专利名称:基于隐藏加密分区和pki技术的移动介质防泄密方法
技术领域:
本发明涉及一种移动介质的防泄密方法,特别涉及一种基于隐藏加密分 区和PKI技术的移动介质防泄密方法。
背景技术:
随着USB技术的成熟和普及,基于USB技术的设备和应用层出不穷,如 USB硬盘、USB鼠标、USB打印机等等。USB存储设备以其容量大,速度快, 携带方便,使用简单(windows自带驱动,无须安装)等特点受到广泛青睐。
但是,USB存储设备带来方便性的同时,也对信息的安全性带来隐患。 首先,系统外部人员或者系统内部人员可以轻易地使用USB设备将内部信息 带出而不留任何痕迹;其次,USB存储设备种类繁多,包括U盘、USB硬盘、 MP3、数码相机等都具有USB的存储功能,都可以接入系统带走信息,可谓防 不胜防。
而现有的很多移动介质防泄密系统都是通过重写USB存储设备的头扇区 来防止内部的USB存储设备在外部使用,通过写入特定的标志在内部对存储 设备进行控制,存在着很多的安全隐患。
发明内容
本发明所要解决的技术问题在于提供一种基于隐藏加密分区和PKI技术 的移动介质防泄密方法,弥补现有技术的不足之处。
本发明所要解决的技术问题可以通过以下技术方案来实现
一种基于隐藏加密分区和PKI技术的移动介质防泄密方法,其特征在于,
所述移动介质防泄密方法包括如下的步骤-
1) 部署移动设备的注册系统;
2) 通过注册系统对移动设备的移动介质进行注册;
3)由安装在客户机上的控制系统对移动介质进行监控及相应的控制。 所述步骤l)包括以下步骤
(1) 产生注册系统的公、私钥对,生成证书请求;
(2) 生成自签名证书或者到第三方证书认证中心CA签发证书。 所述步骤2)包括以下的步骤
(1) 对注册系统提出制作申请;
(2) 注册系统设定设备标识ID、用户区数据加密算法、用户区加密密 钥的散列算法和用户区密钥加密算法;随机生成用户区加密密钥,计算用户 区加密密钥的散列值,使用用户认证数据加密用户区密钥。
(3) 注册系统格式化移动设备的移动介质,根据设定信息制作系统区和 用户区,使用注册系统的私钥对用户区空间大小、用户区数据加密算法、用 户区加密密钥的散列算法和用户区加密密钥的散列值信息进行签名,将设备 标识ID、用户区空间大小、用户区数据加密算法、用户区加密密钥的散列算 法、用户区加密密钥的散列值、签名信息、用户区密钥加密算法和用户区密 钥被使用者认证数据加密后的密文写入系统区。
(4) 注册系统记录移动介质的信息,完成注册。 所述步骤3)包括以下的步骤
(1) 控制系统发现移动介质接入;
(2) 读取系统区,若无系统区则拒绝该移动介质;
(3')获取系统区内的签名信息,并使用信任的注册系统证书验证签名的 正确性,若不正确则拒绝该移动介质接入;
(4) 读取设备标识ID,根据注册系统发布的废除列表检验此设备是否 已经被废除,若已经被废除,则拒绝该移动介质接入;
(5) 读取用户区空间大小与系统区内记录的用户空间进行对比,若不相 同则拒绝该移动介质接入;
(6) 提示用户输入认证数据,使用认证数据解密用户区加密密钥密文, 将解密后的密钥进行散列运算,与系统区内的密钥散列值进行对比,若不相 同则加载用户区失败;
(7) 使用解密后的密钥解密用户区并加载,移动介质接入成功。 本发明的基于隐藏加密分区和PKI技术的移动介质防泄密方法具有如下
特点
1、 采用加密技术确保了移动介质中数据的安全性;
2、 采用签名技术防止移动介质被伪造,保证了移动介质的可信性;
3、 技术与硬件设备无关,可支持任何标准的USB移动设备,可用性高。 本发明的基于隐藏加密分区和PKI技术的移动介质防泄密方法,将移动
介质格式化为系统区和用户区,其中系统区是隐藏的,存储了设备信息、用 户区的密钥信息及签名信息;用户区的数据是加密的,保证了移动介质丢失 时不会泄密,而在内部网络中使用移动介质时需对移动介质系统区中的设备 信息及签名信息进行验证,从而确保了外部的普通移动介质无法在内部使用, 实现了本发明的目的。
以下结合附图和具体实施方式
来进一步说明本发明。
图1是本发明的移动介质的结构示意图2是本发明的移动介质的系统区的结构示意图。
具体实施例方式
一种基于隐藏加密分区和PKI技术的移动介质防泄密方法,其应用系统
至少包含两个部分移动介质的注册系统和移动介质的控制系统。
移动介质的注册系统负责对移动介质的注册操作,将移动介质标记为
合法设备,同时负责移动介质的作废操作,发布设备作废列表。
移动介质的控制系统安装在客户机上,对移动介质进行监控及相应的控制。
所述移动介质防泄密方法,包括如下的步骤
1) 部署移动设备的注册系统;
2) 通过注册系统对移动设备的移动介质进行注册;
3) 由安装在客户机上的控制系统对移动介质进行监控及相应的控制。 所述步骤l)包括以下步骤
(1) 产生注册系统的公、私钥对,生成证书请求;
(2) 生成自签名证书或者到第三方证书认证+心CA签发证书。
所述步骤2)包括以下的步骤
(1) 对注册系统提出制作申请;
(2) 注册系统设定设备标识ID、用户区数据加密算法、用户区加密密 钥的散列算法和用户区密钥加密算法;随机生成用户区加密密钥,计算用户 区加密密钥的散列值,使用用户认证数据加密用户区密钥。
(3) 注册系统格式化移动设备的移动介质,根据设定信息制作系统区和 用户区,使用注册系统的私钥对用户区空间大小、用户区数据加密算法、用 户区加密密钥的散列算法和用户区加密密钥的散列值信息进行签名,将设备 标识ID、用户区空间大小、用户区数据加密算法、用户区加密密钥的散列算 法、用户区加密密钥的散列值、签名信息、用户区密钥加密算法和用户区密 钥被使用者认证数据加密后的密文写入系统区。
(4) 注册系统记录移动介质的信息,完成注册。 所述步骤3)包括以下的步骤
(1) 控制系统发现移动介质接入;
(2) 读取系统区,若无系统区则拒绝该移动介质;
(3) 获取系统区内的签名信息,并使用信任的注册系统证书验证签名的 正确性,若不正确则拒绝该移动介质接入;
(4) 读取设备标识ID,根据注册系统发布的废除列表检验此设备是否 已经被废除,若己经被废除,则拒绝该移动介质接入;
(5) 读取用户区空间大小与系统区内记录的用户空间进行对比,若不相 同则拒绝该移动介质接入;
(6) 提示用户输入认证数据,使用认证数据解密用户区加密密钥密文, 将解密后的密钥进行散列运算,与系统区内的密钥散列值进行对比,若不相 同则加载用户区失败;
(7) 使用解密后的密钥解密用户区并加载,移动介质接入成功。 控制系统负责监控移动介质接入,并对其进行了控制。控制系统中保存
了信任的注册系统的证书,即允许这些注册系统注册过的存储设备接入。 所述基于隐藏加密分区和PKI技术的移动介质防泄密方法主要通过将普
通移动介质转化为安全移动介质,其方法如下
1、移动介质的注册系统具备系统证书及对应的私钥(系统自生成或者第
三方证书认证中心CA颁发)。
2、将移动介质分成两块区域系统区和用户区。(如图l所示) 移动介质划分的区域必须具备以下条件
1、 系统区是一个特殊区域,存放移动介质的标识信息等相关系统信息, 可以从真正的存储区域划分,也可以直接使用移动介质的特殊扇区,普通用 户或者系统无法使用该区域。
2、 用户区是一个加密区域,必须输入正确的加密密钥才能打开此区域, 是用户存储数据的区域。
如图2所示,移动介质的系统区主要包含以下内容
1、 设备信息移动介质的设备标识ID,用户区空间大小,用户区数据 加密算法,用户区加密密钥的散列算法,用户区加密密钥的散列值;
2、 签名信息移动介质的注册系统私钥对以上数据的签名;
3、 密钥信息用户区密钥加密算法,用户区密钥被使用者认证数据加密 后的密文;使用者认证数据可以是口令、证书等使用者独有的数据。
当移动介质丢失或者由于其他原因需要禁止使用时,需要进行废除操作; 因此,所述移动介质防泄密方法还包括移动介质注册的废除,它包括如下的 步骤
(1) 向注册系统提出废除申请;
(2) 注册系统将该移动介质标记为废除状态,并将该移动介质的设备 ID列入废除列表中进行发布。
以上显示和描述了本发明的基本原理和主要特征及其优点。本行业的技 术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描 述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明 还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。 本发明要求保护范围由所附的权利要求书及其等效物界定。
权利要求
1、一种基于隐藏加密分区和PKI技术的移动介质防泄密方法,其特征在于,所述移动介质防泄密方法包括如下的步骤1)部署移动设备的注册系统;2)通过注册系统对移动设备的移动介质进行注册;3)由安装在客户机上的控制系统对移动介质进行监控及相应的控制。
2、 如权利要求l所述的方法,其特征在于,所述步骤l)包括以下步骤:(1) 产生注册系统的公、私钥对,生成证书请求;(2) 生成自签名证书或者到第三方证书认证中心CA签发证书。
3、 如权利要求1所述的方法,其特征在于,所述步骤2)包括以下的步骤(1) 对注册系统提出制作申请;(2) 注册系统设定设备标识ID、用户区数据加密算法、用户区加密密钥 的散列算法和用户区密钥加密算法;随机生成用户区加密密钥,计算用户区 加密密钥的散列值,使用用户认证数据加密用户区密钥。(3) 注册系统格式化移动设备的移动介质,根据设定信息制作系统区和 用户区,使用注册系统的私钥对用户区空间大小、用户区数据加密算法、用 户区加密密钥的散列算法和用户区加密密钥的散列值信息进行签名,将设备 标识ID、用户区空间大小、用户区数据加密算法、用户区加密密钥的散列算 法、用户区加密密钥的散列值、签名信息、用户区密钥加密算法和用户区密 钥被使用者认证数据加密后的密文写入系统区。(4) 注册系统记录移动介质的信息,完成注册。
4、 如权利要求1所述的方法,其特征在于,所述步骤3)包括以下的步骤(1) 控制系统发现移动介质接入;(2) 读取系统区,若无系统区则拒绝该移动介质;(3) 获取系统区内的签名信息,并使用信任的注册系统证书验证签名的 正确性,若不正确则拒绝该移动介质接入;(4) 读取设备标识ID,根据注册系统发布的废除列表检验此设备是否已 经被废除,若已经被废除,则拒绝该移动介质接入;(5) 读取用户区空间大小与系统区内记录的用户空间进行对比,若不相 同则拒绝该移动介质接入;(6) 提示用户输入认证数据,使用认证数据解密用户区加密密钥密文, 将解密后的密钥进行散列运算,与系统区内的密钥散列值进行对比,若不相 同则加载用户区失败;(7) 使用解密后的密钥解密用户区并加载,移动介质接入成功。
5、 如权利要求1所述的方法,其特征在于,所述移动介质防泄密方法还 包括移动介质注册的废除,它包括如下的步骤 (1) 向注册系统提出废除申请;(2) 注册系统将该移动介质标记为废除状态,并将该移动介质的设备ID列入废除列表中进行发布。
全文摘要
本发明公开了一种基于隐藏加密分区和PKI技术的移动介质防泄密方法,弥补现有技术的不足之处,包括如下的步骤1)部署移动设备的注册系统;2)通过注册系统对移动设备的移动介质进行注册;3)由安装在客户机上的控制系统对移动介质进行监控及相应的控制;将移动介质格式化为系统区和用户区,其中系统区是隐藏的,存储了设备信息、用户区的密钥信息及签名信息;用户区的数据是加密的,保证了移动介质丢失时不会泄密,而在内部网络中使用移动介质时需对移动介质系统区中的设备信息及签名信息进行验证,从而确保了外部的普通移动介质无法在内部使用,实现了本发明的目的。
文档编号G06F12/14GK101101615SQ20071004473
公开日2008年1月9日 申请日期2007年8月9日 优先权日2007年8月9日
发明者伟 任, 骥 徐, 杨茂江 申请人:上海格尔软件股份有限公司