本发明涉及一种usb存储介质透明加密方法。
背景技术:
当前,国内外已经存在诸多usb存储介质数据安全保护的产品。业界对于此类产品的功能和定位非常清晰,涉及的产品功能、应用场景等方面也比较明确。大部分产品仅专注于其中一方面。商用领域有加密优盘,主要解决移动存储数据安全问题,但大多采用的是文件级别加密,没有考虑磁盘加密以及对数据输入输出控制。国内也有很多应用软件,提供了数据输入输出控制以及基于文件级别加密保护,但其在宿主机操作系统中实现,安全应用推广以及访问速度有限,同时对移动存储介质的支持不完善。也有软件实现了移动存储介质的全盘加密,但对存储介质上的数据读写必须采用第三方软件,不能进行其他操作,大大改变了用户的操作习惯。
技术实现要素:
为了克服现有技术的上述缺点,本发明提供了一种usb存储介质透明加密方法,实现了计算机对usb存储介质读写的透明加密保护功能,通过分析计算机与usb存储介质之间交互的usb数据流,将控制命令和用户数据进行分流,对控制命令进行透传处理,对用户数据进行保护操作,保障用户数据存储的安全可靠性和合法性。本发明的应用不影响用户对usb存储介质数据的访问方式,可作为一个独立模块集成在相关安全设备中。
本发明解决其技术问题所采用的技术方案是:一种usb存储介质透明加密方法,包括如下内容:
一、usb存储介质检测模块完成usb存储介质的识别与配置,同时对usb存储介质的设备标识、事件信息等根据需求自定义上报或延时上报给上位机系统;
二、usb存储介质控制管理模块对usb存储介质进行用户身份及访问权限的认证和鉴定,并根据配置的安全策略实现对usb存储介质的管控;
三、usb数据解析模块解析访问usb存储介质所需的命令块包、状态块包和普通数据,分流控制命令操作和usb数据操作;
四、数据安全服务模块利用高速总线接口,提供基于扇区全盘保护功能的安全保护服务和安全管理服务。
与现有技术相比,本发明的积极效果是:
1)所有来自终端采用本发明方法写入usb存储介质的用户数据,均被加密保护后再被写入;
2)采用全盘保护技术的存储介质,其存储内容无法被普通计算机解析识别;
3)usb存储介质即便被强制性写入病毒或木马,解密后得到无效数据,无法对终端造成危害;
4)用户可以像使用普通usb存储介质一样对usb加密存储介质进行任意操作,最大程度遵循了用户的操作习惯。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为本发明的原理框图。
具体实施方式
本发明的工作原理如图1所示,采用本发明的管控设备在完成usb存储介质的用户身份和访问权限的认证和鉴定后,得到了保护用户数据的相关信息。设备通过解析计算机与usb存储介质之间进行通信的usb数据,将操作存储介质的控制命令直接放行,对usb数据命令中的用户数据进行保护操作,在实现终端用户透明访问加密存储介质功能的同时,能有效地防止敏感信息明文被输出到usb存储介质。
一种usb存储介质透明加密方法,包括如下内容:
一、usb存储介质检测模块
usb存储介质插入后,系统调用该模块对设备进行搜索,要求usb存储介质提供相应的描述符。获取到相应描述符后,即完成对插入设备的配置,识别出基于bulk-only传输的大容量设备,进入bulk-only传输方式。该技术实现如下:
1)netlink是一种在内核进程和应用进程之间进行进程间通信方式,为内核进程与应用进程搭建了一条高效的快速通道。利用netlink,内核进程可以快速检测出usb存储介质设备热插拔事件,并及时通知用户进程快速处理;
2)当系统检测到usb存储介质设备插入或拔除事件,内核使用uevent事件通知用户空间。处于用户空间的应用进程使用标准sockapi创建socket,实现应用进程与内核进程之间的双向数据通信,处理检测到的usb热插拔事件;
3)利用netlink检测到usb存储介质设备插入,构造scsi命令查询usb存储介质设备信息,识别usb存储介质设备标识、存储容量等介质信息;
4)根据usb存储介质设备信息匹配配置策略,区分该usb存储介质是否为合法的存储设备。
系统利用此技术可以自动完成usb存储介质的识别与配置,同时对设备标识、事件信息等可以根据需求自定义上报或延时上报给上位机系统中。
二、usb存储介质控制管理模块
完成对usb存储介质检测识别后,该模块对该usb存储介质进行用户身份和访问权限认证和鉴定,根据管理模块配置的安全策略实现对该usb存储介质管控。该模块技术实现如下:
1)上位机系统管理策略允许usb存储介质接入,usb存储介质控制管理模块自动上报插入的usb存储介质信息;
2)如果无法识别usb存储介质文件系统,控制管理模块格式化usb存储介质;如果能够正常识别usb存储介质文件系统,控制管理模块则将usb存储介质以独立的磁盘分区形式展现在上位机系统中;
3)上位机系统管理策略只允许该特定设备标识的usb存储介质接入,禁止其他usb外设接入。usb存储介质控制管理模块根据设备标识匹配插入的usb设备,仅上报匹配允许的usb存储介质设备信息;
4)usb存储介质控制管理模块根据上位机系统管理策略配置,可对已接入usb存储设备的进行断开连接操作。
采用此模块可以有效地对接入的usb存储介质进行合法管控,在涉密敏感和安全管控环境中可以防止用户利用系统漏洞进行非法设备的接入,进行敏感数据的非法导出访问。
三、usb数据解析模块
usb存储介质在经过用户身份和访问权限的认证和鉴定后,以独立的磁盘分区形式展现在上位机系统中。该技术研究了实际应用中所遵从的usbmassstorage类规范和usbmassstoragebulk-only传输规范,设计了一套基于此规范的数据处理模块。该技术具体实现为:
1)命令数据过滤处理。解析访问usb存储介质所需的cbw(commandblockwrapper,命令块包)、csw(commandstatuswrapper,状态块包)和普通数据。分流控制命令操作和usb数据操作。某些控制命令操作需要usb存储介质反馈相应的操作结果,模块需要识别与过滤此类命令;
2)解析从上位机系统中发送的cbw,分析命令块中的scsi命令子集,执行相关操作:对usb存储介质写入的数据进行加密保护,对usb存储介质读取的数据进行解密还原,使usb存储介质可以很方便地通过usb与上位机系统进行数据通讯;
3)同理解析从usb存储介质返回的当前命令执行状态的csw。
用户通过该技术可以像使用普通usb存储介质一样对usb加密存储介质进行任意操作,不改变用户对usb加密存储介质上存储文件的访问方式。用户感知不到访问数据的保护恢复过程,最大程度的贴近了用户的操作习惯,满足了用户的业务需求。
四、数据安全服务模块
该技术利用高速总线接口,提供基于扇区加解密等功能的高速安全保护服务和安全管理服务。实际应用中对usb存储介质进行操作,用户数据的保护输出和还原输入均由该技术进行透明调用实现,无需用户人工参与。该技术具体实现为:
1)在磁盘扇区全盘保护技术方案中,保护分组算法工作模式采用xts模式。与传统的分组密码加密模式相比,xts模式多了调整值(tweak,也称为调柄)的输入。这个调整值的增加,相比ecb模式大大增强了加密强度,并在保障安全性的同时给分组密码带来了更大的灵活性;
2)基于高速总线接口的安全服务调用接口,克服了由于软件加密算法计算速度慢,影响usb用户数据传输所带来的瓶颈问题;
3)usb存储介质采用磁盘扇区全盘保护技术方案。加密保护操作对操作系统是透明的,支持多种操作系统下的usb存储介质数据加密保护。
根据usb存储介质磁盘扇区全盘保护技术方案,利用数据安全服务技术将usb存储介质上的文件系统和用户数据一起加密保护。当非法者操作时,该usb存储介质会被系统误认为是一块没有格式化的空白介质,可以有效地防止攻击。usb存储介质上的文件系统是被加密保护的,可以防止误插非密计算机导致的感染病毒和木马。