專利名稱:一種安全移動存儲設(shè)備及利用其實現(xiàn)數(shù)據(jù)安全交換的方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全和計算機軟件技術(shù)領(lǐng)域,具體涉及一種安全移動存儲設(shè)備及 利用其實現(xiàn)數(shù)據(jù)在內(nèi)網(wǎng)與外網(wǎng)之間進行安全交換的方法。
背景技術(shù):
移動存儲設(shè)備,如U盤、移動硬盤等,因其使用靈活、方便的特性使得它在單位信 息化過程中迅速得到了廣泛的應(yīng)用,越來越多的敏感信息、秘密數(shù)據(jù)和檔案資料被隨意的 拷貝、存貯在移動存儲介質(zhì)里。但是移動存儲設(shè)備為信息傳遞帶來便捷的同時,也給信息 安全保密工作帶來嚴(yán)重的威脅。單位和個人持有的移動存儲設(shè)備不區(qū)分,單位信息和個人 信息同時存儲在同一個存儲設(shè)備中,秘密信息保管不善或惡意木馬病毒帶入單位計算機網(wǎng) 絡(luò),這都給單位的信息資源帶來了巨大的安全隱患,例如移動存儲設(shè)備交叉使用、木馬擺 渡、病毒傳播、丟失泄密等導(dǎo)致了信息的嚴(yán)重泄露,給政府、軍隊和企業(yè)帶來了重大的損失。為了保證政府機關(guān)、軍隊以及保密企業(yè)內(nèi)部信息的安全,國家對于政府機關(guān)、軍隊 以及保密企業(yè)不得不采取網(wǎng)絡(luò)物理隔離,然而網(wǎng)絡(luò)的物理隔離使其信息的安全性得到了一 定的保障, 卻給數(shù)據(jù)交換帶來了一道屏障,使得數(shù)據(jù)安全交換成為難點,因此數(shù)據(jù)隔離與數(shù) 據(jù)交換成為當(dāng)前的一個矛盾。因此,在保證政府、軍隊和企業(yè)網(wǎng)絡(luò)安全隔離的前提下,利用移動存儲設(shè)備實現(xiàn)數(shù) 據(jù)在內(nèi)網(wǎng)與外網(wǎng)之間的安全交換具有十分重要的意義。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種安全移動存儲設(shè)備及利用其實現(xiàn)數(shù)據(jù)安全交換的方 法,保證內(nèi)網(wǎng)與外網(wǎng)之間利用移動存儲設(shè)備進行數(shù)據(jù)安全的交換。本發(fā)明提供的安全移動存儲設(shè)備,其特征在于該設(shè)備內(nèi)置認(rèn)證處理器、主控芯 片、加密芯片以及數(shù)據(jù)存儲磁盤。其中認(rèn)證處理器用于主機與移動存儲設(shè)備的雙向身份認(rèn)證;主控芯片根據(jù)不同的 協(xié)議指令進行模塊關(guān)系調(diào)度;加密芯片用于加密所有存儲于磁盤分區(qū)上的數(shù)據(jù),實現(xiàn)磁盤 的整盤加密;數(shù)據(jù)存儲磁盤分為軟件區(qū)、安全區(qū)和交換區(qū),其中,軟件區(qū)以只讀的存儲區(qū)域 模式加載,存儲交換區(qū)身份認(rèn)證程序,該區(qū)域為只讀區(qū)域,防止病毒或木馬感染;安全區(qū)只 允許在內(nèi)網(wǎng)通過雙向身份認(rèn)證以后才能被加載,該存儲區(qū)數(shù)據(jù)進行高強度加密存儲,提供 機密數(shù)據(jù)存儲功能;交換區(qū)允許在外網(wǎng)通過身份認(rèn)證后由軟件區(qū)自動切換到交換區(qū),不影 響用戶實際使用習(xí)慣。本發(fā)明方法使用到的另外一種安全資源管理器,其結(jié)構(gòu)包括windows磁盤分區(qū) 展現(xiàn)模塊、移動存儲設(shè)備交換區(qū)文件展現(xiàn)模塊、windows磁盤讀寫模塊、移動存儲設(shè)備交換 區(qū)讀寫模塊、交換權(quán)限控制模塊、文件系統(tǒng)模塊以及USB通信協(xié)議模塊。其中文件系統(tǒng)模塊和USB通信協(xié)議模塊提供安全資源管理器讀取移動存儲設(shè)備 的交換區(qū)文件數(shù)據(jù)。交換權(quán)限控制模塊控制移動存儲設(shè)備交換區(qū)與內(nèi)網(wǎng)主機磁盤數(shù)據(jù)進行交換的權(quán)限,包括禁止交換、單向交換、雙向交換。基于上述的移動存儲設(shè)備及安全資源管理器,實現(xiàn)內(nèi)網(wǎng)與外網(wǎng)數(shù)據(jù)安全交換的方 法,其步驟如下1、數(shù)據(jù)從內(nèi)網(wǎng)主機導(dǎo)入到移動存儲設(shè)備,流程如下(a)移動存儲設(shè)備接入內(nèi)網(wǎng)主機,被主機識別。(b)主機與移動存儲設(shè)備進行雙向身份認(rèn)證,windows資源管理器識別移動存儲 設(shè)備的安全區(qū)。(c)身份認(rèn)證通過以后,安全資源管理器識別移動存儲設(shè)備的交換區(qū)。(d)在權(quán)限的控制下,使用安全資源管理器將磁盤上需要交換的數(shù)據(jù)拖放于移動 存儲設(shè)備的交換區(qū)。(e)完成了數(shù)據(jù)從內(nèi)網(wǎng)主機導(dǎo)入到移動存儲設(shè)備。2、數(shù)據(jù)從移動存儲設(shè)備導(dǎo)出到外網(wǎng)主機,流程如下(a)移動存儲設(shè)備接入外網(wǎng)主機,被主機識別,windows資源管理器識別移動存儲 設(shè)備的軟件區(qū)。(b)使用軟件區(qū)中的身份認(rèn)證工具,進行身份認(rèn)證,認(rèn)證通過以后,軟件區(qū)自動切 換到移動存儲設(shè)備的交換區(qū)。(c)將移動存儲設(shè)備交換區(qū)中需要導(dǎo)出的數(shù)據(jù)拖放到外網(wǎng)主機磁盤上。
(d)完成了數(shù)據(jù)從移動存儲設(shè)備導(dǎo)出到外網(wǎng)主機。3、完成數(shù)據(jù)從內(nèi)網(wǎng)主機到外網(wǎng)主機之間的交換過程。本發(fā)明提供了一種利用移動存儲設(shè)備實現(xiàn)數(shù)據(jù)安全交換的方法,本方法以移動存 儲設(shè)備為存儲介質(zhì),以安全資源管理器為輔助工具,利用移動存儲設(shè)備的多分區(qū)及磁盤整 盤加密的特點,在內(nèi)網(wǎng)安全環(huán)境域內(nèi),使用安全資源管理器將數(shù)據(jù)從內(nèi)網(wǎng)主機導(dǎo)入到移動 存儲設(shè)備的交換區(qū),在外網(wǎng)環(huán)境使用身份認(rèn)證程序身份認(rèn)證通過以后,將數(shù)據(jù)從移動存儲 設(shè)備的交換區(qū)導(dǎo)出到外網(wǎng)主機,實現(xiàn)數(shù)據(jù)在內(nèi)網(wǎng)與外網(wǎng)之間的交換。這種方法不但保證了 數(shù)據(jù)交換過程中的安全,同時移動存儲介質(zhì)采用整盤加密及雙向身份認(rèn)證技術(shù),防止了數(shù) 據(jù)在交換過程中因設(shè)備丟失、被盜造成的丟失泄密,保證了交換過程整個生命周期數(shù)據(jù)的 安全。
圖1表示利用移動存儲設(shè)備實現(xiàn)數(shù)據(jù)安全交換的技術(shù)原理圖;圖2表示移動存儲設(shè)備內(nèi)部結(jié)構(gòu)圖;圖3表示安全資源管理器模塊結(jié)構(gòu)圖;圖4表示內(nèi)網(wǎng)與外網(wǎng)主機數(shù)據(jù)交換過程中數(shù)據(jù)流向示意圖;圖5表示數(shù)據(jù)從內(nèi)網(wǎng)主機導(dǎo)入到移動存儲設(shè)備的交換流程圖;圖6表示數(shù)據(jù)從移動存儲設(shè)備導(dǎo)出到外網(wǎng)主機的交換流程圖。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完 整的描述?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其它實施例,都屬于本發(fā)明保護的范圍。圖1描述了利用移動存儲設(shè)備和安全資源管理器實現(xiàn)數(shù)據(jù)安全交換的技術(shù)原理, 該技術(shù)原理結(jié)合硬件層移動存儲設(shè)備和應(yīng)用層安全資源管理器對數(shù)據(jù)安全交換的方法進 行了描述,下面結(jié)合附圖對移動存儲設(shè)備、安全資源管理器以及利用移動存儲設(shè)備和安全 資源管理器進行數(shù)據(jù)安全交換的方法分別進行詳細的說明。本發(fā)明方法所使用到的移動存儲設(shè)備內(nèi)部結(jié)構(gòu),如圖2所示,其內(nèi)部結(jié)構(gòu)分為內(nèi) 置認(rèn)證處理器、主控芯片、加密芯片以及數(shù)據(jù)存儲磁盤,各模塊功能如下1、認(rèn)證處理器,主要使用“挑戰(zhàn)-應(yīng)答”方式進行雙向身份認(rèn)證,包括主機認(rèn)證移 動存儲設(shè)備和移動存儲設(shè)備認(rèn)證主機的合法性。主機認(rèn)證移動存儲設(shè)備,其步驟如下(a)、主機產(chǎn)生隨機數(shù),使用外部認(rèn)證協(xié)議指令將隨機數(shù)和主機碼發(fā)送給移動存儲 設(shè)備;(b)、移動存儲設(shè)備的認(rèn)證處理器根據(jù)接收的主機碼查找預(yù)先設(shè)定的與該主機綁 定的密鑰值,用該密鑰值加密隨機數(shù),使用指令將加密后的隨機數(shù)返回給主機;(c)、主機使用本機保存的密鑰對產(chǎn)生的隨機數(shù)進行加密,與接收到的加密的隨機 數(shù)進行比較,一致則主機認(rèn)為移動存儲身份信息合法,認(rèn)證成功;否則主機認(rèn)為移動存儲身 份信息非法,認(rèn)證失敗。移動存儲設(shè)備認(rèn)證主機,其步驟如下(a)、移動存儲設(shè)備產(chǎn)生隨機數(shù),使用指令將隨機數(shù)發(fā)送給主機;(b)、主機使用本機保存的密鑰值對接收到的隨機數(shù)進行加密,使用指令將加密后 的隨機數(shù)和本機主機碼返回給移動存儲設(shè)備;(C)、移動存儲設(shè)備根據(jù)接收的主機碼查找相應(yīng)的密鑰值,使用該密鑰值對隨機數(shù) 進行加密,與接收到的加密的隨機數(shù)進行比較,一致則移動存儲設(shè)備認(rèn)為主機合法,認(rèn)證成 功;否則移動存儲設(shè)備認(rèn)為主機非法,認(rèn)證失敗。2、主控芯片,主要用來調(diào)度其它模塊,當(dāng)主控芯片檢測到主機向移動存儲設(shè)備發(fā) 送協(xié)議指令時,首先調(diào)度認(rèn)證處理器模塊進行身份認(rèn)證,然后在根據(jù)相應(yīng)的指令來調(diào)用加 密單元進行數(shù)據(jù)加解密,最終調(diào)用存儲單元,將數(shù)據(jù)存儲到磁盤上或者讀取磁盤數(shù)據(jù)。3、加密芯片,主要用來數(shù)據(jù)加解密,當(dāng)數(shù)據(jù)需要寫入存儲區(qū)時,加密模塊利用加密 功能函數(shù)對數(shù)據(jù)進行加密;當(dāng)數(shù)據(jù)從存儲區(qū)讀出時,加密模塊利用解密功能函數(shù)對數(shù)據(jù)進 行解密。4、數(shù)據(jù)存儲磁盤,分為軟件區(qū)、安全區(qū)和交換區(qū)。軟件區(qū)以只讀的存儲區(qū)域模式加 載,存儲交換區(qū)身份認(rèn)證程序,該區(qū)域為只讀區(qū)域,防止病毒或木馬感染;安全區(qū)只允許在 內(nèi)網(wǎng)通過雙向身份認(rèn)證以后才能被識別,該存儲區(qū)數(shù)據(jù)進行高強度加密存儲,提供機密數(shù) 據(jù)存儲功能;交換區(qū)允許在外網(wǎng)通過身份認(rèn)證后由軟件區(qū)自動切換到交換區(qū),不影響用戶 實際使用習(xí)慣。本發(fā)明方法所使用到的安全資源管理器,其功能模塊結(jié)構(gòu)如圖3所示,包括 windows磁盤分區(qū)展現(xiàn)模塊、移動存儲設(shè)備交換區(qū)文件展現(xiàn)模塊、windows磁盤讀寫模塊、 移動存儲設(shè)備交換區(qū)讀寫模塊、交換權(quán)限控制模塊、文件系統(tǒng)模塊以及USB通信協(xié)議模塊。 各模塊功能及關(guān)系如下
(a)視圖展現(xiàn)模塊包括windows磁盤分區(qū)展現(xiàn)模塊和移動存儲設(shè)備交換區(qū)文件 展現(xiàn)模塊,分別用于展現(xiàn)windows磁盤分區(qū)文件結(jié)構(gòu)和移動存儲設(shè)備交換存儲區(qū)內(nèi)文件結(jié) 構(gòu)。(b)視圖展現(xiàn)模塊展現(xiàn)的數(shù)據(jù)來源于windows磁盤讀寫模塊和移動存儲設(shè)備交換 區(qū)讀寫模塊,該模塊分別讀取windows磁盤數(shù)據(jù)和移動存儲設(shè)備交換存儲區(qū)數(shù)據(jù)。(c)移動存儲設(shè)備交換區(qū)讀寫模塊通過調(diào)用文件系統(tǒng)模塊和USB通信協(xié)議模塊完 成數(shù)據(jù)的解析和存取傳輸。(d)交換權(quán)限控制模塊控制移動存儲設(shè)備交換區(qū)與內(nèi)網(wǎng)主機磁盤數(shù)據(jù)進行交換的 權(quán)限,包括禁止交換、單向交換、雙向交換。下面基于以上技術(shù)原理,結(jié)合上述移動存儲設(shè)備和安全資源管理器,以具體的實 施例來說明本發(fā)明方法的可行性數(shù)據(jù)安全交換以數(shù)據(jù)從安全內(nèi)網(wǎng)環(huán)境單向?qū)С龅酵饩W(wǎng)環(huán)境為例,如圖4所示,實 線數(shù)據(jù)流描述了數(shù)據(jù)從內(nèi)網(wǎng)環(huán)境到外網(wǎng)環(huán)境的交換流程,其實施步驟如下1、數(shù)據(jù)從內(nèi)網(wǎng)主機導(dǎo)入到移動存儲設(shè)備,如圖5所示,流程如下(a)移動存儲設(shè)備通過USB接口接入到內(nèi)網(wǎng)主機,被主機識別。(b)主機與移動存儲設(shè)備進行雙向身份認(rèn)證,雙向身份認(rèn)證通過以后,windows資 源管理器將識別移動存儲設(shè)備的安全區(qū),轉(zhuǎn)入(c);否則,認(rèn)證失敗以后,windows資源管理 器只能識別移動存儲的軟件區(qū),終止交換操作。其中,主機與移動存儲設(shè)備的雙向身份認(rèn)證,通過移動存儲設(shè)備內(nèi)置的認(rèn)證處理 器,采用“挑戰(zhàn)_應(yīng)答”模式完成認(rèn)證流程。(c)身份認(rèn)證通過以后,安全資源管理器識別移動存儲設(shè)備的交換區(qū)。其中,安全 資源管理器識別移動存儲設(shè)備交換區(qū)是磁盤讀寫模塊分別調(diào)用文件系統(tǒng)模塊和USB通信 協(xié)議模塊,讀取移動存儲設(shè)備交換區(qū)磁盤數(shù)據(jù),將讀取的數(shù)據(jù)傳送給交換區(qū)展現(xiàn)模塊,展現(xiàn) 模塊完成移動存儲設(shè)備交換區(qū)文件的顯示。(d)在權(quán)限的控制下,使用安全資源管理器將磁盤上需要交換的數(shù)據(jù)拖放于移動 存儲設(shè)備的交換區(qū)。其中,安全資源管理器提供windows磁盤文件視圖和移動存儲設(shè)備交換區(qū)文件視 圖,通過拖拽完成windows磁盤數(shù)據(jù)與移動存儲設(shè)備數(shù)據(jù)的交換。安全資源管理器將拖入 到移動存儲設(shè)備交換區(qū)視圖的數(shù)據(jù)通過寫協(xié)議指令傳輸給移動存儲設(shè)備,移動存儲設(shè)備使 用內(nèi)置加密單元對接收的數(shù)據(jù)進行加密,并將加密后的數(shù)據(jù)存儲到移動存儲設(shè)備的交換 區(qū)。(e)完成了數(shù)據(jù)從內(nèi)網(wǎng)主機導(dǎo)入到移動存儲設(shè)備。2、數(shù)據(jù)從移動存儲設(shè)備導(dǎo)出到外網(wǎng)主機,如圖6所示,流程如下(a)移動存儲設(shè)備接入外網(wǎng)主機,被主機識別,windows資源管理器識別移動存儲 設(shè)備的軟件區(qū)。(b)使用軟件區(qū)中的交換區(qū)身份認(rèn)證工具,進行身份認(rèn)證,認(rèn)證成功以后,移動存 儲設(shè)備的軟件區(qū)自動切換為交換區(qū),轉(zhuǎn)入(C);如果認(rèn)證失敗,則用戶身份不合法,終止數(shù) 據(jù)交換操作,彈出移動存儲設(shè)備。其中,軟件區(qū)中存放交換區(qū)身份認(rèn)證工具,用戶輸入口令,身份認(rèn)證工具使用口令作為密鑰值,與移動存儲設(shè)備進行內(nèi)部認(rèn)證,認(rèn)證方式采用“挑戰(zhàn)-應(yīng)答”模式,保證了使用 移動存儲設(shè)備用戶的合法性。同時,在外網(wǎng)環(huán)境下,操作系統(tǒng)只能識別移動存儲設(shè)備的交換區(qū),無法識別移動存 儲設(shè)備的安全區(qū),從而保證了在數(shù)據(jù)交換過程中,用戶存儲于安全區(qū)中的機密文件的安全。(c)將移動存儲設(shè)備交換區(qū)中需要導(dǎo)出的數(shù)據(jù)拖放到外網(wǎng)主機磁盤上。其中,當(dāng)數(shù)據(jù)從移動存儲設(shè)備交換區(qū)拖拽出時,移動存儲設(shè)備的加解密模塊首先 將解密從移動存儲設(shè)備交換區(qū)中讀出的數(shù)據(jù),然后將解密的數(shù)據(jù)通過讀指令返回。(d)完成了數(shù)據(jù)從移動存儲設(shè)備導(dǎo)出到外網(wǎng)主機。3、完成數(shù)據(jù)從內(nèi)網(wǎng)主機到外網(wǎng)主機之間的安全交換過程。以上實施例為數(shù)據(jù)從內(nèi)網(wǎng)到外網(wǎng)的安全交換,反之為外網(wǎng)到內(nèi)網(wǎng)的安全交換,兩 者結(jié)合之,則為數(shù)據(jù)的雙向交換。所以凡是不脫離本發(fā)明所公開的精神下完成的等效或修 改,都落入本發(fā)明保護的范圍。
權(quán)利要求
一種安全移動存儲設(shè)備,用于實現(xiàn)數(shù)據(jù)在內(nèi)外網(wǎng)主機間的安全移動,該安全移動存儲設(shè)備包括認(rèn)證處理模塊,用于對內(nèi)外網(wǎng)主機與安全移動存儲設(shè)備進行雙向身份認(rèn)證;加密模塊,用于加解密所有存儲于磁盤分區(qū)上的數(shù)據(jù),實現(xiàn)磁盤的整盤加解密;存儲模塊,用于數(shù)據(jù)存儲,該存儲模塊分為軟件區(qū)、安全區(qū)和交換區(qū),其中,所述軟件區(qū)以只讀的存儲區(qū)域模式加載,用于存儲交換區(qū)的身份認(rèn)證程序;所述安全區(qū)只允許在內(nèi)網(wǎng)通過雙向身份認(rèn)證以后才能被加載,該安全區(qū)的數(shù)據(jù)通過加密模塊進行加密存儲,以提供機密數(shù)據(jù)存儲功能;所述交換區(qū)允許在所述安全移動存儲設(shè)備在外網(wǎng)通過身份認(rèn)證后由軟件區(qū)自動切換到該交換區(qū);主控芯片,其根據(jù)協(xié)議指令進行所述安全移動存儲設(shè)備內(nèi)各模塊的關(guān)系調(diào)度。
2.根據(jù)權(quán)利要求1所述的一種安全移動存儲設(shè)備,其特征在于,所述認(rèn)證處理模塊采 用“挑戰(zhàn)_應(yīng)答”方式進行雙向身份認(rèn)證,所述認(rèn)證包括主機認(rèn)證安全移動存儲設(shè)備和安全 移動存儲設(shè)備認(rèn)證主機。
3.根據(jù)權(quán)利要求2所述的一種安全移動存儲設(shè)備,其特征在于,所述的主機認(rèn)證安全 移動存儲設(shè)備的步驟如下(a)主機產(chǎn)生隨機數(shù),使用外部認(rèn)證協(xié)議指令將隨機數(shù)和主機碼發(fā)送給所述安全移動 存儲設(shè)備;(b)認(rèn)證處理模塊根據(jù)接收的主機碼查找預(yù)先設(shè)定的與該主機綁定的密鑰值,用該密 鑰值加密隨機數(shù),使用指令將加密后的隨機數(shù)返回給主機;(c)主機使用本機保存的密鑰對其產(chǎn)生的隨機數(shù)進行加密,與接收到的加密的隨機數(shù) 進行比較,一致則主機認(rèn)為安全移動存儲身份信息合法,認(rèn)證成功;否則主機認(rèn)為所述安全 移動存儲身份信息非法,認(rèn)證失敗。
4.根據(jù)權(quán)利要求2或3所述的一種安全移動存儲設(shè)備,其特征在于,所述的安全移動存 儲設(shè)備認(rèn)證主機的步驟如下(a)安全移動存儲設(shè)備產(chǎn)生隨機數(shù),使用指令將隨機數(shù)發(fā)送給主機;(b)主機使用本機保存的密鑰值對接收到的隨機數(shù)進行加密,使用指令將加密后的隨 機數(shù)和本機主機碼返回給安全移動存儲設(shè)備;(c)安全移動存儲設(shè)備根據(jù)接收的主機碼查找相應(yīng)的密鑰值,使用該密鑰值對其產(chǎn)生 的隨機數(shù)進行加密,與接收到的加密的隨機數(shù)進行比較,一致則所述安全移動存儲設(shè)備認(rèn) 為主機合法,認(rèn)證成功;否則認(rèn)為主機非法,認(rèn)證失敗。
5.根據(jù)權(quán)利要求1-4之一所述的一種安全移動存儲設(shè)備,其特征在于,所述主控芯片 進行各模塊的關(guān)系調(diào)度具體為當(dāng)主控芯片檢測到主機向移動存儲設(shè)備發(fā)送協(xié)議指令時, 首先調(diào)度認(rèn)證處理模塊進行身份認(rèn)證,然后再根據(jù)相應(yīng)的指令來調(diào)用加密模塊進行數(shù)據(jù)加 解密,最終調(diào)用存儲模塊,將數(shù)據(jù)存儲到磁盤上或者讀取磁盤數(shù)據(jù)。
6.利用權(quán)利要求1-5之一所述的安全移動存儲設(shè)備在內(nèi)外網(wǎng)主機間進行數(shù)據(jù)安全交 換的方法,包括將數(shù)據(jù)從內(nèi)網(wǎng)主機或外網(wǎng)主機導(dǎo)入到安全移動存儲設(shè)備,再將數(shù)據(jù)從安全 移動存儲設(shè)備導(dǎo)入到外網(wǎng)主機或內(nèi)網(wǎng)主機,具體步驟如下(1)數(shù)據(jù)從內(nèi)網(wǎng)主機導(dǎo)入到移動存儲設(shè)備(Ia)安全移動存儲設(shè)備接入內(nèi)網(wǎng)主機,被主機識別;(Ib)內(nèi)網(wǎng)主機與安全移動存儲設(shè)備進行雙向身份認(rèn)證,windows資源管理器識別安全 移動存儲設(shè)備的安全區(qū);(Ic)身份認(rèn)證通過以后,安全資源管理器識別安全移動存儲設(shè)備的交換區(qū);(Id)安全資源管理器將磁盤上需要交換的數(shù)據(jù)拖放于安全移動存儲設(shè)備的交換區(qū),完 成了數(shù)據(jù)從內(nèi)網(wǎng)主機導(dǎo)入到安全移動存儲設(shè)備。(2)數(shù)據(jù)從安全移動存儲設(shè)備導(dǎo)出到外網(wǎng)主機(2a)移動存儲設(shè)備接入外網(wǎng)主機,被主機識別,windows資源管理器識別安全移動存 儲設(shè)備的軟件區(qū);(2b)使用軟件區(qū)中的身份認(rèn)證程序,進行身份認(rèn)證,認(rèn)證通過以后,軟件區(qū)自動切換到 安全移動存儲設(shè)備的交換區(qū);(2c)將安全移動存儲設(shè)備交換區(qū)中需要導(dǎo)出的數(shù)據(jù)拖放到外網(wǎng)主機磁盤上,完成數(shù) 據(jù)從安全移動存儲設(shè)備導(dǎo)出到外網(wǎng)主機。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,所述的安全資源管理器包括windows磁 盤分區(qū)展現(xiàn)模塊、移動存儲設(shè)備交換區(qū)文件展現(xiàn)模塊、windows磁盤讀寫模塊和移動存儲設(shè) 備交換區(qū)讀寫模塊;所述windows磁盤讀寫模塊和移動存儲設(shè)備交換區(qū)讀寫模塊分別讀取 windows磁盤數(shù)據(jù)和移動存儲設(shè)備交換區(qū)數(shù)據(jù),提供給windows磁盤分區(qū)展現(xiàn)模塊和移動 存儲設(shè)備交換區(qū)文件展現(xiàn)模塊,以供所述windows磁盤分區(qū)展現(xiàn)模塊和移動存儲設(shè)備交換 區(qū)文件展現(xiàn)模塊展現(xiàn)windows磁盤分區(qū)文件結(jié)構(gòu)和移動存儲設(shè)備交換區(qū)內(nèi)文件結(jié)構(gòu)。
8.根據(jù)權(quán)利要求6或7所述的方法,其特征在于,所述安全資源管理器還包括交換權(quán) 限控制模塊、文件系統(tǒng)模塊以及USB通信協(xié)議模塊,所述步驟(Ib)中的資源管理器識別所 述交換區(qū)的具體實現(xiàn)過程為所述移動存儲設(shè)備交換區(qū)讀寫模塊分別調(diào)用文件系統(tǒng)模塊和 USB通信協(xié)議模塊,讀取移動存儲設(shè)備交換區(qū)磁盤數(shù)據(jù),將讀取的數(shù)據(jù)傳送給移動存儲設(shè)備 交換區(qū)文件展現(xiàn)模塊。
9.根據(jù)權(quán)利要求6-8之一所述的方法,其特征在于,所述安全資源管理器控制磁盤上 的數(shù)據(jù)拖放到交換區(qū)的具體過程為資源管理器將拖入到移動存儲設(shè)備交換區(qū)視圖的數(shù)據(jù) 通過寫協(xié)議指令傳輸給移動存儲設(shè)備,移動存儲設(shè)備使用內(nèi)置加密單元對接收的數(shù)據(jù)進行 加密,并將加密后的數(shù)據(jù)存儲到移動存儲設(shè)備磁盤的交換區(qū)中。
10.根據(jù)權(quán)利要求6-9之一所述的方法,其特征在于,所述安全資源管理器還包括交換 權(quán)限控制模塊,用于控制移動存儲設(shè)備交換區(qū)與內(nèi)網(wǎng)主機磁盤數(shù)據(jù)進行交換的權(quán)限,包括 禁止交換、單向交換和雙向交換。全文摘要
本發(fā)明公開了一種安全移動存儲設(shè)備及利用其實現(xiàn)數(shù)據(jù)安全交換的方法。本發(fā)明以移動存儲設(shè)備為存儲介質(zhì),以資源管理器為輔助工具,通過移動存儲設(shè)備的多分區(qū)特點,在內(nèi)網(wǎng)安全環(huán)境域內(nèi),使用資源管理導(dǎo)出數(shù)據(jù)到移動存儲設(shè)備的交換區(qū),在外網(wǎng)環(huán)境使用身份認(rèn)證程序身份認(rèn)證通過以后,將數(shù)據(jù)從移動存儲設(shè)備的交換區(qū)導(dǎo)出到外網(wǎng)主機,實現(xiàn)數(shù)據(jù)在內(nèi)網(wǎng)與外網(wǎng)之間的交換。這種方法不但保證了數(shù)據(jù)交換過程中的安全,同時移動存儲介質(zhì)采用整盤加密技術(shù),又防止數(shù)據(jù)因設(shè)備丟失、被盜造成的丟失泄密,保證了數(shù)據(jù)整個生命周期。
文檔編號G06F21/00GK101916342SQ20101025342
公開日2010年12月15日 申請日期2010年8月16日 優(yōu)先權(quán)日2010年8月16日
發(fā)明者熊彩輝, 饒偉 申請人:武漢天喻信息產(chǎn)業(yè)股份有限公司