数据安全交换系统的制作方法

本发明涉及计算机技术领域，具体地，涉及一种数据安全交换系统。

背景技术：

随着计算机和网络技术的发展，个人数据、企业数据以及涉密数据面临着较为严重的涉密风险，尤其是政府机要、军队、工业、金融、医疗等重点领域。

目前，通过移动存储介质进行数据安全交换的方法主要有通过安装在计算机端的软件来对移动存储介质进行数据安全管理的方法，以及对usb闪存盘进行加密的方法。通过安装在计算机端的软件进行数据安全管理的方法的缺陷是完全在软件层面实现，很多时候容易被修改破解，无法真正保障安全。对usb闪存盘进行加密的方法存在只能使用专用usb闪存盘，无法适用于光盘等其他存储介质的缺陷。此外，还存在一旦出现损坏只能通过数据恢复软件来恢复而且不能够保证恢复成功的缺陷。因此，数据的安全无法得到真正保障。

技术实现要素：

本发明目提供了一种数据安全交换系统及数据安全交换方法，解决了数据的安全无法得到真正保障的问题。

本发明提供了一种数据安全交换系统，该数据安全交换系统包括：移动存储介质，用于以扇区为单位存储数据；加密装置，其与所述移动存储介质连接，用于在对用户进行验证后，对所述移动存储介质上的数据以扇区为单位进行加密和解密；以及数据终端，其与所述加密装置连接，用于根据用户的权限，将所述加密装置加密后的数据写入到所述移动存储介质，或读取所述加密装置解密后的数据。

进一步，其中，所述移动存储介质为光盘或专用u盘。

进一步，所述光盘存储有vendor-iso的完整镜像，所述专用u盘存储有dfs的完整镜像。

进一步，所述加密装置具有三个或更多个端口，所述三个或更多个端口至少包括光盘端口、u盘端口和usbkey端口。

进一步，所述三个或更多个端口还包括预留端口。

进一步，所述加密装置通过fpga提供硬件对称加密算法和非对称加密算法。

进一步，所述加密装置通过插入到其上的usbkey和usbkey密码来对用户进行验证。

进一步，所述移动存储介质的物理扇区包括用于存储配置信息和其他辅助信息的参数区和通过数据保护密码加密的加密数据区。

进一步，所述移动存储介质的参数区存储有用户在格式化专用u盘或刻录光盘时指定的加密密码。

进一步，所述数据终端上安装有数据安全管理系统，包括：管理中心模块，其被构造为对所述加密装置以及连接到所述加密装置上的设备进行管理；用户模块，其被构造为加密后的移动存储介质的读写操作接口以及对访问用户的接入认证；加密装置模块，其被构造为对移动存储介质中的数据以扇区为单位进行加密；移动存储介质模块，其被构造为将所述加密模块加密后的数据以扇区为单位存储到移动存储介质。

进一步，所述移动存储介质为光盘或专用u盘。

进一步，所述光盘存储有vendor-iso的完整镜像，所述专用u盘存储有dfs的完整镜像。

进一步，所述加密装置具有三个或更多个端口。

进一步，所述三个或更多个端口至少包括光盘端口、u盘端口、usb-key端口。

进一步，所述三个或更多个端口还包括预留端口。

进一步，所述加密装置用于在对用户信息验证之后，对所述移动存储介质中的数据进行加密和解密。

进一步，所述数据终端上安装有该数据安全交换管理系统，包括：设备管理模块，其被构造为对移动存储介质进行管理；客户端模块，其被构造为对所述设备管理模块所管理的所述移动存储介质进行访问；加密模块，其被构造为对所述客户端模块所访问的移动存储介质中的数据进行加密；存储模块，其被构造为对所述加密模块加密后的数据按照扇区进行存储。

本发明的有益效果为：通过加密装置对连接到其上的移动存储介质中数据内容进行加密和解密处理，并通过终端设备为操作用户设置不同的权限，保证非授权用户、系统、程序无法调用，从而保障数据的安全读写。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的数据安全交换系统的示意图。

图2是本发明实施例提供的数据安全交换系统中的数据终端上的数据安全交换管理系统的功能模块图。

图3是本发明实施例提供的数据安全交换方法的数据流图。

具体实施方式

下面结合附图及具体实施例对本发明做进一步阐释。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明实施例，并不用于限制本发明实施例。

图1示出了本发明实施例的数据交换系统的示意图。该数据交换系统包括移动存储介质1、加密装置2以及数据终端3。移动存储介质1以扇区为单位存储数据，例如为usb存储设备(专用usb闪存盘和光盘等)。加密装置2与移动存储介质1连接，用于在对用户进行验证后，对移动存储介质1上的数据以扇区为单位进行加密和解密。数据终端3与加密装置2连接，用于根据用户的权限，将加密装置2加密后的数据写入到移动存储介质1，或读取加密装置2解密后的数据。数据终端3的用户可以具有不同的权限，例如系统管理员权限、数据管理员权限、普通用户权限等。移动存储介质1可以直接挂载在数据加密装置2上，加密装置2与数据终端3采用usb协议进行通信。该数据交换系统只支持特殊定制的专用u盘，不支持普通u盘。光盘可以是普通的cd/dvd盘。usb存储设备、usbkey可以直接挂载在加密装置2上。在对usbkey中的用户信息验证之后，加密装置2对usb存储设备中的数据进行加密存储和解密浏览操作。通过加密装置2在验证用户信息之后对连接到其上的移动存储介质1中数据内容进行加密和解密处理，并通过终端设备3为操作用户设置不同的权限，保证非授权用户、系统、程序无法调用，从而真正保障数据的安全读写。

加密装置2的外部接口可以包括三个或更多个接口，例如分别为对应本系统中的光盘接口、专用u盘接口、usbkey接口以及与数据终端3通信的gadget接口。加密装置2可以通过fpga提供硬件对称加密算法和非对称加密算法。加密装置2通过usb接口与数据终端3进行连接，在数据终端3上呈现为一个普通的、未插入介质的usb驱动器，用户无法直接访问该驱动器。

加密装置2在windows系统上呈现为标准的usb驱动器，在实现上数据终端3可通过标准的应用层api对其进行访问，借助其提供的scsi通道实现对插入到加密装置2的移动存储介质1的访问，而无需专门的windows驱动程序的配合。因此，可实现在windows平台下各版本间的良好兼容性和稳定性，能够以一套程序实现winxp、win7、win8(包括32位和64位)的二进制兼容，同时有良好的向后预兼容能力。在提升易用性的同时也降低了本系统的后期管理和维护成本。

数据终端3通过该驱动器的scsi通道，向windows内核发送封装了定制协议的scsi命令，由windows内核驱动自动转换scsi命令字为usb命令字，并发送给加密装置2的usb内核驱动层；在加密装置2内核层的gadget驱动将usb协议还原为scsi命令字，之后再由协议转换驱动解析为定制协议；在加密装置2的应用层，vdk逻辑存储层,用于同一u盘和光盘的存储接口，读取定制协议包，将其解析为客户端程序读、写操作请求，然后按命令字要求对加密装置2及插入加密装置2的移动存储介质1进行操作。同时，vdk服务也承担了加/解密转换、访问权限最终审核、日志记录、介质插入通知等任务。

图2是本发明实施例提供的数据安全交换系统中的数据终端3上的客户端程序的功能模块图。该客户端程序为数据安全管理系统，包括：包括管理中心模块、用户模块、加密装置模块和移动存储介质模块。管理中心模块用于实现设备管理功能，即，对加密装置以及连接到加密装置上的设备进行管理，例如包括注册、注销、停用、日志读取、日志存储等配置管理。用户模块用于实现用户对加密后的移动存储介质的读写操作接口，例如通过windowsgui界面提供文件的导入、导出、重命名、删除等基本操作，以及对访问用户的接入认证；加密装置模块，用于对移动存储介质进行加密，例如对光盘的加密刻录、对u盘数据的加密存储。通过vdk逻辑层存储，在实现存储的同时还为数据终端3的用户操作提供接口支持、协议转换、加/解密转换、访问权限最终审核、日志记录、介质插入通知等功能。移动存储介质模块用于将数据在移动存储介质上按扇区进行加密存储，例如通过定制的专用的u盘的定制文件系统镜像(vendor-ufs文件系统)支持文件在u盘上按扇区进行加密存储；通过光盘中存储的扩展iso文件系统镜像(vendor-iso文件系统)满足在光盘上实现加密数据和明文数据共同存储，并限制无权限用户对加密数据进行访问。

图3为根据本发明实施例提供的数据安全交换系统的数据存储流程图。用户通过在数据终端3安装的客户端程序访问移动存储介质1中的数据，数据在写入到移动存储介质1时通过加密装置2进行加密，读取时通过加密装置2进行解密。用户在格式化专用u盘或刻录光盘时指定加密密码，密码经过hash变换后存储到移动存储介质1的参数区。当加密后的u盘或光盘通过加密装置2接入数据终端3时，用户需要输入密码，并且在验证通过后可进行正常的文件操作。

数据终端3在内部实现与vdk的交互逻辑，以访问加密后的移动存储介质1中的数据文件。在加密模块中实现vdk逻辑存储层，以便统一管理u盘介质和光盘介质。数据终端3通过vdk访问用户文件，并以树状结构展示给终端用户，同时对操作日志进行记录(日志数据统一存储在加密装置2的数据分区中)。

vdk逻辑存储层运行在加密装置2的操作系统上，通过操作系统api访问光盘端口a，通过硬件厂商提供的api访问u盘端口和usbkey端口，同时通过硬件厂商提供的算法接口对进出介质的数据做加解密转换。

vdk统一了cd和u盘的介质类型，上层应用程序不必关心是何种移动介质，以达到统一的格式读写数据。光盘介质中存储有vendor-iso的完整镜像，u盘介质中存储dfs的完整镜像。

用户数据在写入介质前均是明文格式，在写入介质时进行加密；从介质读出后进行解密。

u盘介质数据以扇区为单位进行加密，u盘为2048字节，光盘为2048字节。加密过程对用户透明，由加密装置2自动完成。u盘的前63扇区为公共数据区，不进行加密，用于存放指定格式的数据。

光盘介质为自定义iso格式，包含明文部分和密文部分，非授权用户可像普通光盘一样访问明文部分。只有授权认证通过的用户才能访问密文数据区。

加密装置2通过usbkey进行管理。管理员通过设备管理模块绑定一个usbkey和一个空白加密装置，即完成初始化。对已经绑定usbkey的加密装置，管理员可以进行解绑定。加密装置硬件支持内置的guid识别码，任何人无法改变该识别码。设备管理模块可读取任意加密装置的日志信息，但不能通过加密装置2访问加密的移动存储介质1中的数据。普通用户访问加密介质中的数据必须通过加密装置2进行，无法直接插入数据终端3进行操作。普通用户需插入对应的usbkey才可访问加密介质。否则，数据终端3不显示插入介质的任何信息。普通用户在usbkey认证通过后可看到介质，但要访问介质中的数据，需输入该介质对应的密码。普通用户在usb认证通过后可以格式化u盘或刻录光盘，此时需要用户输入格式化密码，以后读取或写入操作时需验证该密码。用户可以格式化已有密码保护的u盘，而不需要原来的密码，但原始数据将被破译。普通用户和管理员用户对加密介质的任何操作、访问都会记录日志，并集中存储到加密装置2中。存储介质的日志读取或清空数据须由管理员操作，普通用户无法进行。

数据以扇区的形式加密后存储在移动介质1中，授权用户通过数据终端3访问介质中的数据，未经授权的用户、第三方程序、系统进程都不能直接访问加密数据。授权用户可以通过客户端程序可执行的操作包括：向专用u盘中添加文件、把文件刻录到光盘中、导出文件到数据终端3中、删除/重命名专用u盘中的文件。所有的操作将被跟踪记录，并保存在所连接的加密装置2的日志系统中，该日志仅能通过管理员权限导出备份。

用户需插入身份认证usbkey到加密装置2中，才可连接到数据终端3。客户端程序连接到加密装置2后可查看到加密装置2上插入的所有移动介质，但要打开介质查看其中的数据文件，则需输入数据保护密码。数据保护密码由用户在光盘刻录时、或专用u盘格式化时自行设置的。光盘数据保护密码不可修改，专用u盘可通过再次格式化重新设置密码(原始据将被销毁)。

数据保护密码用于对用户的数据扇区进行加密。用户设置的数据保护密码通过sha-512变换、加载、再次sha-512变换后存储在介质的参数区，当介质被加载时进行验证，验证通过后正式加载该介质，当用户读写介质扇区时，加密装置2中的硬件算法使用该密码进行加解密处理。数据保护密码由用户妥善保存，如果遗忘则没有任何方法恢复加密数据。数据加密算法保存在加密装置2中。

设备管理模块用于初始化绑定加密装置或清空加密装置，并对加密装置中的操作日志进行读取或维护。当用户选择注册时，设备管理模块提示用户在加密装置上插入usbkey并输入usbkey密码，进行绑定初始化。当用户选择注销时，设备管理模块提示用户在加密装置上插入usbkey并输入usbkey密码，然后进行解绑定并清理各种数据。一个usbkey可注册多个加密装置，但一个加密装置不能有多个usbkey。

u盘数据在介质上以扇区为单位进行存储，例如可以通过unix文件系统进行管理。vendor-ufs文件系统是类似于fat格式的磁盘文件系统，特别处理了缓存机制，在提高io的同时能保证明文数据和密文数据的同步性，当介质被意外拔出时保证文件系统的安全性。

数据区按照unix文件系统格式存储，通过目录表和簇链管理文件数据。根据加密u盘的硬件特性，扇区的大小固定为2048字节，当u盘物理容量大于256mb时每簇2个扇区(dws数据终端＝2)，当小于256mb时每簇1个扇区，不支持物理容量小于128m的u盘。vendor-ufs最大簇号为0xffffff8，因此支持的最大u盘为：

0xffffff8*4k/1024/1024＝1023gb字节。

客户端程序负责解析unix文件系统中的文件，并把文件请求转换为扇区请求后传递给加密装置2，加密装置2对指定的扇区进行加解密后把结果返回给客户端程序。加密装置vdk服务只处理扇区，不关心文件的内容，这样可以把大部分操作交由数据终端3处理，从而减轻加密装置的负载。

unix文件系统文件系统本身不会对读写速度有较大影响，写入速度可达到20mbps，读取速度可达到60mbps(在专用u盘本身速度满足的情况下)。

光盘数据在介质上以扇区为单位进行存储，通过vendor-iso文件系统进行管理。vendor-iso文件系统是类似于标准的iso格式，特别处理了明文区和密文区的情况。以便普通用户能访问明文区的内容，授权用户访问密文区的内容。

数据区内容按照扇区进行存储和加密，扇区的大小固定为2048字节，存储的容量取决于物理光盘的实际容量。

光盘物理扇区的前5mb字节(pre_iso_bytes)为参数区，该参数区是一个标准的iso格式(这里定义为pre_iso)，标称大小为5mb。在pre_iso的开始几个扇区存储用于存储配置信息和其他辅助信息。之后紧接着是加密数据区，加密区也是标准的iso格式，但是用数据保护密码进行了加密。

客户端程序负责解析iso格式中的文件，并把文件请求转换为扇区请求后传递给加密装置2，加密装置2对指定的扇区进行加解密后把结果返回给客户端程序。加密装置vdk服务只处理扇区，不关心文件的内容，这样可以把大部分操作交由数据终端3处理，从而减轻加密装置的负载。

客户端程序在刻录光盘时，先在本地生成一个标准的iso文件，其中包含用户要刻录的内容。然后，在该iso前面附加pre_iso，并在pre_iso的开始扇区填充相应的参数内容。在刻录时将生成好的文件作为数据载荷，通过传输协议的命令请求流式传递给加密装置2。

加密装置一边刻录以便接收载荷数据流，而不是全部接收后再进行刻录。在刻录的同时，根据参数区的信息指定的偏移地址开始进行加密后写入，在此之前的pre_iso部分都是明文直接写入。

刻录进程自动识别介质的类型(cd/dvd)，并以相应的编码格式写入。客户端程序无需关心。客户端程序需要处理的是以阻塞方式读取刻录的过程信息，进度信息等展示给用户。刻录的过程信息是文本格式。

用户接入加密装置2到数据终端3时，数据终端3上的客户端程序与加密装置2建立连接会话，此时要求用户输入usbkey密码，在usbkey匹配成功后，建立有效的会话。vdk会生成随机的会话id返回给客户端程序，之后客户端程序发起的所有的操作都要附带该会话id，vdk在响应操作请求时验证该会话id，否则拒绝执行所请求的操作。

用户打开专用u盘时输入数据保护密码，客户端程序根据数据保护密码哈希的生成规则生成哈希值，通过fs_set_media_pass函数传递给加密装置2，加密装置2中的vdk服务将该哈希值与存储在参数区的哈希值进行匹配，否则将拒绝加载该u盘的数据。在加载u盘数据后，对用户读请求用该哈希值进行解密，对用户写请求用该哈希值进行加密。

本发明不局限于上述可选的实施方式，任何人在本发明的启示下都可得出其他各种形式的产品。上述具体实施方式不应理解成对本发明的保护范围的限制，本发明的保护范围应当以权利要求书中界定的为准，并且说明书可以用于解释权利要求书。