專利名稱:數(shù)字?jǐn)?shù)據(jù)的保護(hù)方法及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明是有關(guān)一種數(shù)字?jǐn)?shù)據(jù)的保護(hù)方法及其裝置���,特別是一種利用可攜式儲存裝 置中多個不同屬性的扇區(qū)��,搭配安全管理系統(tǒng)控制不同扇區(qū)的存取操作�,進(jìn)而保護(hù)被儲存 在可攜式儲存裝置中的數(shù)字?jǐn)?shù)據(jù)不被任意復(fù)制的保護(hù)方法及其裝置�。
背景技術(shù):
信息科技的快速發(fā)展使得信息的散布與取得更加的方便,而如何保護(hù)數(shù)字?jǐn)?shù)據(jù)不 被任意的復(fù)制也成為一個極受重視的問題�;到目前為止已經(jīng)有許多保護(hù)數(shù)字?jǐn)?shù)據(jù)的技術(shù)被 提出,較為常見的包括水印(Water Marking)以及加密技術(shù),例如中國臺灣專利核準(zhǔn)公告 號1307053的“數(shù)字水印自動加載系統(tǒng)及方法”提出了一種對受到數(shù)字版權(quán)管理(Digital Rights Management���,以下簡稱DRM)保護(hù)的電子文件加入水印的打印技術(shù)��;另外在中國臺 灣專利公開號200727656的“文件自動加密系統(tǒng)及方法”�����,則揭露了一種利用加密方法對數(shù) 字?jǐn)?shù)據(jù)進(jìn)行保護(hù)的技術(shù)��。以上這兩種技術(shù)完全是利用計算機軟件的技術(shù)就能實現(xiàn)對數(shù)字?jǐn)?shù) 據(jù)的保護(hù)��,換言之就是一種與計算機硬件無關(guān)的數(shù)字?jǐn)?shù)據(jù)保護(hù)技術(shù)����。支持通用序列總線(Universal Serial Bus, USB)的可攜式儲存裝置�,例如USB隨 身碟(Flash Disk)被發(fā)明以來,人們可以將數(shù)字?jǐn)?shù)據(jù)儲存其中隨身攜帶����,并且可與各種具 有USB接口的計算機連接進(jìn)而存取USB隨身碟中的數(shù)據(jù)。使用隨身碟來攜帶數(shù)字?jǐn)?shù)據(jù)雖然 方便�,但是一般的USB隨身碟并沒有防止他人任意存取或是復(fù)制其中的數(shù)字?jǐn)?shù)據(jù)的功能, 保密能力不足�,在已公告的中國臺灣新型專利公告號M245546“具有光學(xué)式指紋辨識系統(tǒng)的 隨身碟結(jié)構(gòu)”��,提出了一種結(jié)合了光學(xué)式指紋辨識系統(tǒng)的隨身碟����,以增加使用的安全性�����。為了解決具有智能財產(chǎn)權(quán)的數(shù)字文件容易被侵犯的問題���,另外也可利用數(shù)字版權(quán) 管理(DRM)技術(shù)來加以保護(hù),DRM是一種保護(hù)多媒體內(nèi)容免受未經(jīng)授權(quán)的播放和復(fù)制的方 法�����。其提供了一種機制��,數(shù)字內(nèi)容的提供者用以保護(hù)其私有音樂或其它數(shù)據(jù)免受非法復(fù)制 和使用��。這項技術(shù)通過對數(shù)字內(nèi)容進(jìn)行加密和附加使用規(guī)則而對數(shù)字內(nèi)容進(jìn)行保護(hù)���,其中��, 可借由使用規(guī)則來判定用戶是否符合存取或播放的資格�����。DRM雖然可以保護(hù)多媒體內(nèi)容���,不 過需要將客戶的數(shù)字?jǐn)?shù)據(jù)進(jìn)行DRM格式的轉(zhuǎn)換����,若是客戶需要將數(shù)字?jǐn)?shù)據(jù)復(fù)制在不同計算 機中��,另外的計算機也需要能夠讀取DRM格式的軟件�,換言之利用DRM技術(shù)保護(hù)的數(shù)字?jǐn)?shù)據(jù) 通常要搭配使用特定的軟件來讀取受到DRM保護(hù)的數(shù)字?jǐn)?shù)據(jù)或是文件,對于數(shù)字?jǐn)?shù)據(jù)傳輸 的使用便利性則大打折扣��。
發(fā)明內(nèi)容
為了解決可攜式儲存裝置中的數(shù)字?jǐn)?shù)據(jù)容易被任意復(fù)制的問題�,本發(fā)明提出了一 種數(shù)字?jǐn)?shù)據(jù)的保護(hù)方法,利用具有可規(guī)劃和讀寫隱藏扇區(qū)及利用密碼開關(guān)保護(hù)扇區(qū)的控制 芯片的可攜式儲存裝置和一安全管理系統(tǒng)的配合��,達(dá)到保護(hù)可攜式儲存裝置中所儲存的數(shù) 字?jǐn)?shù)據(jù)不被任意復(fù)制的功效�。本發(fā)明所揭露的方法,基本上包括下列步驟
4
準(zhǔn)備一種可攜式儲存裝置���,其中具有一隱藏扇區(qū)�����、一保護(hù)扇區(qū)�,以及一可規(guī)劃和讀 寫隱藏扇區(qū)以及使用密碼開關(guān)保護(hù)扇區(qū)的控制芯片;將被保護(hù)的數(shù)字?jǐn)?shù)據(jù)存入隱藏扇區(qū)�����;提供一安全管理系統(tǒng)并在計算機中執(zhí)行此安全管理系統(tǒng)�����;當(dāng)可攜式儲存裝置被插入計算機時由安全管理系統(tǒng)對可攜式儲存裝置的控制芯 片的辨識碼進(jìn)行驗證�; 在可攜式儲存裝置通過驗證時開啟并且初始化保護(hù)扇區(qū)����;將隱藏扇區(qū)中被選中要存取或是執(zhí)行的數(shù)字?jǐn)?shù)據(jù)復(fù)制至保護(hù)扇區(qū),以安全管理系 統(tǒng)存取或是執(zhí)行保護(hù)扇區(qū)中的數(shù)字?jǐn)?shù)據(jù)���,再對保護(hù)扇區(qū)加鎖保護(hù)��;以及在數(shù)字?jǐn)?shù)據(jù)使用結(jié)束后�����,由安全管理系統(tǒng)清空保護(hù)扇區(qū)中的數(shù)字?jǐn)?shù)據(jù)然后關(guān)閉保 護(hù)扇區(qū)����。本發(fā)明所提出的方法還包括攔截計算機操作系統(tǒng)中的操作信號,包括鍵盤��、鼠標(biāo) 的操作信號和開啟工作管理員的事件���,以便在對可攜式儲存裝置中的數(shù)字?jǐn)?shù)據(jù)的存取過程 中保證數(shù)字?jǐn)?shù)據(jù)的安全��。本發(fā)明所提出的方法還包括對儲存至隱藏扇區(qū)的數(shù)字?jǐn)?shù)據(jù)進(jìn)行加密的步驟�����,使 得隱藏扇區(qū)中的數(shù)字?jǐn)?shù)據(jù)無法直接進(jìn)行存取或執(zhí)行����。為了解決可攜式儲存裝置中的數(shù)字?jǐn)?shù)據(jù)容易被任意復(fù)制的問題�,本發(fā)明提出了一 種數(shù)字?jǐn)?shù)據(jù)的保護(hù)裝置,利用一種具有可規(guī)劃和讀寫隱藏扇區(qū)及開關(guān)保護(hù)扇區(qū)的控制芯片 的可攜式儲存裝置和一安全管理系統(tǒng)的配合�����,達(dá)到保護(hù)可攜式儲存裝置中所儲存的數(shù)字?jǐn)?shù) 據(jù)不被任意復(fù)制的功效����。本發(fā)明所提出的裝置�,包括一可攜式儲存裝置����,是一種可以儲存數(shù)字?jǐn)?shù)據(jù)并且與計算機連接的儲存裝置,具 有一隱藏扇區(qū)�、一保護(hù)扇區(qū),以及一可規(guī)劃和讀寫隱藏扇區(qū)以及使用密碼開關(guān)保護(hù)扇區(qū)的 控制芯片�,控制芯片具有一可供辨識的辨識碼并且提供一種能夠控制及管理隱藏扇區(qū)和保 護(hù)扇區(qū)的開發(fā)接口,用以進(jìn)行數(shù)字?jǐn)?shù)據(jù)的存取操作�����;一安全管理系統(tǒng)����,包含有多個不同的軟件組件�����,執(zhí)行于計算機中并通過可攜式儲 存裝置中的控制芯片所提供的開發(fā)接口對可攜式儲存裝置的隱藏扇區(qū)和保護(hù)扇區(qū)中的數(shù) 字?jǐn)?shù)據(jù)進(jìn)行存取或執(zhí)行的操作���。由上述本發(fā)明所提出的方法及裝置���,將可獲致以下的幾項功效�,分別為防止被保護(hù)的數(shù)字?jǐn)?shù)據(jù)被任意的復(fù)制通過本發(fā)明所提出的保護(hù)方法及裝置�,可 以避免要被保護(hù)的數(shù)字?jǐn)?shù)據(jù)遭到他人任意的復(fù)制或是侵害?��?梢栽诙嗖坑嬎銠C中使用若使用者在第二地的計算機中有安裝本發(fā)明的安全管 理系統(tǒng)�,且使用安全管理系統(tǒng)所認(rèn)可的可攜式儲存裝置����,使用者可在第二地計算機設(shè)備中, 利用安全管理系統(tǒng)直接存取或執(zhí)行可攜式儲存裝置中被保護(hù)的數(shù)字?jǐn)?shù)據(jù)�����,而且在使用的過 程中通過本發(fā)明的方法及裝置保護(hù)的數(shù)字?jǐn)?shù)據(jù)不會有外泄的疑慮���?���?梢苑奖愕卦诓煌挠嬎銠C中使用即使與本發(fā)明所提出的可攜式儲存裝置連結(jié) 的計算機中并未預(yù)先安裝有本發(fā)明的安全管理系統(tǒng)�����,也能通過隨插即用(Plug and Play) 的技術(shù),可以將本發(fā)明中的安全管理系統(tǒng)依使用者需求�,而決定是否要將安全管理系統(tǒng)自 動安裝于當(dāng)前的計算機中。
以下結(jié)合附圖和具體實施例對本發(fā)明進(jìn)行詳細(xì)描述����,但不作為對本發(fā)明的限定。
圖1為本發(fā)明的保護(hù)方法的一較佳實施例步驟流程圖
圖2為本發(fā)明的保護(hù)方法的另一較佳實施例步驟流程
圖3為本發(fā)明的保護(hù)方法的另一較佳實施例步驟流程
圖4為本發(fā)明的保護(hù)裝置的一較佳實施例圖5為本發(fā)明的安全管理系統(tǒng)的另一較佳實施例�����;
圖6為本發(fā)明的保護(hù)裝置的另一較佳實施例圖�。
其中,附圖標(biāo)記
10可攜式儲存裝置
11控制芯片
12隱藏扇區(qū)
13保護(hù)扇區(qū)
14普通扇區(qū)
20安全管理系統(tǒng)
20a自動安裝安全管理系統(tǒng)的可執(zhí)行文件
21主管理程序
210操作接口
22硬件驗證器
23隱藏扇區(qū)數(shù)字?jǐn)?shù)據(jù)存取器
24保護(hù)扇區(qū)切換器
25文件傳輸器
26文件數(shù)據(jù)庫
27信號攔截處理器
30計算機
具體實施例方式下面結(jié)合附圖對本發(fā)明的結(jié)構(gòu)原理和工作原理作具體的描述本發(fā)明所揭露的方法如圖1所示�����,基本上包括下列的步驟A.準(zhǔn)備一種可攜式儲存裝置�����,其中具有一隱藏扇區(qū)和一保護(hù)扇區(qū)����,以及一可規(guī)劃 和讀寫隱藏扇區(qū)并且能使用密碼開關(guān)保護(hù)扇區(qū)的控制芯片����;B.將被保護(hù)的數(shù)字?jǐn)?shù)據(jù)(以下簡稱為數(shù)字?jǐn)?shù)據(jù))儲存于隱藏扇區(qū)����;C.提供一安全管理系統(tǒng)并在計算機中執(zhí)行此安全管理系統(tǒng)�����;D.當(dāng)可攜式儲存裝置被插入計算機時由安全管理系統(tǒng)對可攜式儲存裝置的控制 芯片進(jìn)行驗證�����;E.在可攜式儲存裝置通過驗證時開啟并且初始化保護(hù)扇區(qū)�;F.將隱藏扇區(qū)中被選中要存取或是執(zhí)行的數(shù)字?jǐn)?shù)據(jù)復(fù)制至保護(hù)扇區(qū),以安全管理 系統(tǒng)存取或是執(zhí)行保護(hù)扇區(qū)中的數(shù)字?jǐn)?shù)據(jù)����,再對保護(hù)扇區(qū)加鎖保護(hù)(意即關(guān)閉保護(hù)扇區(qū));以及G.在數(shù)字?jǐn)?shù)據(jù)使用結(jié)束�����,由安全管理系統(tǒng)清空保護(hù)扇區(qū)中的數(shù)字?jǐn)?shù)據(jù)然后關(guān)閉保 護(hù)扇區(qū)�。在本發(fā)明中所稱的數(shù)字?jǐn)?shù)據(jù)意指以數(shù)字格式儲存的各種數(shù)據(jù)、文件�、程序或是可 執(zhí)行文件��,有些數(shù)字?jǐn)?shù)據(jù)可以被存取如資料或文件����,有些可以被執(zhí)行或是使用如程序和可 執(zhí)行文件����。本發(fā)明所提出的方法的另一實施例(見圖2),還包括在安全管理系統(tǒng)運行的過 程中攔截并且禁止計算機操作系統(tǒng)中有關(guān)復(fù)制(Copy)或是剪切(Cut)等操作信號的步驟 (H)��,例如鍵盤��、鼠標(biāo)的操作信號和開啟工作管理員的事件�,以便在對可攜式儲存裝置中的 數(shù)字?jǐn)?shù)據(jù)的存取過程中保證數(shù)字?jǐn)?shù)據(jù)的安全。本發(fā)明所提出的方法的較佳實施例之一�,前述的步驟B還包括對儲存至隱藏扇 區(qū)的數(shù)字?jǐn)?shù)據(jù)進(jìn)行加密的步驟,使得隱藏扇區(qū)中的數(shù)字?jǐn)?shù)據(jù)無法直接進(jìn)行讀取或執(zhí)行����。因 此,對于隱藏扇區(qū)中已加密的數(shù)字?jǐn)?shù)據(jù)而言����,此一較佳實施例的完整步驟如圖3示����,其中為 了便于區(qū)隔本實施例與圖1的較佳實施例步驟的些微差異��,特別將圖3中有差異的步驟順 序標(biāo)以數(shù)字1表示之A.準(zhǔn)備一種可攜式儲存裝置��,其中具有一隱藏扇區(qū)和一保護(hù)扇區(qū)�����,以及一可規(guī)劃 和讀寫隱藏扇區(qū)并且能使用密碼開關(guān)保護(hù)扇區(qū)的控制芯片���;Bi.將被保護(hù)的數(shù)字?jǐn)?shù)據(jù)進(jìn)行加密(encrypt)然后儲存于隱藏扇區(qū);C.提供一安全管理系統(tǒng)并在計算機中執(zhí)行此安全管理系統(tǒng)��;D.當(dāng)可攜式儲存裝置被插入計算機時由安全管理系統(tǒng)對可攜式儲存裝置的控制 芯片進(jìn)行驗證��;E.在可攜式儲存裝置通過驗證時開啟并且初始化保護(hù)扇區(qū)Fl.將隱藏扇區(qū)中被選中要存取或是執(zhí)行的數(shù)字?jǐn)?shù)據(jù)復(fù)制至保護(hù)扇區(qū)并且進(jìn)行解 密(decrypt)���,以安全管理系統(tǒng)存取或是執(zhí)行保護(hù)扇區(qū)中的數(shù)字?jǐn)?shù)據(jù)����,再對保護(hù)扇區(qū)加鎖保 護(hù)�����;以及G.在數(shù)字?jǐn)?shù)據(jù)使用結(jié)束,由安全管理系統(tǒng)清空保護(hù)扇區(qū)中的數(shù)字?jǐn)?shù)據(jù)然后關(guān)閉保 護(hù)扇區(qū)�����。為了確?�?蓴y式儲存裝置中的數(shù)字?jǐn)?shù)據(jù)的安全���,本發(fā)明的安全管理系統(tǒng)在被使用 者關(guān)閉之前�,安全管理系統(tǒng)還會再一次確認(rèn)在保護(hù)扇區(qū)中的數(shù)字?jǐn)?shù)據(jù)皆已被清空����,才會結(jié) 束安全管理系統(tǒng)。本發(fā)明所提出的方法的另一實施例�,還包括I.在隱藏扇區(qū)中建立一個文件數(shù)據(jù)庫,用以記錄被儲存至隱藏扇區(qū)中被保護(hù)的數(shù) 字?jǐn)?shù)據(jù)����;以及II.建立一個能與安全管理系統(tǒng)通訊的操作界面(interface),這個操作界面可 調(diào)閱文件數(shù)據(jù)庫中所記錄的信息��,并且可供使用者選取數(shù)字?jǐn)?shù)據(jù)對被選中的數(shù)字?jǐn)?shù)據(jù)進(jìn)行 存取或執(zhí)行的操作�����。本發(fā)明所提出的方法的較佳實施例,還包括Cl.在可攜式儲存裝置中建立一普通扇區(qū)����,此一普通扇區(qū)能夠在可攜式儲存裝置 與計算機連結(jié)時被計算機的操作系統(tǒng)發(fā)現(xiàn)并且讀取其中的數(shù)據(jù)��;
7
C2.將安全管理系統(tǒng)封包為一自動安裝(Auto Installing)的可執(zhí)行文件�,儲存 于普通扇區(qū);以及C3.在可攜式儲存裝置與計算機連接時��,提示使用者一安裝選項以決定是否要將 安全管理系統(tǒng)自動安裝于計算機中��。因此�����,對于支持即插即用(Plug and Play)的計算機操作系統(tǒng)而言�����,我們可以利用 具有前述控制芯片的USB隨身碟作為前述的可攜式儲存裝置來實現(xiàn)本發(fā)明的方法���,特別是 一些試用版的軟件可以利用本發(fā)明的方法預(yù)先儲存于USB隨身碟的隱藏扇區(qū)��,就能在不同 的計算機中使用受到本發(fā)明的方法保護(hù)的試用版軟件���,具備了攜帶使用方便而且不虞被他 人任意復(fù)制的功效�����。本發(fā)明所提出的裝置如圖4所示���,包括一可攜式儲存裝置10,是一種可以儲存數(shù)字?jǐn)?shù)據(jù)并且與計算機30連接的可攜式 儲存裝置10���,具有一隱藏扇區(qū)和一保護(hù)扇區(qū)����,以及一可規(guī)劃和讀寫隱藏扇區(qū)以及使用密碼 開關(guān)保護(hù)扇區(qū)的控制芯片�����,控制芯片11具有一可供辨識的辨識碼并且提供控制隱藏扇區(qū) 12和保護(hù)扇區(qū)13的開發(fā)接口(開發(fā)接口是由控制芯片11的制造者提供)���,用以進(jìn)行數(shù)字 數(shù)據(jù)的存取操作���;—安全管理系統(tǒng)20,是為多個不同的軟件組件的集合,這些軟件組件執(zhí)行于計算 機30中并且依據(jù)下列的步驟���,通過可攜式儲存裝置10中的控制芯片11對可攜式儲存裝置 10的隱藏扇區(qū)12和保護(hù)扇區(qū)13中的數(shù)字?jǐn)?shù)據(jù)進(jìn)行存取或執(zhí)行的操作�����,所述的步驟包括1、當(dāng)可攜式儲存裝置10被插入計算機30時對可攜式儲存裝置10的控制芯片11 進(jìn)行驗證����;2、在可攜式儲存裝置10通過驗證時開啟并且初始化保護(hù)扇區(qū)13 �;3、將隱藏扇區(qū)12中被選中要存取或是執(zhí)行的數(shù)字?jǐn)?shù)據(jù)復(fù)制至保護(hù)扇區(qū)13�,再以 安全管理系統(tǒng)20存取或是執(zhí)行保護(hù)扇區(qū)13中的數(shù)字?jǐn)?shù)據(jù),然后關(guān)閉保護(hù)扇區(qū)13 ����;以及4、在數(shù)字?jǐn)?shù)據(jù)使用結(jié)束����,由安全管理系統(tǒng)20清空保護(hù)扇區(qū)13中的數(shù)字?jǐn)?shù)據(jù)然后 關(guān)閉保護(hù)扇區(qū)13。具體而言�����,可攜式儲存裝置10以USB隨身碟為佳,其它如USB移動硬盤(USB Hard Disk)或是類似的可攜式儲存裝置10亦可�。以窗口操作系統(tǒng)(Windows Operation System) 為例,可攜式儲存裝置10的隱藏扇區(qū)12不提供讓窗口操作系統(tǒng)識別的數(shù)據(jù)�,對隱藏扇區(qū)12 的存取操作必需通過控制芯片11才能完成。而保護(hù)扇區(qū)13則與一般磁盤驅(qū)動器的扇區(qū)型別相同�����,在本發(fā)明的另一較佳實施 例(見圖6)���,還可以將保護(hù)扇區(qū)13分割為兩塊扇區(qū)�,其中一個預(yù)設(shè)為保護(hù)扇區(qū)13����,另一者 為普通扇區(qū)14再利用一切換密碼用來切換保護(hù)扇區(qū)13和普通扇區(qū)14的可擦寫狀態(tài)。例 如若A扇區(qū)為保護(hù)扇區(qū)13�,B扇區(qū)則作為普通扇區(qū)14,在一般狀況下�����,控制芯片11僅提供 B扇區(qū)的硬件信息供計算機30的操作系統(tǒng)識別���,如果安全管理系統(tǒng)將B扇區(qū)切換為保護(hù)扇 區(qū)13之后�����,控制芯片11就會更新硬件信息�����,僅提供A扇區(qū)的硬件信息供計算機30的操作 系統(tǒng)識別�。請參閱圖4,安全管理系統(tǒng)包括下列多個軟件組件����,分別為一主管理程序21�,主管理程序21基本上是安全管理系統(tǒng)20的核心,管理并協(xié)同 其余的該些軟件組件完成前述該安全管理系統(tǒng)20所執(zhí)行的步驟��,主管理程序21還提供使用者一個操作界面210 (interface)�����,使用者可以通過這個操作界面210對可攜式儲存裝置 10中的數(shù)字?jǐn)?shù)據(jù)進(jìn)行存取操作或是選取要執(zhí)行的程序或是可執(zhí)行文件�;在安全管理系統(tǒng) 20中的所有軟件組件都會與主管理程序21溝通并確認(rèn)結(jié)果之后才進(jìn)行后續(xù)步驟。主管理 程序21會管理各軟件組件的目前狀態(tài)及代辦程序�����,使得每個軟件組件不會在執(zhí)行中互相 沖突;一硬件驗證器22���,用以監(jiān)視任何可攜式儲存裝置10與計算機30連接的事件�,并 且驗證連接至計算機30的可攜式儲存裝置10是否為認(rèn)可的可攜式儲存裝置10����,具體的實 現(xiàn)方式是通過控制芯片11的應(yīng)用接口(應(yīng)用接口是由控制芯片11的制造者提供)對控制 芯片11進(jìn)行驗證,驗證的信息可是控制芯片11內(nèi)建的識別碼或是型號等信息���,如果可攜式 儲存裝置10的控制芯片11是主管理程序21所認(rèn)可的硬件���,硬件驗證器22會將驗證結(jié)果 傳送至主管理程序21 ;以USB隨身碟為例����,在主管理程序21開啟之后,任何可攜式儲存裝 置10通過USB接口與計算機30連接的事件���,皆會被主管理程序21通過調(diào)用計算機操作系 統(tǒng)(如窗口操作系統(tǒng))的事件記錄器中的信息加以捕捉并且轉(zhuǎn)發(fā)給硬件驗證器22進(jìn)行驗 證確認(rèn)����;一隱藏扇區(qū)數(shù)字?jǐn)?shù)據(jù)存取器23,通過控制芯片11所提供的應(yīng)用接口以及一預(yù)設(shè) 的隱藏扇區(qū)密碼(或稱為金鑰)對隱藏扇區(qū)12進(jìn)行初始化���,完成初始化之后隱藏扇區(qū)數(shù)字 數(shù)據(jù)存取器23會將結(jié)果告知主管理程序21�,主管理程序21在確認(rèn)初始化完成之后才會對 隱藏扇區(qū)12進(jìn)行數(shù)字?jǐn)?shù)據(jù)的存取操作�;由于數(shù)字?jǐn)?shù)據(jù)存放于隱藏扇區(qū)12中必為二進(jìn)制數(shù) 據(jù),若是要保護(hù)的數(shù)字?jǐn)?shù)據(jù)為美國國家信息交換標(biāo)準(zhǔn)代碼(American Standard Code for Information Interchange��,以下簡稱ASCII)格式�����,則這個隱藏扇區(qū)數(shù)字?jǐn)?shù)據(jù)存取器23會 進(jìn)行ASCII與二進(jìn)制(Binary)數(shù)據(jù)的轉(zhuǎn)換以利隱藏扇區(qū)12的數(shù)字?jǐn)?shù)據(jù)存取操作����;一保護(hù)扇區(qū)切換器24�����,通過控制芯片11提供的應(yīng)用接口�,利用一預(yù)設(shè)的保護(hù)扇區(qū) 密碼對保護(hù)扇區(qū)13進(jìn)行加鎖/解鎖的切換,并將切換結(jié)果告知主管理程序21��,主管理程序 21在確認(rèn)切換完成后才會進(jìn)行后續(xù)處理����,若是數(shù)字?jǐn)?shù)據(jù)為可執(zhí)行的文件����,在需要執(zhí)行這個 可執(zhí)行的文件時�,主管理程序21會先將可執(zhí)行的文件復(fù)制至保護(hù)扇區(qū)13后執(zhí)行,然后以保 護(hù)扇區(qū)密碼關(guān)閉保護(hù)扇區(qū)13以免被使用者檢視到���;一文件傳輸器25���,負(fù)責(zé)執(zhí)行數(shù)字?jǐn)?shù)據(jù)的復(fù)制、搬移及清除的操作�,并且在完成任何 操作之后告知主管理程序21,以便主管理程序21在確認(rèn)完成后進(jìn)行后續(xù)的處理��,文件傳輸 器25負(fù)責(zé)隱藏扇區(qū)12的文件傳輸���,保護(hù)扇區(qū)13的文件傳輸以及其它指定路徑下的文件傳 輸����,而所指的文件傳輸可以是前述數(shù)字?jǐn)?shù)據(jù)或是文件的復(fù)制�、搬移及清除的任一種操作,文 件傳輸器25會在各指定路徑中確保文件傳輸完整以及離開時無文件殘留�;以及一文件數(shù)據(jù)庫26�����,可以記錄被儲存于可攜式儲存裝置10之中的數(shù)字?jǐn)?shù)據(jù)的清單 及其路徑�����,可供主管理程序21進(jìn)行數(shù)字?jǐn)?shù)據(jù)的管理與統(tǒng)計分析的利用����,而使用者也可以通 過主管理程序21所提供的操作界面210調(diào)閱文件數(shù)據(jù)庫26中所記錄的信息����,進(jìn)而對數(shù)字 數(shù)據(jù)進(jìn)行存取或執(zhí)行的操作。本發(fā)明所提出的安全管理系統(tǒng)20的另一較佳實施例���,還包括有一信號攔截處理 器27 (見圖5)�,用以攔截并禁止計算機操作系統(tǒng)中有關(guān)復(fù)制或是剪貼的操作信號��,包括鍵 盤���、鼠標(biāo)的操作信號和開啟工作管理員的信號,以便在對可攜式儲存裝置10中的數(shù)字?jǐn)?shù)據(jù) 的存取過程或是文件傳輸過程中保證數(shù)字?jǐn)?shù)據(jù)的安全���。較佳的實施例中有關(guān)鼠標(biāo)信號的部
9分�,信號攔截處理器可攔截鼠標(biāo)的右鍵信號,而鍵盤信號部分則可攔截ctrl+x及ctrl+c的 信號����,以防止使用者進(jìn)行數(shù)據(jù)選取及復(fù)制的動作。除了鼠標(biāo)及鍵盤信號的攔截外��,為了保護(hù) 可執(zhí)行文件(.exe)執(zhí)行過程中的保密性���,工作管理員中執(zhí)行緒的信息也必須被隱藏�,因此 信號攔截處理器27也會在被保護(hù)的程序或是可執(zhí)行文件的執(zhí)行過程中將工作管理員鎖住 以避免執(zhí)行緒信息外泄�。關(guān)于將被保護(hù)的數(shù)字?jǐn)?shù)據(jù)儲存于隱藏扇區(qū)12的方法,是由主管理程序21命令隱 藏扇區(qū)數(shù)字?jǐn)?shù)據(jù)存取器23加以實現(xiàn)的�����,假設(shè)被保護(hù)的數(shù)字?jǐn)?shù)據(jù)為可執(zhí)行文件(.exe)����,主管 理程序21會將這些文件進(jìn)行加密處理,使得被保護(hù)的數(shù)字?jǐn)?shù)據(jù)無法直接被讀取或執(zhí)行�����,接 著由主管理程序21向隱藏扇區(qū)數(shù)字?jǐn)?shù)據(jù)存取器23發(fā)出隱藏扇區(qū)12的初始化及儲存的操 作命令,將被保護(hù)的數(shù)字?jǐn)?shù)據(jù)儲存至隱藏扇區(qū)12中����,并在文件數(shù)據(jù)庫26中記錄之。現(xiàn)在以一可執(zhí)行文件為例說明如何利用本發(fā)明的方法及裝置保護(hù)以及執(zhí)行此一 可執(zhí)行文件的具體過程當(dāng)所需保護(hù)的數(shù)字?jǐn)?shù)據(jù)為可執(zhí)行文件�����,主管理程序21先將此可執(zhí)行文件進(jìn)行加 密處理�����,使得他人無法直接進(jìn)行讀取或執(zhí)行���,接著由主管理程序21向隱藏扇區(qū)數(shù)字?jǐn)?shù)據(jù)存 取器23發(fā)出隱藏扇區(qū)12的初始化及儲存的命令����,將加密后的可執(zhí)行文件儲存至隱藏扇區(qū) 12中�,并在文件數(shù)據(jù)庫26中記錄。當(dāng)使用者需要執(zhí)行隱藏扇區(qū)12中已加密的可執(zhí)行文件時�����,主管理程序21會先利 用保護(hù)扇區(qū)切換器24將保護(hù)扇區(qū)13開啟�,確定開啟后確認(rèn)可執(zhí)行文件在文件數(shù)據(jù)庫26中 的記錄,使用隱藏扇區(qū)數(shù)字?jǐn)?shù)據(jù)存取器23初始化隱藏扇區(qū)12����,從隱藏扇區(qū)12讀取已加密的 可執(zhí)行文件,復(fù)制至保護(hù)扇區(qū)13中進(jìn)行解密��,當(dāng)已加密的可執(zhí)行文件解密完成且存放于保 護(hù)扇區(qū)13����,主管理程序21即能直接執(zhí)行此可執(zhí)行文件然后關(guān)閉保護(hù)扇區(qū)13?�?蓤?zhí)行文件 執(zhí)行過程中不會受到保護(hù)扇區(qū)13已關(guān)閉的干擾���。當(dāng)使用者關(guān)閉可執(zhí)行文件或結(jié)束主管理程序時����,主管理程序21先通過保護(hù)扇區(qū) 切換器24開啟保護(hù)扇區(qū)13����,由文件傳輸器25確認(rèn)是否需要傳輸文件,并清空保護(hù)扇區(qū)13�, 接著主管理程序21關(guān)閉保護(hù)扇區(qū)13,并視需求決定是否需要將相關(guān)的數(shù)字?jǐn)?shù)據(jù)存放回隱 藏扇區(qū)12。本發(fā)明所提出的保護(hù)裝置的另一較佳實施例���,如圖6所示��,其中的可攜式儲存裝 置10還具有普通扇區(qū)14���,此普通扇區(qū)14能夠在可攜式儲存裝置10與計算機30連結(jié)時被 計算機30的操作系統(tǒng)發(fā)現(xiàn)并且讀取其中的數(shù)據(jù);而在普通扇區(qū)14中還具有一被封包為自 動安裝(Auto Installing)安全管理系統(tǒng)的可執(zhí)行文件20a�,因此當(dāng)可攜式儲存裝置10與 支持隨插即用的計算機30連接時,會提示使用者一安裝選項以決定是否要將安全管理系 統(tǒng)20自動安裝于計算機30中�。當(dāng)然,本發(fā)明還可有其它多種實施例��,在不背離本發(fā)明精神及其實質(zhì)的情況下���,熟 悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形�,但這些相應(yīng)的改變和變 形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍����。
10
權(quán)利要求
一種數(shù)字?jǐn)?shù)據(jù)的保護(hù)方法,其特征在于�,包括下列步驟A.準(zhǔn)備一種可攜式儲存裝置,其中具有一隱藏扇區(qū)和一保護(hù)扇區(qū)���,以及一可規(guī)劃和讀寫該隱藏扇區(qū)以及使用密碼開關(guān)該保護(hù)扇區(qū)的控制芯片�����;B.將被保護(hù)的一數(shù)字?jǐn)?shù)據(jù)儲存于該隱藏扇區(qū)���;C.提供一安全管理系統(tǒng)并在一計算機中執(zhí)行該安全管理系統(tǒng);D.當(dāng)該可攜式儲存裝置被插入該計算機時由該安全管理系統(tǒng)對該可攜式儲存裝置的該控制芯片進(jìn)行驗證�;E.在該可攜式儲存裝置通過驗證時開啟并且初始化該保護(hù)扇區(qū);F.將該隱藏扇區(qū)中被選中要開啟或是執(zhí)行的該數(shù)字?jǐn)?shù)據(jù)復(fù)制至該保護(hù)扇區(qū)�����,以該安全管理系統(tǒng)存取或是執(zhí)行該保護(hù)扇區(qū)中的該數(shù)字?jǐn)?shù)據(jù)��,再對該保護(hù)扇區(qū)加鎖保護(hù)�����;以及G.在該數(shù)字?jǐn)?shù)據(jù)使用結(jié)束���,由該安全管理系統(tǒng)清空該保護(hù)扇區(qū)中的該數(shù)字?jǐn)?shù)據(jù)然后關(guān)閉該保護(hù)扇區(qū)���。
2.根據(jù)權(quán)利要求1所述的數(shù)字?jǐn)?shù)據(jù)的保護(hù)方法,其特征在于,該步驟B還包括對儲存 至該隱藏扇區(qū)的該數(shù)字?jǐn)?shù)據(jù)加密�����,該步驟F還包括將該隱藏扇區(qū)中被選中要存取或是執(zhí) 行的該數(shù)字?jǐn)?shù)據(jù)復(fù)制至該保護(hù)扇區(qū)并且進(jìn)行解密的步驟���。
3.根據(jù)權(quán)利要求1所述的數(shù)字?jǐn)?shù)據(jù)的保護(hù)方法�,其特征在于���,還包括在該安全管理 系統(tǒng)運行的過程中攔截并且禁止該計算機操作系統(tǒng)的鼠標(biāo)的右鍵信號�����、鍵盤信號部分的 ctrl+x及ctrl+c的信號�����,以及開啟工作管理員的事件��。
4.根據(jù)權(quán)利要求1所述的數(shù)字?jǐn)?shù)據(jù)的保護(hù)方法���,其特征在于,還包括在該隱藏扇區(qū)中建立一文件數(shù)據(jù)庫��,用以記錄被儲存至該隱藏扇區(qū)中的該數(shù)字?jǐn)?shù)據(jù);以及提供一操作界面���,使用者通過該操作界面調(diào)閱該文件數(shù)據(jù)庫中所記錄的信息�,進(jìn)而對 該數(shù)字?jǐn)?shù)據(jù)進(jìn)行存取或執(zhí)行的操作��。
5.根據(jù)權(quán)利要求1所述的數(shù)字?jǐn)?shù)據(jù)的保護(hù)方法�,其特征在于���,還包括在該可攜式儲存裝置中建立一普通扇區(qū)��,該普通扇區(qū)能夠在該可攜式儲存裝置與該計 算機連結(jié)時被該計算機的操作系統(tǒng)發(fā)現(xiàn)并且讀取其中的數(shù)據(jù)���;將該安全管理系統(tǒng)封包為一自動安裝的可執(zhí)行文件,儲存于該普通扇區(qū)���;以及在該可攜式儲存裝置與該計算機連接時�,提示使用者一安裝選項以決定是否要將該安 全管理系統(tǒng)自動安裝于該計算機中���。
6.一種數(shù)字?jǐn)?shù)據(jù)的保護(hù)裝置����,其特征在于,包括一可攜式儲存裝置�����,其中具有一隱藏扇區(qū)和一保護(hù)扇區(qū)����,以及一可規(guī)劃和讀寫該隱藏 扇區(qū)以及使用密碼開關(guān)該保護(hù)扇區(qū)的控制芯片,該控制芯片具有一可供辨識的辨識碼并且 提供控制該隱藏扇區(qū)和保護(hù)扇區(qū)的開發(fā)接口��,用以進(jìn)行數(shù)字?jǐn)?shù)據(jù)的存取操作����;以及一安全管理系統(tǒng),包含有多個不同的軟件組件�,該些軟件組件并于一計算機執(zhí)行下列 步驟I·當(dāng)該可攜式儲存裝置被插入計算機時對可攜式儲存裝置的該控制芯片進(jìn)行驗證;II.在該可攜式儲存裝置通過驗證時開啟并且初始化該保護(hù)扇區(qū)����;III.將該隱藏扇區(qū)中被選中要存取或是執(zhí)行的該數(shù)字?jǐn)?shù)據(jù)復(fù)制至該保護(hù)扇區(qū),再以該 安全管理系統(tǒng)存取或是執(zhí)行該保護(hù)扇區(qū)中的該數(shù)字?jǐn)?shù)據(jù)��,然后關(guān)閉該保護(hù)扇區(qū)�����;以及IV.在該數(shù)字?jǐn)?shù)據(jù)使用結(jié)束,由該安全管理系統(tǒng)清空該保護(hù)扇區(qū)中的該數(shù)字?jǐn)?shù)據(jù)然后 關(guān)閉該保護(hù)扇區(qū)��。
7.根據(jù)權(quán)利要求6所述的數(shù)字?jǐn)?shù)據(jù)的保護(hù)裝置��,其特征在于���,該些軟件組件包括一主管理程序�����,管理并協(xié)同其余的該些軟件組件完成該安全管理系統(tǒng)所執(zhí)行的該些步驟��;一硬件驗證器,用以監(jiān)視該可攜式儲存裝置與該計算機連接的事件�����,并且驗證連接至 該計算機的該可攜式儲存裝置是否為認(rèn)可的可攜式儲存裝置��,并將驗證結(jié)果傳送至該主管 理程序�����;一隱藏扇區(qū)數(shù)字?jǐn)?shù)據(jù)存取器�����,通過該控制芯片所提供的應(yīng)用接口以及一預(yù)設(shè)的隱藏扇 區(qū)密碼對該隱藏扇區(qū)進(jìn)行初始化,并在初始化完成之后將結(jié)果告知該主管理程序���;一保護(hù)扇區(qū)切換器����,通過該控制芯片提供的應(yīng)用接口����,利用一預(yù)設(shè)的保護(hù)扇區(qū)密碼對 該保護(hù)扇區(qū)進(jìn)行加鎖/解鎖的切換,并將切換結(jié)果告知該主管理程序���;一文件傳輸器���,負(fù)責(zé)該隱藏扇區(qū)的文件傳輸,該保護(hù)扇區(qū)的文件傳輸以及其它指定路 徑下的文件傳輸�����,該文件傳輸可以是被保護(hù)的該數(shù)字?jǐn)?shù)據(jù)或是文件的復(fù)制���、搬移及清除的 任一種操作��,并且在完成任何上述的操作后告知該主管理程序�;以及一文件數(shù)據(jù)庫,記錄被儲存于該可攜式儲存裝置中的該數(shù)字?jǐn)?shù)據(jù)的清單及其路徑�。
8.根據(jù)權(quán)利要求6所述的數(shù)字?jǐn)?shù)據(jù)的保護(hù)裝置,其特征在于��,該主管理程序還提供使 用者一操作界面���,可供使用者通過該操作界面對該可攜式儲存裝置中被保護(hù)的該數(shù)字?jǐn)?shù)據(jù) 進(jìn)行存取操作或是選取要執(zhí)行的程序或是可執(zhí)行文件�。
9.根據(jù)權(quán)利要求6所述的數(shù)字?jǐn)?shù)據(jù)的保護(hù)裝置����,其特征在于,還包括有一信號攔截處 理器�����,用以攔截并禁止該計算機的操作系統(tǒng)中的鼠標(biāo)的右鍵信號��、鍵盤信號部分的ctrl+x 及ctrl+c的有關(guān)復(fù)制或是剪貼的操作信號�����,以及該計算機的操作系統(tǒng)中開啟工作管理員 的事件�。
10.根據(jù)權(quán)利要求6所述的數(shù)字?jǐn)?shù)據(jù)的保護(hù)裝置,其特征在于�,該可攜式儲存裝置中還 具有一普通扇區(qū),該普通扇區(qū)能夠在該可攜式儲存裝置與該計算機連結(jié)時被該計算機的操 作系統(tǒng)發(fā)現(xiàn)并且讀取其中的數(shù)據(jù)�,該安全管理系統(tǒng)封包為一自動安裝的可執(zhí)行文件,并被 儲存于該普通扇區(qū)�����,當(dāng)該可攜式儲存裝置與該計算機連接時����,會提示使用者一安裝選項以 決定是否要將該安全管理系統(tǒng)自動安裝于該計算機中。
全文摘要
本發(fā)明是一種數(shù)字?jǐn)?shù)據(jù)的保護(hù)方法及其裝置�,本發(fā)明所揭示的方法包括準(zhǔn)備一種具有可規(guī)劃和讀寫隱藏扇區(qū)及開關(guān)保護(hù)扇區(qū)的控制芯片的可攜式儲存裝置;將被保護(hù)的數(shù)字?jǐn)?shù)據(jù)存入隱藏扇區(qū)���;提供一安全管理系統(tǒng)并在計算機中執(zhí)行此安全管理系統(tǒng)�����;當(dāng)可攜式儲存裝置被插入計算機時由安全管理系統(tǒng)對可攜式儲存裝置進(jìn)行驗證��;在可攜式儲存裝置通過驗證時開啟并且初始化保護(hù)扇區(qū)����;將隱藏扇區(qū)中被選中要存取(access)或是執(zhí)行(perform)的數(shù)字?jǐn)?shù)據(jù)復(fù)制至保護(hù)扇區(qū),開啟或是執(zhí)行保護(hù)扇區(qū)中的數(shù)字?jǐn)?shù)據(jù)�����;再對保護(hù)扇區(qū)加鎖保護(hù)�;以及在數(shù)字?jǐn)?shù)據(jù)使用結(jié)束后,由安全管理系統(tǒng)清空保護(hù)扇區(qū)中的數(shù)字?jǐn)?shù)據(jù)然后關(guān)閉保護(hù)扇區(qū)��。
文檔編號G06F21/24GK101930522SQ20091014951
公開日2010年12月29日 申請日期2009年6月25日 優(yōu)先權(quán)日2009年6月25日
發(fā)明者田福安 申請人:佳默有限公司