专利名称:一种面向移动存储介质数据安全的双因子影子密码保护方法
技术领域:
本发明属于信息安全领域,具体涉及一种基于虚拟磁盘技术和动态加解密技术的 移动存储介质数据安全保护方法。
背景技术:
移动存储介质包括软盘、U盘、移动硬盘和SD卡等,因其使用灵活、方便的特点,在 政府、军队和企事业单位中得到迅速普及。但移动存储介质使用的方便性也给设备安全、数 据安全等保密管理带来了新问题。主要包括第一,任意个人的U盘、移动硬盘、软盘或者光盘都可以在内部的计算机上随意使 用,容易造成计算机病毒感染和泛滥;第二,随意使用移动存储介质,使怀有恶意的内部人员可以将内部重要信息复制 出去,容易造成敏感和机密信息的泄密。据IDC权威机构的调查,80%的泄密事件是来自内 部人员的,其中包括有意的也有无意的,甚至有内外勾结的;第三,由于大多移动存储介质中的信息都以明文形式存放,即使加密,密码也非常 单一,内部人员可以将涉密终端上的数据通过移动介质转移到连接互联网的计算机,并通 过互联网泄露涉密信息。虽然计算机采取了防火墙和入侵检测等信息保护措施,但这些信 息保护措施只能够阻止外部入侵,不能检测到内部人员的违规行为,即不能防止内部窃取 fn息ο第四,移动存储介质一旦丢失,或者存储介质的使用者遭到第三者胁迫说出访问 密码,其中存储的大量敏感数据可能失控,带来极大的损失。移动存储介质的数据安全防护和管理从开始到现在,经历了几个重要的阶段。早 期各个企业和政府部门为了防止内部涉密信息的泄露,大多采用人工管理的模式,通过封 堵移动存储介质设备端口来禁止用户使用移动存储介质,或者通过每天上班派发和下班回 收移动存储介质的方式来防止内部员工通过移动介质泄露企业商业机密。这种管理方式虽 然在某种程度上控制了重要数据的泄露,但同时也给职员的工作带来了极大不便,USB接口 被封堵,限制的不仅仅是移动存储介质的使用,也限制了其他USB设备的使用,例如USB接 口鼠标、键盘、打印机等许多即插即用设备,这些措施使得企业和政府部门内部与外界处于 绝对隔离的状态,数据交换因此受到阻碍,从而导致工作效率十分低下。随着信息安全技术 的不断发展,企业和政府部门的管理者逐渐意识到采用人工管理的方式不仅导致工作流程 繁琐,而且由于人为原因信息泄露问题仍不能得到本质上的缓解。因此人们开始采用信息安全技术对移动存储介质进行管理,主要集中在数据加密 技术方面。人们通常利用数据加密算法(包括AES-256,Blowfish (448-bitkey), CAST5, Serpent, TripleDES及Twofish等)来保障存储介质中数据的机密性,完整性和可用性。 传统的磁盘介质加密方法粒度控制不灵活,要么只能全盘加密,要么只能针对某个文件或 文件夹加密,且最为关键的是密码单一,一旦密码被通过某种手段获取,则加密信息暴露无遗。针对以上情况,本发明提出一种面向移动存储介质数据安全的双因子影子密码保 护方法,该方法充分考虑到移动介质用户面临的各种情况,除技术状况之外,特别考虑到用 户受到胁迫要求提供密码的复杂情况,创新性地引入双因子密码机制,克服传统单一密码 访问的缺陷;此外,引入关联不同密码的数据分区技术和动态加解密技术,为不同的访问密 码映射不同的访问数据,可充分发挥双因子密码的强力数据保护能力。采用本发明提供的 方法对移动介质加密,可根据数据的密级灵活设定访存区域,既体现了 “分密级授权访存” 的思想,又避免非授权用户拿到密码之后造成的信息泄露。
发明内容
本发明的目的是提供一种面向移动存储介质数据安全的双因子影子密码保护方 法,利用虚拟磁盘技术和动态加解密技术有效保护移动存储介质的数据安全。本发明的上述目的是通过如下技术方案来实现的1)磁盘逻辑划分利用虚拟磁盘技术将移动存储介质划分为不同的功能分区,用于存储用户涉密数 据和密码等信息。用户涉密数据保存在数据区,密码等自定义信息保存在头部信息区。如 下图所示
权利要求
1.一种面向移动存储介质数据安全的双因子影子密码保护方法,其特征在于包括以下 步骤步骤1. 1 将移动存储介质映射为一个虚拟磁盘,虚拟磁盘被划分为头部信息区1和数 据区两部分,头部信息区1中含有磁盘的密钥和其他格式化信息,数据区保存磁盘中的有 效数据;步骤1. 2 将步骤1. 1中数据区划分为三部分头部信息区2、数据区1和数据区2。此 时该虚拟磁盘在逻辑视图上呈现为(头部信息1+头部信息2+数据区1+数据区2);步骤1. 3 影子密码信息Keys保存在头部信息区2中,用于加解密涉密数据的真实密码 信息Key11保存在头部信息区1中;步骤1.4:当用户访问移动存储介质,要求输入密码(似^或似^),对该密码进行计算, 得到密码的hash值,并与虚拟磁盘头部信息区中保存的密码信息进行对比,如果正确,则 显示对应的数据区;否则,不能访问;步骤1.5:当用户输入密码Keys,只能看到数据区2的数据;当用户输入密码KeyD,只能 看到数据区1中的数据;步骤1. 6 用户可以在数据区2中预先放入一些非敏感数据或垃圾数据,而在数据区1 中保存真正的涉密数据。这样当用户遭受胁迫而不得已说出密码时,可以将影子密码说出, 则仅仅可以得到数据区2中的非敏感数据或垃圾数据,从而有效保证有效涉密数据的安全 性。
2.如权利要求1的一种面向移动存储介质数据安全的双因子影子密码保护方法,其特 征在于,使用虚拟磁盘技术来映射和划分1. 1和1. 2所述的文件和数据区段。
3.如权利要求1的一种面向移动存储介质数据安全的双因子影子密码保护方法,其特 征在于,使用动态加解密技术来实现1. 3,1. 4和1. 6所述的密码及数据信息在所有数据区 和头部信息区的存储和访问。
4.如权利要求1的一种面向移动存储介质数据安全的双因子影子密码保护方法,其特 征在于,使用文件系统分区机制来实现1. 5所述的密码与数据区的关联。
全文摘要
本发明公开了一种面向移动存储介质数据安全的双因子影子密码保护方法。本发明的方法利用操作系统自身的虚拟磁盘技术,将移动存储介质中的磁盘空间进行重新格式化,使得在使用移动介质时,输入不同的密码可以得到保存在移动存储介质中的不同数据,从而可以有效抵抗针对人身攻击的密码暴力破解行为。
文档编号G06F12/14GK102096641SQ20101058467
公开日2011年6月15日 申请日期2010年12月13日 优先权日2010年12月13日
发明者俞卫华, 沈晖 申请人:沈晖, 王毅, 郭浩然