專利名稱:一種面向移動(dòng)存儲(chǔ)介質(zhì)數(shù)據(jù)安全的雙因子影子密碼保護(hù)方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全領(lǐng)域,具體涉及一種基于虛擬磁盤技術(shù)和動(dòng)態(tài)加解密技術(shù)的 移動(dòng)存儲(chǔ)介質(zhì)數(shù)據(jù)安全保護(hù)方法。
背景技術(shù):
移動(dòng)存儲(chǔ)介質(zhì)包括軟盤、U盤、移動(dòng)硬盤和SD卡等,因其使用靈活、方便的特點(diǎn),在 政府、軍隊(duì)和企事業(yè)單位中得到迅速普及。但移動(dòng)存儲(chǔ)介質(zhì)使用的方便性也給設(shè)備安全、數(shù) 據(jù)安全等保密管理帶來了新問題。主要包括第一,任意個(gè)人的U盤、移動(dòng)硬盤、軟盤或者光盤都可以在內(nèi)部的計(jì)算機(jī)上隨意使 用,容易造成計(jì)算機(jī)病毒感染和泛濫;第二,隨意使用移動(dòng)存儲(chǔ)介質(zhì),使懷有惡意的內(nèi)部人員可以將內(nèi)部重要信息復(fù)制 出去,容易造成敏感和機(jī)密信息的泄密。據(jù)IDC權(quán)威機(jī)構(gòu)的調(diào)查,80%的泄密事件是來自內(nèi) 部人員的,其中包括有意的也有無意的,甚至有內(nèi)外勾結(jié)的;第三,由于大多移動(dòng)存儲(chǔ)介質(zhì)中的信息都以明文形式存放,即使加密,密碼也非常 單一,內(nèi)部人員可以將涉密終端上的數(shù)據(jù)通過移動(dòng)介質(zhì)轉(zhuǎn)移到連接互聯(lián)網(wǎng)的計(jì)算機(jī),并通 過互聯(lián)網(wǎng)泄露涉密信息。雖然計(jì)算機(jī)采取了防火墻和入侵檢測(cè)等信息保護(hù)措施,但這些信 息保護(hù)措施只能夠阻止外部入侵,不能檢測(cè)到內(nèi)部人員的違規(guī)行為,即不能防止內(nèi)部竊取 fn息ο第四,移動(dòng)存儲(chǔ)介質(zhì)一旦丟失,或者存儲(chǔ)介質(zhì)的使用者遭到第三者脅迫說出訪問 密碼,其中存儲(chǔ)的大量敏感數(shù)據(jù)可能失控,帶來極大的損失。移動(dòng)存儲(chǔ)介質(zhì)的數(shù)據(jù)安全防護(hù)和管理從開始到現(xiàn)在,經(jīng)歷了幾個(gè)重要的階段。早 期各個(gè)企業(yè)和政府部門為了防止內(nèi)部涉密信息的泄露,大多采用人工管理的模式,通過封 堵移動(dòng)存儲(chǔ)介質(zhì)設(shè)備端口來禁止用戶使用移動(dòng)存儲(chǔ)介質(zhì),或者通過每天上班派發(fā)和下班回 收移動(dòng)存儲(chǔ)介質(zhì)的方式來防止內(nèi)部員工通過移動(dòng)介質(zhì)泄露企業(yè)商業(yè)機(jī)密。這種管理方式雖 然在某種程度上控制了重要數(shù)據(jù)的泄露,但同時(shí)也給職員的工作帶來了極大不便,USB接口 被封堵,限制的不僅僅是移動(dòng)存儲(chǔ)介質(zhì)的使用,也限制了其他USB設(shè)備的使用,例如USB接 口鼠標(biāo)、鍵盤、打印機(jī)等許多即插即用設(shè)備,這些措施使得企業(yè)和政府部門內(nèi)部與外界處于 絕對(duì)隔離的狀態(tài),數(shù)據(jù)交換因此受到阻礙,從而導(dǎo)致工作效率十分低下。隨著信息安全技術(shù) 的不斷發(fā)展,企業(yè)和政府部門的管理者逐漸意識(shí)到采用人工管理的方式不僅導(dǎo)致工作流程 繁瑣,而且由于人為原因信息泄露問題仍不能得到本質(zhì)上的緩解。因此人們開始采用信息安全技術(shù)對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行管理,主要集中在數(shù)據(jù)加密 技術(shù)方面。人們通常利用數(shù)據(jù)加密算法(包括AES-256,Blowfish (448-bitkey), CAST5, Serpent, TripleDES及Twofish等)來保障存儲(chǔ)介質(zhì)中數(shù)據(jù)的機(jī)密性,完整性和可用性。 傳統(tǒng)的磁盤介質(zhì)加密方法粒度控制不靈活,要么只能全盤加密,要么只能針對(duì)某個(gè)文件或 文件夾加密,且最為關(guān)鍵的是密碼單一,一旦密碼被通過某種手段獲取,則加密信息暴露無遺。針對(duì)以上情況,本發(fā)明提出一種面向移動(dòng)存儲(chǔ)介質(zhì)數(shù)據(jù)安全的雙因子影子密碼保 護(hù)方法,該方法充分考慮到移動(dòng)介質(zhì)用戶面臨的各種情況,除技術(shù)狀況之外,特別考慮到用 戶受到脅迫要求提供密碼的復(fù)雜情況,創(chuàng)新性地引入雙因子密碼機(jī)制,克服傳統(tǒng)單一密碼 訪問的缺陷;此外,引入關(guān)聯(lián)不同密碼的數(shù)據(jù)分區(qū)技術(shù)和動(dòng)態(tài)加解密技術(shù),為不同的訪問密 碼映射不同的訪問數(shù)據(jù),可充分發(fā)揮雙因子密碼的強(qiáng)力數(shù)據(jù)保護(hù)能力。采用本發(fā)明提供的 方法對(duì)移動(dòng)介質(zhì)加密,可根據(jù)數(shù)據(jù)的密級(jí)靈活設(shè)定訪存區(qū)域,既體現(xiàn)了 “分密級(jí)授權(quán)訪存” 的思想,又避免非授權(quán)用戶拿到密碼之后造成的信息泄露。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種面向移動(dòng)存儲(chǔ)介質(zhì)數(shù)據(jù)安全的雙因子影子密碼保護(hù)方 法,利用虛擬磁盤技術(shù)和動(dòng)態(tài)加解密技術(shù)有效保護(hù)移動(dòng)存儲(chǔ)介質(zhì)的數(shù)據(jù)安全。本發(fā)明的上述目的是通過如下技術(shù)方案來實(shí)現(xiàn)的1)磁盤邏輯劃分利用虛擬磁盤技術(shù)將移動(dòng)存儲(chǔ)介質(zhì)劃分為不同的功能分區(qū),用于存儲(chǔ)用戶涉密數(shù) 據(jù)和密碼等信息。用戶涉密數(shù)據(jù)保存在數(shù)據(jù)區(qū),密碼等自定義信息保存在頭部信息區(qū)。如 下圖所示
權(quán)利要求
1.一種面向移動(dòng)存儲(chǔ)介質(zhì)數(shù)據(jù)安全的雙因子影子密碼保護(hù)方法,其特征在于包括以下 步驟步驟1. 1 將移動(dòng)存儲(chǔ)介質(zhì)映射為一個(gè)虛擬磁盤,虛擬磁盤被劃分為頭部信息區(qū)1和數(shù) 據(jù)區(qū)兩部分,頭部信息區(qū)1中含有磁盤的密鑰和其他格式化信息,數(shù)據(jù)區(qū)保存磁盤中的有 效數(shù)據(jù);步驟1. 2 將步驟1. 1中數(shù)據(jù)區(qū)劃分為三部分頭部信息區(qū)2、數(shù)據(jù)區(qū)1和數(shù)據(jù)區(qū)2。此 時(shí)該虛擬磁盤在邏輯視圖上呈現(xiàn)為(頭部信息1+頭部信息2+數(shù)據(jù)區(qū)1+數(shù)據(jù)區(qū)2);步驟1. 3 影子密碼信息Keys保存在頭部信息區(qū)2中,用于加解密涉密數(shù)據(jù)的真實(shí)密碼 信息Key11保存在頭部信息區(qū)1中;步驟1.4:當(dāng)用戶訪問移動(dòng)存儲(chǔ)介質(zhì),要求輸入密碼(似^或似^),對(duì)該密碼進(jìn)行計(jì)算, 得到密碼的hash值,并與虛擬磁盤頭部信息區(qū)中保存的密碼信息進(jìn)行對(duì)比,如果正確,則 顯示對(duì)應(yīng)的數(shù)據(jù)區(qū);否則,不能訪問;步驟1.5:當(dāng)用戶輸入密碼Keys,只能看到數(shù)據(jù)區(qū)2的數(shù)據(jù);當(dāng)用戶輸入密碼KeyD,只能 看到數(shù)據(jù)區(qū)1中的數(shù)據(jù);步驟1. 6 用戶可以在數(shù)據(jù)區(qū)2中預(yù)先放入一些非敏感數(shù)據(jù)或垃圾數(shù)據(jù),而在數(shù)據(jù)區(qū)1 中保存真正的涉密數(shù)據(jù)。這樣當(dāng)用戶遭受脅迫而不得已說出密碼時(shí),可以將影子密碼說出, 則僅僅可以得到數(shù)據(jù)區(qū)2中的非敏感數(shù)據(jù)或垃圾數(shù)據(jù),從而有效保證有效涉密數(shù)據(jù)的安全 性。
2.如權(quán)利要求1的一種面向移動(dòng)存儲(chǔ)介質(zhì)數(shù)據(jù)安全的雙因子影子密碼保護(hù)方法,其特 征在于,使用虛擬磁盤技術(shù)來映射和劃分1. 1和1. 2所述的文件和數(shù)據(jù)區(qū)段。
3.如權(quán)利要求1的一種面向移動(dòng)存儲(chǔ)介質(zhì)數(shù)據(jù)安全的雙因子影子密碼保護(hù)方法,其特 征在于,使用動(dòng)態(tài)加解密技術(shù)來實(shí)現(xiàn)1. 3,1. 4和1. 6所述的密碼及數(shù)據(jù)信息在所有數(shù)據(jù)區(qū) 和頭部信息區(qū)的存儲(chǔ)和訪問。
4.如權(quán)利要求1的一種面向移動(dòng)存儲(chǔ)介質(zhì)數(shù)據(jù)安全的雙因子影子密碼保護(hù)方法,其特 征在于,使用文件系統(tǒng)分區(qū)機(jī)制來實(shí)現(xiàn)1. 5所述的密碼與數(shù)據(jù)區(qū)的關(guān)聯(lián)。
全文摘要
本發(fā)明公開了一種面向移動(dòng)存儲(chǔ)介質(zhì)數(shù)據(jù)安全的雙因子影子密碼保護(hù)方法。本發(fā)明的方法利用操作系統(tǒng)自身的虛擬磁盤技術(shù),將移動(dòng)存儲(chǔ)介質(zhì)中的磁盤空間進(jìn)行重新格式化,使得在使用移動(dòng)介質(zhì)時(shí),輸入不同的密碼可以得到保存在移動(dòng)存儲(chǔ)介質(zhì)中的不同數(shù)據(jù),從而可以有效抵抗針對(duì)人身攻擊的密碼暴力破解行為。
文檔編號(hào)G06F12/14GK102096641SQ20101058467
公開日2011年6月15日 申請(qǐng)日期2010年12月13日 優(yōu)先權(quán)日2010年12月13日
發(fā)明者俞衛(wèi)華, 沈暉 申請(qǐng)人:沈暉, 王毅, 郭浩然