主动式数据安全存储设备的对外通讯方法技术

本发明专利技术公开了一种主动式数据安全存储设备的对外通讯方法，所述主动式数据安全存储设备采用通用型对外通讯接口，包括USB接口和网口，主动式数据安全存储设备通过USB接口与第三方USB存储设备进行通讯，主动式数据安全存储设备通过网口与网络服务器进行通讯，其特征在于，所述主动式数据安全存储设备在对外通讯时，由位于主动式数据安全存储设备上的操作系统的驱动层实现对数据的选择性安全处理，这种方法可在保证数据安全的前提下，赋予主动式数据安全存储设备对外通讯的功能，实现资源的有限共享。

【技术实现步骤摘要】
主动式数据安全存储设备的对外通讯方法
本专利技术涉及存储安全和通讯安全
，尤其涉及主动式数据安全存储设备的对外通讯方法。
技术介绍
主动式数据安全存储设备，是一种加载了操作系统，可实现外围设备控制并实现内部数据加密的存储设备。其最大特征在于设备本身可以决定数据的全部管理过程，包括数据区的创建和销毁、数据内容的修改和保存等。设备通过特定的机制，夺取必要外设的控制权，屏蔽风险外设的访问权，以实现设备的封闭操作。主动式数据安全存储设备比普通的存储设备具有更高的安全性能。在设备操作系统的控制下，设备可以通过通用通讯接口(如USB口)和驱动重载，植入已连接鼠键、监视器等外设的本地计算机，控制并利用本地计算机上的硬件资源进行数据管理；在设备操作系统的监控下，一切数据读写和缓存操作都在设备内部进行，因此可以保证不在宿主计算机上留下任何数据痕迹。主动式数据安全存储设备兼有便携性、通用性、安全性，有着很好的市场前景。然而，网络入侵技术和木马入侵技术影响了主动式数据安全存储设备的安全防线。在全封闭(仅使用鼠键、监视器等不易被病毒入侵的外设)的前提下，这种设备是非常安全的，但全封闭的使用规则极大地影响了设备的实用性；而一旦使用了U盘、光驱、网口等外设，设备将不再处于全封闭状态，木马可能通过这些接口植入到设备的操作系统和存储空间中，黑客也可能通过网口入侵设备。因为设备操作系统是普通操作系统，如果不对U盘、光驱、网口等外设接口进行有效的监控保护，入侵主动式数据安全存储设备将和入侵普通个人计算机一样简单。
技术实现思路
本专利技术的目的在于针对现有技术的不足，提供一种主动式数据安全存储设备的对外通讯方法，这种方法可在保证数据安全的前提下，赋予主动式数据安全存储设备对外通讯的功能，实现资源的有限共享。为实现上述目的，本专利技术通过以下技术方案实现：主动式数据安全存储设备的对外通讯方法，所述主动式数据安全存储设备采用通用型对外通讯接口，包括USB接口和网口，主动式数据安全存储设备通过USB接口与第三方USB存储设备进行通讯，主动式数据安全存储设备通过网口与网络服务器进行通讯，所述主动式数据安全存储设备在对外通讯时，由位于主动式数据安全存储设备上的操作系统的驱动层实现对数据的选择性安全处理，具体为：A、当与第三方USB存储设备进行通讯时，对从主动式数据安全存储设备输出的数据，由驱动层实现对输出数据的前置加密处理；对输入主动式数据安全存储设备的数据，由驱动层实现对输入数据的前置病毒扫描处理，仅允许不包含恶意代码的数据进入主动式数据安全存储设备，以及由驱动层实现对输入数据的前置解密处理；在安全级别较高的场合，由驱动层实现禁用USB接口的数据输入；具体的实现方法如下：A1、主动式数据安全存储设备提供单个USB接口，并通过修改操作系统安全策略，使USB接口仅支持MassStorageDevice型通用存储设备；A2、修改操作系统内的MassStorageDevice设备读写驱动程序，在驱动层实现对读写的监控；在写入过程中，要求用户提供密钥，并用该密钥对输出缓冲区内的数据进行加密，再执行写入操作；A3、在主动式数据安全存储设备操作系统中监视USB接口的设备接入状态；A4、当有MassStorageDevice设备接入时，监视设备的枚举过程，直至设备就绪；A5、通过A2中的驱动程序执行数据流出操作；A6、通过反病毒程序监视数据流入操作，对流入的数据执行病毒扫描，仅允许不包含恶意代码的数据进入设备；A7、在安全级别较高的场合，在MassStorageDevice设备读写驱动程序中禁用USB数据流入；B、当与网络服务器进行通讯时，由驱动层实现对数据的打包或解包处理以进行网络数据传输，并对传输的数据进行加密处理，同时采用网络安全认证协议以保证通讯安全，以及不允许主动式数据安全存储设备通过网口访问普通的公共网络，允许主动式数据安全存储设备通过网口访问特殊的网络服务器；具体的实现方法如下：B1、设立远程专用服务器；B2、引入SSL网络安全认证协议，监控服务器的对外通讯状况；B3、制订网络数据包格式，该格式支持基于SSL协议的网络通讯过程；B4、在主动式数据安全存储设备操作系统底层，对打包过程中的本地数据访问进行监控，在本地数据读操作中前置加密处理，在本地数据写操作中前置解密处理；所述本地数据为主动式数据安全存储设备数据；B5、在服务器端，执行与B4相对应的加解密处理，以保证服务器可获得通讯明文并执行后续存取操作，但在网络管道上流通的通讯内容处于密文状态；B6、在通讯过程开始前，服务器发送密钥至主动式数据安全存储设备；B7、主动式数据安全存储设备仅能与专用服务器以特殊的通讯方式进行网络交互，且不定期更换网络数据包的格式标准，以确保网络通讯的安全。本专利技术有益效果为：本专利技术的基本思路是，利用通用型对外通讯接口赋予主动式数据安全存储设备对外通讯的能力，在主动式数据安全存储设备对外通讯时，由位于主动式数据安全存储设备上的操作系统的驱动层实现对数据的选择性安全处理，保证位于通讯管道、通讯接收方上数据的安全，因此，本专利技术可在保证数据安全的前提下，赋予主动式数据安全存储设备对外通讯的功能，实现资源的有限共享。附图说明图1为本专利技术主动式数据安全存储设备的工作方式框图；图2为本专利技术主动式数据安全存储设备数据接口管理策略框图。具体实施方式下面结合附图对本专利技术作进一步的说明：如图1和图2所示，主动式数据安全存储设备增加若干数据接口，如USB接口和网口，其中USB接口上允许接入第三方USB存储设备，网口允许接入网络访问特殊的网络服务器。通过这些新增的数据接口让设备获得包括数据访问、数据转移在内的对外数据交互能力。这些接口通过以下方法进行对外数据交互：A、当与第三方USB存储设备进行通讯时，对输出主动式数据安全存储设备的数据，由驱动层实现对输出数据的前置加密处理，加密密钥可变；对输入主动式数据安全存储设备的数据，由驱动层实现对输入数据的前置病毒扫描处理，仅允许不包含恶意代码的数据进入主动式数据安全存储设备，以及由驱动层实现对输入数据的前置解密处理；在安全级别较高的场合，由驱动层实现禁用USB接口的数据输入。具体的实现方法如下：(A1)主动式数据安全存储设备提供单个USB接口，并通过修改操作系统安全策略，使USB接口仅支持MassStorageDevice型通用存储设备；(A2)修改操作系统内的MassStorageDevice设备读写驱动程序，在驱动层实现对读写的监控。在写入过程中，要求用户提供密钥，并用该密钥对输出缓冲区内的数据进行加密，再执行写入操作；(A3)在主动式数据安全存储设备操作系统中监视USB接口的设备接入状态；(A4)当有MassStorageDevice设备接入时，监视设备的枚举过程，直至设备就绪；(A5)通过(A2)中的驱动程序执行数据流出操作；(A6)通过反病毒程序监视数据流入操作，对流入的数据执行病毒扫描，仅允许不包含恶意代码的数据进入设备；(A7)在安全级别较高的场合，在MassStorageDevice设备读写驱动程序中禁用USB数据流入。B、不允许主动式数据安全存储设备通过网口访问普通的公共网络，允许主动式数据安全存储设备通过网口访问特殊的网络服务器本文档来自技高网...

【技术保护点】
1.主动式数据安全存储设备的对外通讯方法，所述主动式数据安全存储设备采用通用型对外通讯接口，包括USB接口和网口，主动式数据安全存储设备通过USB接口与第三方USB存储设备进行通讯，主动式数据安全存储设备通过网口与网络服务器进行通讯，其特征在于，所述主动式数据安全存储设备在对外通讯时，由位于主动式数据安全存储设备上的操作系统的驱动层实现对数据的选择性安全处理，具体为：A、当与第三方USB存储设备进行通讯时，对从主动式数据安全存储设备输出的数据，由驱动层实现对输出数据的前置加密处理；对输入主动式数据安全存储设备的数据，由驱动层实现对输入数据的前置病毒扫描处理，仅允许不包含恶意代码的数据进入主动式数据安全存储设备，以及由驱动层实现对输入数据的前置解密处理；在安全级别较高的场合，由驱动层实现禁用USB接口的数据输入；具体的实现方法如下：A1、主动式数据安全存储设备提供单个USB接口，并通过修改操作系统安全策略，使USB接口仅支持Mass Storage Device型通用存储设备；A2、修改操作系统内的Mass Storage Device设备读写驱动程序，在驱动层实现对读写的监控；在写入过程中，要求用户提供密钥，并用该密钥对输出缓冲区内的数据进行加密，再执行写入操作；A3、在主动式数据安全存储设备操作系统中监视USB接口的设备接入状态；A4、当有Mass Storage Device设备接入时，监视设备的枚举过程，直至设备就绪；A5、通过A2中的驱动程序执行数据流出操作；A6、通过反病毒程序监视数据流入操作，对流入的数据执行病毒扫描，仅允许不包含恶意代码的数据进入设备；A7、在安全级别较高的场合，在Mass Storage Device设备读写驱动程序中禁用USB数据流入；B、当与网络服务器进行通讯时，由驱动层实现对数据的打包或解包处理以进行网络数据传输，并对传输的数据进行加密处理，同时采用网络安全认证协议以保证通讯安全，以及不允许主动式数据安全存储设备通过网口访问普通的公共网络，允许主动式数据安全存储设备通过网口访问特殊的网络服务器；具体的实现方法如下：B1、设立远程专用服务器；B2、引入SSL网络安全认证协议，监控服务器的对外通讯状况；B3、制订网络数据包格式，该格式支持基于SSL协议的网络通讯过程；B4、在主动式数据安全存储设备操作系统底层，对打包过程中的本地数据访问进行监控，在本地数据读操作中前置加密处理，在本地数据写操作中前置解密处理；所述本地数据为主动式数据安全存储设备数据；B5、在服务器端，执行与B4相对应的加解密处理，以保证服务器可获得通讯明文并执行后续存取操作，但在网络管道上流通的通讯内容处于密文状态；B6、在通讯过程开始前，服务器发送密钥至主动式数据安全存储设备；B7、主动式数据安全存储设备仅能与专用服务器以特殊的通讯方式进行网络交互，且不定期更换网络数据包的格式标准，以确保网络通讯的安全。...

【技术特征摘要】
1.主动式数据安全存储设备的对外通讯方法，所述主动式数据安全存储设备采用通用型对外通讯接口，包括USB接口和网口，主动式数据安全存储设备通过USB接口与第三方USB存储设备进行通讯，主动式数据安全存储设备通过网口与网络服务器进行通讯，其特征在于，所述主动式数据安全存储设备在对外通讯时，由位于主动式数据安全存储设备上的操作系统的驱动层实现对数据的选择性安全处理，具体为：A、当与第三方USB存储设备进行通讯时，对从主动式数据安全存储设备输出的数据，由驱动层实现对输出数据的前置加密处理；对输入主动式数据安全存储设备的数据，由驱动层实现对输入数据的前置病毒扫描处理，仅允许不包含恶意代码的数据进入主动式数据安全存储设备，以及由驱动层实现对输入数据的前置解密处理；在安全级别较高的场合，由驱动层实现禁用USB接口的数据输入；具体的实现方法如下：A1、主动式数据安全存储设备提供单个USB接口，并通过修改操作系统安全策略，使USB接口仅支持MassStorageDevice型通用存储设备；A2、修改操作系统内的MassStorageDevice设备读写驱动程序，在驱动层实现对读写的监控；在写入过程中，要求用户提供密钥，并用该密钥对输出缓冲区内的数据进行加密，再执行写入操作；A3、在主动式数据安全存储设备操作系统中监视USB接口的设备接入状态；A4、当有MassStorageDevice设备接入时，监视设备的枚举过程...

【专利技术属性】
技术研发人员：滕芮杉，李阳，
申请(专利权)人：西安司坤电子科技有限公司，
类型：发明
国别省市：陕西,61