专利名称:加密u盘实现方法
技术领域:
本发明涉及一种加密U盘(移动硬盘)的实现方法,主要是实现用户U盘(移动硬 盘)数据的自动加解密保护。使用户在不需要增加新的系统硬件设施、不改变传统数据使 用习惯的基础上达到U盘(移动硬盘)数据的自动加解密,提高信息安全,防止信息泄露,同时又保留了 U盘(移动硬盘)的数据交换和共享特性,在不增加用户的使用成本和负担 的基础上达到“一盘两用”。该方法从USB Key中获取密钥并进行身份认证,使用虚拟磁盘 技术实现数据实时透明加解密;该方法在U盘(移动硬盘)上划分受保护数据区,这个区对 用户不可见,当USB Key存在时,利用虚拟磁盘技术将该空间映射成磁盘给用户使用,写入 到这个磁盘内的文件数据被自动加密,从这个磁盘内读出的文件数据被自动解密;U盘(移 动硬盘)上的非保护区仍然是一个普通的U盘(移动硬盘),满足普通数据交换和共享的需 求;当USB Key不存在时,受保护区对用户不可见,数据也无法访问。
背景技术:
随着计算机技术的快速发展,移动存储设备的应用已经非常普遍。这些设备在方 便人们使用的同时也给人们带米了巨大的威胁信息泄露。国际国内因为信息泄露导致的 产品流产,客户流失,信誉受损,财产流失等事件屡见报端。因此移动存储设备的信息保护 已经成为一个客不容缓的话题。为了应对这个需求,许多设备厂商纷纷推出了多种移动存储设备信息保护产品, 目前比较常见的就是加密U盘(移动硬盘)。用户存储到U盘(移动硬盘)上的数据被加 密,在使用时必须先输入授权密码。这样就可以限制非法用户的信息盗取。但是这种模式 目前存在以下几个问题1 需要在U盘(移动硬盘)接口控制芯片一级实现加密,因此必须依附于新的硬 件设备。用户必须购买新的U盘或者移动硬盘盒子,旧的设备不被支持,用户使用代价过
尚O2 :U盘(移动硬盘)上的数据全部被加密,没有任何区分。导致U盘(移动硬盘) 不能够再方便的进行数据的共享,降低了设备的利用率,同时浪费大量资源。3:数据在硬盘芯片级别进行加密,硬盘上所有数据都是加密的,一旦硬盘出现损 坏或者故障,无法送交第三方进行数据恢复。
发明内容
本发明的主要目的在于提供一种以保护U盘(移动硬盘)的机密信息不被窃取, 同时又不影响U盘(移动硬盘)的数据交换和共享特性以及日常使用,并能完全兼容现有 U盘(移动硬盘)设备,大量节省用户使用成本的加密U盘(移动硬盘)实现方法。本发明使用USB Key来实现用户身份认证和密钥保存,密钥在生产时采用硬件随 机生成后写到Key中,无需用户记忆;这种Key使用操作系统提供的HID设备来驱动,因此 它不需要用户额外安装驱动,降低了用户的驱动安装与维护的开销;本发明使用虚拟磁盘技术来实现加密U盘(移动硬盘),兼容所有U盘(移动硬盘),不必额外采购新的硬件设 备;虚拟磁盘完全兼容用户的原有数据使用习惯和方式,极大的方便了用户;本发明将整 个U盘(移动硬盘)分为保护区和非保护区,只有保护区的数据受到保护,非保护区仍然是 一个普通的U盘(移动硬盘),使用户仍然能正常利用U盘(移动硬盘)的数据交换和共享 特性。该方法硬件部分是一个普通的HID接口的USB Key,直接使用HID设备驱动进行驱 动,利用核心层的设备间相互通信实现对该设备的控制和认证数据以及密钥的读取。该方 法的硬件部分也可以集成一个普通的U盘,直接使用USB存储设备驱动进行驱动。软件部分是虚拟磁盘驱动,在Key存在并通过身份认证时,该驱动负责将U盘(移 动硬盘)上的保护区映射成磁盘给用户使用,将写入该磁盘的文件数据进行加密,从该磁 盘读出的文件数据进行解密;当Key不存在时保护区对用户是不可见的,保证数据不被意 外损坏;非保护区无论Key存在与否都是普通的U盘(移动硬盘),不影响数据交换和共享。由于采用了以上技术方案,使本发明具有1 :HID接口的USB Key不需要额外安装驱动,降低用户的设备驱动维护开销;2 虚拟磁盘驱动兼容所有的U盘(移动硬盘)和文件系统,不需要用户额外购买 新的设备,可以直接支持原有的U盘(移动硬盘),节省用户的设备使用成本;3 虚拟磁盘提供完全透明的加密解密过程,完全兼容用户的使用习惯;4 有选择的数据加密,既可以保护重要数据又可以发挥U盘(移动硬盘)的数据 共享和交换功能;5 实时设备监控,一旦USB Key不存在,虚拟磁盘就不再存在,保护区数据即被保 护,无法使用,方便用户。6 支持多种加密算法,可随意根据需要指定或者升级,灵活方便;7 密钥由硬件随机生成并存储在Key中,无需用户保存,避免遗失。8 :U盘(移动硬盘)的非保护区数据不被加密,仍然是普通的U盘(移动硬盘), 保证U盘(移动硬盘)得数据交换特性不受影响。9 :U盘(移动硬盘)的受保护区在Key不存在时对用户不可见,防止数据被意外 损坏。这些特点优于市场上已有的任何U盘(移动硬盘)加密保护产品。本发明的有益效果是可以使用户在不用购买新的U盘(移动硬盘)、移动硬盘盒 的基础上就可以实现加密U盘(移动硬盘),有效利用现有资源降低用户成本;同时完全透 明的加解密效果可以完全兼容用户原有的数据使用习惯和方式,用户无需作任何专门的学 习就可以使用,减轻用户的使用负担;用户可以随意变更保护区和非保护区的空间大小,既 能防止信息泄密又可以充分利用U盘(移动硬盘)的信息交换能力。
下面结合附图和实施方式对本发明进一步说明。图1是本发明的软件架构图。图2是本发明的硬件架构图。图3是本发明的HID设备监控流程图
图4是本发明的虚拟磁盘驱动工作流程中1.应用程序,2.用户操作,3.系统文件操作API,4.核心文件服务接口,5.文 件系统驱动,6.磁盘驱动,7.虚拟磁盘驱动,8. HID设备驱动,9. HID接口寄存器,10. HID设 备固件。
具体实施例方式为了详细说明本发明的结构及所达到的功效,现举以下较佳实施例并配合附图说 明如下图1中,应用程序和用户操作与系统文件接口交互,系统文件接口把请求转成内 核态文件服务请求。这些请求首先被发送到文件系统驱动,文件系统驱动将请求分发给相 应的磁盘设备驱动;虚拟磁盘驱动根据目前HID USB Key的状态来进行操作。如果Key不 存在,虚拟磁盘驱动就禁止模拟磁盘设备给系统,此时受保护磁盘的保护区不能访问;如果 Key存在且通过认证,虚拟磁盘驱动就模拟磁盘给系统,将受保护磁盘的保护区映射成一个 磁盘,此时写入该磁盘的文件数据被虚拟磁盘驱动加密,并被重定向到实际磁盘的保护区 域;从该磁盘读取数据的请求被虚拟磁盘驱动重定向到实际磁盘的保护区,读出的文件数 据被解密,然后交给系统正常处理;非保护区内的数据直接由系统磁盘驱动管理,仍然是普 通的U盘(移动硬盘),不受任何影响。 图2中,虚拟磁盘驱动利用HID驱动和设备间通讯技术和HID接口的USB Key进 行通讯,符合虚拟磁盘驱动的一系列认证序列的USB Key就是经过授权的Key,虚拟磁盘驱 动从这个Key中获取密钥,用户使用口令,受保护磁盘区域的大小和位置等信息。图3中,虚拟磁盘驱动监控HID USB Key的状态,如果发现HID接口的USB Key存 在就进行数据交互,符合特定的数据交互序列的Key就是我们的目的Key,接下来从Key中 获取事先存储的密钥和用户使用口令,并通知用户进行口令认证,认证成功后通知虚拟磁 盘驱动Key存在并给出密钥。如果通过身份认证的HID接口 USB Key被移除,就通知虚拟 磁盘驱动Key不存在并清空密钥,同时取消磁盘空间映射。图4中,虚拟磁盘驱动收到系统发来的文件数据请求之后,根据从Key中获得的参 数将请求重定向到实际磁盘的受保护区,写入的数据被加密,读取的数据被解密。
权利要求
一种加密U盘(移动硬盘)实现方法,在系统中添加了虚拟磁盘驱动和HID接口设备监控器。其特征在于一个普通的系统核心服务程序,当该核心服务程序运行时,如果存在通过身份认证的Key和受保护的U盘(移动硬盘),系统中会添加一个虚拟磁盘,这个磁盘被映射到受保护U盘(移动硬盘)的保护区,写入到该磁盘的文件数据被自动加密,从该磁盘读出的文件数据被自动解密;受保护U盘(移动硬盘)的非保护区的文件数据不受影响,仍然是一个普通U盘(移动硬盘);如果不存在通过身份认证的Key,受保护U盘(移动硬盘)的保护区是不能访问的。
2.根据权利要求1所述的核心服务程序,其特征是一个运行在核心层的服务程序,可 以向系统中添加虚拟磁盘并实时监控HID接口 USB Key的状态。
3.根据权利要求1所述的核心服务程序,其特征是支持所有类型的U盘(移动硬盘) 和文件系统,需要在U盘(移动硬盘)上指定保护区的大小和位置,保护区在Key不存在时 无法访问。
4.根据权利要求1所述的核心服务程序,其特征是支持所有类型的U盘(移动硬盘) 和文件系统,需要在U盘(移动硬盘)上指定保护区的大小和位置,非保护区不受任何影 响,仍然可以作为一个普通的U盘(移动硬盘)使用。
5 .根据权利要求1所述的核心服务程序,其特征是可以将受保护U盘(移动硬盘)的 保护区映射成为虚拟磁盘供用户访问,虚拟磁盘支持所有文件系统。
6.根据权利要求1所述的核心服务程序,其特征是实时监控USBKey的状态,USB Key 存在时提示用户进行身份认证,不存在时直接取消已有的虚拟磁盘映射。
7.根据权利要求1所述的核心服务程序,其特征是使用的USBKey是HID接口,不需 要另外提供驱动,Key用来进行密钥存储和身份认证。
8.根据权利要求1所述的核心服务程序,其特征是以虚拟磁盘的方式提供用户对受 保护U盘(移动硬盘)的保护区的存取,不改变应用程序和用户访问数据的任何行为。
9.根据权利要求1所述的核心服务程序,其特征是不提供额外的任何形式的库函数, 不改变处理过的文件的大小和其他任何属性。
10.根据权利要求1所述的核心服务程序,其特征是可以动态的加载,完全运行在系 统核心层。所有的数据转换和处理都是在核心层完成,不需要其他的支持程序。
全文摘要
本发明提供了一种加密U盘(移动硬盘)实现方法。此发明实时监控USB Key状态,利用授权的USB Key进行身份认证并取得密钥;受保护U盘(移动硬盘)被分为保护区和非保护区,授权验证通过时保护区域被映射成一个虚拟磁盘,写入该磁盘的数据被加密,从该磁盘读出的数据被解密;非保护区仍然作为普通的U盘(移动硬盘)使用;授权USB Key不存在时,保护区不能访问。存储在U盘(移动硬盘)保护区上的数据永远是加密的,用户使用的时候是自动在内存中解密。该发明支持所有类型的U盘(移动硬盘)和文件系统;不改变用户的传统数据使用习惯和应用程序的行为;不需要用户采购新的U盘(移动硬盘)设备。
文档编号G06F21/00GK101877246SQ20091013580
公开日2010年11月3日 申请日期2009年4月28日 优先权日2009年4月28日
发明者不公告发明人 申请人:许燕