基于隐藏加密分区和ＰＫＩ技术的移动介质防泄密方法技术

本发明专利技术公开了一种基于隐藏加密分区和ＰＫＩ技术的移动介质防泄密方法，弥补现有技术的不足之处，包括如下的步骤：１）部署移动设备的注册系统；２）通过注册系统对移动设备的移动介质进行注册；３）由安装在客户机上的控制系统对移动介质进行监控及相应的控制；将移动介质格式化为系统区和用户区，其中系统区是隐藏的，存储了设备信息、用户区的密钥信息及签名信息；用户区的数据是加密的，保证了移动介质丢失时不会泄密，而在内部网络中使用移动介质时需对移动介质系统区中的设备信息及签名信息进行验证，从而确保了外部的普通移动介质无法在内部使用，实现了本发明专利技术的目的。

【技术实现步骤摘要】

本专利技术涉及一种移动介质的防泄密方法，特别涉及一种基于隐藏加密分 区和PKI技术的移动介质防泄密方法。
技术介绍
随着USB技术的成熟和普及，基于USB技术的设备和应用层出不穷，如 USB硬盘、USB鼠标、USB打印机等等。USB存储设备以其容量大，速度快， 携带方便，使用简单(windows自带驱动，无须安装)等特点受到广泛青睐。但是，USB存储设备带来方便性的同时，也对信息的安全性带来隐患。 首先，系统外部人员或者系统内部人员可以轻易地使用USB设备将内部信息 带出而不留任何痕迹；其次，USB存储设备种类繁多，包括U盘、USB硬盘、 MP3、数码相机等都具有USB的存储功能，都可以接入系统带走信息，可谓防 不胜防。而现有的很多移动介质防泄密系统都是通过重写USB存储设备的头扇区 来防止内部的USB存储设备在外部使用，通过写入特定的标志在内部对存储 设备进行控制，存在着很多的安全隐患。
技术实现思路
本专利技术所要解决的技术问题在于提供一种基于隐藏加密分区和PKI技术 的移动介质防泄密方法，弥补现有技术的不足之处。本专利技术所要解决的技术问题可以通过以下技术方案来实现一种基于隐藏加密分区和PKI技术的移动介质防泄密方法，其特征在于,所述移动介质防泄密方法包括如下的步骤-1) 部署移动设备的注册系统；2) 通过注册系统对移动设备的移动介质进行注册；3)由安装在客户机上的控制系统对移动介质进行监控及相应的控制。 所述步骤l)包括以下步骤(1) 产生注册系统的公、私钥对，生成证书请求；(2) 生成自签名证书或者到第三方证书认证中心CA签发证书。 所述步骤2)包括以下的步骤(1) 对注册系统提出制作申请；(2) 注册系统设定设备标识ID、用户区数据加密算法、用户区加密密 钥的散列算法和用户区密钥加密算法；随机生成用户区加密密钥，计算用户 区加密密钥的散列值，使用用户认证数据加密用户区密钥。(3) 注册系统格式化移动设备的移动介质，根据设定信息制作系统区和 用户区，使用注册系统的私钥对用户区空间大小、用户区数据加密算法、用 户区加密密钥的散列算法和用户区加密密钥的散列值信息进行签名，将设备 标识ID、用户区空间大小、用户区数据加密算法、用户区加密密钥的散列算 法、用户区加密密钥的散列值、签名信息、用户区密钥加密算法和用户区密 钥被使用者认证数据加密后的密文写入系统区。(4) 注册系统记录移动介质的信息，完成注册。 所述步骤3)包括以下的步骤(1) 控制系统发现移动介质接入；(2) 读取系统区，若无系统区则拒绝该移动介质；(3')获取系统区内的签名信息，并使用信任的注册系统证书验证签名的 正确性，若不正确则拒绝该移动介质接入；(4) 读取设备标识ID，根据注册系统发布的废除列表检验此设备是否 已经被废除，若已经被废除，则拒绝该移动介质接入；(5) 读取用户区空间大小与系统区内记录的用户空间进行对比，若不相 同则拒绝该移动介质接入；(6) 提示用户输入认证数据，使用认证数据解密用户区加密密钥密文， 将解密后的密钥进行散列运算，与系统区内的密钥散列值进行对比，若不相 同则加载用户区失败；(7) 使用解密后的密钥解密用户区并加载，移动介质接入成功。 本专利技术的基于隐藏加密分区和PKI技术的移动介质防泄密方法具有如下特点1、 采用加密技术确保了移动介质中数据的安全性；2、 采用签名技术防止移动介质被伪造，保证了移动介质的可信性；3、 技术与硬件设备无关，可支持任何标准的USB移动设备，可用性高。 本专利技术的基于隐藏加密分区和PKI技术的移动介质防泄密方法，将移动介质格式化为系统区和用户区，其中系统区是隐藏的，存储了设备信息、用 户区的密钥信息及签名信息；用户区的数据是加密的，保证了移动介质丢失 时不会泄密，而在内部网络中使用移动介质时需对移动介质系统区中的设备 信息及签名信息进行验证，从而确保了外部的普通移动介质无法在内部使用， 实现了本专利技术的目的。以下结合附图和具体实施方式来进一步说明本专利技术。附图说明图1是本专利技术的移动介质的结构示意图2是本专利技术的移动介质的系统区的结构示意图。具体实施例方式一种基于隐藏加密分区和PKI技术的移动介质防泄密方法，其应用系统至少包含两个部分移动介质的注册系统和移动介质的控制系统。移动介质的注册系统负责对移动介质的注册操作，将移动介质标记为合法设备，同时负责移动介质的作废操作，发布设备作废列表。移动介质的控制系统安装在客户机上，对移动介质进行监控及相应的控制。所述移动介质防泄密方法，包括如下的步骤1) 部署移动设备的注册系统；2) 通过注册系统对移动设备的移动介质进行注册；3) 由安装在客户机上的控制系统对移动介质进行监控及相应的控制。 所述步骤l)包括以下步骤(1) 产生注册系统的公、私钥对，生成证书请求；(2) 生成自签名证书或者到第三方证书认证+心CA签发证书。所述步骤2)包括以下的步骤(1) 对注册系统提出制作申请；(2) 注册系统设定设备标识ID、用户区数据加密算法、用户区加密密 钥的散列算法和用户区密钥加密算法；随机生成用户区加密密钥，计算用户 区加密密钥的散列值，使用用户认证数据加密用户区密钥。(3) 注册系统格式化移动设备的移动介质，根据设定信息制作系统区和 用户区，使用注册系统的私钥对用户区空间大小、用户区数据加密算法、用 户区加密密钥的散列算法和用户区加密密钥的散列值信息进行签名，将设备 标识ID、用户区空间大小、用户区数据加密算法、用户区加密密钥的散列算 法、用户区加密密钥的散列值、签名信息、用户区密钥加密算法和用户区密 钥被使用者认证数据加密后的密文写入系统区。(4) 注册系统记录移动介质的信息，完成注册。 所述步骤3)包括以下的步骤(1) 控制系统发现移动介质接入；(2) 读取系统区，若无系统区则拒绝该移动介质；(3) 获取系统区内的签名信息，并使用信任的注册系统证书验证签名的 正确性，若不正确则拒绝该移动介质接入；(4) 读取设备标识ID，根据注册系统发布的废除列表检验此设备是否 已经被废除，若己经被废除，则拒绝该移动介质接入；(5) 读取用户区空间大小与系统区内记录的用户空间进行对比，若不相 同则拒绝该移动介质接入；(6) 提示用户输入认证数据，使用认证数据解密用户区加密密钥密文， 将解密后的密钥进行散列运算，与系统区内的密钥散列值进行对比，若不相 同则加载用户区失败；(7) 使用解密后的密钥解密用户区并加载，移动介质接入成功。 控制系统负责监控移动介质接入，并对其进行了控制。控制系统中保存了信任的注册系统的证书，即允许这些注册系统注册过的存储设备接入。 所述基于隐藏加密分区和PKI技术的移动介质防泄密方法主要通过将普通移动介质转化为安全移动介质，其方法如下1、移动介质的注册系统具备系统证书及对应的私钥(系统自生成或者第三方证书认证中心CA颁发)。2、将移动介质分成两块区域系统区和用户区。(如图l所示) 移动介质划分的区域必须具备以下条件1、 系统区是一个特殊区域，存放移动介质的标识信息等相关系统信息， 可以从真正的存储区域划分，也可以直接使用移动介质的特殊扇区，普通用 户或者系统无法使用该区域。2、 用户区是一个加密区域，必须输入正确的加密密钥才能打开此区域， 本文档来自技高网...

【技术保护点】
一种基于隐藏加密分区和ＰＫＩ技术的移动介质防泄密方法，其特征在于，所述移动介质防泄密方法包括如下的步骤：１）部署移动设备的注册系统；２）通过注册系统对移动设备的移动介质进行注册；３）由安装在客户机上的控制系统对移动介质进行监控及相应的控制。

【技术特征摘要】

【专利技术属性】
技术研发人员：徐骥，杨茂江，任伟，
申请(专利权)人：上海格尔软件股份有限公司，
类型：发明
国别省市：31[中国|上海]