本发明涉及一种基于xts加密模式的光盘多段刻录加密方法。
背景技术:
物理隔离的网络之间,单机之间或者网络之间需要离线交换电子文档时,常使用的方式是采用光盘作为敏感信息的存放介质。采用光盘交换,具有便于移交和销毁的优点,但当前通常采用数据输入输出控制软件操作光驱刻录进行数据交换光盘制作,其上存放的数据一般采用公开算法加口令加密的方式对文件进行保护,安全防护能力有限。光盘失控时,可通过普通光驱直接读取光盘存放的数据,并采用分析和破解工具可能还原出数据的明文。
技术实现要素:
为了克服现有技术的上述缺点,本发明提供了一种基于xts加密模式的光盘多段刻录加密方法,实现了基于扇区加密的光盘数据保护机制。光盘多段刻录技术利用专用设备刻录第一段的参数信息,操作终端通过设备透明保护地自主刻录第二段用户数据,保障了用户数据光盘存储的安全可靠性和合法性。本发明充分提升了电子文档通过光盘进行交换的安全防护能力,方便用户使用。
本发明解决其技术问题所采用的技术方案是:一种基于xts加密模式的光盘多段刻录加密方法,首先将光盘分为参数区和数据区分别进行刻录,参数区刻录时对参数信息进行置乱处理,并在完成参数区和数据区的刻录后,对光盘进行封盘,并禁用光盘的续刻功能;然后利用:
一、usb光驱检测模块完成usb光驱设备的识别与配置,同时对usb光驱设备的设备标识、事件信息等根据需求自定义上报或延时上报给上位机系统;
二、usb光驱控制管理模块对usb光驱设备进行用户身份及访问权限的认证和鉴定,并根据配置的安全策略实现对usb光驱设备的管控;
三、usb数据解析模块解析访问usb光驱设备所需的命令块包、状态块包和普通数据,分流控制命令操作和usb数据操作;
四、数据安全服务模块利用高速总线接口,提供基于扇区全盘保护功能的安全保护服务和安全管理服务。
与现有技术相比,本发明的积极效果是:
1)所有来自终端采用本发明方法写入光盘的用户数据,均被加密保护后再被写入;
2)采用多段刻录、全盘保护技术的光盘数据,其存储内容无法被普通计算机解析识别;
3)用户可以像使用普通光盘一样对加密光盘进行任意操作,最大程度地满足了用户的操作习惯。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为本发明的原理框图。
具体实施方式
本发明的工作原理如图1所示,采用本发明的管控设备在完成usb光驱的用户身份和访问权限的认证和鉴定后,得到了保护用户数据的相关信息。设备通过解析计算机与usb光驱之间进行通信的usb数据,将对usb光驱的控制命令直接放行,对usb数据命令中的用户数据进行保护操作,在实现终端用户透明访问加密光盘文件功能的同时,能有效地防止敏感信息明文被输出到光盘中。本发明利用设备刻录第一段参数信息,利用终端通过设备透明保护地自主刻录第二段用户数据,保障了用户数据光盘存储的安全可靠性和合法性。
一种基于xts加密模式的光盘多段刻录加密方法,包括如下内容:
一、usb光驱检测模块
usb光驱插入后,系统调用该技术对设备进行搜索,要求usb光驱提供相应的描述符。获取到相应描述符后,即完成对插入光驱设备的配置,识别出基于bulk-only传输的光驱设备,进入bulk-only传输方式。该技术实现如下:
1)netlink是一种在内核进程和应用进程之间进行进程间通信方式,为内核进程与应用进程搭建了一条高效的快速通道。利用netlink,内核进程可以快速检测出usb光驱设备热插拔事件,并及时通知用户进程快速处理;
2)当系统检测到usb光驱设备插入或拔除事件,内核使用uevent事件通知用户空间。处于用户空间的应用进程使用标准sockapi创建socket,实现应用进程与内核进程之间的双向数据通信,处理检测到的usb热插拔事件;
3)利用netlink检测到usb光驱设备插入,构造scsi命令查询usb光驱设备信息,识别usb光驱设备标识、光驱类型等设备信息,识别是否插入光盘,判断所插光盘类型;
4)根据usb光驱设备信息匹配配置策略,区分该usb光驱设备是否为合法的光驱设备。
系统利用此技术可以自动完成usb光驱的识别与配置,同时对设备标识、事件信息等可以根据需求自定义上报或延时上报给上位机系统中。
二、usb光驱控制管理模块
完成对usb光驱检测识别后,该模块对该usb光驱进行用户身份和访问权限认证和鉴定,根据管理模块配置的安全策略实现对该usb光驱管控。该模块技术实现如下:
1)上位机系统管理策略允许usb光驱接入,usb光驱控制管理模块自动上报插入的usb光驱设备信息;
2)控制管理模块将usb光驱以独立的设备形式展现在上位机系统中;
3)上位机系统管理策略只允许该特定设备标识的usb光驱接入,禁止其他usb光驱接入,usb光驱控制管理模块根据设备标识匹配插入的usb光驱,仅上报匹配允许的usb光驱设备信息;
4)usb光驱控制管理模块根据上位机系统管理策略配置,可对已接入usb光驱进行断开连接操作。
采用此技术可以有效地对接入的usb光驱进行合法管控,在涉密敏感和安全管控环境中可以防止用户利用系统漏洞进行非法设备的接入,进行敏感数据的非法导出访问。
三、usb数据解析模块
usb光驱在经过用户身份和访问权限的认证和鉴定后,以独立的设备形式展现在上位机系统中。该技术研究了实际应用中所遵从的usbmassstorage类规范和usbmassstoragebulk-only传输规范,设计了一套基于此规范的数据处理模块。该技术具体实现为:
1)命令数据过滤处理。解析访问usb光驱光盘数据所需的cbw(commandblockwrapper,命令块包)、csw(commandstatuswrapper,状态块包)和普通数据。分流控制命令操作和usb数据操作。某些控制命令操作需要usb光驱反馈相应的操作结果,模块需要识别与过滤此类命令;
2)解析从上位机系统中发送的cbw,分析命令块中的scsi命令子集,执行相关操作:对光驱光盘写入的数据进行加密保护,对光驱光盘读取的数据进行解密还原,使光驱设备可以很方便地通过usb与上位机系统进行数据通讯;
3)同理解析从usb光驱返回的当前命令执行状态的csw。
用户通过该技术可以像使用普通usb光驱一样对光盘数据进行任意操作,不改变用户对光盘上存储文件的访问方式。用户感知不到访问数据的保护恢复过程,最大程度的贴近了用户的操作习惯,满足了用户的业务需求。
四、数据安全服务模块
该技术利用高速总线接口,提供基于扇区加解密等功能的高速安全保护服务和安全管理服务。实际应用中对光盘数据进行操作,用户数据的保护输出和还原输入均由该技术进行透明调用实现,无需用户人工参与。该技术具体实现为:
1)在磁盘扇区全盘保护技术方案中,保护分组算法工作模式采用xts模式。与传统的分组密码加密模式相比,xts模式多了调整值(tweak,也称为调柄)的输入。这个调整值的增加,相比ecb模式大大增强了加密强度,并在保障安全性的同时给分组密码带来了更大的灵活性;
2)基于高速总线接口的安全服务调用接口,克服了由于软件加密算法计算速度慢,影响usb用户数据传输所带来的瓶颈问题;
3)光盘采用磁盘扇区全盘保护技术方案。加密保护操作对操作系统是透明的,支持多种操作系统下的光盘数据加密保护。
根据光盘扇区全盘保护技术方案,利用数据安全服务技术将光盘上的文件系统和用户数据一起加密保护。当非法者操作时,该光盘会被系统误认为是一块没有数据的空白介质,可以有效地防止攻击。
五、光盘数据多段刻录技术
采用很多工具和技术,可以容易地对其他usb存储介质实现逻辑分区。但是光盘的访问和控制特性限制了对其分区的手段。该技术利用光盘具有独特的多段刻录的特性实现类似逻辑分区的功能。
该技术具体实现为:
1)加密光盘由两个数据段组成:第一段为参数区,可由设备自行维护、组织光盘的使用信息、光盘保护所需信息等,设备自动进行刻录。第二段为数据区,使用用户端软件的刻录工具进行刻录;
2)完成两段数据段刻录后,该技术对光盘进行封盘,禁用光盘的续刻功能。
当终端通过光驱访问加密光盘时,两个数据段都被终端操作系统识别。但第一段的参数数据是被专用软件进行置乱处理,攻击者无法识别其真实含义,因而确保了此加密光盘的安全性。该技术对光盘多段刻录后封盘,禁用光盘的续刻功能,可以有效防止非法用户对此光盘数据的非法访问和操作。