一种带身份逐次认证和日志记录功能的移动存储装置,涉及安全移动存储技术领域。本发明专利技术包括移动存储设备和访问移动存储设备的计算机。移动存储设备包括:访问控制单元、密码学服务单元、数据存储单元和USB接口。同现有技术相比,本发明专利技术通过对访问者进行身份认证,确保只有经过许可的访问者才能对移动存储设备中的数据进行访问,安全性高、自主性强。
【技术实现步骤摘要】
本专利技术涉及安全移动存储
,特别是可以通过逐次身份认证和日志记录与 审计来保障数据安全的移动存储装置。
技术介绍
近年来,移动存储设备以其便携性、高速的存取速度以及大容量等特性深受消费 者青睐,越来越多的用户使用移动存储设备作为数据转移、数据临时存放的主要工具。现有 技术中,任何访问者无需身份认证都能对移动存储设备中的数据进行任意访问,这对一些 对数据安全性、机密性要求非常高的单位在数据安全保护方面会带来非常大的危害。单位 的员工很容易通过移动存储设备将机密数据带出单位而导致主动数据泄密。另外,由于移 动存储设备经常在不同的场合使用,也容易导致被动式的数据泄密。比如,当移动存储设备 在有互联网络环境中的主机设备(如能上网的家用电脑)上使用后可能被感染上木马,当 用户将感染木马的移动存储设备在无互联网络环境中的主机设备(如用户单位的工作用 机,该工作用机由于保密原因无法上网)上使用时,木马可能会自动扫描主机中的敏感文 件,并将这些敏感文件悄悄地复制到移动存储设备中,并隐藏起来。当用户再次将该移动存 储设备在有互联网络环境中的主机设备上使用时,移动存储设备中的木马就将隐藏起来的 敏感文件悄悄地通过互联网发送给远程的某个恶意用户的电脑中,从而导致数据泄密。
技术实现思路
为了解决上述现有技术中存在的问题,本专利技术的目的是提供一种带身份逐次认证 和日志记录功能的移动存储装置。它通过对访问者进行身份认证,确保只有经过许可的访 问者才能对移动存储设备中的数据进行访问,安全性高、自主性强。为了达到上述专利技术目的,本专利技术的技术方案以如下方式实现一种带身份逐次认证和日志记录功能的移动存储装置,它包括移动存储设备和访 问移动存储设备的计算机。其结构特点是,所述移动存储设备包括访问控制单元,由依次相互连接的USB数据传输协议、身份认证协议和访问日志 处理程序组成,USB数据传输协议控制USB数据的传输,身份认证协议对访问者的身份进行 逐次认证,以决定访问者是否能访问数据存储单元中的数据,访问日志处理程序对访问者 的访问过程进行日志记录;密码学服务单元,与访问控制单元相互连接,由随机数生成器、对称密码算法、非 对称密码算法、摘要算法、签名和签名认证算法组成,提供常用密码学服务;数据存储单元,与访问控制单元相互连接,存储信息或数据,其中的一部分空间为 只读存储区;USB接口,与访问控制单元中的USB数据传输协议相互连接,为移动存储设备与外 部设备通讯的接口。在上述移动存储装置中,所述只读存储区保存访问代理程序、片内操作系统、应用程序和用户访问日志,只有特定允许的用户能对用户访问日志进行读访问操作。在上述移动存储装置中,所述外部设备采用计算机。本专利技术由于采用了上述结构,通过对访问者进行身份认证,确保只有经过许可的 访问者才能合法对移动存储设备中的数据进行访问。一方面增加了存储设备数据保护的主 动性,另一方面本专利技术移动存储装置构造简单、成本低廉、安全性高。下面结合附图和具体实施方式对本专利技术作进一步说明。附图说明 图1为本专利技术的结构原理示意图;图2为本专利技术实施例的结构原理示意图;图3为本专利技术实施例的工作过程流程图。具体实施例方式参看图1,本专利技术包括移动存储设备和访问移动存储设备的外部设备计算机。移动 存储设备包括访问控制单元,由依次相互连接的USB数据传输协议、身份认证协议和访问日志 处理程序组成,USB数据传输协议控制USB数据的传输,身份认证协议对访问者的身份进行 逐次认证,以决定访问者是否能访问数据存储单元中的数据,访问日志处理程序对访问者 的访问过程进行日志记录;密码学服务单元,与访问控制单元相互连接,由随机数生成器、对称密码算法、非 对称密码算法、摘要算法、签名和签名认证算法组成,提供常用密码学服务;数据存储单元,与访问控制单元相互连接,存储信息或数据,其中的一部分空间为 保存访问代理程序、片内操作系统、应用程序和用户访问日志的只读存储区,只读存储单元 只有特定允许的用户能对用户访问日志进行读访问操作。;USB接口,与访问控制单元中的USB数据传输协议相互连接,为移动存储设备与外 部设备通讯的接口。参看图2,本专利技术中的访问控制单元采用相互连接的USB3316QFN芯片和TI 0MAP3530芯片,USB3316QFN芯片为USB控制器,用于控制内外部数据以USB方式进行交 互,TI 0MAP3530芯片是Texaslnstruments公司的一款集成多种功能的运算处理器,负责 各种算术和逻辑运算。密码学服务单元采用MT29C2G24MAKLAJA存储芯片,该芯片内部分 为两个区域,第一个区域用于临时数据交换区,是处理器进行运算时的数据缓存区;第二个 区域用于存储片内操作系统和各种应用程序(包括各种协议和密码学算法)的软件代码。 数据存储单元采用相互连接的JMF602芯片和MT29F32G08QAAWP存储芯片,JMF602芯片 是一存储控制器,用于对MT29F32G08QAAWP存储芯片中数据的读出和写入进行存储控制, MT29F32G08QAAWP存储芯片单片容量为8GB,是用户普通数据的存储区,通过阵列方式采用 多个本芯片可以进一步扩大存储容量。在MT29F32G08QAAWP存储芯片内部通过软件方式设 定只读存储区,该只读存储区用于存储访问日志。参看图3,本专利技术使用时,移动存储设备与外部访问设备计算机之间的数据传输过 程如下(1)移动存储设备通过USB接口接入计算机,上电开始运行。 (2)计算机检测到移动存储设备的接入,向移动存储设备发出请求,请求访问该移 动存储设备。(3)移动存储设备从只读存储区读出访问代理程序并发送给计算机。(4)计算机接收到访问代理程序后,执行安装过程,安装成功后开始运行。(5)计算机中运行的访问代理程序请求与移动存储设备建立安全连接,该安全连 接类似于SSL(Secure Socket Layer)连接。建立安全连接后,访问代理程序与移动存储设 备之间的数据通信均被加密。(6)当计算机中的用户和(或)程序需要访问移动存储设备时,首先向访问代理 程序发出请求,访问代理程序捕获到每一次访问请求,就通过安全连接将访问请求和用户 (程序)的身份信息转发给移动存储设备。(7)移动存储设备中的身份认证协议程序对用户(程序)的身份进行鉴别,以判断 该用户(程序)是否具有访问权限,如果没有,则拒绝访问,如果有,转下一步骤。(8)移动存储设备执行数据读写操作,如从数据存储单元中读出用户(程序)请求 的数据,或将用户(程序)提交的数据存储到数据存储单元。(9)通过身份认证协议的鉴别,只有特定的用户(如安全管理员等)才可以对只读 存储单元中的日志数据进行访问,且只能读出,不能写入或改写。(10)当对数据存储单元的读写操作结束后,移动存储设备将读写结果反馈给计算 机中的访问代理程序,继而,访问代理程序将结果反馈给用户和(或)程序。本专利技术在使用中,用户和(或)程序的每一次访问请求都需要经过身份鉴别,鉴别 通过后才可以执行对数据存储单元的读写操作。所有的访问过程,都由移动存储设备中的 日志处理程序自动生成日志,并将日志存储到只读存储单元(该存储单元对外部计算机而 言是只读的,但对内部的片内操作系统和程序而本文档来自技高网...
【技术保护点】
一种带身份逐次认证和日志记录功能的移动存储装置,它包括移动存储设备和访问移动存储设备的外部设备,其特征在于,所述移动存储设备包括:访问控制单元,由依次相互连接的USB数据传输协议、身份认证协议和访问日志处理程序组成,USB数据传输协议控制USB数据的传输,身份认证协议对访问者的身份进行逐次认证,以决定访问者是否能访问数据存储单元中的数据,访问日志处理程序对访问者的访问过程进行日志记录;密码学服务单元,与访问控制单元相互连接,由随机数生成器、对称密码算法、非对称密码算法、摘要算法、签名和签名认证算法组成,提供常用密码学服务;数据存储单元,与访问控制单元相互连接,存储信息或数据,其中的一部分空间为只读存储区;USB接口,与访问控制单元中的USB数据传输协议相互连接,为移动存储设备与外部设备通讯的接口。
【技术特征摘要】
【专利技术属性】
技术研发人员:刘锋,周培军,李康清,郑必可,
申请(专利权)人:同方股份有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。