專利名稱:基于虛擬磁盤的數(shù)據(jù)加密移動存儲管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及Linux操作系統(tǒng)下移動存儲設(shè)備的數(shù)據(jù)存儲及管理方法,具體涉及一種對普通U盤創(chuàng)建虛擬磁盤加密卷實(shí)現(xiàn)數(shù)據(jù)的自動加解密的基于虛擬磁盤的數(shù)據(jù)加密移動存儲管理方法。
背景技術(shù):
隨著信息化的不斷發(fā)展和深入,計(jì)算機(jī)已經(jīng)全面進(jìn)入了人們的生活和工作中,而U盤(U-disk),作為一種即插即用的USB設(shè)備,以其小巧攜帶方便、存儲容量大、性能可靠、傳輸速度快等優(yōu)點(diǎn)成為日常生活中必不可少的移動存儲設(shè)備。但由U盤所引發(fā)的數(shù)據(jù)泄漏等安全問題也日益嚴(yán)重,成為很多企業(yè)和個(gè)人信息安全防護(hù)的重點(diǎn)。為了解決這個(gè)問題,加密U盤應(yīng)運(yùn)而生。目前加密U盤主要包含三類實(shí)現(xiàn)方式一是簡單的密碼認(rèn)證,實(shí)際的存儲內(nèi)容并沒有經(jīng)過加密處理;二是硬件加密,通過U盤內(nèi)部的控制芯片實(shí)現(xiàn)實(shí)時(shí)加密,該類加密U盤需要專門的硬件加解密芯片,硬件成本高;三是軟件加密,即通過內(nèi)置或附帶加密軟件對數(shù)據(jù)進(jìn)行加密,該類加密U盤是目前市面上的主流產(chǎn)品。軟件加密U盤剛問世的時(shí)候還只是用于國家涉密單位或部門,隨著數(shù)據(jù)泄露問題的加劇和越來越多的用戶對個(gè)人敏感信息或公司保密信息的安全性的重視,軟件加密U盤在民用企事業(yè)單位以及個(gè)人用戶方面也得到廣泛應(yīng)用。軟件加密U盤的使用,在一定程度上解決了用戶對于個(gè)人隱私的擔(dān)心,大大減少了泄密的可能性,滿足了不同單位和個(gè)人對于數(shù)據(jù)安全的需求。但是,現(xiàn)有技術(shù)的軟件加密U盤存在以下幾個(gè)問題1、容易被病毒攻擊,竊取資料
Windows操作系統(tǒng)下病毒肆虐,很多資料的泄漏就是受到病毒的感染。操作系統(tǒng)把U盤作為一個(gè)標(biāo)準(zhǔn)的磁盤來管理,對操作系統(tǒng)來說,U盤除了熱插拔之外,和硬盤沒什么分別,從而導(dǎo)致U盤容易感染病毒。2、密碼容易被破解,導(dǎo)致U盤數(shù)據(jù)容易泄密
隨著U盤的使用范圍不斷擴(kuò)大,市面上出現(xiàn)的破解密碼軟件也日益增多,U盤的丟失、報(bào)廢、維修和遭竊等情況的發(fā)生很容易被他人借助破解軟件獲取密碼,讀取U盤中的加密信息,造成數(shù)據(jù)的泄漏。3、沒有單位權(quán)限管理,容易造成內(nèi)部泄密
目前由于內(nèi)部人員行為所導(dǎo)致的泄密事故占總泄密事故的70%以上,內(nèi)部泄密成為了目前人們關(guān)注的焦點(diǎn)。雖然可以通過管理制定的規(guī)范、訪問控制的約束和審計(jì)手段等防護(hù)措施可以很大程度上降低內(nèi)部泄密風(fēng)險(xiǎn),但是,U盤的便攜性本身就為信息的外帶種下了缺陷。該類U盤由于沒有單位間的權(quán)限設(shè)置,所以一旦離開本單位內(nèi)部環(huán)境,就極有可能發(fā)生泄密。4、應(yīng)用層的透明加解密,不方便于軟件版本的升級開發(fā)
基于應(yīng)用層的透明加解密通過監(jiān)控應(yīng)用程序的啟動而啟動,但由于版本的升級開發(fā)可能會導(dǎo)致應(yīng)用程序的改名和不同應(yīng)用程序在讀寫文件時(shí)所用的方法不同,以及應(yīng)用程序中反鉤子技術(shù)的應(yīng)用都有可能造成透明加解密的失效。而且,該類透明加解密技術(shù)在遇到大文件時(shí),速度較慢。綜上所述,現(xiàn)有技術(shù)的軟件加密U盤容易被病毒攻擊,密碼容易被破解,沒有單位權(quán)限管理,容易造成內(nèi)部泄密,基于應(yīng)用層的透明加解密與應(yīng)用程序的關(guān)聯(lián)太緊密,不便于軟件版本的升級開發(fā),限制了軟件加密U盤的推廣和應(yīng)用。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種存儲信息安全可靠、安全策略配置靈活、移動存儲設(shè)備管理簡單方便、數(shù)據(jù)加解密處理透明高效的基于虛擬磁盤的數(shù)據(jù)加密移動存儲管理方法。為了解決上述技術(shù)問題,本發(fā)明采用的技術(shù)方案為
一種基于虛擬磁盤的數(shù)據(jù)加密移動存儲管理方法,實(shí)施步驟如下
1)在普通移動存儲設(shè)備的頭部寫入加密卷標(biāo)識并創(chuàng)建虛擬磁盤加密卷得到加密移動存儲設(shè)備,將所述虛擬磁盤加密卷的頭部設(shè)置根據(jù)用戶輸入的掛載口令進(jìn)行加密的虛擬磁盤加密卷信息頭,所述虛擬磁盤加密卷信息頭包含數(shù)據(jù)加解密密鑰、管理策略信息和虛擬磁盤文件系統(tǒng)信息;
2)當(dāng)移動存儲設(shè)備插入指定的計(jì)算機(jī)時(shí),檢查移動存儲設(shè)備的加密卷標(biāo)識是否正確,如果加密卷標(biāo)識不正確則判定插入普通移動存儲設(shè)備;否則判定插入加密移動存儲設(shè)備并跳轉(zhuǎn)執(zhí)行下一步;
3)獲取用戶輸入的掛載口令,根據(jù)所述掛載口令解密加密移動存儲設(shè)備中的虛擬磁盤加密卷信息頭,并對解密后的虛擬磁盤加密卷信息頭進(jìn)行校驗(yàn),如果校驗(yàn)通過則跳轉(zhuǎn)執(zhí)行下一步,否則返回執(zhí)行步驟3)或者禁止掛載虛擬磁盤加密卷并退出;
4)掛載虛擬磁盤加密卷,根據(jù)解密虛擬磁盤加密卷信息頭得到的數(shù)據(jù)加解密密鑰配置主次密鑰,調(diào)用所述指定的計(jì)算機(jī)中帶有加解密模塊的虛擬磁盤驅(qū)動程序根據(jù)用戶的指令對虛擬磁盤加密卷進(jìn)行讀寫,所述加解密模塊使用主次密鑰對讀寫虛擬磁盤加密卷的內(nèi)容進(jìn)行自動實(shí)時(shí)加解密,最終在卸載加密移動存儲設(shè)備時(shí)自動卸載所述虛擬磁盤加密卷。作為本發(fā)明上述技術(shù)方案的進(jìn)一步改進(jìn)
所述虛擬磁盤加密卷信息頭還包含完整性校驗(yàn)值,所述管理策略信息中包括用于標(biāo)識區(qū)別虛擬磁盤加密卷的標(biāo)識位;所述步驟3)對解密后的虛擬磁盤加密卷信息頭進(jìn)行校驗(yàn)的詳細(xì)步驟如下
3.1)檢測解密虛擬磁盤加密卷信息頭后的標(biāo)識位是否為指定的字符串,如果標(biāo)識位為指定的字符串,則判定用戶輸入的掛載口令正確并跳轉(zhuǎn)執(zhí)行步驟3. 2);否則判定用戶輸入的掛載口令錯(cuò)誤,記錄口令錯(cuò)誤的次數(shù),當(dāng)所述口令錯(cuò)誤的次數(shù)小于預(yù)設(shè)值時(shí)返回執(zhí)行步驟3),當(dāng)所述口令錯(cuò)誤的次數(shù)大于或等于預(yù)設(shè)值時(shí)禁止掛載虛擬磁盤加密卷并退出;
3.2)根據(jù)解密虛擬磁盤加密卷信息頭得到的管理策略信息、虛擬磁盤文件系統(tǒng)信息、數(shù)據(jù)加解密密鑰計(jì)算完整性校驗(yàn)值,將計(jì)算得到的完整性校驗(yàn)值和解密虛擬磁盤加密卷信息頭得到的完整性校驗(yàn)值進(jìn)行對比,如果兩者相同則判定完整性校驗(yàn)通過并跳轉(zhuǎn)執(zhí)行步驟
4);否則判定完整性校驗(yàn)不通過,禁止掛載虛擬磁盤加密卷并退出。所述管理策略信息還包含加密移動存儲設(shè)備的設(shè)備編號和單位部門;步驟4)中掛載虛擬磁盤加密卷時(shí)還包括檢查加密移動存儲設(shè)備可用性的步驟,所述檢查加密移動存儲設(shè)備可用性的步驟如下
4.1)獲取所述指定的計(jì)算機(jī)對應(yīng)的單位部門,獲取解密虛擬磁盤加密卷信息頭得到的加密移動存儲設(shè)備的單位部門,比較所述指定的計(jì)算機(jī)對應(yīng)的單位部門和加密移動存儲設(shè)備的單位部門是否相同,如果不相同則判定所述加密移動存儲設(shè)備為外來單位部門的加密移動存儲設(shè)備,跳轉(zhuǎn)執(zhí)行步驟4. 2);否則判定所述加密移動存儲設(shè)備為所述指定的計(jì)算機(jī)本單位部門的加密移動存儲設(shè)備,跳轉(zhuǎn)執(zhí)行步驟4. 3);
4.2)根據(jù)所述指定的計(jì)算機(jī)對應(yīng)的單位部門、加密移動存儲設(shè)備的設(shè)備編號和單位部門從所述指定的計(jì)算機(jī)中讀取加密移動存儲設(shè)備訪問控制權(quán)限,所述加密移動存儲設(shè)備訪問控制權(quán)限包含所述指定的計(jì)算機(jī)對應(yīng)的單位部門是否允許所述加密移動存儲設(shè)備訪問、所述加密移動存儲設(shè)備的單位部門是否允許所述加密移動存儲設(shè)備訪問所述指定的計(jì)算機(jī);如果所述加密移動存儲設(shè)備訪問控制權(quán)限均為允許訪問,則跳轉(zhuǎn)執(zhí)行步驟4. 3);否則禁止掛載虛擬磁盤加密卷;
4.3)獲取解密虛擬磁盤加密卷信息頭得到的加密移動存儲設(shè)備的設(shè)備編號,從所述指定的計(jì)算機(jī)中讀取所述加密移動存儲設(shè)備對應(yīng)的設(shè)備編號是否被鎖定的控制規(guī)則,如果所述加密移動存儲設(shè)備對應(yīng)的設(shè)備編號被鎖定,則禁止掛載虛擬磁盤加密卷,否則掛載虛擬磁盤加密卷。所述步驟I)寫入加密卷標(biāo)識以及創(chuàng)建虛擬磁盤加密卷時(shí),所述字符串標(biāo)識存儲在加密移動存儲設(shè)備的前16字節(jié)空間內(nèi);所述虛擬磁盤加密卷信息頭寫入虛擬磁盤加密卷頭部的前1008字節(jié)空間內(nèi),其中第O 511個(gè)共512個(gè)字節(jié)空間存放管理策略信息,所述管理策略信息包含單位部門、設(shè)備編號和標(biāo)記位,且所述管理策略信息以字符串列表的形式存儲 ’第512 639個(gè)共128個(gè)字節(jié)空間存放虛擬磁盤文件系統(tǒng)信息;第640 703個(gè)共64個(gè)字節(jié)空間存放用于結(jié)合用戶輸入的掛載口令創(chuàng)建數(shù)據(jù)加解密密鑰的隨機(jī)數(shù)鹽值;第704 831個(gè)共128個(gè)字節(jié)空間存放數(shù)據(jù)加解密密鑰;第832 835個(gè)共4個(gè)字節(jié)空間存放完整性校驗(yàn)值;第836 1007個(gè)共188個(gè)字節(jié)空間為保留區(qū)。所述步驟2)中在插入普通移動存儲設(shè)備后禁止掛載普通移動存儲設(shè)備;或者在插入普通移動存儲設(shè)備后引導(dǎo)用戶指定初始化移動存儲設(shè)備的文件系統(tǒng)類型,并在用戶指定文件系統(tǒng)類型后跳轉(zhuǎn)執(zhí)行步驟I)進(jìn)行初始化移動存儲設(shè)備。所述文件系統(tǒng)類型為Ext2文件系統(tǒng)或者Ext3文件系統(tǒng)。所述虛擬磁盤驅(qū)動程序的加解密模塊中內(nèi)置的加解密算法包括AES、Serpent、Twofish三種基本算法及其組合算法。所述步驟4)還包括審計(jì)加密移動存儲設(shè)備操作的步驟,所述審計(jì)加密移動存儲設(shè)備操作的步驟具體是指將指定的計(jì)算機(jī)中加密移動存儲設(shè)備的掛載、卸載和對加密移動存儲設(shè)備中虛擬磁盤加密卷中文件、文件夾的讀寫執(zhí)行操作都記錄在本地日志中,所述日志以密文形式記錄,所述日志的內(nèi)容包括時(shí)間、操作時(shí)間、用戶名、日志級別、日志路徑,且所述指定的計(jì)算機(jī)在接入所轄網(wǎng)絡(luò)時(shí)將所述日志同步傳送到所轄網(wǎng)絡(luò)的日志服務(wù)器上。本發(fā)明具有下述優(yōu)點(diǎn)1、本發(fā)明綜合運(yùn)用身份認(rèn)證和數(shù)據(jù)加密等安全機(jī)制,解決了單獨(dú)在主機(jī)端或設(shè)備端采取安全措施存在的安全隱患問題,更好地保護(hù)了存儲信息的安全,具有存儲信息安全可靠、移動存儲設(shè)備管理簡單方便、數(shù)據(jù)加解密處理透明高效的優(yōu)點(diǎn)。2、本發(fā)明能夠?qū)?chuàng)建的加密移動存儲設(shè)備進(jìn)行密碼修改、移動存儲設(shè)備屬性修改、設(shè)置批準(zhǔn)加密移動存儲設(shè)備外帶和允許外部加密移動存儲設(shè)備使用,相關(guān)信息的修改都會重新寫入加密移動存儲設(shè)備的設(shè)備信息頭并能夠保存在計(jì)算機(jī)上或者同步到計(jì)算機(jī)所轄網(wǎng)絡(luò)中的數(shù)據(jù)庫中,具有安全策略配置靈活、管理快捷、使用簡單方便的優(yōu)點(diǎn)。3、本發(fā)明在移動存儲設(shè)備認(rèn)證掛載成功后,對其所有的讀寫操作都是對虛擬磁盤的操作,進(jìn)行讀寫時(shí)調(diào)用指定的計(jì)算機(jī)中帶有加解密模塊的虛擬磁盤驅(qū)動程序根據(jù)用戶的指令對虛擬磁盤加密卷進(jìn)行讀寫,加解密模塊使用主次密鑰對讀寫虛擬磁盤加密卷的內(nèi)容進(jìn)行自動實(shí)時(shí)加解密,數(shù)據(jù)在內(nèi)核層自動被實(shí)時(shí)透明的加解密,穩(wěn)定性好、速度快,能夠防止用戶由于應(yīng)用層的加解密而出現(xiàn)的卡頓或者等待;而卸載移動存儲設(shè)備后,里面的內(nèi)容又將會變得完全不可訪問,具有安全可靠性高的優(yōu)點(diǎn)。4、本發(fā)明虛擬磁盤加密卷信息頭進(jìn)一步包含管理策略信息和完整性校驗(yàn)值,管理策略信息中包括用于標(biāo)識區(qū)別虛擬磁盤加密卷的標(biāo)識位,對解密后的虛擬磁盤加密卷信息頭進(jìn)行校驗(yàn)使用標(biāo)識位和完整性校驗(yàn)值對虛擬磁盤加密卷信息頭進(jìn)行雙重校驗(yàn),能夠識別出掛載口令錯(cuò)誤,用戶體驗(yàn)更好;而且還能對虛擬磁盤加密卷信息頭進(jìn)行完整性校驗(yàn),能夠檢測出讀取虛擬磁盤加密卷信息頭的異常錯(cuò)誤,具有安全性高、用戶體驗(yàn)好的優(yōu)點(diǎn)。5、本發(fā)明虛擬磁盤加密卷信息頭中的管理策略信息進(jìn)一步包含移動存儲設(shè)備的設(shè)備編號和單位部門,移動存儲設(shè)備初始化后只有在指定的計(jì)算機(jī)上才能識別成功,掛載虛擬磁盤加密卷時(shí)還包括檢查移動存儲設(shè)備可用性,通過認(rèn)證掛載后可以像使用一個(gè)普通分區(qū)那樣使用加密的虛擬磁盤加密卷,通過虛擬磁盤加密卷信息頭中的設(shè)備編號和單位部門結(jié)合指定計(jì)算機(jī)上的控制策略,能夠?qū)崿F(xiàn)例如對于不同的單位有不同移動存儲設(shè)備的配置策略,能夠有效的防止移動存儲設(shè)備在不同單位、不同機(jī)器和系統(tǒng)上的使用,最大程度的消除了管理空白區(qū),為信息的保護(hù)提供的最大的保障。
圖1為本發(fā)明實(shí)施例的方法流程示意圖。圖2為本發(fā)明實(shí)施例中創(chuàng)建的加密U盤的結(jié)構(gòu)示意圖。圖3為本發(fā)明實(shí)施例中指定的計(jì)算機(jī)用于處理加密U盤的相關(guān)模塊的框架結(jié)構(gòu)示意圖。圖4為本發(fā)明實(shí)施例中指定的計(jì)算機(jī)對插入U(xiǎn)盤的處理流程示意圖。
具體實(shí)施例方式下文以U盤作為移動存儲設(shè)備為例,對本發(fā)明技術(shù)方案的具體實(shí)施方式
進(jìn)行說明。如圖1所示,本實(shí)施例基于虛擬磁盤的數(shù)據(jù)加密移動存儲管理方法的實(shí)施步驟如下
I)在普通U盤的頭部寫入加密卷標(biāo)識并創(chuàng)建虛擬磁盤加密卷得到加密U盤,將虛擬磁盤加密卷的頭部設(shè)置根據(jù)用戶輸入的掛載口令進(jìn)行加密的虛擬磁盤加密卷信息頭,虛擬磁盤加密卷信息頭包含數(shù)據(jù)加解密密鑰、管理策略信息和虛擬磁盤文件系統(tǒng)信息;2)當(dāng)U盤插入指定的計(jì)算機(jī)時(shí),檢查U盤的加密卷標(biāo)識是否正確,如果加密卷標(biāo)識不正確則判定插入普通U盤;否則判定插入加密U盤并跳轉(zhuǎn)執(zhí)行下一步;
3)獲取用戶輸入的掛載口令,根據(jù)掛載口令解密加密U盤中的虛擬磁盤加密卷信息頭,并對解密后的虛擬磁盤加密卷信息頭進(jìn)行校驗(yàn),如果校驗(yàn)通過則跳轉(zhuǎn)執(zhí)行下一步,否則返回執(zhí)行步驟3)或者禁止掛載虛擬磁盤加密卷并退出;
4)掛載虛擬磁盤加密卷,根據(jù)解密虛擬磁盤加密卷信息頭得到的數(shù)據(jù)加解密密鑰配置主次密鑰,調(diào)用指定的計(jì)算機(jī)中帶有加解密模塊的虛擬磁盤驅(qū)動程序根據(jù)用戶的指令對虛擬磁盤加密卷進(jìn)行讀寫,加解密模塊使用主次密鑰對讀寫虛擬磁盤加密卷的內(nèi)容進(jìn)行自動實(shí)時(shí)加解密,最終在卸載加密U盤時(shí)自動卸載虛擬磁盤加密卷。本實(shí)施例在初始化U盤時(shí)在U盤的頭部寫入加密卷標(biāo)識,寫入加密卷標(biāo)識的加密U盤在非指定的計(jì)算機(jī)而言是無法讀取的,從而能夠?qū)崿F(xiàn)對加密U盤的安全綁定,使其只能適用于指定的計(jì)算機(jī)中,從而能夠簡單有效地實(shí)現(xiàn)對加密U盤數(shù)據(jù)的保密;本實(shí)施例創(chuàng)建的虛擬磁盤加密卷被掛載后被當(dāng)作系統(tǒng)中一個(gè)普通的文件,虛擬磁盤驅(qū)動程序?qū)⒃瓉鞩/o請求包IRP (I/o Request Package)對實(shí)際磁盤的操作轉(zhuǎn)化為對文件的操作,這個(gè)文件稱為卷文件,最終被虛擬成一個(gè)虛擬磁盤加密卷,綜合運(yùn)用身份認(rèn)證和數(shù)據(jù)加密等安全機(jī)制,解決了單獨(dú)在主機(jī)端或設(shè)備端采取安全措施存在的安全隱患問題,更好地保護(hù)了存儲信息的安全,具有存儲信息安全可靠、安全策略配置靈活、U盤管理簡單方便、數(shù)據(jù)加解密處理透明聞效的優(yōu)點(diǎn)。步驟I)寫入加密卷標(biāo)識以及創(chuàng)建虛擬磁盤加密卷時(shí),字符串標(biāo)識存儲在加密U盤的前16字節(jié)空間內(nèi);虛擬磁盤加密卷信息頭寫入虛擬磁盤加密卷頭部的前1008字節(jié)空間內(nèi)。如表I所示其中第O 511個(gè)共512個(gè)字節(jié)空間存放管理策略信息,管理策略信息包含單位部門、設(shè)備編號和標(biāo)記位,本實(shí)施例中管理策略信息還包括用戶名、注冊時(shí)間等以便于對加密U盤的管理和控制,且管理策略信息以字符串列表的形式存儲;第512 639個(gè)共128個(gè)字節(jié)空間存放虛擬磁盤文件系統(tǒng)信息;第640 703個(gè)共64個(gè)字節(jié)空間存放用于結(jié)合用戶輸入的掛載口令創(chuàng)建數(shù) 據(jù)加解密密鑰的隨機(jī)數(shù)鹽值;第704 831個(gè)共128個(gè)字節(jié)空間存放數(shù)據(jù)加解密密鑰;第832 835個(gè)共4個(gè)字節(jié)空間存放完整性校驗(yàn)值;第836 1007個(gè)共188個(gè)字節(jié)空間為保留區(qū)。表1:虛擬磁盤加密卷信息頭的字節(jié)空間分布表。
權(quán)利要求
1.一種基于虛擬磁盤的數(shù)據(jù)加密移動存儲管理方法,其特征在于實(shí)施步驟如下 1)在普通移動存儲設(shè)備的頭部寫入加密卷標(biāo)識并創(chuàng)建虛擬磁盤加密卷得到加密移動存儲設(shè)備,將所述虛擬磁盤加密卷的頭部設(shè)置根據(jù)用戶輸入的掛載口令進(jìn)行加密的虛擬磁盤加密卷信息頭,所述虛擬磁盤加密卷信息頭包含數(shù)據(jù)加解密密鑰、管理策略信息和虛擬磁盤文件系統(tǒng)信息; 2)當(dāng)移動存儲設(shè)備插入指定的計(jì)算機(jī)時(shí),檢查移動存儲設(shè)備的加密卷標(biāo)識是否正確,如果加密卷標(biāo)識不正確則判定插入普通移動存儲設(shè)備;否則判定插入加密移動存儲設(shè)備并跳轉(zhuǎn)執(zhí)行下一步; 3)獲取用戶輸入的掛載口令,根據(jù)所述掛載口令解密加密移動存儲設(shè)備中的虛擬磁盤加密卷信息頭,并對解密后的虛擬磁盤加密卷信息頭進(jìn)行校驗(yàn),如果校驗(yàn)通過則跳轉(zhuǎn)執(zhí)行下一步,否則返回執(zhí)行步驟3)或者禁止掛載虛擬磁盤加密卷并退出; 4)掛載虛擬磁盤加密卷,根據(jù)解密虛擬磁盤加密卷信息頭得到的數(shù)據(jù)加解密密鑰配置主次密鑰,調(diào)用所述指定的計(jì)算機(jī)中帶有加解密模塊的虛擬磁盤驅(qū)動程序根據(jù)用戶的指令對虛擬磁盤加密卷進(jìn)行讀寫,所述加解密模塊使用主次密鑰對讀寫虛擬磁盤加密卷的內(nèi)容進(jìn)行自動實(shí)時(shí)加解密,最終在卸載加密移動存儲設(shè)備時(shí)自動卸載所述虛擬磁盤加密卷。
2.根據(jù)權(quán)利要求1所述的基于虛擬磁盤的數(shù)據(jù)加密移動存儲管理方法,其特征在于,所述虛擬磁盤加密卷信息頭還包含完整性校驗(yàn)值,所述管理策略信息中包括用于標(biāo)識區(qū)別虛擬磁盤加密卷的標(biāo)識位;所述步驟3)對解密后的虛擬磁盤加密卷信息頭進(jìn)行校驗(yàn)的詳細(xì)步驟如下 3.1)檢測解密虛擬磁盤加密卷信息頭后的標(biāo)識位是否為指定的字符串,如果標(biāo)識位為指定的字符串,則判定用戶輸入的掛載口令正確并跳轉(zhuǎn)執(zhí)行步驟3. 2);否則判定用戶輸入的掛載口令錯(cuò)誤,記錄口令錯(cuò)誤的次數(shù),當(dāng)所述口令錯(cuò)誤的次數(shù)小于預(yù)設(shè)值時(shí)返回執(zhí)行步驟3),當(dāng)所述口令錯(cuò)誤的次數(shù)大于或等于預(yù)設(shè)值時(shí)禁止掛載虛擬磁盤加密卷并退出; 3.2)根據(jù)解密虛擬磁盤加密卷信息頭得到的管理策略信息、虛擬磁盤文件系統(tǒng)信息、數(shù)據(jù)加解密密鑰計(jì)算完整性校驗(yàn)值,將計(jì)算得到的完整性校驗(yàn)值和解密虛擬磁盤加密卷信息頭得到的完整性校驗(yàn)值進(jìn)行對比,如果兩者相同則判定完整性校驗(yàn)通過并跳轉(zhuǎn)執(zhí)行步驟4);否則判定完整性校驗(yàn)不通過,禁止掛載虛擬磁盤加密卷并退出。
3.根據(jù)權(quán)利要求2所述的基于虛擬磁盤的數(shù)據(jù)加密移動存儲管理方法,其特征在于,所述管理策略信息還包含加密移動存儲設(shè)備的設(shè)備編號和單位部門;步驟4)中掛載虛擬磁盤加密卷時(shí)還包括檢查加密移動存儲設(shè)備可用性的步驟,所述檢查加密移動存儲設(shè)備可用性的步驟如下 ` 4.1)獲取所述指定的計(jì)算機(jī)對應(yīng)的單位部門,獲取解密虛擬磁盤加密卷信息頭得到的加密移動存儲設(shè)備的單位部門,比較所述指定的計(jì)算機(jī)對應(yīng)的單位部門和加密移動存儲設(shè)備的單位部門是否相同,如果不相同則判定所述加密移動存儲設(shè)備為外來單位部門的加密移動存儲設(shè)備,跳轉(zhuǎn)執(zhí)行步驟4. 2);否則判定所述加密移動存儲設(shè)備為所述指定的計(jì)算機(jī)本單位部門的加密移動存儲設(shè)備,跳轉(zhuǎn)執(zhí)行步驟4. 3); `4.2)根據(jù)所述指定的計(jì)算機(jī)對應(yīng)的單位部門、加密移動存儲設(shè)備的設(shè)備編號和單位部門從所述指定的計(jì)算機(jī)中讀取加密移動存儲設(shè)備訪問控制權(quán)限,所述加密移動存儲設(shè)備訪問控制權(quán)限包含所述指定的計(jì)算機(jī)對應(yīng)的單位部門是否允許所述加密移動存儲設(shè)備訪問、所述加密移動存儲設(shè)備的單位部門是否允許所述加密移動存儲設(shè)備訪問所述指定的計(jì)算機(jī);如果所述加密移動存儲設(shè)備訪問控制權(quán)限均為允許訪問,則跳轉(zhuǎn)執(zhí)行步驟4. 3);否則禁止掛載虛擬磁盤加密卷; [ 4. 3)獲取解密虛擬磁盤加密卷信息頭得到的加密移動存儲設(shè)備的設(shè)備編號,從所述指定的計(jì)算機(jī)中讀取所述加密移動存儲設(shè)備對應(yīng)的設(shè)備編號是否被鎖定的控制規(guī)則,如果所述加密移動存儲設(shè)備對應(yīng)的設(shè)備編號被鎖定,則禁止掛載虛擬磁盤加密卷,否則掛載虛擬磁盤加密卷。
4.根據(jù)權(quán)利要求3所述的基于虛擬磁盤的數(shù)據(jù)加密移動存儲管理方法,其特征在于所述步驟I)寫入加密卷標(biāo)識以及創(chuàng)建虛擬磁盤加密卷時(shí),所述字符串標(biāo)識存儲在加密移動存儲設(shè)備的前16字節(jié)空間內(nèi);所述虛擬磁盤加密卷信息頭寫入虛擬磁盤加密卷頭部的前1008字節(jié)空間內(nèi),其中第O 511個(gè)共512個(gè)字節(jié)空間存放管理策略信息,所述管理策略信息包含單位部門、設(shè)備編號和標(biāo)記位,且所述管理策略信息以字符串列表的形式存儲;第512 639個(gè)共128個(gè)字節(jié)空間存放虛擬磁盤文件系統(tǒng)信息;第640 703個(gè)共64個(gè)字節(jié)空間存放用于結(jié)合用戶輸入的掛載口令創(chuàng)建數(shù)據(jù)加解密密鑰的隨機(jī)數(shù)鹽值;第704 831個(gè)共128個(gè)字節(jié)空間存放數(shù)據(jù)加解密密鑰;第832 835個(gè)共4個(gè)字節(jié)空間存放完整性校驗(yàn)值;第836 1007個(gè)共188個(gè)字節(jié)空間為保留區(qū)。
5.根據(jù)權(quán)利要求1 4中任意一項(xiàng)所述的基于虛擬磁盤的數(shù)據(jù)加密移動存儲管理方法,其特征在于所述步驟2)中在插入普通移動存儲設(shè)備后禁止掛載普通移動存儲設(shè)備;或者在插入普通移動存儲設(shè)備后引導(dǎo)用戶指定初始化移動存儲設(shè)備的文件系統(tǒng)類型,并在用戶指定文件系統(tǒng)類型后跳轉(zhuǎn)執(zhí)行步驟I)進(jìn)行初始化移動存儲設(shè)備。
6.根據(jù)權(quán)利要求5所述的基于虛擬磁盤的數(shù)據(jù)加密移動存儲管理方法,其特征在于所述文件系統(tǒng)類型為Ext2文件系統(tǒng)或者Ext3文件系統(tǒng)。
7.根據(jù)權(quán)利要求6所述的基于虛擬磁盤的數(shù)據(jù)加密移動存儲管理方法,其特征在于所述虛擬磁盤驅(qū)動程序的加解密模塊中內(nèi)置的加解密算法包括AES、Serpent、Twofish三種基本算法及其組合算法。
8.根據(jù)權(quán)利要求1 4中任意一項(xiàng)所述的基于虛擬磁盤的數(shù)據(jù)加密移動存儲管理方法,其特征在于所述步驟4)還包括審計(jì)加密移動存儲設(shè)備操作的步驟,所述審計(jì)加密移動存儲設(shè)備操作的步驟具體是指將指定的計(jì)算機(jī)中加密移動存儲設(shè)備的掛載、卸載和對加密移動存儲設(shè)備中虛擬磁盤加密卷中文件、文件夾的讀寫執(zhí)行操作都記錄在本地日志中,所述日志以密文形式記錄,所述日志的內(nèi)容包括時(shí)間、操作時(shí)間、用戶名、日志級別、日志路徑,且所述指定的計(jì)算機(jī)在接入所轄網(wǎng)絡(luò)時(shí)將所述日志同步傳送到所轄網(wǎng)絡(luò)的日志服務(wù)器上。
全文摘要
本發(fā)明公開了一種基于虛擬磁盤的數(shù)據(jù)加密移動存儲管理方法,實(shí)施步驟如下1)在移動存儲設(shè)備的頭部寫入加密卷標(biāo)識,在移動存儲設(shè)備中創(chuàng)建虛擬磁盤加密卷;2)當(dāng)移動存儲設(shè)備插入指定的計(jì)算機(jī)時(shí)檢查加密卷標(biāo)識,如果加密卷標(biāo)識不正確則按普通移動存儲設(shè)備處理,否則跳轉(zhuǎn)執(zhí)行下一步;3)根據(jù)掛載口令校驗(yàn)虛擬磁盤加密卷信息頭,校驗(yàn)通過則執(zhí)行下一步;4)掛載虛擬磁盤加密卷,調(diào)用帶有加解密模塊的虛擬磁盤驅(qū)動程序?qū)μ摂M磁盤加密卷進(jìn)行讀寫,加解密模塊自動實(shí)時(shí)加解密;最終在卸載移動存儲設(shè)備時(shí)自動卸載所述虛擬磁盤加密卷。本發(fā)明具有存儲信息安全可靠、安全策略配置靈活、移動存儲設(shè)備管理簡單方便、數(shù)據(jù)加解密處理透明高效的優(yōu)點(diǎn)。
文檔編號G06F9/455GK103065102SQ201210573220
公開日2013年4月24日 申請日期2012年12月26日 優(yōu)先權(quán)日2012年12月26日
發(fā)明者馬俊, 余杰, 唐曉東, 易曉東, 張衛(wèi)華, 孔金珠, 戴華東, 吳慶波, 彭歡 申請人:中國人民解放軍國防科學(xué)技術(shù)大學(xué)