专利名称:基于虚拟磁盘的数据加密移动存储管理方法
技术领域:
本发明涉及Linux操作系统下移动存储设备的数据存储及管理方法,具体涉及一种对普通U盘创建虚拟磁盘加密卷实现数据的自动加解密的基于虚拟磁盘的数据加密移动存储管理方法。
背景技术:
随着信息化的不断发展和深入,计算机已经全面进入了人们的生活和工作中,而U盘(U-disk),作为一种即插即用的USB设备,以其小巧携带方便、存储容量大、性能可靠、传输速度快等优点成为日常生活中必不可少的移动存储设备。但由U盘所引发的数据泄漏等安全问题也日益严重,成为很多企业和个人信息安全防护的重点。为了解决这个问题,加密U盘应运而生。目前加密U盘主要包含三类实现方式一是简单的密码认证,实际的存储内容并没有经过加密处理;二是硬件加密,通过U盘内部的控制芯片实现实时加密,该类加密U盘需要专门的硬件加解密芯片,硬件成本高;三是软件加密,即通过内置或附带加密软件对数据进行加密,该类加密U盘是目前市面上的主流产品。软件加密U盘刚问世的时候还只是用于国家涉密单位或部门,随着数据泄露问题的加剧和越来越多的用户对个人敏感信息或公司保密信息的安全性的重视,软件加密U盘在民用企事业单位以及个人用户方面也得到广泛应用。软件加密U盘的使用,在一定程度上解决了用户对于个人隐私的担心,大大减少了泄密的可能性,满足了不同单位和个人对于数据安全的需求。但是,现有技术的软件加密U盘存在以下几个问题1、容易被病毒攻击,窃取资料
Windows操作系统下病毒肆虐,很多资料的泄漏就是受到病毒的感染。操作系统把U盘作为一个标准的磁盘来管理,对操作系统来说,U盘除了热插拔之外,和硬盘没什么分别,从而导致U盘容易感染病毒。2、密码容易被破解,导致U盘数据容易泄密
随着U盘的使用范围不断扩大,市面上出现的破解密码软件也日益增多,U盘的丢失、报废、维修和遭窃等情况的发生很容易被他人借助破解软件获取密码,读取U盘中的加密信息,造成数据的泄漏。3、没有单位权限管理,容易造成内部泄密
目前由于内部人员行为所导致的泄密事故占总泄密事故的70%以上,内部泄密成为了目前人们关注的焦点。虽然可以通过管理制定的规范、访问控制的约束和审计手段等防护措施可以很大程度上降低内部泄密风险,但是,U盘的便携性本身就为信息的外带种下了缺陷。该类U盘由于没有单位间的权限设置,所以一旦离开本单位内部环境,就极有可能发生泄密。4、应用层的透明加解密,不方便于软件版本的升级开发
基于应用层的透明加解密通过监控应用程序的启动而启动,但由于版本的升级开发可能会导致应用程序的改名和不同应用程序在读写文件时所用的方法不同,以及应用程序中反钩子技术的应用都有可能造成透明加解密的失效。而且,该类透明加解密技术在遇到大文件时,速度较慢。综上所述,现有技术的软件加密U盘容易被病毒攻击,密码容易被破解,没有单位权限管理,容易造成内部泄密,基于应用层的透明加解密与应用程序的关联太紧密,不便于软件版本的升级开发,限制了软件加密U盘的推广和应用。
发明内容
本发明要解决的技术问题是提供一种存储信息安全可靠、安全策略配置灵活、移动存储设备管理简单方便、数据加解密处理透明高效的基于虚拟磁盘的数据加密移动存储管理方法。为了解决上述技术问题,本发明采用的技术方案为
一种基于虚拟磁盘的数据加密移动存储管理方法,实施步骤如下
1)在普通移动存储设备的头部写入加密卷标识并创建虚拟磁盘加密卷得到加密移动存储设备,将所述虚拟磁盘加密卷的头部设置根据用户输入的挂载口令进行加密的虚拟磁盘加密卷信息头,所述虚拟磁盘加密卷信息头包含数据加解密密钥、管理策略信息和虚拟磁盘文件系统信息;
2)当移动存储设备插入指定的计算机时,检查移动存储设备的加密卷标识是否正确,如果加密卷标识不正确则判定插入普通移动存储设备;否则判定插入加密移动存储设备并跳转执行下一步;
3)获取用户输入的挂载口令,根据所述挂载口令解密加密移动存储设备中的虚拟磁盘加密卷信息头,并对解密后的虚拟磁盘加密卷信息头进行校验,如果校验通过则跳转执行下一步,否则返回执行步骤3)或者禁止挂载虚拟磁盘加密卷并退出;
4)挂载虚拟磁盘加密卷,根据解密虚拟磁盘加密卷信息头得到的数据加解密密钥配置主次密钥,调用所述指定的计算机中带有加解密模块的虚拟磁盘驱动程序根据用户的指令对虚拟磁盘加密卷进行读写,所述加解密模块使用主次密钥对读写虚拟磁盘加密卷的内容进行自动实时加解密,最终在卸载加密移动存储设备时自动卸载所述虚拟磁盘加密卷。作为本发明上述技术方案的进一步改进
所述虚拟磁盘加密卷信息头还包含完整性校验值,所述管理策略信息中包括用于标识区别虚拟磁盘加密卷的标识位;所述步骤3)对解密后的虚拟磁盘加密卷信息头进行校验的详细步骤如下
3.1)检测解密虚拟磁盘加密卷信息头后的标识位是否为指定的字符串,如果标识位为指定的字符串,则判定用户输入的挂载口令正确并跳转执行步骤3. 2);否则判定用户输入的挂载口令错误,记录口令错误的次数,当所述口令错误的次数小于预设值时返回执行步骤3),当所述口令错误的次数大于或等于预设值时禁止挂载虚拟磁盘加密卷并退出;
3.2)根据解密虚拟磁盘加密卷信息头得到的管理策略信息、虚拟磁盘文件系统信息、数据加解密密钥计算完整性校验值,将计算得到的完整性校验值和解密虚拟磁盘加密卷信息头得到的完整性校验值进行对比,如果两者相同则判定完整性校验通过并跳转执行步骤
4);否则判定完整性校验不通过,禁止挂载虚拟磁盘加密卷并退出。所述管理策略信息还包含加密移动存储设备的设备编号和单位部门;步骤4)中挂载虚拟磁盘加密卷时还包括检查加密移动存储设备可用性的步骤,所述检查加密移动存储设备可用性的步骤如下
4.1)获取所述指定的计算机对应的单位部门,获取解密虚拟磁盘加密卷信息头得到的加密移动存储设备的单位部门,比较所述指定的计算机对应的单位部门和加密移动存储设备的单位部门是否相同,如果不相同则判定所述加密移动存储设备为外来单位部门的加密移动存储设备,跳转执行步骤4. 2);否则判定所述加密移动存储设备为所述指定的计算机本单位部门的加密移动存储设备,跳转执行步骤4. 3);
4.2)根据所述指定的计算机对应的单位部门、加密移动存储设备的设备编号和单位部门从所述指定的计算机中读取加密移动存储设备访问控制权限,所述加密移动存储设备访问控制权限包含所述指定的计算机对应的单位部门是否允许所述加密移动存储设备访问、所述加密移动存储设备的单位部门是否允许所述加密移动存储设备访问所述指定的计算机;如果所述加密移动存储设备访问控制权限均为允许访问,则跳转执行步骤4. 3);否则禁止挂载虚拟磁盘加密卷;
4.3)获取解密虚拟磁盘加密卷信息头得到的加密移动存储设备的设备编号,从所述指定的计算机中读取所述加密移动存储设备对应的设备编号是否被锁定的控制规则,如果所述加密移动存储设备对应的设备编号被锁定,则禁止挂载虚拟磁盘加密卷,否则挂载虚拟磁盘加密卷。所述步骤I)写入加密卷标识以及创建虚拟磁盘加密卷时,所述字符串标识存储在加密移动存储设备的前16字节空间内;所述虚拟磁盘加密卷信息头写入虚拟磁盘加密卷头部的前1008字节空间内,其中第O 511个共512个字节空间存放管理策略信息,所述管理策略信息包含单位部门、设备编号和标记位,且所述管理策略信息以字符串列表的形式存储 ’第512 639个共128个字节空间存放虚拟磁盘文件系统信息;第640 703个共64个字节空间存放用于结合用户输入的挂载口令创建数据加解密密钥的随机数盐值;第704 831个共128个字节空间存放数据加解密密钥;第832 835个共4个字节空间存放完整性校验值;第836 1007个共188个字节空间为保留区。所述步骤2)中在插入普通移动存储设备后禁止挂载普通移动存储设备;或者在插入普通移动存储设备后引导用户指定初始化移动存储设备的文件系统类型,并在用户指定文件系统类型后跳转执行步骤I)进行初始化移动存储设备。所述文件系统类型为Ext2文件系统或者Ext3文件系统。所述虚拟磁盘驱动程序的加解密模块中内置的加解密算法包括AES、Serpent、Twofish三种基本算法及其组合算法。所述步骤4)还包括审计加密移动存储设备操作的步骤,所述审计加密移动存储设备操作的步骤具体是指将指定的计算机中加密移动存储设备的挂载、卸载和对加密移动存储设备中虚拟磁盘加密卷中文件、文件夹的读写执行操作都记录在本地日志中,所述日志以密文形式记录,所述日志的内容包括时间、操作时间、用户名、日志级别、日志路径,且所述指定的计算机在接入所辖网络时将所述日志同步传送到所辖网络的日志服务器上。本发明具有下述优点1、本发明综合运用身份认证和数据加密等安全机制,解决了单独在主机端或设备端采取安全措施存在的安全隐患问题,更好地保护了存储信息的安全,具有存储信息安全可靠、移动存储设备管理简单方便、数据加解密处理透明高效的优点。2、本发明能够对创建的加密移动存储设备进行密码修改、移动存储设备属性修改、设置批准加密移动存储设备外带和允许外部加密移动存储设备使用,相关信息的修改都会重新写入加密移动存储设备的设备信息头并能够保存在计算机上或者同步到计算机所辖网络中的数据库中,具有安全策略配置灵活、管理快捷、使用简单方便的优点。3、本发明在移动存储设备认证挂载成功后,对其所有的读写操作都是对虚拟磁盘的操作,进行读写时调用指定的计算机中带有加解密模块的虚拟磁盘驱动程序根据用户的指令对虚拟磁盘加密卷进行读写,加解密模块使用主次密钥对读写虚拟磁盘加密卷的内容进行自动实时加解密,数据在内核层自动被实时透明的加解密,稳定性好、速度快,能够防止用户由于应用层的加解密而出现的卡顿或者等待;而卸载移动存储设备后,里面的内容又将会变得完全不可访问,具有安全可靠性高的优点。4、本发明虚拟磁盘加密卷信息头进一步包含管理策略信息和完整性校验值,管理策略信息中包括用于标识区别虚拟磁盘加密卷的标识位,对解密后的虚拟磁盘加密卷信息头进行校验使用标识位和完整性校验值对虚拟磁盘加密卷信息头进行双重校验,能够识别出挂载口令错误,用户体验更好;而且还能对虚拟磁盘加密卷信息头进行完整性校验,能够检测出读取虚拟磁盘加密卷信息头的异常错误,具有安全性高、用户体验好的优点。5、本发明虚拟磁盘加密卷信息头中的管理策略信息进一步包含移动存储设备的设备编号和单位部门,移动存储设备初始化后只有在指定的计算机上才能识别成功,挂载虚拟磁盘加密卷时还包括检查移动存储设备可用性,通过认证挂载后可以像使用一个普通分区那样使用加密的虚拟磁盘加密卷,通过虚拟磁盘加密卷信息头中的设备编号和单位部门结合指定计算机上的控制策略,能够实现例如对于不同的单位有不同移动存储设备的配置策略,能够有效的防止移动存储设备在不同单位、不同机器和系统上的使用,最大程度的消除了管理空白区,为信息的保护提供的最大的保障。
图1为本发明实施例的方法流程示意图。图2为本发明实施例中创建的加密U盘的结构示意图。图3为本发明实施例中指定的计算机用于处理加密U盘的相关模块的框架结构示意图。图4为本发明实施例中指定的计算机对插入U盘的处理流程示意图。
具体实施例方式下文以U盘作为移动存储设备为例,对本发明技术方案的具体实施方式
进行说明。如图1所示,本实施例基于虚拟磁盘的数据加密移动存储管理方法的实施步骤如下
I)在普通U盘的头部写入加密卷标识并创建虚拟磁盘加密卷得到加密U盘,将虚拟磁盘加密卷的头部设置根据用户输入的挂载口令进行加密的虚拟磁盘加密卷信息头,虚拟磁盘加密卷信息头包含数据加解密密钥、管理策略信息和虚拟磁盘文件系统信息;2)当U盘插入指定的计算机时,检查U盘的加密卷标识是否正确,如果加密卷标识不正确则判定插入普通U盘;否则判定插入加密U盘并跳转执行下一步;
3)获取用户输入的挂载口令,根据挂载口令解密加密U盘中的虚拟磁盘加密卷信息头,并对解密后的虚拟磁盘加密卷信息头进行校验,如果校验通过则跳转执行下一步,否则返回执行步骤3)或者禁止挂载虚拟磁盘加密卷并退出;
4)挂载虚拟磁盘加密卷,根据解密虚拟磁盘加密卷信息头得到的数据加解密密钥配置主次密钥,调用指定的计算机中带有加解密模块的虚拟磁盘驱动程序根据用户的指令对虚拟磁盘加密卷进行读写,加解密模块使用主次密钥对读写虚拟磁盘加密卷的内容进行自动实时加解密,最终在卸载加密U盘时自动卸载虚拟磁盘加密卷。本实施例在初始化U盘时在U盘的头部写入加密卷标识,写入加密卷标识的加密U盘在非指定的计算机而言是无法读取的,从而能够实现对加密U盘的安全绑定,使其只能适用于指定的计算机中,从而能够简单有效地实现对加密U盘数据的保密;本实施例创建的虚拟磁盘加密卷被挂载后被当作系统中一个普通的文件,虚拟磁盘驱动程序将原来I/o请求包IRP (I/o Request Package)对实际磁盘的操作转化为对文件的操作,这个文件称为卷文件,最终被虚拟成一个虚拟磁盘加密卷,综合运用身份认证和数据加密等安全机制,解决了单独在主机端或设备端采取安全措施存在的安全隐患问题,更好地保护了存储信息的安全,具有存储信息安全可靠、安全策略配置灵活、U盘管理简单方便、数据加解密处理透明闻效的优点。步骤I)写入加密卷标识以及创建虚拟磁盘加密卷时,字符串标识存储在加密U盘的前16字节空间内;虚拟磁盘加密卷信息头写入虚拟磁盘加密卷头部的前1008字节空间内。如表I所示其中第O 511个共512个字节空间存放管理策略信息,管理策略信息包含单位部门、设备编号和标记位,本实施例中管理策略信息还包括用户名、注册时间等以便于对加密U盘的管理和控制,且管理策略信息以字符串列表的形式存储;第512 639个共128个字节空间存放虚拟磁盘文件系统信息;第640 703个共64个字节空间存放用于结合用户输入的挂载口令创建数 据加解密密钥的随机数盐值;第704 831个共128个字节空间存放数据加解密密钥;第832 835个共4个字节空间存放完整性校验值;第836 1007个共188个字节空间为保留区。表1:虚拟磁盘加密卷信息头的字节空间分布表。
权利要求
1.一种基于虚拟磁盘的数据加密移动存储管理方法,其特征在于实施步骤如下 1)在普通移动存储设备的头部写入加密卷标识并创建虚拟磁盘加密卷得到加密移动存储设备,将所述虚拟磁盘加密卷的头部设置根据用户输入的挂载口令进行加密的虚拟磁盘加密卷信息头,所述虚拟磁盘加密卷信息头包含数据加解密密钥、管理策略信息和虚拟磁盘文件系统信息; 2)当移动存储设备插入指定的计算机时,检查移动存储设备的加密卷标识是否正确,如果加密卷标识不正确则判定插入普通移动存储设备;否则判定插入加密移动存储设备并跳转执行下一步; 3)获取用户输入的挂载口令,根据所述挂载口令解密加密移动存储设备中的虚拟磁盘加密卷信息头,并对解密后的虚拟磁盘加密卷信息头进行校验,如果校验通过则跳转执行下一步,否则返回执行步骤3)或者禁止挂载虚拟磁盘加密卷并退出; 4)挂载虚拟磁盘加密卷,根据解密虚拟磁盘加密卷信息头得到的数据加解密密钥配置主次密钥,调用所述指定的计算机中带有加解密模块的虚拟磁盘驱动程序根据用户的指令对虚拟磁盘加密卷进行读写,所述加解密模块使用主次密钥对读写虚拟磁盘加密卷的内容进行自动实时加解密,最终在卸载加密移动存储设备时自动卸载所述虚拟磁盘加密卷。
2.根据权利要求1所述的基于虚拟磁盘的数据加密移动存储管理方法,其特征在于,所述虚拟磁盘加密卷信息头还包含完整性校验值,所述管理策略信息中包括用于标识区别虚拟磁盘加密卷的标识位;所述步骤3)对解密后的虚拟磁盘加密卷信息头进行校验的详细步骤如下 3.1)检测解密虚拟磁盘加密卷信息头后的标识位是否为指定的字符串,如果标识位为指定的字符串,则判定用户输入的挂载口令正确并跳转执行步骤3. 2);否则判定用户输入的挂载口令错误,记录口令错误的次数,当所述口令错误的次数小于预设值时返回执行步骤3),当所述口令错误的次数大于或等于预设值时禁止挂载虚拟磁盘加密卷并退出; 3.2)根据解密虚拟磁盘加密卷信息头得到的管理策略信息、虚拟磁盘文件系统信息、数据加解密密钥计算完整性校验值,将计算得到的完整性校验值和解密虚拟磁盘加密卷信息头得到的完整性校验值进行对比,如果两者相同则判定完整性校验通过并跳转执行步骤4);否则判定完整性校验不通过,禁止挂载虚拟磁盘加密卷并退出。
3.根据权利要求2所述的基于虚拟磁盘的数据加密移动存储管理方法,其特征在于,所述管理策略信息还包含加密移动存储设备的设备编号和单位部门;步骤4)中挂载虚拟磁盘加密卷时还包括检查加密移动存储设备可用性的步骤,所述检查加密移动存储设备可用性的步骤如下 ` 4.1)获取所述指定的计算机对应的单位部门,获取解密虚拟磁盘加密卷信息头得到的加密移动存储设备的单位部门,比较所述指定的计算机对应的单位部门和加密移动存储设备的单位部门是否相同,如果不相同则判定所述加密移动存储设备为外来单位部门的加密移动存储设备,跳转执行步骤4. 2);否则判定所述加密移动存储设备为所述指定的计算机本单位部门的加密移动存储设备,跳转执行步骤4. 3); `4.2)根据所述指定的计算机对应的单位部门、加密移动存储设备的设备编号和单位部门从所述指定的计算机中读取加密移动存储设备访问控制权限,所述加密移动存储设备访问控制权限包含所述指定的计算机对应的单位部门是否允许所述加密移动存储设备访问、所述加密移动存储设备的单位部门是否允许所述加密移动存储设备访问所述指定的计算机;如果所述加密移动存储设备访问控制权限均为允许访问,则跳转执行步骤4. 3);否则禁止挂载虚拟磁盘加密卷; [ 4. 3)获取解密虚拟磁盘加密卷信息头得到的加密移动存储设备的设备编号,从所述指定的计算机中读取所述加密移动存储设备对应的设备编号是否被锁定的控制规则,如果所述加密移动存储设备对应的设备编号被锁定,则禁止挂载虚拟磁盘加密卷,否则挂载虚拟磁盘加密卷。
4.根据权利要求3所述的基于虚拟磁盘的数据加密移动存储管理方法,其特征在于所述步骤I)写入加密卷标识以及创建虚拟磁盘加密卷时,所述字符串标识存储在加密移动存储设备的前16字节空间内;所述虚拟磁盘加密卷信息头写入虚拟磁盘加密卷头部的前1008字节空间内,其中第O 511个共512个字节空间存放管理策略信息,所述管理策略信息包含单位部门、设备编号和标记位,且所述管理策略信息以字符串列表的形式存储;第512 639个共128个字节空间存放虚拟磁盘文件系统信息;第640 703个共64个字节空间存放用于结合用户输入的挂载口令创建数据加解密密钥的随机数盐值;第704 831个共128个字节空间存放数据加解密密钥;第832 835个共4个字节空间存放完整性校验值;第836 1007个共188个字节空间为保留区。
5.根据权利要求1 4中任意一项所述的基于虚拟磁盘的数据加密移动存储管理方法,其特征在于所述步骤2)中在插入普通移动存储设备后禁止挂载普通移动存储设备;或者在插入普通移动存储设备后引导用户指定初始化移动存储设备的文件系统类型,并在用户指定文件系统类型后跳转执行步骤I)进行初始化移动存储设备。
6.根据权利要求5所述的基于虚拟磁盘的数据加密移动存储管理方法,其特征在于所述文件系统类型为Ext2文件系统或者Ext3文件系统。
7.根据权利要求6所述的基于虚拟磁盘的数据加密移动存储管理方法,其特征在于所述虚拟磁盘驱动程序的加解密模块中内置的加解密算法包括AES、Serpent、Twofish三种基本算法及其组合算法。
8.根据权利要求1 4中任意一项所述的基于虚拟磁盘的数据加密移动存储管理方法,其特征在于所述步骤4)还包括审计加密移动存储设备操作的步骤,所述审计加密移动存储设备操作的步骤具体是指将指定的计算机中加密移动存储设备的挂载、卸载和对加密移动存储设备中虚拟磁盘加密卷中文件、文件夹的读写执行操作都记录在本地日志中,所述日志以密文形式记录,所述日志的内容包括时间、操作时间、用户名、日志级别、日志路径,且所述指定的计算机在接入所辖网络时将所述日志同步传送到所辖网络的日志服务器上。
全文摘要
本发明公开了一种基于虚拟磁盘的数据加密移动存储管理方法,实施步骤如下1)在移动存储设备的头部写入加密卷标识,在移动存储设备中创建虚拟磁盘加密卷;2)当移动存储设备插入指定的计算机时检查加密卷标识,如果加密卷标识不正确则按普通移动存储设备处理,否则跳转执行下一步;3)根据挂载口令校验虚拟磁盘加密卷信息头,校验通过则执行下一步;4)挂载虚拟磁盘加密卷,调用带有加解密模块的虚拟磁盘驱动程序对虚拟磁盘加密卷进行读写,加解密模块自动实时加解密;最终在卸载移动存储设备时自动卸载所述虚拟磁盘加密卷。本发明具有存储信息安全可靠、安全策略配置灵活、移动存储设备管理简单方便、数据加解密处理透明高效的优点。
文档编号G06F9/455GK103065102SQ201210573220
公开日2013年4月24日 申请日期2012年12月26日 优先权日2012年12月26日
发明者马俊, 余杰, 唐晓东, 易晓东, 张卫华, 孔金珠, 戴华东, 吴庆波, 彭欢 申请人:中国人民解放军国防科学技术大学