专利名称:一种基于双usb密钥设备的usb接口锁的制作方法
技术领域:
本发明涉及计算机数据安全领域,具体的说是提供了一种防止USB接口泄露数据的USB接口锁。
背景技术:
随着信息化程度越来越高,信息安全显得格外重要。为了防止计算机数据泄露,很多公司和部门都采取了各种方法来防止非法的数据拷贝。一般来说,网络接口和USB接口是数据泄露的源头。网络接口泄露数据的问题可以采用断开和外界网络连接的办法解决,如拆除网卡或者封闭局域网。相比之下,USB接口的情况要复杂很多,众多USB非移动存储设备,比如说USB接口鼠标,USB接口键盘,打印机等都需要使用计算机USB接口,直接在BIOS里禁用USB接口或者拆除USB接口会给计算机用户带来不必要的麻烦;另外,用户可能需要从USB移动存储设备向计算机拷贝数据,而不是完全禁止对移动存储设备的访问。
目前存在的防止USB接口泄露数据的方案仅考虑了泄露数据的问题,而忽略了方案本身的漏洞。普通方案一般都将整个加锁解锁控制程序安装在目标计算机上,解锁执行过程可以反复被跟踪,对计算机底层熟悉的用户可以通过softice一类的工具修改解锁程序;普通方案的安全验证一般只需要提供用户名和用户密码,这种基于字串的验证容易被破解,不如具有唯一硬件标识的实物载体安全,如自动存款机的磁卡。
发明内容
本发明的目的在于提供一种低成本,灵活,能有效防止USB接口泄露数据的基于双USB密钥设备的USB接口锁。安装了基于双USB密钥设备的USB接口锁的计算机,通过USB接口向USB移动存储设备拷贝数据之前必须使用一对USB密钥设备和管理员设定的用户密码解开对USB移动存储设备的访问限制。
本发明包括一对USB密钥设备,一组加锁解锁控制程序;加锁解锁控制程序自动识别插入计算机的USB移动存储设备,限制计算机访问USB移动存储设备,即加锁;加锁解锁控制程序自动识别插入计算机的一对USB密钥设备,完成USB密钥设备验证和用户身份验证后,解开对USB移动存储设备的访问限制,即解锁。
所述的一对USB密钥设备指一对各自具有唯一硬件标识且通过分区处理的USB移动存储设备。
所述的一组USB接口加锁解锁控制程序包括安装在目标计算机上的内核监控程序和密钥设备侦测程序,存放在密钥设备A和密钥设备B上的解锁控制程序。
所述的对USB移动存储设备的访问限制指禁止计算机对USB移动存储设备执行写操作。
所述的USB密钥设备安全验证指安装在目标计算机上的内核监控程序校验由存放在USB密钥设备上的解锁控制程序产生的验证码;验证码包含密钥设备A的硬件标识,密钥设备B的硬件标识,计算机加载USB移动存储设备动态分配的地址信息。
所述的用户身份验证指密钥设备B上的解锁控制程序校验用户输入的密码,软件加密的用户密码保存在密钥设备B上。
本发明逻辑上分为三个模块用户交互模块,USB接口加锁解锁模块,USB密钥设备验证模块,见附图1。用户交互模块负责人机交互界面,包括用户密码的输入和修改。USB接口加锁解锁模块负责完成对USB移动存储设备加锁和解锁。USB密钥设备验证模块负责验证一对USB密钥设备的有效性。
本发明物理上分为软件和硬件两部分一对USB密钥设备,一组加锁解锁控制程序。一对USB密钥设备包括密钥设备A和密钥设备B;一组加锁解锁控制程序包括安装在目标计算机上的内核监控程序和密钥设备侦测程序,存放在密钥设备A和密钥设备B上的解锁控制程序。
安装在目标计算机上的内核监控程序自动识别插入计算机的USB设备,限制计算机对USB移动存储设备的访问,即加锁。一对USB密钥设备插入计算机,安装在目标计算机上的内核监控程序校验由存放在USB密钥设备上的解锁控制程序产生的验证码,验证码包含密钥设备A的硬件标识,密钥设备B的硬件标识,计算机加载USB移动存储设备动态分配的地址信息;除此之外,存放在密钥设备B上的解锁控制程序还要求用户输入密码进行用户身份验证,软件加密后的用户密码保存在密钥设备B上。在USB密钥设备验证和用户身份验证都通过后,安装在目标计算机上的内核监控程序解除对USB移动存储设备的访问限制,即解锁。新的USB移动存储设备插入计算机需要重新解锁,USB移动存储设备拔出计算机后再次插入视为新的USB移动存储设备插入。
本发明中,安装在目标计算机上的内核监控程序和一对USB密钥设备的关系为一一对应,如同锁和钥匙。一对USB密钥设备之间的关系也是一一对应,两对不同的USB密钥设备不能打乱配对关系重新组合。
本发明中,一对USB密钥设备经过分区处理,存放解锁控制程序和用户密码的区域被隐藏,在没有安装基于双USB密钥设备的USB接口锁的计算机上表现为普通的USB移动存储设备。
如上所述,采用本发明防止USB接口泄露数据的效果如下本发明使用成本低。整个发明的硬件需求仅为一对USB密钥设备。
本发明使用灵活,尤其适合物理空间上比较集中的多台计算机的保护。多台计算机安装同一套基于双USB密钥设备的USB接口锁软件,与之配套的一对USB密钥设备由管理人员保管。当某台计算机需要向目标USB移动存储设备拷贝数据,持有一对USB密钥设备的管理人员负责解锁和拷贝,拷贝完成后拔出目标USB移动存储设备即可。一对USB密钥设备可以被同一个管理员持有,也可以被两位管理员分别持有,达到相互牵制的作用,如图2。
本发明安全性高。解锁控制程序存放在USB密钥设备上,别有用心的计算机用户无法跟踪整个USB密钥设备验证过程从而无法执行反编译等手段;USB密钥设备验证和用户身份验证提供了硬件和软件双重保护;USB密钥设备具有伪装性。
本发明结构模块化,易于扩展。用户交互模块,USB密钥设备验证模块,USB接口加锁解锁模块相对独立。在保留用户交互模块,USB密钥设备验证模块不变的基础上增加硬盘,光驱,软盘,网络甚至其它计算机I/O设备的加锁解锁模块,形成以USB密钥设备为核心的计算机安全屏蔽,将计算机与外界隔绝。
图1-顶层逻辑结构图。
图2-提供多台计算机保护的示意图。
图3-各个部分之间的关系图。
图4-USB密钥设备存储空间分配图。
图5-基于双USB密钥设备的USB接口锁的详细工作流程图。
具体实施例方式
下面结合附图和具体实施方式
对本发明作进一步详细描述。
图1为顶层逻辑结构图。
图2为提供多台计算机保护的示意图。
本发明中,各个部分之间的关系如下用户插入需要解锁的USB移动存储设备,接着先后插入密钥设备A和密钥设备B。密钥设备侦测程序检查到USB密钥设备插入计算机,先后调用密钥设备A上的解锁控制程序和密钥设备B上的解锁控制程序产生本次解锁需要的验证码;密钥设备B上的锁控制程序要求用户输入密码进行用户身份验证,用户身份验证成功后将验证码发给内核监控程序。内核监控程序负责校验验证码,成功后执行解锁,如图3。
本发明中,内核监控程序嵌入计算机操作系统的USB底层驱动模块。USB底层驱动模块位于文件系统的下层,计算机对USB移动存储设备的访问在该层表现为对扇区的访问,禁止或者允许计算机对USB移动存储设备扇区执行写操作可达到对USB移动存储设备加锁解锁的目的。
本发明中,密钥设备侦测程序不具备任何解锁功能,仅负责侦测的插入计算机USB设备是否存在USB密钥设备软件特征并且调用USB密钥设备上的解锁控制程序。USB密钥设备软件特征可以是某些隐藏扇区中的标志。
本发明中,密钥设备A和密钥设备B用于存放解锁控制程序和用户密码,同时也是具有特殊硬件标识的实物载体。USB密钥设备的存储空间被划分为两个独立的分区,其中一个是显示分区,另一个是隐藏分区。普通计算机读取显示分区信息从而能访问显示分区;安装了基于双USB密钥设备的USB接口锁的计算机上的内核监控程序截获系统读取分区信息的操作,用隐藏分区信息去代替显示分区信息,从而访问隐藏分区。解锁控制程序和用户密码存放在隐藏分区里,隐藏分区的所有数据都会被软件加密,如图4中灰色区域。
本发明中,USB密钥设备验证策略如下密钥设备A上的解锁控制程序和内核监控程序通讯,获取所在设备的硬件标识aid和当前计算机加载USB动态分配的内存地址信息iaddress,密钥设备B上的解锁控制程序和内核监控程序获取所在设备的硬件标识bid,密钥设备B上的解锁控制程序根据公式f(aid,f(bid,iaddress))计算本次解锁需要的验证码并且发送给内核监控程序;内核监控程序根据公式f(f(AID,BID),iaddress)计算出本次解锁正确的验证码,比较两者可知是否进行解锁操作,其中AID,BID为内核监控程序对应的一对USB密钥设备的硬件标识,f(AID,BID)值作为常量保存在内核监控程序中。函数f满足f(f(AID,BID),x1)=f(AID,f(BID,x2)),当且仅当x1=x2。任意两次解锁产生的验证码之间没有任何联系,即验证码具有一次性。
基于双USB密钥设备的USB接口锁的详细工作流程如下,如图5。图中灰色区域的操作由保存在USB密钥设备上的解锁控制程序完成;白色区域的操作由安装在目标计算机上的内核监控程序和密钥设备侦测程序完成。
权利要求
1.一种基于双USB密钥设备的USB接口锁,其特征在于包括一对USB密钥设备,一组加锁解锁控制程序;加锁解锁控制程序自动识别插入计算机的USB移动存储设备,限制计算机访问USB移动存储设备,即加锁;加锁解锁控制程序自动识别插入计算机的一对USB密钥设备,完成USB密钥设备验证和用户身份验证后,解开对USB移动存储设备的访问限制,即解锁。
2.如权利要求1所述的基于双USB密钥设备的USB接口锁,其特征在于所述的一对USB密钥设备指一对各自具有唯一硬件标识且通过分区处理的USB移动存储设备。
3.如权利要求1所述的基于双USB密钥设备的USB接口锁,其特征在于所述的一组USB接口加锁解锁控制程序包括安装在目标计算机上的内核监控程序和密钥设备侦测程序,存放在密钥设备A和密钥设备B上的解锁控制程序。
4.如权利要求1所述的基于双USB密钥设备的USB接口锁,其特征在于所述的对USB移动存储设备的访问限制指禁止计算机对USB移动存储设备执行写操作。
5.如权利要求1所述的基于双USB密钥设备的USB接口锁,其特征在于所述的USB密钥设备安全验证指安装在目标计算机上的内核监控程序校验由存放在USB密钥设备上的解锁控制程序产生的验证码;验证码包含密钥设备A的硬件标识,密钥设备B的硬件标识,计算机加载USB移动存储设备动态分配的地址信息。
6.如权利要求1所述的基于双USB密钥设备的USB接口锁,其特征在于所述的用户身份验证指密钥设备B上的解锁控制程序校验用户输入的密码,软件加密的用户密码保存在密钥设备B上。
全文摘要
本发明是一种防止USB接口泄露数据的基于双USB密钥设备的USB接口锁,包括一对USB密钥设备,一组USB接口加锁解锁控制程序。加锁解锁控制程序自动识别插入计算机的USB设备,限制计算机访问USB移动存储设备;加锁解锁控制程序自动识别插入计算机的一对USB密钥设备,在完成USB密钥设备验证和用户身份验证后,解开对USB移动存储设备的访问限制。本发明针对USB接口泄露数据问题给出了成本低,灵活,有效的解决方法。
文档编号G06F21/00GK101030176SQ20071006521
公开日2007年9月5日 申请日期2007年4月6日 优先权日2007年4月6日
发明者王佐, 谭毓安, 石峰 申请人:北京理工大学