基于虚拟磁盘的数据加密移动存储管理方法技术

本发明专利技术公开了一种基于虚拟磁盘的数据加密移动存储管理方法，实施步骤如下：1）在移动存储设备的头部写入加密卷标识，在移动存储设备中创建虚拟磁盘加密卷；2）当移动存储设备插入指定的计算机时检查加密卷标识，如果加密卷标识不正确则按普通移动存储设备处理，否则跳转执行下一步；3）根据挂载口令校验虚拟磁盘加密卷信息头，校验通过则执行下一步；4）挂载虚拟磁盘加密卷，调用带有加解密模块的虚拟磁盘驱动程序对虚拟磁盘加密卷进行读写，加解密模块自动实时加解密；最终在卸载移动存储设备时自动卸载所述虚拟磁盘加密卷。本发明专利技术具有存储信息安全可靠、安全策略配置灵活、移动存储设备管理简单方便、数据加解密处理透明高效的优点。

【技术实现步骤摘要】

本专利技术涉及Linux操作系统下移动存储设备的数据存储及管理方法，具体涉及一种对普通U盘创建虚拟磁盘加密卷实现数据的自动加解密的。
技术介绍
随着信息化的不断发展和深入，计算机已经全面进入了人们的生活和工作中，而U盘(U-disk)，作为一种即插即用的USB设备，以其小巧携带方便、存储容量大、性能可靠、传输速度快等优点成为日常生活中必不可少的移动存储设备。但由U盘所引发的数据泄漏等安全问题也日益严重，成为很多企业和个人信息安全防护的重点。为了解决这个问题，加密U盘应运而生。目前加密U盘主要包含三类实现方式一是简单的密码认证，实际的存储内容并没有经过加密处理；二是硬件加密，通过U盘内部的控制芯片实现实时加密，该类加密U盘需要专门的硬件加解密芯片，硬件成本高；三是软件加密，即通过内置或附带加密软件对数据进行加密，该类加密U盘是目前市面上的主流产品。软件加密U盘刚问世的时候还只是用于国家涉密单位或部门，随着数据泄露问题的加剧和越来越多的用户对个人敏感信息或公司保密信息的安全性的重视，软件加密U盘在民用企事业单位以及个人用户方面也得到广泛应用。软件加密U盘的使用，在一定程度上解决了用户对于个人隐私的担心，大大减少了泄密的可能性，满足了不同单位和个人对于数据安全的需求。但是，现有技术的软件加密U盘存在以下几个问题1、容易被病毒攻击，窃取资料 Windows操作系统下病毒肆虐，很多资料的泄漏就是受到病毒的感染。操作系统把U盘作为一个标准的磁盘来管理，对操作系统来说，U盘除了热插拔之外，和硬盘没什么分别，从而导致U盘容易感染病毒。2、密码容易被破解，导致U盘数据容易泄密 随着U盘的使用范围不断扩大，市面上出现的破解密码软件也日益增多，U盘的丢失、报废、维修和遭窃等情况的发生很容易被他人借助破解软件获取密码，读取U盘中的加密信息，造成数据的泄漏。3、没有单位权限管理，容易造成内部泄密 目前由于内部人员行为所导致的泄密事故占总泄密事故的70%以上，内部泄密成为了目前人们关注的焦点。虽然可以通过管理制定的规范、访问控制的约束和审计手段等防护措施可以很大程度上降低内部泄密风险，但是，U盘的便携性本身就为信息的外带种下了缺陷。该类U盘由于没有单位间的权限设置，所以一旦离开本单位内部环境，就极有可能发生泄密。4、应用层的透明加解密，不方便于软件版本的升级开发 基于应用层的透明加解密通过监控应用程序的启动而启动，但由于版本的升级开发可能会导致应用程序的改名和不同应用程序在读写文件时所用的方法不同，以及应用程序中反钩子技术的应用都有可能造成透明加解密的失效。而且，该类透明加解密技术在遇到大文件时，速度较慢。综上所述，现有技术的软件加密U盘容易被病毒攻击，密码容易被破解，没有单位权限管理，容易造成内部泄密，基于应用层的透明加解密与应用程序的关联太紧密，不便于软件版本的升级开发，限制了软件加密U盘的推广和应用。
技术实现思路
本专利技术要解决的技术问题是提供一种存储信息安全可靠、安全策略配置灵活、移动存储设备管理简单方便、数据加解密处理透明高效的。为了解决上述技术问题，本专利技术采用的技术方案为 一种，实施步骤如下 1)在普通移动存储设备的头部写入加密卷标识并创建虚拟磁盘加密卷得到加密移动存储设备，将所述虚拟磁盘加密卷的头部设置根据用户输入的挂载口令进行加密的虚拟磁盘加密卷信息头，所述虚拟磁盘加密卷信息头包含数据加解密密钥、管理策略信息和虚拟磁盘文件系统信息； 2)当移动存储设备插入指定的计算机时，检查移动存储设备的加密卷标识是否正确，如果加密卷标识不正确则判定插入普通移动存储设备；否则判定插入加密移动存储设备并跳转执行下一步； 3)获取用户输入的挂载口令，根据所述挂载口令解密加密移动存储设备中的虚拟磁盘加密卷信息头，并对解密后的虚拟磁盘加密卷信息头进行校验，如果校验通过则跳转执行下一步，否则返回执行步骤3)或者禁止挂载虚拟磁盘加密卷并退出； 4)挂载虚拟磁盘加密卷，根据解密虚拟磁盘加密卷信息头得到的数据加解密密钥配置主次密钥，调用所述指定的计算机中带有加解密模块的虚拟磁盘驱动程序根据用户的指令对虚拟磁盘加密卷进行读写，所述加解密模块使用主次密钥对读写虚拟磁盘加密卷的内容进行自动实时加解密，最终在卸载加密移动存储设备时自动卸载所述虚拟磁盘加密卷。作为本专利技术上述技术方案的进一步改进 所述虚拟磁盘加密卷信息头还包含完整性校验值，所述管理策略信息中包括用于标识区别虚拟磁盘加密卷的标识位；所述步骤3)对解密后的虚拟磁盘加密卷信息头进行校验的详细步骤如下 3.1)检测解密虚拟磁盘加密卷信息头后的标识位是否为指定的字符串，如果标识位为指定的字符串，则判定用户输入的挂载口令正确并跳转执行步骤3. 2);否则判定用户输入的挂载口令错误，记录口令错误的次数，当所述口令错误的次数小于预设值时返回执行步骤3)，当所述口令错误的次数大于或等于预设值时禁止挂载虚拟磁盘加密卷并退出； 3.2)根据解密虚拟磁盘加密卷信息头得到的管理策略信息、虚拟磁盘文件系统信息、数据加解密密钥计算完整性校验值，将计算得到的完整性校验值和解密虚拟磁盘加密卷信息头得到的完整性校验值进行对比，如果两者相同则判定完整性校验通过并跳转执行步骤4);否则判定完整性校验不通过，禁止挂载虚拟磁盘加密卷并退出。所述管理策略信息还包含加密移动存储设备的设备编号和单位部门；步骤4)中挂载虚拟磁盘加密卷时还包括检查加密移动存储设备可用性的步骤，所述检查加密移动存储设备可用性的步骤如下 4.1)获取所述指定的计算机对应的单位部门，获取解密虚拟磁盘加密卷信息头得到的加密移动存储设备的单位部门，比较所述指定的计算机对应的单位部门和加密移动存储设备的单位部门是否相同，如果不相同则判定所述加密移动存储设备为外来单位部门的加密移动存储设备，跳转执行步骤4. 2);否则判定所述加密移动存储设备为所述指定的计算机本单位部门的加密移动存储设备，跳转执行步骤4. 3)； 4.2)根据所述指定的计算机对应的单位部门、加密移动存储设备的设备编号和单位部门从所述指定的计算机中读取加密移动存储设备访问控制权限，所述加密移动存储设备访问控制权限包含所述指定的计算机对应的单位部门是否允许所述加密移动存储设备访问、所述加密移动存储设备的单位部门是否允许所述加密移动存储设备访问所述指定的计算机；如果所述加密移动存储设备访问控制权限均为允许访问，则跳转执行步骤4. 3);否则禁止挂载虚拟磁盘加密卷； 4.3)获取解密虚拟磁盘加密卷信息头得到的加密移动存储设备的设备编号，从所述指定的计算机中读取所述加密移动存储设备对应的设备编号是否被锁定的控制规则，如果所述加密移动存储设备对应的设备编号被锁定，则禁止挂载虚拟磁盘加密卷，否则挂载虚拟磁盘加密卷。所述步骤I)写入加密卷标识以及创建虚拟磁盘加密卷时，所述字符串标识存储在加密移动存储设备的前16字节空间内；所述虚拟磁盘加密卷信息头写入虚拟磁盘加密卷头部的前1008字节空间内，其中第O 511个共512个字节空间存放管理策略信息，所述管理策略信息包含单位部门、设备编号和标记位，且所述管理策略信息以字符串列表的形式存储 ’第512 639个共128个字节空间存放虚拟磁盘文本文档来自技高网...

【技术保护点】
一种基于虚拟磁盘的数据加密移动存储管理方法，其特征在于实施步骤如下：1）在普通移动存储设备的头部写入加密卷标识并创建虚拟磁盘加密卷得到加密移动存储设备，将所述虚拟磁盘加密卷的头部设置根据用户输入的挂载口令进行加密的虚拟磁盘加密卷信息头，所述虚拟磁盘加密卷信息头包含数据加解密密钥、管理策略信息和虚拟磁盘文件系统信息；2）当移动存储设备插入指定的计算机时，检查移动存储设备的加密卷标识是否正确，如果加密卷标识不正确则判定插入普通移动存储设备；否则判定插入加密移动存储设备并跳转执行下一步；3）获取用户输入的挂载口令，根据所述挂载口令解密加密移动存储设备中的虚拟磁盘加密卷信息头，并对解密后的虚拟磁盘加密卷信息头进行校验，如果校验通过则跳转执行下一步，否则返回执行步骤3）或者禁止挂载虚拟磁盘加密卷并退出；4）挂载虚拟磁盘加密卷，根据解密虚拟磁盘加密卷信息头得到的数据加解密密钥配置主次密钥，调用所述指定的计算机中带有加解密模块的虚拟磁盘驱动程序根据用户的指令对虚拟磁盘加密卷进行读写，所述加解密模块使用主次密钥对读写虚拟磁盘加密卷的内容进行自动实时加解密，最终在卸载加密移动存储设备时自动卸载所述虚拟磁盘加密卷。...

【技术特征摘要】
1.一种基于虚拟磁盘的数据加密移动存储管理方法，其特征在于实施步骤如下 1)在普通移动存储设备的头部写入加密卷标识并创建虚拟磁盘加密卷得到加密移动存储设备，将所述虚拟磁盘加密卷的头部设置根据用户输入的挂载口令进行加密的虚拟磁盘加密卷信息头，所述虚拟磁盘加密卷信息头包含数据加解密密钥、管理策略信息和虚拟磁盘文件系统信息； 2)当移动存储设备插入指定的计算机时，检查移动存储设备的加密卷标识是否正确，如果加密卷标识不正确则判定插入普通移动存储设备；否则判定插入加密移动存储设备并跳转执行下一步； 3)获取用户输入的挂载口令，根据所述挂载口令解密加密移动存储设备中的虚拟磁盘加密卷信息头，并对解密后的虚拟磁盘加密卷信息头进行校验，如果校验通过则跳转执行下一步，否则返回执行步骤3)或者禁止挂载虚拟磁盘加密卷并退出； 4)挂载虚拟磁盘加密卷，根据解密虚拟磁盘加密卷信息头得到的数据加解密密钥配置主次密钥，调用所述指定的计算机中带有加解密模块的虚拟磁盘驱动程序根据用户的指令对虚拟磁盘加密卷进行读写，所述加解密模块使用主次密钥对读写虚拟磁盘加密卷的内容进行自动实时加解密，最终在卸载加密移动存储设备时自动卸载所述虚拟磁盘加密卷。2.根据权利要求1所述的基于虚拟磁盘的数据加密移动存储管理方法，其特征在于，所述虚拟磁盘加密卷信息头还包含完整性校验值，所述管理策略信息中包括用于标识区别虚拟磁盘加密卷的标识位；所述步骤3)对解密后的虚拟磁盘加密卷信息头进行校验的详细步骤如下 3.1)检测解密虚拟磁盘加密卷信息头后的标识位是否为指定的字符串，如果标识位为指定的字符串，则判定用户输入的挂载口令正确并跳转执行步骤3. 2);否则判定用户输入的挂载口令错误，记录口令错误的次数，当所述口令错误的次数小于预设值时返回执行步骤3)，当所述口令错误的次数大于或等于预设值时禁止挂载虚拟磁盘加密卷并退出； 3.2)根据解密虚拟磁盘加密卷信息头得到的管理策略信息、虚拟磁盘文件系统信息、数据加解密密钥计算完整性校验值，将计算得到的完整性校验值和解密虚拟磁盘加密卷信息头得到的完整性校验值进行对比，如果两者相同则判定完整性校验通过并跳转执行步骤4);否则判定完整性校验不通过，禁止挂载虚拟磁盘加密卷并退出。3.根据权利要求2所述的基于虚拟磁盘的数据加密移动存储管理方法，其特征在于，所述管理策略信息还包含加密移动存储设备的设备编号和单位部门；步骤4)中挂载虚拟磁盘加密卷时还包括检查加密移动存储设备可用性的步骤，所述检查加密移动存储设备可用性的步骤如下 ` 4.1)获取所述指定的计算机对应的单位部门，获取解密虚拟磁盘加密卷信息头得到的加密移动存储设备的单位部门，比较所述指定的计算机对应的单位部门和加密移动存储设备的单位部门是否相同，如果不相同则判定所述加密移动存储设备为外来单位部门的加密移动存储设备，跳转执行步骤4. 2);否则判定所述加密移动存储设备为所述指定的计算机本单位部门的加密移动存储设备，跳...

【专利技术属性】
技术研发人员：马俊，余杰，唐晓东，易晓东，张卫华，孔金珠，戴华东，吴庆波，彭欢，
申请(专利权)人：中国人民解放军国防科学技术大学，
类型：发明
国别省市：