一种实现移动存储设备保护的方法及系统与流程

本发明涉及信息安全技术领域，特别涉及一种实现移动存储设备保护的方法及系统。

背景技术：

随着计算机信息以及存储技术的快速发展，移动存储设备已成为人们日常中的一种重要的存储设备。通过将文件存放到移动存储设备来进行传递，可以使文件的传递变得十分方便、快捷；但同时也很容易引发数据安全问题，因为通常移动存储设备都不具备加密和身份认证功能，移动存储设备内的数据很容易被窃取。

现有技术中对移动存储设备的保护措施主要包括：通过秘钥对移动存储设备数据进行软加密，或者利用证书对移动存储设备进行身份认证。但现有的移动存储设备保护措施存在有以下缺陷：1、秘钥是无保护功能的，直接暴露在外部，很容易被恶意程序窃取；2、对移动存储设备数据的加解密过程也暴露在外部，使用起来也不安全；3、利用软件算法对移动存储设备的大量数据进行加密，速度较慢，需要花费较多时间。

技术实现要素：

本发明要解决的技术问题之一，在于提供一种实现移动存储设备保护的方法，该方法采用过滤驱动与可信平台模块相结合来实现对移动存储设备的保护，可以大大增加移动存储设备使用的安全性。

本发明是这样实现技术问题之一的：一种实现移动存储设备保护的方法，所述方法包括如下步骤：

步骤1、通过计算机的可信平台模块生成密钥和证书，将证书写入到移动存储设备的独立分区，将密钥存储在可信平台模块中；

步骤2、将移动存储设备插入计算机进行挂载，从移动存储设备获取证书并发送到可信平台模块进行身份认证；

步骤3、将对移动存储设备的读写操作数据先发送到可信平台模块中进行加解密，然后执行对移动存储设备的读写操作。

进一步地，所述步骤2具体为：

将移动存储设备插入到计算机进行挂载，移动存储设备过滤驱动程序从移动存储设备的独立分区中获取证书，并将证书发送到可信平台模块进行身份认证，且如果可信平台模块认证成功，则正常挂载移动存储设备；如果可信平台模块认证失败，则卸载移动存储设备。

进一步地，所述“如果可信平台模块认证失败，则卸载移动存储设备”为：

如果可信平台模块认证失败，则通过系统监控程序对拥有管理权限的用户提示是否对移动存储设备添加信任，若是，则将证书写入到移动存储设备的独立分区中，并正常挂载移动存储设备；若否，则卸载移动存储设备。

进一步地，所述步骤3具体包括：

步骤31、对移动存储设备发起操作请求，通过USB Mass Storage驱动程序判断发出的是读取数据请求还是写入数据请求，如果是读取数据请求，则进入步骤32；如果是写入数据请求，则进入步骤33；

步骤32、USB Mass Storage驱动程序将读取数据请求发送给USB总线驱动程序，USB总线驱动程序从移动存储设备中获取请求读取的数据，并将请求读取的数据返回给移动存储设备过滤驱动程序，由移动存储设备过滤驱动程序将请求读取的数据发送到可信平台模块进行解密处理；完成解密后，将解密的数据发送给USB Mass Storage驱动程序，并由USB Mass Storage驱动程序将解密的数据显示到计算机中；

步骤33、移动存储设备过滤驱动程序从USB Mass Storage驱动程序中截取请求写入的数据，并将请求写入的数据发送到可信平台模块进行加密处理；完成加密后，将加密的数据发送给USB总线驱动程序，并由USB总线驱动程序将加密的数据写入到移动存储设备中。

本发明要解决的技术问题之二，在于提供一种实现移动存储设备保护的系统，该系统采用过滤驱动与可信平台模块相结合来实现对移动存储设备的保护，可以大大增加移动存储设备使用的安全性。

本发明是这样实现技术问题之二的：一种实现移动存储设备保护的系统，所述包括秘钥证书生成模块、身份认证模块以及数据读写模块；

所述秘钥证书生成模块，用于通过计算机的可信平台模块生成密钥和证书，将证书写入到移动存储设备的独立分区，将密钥存储在可信平台模块中；

所述身份认证模块，用于将移动存储设备插入计算机进行挂载，从移动存储设备获取证书并发送到可信平台模块进行身份认证；

所述数据读写模块，用于将对移动存储设备的读写操作数据先发送到可信平台模块中进行加解密，然后执行对移动存储设备的读写操作。

进一步地，所述身份认证模块具体为：

将移动存储设备插入到计算机进行挂载，移动存储设备过滤驱动程序从移动存储设备的独立分区中获取证书，并将证书发送到可信平台模块进行身份认证，且如果可信平台模块认证成功，则正常挂载移动存储设备；如果可信平台模块认证失败，则卸载移动存储设备。

进一步地，所述“如果可信平台模块认证失败，则卸载移动存储设备”为：

如果可信平台模块认证失败，则通过系统监控程序对拥有管理权限的用户提示是否对移动存储设备添加信任，若是，则将证书写入到移动存储设备的独立分区中，并正常挂载移动存储设备；若否，则卸载移动存储设备。

进一步地，所述数据读写模块具体包括请求判断单元、数据读取单元以及数据写入单元；

所述请求判断单元，用于对移动存储设备发起操作请求，通过USB Mass Storage驱动程序判断发出的是读取数据请求还是写入数据请求，如果是读取数据请求，则进入所述数据读取单元；如果是写入数据请求，则进入所述数据写入单元；

所述数据读取单元，用于USB Mass Storage驱动程序将读取数据请求发送给USB总线驱动程序，USB总线驱动程序从移动存储设备中获取请求读取的数据，并将请求读取的数据返回给移动存储设备过滤驱动程序，由移动存储设备过滤驱动程序将请求读取的数据发送到可信平台模块进行解密处理；完成解密后，将解密的数据发送给USB Mass Storage驱动程序，并由USB Mass Storage驱动程序将解密的数据显示到计算机中；

所述数据写入单元，用于移动存储设备过滤驱动程序从USB Mass Storage驱动程序中截取请求写入的数据，并将请求写入的数据发送到可信平台模块进行加密处理；完成加密后，将加密的数据发送给USB总线驱动程序，并由USB总线驱动程序将加密的数据写入到移动存储设备中。

本发明具有如下优点：1、移动存储设备在接入计算机系统时，可信平台模块会对移动存储设备进行证书认证，且如果认证失败，就将移动存储设备卸载掉，即可以有效拦截非法移动存储设备的接入；2、移动存储设备加解密的密钥受可信平台模块保护，可以确保密钥的安全性，防止密钥被非法窃取；3、采用硬件加密引擎来对数据进行加密，在同样的算法下，其加密速度将远远优于软件加密；4、在使用时，用户或者上层应用程序不能够感知到存储在移动存储设备内的文件是被加密的，看起来与正常的移动存储设备(即无加解密功能的移动存储设备)没任何区别，使用起来极其方便。

附图说明

下面参照附图结合实施例对本发明作进一步的说明。

图1为本发明一种实现移动存储设备保护的方法的原理框图。

图2为本发明一种实现移动存储设备保护的方法的具体实施流程框图。

图3为本发明一种实现移动存储设备保护的系统的结构框图。

具体实施方式

请参照图1和图2所示，一种实现移动存储设备保护的方法，所述方法包括如下步骤：

步骤1、通过计算机的可信平台模块(TPM)生成密钥和证书，将证书写入到移动存储设备(例如U盘)的独立分区，在挂载移动存储设备时可以通过证书来对移动存储设备进行身份认证，将密钥存储在可信平台模块中，这可以使密钥受到可信平台模块的保护，确保密钥的安全性；

步骤2、将移动存储设备插入计算机进行挂载，从移动存储设备获取证书并发送到可信平台模块进行身份认证；

该步骤2具体为：

将移动存储设备插入到计算机进行挂载，移动存储设备过滤驱动程序从移动存储设备的独立分区中获取证书，并将证书发送到可信平台模块进行身份认证，且如果可信平台模块认证成功，则正常挂载移动存储设备；如果可信平台模块认证失败，则卸载移动存储设备。这里通过移动存储设备过滤驱动程序获取证书并发送给可信平台模块进行身份认证，可以有效拦截非法移动存储设备的接入，确保数据的安全。

为了方便管理，具有管理权限的用户还可以通过系统监控程序对指定的移动存储设备添加信任，在此时，所述“如果可信平台模块认证失败，则卸载移动存储设备”可以替换为：

如果可信平台模块认证失败，则通过系统监控程序(系统监控程序可以对接入的移动存储设备进行实时监控，以判断接入的移动存储设备是否添加了信任)对拥有管理权限的用户提示是否对移动存储设备添加信任，若是，则将证书写入到移动存储设备的独立分区中，并正常挂载移动存储设备；若否，则卸载移动存储设备。

步骤3、将对移动存储设备的读写操作数据先发送到可信平台模块中进行加解密，然后执行对移动存储设备的读写操作。

该步骤3具体包括：

步骤31、在移动存储设备正常挂载后，用户就可以对移动存储设备发起操作请求，且通过USB Mass Storage驱动程序判断发出的是读取数据请求还是写入数据请求，如果是读取数据请求，则进入步骤32；如果是写入数据请求，则进入步骤33；

步骤32、USB Mass Storage驱动程序将读取数据请求发送给USB总线驱动程序，USB总线驱动程序(bus driver)从移动存储设备中获取请求读取的数据，并将请求读取的数据返回给移动存储设备过滤驱动程序，由移动存储设备过滤驱动程序将请求读取的数据发送到可信平台模块进行解密处理；完成解密后，将解密的数据发送给USB Mass Storage驱动程序，并由USB Mass Storage驱动程序将解密的数据显示到计算机中；

步骤33、移动存储设备过滤驱动程序从USB Mass Storage驱动程序中截取请求写入的数据，并将请求写入的数据发送到可信平台模块进行加密处理，且采用硬件加密引擎来执行具体的加密工作；完成加密后，将加密的数据发送给USB总线驱动程序，并由USB总线驱动程序将加密的数据写入到移动存储设备中。

请重点参照图1和图3所示，一种实现移动存储设备保护的系统，所述包括秘钥证书生成模块、身份认证模块以及数据读写模块；

所述秘钥证书生成模块，用于通过计算机的可信平台模块生成密钥和证书，将证书写入到移动存储设备的独立分区，在挂载移动存储设备时可以通过证书来对移动存储设备进行身份认证，将密钥存储在可信平台模块中，这可以使密钥受到可信平台模块的保护，确保密钥的安全性；

所述身份认证模块，用于将移动存储设备插入计算机进行挂载，从移动存储设备获取证书并发送到可信平台模块进行身份认证；

该身份认证模块具体为：

将移动存储设备插入到计算机进行挂载，移动存储设备过滤驱动程序从移动存储设备的独立分区中获取证书，并将证书发送到可信平台模块进行身份认证，且如果可信平台模块认证成功，则正常挂载移动存储设备；如果可信平台模块认证失败，则卸载移动存储设备。这里通过移动存储设备过滤驱动程序获取证书并发送给可信平台模块进行身份认证，可以有效拦截非法移动存储设备的接入，确保数据的安全。

为了方便管理，具有管理权限的用户还可以通过系统监控程序对指定的移动存储设备添加信任，在此时，所述“如果可信平台模块认证失败，则卸载移动存储设备”可以替换为：

如果可信平台模块认证失败，则通过系统监控程序(系统监控程序可以对接入的移动存储设备进行实时监控，以判断接入的移动存储设备是否添加了信任)对拥有管理权限的用户提示是否对移动存储设备添加信任，若是，则将证书写入到移动存储设备的独立分区中，并正常挂载移动存储设备；若否，则卸载移动存储设备。

所述数据读写模块，用于将对移动存储设备的读写操作数据先发送到可信平台模块中进行加解密，然后执行对移动存储设备的读写操作。该数据读写模块具体包括请求判断单元、数据读取单元以及数据写入单元；

所述请求判断单元，用于在移动存储设备正常挂载后，用户就可以对移动存储设备发起操作请求，且通过USB Mass Storage驱动程序判断发出的是读取数据请求还是写入数据请求，如果是读取数据请求，则进入所述数据读取单元；如果是写入数据请求，则进入所述数据写入单元；

所述数据读取单元，用于USB Mass Storage驱动程序将读取数据请求发送给USB总线驱动程序，USB总线驱动程序(bus driver)从移动存储设备中获取请求读取的数据，并将请求读取的数据返回给移动存储设备过滤驱动程序，由移动存储设备过滤驱动程序将请求读取的数据发送到可信平台模块进行解密处理；完成解密后，将解密的数据发送给USB Mass Storage驱动程序，并由USB Mass Storage驱动程序将解密的数据显示到计算机中；

所述数据写入单元，用于移动存储设备过滤驱动程序从USB Mass Storage驱动程序中截取请求写入的数据，并将请求写入的数据发送到可信平台模块进行加密处理，且采用硬件加密引擎来执行具体的加密工作；完成加密后，将加密的数据发送给USB总线驱动程序，并由USB总线驱动程序将加密的数据写入到移动存储设备中。

总之，本发明具有如下优点：1、移动存储设备在接入计算机系统时，可信平台模块会对移动存储设备进行证书认证，且如果认证失败，就将移动存储设备卸载掉，即可以有效拦截非法移动存储设备的接入；2、移动存储设备加解密的密钥受可信平台模块保护，可以确保密钥的安全性，防止密钥被非法窃取；3、采用硬件加密引擎来对数据进行加密，在同样的算法下，其加密速度将远远优于软件加密；4、在使用时，用户或者上层应用程序不能够感知到存储在移动存储设备内的文件是被加密的，看起来与正常的移动存储设备(即无加解密功能的移动存储设备)没任何区别，使用起来极其方便。

虽然以上描述了本发明的具体实施方式，但是熟悉本技术领域的技术人员应当理解，我们所描述的具体的实施例只是说明性的，而不是用于对本发明的范围的限定，熟悉本领域的技术人员在依照本发明的精神所作的等效的修饰以及变化，都应当涵盖在本发明的权利要求所保护的范围内。