一种USB安全存储方法及系统技术方案

本发明专利技术公开了一种USB安全存储方法及系统，基于双射频环境鉴别机制，初始化阶段，USB安全存储装置通过HF射频通信与初始化装置连接生成数据密钥；在状态及离境告警标志验证步骤，USB安全存储装置中的数据密钥处于无效状态，装置根据当前自身的状态及是否有由告警装置通过UHF射频通信写入的离境告警标志，控制USB安全存储装置的使用和销毁，当被激活装置激活后，数据密钥处于可用状态，利用数据密钥加解密数据并完成读写操作，实现了对USB存储设备的使用环境进行管控，提高存储数据的安全性。

【技术实现步骤摘要】
【专利摘要】本专利技术公开了一种USB安全存储方法及系统，基于双射频环境鉴别机制，初始化阶段，USB安全存储装置通过HF射频通信与初始化装置连接生成数据密钥；在状态及离境告警标志验证步骤，USB安全存储装置中的数据密钥处于无效状态，装置根据当前自身的状态及是否有由告警装置通过UHF射频通信写入的离境告警标志，控制USB安全存储装置的使用和销毁，当被激活装置激活后，数据密钥处于可用状态，利用数据密钥加解密数据并完成读写操作，实现了对USB存储设备的使用环境进行管控，提高存储数据的安全性。【专利说明】—种USB安全存储方法及系统
本专利技术涉及数据保护技术，特别涉及一种USB安全存储方法及系统。
技术介绍
当前，U盘等便携式存储设备作为一种灵活、快捷的存储介质在各个公司、企业和科研机构中被广泛使用。这些设备中存储的文件数据，很多涉及企业的知识产权或商业技术秘密等信息。一旦内部人员将存有这些信息的设备带出并在外部场合使用，就会造成公司敏感信息的泄露。因此，需要对USB存储设备中的数据进行严格保护，对USB存储设备的使用环境进行管控，以防止信息的泄露。随着企业用户对数据安全性要求的提高和技术的不断发展，为了防止USB存储设备离开可控范围后，数据安全受到威胁，出现了几种针对U盘内数据的保护方法。I)软件加密:U盘本身并没有加密功能，需要在接入主机上安装加密软件，加密软件利用过滤驱动技术对交互数据进行加密，然后将加密后的数据存储到U盘上。2)硬件加密U盘:与软件加密类似，硬件加密U盘中的数据同样是以密文的形式进行存储；但是，与软件加密不同，加密算法和加密过程固化在U盘的控制逻辑中，对数据的加解密操作在U盘内完成，不需要在接入主机上进行额外的加解密操作；加解密过程都需要用户输入正确的口令。3)接入主机鉴别:通过在主机内添加可信平台模块(TPM, Trust PlatformModule)，在U盘接入主机和后续的访问过程中，利用TPM对主机进行周期性的验证:TPM利用自身的私钥对主机的BIOS信息、Bootloader及其配置、操作系统信息作签名，发送给U盘；U盘利用公钥验证签名，并将主机信息和内部预先存储的信息比较，验证通过后允许主机对U盘内文件的读写访问。4)双界面加密存储卡:在加密存储的基础上，集成了 USB接口和HF射频接口，其中，HF射频接口遵循IS0/IEC14443标准。对芯片的访问可以通过USB接口，也可以通过相隔一定距离以射频方式进行访问；通过在合法的使用区域和管控范围的出口部署射频读写装置，利用HF射频接口鉴别当前存储设备的使用环境，保证只有在合法范围内设备才能被激活使用；超出可控范围，密钥将被销毁。上述方式虽然可以在一定程度上防止信息泄露，但是，在实际应用中均会存在一定的问题，如:对于方式1)，由于需要对数据进行额外的加密操作，因此对于用户来说不太方便，那么一旦用户忘记对数据进行加密，当U盘丢失时，其中的数据就会泄露；对于方式2)，虽然能够保证U盘丢失后，其中的数据不被泄漏，但不能防止有使用权限的、知道口令的用户蓄意泄漏其中的数据；对于方式3)，由于需要定期地对主机进行验证，该方案会带来一定的系统开销，影响文件读写速率；另外，该方案不能防止合法用户主动将存储设备携带出公司使用；对于方式4)，双界面加密存储卡的HF射频接口遵循IS0/IEC14443标准，读写距离非常有限，只能达到10cm，因此一旦用户因疏忽忘记向射频读写装置出示存储卡，或快速通过管控范围的出口，密钥销毁操作就无法完成。
技术实现思路
本专利技术提供了一种USB安全存储方法及系统，实现对USB存储设备的使用环境进行管控，提高存储数据的安全性。为实现上述目的，本专利技术提供了一种USB安全存储方法，包括:初始化步骤:初始化装置通过HF射频通信控制USB安全存储装置生成数据密钥，存储数据密钥并将USB安全存储装置的状态由出厂状态设定为锁定状态，将数据密钥设定为无效状态；USB安全存储装置状态及离境告警标志验证步骤:USB安全存储装置通过USB接口与终端连接，并查询当前USB安全存储装置的状态，若当前状态为出厂状态或销毁状态，则禁止USB安全存储装置使用，若当前USB安全存储装置的状态为锁定状态或激活状态，则USB安全存储装置查询USB安全存储装置内是否存在由告警装置通过UHF射频通信写入的离境告警标志，若存在所述离境告警标志，则销毁数据密钥，并将USB安全存储装置当前状态设定为销毁状态，禁止USB安全存储装置使用；若不存在所述离境告警标志，则允许USB安全存储装置使用；数据读写步骤:当USB安全存储装置允许使用、且USB安全存储装置通过USB接口收到由终端发送的读请求或写请求时，USB安全存储装置通过HF射频通信接收由激活装置发送的激活命令，将USB安全存储装置设置为激活状态，并将数据密钥设定为有效状态，利用数据密钥加解密数据并完成读操作或写操作。进一步，所述初始化步骤包括:初始化装置通过HF射频通信与USB安全存储装置建立数据连接；初始化装置获取USB安全存储装置中预置的ID标识，并利用预置的全局根密钥对获取到的ID标识进行加密得到第一加密结果，将第一加密结果作为USB安全存储装置的主密钥发送至USB安全存储装置；USB安全存储装置获取并存储主密钥；初始化装置控制USB安全存储装置生成并存储数据密钥，控制USB安全存储装置将USB安全存储装置的当前状态由出厂状态设定为锁定状态，将数据密钥设定为无效状态。USB安全存储方法进一步包括USB安全存储装置离境告警标志写入步骤:当USB安全存储装置进入到告警装置UHF射频通信范围内时，USB安全存储装置通过UHF射频通信与告警装置建立连接，接收并存储告警装置发送的离境告警标志。进一步，所述USB安全存储装置离境告警标志写入步骤中，接收并存储告警装置发送的离境告警标志包括:告警装置获取USB安全存储装置的ID标识，利用预置的全局根密钥对获取的ID标识进行加密，得到主密钥；告警装置利用主密钥加密获取的ID标识、离境告警命令和第一校验和得到第二加密结果，将第二加密结果作为离境告警标志发送给USB安全存储装置，其中第一校验和由ID标识和离境告警命令计算生成；USB安全存储装直接收并存储所述尚境告警标志。进一步，USB安全存储装置状态及离境告警标志验证步骤中，若存在所述离境告警标志时，在销毁数据密钥，并将USB安全存储装置当前状态设定为销毁状态，禁止USB安全存储装置使用之前还包括离境告警标志的验证步骤:USB安全存储装置利用主密钥对离境告警标志进行解密，比较解密得到的ID标识与装置自身的ID标识是否一致，如果是，则计算解密得到的ID标识和离境告警命令得到第二校验和，若第二校验和与第一校验和一致，则离境告警标志验证通过，执行销毁数据密钥操作，并将USB安全存储装置当前状态设定为销毁状态，禁止USB安全存储装置使用。进一步，数据读写步骤包括:激活装置持续地向处于其HF射频通信范围内的USB安全存储装置发送第一挑战随机数，发起第一环境鉴别请求；USB安全存储装置在每次收到读请求或写请求时，响应所述第一环境鉴别请求，生成第二挑战随机数，利用主密钥对第一、第二挑战随机数和USB安全存储装置ID标识进行加本文档来自技高网...

【技术保护点】
一种USB安全存储方法，其特征在于，包括：初始化步骤：初始化装置通过HF射频通信控制USB安全存储装置生成数据密钥，USB安全存储装置存储数据密钥后，将USB安全存储装置的状态由出厂状态设定为锁定状态，将数据密钥设定为无效状态；USB安全存储装置状态及离境告警标志验证步骤：USB安全存储装置通过USB接口与终端连接，并查询当前USB安全存储装置的状态，若当前状态为出厂状态或销毁状态，则禁止USB安全存储装置使用，若当前USB安全存储装置的状态为锁定状态或激活状态，则USB安全存储装置查询USB安全存储装置内是否存在由告警装置通过UHF射频通信写入的离境告警标志，若存在所述离境告警标志，则销毁数据密钥，并将USB安全存储装置当前状态设定为销毁状态，禁止USB安全存储装置使用；若不存在所述离境告警标志，则允许USB安全存储装置使用；数据读写步骤：当USB安全存储装置允许使用、且USB安全存储装置通过USB接口收到由终端发送的读请求或写请求时，USB安全存储装置通过HF射频通信接收由激活装置发送的激活命令，将USB安全存储装置设置为激活状态，并将数据密钥设定为有效状态，利用数据密钥加解密数据并完成读操作或写操作。...

【技术特征摘要】

【专利技术属性】
技术研发人员：荆继武，王秋晨，夏鲁宁，嵇亚飞，王雷，
申请(专利权)人：中国科学院数据与通信保护研究教育中心，
类型：发明
国别省市：