专利名称:一种逻辑磁盘认证方法
技术领域:
本发明涉及一种逻辑磁盘认证方法。
背景技术:
计算机的所有数据都是存储在物理存储设备中,那么,对于一个具有保密性要求的单位来说,如何对计算机的存储设备进行控制是非常重要的。尤其在移动存储设备使用越来越广泛的情况下,如何防止计算机内的数据被轻易复制和盗取是一个非常受关注的问题。
目前来说,控制计算机存储设备的方法分为两种,一种是简单的在物理端口控制,而另外一种则是在驱动层进行控制。物理控制是指通过物理手段对存储设备的使用进行控制,比如卸掉计算机的软驱和可刻录光驱、封闭USB端口等等,这种方法的缺点显而易见,它的可操作性和可管理性都具有很大的局限性。驱动层进行控制是指通过驱动程序拦截技术,对指定的设备进行控制和授权,相比于第一种方法,该方法具有可控制性强、灵活性好等特点。但是,基于驱动的控制技术需要对每一个厂家的每一种设备进行追踪开发,这在实际应用种几乎是不可能的。所以,如何对存储设备进行有效的控制是本申请专利要解决的重点问题。
发明内容
本发明的目的在于改进现有技术之缺点,提供实现对所有存储设备在计算机中的使用进行有效控制的一种逻辑磁盘认证方法。所谓有效控制,是指可以决定是否可以使用该存储设备以及以何种方式使用该存储设备(只读、可写或者特殊的读写方式等)。
为实现上述目的,本发明采取以下设计方案因为大部分的计算机存储设备在计算机系统中的使用最终都映射成为一个或者多个基于同一个硬件存储设备的逻辑磁盘,而这些逻辑磁盘在形成后,其很多特征是固定不变的,比如硬盘序列号、逻辑磁盘在硬盘中起止的扇区、逻辑磁盘本身的大小和文件系统格式等。所以,根据这些特征的组合,可以唯一确定一个逻辑磁盘,对其进行认证,生成一个附加了属性信息的文件来表示其身份。并可以根据属性内容来确定该磁盘的读写控制动作。
在使用的时候,为了实现本申请专利的发明目的,首先在计算机系统中对磁盘的读写操作都进行拦截和过滤,根据本申请专利的逻辑磁盘认证方法确认针对该具体磁盘的读写操作是否可以执行,并且根据认证文件的属性确认执行的具体方式。
对一个逻辑磁盘认证的过程包括两个方面逻辑磁盘认证和逻辑磁盘确认。逻辑磁盘认证是指对一个没有经过认证的逻辑磁盘根据认证规则进行操作,授予其合法的设备身份和相应权限。逻辑磁盘确认是指在使用中,对一个逻辑磁盘进行身份确认的操作,以确认其是否是经过认证的合法逻辑磁盘,并决定其使用权限。
采取的技术手段逻辑磁盘认证和逻辑磁盘确认是两个不同的过程,但是它们具有很多相似的地方,下面分别对其步骤进行描述。
逻辑磁盘认证步骤1)读取被认证的逻辑磁盘物理特征和参数;2)确定逻辑磁盘的读写策略和数据共享策略(如果使用了安全读写策略);3)生成一个随机数;时间戳标记;4)将1)、3)的所有数据按顺序排列进行,并使用MD5(messagedigest5)或者其它信息摘要算法计算出一个定长的特征认证码;5)将4)计算机出的特征认证码、2)步骤的数据和随机数一起,使用MD5或者其它信息摘要算法计算出一个完整性验证码MAC;使用数字签名算法对MAC进行数字签名,确保数据完整性。
6)将特征认证码、随机数、读写策略、共享策略、时间戳和完整性验证码一起,保存在文件中,形成一个逻辑磁盘的认证文件。即完成逻辑磁盘认证的授权。
逻辑磁盘确认步骤1)检查逻辑磁盘是否具有认证文件;2)重新根据逻辑磁盘认证文件的特征认证码、随机数、读写策略、共享策略和时间戳,计算完整性验证码MAC,并使用数字签名算法进行核对,确保该认证文件是合法的认证文件。
3)读取被认证的逻辑磁盘物理特征和参数;4)将3)获得的参数、认证文件中逻辑磁盘的读写策略、数据共享策略和随机数一起,重新计算特征认证码;5)将4)计算得到的特征认证码和认证文件中的特征认证码做比较,如果一致,则通过认证。
磁盘读写策略磁盘读写策略是在逻辑磁盘认证的时候授权的,用来控制对逻辑磁盘的读写数据方式。在本申请专利中,规定了7种磁盘读写策略,下面分别进行介绍1、禁止使用策略该策略指明该逻辑磁盘禁止在系统中使用。
2、只读策略该策略指明该逻辑磁盘在系统中可以使用,但是只能从磁盘中读出数据,而不能写入数据到磁盘中。
3、安全读写策略该策略指明该逻辑磁盘在系统中可以使用,具有读写的权限。但是,写入到该磁盘的信息都是经过加密的,而读出的数据则是一个解密的过程。该策略要配合磁盘共享策略进行使用。
4、直接读写策略该策略指明该逻辑磁盘可以执行正常的数据读写操作,即对逻辑磁盘的数据读写操作不作任何限制。
5、商务旅行只读策略该策略指明该逻辑磁盘在规定的时间段内可以在系统中以只读方式使用,一旦不在规定的时间段内,则禁止以任何方式使用。
6、商务旅行安全读写策略该策略指明该逻辑磁盘在规定的时间段内在系统中可以使用,具有读写的权限,一旦不在这个时间段内,则执行只读策略。在规定时间段内,写入到该磁盘的信息都是经过加密的,而读出的数据则是一个解密的过程。该策略要配合磁盘共享策略进行使用。
7、商务旅行直接读写策略该策略指明该逻辑磁盘在规定的时间段内可以执行正常的数据读写操作,即对逻辑磁盘的数据读写操作不作任何限制。一旦不在这个规定的时间段内,则执行只读策略。
磁盘共享策略磁盘共享策略是配合磁盘读写策略中的安全读写策略和商务旅行安全读写策略一起使用的,主要用来确定数据共享的范围。磁盘共享策略分成两种主机共享策略和网络共享策略。
1、主机共享策略在使用该策略后,执行安全读写策略写入到逻辑磁盘上的数据只能在本计算机系统中才能使用,在别的计算机上将无效。
2、网络共享策略在使用该策略后,执行安全读写策略写入到逻辑磁盘上的数据可以在指定的一组计算机内使用,进行数据共享,但在指定范围之外的任何计算机上都无效。
本发明具有的优点能够有效地实现对逻辑磁盘数据存储进行控制,主要有以下几个方面可以对逻辑磁盘的设备身份进行有效控制,防止在系统中使用没有经过认证的磁盘;可以根据管理要求实施对逻辑磁盘的策略控制,实现对磁盘的有效管理和授权;可以实现数据的在磁盘中的安全存储和传输,防止因为存储介质丢失造成的机密信息泄漏;通过共享策略,可以有效控制移动存储设备中机密数据的使用范围,在保证信息安全的前提下,不影响使用移动存储设备的方便性。
本发明可以实现对各种类型的移动存储设备的有效控制,摆脱了因为驱动和接口类型不同设备可能存在的区别的影响。
本发明实现的主要效果如下
1.没有经过认证的存储设备,在安装了移动存储设备防信息泄漏系统中不能使用;2.经过认证的设备根据逻辑存储设备读写策略,确认是否允许进行数据读写操作。对于没有写权限或者只能安全读写的逻辑存储设备,不能直接执行数据的拷贝和存储操作。如果是安全读写的,可以通过安全导出工具将要写入到该安全读写逻辑磁盘的数据进行加密。如果是认证为只读的逻辑存储设备,只能从中读取数据,而不能将系统内的数据写入到该逻辑磁盘中。执行直接读写策略的逻辑磁盘数据不进行拦截。
3.通过共享策略,可以限定写入到逻辑磁盘中的数据只能在自己这台计算机内使用,也可以在指定的几台计算机内使用。
4.有效实现了对移动存储设备的使用管理,防止系统中的机密信息被有意识或者无意识的泄漏。
图1逻辑磁盘认证步骤流程2逻辑磁盘确认步骤流程图
具体实施例方式实施例1本发明安装在一计算机系统,防信息泄漏系统中存储设备控制子系统;本发明实例背景在汇源移动存储设备防信息泄漏系统使用本申请专利技术实现了对移动存储设备的认证,其主要通过文件系统拦截技术、加密技术和本申请专利技术实现了对移动存储设备的有效管理。
实施的主要技术要点如下使用系统文件过滤技术,对所有的文件读写操作和创建操作进行拦截,并判断其读写的目标磁盘是否经过认证以及拥有何种授权策略。如果不是直接读写策略,则进行拦截,禁止读写操作的执行。
通过Windows Shell扩展技术,实现了对特定数据通过安全读写保存到经过认证并具有安全读写授权的移动存储的加密操作,并同时提供了反向的解密操作。
如图1所示,本发明的逻辑磁盘认证步骤如下1)磁盘物理特征提取,读取被认证的逻辑磁盘物理磁盘序列号、磁盘空间大小、磁盘卷标号物理特征和参数;2)确定逻辑磁盘的读写策略代码和数据共享策略代码,读写策略采用禁止使用策略或只读策略或直接读写策略或商务旅行只读策略或商务旅行安全读写策略或商务旅行直接读写策略,数据共享策略采用主机共享策略。
3)生成一个随机数;时间戳标记;4)将1)、3)的所有数据按物理磁盘序列号、磁盘空间大小、磁盘卷标号和随机数等数据顺序排列,使用MD5信息摘要算法计算出一个128位定长的特征认证码;5)将4)计算机出的特征认证码、2)步骤的数据和随机数一起,使用MD5信息摘要算法计算出一个完整性验证码MAC;使用RSA(Rivest-Shamir-Adleman)数字签名算法对MAC进行数字签名,确保数据完整性。
6)将特征认证码、随机数、读写策略、共享策略、时间戳和完整性验证码一起,保存在文件中,形成一个逻辑磁盘的认证文件。即完成逻辑磁盘认证的授权。
本发明的逻辑磁盘确认步骤如图2所示,1)检查逻辑磁盘是否具有认证文件;进行信息提取;2)根据逻辑磁盘认证文件的特征认证码、随机数、读写策略、共享策略和时间戳,计算完整性验证码MAC,并使用数字签名算法进行核对,将完整性验证码与计算完整性验证码MAC进行比较,确保该认证文件是合法的认证文件进入下一步骤;否则验证失败;3)读取被认证的逻辑磁盘物理磁盘序列号、磁盘空间大小、磁盘卷标号物理特征和参数;4)将3)获得的参数、认证文件中逻辑磁盘的读写策略、数据共享策略和随机数一起,重新使用MD5算法计算128位特征认证码;5)将4)计算得到的特征认证码和认证文件中的特征认证码做比较,如果一致,则通过认证。
实施例2数据安全共享系统实例背景在汇源的数据安全共享系统中采用了本专利申请技术。该系统主要实现了在不同物理位置的计算机之间实现数据的安全共享,数据传输的途径可以是网络,也可以是移动存储设备。该系统确保了只有在指定的计算机内才能共享该数据,而在其它计算机中则无法使用该数据,防止了因为传输环节中可能造成的数据丢失和数据丢失而带来的损失。
实施的主要步骤如下1)在所用的需要共享数据的计算机中安装使用本申请专利技术开发的安全文件管理系统,其使用的认证策略是安全读写策略,共享方式是网络共享;采用的信息摘要算法是SHA1(Secure Hash Algorithm1),数字签名算法是DSA(Digit Sign Algorithm)。
2)对所有安装了该安全文件管理系统的计算机进行密钥自动同步。
3)在每台共享数据的计算机中的其中至少一个磁盘进行本申请专利技术的认证,认证的步骤如实施例1所述,认证采用的策略是安全读写策略,共享方式是网络共享。
4)使用安全文件管理系统将需要进行安全共享的数据导出到经过认证的磁盘中。
5)将该处理后的安全文件经过网络或者移动磁盘等途径传输到另外一台属于安全数据共享范围的计算机中,并保存在经过认证的磁盘中。
6)使用安全文件管理系统将安全文件从该认证的磁盘中导出到本地的普通磁盘中,即可恢复为正常的文件。
实施例3本发明逻辑磁盘认证步骤如下1)读取被认证的逻辑磁盘物理磁盘序列号、磁盘空间大小、磁盘卷标号物理特征和参数;
2)确定逻辑磁盘的读写策略为安全读写策略,数据共享策略为网络共享策略;3)生成一个随机数;时间戳标记;4)将1)、3)的所有数据按物理磁盘序列号、磁盘空间大小、磁盘卷标号和随机数顺序排列,使用SHA1信息摘要算法计算出一个160位定长的特征认证码;5)将4)计算机出的特征认证码、2)步骤的数据和随机数一起,使用SHA1信息摘要算法计算出一个完整性验证码MAC;使用RSA数字签名算法对MAC进行数字签名,确保数据完整性。
6)将特征认证码、随机数、读写策略、共享策略、时间戳和完整性验证码一起,保存在文件中,形成一个逻辑磁盘的认证文件。即完成逻辑磁盘认证的授权。
实施例4本发明逻辑磁盘确认步骤1)检查逻辑磁盘是否具有认证文件;2)重新根据逻辑磁盘认证文件的特征认证码、随机数、读写策略(安全读写)、共享策略(网络共享)和时间戳,计算完整性验证码MAC,并使用数字签名算法进行核对,确保该认证文件是合法的认证文件。
3)读取被认证的逻辑磁盘物理磁盘序列号、磁盘空间大小、磁盘卷标号物理特征和参数;4)将3)获得的参数、认证文件中逻辑磁盘的读写策略、数据共享策略和随机数一起,重新使用SHA1算法计算160位特征认证码;5)将4)计算得到的特征认证码和认证文件中的特征认证码做比较,如果一致,则通过认证。
在本实施例中,磁盘读写策略采用了安全读写策略,共享策略采用了网络共享策略。
权利要求
1.一种逻辑磁盘认证方法,其特征在于对计算机系统中的一个或者多个基于同一个硬件存储设备的逻辑磁盘,进行认证,生成一个附加了属性信息的文件来表示其身份,根据属性内容来确定该磁盘的读写控制动作。
2.根据权利要求1所述的一种逻辑磁盘认证方法,其特征在于所述的认证含逻辑磁盘认证步骤1)读取被认证的逻辑磁盘物理特征和参数;2)确定逻辑磁盘的读写策略和数据共享策略;3)生成一个随机数;时间戳;4)将步骤1)、步骤3)的所有数据按顺序排列进行,并使用MD5或者其它信息摘要算法计算出一个定长的特征认证码;5)将步骤4)计算机出的特征认证码、步骤2)的数据和随机数一起,使用MD5或者其它信息摘要算法计算出一个完整性验证码MAC;使用数字签名算法对MAC进行数字签名,确保数据完整性;6)将特征认证码、随机数、读写策略、共享策略、时间戳和完整性验证码一起,保存在文件中,形成一个逻辑磁盘的认证文件;即完成逻辑磁盘认证的授权。
3.根据权利要求1或2所述的一种逻辑磁盘认证方法,其特征在于所述的认证含逻辑磁盘确认步骤1)检查逻辑磁盘是否具有认证文件;2)重新根据逻辑磁盘认证文件的特征认证码、随机数、读写策略、共享策略和时间戳,计算完整性验证码MAC,并使用数字签名算法进行核对,确保该认证文件是合法的认证文件;3)读取被认证的逻辑磁盘物理特征和参数;4)将步骤3)获得的参数、认证文件中逻辑磁盘的读写策略、数据共享策略和随机数一起,重新计算特征认证码;5)将步骤4)计算得到的特征认证码和认证文件中的特征认证码做比较,如果一致,则通过认证。
4.根据权利要求1或2所述的一种逻辑磁盘认证方法,其特征在于所述的磁盘读写策略含禁止使用策略;只读策略;安全读写策略;直接读写策略;商务旅行只读策略;商务旅行安全读写策略;商务旅行直接读写策略。
5.根据权利要求3所述的一种逻辑磁盘认证方法,其特征在于所述的磁盘读写策略含禁止使用策略;只读策略;安全读写策略;直接读写策略;商务旅行只读策略;商务旅行安全读写策略;商务旅行直接读写策略。
6.根据权利要求1或2所述的一种逻辑磁盘认证方法,其特征在于所述的磁盘共享策略含主机共享策略含在使用该策略后,执行安全读写策略写入到逻辑磁盘上的数据只能在本计算机系统中才能使用,在别的计算机上将无效;或网络共享策略在使用该策略后,执行安全读写策略写入到逻辑磁盘上的数据可以在指定的一组计算机内使用,进行数据共享,但在指定范围之外的任何计算机上都无效。
7.根据权利要求3所述的一种逻辑磁盘认证方法,其特征在于所述的磁盘共享策略含主机共享策略含在使用该策略后,执行安全读写策略写入到逻辑磁盘上的数据只能在本计算机系统中才能使用,在别的计算机上将无效;或网络共享策略在使用该策略后,执行安全读写策略写入到逻辑磁盘上的数据可以在指定的一组计算机内使用,进行数据共享,但在指定范围之外的任何计算机上都无效。
8.根据权利要求5所述的一种逻辑磁盘认证方法,其特征在于所述的磁盘共享策略含主机共享策略在使用该策略后,执行安全读写策略写入到逻辑磁盘上的数据只能在本计算机系统中才能使用,在别的计算机上将无效;网络共享策略在使用该策略后,执行安全读写策略写入到逻辑磁盘上的数据可以在指定的一组计算机内使用,进行数据共享,但在指定范围之外的任何计算机上都无效。
9.根据权利要求2所述的一种逻辑磁盘认证方法,其特征在于采用的信息摘要算法是SHA1,数字签名算法是RSA算法或DSA算法。
10.根据权利要求1所述的一种逻辑磁盘认证方法,其特征在于通过Windows Shell扩展技术,实现了对特定数据通过安全读写保存到经过认证并具有安全读写授权的移动存储的加密操作,并同时提供了反向的解密操作。
全文摘要
本发明公开了一种逻辑磁盘认证方法。对计算机系统中的一个或者多个基于同一个硬件存储设备的逻辑磁盘,对其进行认证,生成一个附加了属性信息的文件来表示其身份。并可以根据属性内容来确定该磁盘的读写控制动作,在计算机系统中对磁盘的读写操作都进行拦截和过滤,逻辑磁盘认证方法确认针对该具体磁盘的读写操作是否可以执行,并且根据认证文件的属性确认执行的具体方式。本发明能够有效地实现对逻辑磁盘数据存储进行控制,防止在系统中使用没有经过认证的磁盘;实现对磁盘的有效管理和授权;通过共享策略,有效控制移动存储设备中机密数据的使用范围。实现数据的在磁盘中的安全存储和传输,防止因为存储介质丢失造成的机密信息泄漏。
文档编号G06F12/14GK1564140SQ20041002973
公开日2005年1月12日 申请日期2004年3月25日 优先权日2004年3月25日
发明者王志海 申请人:四川汇源光通信股份有限公司