一种USB可移动存储设备的文件加解密方法,通过两个USB接口分别连接于计算机和USB存储设备,对其中一个USB接口上USB数据流的解析、过滤,识别出FAT文件系统的文件数据簇;同时通过开辟一块缓存,采用直接映射的方法与USB存储设备的地址相映射,暂存最近读出过和写入过的数据;然后对识别出的文件数据使用加解密算法,并替换掉加解密前的数据,最后重新返回到物理层,从另一个USB接口发送出去;密钥可通过预留的端口从密钥生成模块获得。
【技术实现步骤摘要】
本专利技术属于信息安全
,特别是涉及一种新型的、能对存入或读出u盘等USB可移动存储设备的数据进行文件级别加解密的方法。
技术介绍
通常在没有网络环境情况下、在网络之间物理隔绝的情况下或是传输文件较大情 况下,要进行方便的数据传输不得不借助于USB移动存储设备。目前市场上所见到的 USB移动存储设备大多不带有任何安全功能,计算机的文件数据直接经过USB端口以 明文的形式存储到USB移动存储设备的介质中。在很多场合,人们并没有意识到存储 于USB移动存储设备中数据的安全性,唯一可以做到的就是尽量保证U盘不会丢失。 而一般情况下,丢失之后的USB移动存储设备中存储的数据在他人眼中便一览无余。 同时USB移动存储设备互借、互拷也会给攻击者带来窃取数据的机会,随着USB的数 据传输速率的不断提高,上G字节的数据瞬间就可以被攻击者偷偷拷走。现有的安全方案包括了在计算机上的安全措施、USB移动存储设备上提高安全性 能、独立的数据加密设备。第一种计算机上的安全措施是通过在操作系统内核中嵌入对USB接口转存数据的 安全控制来实现写到磁盘上的数据为密文形式,当需要从磁盘上读出数据时做相应的 解密工作。这种安全机制相当于在磁盘前段加入一块加解密装置,在一定范围内可以 保证数据的流通,通用性强。如果使用硬件电路的方式实现加解密对文件读取速度上 的影响也较小。但是这种方案需要对操作系统的内核做修改,或者是对主板的结构进 行修改,工作量大、标准得不到统一, 一旦到了大的范围内,各种操作系统的计算机 之间就无法进行文件的共享,产生了无谓的麻烦。而目前国内使用最多的Windows操 作系统仍然是一个商业运作的操作系统,普通用户无法对其内核进行修改,使用该种 方案对数据保护的用户只能局限在Linux几种开放的操作系统下,故至今未得到广泛 的应用。而对主板进行修改费用高、难度大,很难成为普通用户及小公司的首选。于是在这种情况下,很多渴望数据安全的用户将目光投到了一些加密软件上,使 用折中的办法满足自己的需求。通过授权PC机上的程序,使其工作在系统层上,对 出入USB移动存储设备的数据进行加解密来提高USB移动存储设备的安全性能。这种加密方式有很多不同的形式,不论是系统自身安装的软件还是通过移动设备上的 autorun自动加载的应用程序,都使用了这种方式。这种加密方式经济代价低、硬件 上无需做变动。但软件的使用不仅占用系统资源,而且还容易受到木马、病毒的威胁。 通常来说,这种加密方式需要手动输入密码,所以长度有限的字符、数字组合很容易 被后台运行的木马劫持。另一种方案来自与各大USB移动存储设备制造厂家,它们的共同点就是加密模块 集成在移动存储设备之上,使其自身带有保密功能。但大多数USB移动存储设备需要 计算机上额外运行的软件支持。因为病毒的泛滥,通常这类软件不是被病毒所侵害便 是被杀毒软件误认为可疑对象而隔离。使用起来带来不必要的麻烦。另外这些产品将 加密过程转由硬件实现,但是具体使用的加密标准却不允公开,无法对其展开理论分 析,安全强度未知。最后一种加密方案完全与计算机与USB移动存储设备脱离,工作时首先将U盘中 的数据全部取出来,加密之后再写入U盘,然后将明文删除。总的来说这样的系统有 几个缺点,首先不是实时的加解密,每次使用U盘的前后都必须使用该设备然后将其 加解密之后再使用;其次每次都必须全盘数据都来一次加解密,费时且不便。
技术实现思路
技术问题本专利技术的目的为了克服上述对USB移动存储设备数据安全保护上的缺陷,提出一种USB移动存储设备的文件加解密方法,实现磁盘文件名及目录可见而文 件内容不可见,在使用上更加灵活。本专利技术方法运行于配备USB主从接口的控制器上, 上电自启,分别对USB主从接口实现海量存储类的USB协议栈,并实现数据在主从接 口间的交换。技术方案本专利技术的USB可移动存储设备的文件加解密方法利用缓存快速访问的 特点进一步提高计算机与磁盘之间数据交换速率。数据的加密方式可以根据硬件的具 体配置而定,可以选择硬件电路完成的加密方式,也可以使用软件方式实现。本专利技术的USB可移动存储设备的文件加解密方法,通过主、从USB接口分别连接 于计算机和USB存储设备,对任何一个USB接口上输入的USB数据流进行解析、过滤, 识别出FAT文件系统的文件数据簇;同时通过开辟一块缓存,采用直接映射的方法与 USB存储设备的地址相映射,暂存最近读出过和写入过的数据;然后对识别出的文件 数据使用加解密算法,并替换掉加解密前的数据,最后重新返回到物理层,从另一个 USB接口发送出去;密钥通过预留的端口从密钥生成模块获得。所述的USB数据流的解析、过滤,是在同一系统中配备一主、 一从两个USB接口以及对应的驱动程序,对计算机伪装成普通的USB存储设备,响应威有的计算机请求;对待加密的usB设备伪装成计算机,根据计算机发来的请求稍;ai改动再次转发给USB存储设备;该过程分为两个阶段,即枚举阶段和数据传输阶段;在枚举阶段, 微控制器通过发送控制请求至USB移动存储设备,获取该设备的设备描述、配置描述、 接口描述、端点描述、字符串描述以及最大逻辑单元数,然后使用从USB移动存储设 备获得的上述描述响应计算机发起的相同请求;在数据传输阶段,微控制器通过对以 Bulk Only传输方式传输的数据的分析,利用CBW和SCSI的规范格式,识别出主机对 存储设备的命令,对其中的ReadlO和WritelO以外的命令采取完全透明过滤的手段; 对ReadlO的响应先从USB可移动存储设备获取计算机所请求的数据,然后再转发 给计算机;对WritelO的响应直接接收计算机发来的数据,然后再存储到USB存储 设备中。所述的识别出FAT文件系统的文件数据簇,是根据写入存储器或读出存储器数据 的特征,判断该数据在FAT文件系统中是否为文件数据簇,要排除的可能性包括主 启动记录、DOS启动记录、文件分配表l、文件分配表2、根目录数据和子目录数据, 前5者可以通过数据的地址来确定身份;对于子目录数据,由于在DOS文件系统中规 定子目录必须以名为.和..的文件开头,根据该特征和这两个特殊目录项所 具有的特殊属性,其身份可以加以确定。类似于TCP/IP协议层,USB自身也含有类似的协议,下层为上层提供服务,逻辑 层之间互相通信,真正的数据流都必须通过物理信道。图4描述的是本系统的USB协 议层次之间的关系。系统的工作流程分为两个阶段枚举阶段和数据传输阶段。在枚 举阶段,微控制器通过发送控制请求至USB移动存储设备,获取该设备的设备描述、 配置描述、接口描述、端点描述、字符串描述以及最大逻辑单元数,然后使用从USB 移动存储设备获得的上述描述响应计算机发起的相同请求。在数据传输阶段,微控制 器通过对以Bulk Only传输方式传输的数据的分析,利用CBW和SCSI的规范格式, 识别出主机对存储设备的命令,对其中的ReadlO和WritelO以外的命令采取完全透 明过滤的手段。对ReadlO的响应先从USB可移动存储设备获取计算机所请求的数 据,然后再转发给计算机;对WritelO的响应直接接收计算机发来的数据,然后再 存储到USB存储设备中。ReadlO的具体示本文档来自技高网...
【技术保护点】
一种USB可移动存储设备的文件加解密方法,其特征在于,通过主、从USB接口分别连接于计算机和USB存储设备,对任何一个USB接口上输入的USB数据流进行解析、过滤,识别出FAT文件系统的文件数据簇;同时通过开辟一块缓存,采用直接映射的方法与USB存储设备的地址相映射,暂存最近读出过和写入过的数据;然后对识别出的文件数据使用加解密算法,并替换掉加解密前的数据,最后重新返回到物理层,从另一个USB接口发送出去;密钥通过预留的端口从密钥生成模块获得。
【技术特征摘要】
1.一种USB可移动存储设备的文件加解密方法,其特征在于,通过主、从USB接口分别连接于计算机和USB存储设备,对任何一个USB接口上输入的USB数据流进行解析、过滤,识别出FAT文件系统的文件数据簇;同时通过开辟一块缓存,采用直接映射的方法与USB存储设备的地址相映射,暂存最近读出过和写入过的数据;然后对识别出的文件数据使用加解密算法,并替换掉加解密前的数据,最后重新返回到物理层,从另一个USB接口发送出去;密钥通过预留的端口从密钥生成模块获得。2. 根据权利要求1所述的一种USB可移动存储设备的文件加解密方法,其 特征是,所述的USB数据流的解析、过滤,是在同一系统中配备一主、 一从两个 USB接口以及对应的驱动程序,对计算机伪装成普通的USB存储设备,响应 所有的计算机请求;对待加密的USB设备伪装成计算机,根据计算机发来的 请求稍加改动再次转发给USB存储设备;该过程分为两个阶段,即枚举阶段和数 据传输阶段;在枚举阶段,微控制器通过发送控制请求至USB移动存储设备,获 取该设备的设备描述、配置描述、接口描述、端点描述、字符串描述以及最...
【专利技术属性】
技术研发人员:胡爱群,顾任亮,范鹏飞,
申请(专利权)人:东南大学,
类型:发明
国别省市:84[中国|南京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。