一种基于DRAM的安全U盘和数据的安全迁移系统技术方案

本发明专利技术公开了一种基于DRAM的安全U盘和数据的安全迁移系统，属于计算机信息安全领域。本发明专利技术使用DRAM作为U盘存储介质，其数据掉电易失特性可防止暴力拆解窃取存储芯片内数据，增强了数据防窃取能力；通过硬件和软件两种实现方式，针对安全U盘移动情形(断开与上位机的连接)增加数据生存时间限制，加强数据安全管理的同时，降低了数据泄漏的风险；通过特别电路设计，实现安全U盘离线(断开与上位机的连接)数据擦除功能，减少了数据对上位机暴露，进而减少数据泄漏的机会；通过安全U盘和涉密上位机接口的联合设计，从硬件层面防止从涉密上位机移出数据的违规行为，契合保密环境数据管理规范，增强数据安全。

【技术实现步骤摘要】
一种基于DRAM的安全U盘和数据的安全迁移系统
本专利技术属于计算机信息安全领域，更具体地，涉及一种基于DRAM的安全U盘和数据的安全迁移系统。
技术介绍
在保密数据迁移的应用场景下，主要存在的问题是“从外部向保密环境转入数据，防止非法从保密环境向外部转出数据的问题”和“可靠销毁数据，防止数据被恢复窃取”。针对上述问题，现有技术有两种解决方案：第一种方案为CD-ROM，其主要思想如下：在保密环境外，依靠特殊写入设备写入一次数据，转入保密环境后读出，完成数据迁移的工作，仅支持一次写入的特点可防止恶意用户在保密环境中向CD-ROM上写入数据并非法带出：依靠光盘粉碎机，能够将携带有敏感信息的CD-ROM销毁，被粉碎后，CD-ROM上的数据不可被恢复，数据销毁方式可靠。第二种方案为涉密专用安全U盘，其主要思想如下：系统借助软、硬件两大组成部分，通过在受控主机上安装代理程序和部署硬件控制器，对受控主机的USB移动存储介质进行授权认证与审计，对受控主机可能的信息外泄渠道进行封堵，对信息通过USB移动存储设备向涉密计算机传输进行物理层单向控制，有效防止涉密信息在信息传输过程中反向流入USB移动存储设备，同时实现对数据的管理和可靠销毁等必须功能，涉密专用安全U盘的优点是读写快。然而，第一种方案存在以下缺陷：数据刻录依赖特定刻录设备，数据存入缓慢且可能失败；进行数据销毁时，必须采用碎纸机将光盘粉碎，才能保证数据被确凿擦除，像手动划伤盘面类似的操作并不能保证数据完全删除，数据销毁效率低；在保密数据迁移情景的安全规范中，无论文件大小，每次数据转移都消耗一张光盘，转移成功之后销毁，从而导致光盘的资源浪费；总而言之，CD-ROM方案的特点是安全性可以保证，但是会降低单位工作效率和资源利用效率。第二种方案存在以下弊端：因为设备本身不进行供电，因此设备的软件系统依赖于上位机进行运转；如果要对设备内部数据进行擦除，无法离线进行，必须将设备连接到上位机，再逐字节对数据进行擦除，但是一旦让U盘设备连入上位机，就增加了数据泄漏的风险；U盘的存储媒介为Flash芯片，无法抵抗暴力破解，如果Flash芯片被强制取出，数据便不再受安全U盘的软硬件保护，产生巨大的数据泄露风险。总言之，现有涉密专用安全U盘的特点是效率比CD-ROM更高，但是安全性可能无法保证。
技术实现思路
针对现有技术的缺陷和改进需求，本专利技术提供了一种基于DRAM的安全U盘和数据的安全迁移系统，其目的在于实现U盘的离线可靠数据擦除和抵抗暴力拆除破解。为实现上述目的，按照本专利技术的第一方面，提供了一种基于DRAM的安全U盘，所述安全U盘包括：USB接口、自供电电路、主控芯片和DRAM芯片；所述USB接口的电源线阳极和自供电电路连接，所述USB接口的差分信号线和主控芯片连接，USB接口用于实现安全U盘与上位机的连接；所述自供电电路，用于当安全U盘与上位机连接时，将上位机通过USB接口提供的电压降压转换为主控芯片和DRAM芯片的工作电压，给主控芯片和DRAM芯片供电；当安全U盘未与上位机连接时，自供电电路自己给主控芯片和DRAM芯片供电；所述主控芯片与DRAM芯片连接，用于当上位机向安全U盘发送待写入数据时，首先通过USB信号线发送写数据请求到主控芯片，再将待写入数据发送到主控芯片，主控芯片将待写入数据加密后发送到DRAM芯片进行存储；当上位机从安全U盘读取数据时，上位机发送读数据请求到主控芯片，主控芯片向DRAM芯片请求读数据，DRAM芯片将所请求数据的密文发送给主控芯片，主控芯片将接收到的请求数据的密文解密为明文，并将明文通过USB信号线发送给上位机。有益效果：本专利技术采用DRAM代替Flash芯片作为U盘存储介质，DRAM芯片一旦被暴力破解取出，由于失去供电，将在很短时间内(100ms量级)会失去所有内部数据，从而抵抗暴力破解。此外，DRAM存储介质擦写次数无限制，擦写次数上相比传统存储介质存在自然的巨大优势，能很大程度地节约资源。在安全U盘未与上位机连接期间，当自供电电路提供的电压为主控芯片和DRAM芯片的工作电压时，安全U盘内部的数据有效；当提供的电压低于为主控芯片和DRAM芯片的工作电压时，安全U盘内部的数据丢失。本专利技术通过自供电电路，从硬件层面实现了内部数据生存时间的限制。供电电路中的储电会在供电过程中耗损，电压逐渐降低，当输出的电压低于工作电压，主控芯片和DRAM芯片失去供电，U盘的数据也将丢失，即针对数据的使用增加了时间限制，有利于降低数据泄漏的风险，加强数据安全管理。优选地，从安全U盘与上位机断开一瞬间，统计时间从0计时，若安全U盘断开的统计时长超过设定阈值，主控芯片切断对DRAM芯片的时钟供应和自刷新命令，DRAM在失去时钟并停止自刷新后，数据发生丢失，在安全U盘未与上位机连接期间，自供电电路持续提供主控芯片和DRAM芯片的工作电压，给主控芯片和DRAM芯片供电。有益效果：本专利技术通过主控芯片进行软件控制，使DRAM中数据在U盘断开连接后达到一定时长(用户可通过上位机程序设置/改变时长阈值)后被抹除，即针对数据的使用增加了时间限制，有利于降低数据泄漏的风险，加强数据安全管理。优选地，所述自供电电路包括：一个单刀双掷开关、一个超级电容和一个线性稳压芯片；所述单刀双掷开关的公共端与超级电容的阳极连接，第一活动端与USB接口连接，第二活动端接地；所述超级电容的阳极与单刀双掷开关的公共端连接，阴极接地；用于当安全U盘与上位机连接且单刀双掷开关合在第一活动端时，上位机给超级电容充电；当安全U盘未与上位机连接且单刀双掷开关合在第一活动端时，超级电容为主控芯片和DRAM芯片供电；当安全U盘未与上位机连接并且单刀双掷开关合在第二活动端时，超级电容短接放电，DRAM芯片失去供电，内部数据被完全擦除；所述线性稳压芯片的输入端与单刀双掷开关的第一活动端连接，输出端与主控芯片、DRAM芯片连接，用于当输入的电压大于等于线性稳压芯片的最小工作电压时，将输入的电压降压转换为主控芯片和DRAM芯片的工作电压输出；当输入的电压小于线性稳压芯片的最小工作电压时，切断主控芯片和DRAM芯片的工作电压供应。有益效果：本专利技术通过超级电容和线性稳压芯片实现自供电电路，自供电电路配合DRAM存储介质，在安全U盘未连接上位机且单刀双掷开关合在第二活动端时，超级电容短接放电，DRAM芯片在失去供电之后，可保证自己内部数据被完全擦除，无法恢复，实现在不依赖上位机的前提下，离线可靠地销毁内部数据，防止数据泄露。优选地，通过调节超级电容最低有效供电电压超级电容的标称值大小C和在移动情况下的系统休眠电流I中的至少一个来调整安全U盘内部数据的生存时间T，上述参数满足以下关系其中，表示移动供电模块内置的超级电容从拔除时瞬时的初始电位。优选地，所述自供电电路还包括：第一分压电阻、第二分压电阻和一个开关二极管；第一分压电阻与第二分压电阻串联于USB接口阳极与地之间，用于将USB电源线上的电平降压转换为与主控芯片工作电压兼容的电平，其中第二分压电本文档来自技高网...

【技术保护点】
1.一种基于DRAM的安全U盘，其特征在于，所述安全U盘包括：USB接口、自供电电路、主控芯片和DRAM芯片；/n所述USB接口的电源线阳极和自供电电路连接，所述USB接口的差分信号线和主控芯片连接，USB接口用于实现安全U盘与上位机的连接；/n所述自供电电路，用于当安全U盘与上位机连接时，将上位机通过USB接口提供的电压降压转换为主控芯片和DRAM芯片的工作电压，给主控芯片和DRAM芯片供电；当安全U盘未与上位机连接时，自供电电路自己给主控芯片和DRAM芯片供电；/n所述主控芯片与DRAM芯片连接，用于当上位机向安全U盘发送待写入数据时，首先通过USB信号线发送写数据请求到主控芯片，再将待写入数据发送到主控芯片，主控芯片将待写入数据加密后发送到DRAM芯片进行存储；当上位机从安全U盘读取数据时，上位机发送读数据请求到主控芯片，主控芯片向DRAM芯片请求读数据，DRAM芯片将所请求数据的密文发送给主控芯片，主控芯片将接收到的请求数据的密文解密为明文，并将明文通过USB信号线发送给上位机。/n

【技术特征摘要】
1.一种基于DRAM的安全U盘，其特征在于，所述安全U盘包括：USB接口、自供电电路、主控芯片和DRAM芯片；
所述USB接口的电源线阳极和自供电电路连接，所述USB接口的差分信号线和主控芯片连接，USB接口用于实现安全U盘与上位机的连接；
所述自供电电路，用于当安全U盘与上位机连接时，将上位机通过USB接口提供的电压降压转换为主控芯片和DRAM芯片的工作电压，给主控芯片和DRAM芯片供电；当安全U盘未与上位机连接时，自供电电路自己给主控芯片和DRAM芯片供电；
所述主控芯片与DRAM芯片连接，用于当上位机向安全U盘发送待写入数据时，首先通过USB信号线发送写数据请求到主控芯片，再将待写入数据发送到主控芯片，主控芯片将待写入数据加密后发送到DRAM芯片进行存储；当上位机从安全U盘读取数据时，上位机发送读数据请求到主控芯片，主控芯片向DRAM芯片请求读数据，DRAM芯片将所请求数据的密文发送给主控芯片，主控芯片将接收到的请求数据的密文解密为明文，并将明文通过USB信号线发送给上位机。


2.如权利要求1所述的安全U盘，其特征在于，从安全U盘与上位机断开一瞬间，统计时间从0计时，若安全U盘断开的统计时长超过设定阈值，主控芯片切断对DRAM芯片的时钟供应和自刷新命令，DRAM在失去时钟并停止自刷新后，数据发生丢失，在安全U盘未与上位机连接期间，自供电电路持续提供主控芯片和DRAM芯片的工作电压，给主控芯片和DRAM芯片供电。


3.如权利要求1或2所述的安全U盘，其特征在于，所述自供电电路包括：一个单刀双掷开关、一个超级电容和一个线性稳压芯片；
所述单刀双掷开关的公共端与超级电容的阳极连接，第一活动端与USB接口连接，第二活动端接地；所述超级电容的阳极与单刀双掷开关的公共端连接，阴极接地；用于当安全U盘与上位机连接且单刀双掷开关合在第一活动端时，上位机给超级电容充电；当安全U盘未与上位机连接且单刀双掷开关合在第一活动端时，超级电容为主控芯片和DRAM芯片供电；当安全U盘未与上位机连接并且单刀双掷开关合在第二活动端时，超级电容短接放电，DRAM芯片失去供电，内部数据被完全擦除；
所述线性稳压芯片的输入端与单刀双掷开关的第一活动端连接，输出端与主控芯片、DRAM芯片连接，用于当输入的电压大于等于线性稳压芯片的最小工作电压时，将输入的电压降压转换为主控芯片和DRAM芯片的工作电压输出；当输入的电压小于线性稳压芯片的最小工作电压时，切断主控芯片和DRAM芯片的工作电压供应。


4.如权利要求3所述的安全U盘，其特征在于，通过调节超级电容最低有效供电电压超级电容的标称值大小C和在移动情况下的系统休眠电流I中的至少一个来调整安全U盘内部数据的生存时间T，上述参数满足以下关系其中，表示移动供电模块内置的超级电容从拔除时瞬时的初始电位。


5.如权利要求3或4所述的安全U盘，其特征在于，所述自供电电路还包括：第一分压电阻、第二分压电阻和一个开关二极管；
第一分压电阻与第二分压电阻串联于USB接口阳极与地之间，用于将USB电源线上的电平降压转换为与主控芯片工作电压兼容的电平，其中第二分压电阻为直接接地的一端；
设第一分压电阻的阻值为R1，第二分压电阻的阻值为R2，主控芯片和DRAM芯片的工作电压为V1，USB供电电压为...

【专利技术属性】
技术研发人员：钟国辉，李勉，肖婉佩，潘子晴，符史梁，王永炜，张成伟，
申请(专利权)人：华中科技大学，
类型：发明
国别省市：湖北;42