据权利要求3所述的移动介质数据防泄密方法,其中, 当所述移动介质与所述主机连接时,只使用所述存储芯片的所述第一区域,所述存储芯片的所述第二区域被屏蔽。
5.根据权利要求3所述的移动介质数据防泄密方法,其中, 当所述移动介质与所述主机连接、所述移动介质被识别为光驱后,在通过运行所述虚拟光驱中所存储的控制程序激活所述主控芯片的数据交互接口、所述主机的操作系统加载所述第二区域的驱动,所述移动介质被暴露为多接口模式时,所述移动介质被识别为具有所述虚拟光驱和磁盘设备的复合设备。
6.根据权利要求5所述的移动介质数据防泄密方法,其中, 所述第二区域的启用模式包括常规模式和透明加解密模式。
7.根据权利要求6所述的移动介质数据防泄密方法,其中, 当所述移动介质被识别为所述复合设备后,当判断为是通过所述常规模式启用所述第二区域时,所述主机的操作系统直接管理所述第二区域,不改变所述第二区域的数据的读写方式,所述主控芯片的固件程序不再截获驱动程序指令,直接将包括所述第二区域的起始地址在内的设备描述各种标志告知驱动程序,常规使用所述第二区域。
8.根据权利要求6所述的移动介质数据防泄密方法,其中, 当所述移动介质被识别为所述复合设备后,当判断为是通过所述透明加解密模式启用所述第二区域时,所述主控芯片的固件程序继续截获驱动程序指令,并启动数据交互接口。
9.根据权利要求8所述的移动介质数据防泄密方法,其中, 利用所述主机的所述操作系统本身的磁盘管理接口,将所述第二区域的实际物理空间模拟成所述操作系统的磁盘管理接口能够识别的逻辑盘,并有磁盘管理接口为该逻辑盘分配盘符。
10.根据权利要求9所述的移动介质数据防泄密方法,其中,逻辑盘的实现包括以下步骤 所述控制程序在所述第二区域实现大小任意调节的多个逻辑盘,所述控制程序会在所述第二区域的实际物理空间中创建作为加密文件的控制文件,所述控制文件记录有所述第二区域中实际物理空间信息、以及逻辑盘信息,所述操作系统的所述磁盘管理接口通过所述控制程序调用所述控制文件,向所述操作系统提供所述逻辑盘、分配盘符; 当所述操作系统对所述逻辑盘进行访问的时候,所述控制程序自动将逻辑地址翻译为物理地址,即、将所述操作系统对所述逻辑盘的访问地址自动转换为物理地址,并提交给标准驱动程序;以及 所述控制程序自动对读写的数据透明加解密。
11.根据权利要求10所述的移动介质数据防泄密方法,其中, 当所述操作系统对所述逻辑盘进行访问的时候,首先所述控制程序截获访问指令,并判断用户权限,根据用户权限进行读或写的操作。
12.—种移动介质,包括主控芯片、存储芯片、晶振、与主机连接的接口,其中, 在所述主控芯片中通过所存储的固件程序形成有虚拟光驱接口和数据交互接口,使所述移动介质当与主机连接时被所述主机的操作系统识别为光驱设备,所述数据交互接口通过虚拟光驱中所存储的控制程序加载后使用; 所述移动介质的存储芯片被划分为作为模拟CD-ROM的映像区域的第一区域和作为存储区域的第二区域。
13.根据权利要求12所述的移动介质,其中, 所述第一区域使用CD-ROM IS09660文件系统格式格式化,使所述第一区域模拟生成映像文件,所述映像文件模拟真实的CD-ROM的文件和目录结构。
全文摘要
本发明公开了一种移动介质数据防泄密方法及移动介质,该移动介质数据防泄密方法包括固件程序配置步骤,配置所述移动介质的主控芯片的固件程序,以使通过所述固件程序在所述主控芯片中形成有虚拟光驱接口和数据交互接口,所述虚拟光驱接口使所述移动介质当与主机连接时被所述主机的操作系统识别为光驱设备,所述数据交互接口通过虚拟光驱中所存储的控制程序加载后使用;以及存储芯片划分步骤,所述移动介质的存储芯片被划分为作为模拟CD-ROM的映像区域的第一区域和作为存储区域的第二区域。
文档编号G06F12/14GK102646076SQ201210063459
公开日2012年8月22日 申请日期2012年3月12日 优先权日2012年2月21日
发明者杨泉清, 许林锋 申请人:福建伊时代信息科技股份有限公司