專利名稱:基于隱藏加密分區(qū)和pki技術的移動介質防泄密方法
技術領域:
本發(fā)明涉及一種移動介質的防泄密方法,特別涉及一種基于隱藏加密分 區(qū)和PKI技術的移動介質防泄密方法�。
背景技術:
隨著USB技術的成熟和普及���,基于USB技術的設備和應用層出不窮��,如 USB硬盤�����、USB鼠標���、USB打印機等等����。USB存儲設備以其容量大�����,速度快����, 攜帶方便���,使用簡單(windows自帶驅動,無須安裝)等特點受到廣泛青睞�����。
但是����,USB存儲設備帶來方便性的同時��,也對信息的安全性帶來隱患���。 首先��,系統(tǒng)外部人員或者系統(tǒng)內部人員可以輕易地使用USB設備將內部信息 帶出而不留任何痕跡����;其次��,USB存儲設備種類繁多�,包括U盤���、USB硬盤、 MP3��、數碼相機等都具有USB的存儲功能����,都可以接入系統(tǒng)帶走信息,可謂防 不勝防�。
而現有的很多移動介質防泄密系統(tǒng)都是通過重寫USB存儲設備的頭扇區(qū) 來防止內部的USB存儲設備在外部使用���,通過寫入特定的標志在內部對存儲 設備進行控制,存在著很多的安全隱患����。
發(fā)明內容
本發(fā)明所要解決的技術問題在于提供一種基于隱藏加密分區(qū)和PKI技術 的移動介質防泄密方法����,彌補現有技術的不足之處��。
本發(fā)明所要解決的技術問題可以通過以下技術方案來實現
一種基于隱藏加密分區(qū)和PKI技術的移動介質防泄密方法��,其特征在于,
所述移動介質防泄密方法包括如下的步驟-
1) 部署移動設備的注冊系統(tǒng);
2) 通過注冊系統(tǒng)對移動設備的移動介質進行注冊�����;
3)由安裝在客戶機上的控制系統(tǒng)對移動介質進行監(jiān)控及相應的控制��。 所述步驟l)包括以下步驟
(1) 產生注冊系統(tǒng)的公、私鑰對�����,生成證書請求��;
(2) 生成自簽名證書或者到第三方證書認證中心CA簽發(fā)證書�。 所述步驟2)包括以下的步驟
(1) 對注冊系統(tǒng)提出制作申請�;
(2) 注冊系統(tǒng)設定設備標識ID�����、用戶區(qū)數據加密算法�����、用戶區(qū)加密密 鑰的散列算法和用戶區(qū)密鑰加密算法�����;隨機生成用戶區(qū)加密密鑰�,計算用戶 區(qū)加密密鑰的散列值�����,使用用戶認證數據加密用戶區(qū)密鑰�。
(3) 注冊系統(tǒng)格式化移動設備的移動介質�,根據設定信息制作系統(tǒng)區(qū)和 用戶區(qū),使用注冊系統(tǒng)的私鑰對用戶區(qū)空間大小�����、用戶區(qū)數據加密算法、用 戶區(qū)加密密鑰的散列算法和用戶區(qū)加密密鑰的散列值信息進行簽名�����,將設備 標識ID��、用戶區(qū)空間大小、用戶區(qū)數據加密算法�����、用戶區(qū)加密密鑰的散列算 法����、用戶區(qū)加密密鑰的散列值、簽名信息���、用戶區(qū)密鑰加密算法和用戶區(qū)密 鑰被使用者認證數據加密后的密文寫入系統(tǒng)區(qū)�����。
(4) 注冊系統(tǒng)記錄移動介質的信息��,完成注冊����。 所述步驟3)包括以下的步驟
(1) 控制系統(tǒng)發(fā)現移動介質接入;
(2) 讀取系統(tǒng)區(qū)�����,若無系統(tǒng)區(qū)則拒絕該移動介質��;
(3')獲取系統(tǒng)區(qū)內的簽名信息���,并使用信任的注冊系統(tǒng)證書驗證簽名的 正確性��,若不正確則拒絕該移動介質接入;
(4) 讀取設備標識ID����,根據注冊系統(tǒng)發(fā)布的廢除列表檢驗此設備是否 已經被廢除��,若已經被廢除���,則拒絕該移動介質接入;
(5) 讀取用戶區(qū)空間大小與系統(tǒng)區(qū)內記錄的用戶空間進行對比��,若不相 同則拒絕該移動介質接入��;
(6) 提示用戶輸入認證數據��,使用認證數據解密用戶區(qū)加密密鑰密文�, 將解密后的密鑰進行散列運算,與系統(tǒng)區(qū)內的密鑰散列值進行對比���,若不相 同則加載用戶區(qū)失?�?;
(7) 使用解密后的密鑰解密用戶區(qū)并加載����,移動介質接入成功。 本發(fā)明的基于隱藏加密分區(qū)和PKI技術的移動介質防泄密方法具有如下
特點
1�����、 采用加密技術確保了移動介質中數據的安全性;
2����、 采用簽名技術防止移動介質被偽造,保證了移動介質的可信性�����;
3�、 技術與硬件設備無關,可支持任何標準的USB移動設備�����,可用性高�����。 本發(fā)明的基于隱藏加密分區(qū)和PKI技術的移動介質防泄密方法��,將移動
介質格式化為系統(tǒng)區(qū)和用戶區(qū)��,其中系統(tǒng)區(qū)是隱藏的����,存儲了設備信息、用 戶區(qū)的密鑰信息及簽名信息��;用戶區(qū)的數據是加密的�����,保證了移動介質丟失 時不會泄密�����,而在內部網絡中使用移動介質時需對移動介質系統(tǒng)區(qū)中的設備 信息及簽名信息進行驗證���,從而確保了外部的普通移動介質無法在內部使用����, 實現了本發(fā)明的目的�。
以下結合附圖和具體實施方式
來進一步說明本發(fā)明。
圖1是本發(fā)明的移動介質的結構示意圖2是本發(fā)明的移動介質的系統(tǒng)區(qū)的結構示意圖���。
具體實施例方式
一種基于隱藏加密分區(qū)和PKI技術的移動介質防泄密方法��,其應用系統(tǒng)
至少包含兩個部分移動介質的注冊系統(tǒng)和移動介質的控制系統(tǒng)���。
移動介質的注冊系統(tǒng)負責對移動介質的注冊操作����,將移動介質標記為
合法設備��,同時負責移動介質的作廢操作��,發(fā)布設備作廢列表����。
移動介質的控制系統(tǒng)安裝在客戶機上,對移動介質進行監(jiān)控及相應的控制�����。
所述移動介質防泄密方法����,包括如下的步驟
1) 部署移動設備的注冊系統(tǒng);
2) 通過注冊系統(tǒng)對移動設備的移動介質進行注冊�����;
3) 由安裝在客戶機上的控制系統(tǒng)對移動介質進行監(jiān)控及相應的控制�。 所述步驟l)包括以下步驟
(1) 產生注冊系統(tǒng)的公�����、私鑰對���,生成證書請求�;
(2) 生成自簽名證書或者到第三方證書認證+心CA簽發(fā)證書。
所述步驟2)包括以下的步驟
(1) 對注冊系統(tǒng)提出制作申請��;
(2) 注冊系統(tǒng)設定設備標識ID����、用戶區(qū)數據加密算法、用戶區(qū)加密密 鑰的散列算法和用戶區(qū)密鑰加密算法��;隨機生成用戶區(qū)加密密鑰�����,計算用戶 區(qū)加密密鑰的散列值��,使用用戶認證數據加密用戶區(qū)密鑰��。
(3) 注冊系統(tǒng)格式化移動設備的移動介質��,根據設定信息制作系統(tǒng)區(qū)和 用戶區(qū),使用注冊系統(tǒng)的私鑰對用戶區(qū)空間大小�����、用戶區(qū)數據加密算法�、用 戶區(qū)加密密鑰的散列算法和用戶區(qū)加密密鑰的散列值信息進行簽名,將設備 標識ID��、用戶區(qū)空間大小�����、用戶區(qū)數據加密算法�����、用戶區(qū)加密密鑰的散列算 法����、用戶區(qū)加密密鑰的散列值、簽名信息�����、用戶區(qū)密鑰加密算法和用戶區(qū)密 鑰被使用者認證數據加密后的密文寫入系統(tǒng)區(qū)����。
(4) 注冊系統(tǒng)記錄移動介質的信息��,完成注冊�。 所述步驟3)包括以下的步驟
(1) 控制系統(tǒng)發(fā)現移動介質接入�����;
(2) 讀取系統(tǒng)區(qū)���,若無系統(tǒng)區(qū)則拒絕該移動介質;
(3) 獲取系統(tǒng)區(qū)內的簽名信息����,并使用信任的注冊系統(tǒng)證書驗證簽名的 正確性,若不正確則拒絕該移動介質接入���;
(4) 讀取設備標識ID�,根據注冊系統(tǒng)發(fā)布的廢除列表檢驗此設備是否 已經被廢除�,若己經被廢除,則拒絕該移動介質接入�����;
(5) 讀取用戶區(qū)空間大小與系統(tǒng)區(qū)內記錄的用戶空間進行對比,若不相 同則拒絕該移動介質接入����;
(6) 提示用戶輸入認證數據,使用認證數據解密用戶區(qū)加密密鑰密文����, 將解密后的密鑰進行散列運算,與系統(tǒng)區(qū)內的密鑰散列值進行對比����,若不相 同則加載用戶區(qū)失敗�����;
(7) 使用解密后的密鑰解密用戶區(qū)并加載���,移動介質接入成功���。 控制系統(tǒng)負責監(jiān)控移動介質接入,并對其進行了控制���?�?刂葡到y(tǒng)中保存
了信任的注冊系統(tǒng)的證書��,即允許這些注冊系統(tǒng)注冊過的存儲設備接入���。 所述基于隱藏加密分區(qū)和PKI技術的移動介質防泄密方法主要通過將普
通移動介質轉化為安全移動介質�,其方法如下
1���、移動介質的注冊系統(tǒng)具備系統(tǒng)證書及對應的私鑰(系統(tǒng)自生成或者第
三方證書認證中心CA頒發(fā))�����。
2、將移動介質分成兩塊區(qū)域系統(tǒng)區(qū)和用戶區(qū)���。(如圖l所示) 移動介質劃分的區(qū)域必須具備以下條件
1����、 系統(tǒng)區(qū)是一個特殊區(qū)域����,存放移動介質的標識信息等相關系統(tǒng)信息, 可以從真正的存儲區(qū)域劃分�����,也可以直接使用移動介質的特殊扇區(qū),普通用 戶或者系統(tǒng)無法使用該區(qū)域���。
2�����、 用戶區(qū)是一個加密區(qū)域���,必須輸入正確的加密密鑰才能打開此區(qū)域, 是用戶存儲數據的區(qū)域���。
如圖2所示����,移動介質的系統(tǒng)區(qū)主要包含以下內容
1����、 設備信息移動介質的設備標識ID,用戶區(qū)空間大小�,用戶區(qū)數據 加密算法,用戶區(qū)加密密鑰的散列算法,用戶區(qū)加密密鑰的散列值�;
2、 簽名信息移動介質的注冊系統(tǒng)私鑰對以上數據的簽名�;
3、 密鑰信息用戶區(qū)密鑰加密算法�����,用戶區(qū)密鑰被使用者認證數據加密 后的密文�����;使用者認證數據可以是口令���、證書等使用者獨有的數據�。
當移動介質丟失或者由于其他原因需要禁止使用時����,需要進行廢除操作; 因此��,所述移動介質防泄密方法還包括移動介質注冊的廢除���,它包括如下的 步驟
(1) 向注冊系統(tǒng)提出廢除申請���;
(2) 注冊系統(tǒng)將該移動介質標記為廢除狀態(tài)���,并將該移動介質的設備 ID列入廢除列表中進行發(fā)布。
以上顯示和描述了本發(fā)明的基本原理和主要特征及其優(yōu)點����。本行業(yè)的技 術人員應該了解,本發(fā)明不受上述實施例的限制�����,上述實施例和說明書中描 述的只是說明本發(fā)明的原理�,在不脫離本發(fā)明精神和范圍的前提下,本發(fā)明 還會有各種變化和改進�,這些變化和改進都落入要求保護的本發(fā)明范圍內。 本發(fā)明要求保護范圍由所附的權利要求書及其等效物界定��。
權利要求
1����、一種基于隱藏加密分區(qū)和PKI技術的移動介質防泄密方法,其特征在于�,所述移動介質防泄密方法包括如下的步驟1)部署移動設備的注冊系統(tǒng);2)通過注冊系統(tǒng)對移動設備的移動介質進行注冊����;3)由安裝在客戶機上的控制系統(tǒng)對移動介質進行監(jiān)控及相應的控制�。
2���、 如權利要求l所述的方法�����,其特征在于�����,所述步驟l)包括以下步驟:(1) 產生注冊系統(tǒng)的公���、私鑰對,生成證書請求���;(2) 生成自簽名證書或者到第三方證書認證中心CA簽發(fā)證書�。
3��、 如權利要求1所述的方法�,其特征在于����,所述步驟2)包括以下的步驟(1) 對注冊系統(tǒng)提出制作申請����;(2) 注冊系統(tǒng)設定設備標識ID���、用戶區(qū)數據加密算法�����、用戶區(qū)加密密鑰 的散列算法和用戶區(qū)密鑰加密算法���;隨機生成用戶區(qū)加密密鑰,計算用戶區(qū) 加密密鑰的散列值���,使用用戶認證數據加密用戶區(qū)密鑰���。(3) 注冊系統(tǒng)格式化移動設備的移動介質,根據設定信息制作系統(tǒng)區(qū)和 用戶區(qū)��,使用注冊系統(tǒng)的私鑰對用戶區(qū)空間大小�、用戶區(qū)數據加密算法、用 戶區(qū)加密密鑰的散列算法和用戶區(qū)加密密鑰的散列值信息進行簽名���,將設備 標識ID��、用戶區(qū)空間大小��、用戶區(qū)數據加密算法�����、用戶區(qū)加密密鑰的散列算 法����、用戶區(qū)加密密鑰的散列值、簽名信息�����、用戶區(qū)密鑰加密算法和用戶區(qū)密 鑰被使用者認證數據加密后的密文寫入系統(tǒng)區(qū)�。(4) 注冊系統(tǒng)記錄移動介質的信息,完成注冊��。
4���、 如權利要求1所述的方法���,其特征在于��,所述步驟3)包括以下的步驟(1) 控制系統(tǒng)發(fā)現移動介質接入;(2) 讀取系統(tǒng)區(qū)���,若無系統(tǒng)區(qū)則拒絕該移動介質��;(3) 獲取系統(tǒng)區(qū)內的簽名信息����,并使用信任的注冊系統(tǒng)證書驗證簽名的 正確性�����,若不正確則拒絕該移動介質接入��;(4) 讀取設備標識ID���,根據注冊系統(tǒng)發(fā)布的廢除列表檢驗此設備是否已 經被廢除���,若已經被廢除,則拒絕該移動介質接入���;(5) 讀取用戶區(qū)空間大小與系統(tǒng)區(qū)內記錄的用戶空間進行對比���,若不相 同則拒絕該移動介質接入����;(6) 提示用戶輸入認證數據�,使用認證數據解密用戶區(qū)加密密鑰密文, 將解密后的密鑰進行散列運算����,與系統(tǒng)區(qū)內的密鑰散列值進行對比,若不相 同則加載用戶區(qū)失?��?;(7) 使用解密后的密鑰解密用戶區(qū)并加載�����,移動介質接入成功�。
5、 如權利要求1所述的方法��,其特征在于�����,所述移動介質防泄密方法還 包括移動介質注冊的廢除,它包括如下的步驟 (1) 向注冊系統(tǒng)提出廢除申請���;(2) 注冊系統(tǒng)將該移動介質標記為廢除狀態(tài)��,并將該移動介質的設備ID列入廢除列表中進行發(fā)布。
全文摘要
本發(fā)明公開了一種基于隱藏加密分區(qū)和PKI技術的移動介質防泄密方法��,彌補現有技術的不足之處��,包括如下的步驟1)部署移動設備的注冊系統(tǒng)��;2)通過注冊系統(tǒng)對移動設備的移動介質進行注冊�����;3)由安裝在客戶機上的控制系統(tǒng)對移動介質進行監(jiān)控及相應的控制��;將移動介質格式化為系統(tǒng)區(qū)和用戶區(qū)����,其中系統(tǒng)區(qū)是隱藏的,存儲了設備信息��、用戶區(qū)的密鑰信息及簽名信息���;用戶區(qū)的數據是加密的��,保證了移動介質丟失時不會泄密��,而在內部網絡中使用移動介質時需對移動介質系統(tǒng)區(qū)中的設備信息及簽名信息進行驗證����,從而確保了外部的普通移動介質無法在內部使用,實現了本發(fā)明的目的�����。
文檔編號G06F12/14GK101101615SQ20071004473
公開日2008年1月9日 申請日期2007年8月9日 優(yōu)先權日2007年8月9日
發(fā)明者偉 任, 驥 徐, 楊茂江 申請人:上海格爾軟件股份有限公司