本发明专利技术公开了一种安全移动存储设备及利用其实现数据安全交换的方法。本发明专利技术以移动存储设备为存储介质,以资源管理器为辅助工具,通过移动存储设备的多分区特点,在内网安全环境域内,使用资源管理导出数据到移动存储设备的交换区,在外网环境使用身份认证程序身份认证通过以后,将数据从移动存储设备的交换区导出到外网主机,实现数据在内网与外网之间的交换。这种方法不但保证了数据交换过程中的安全,同时移动存储介质采用整盘加密技术,又防止数据因设备丢失、被盗造成的丢失泄密,保证了数据整个生命周期。
【技术实现步骤摘要】
本专利技术属于信息安全和计算机软件
,具体涉及一种安全移动存储设备及 利用其实现数据在内网与外网之间进行安全交换的方法。
技术介绍
移动存储设备,如U盘、移动硬盘等,因其使用灵活、方便的特性使得它在单位信 息化过程中迅速得到了广泛的应用,越来越多的敏感信息、秘密数据和档案资料被随意的 拷贝、存贮在移动存储介质里。但是移动存储设备为信息传递带来便捷的同时,也给信息 安全保密工作带来严重的威胁。单位和个人持有的移动存储设备不区分,单位信息和个人 信息同时存储在同一个存储设备中,秘密信息保管不善或恶意木马病毒带入单位计算机网 络,这都给单位的信息资源带来了巨大的安全隐患,例如移动存储设备交叉使用、木马摆 渡、病毒传播、丢失泄密等导致了信息的严重泄露,给政府、军队和企业带来了重大的损失。为了保证政府机关、军队以及保密企业内部信息的安全,国家对于政府机关、军队 以及保密企业不得不采取网络物理隔离,然而网络的物理隔离使其信息的安全性得到了一 定的保障, 却给数据交换带来了一道屏障,使得数据安全交换成为难点,因此数据隔离与数 据交换成为当前的一个矛盾。因此,在保证政府、军队和企业网络安全隔离的前提下,利用移动存储设备实现数 据在内网与外网之间的安全交换具有十分重要的意义。
技术实现思路
本专利技术的目的在于提供一种安全移动存储设备及利用其实现数据安全交换的方 法,保证内网与外网之间利用移动存储设备进行数据安全的交换。本专利技术提供的安全移动存储设备,其特征在于该设备内置认证处理器、主控芯 片、加密芯片以及数据存储磁盘。其中认证处理器用于主机与移动存储设备的双向身份认证;主控芯片根据不同的 协议指令进行模块关系调度;加密芯片用于加密所有存储于磁盘分区上的数据,实现磁盘 的整盘加密;数据存储磁盘分为软件区、安全区和交换区,其中,软件区以只读的存储区域 模式加载,存储交换区身份认证程序,该区域为只读区域,防止病毒或木马感染;安全区只 允许在内网通过双向身份认证以后才能被加载,该存储区数据进行高强度加密存储,提供 机密数据存储功能;交换区允许在外网通过身份认证后由软件区自动切换到交换区,不影 响用户实际使用习惯。本专利技术方法使用到的另外一种安全资源管理器,其结构包括windows磁盘分区 展现模块、移动存储设备交换区文件展现模块、windows磁盘读写模块、移动存储设备交换 区读写模块、交换权限控制模块、文件系统模块以及USB通信协议模块。其中文件系统模块和USB通信协议模块提供安全资源管理器读取移动存储设备 的交换区文件数据。交换权限控制模块控制移动存储设备交换区与内网主机磁盘数据进行交换的权限,包括禁止交换、单向交换、双向交换。基于上述的移动存储设备及安全资源管理器,实现内网与外网数据安全交换的方 法,其步骤如下1、数据从内网主机导入到移动存储设备,流程如下(a)移动存储设备接入内网主机,被主机识别。(b)主机与移动存储设备进行双向身份认证,windows资源管理器识别移动存储 设备的安全区。(c)身份认证通过以后,安全资源管理器识别移动存储设备的交换区。(d)在权限的控制下,使用安全资源管理器将磁盘上需要交换的数据拖放于移动 存储设备的交换区。(e)完成了数据从内网主机导入到移动存储设备。2、数据从移动存储设备导出到外网主机,流程如下(a)移动存储设备接入外网主机,被主机识别,windows资源管理器识别移动存储 设备的软件区。(b)使用软件区中的身份认证工具,进行身份认证,认证通过以后,软件区自动切 换到移动存储设备的交换区。(c)将移动存储设备交换区中需要导出的数据拖放到外网主机磁盘上。 (d)完成了数据从移动存储设备导出到外网主机。3、完成数据从内网主机到外网主机之间的交换过程。本专利技术提供了一种利用移动存储设备实现数据安全交换的方法,本方法以移动存 储设备为存储介质,以安全资源管理器为辅助工具,利用移动存储设备的多分区及磁盘整 盘加密的特点,在内网安全环境域内,使用安全资源管理器将数据从内网主机导入到移动 存储设备的交换区,在外网环境使用身份认证程序身份认证通过以后,将数据从移动存储 设备的交换区导出到外网主机,实现数据在内网与外网之间的交换。这种方法不但保证了 数据交换过程中的安全,同时移动存储介质采用整盘加密及双向身份认证技术,防止了数 据在交换过程中因设备丢失、被盗造成的丢失泄密,保证了交换过程整个生命周期数据的 安全。附图说明图1表示利用移动存储设备实现数据安全交换的技术原理图;图2表示移动存储设备内部结构图;图3表示安全资源管理器模块结构图;图4表示内网与外网主机数据交换过程中数据流向示意图;图5表示数据从内网主机导入到移动存储设备的交换流程图;图6表示数据从移动存储设备导出到外网主机的交换流程图。具体实施例方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完 整的描述。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。图1描述了利用移动存储设备和安全资源管理器实现数据安全交换的技术原理, 该技术原理结合硬件层移动存储设备和应用层安全资源管理器对数据安全交换的方法进 行了描述,下面结合附图对移动存储设备、安全资源管理器以及利用移动存储设备和安全 资源管理器进行数据安全交换的方法分别进行详细的说明。本专利技术方法所使用到的移动存储设备内部结构,如图2所示,其内部结构分为内 置认证处理器、主控芯片、加密芯片以及数据存储磁盘,各模块功能如下1、认证处理器,主要使用“挑战-应答”方式进行双向身份认证,包括主机认证移 动存储设备和移动存储设备认证主机的合法性。主机认证移动存储设备,其步骤如下(a)、主机产生随机数,使用外部认证协议指令将随机数和主机码发送给移动存储 设备;(b)、移动存储设备的认证处理器根据接收的主机码查找预先设定的与该主机绑 定的密钥值,用该密钥值加密随机数,使用指令将加密后的随机数返回给主机;(c)、主机使用本机保存的密钥对产生的随机数进行加密,与接收到的加密的随机 数进行比较,一致则主机认为移动存储身份信息合法,认证成功;否则主机认为移动存储身 份信息非法,认证失败。移动存储设备认证主机,其步骤如下(a)、移动存储设备产生随机数,使用指令将随机数发送给主机;(b)、主机使用本机保存的密钥值对接收到的随机数进行加密,使用指令将加密后 的随机数和本机主机码返回给移动存储设备;(C)、移动存储设备根据接收的主机码查找相应的密钥值,使用该密钥值对随机数 进行加密,与接收到的加密的随机数进行比较,一致则移动存储设备认为主机合法,认证成 功;否则移动存储设备认为主机非法,认证失败。2、主控芯片,主要用来调度其它模块,当主控芯片检测到主机向移动存储设备发 送协议指令时,首先调度认证处理器模块进行身份认证,然后在根据相应的指令来调用加 密单元进行数据加解密,最终调用存储单元,将数据存储到磁盘上或者读取磁盘数据。3、加密芯片,主要用来数据加解密,当数据需要写入存储区时,加密模块利用加密 功能函数对数据进行加密;当数据从存储区读出时,加密模块利用解密功能函数对数据进 行解密。4、数据存储磁盘,分为软件区、安全区和交换区。软本文档来自技高网...
【技术保护点】
一种安全移动存储设备,用于实现数据在内外网主机间的安全移动,该安全移动存储设备包括:认证处理模块,用于对内外网主机与安全移动存储设备进行双向身份认证;加密模块,用于加解密所有存储于磁盘分区上的数据,实现磁盘的整盘加解密;存储模块,用于数据存储,该存储模块分为软件区、安全区和交换区,其中,所述软件区以只读的存储区域模式加载,用于存储交换区的身份认证程序;所述安全区只允许在内网通过双向身份认证以后才能被加载,该安全区的数据通过加密模块进行加密存储,以提供机密数据存储功能;所述交换区允许在所述安全移动存储设备在外网通过身份认证后由软件区自动切换到该交换区;主控芯片,其根据协议指令进行所述安全移动存储设备内各模块的关系调度。
【技术特征摘要】
【专利技术属性】
技术研发人员:熊彩辉,饶伟,
申请(专利权)人:武汉天喻信息产业股份有限公司,
类型:发明
国别省市:83[中国|武汉]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。