專利名稱:安全移動存儲系統(tǒng)及其使用方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息設(shè)備技術(shù)領(lǐng)域���,具體說���,涉及一種安全移動存儲系統(tǒng)及 其使用方法。
背景技術(shù):
隨著現(xiàn)代電子信息技術(shù)的日新月益�����,計算機和手機給人們的生活�、工作 帶來極大的方便,功能日益強大的個人電腦和智能手機越來越成為人們生活 中的資料信息中心����,然而�,隨著互聯(lián)網(wǎng)的發(fā)展���,電腦和手機中的漏洞����、病毒��、 黑客以及頻發(fā)的數(shù)據(jù)安全事件��,電腦和手機�,特別是可連接網(wǎng)絡(luò)的設(shè)備,已 經(jīng)不再讓人感到安全和放心了���,個人數(shù)據(jù)存儲的安全性也越來越重要�����,特別 是一些關(guān)系到個人隱私�����、公司機密等重要的資料���,近年來市面雖然出現(xiàn)了帶 加密功能的移動硬盤這樣一類的存儲設(shè)備���,但也存在價格高,攜帶不方便���, 加密設(shè)備本身缺乏人機操作界面的缺點��。
現(xiàn)有的移動硬盤或u盤加密設(shè)備均不具有在手機上的屏幕顯示、輸入密
碼以及對安全盤的設(shè)置功能�����,部分或全部依賴PC機上的軟件來完成加密和
設(shè)置操作��。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種安全移動存儲系統(tǒng)���,能夠攔截所有 訪問安全區(qū)的操作��。
為了解決上述問題�����,本發(fā)明提供了一種安全移動存儲系統(tǒng)��,包括存儲 器�、安全策略設(shè)置模塊、數(shù)據(jù)傳輸驅(qū)動模塊����、安全驗證模塊、文件系統(tǒng)轉(zhuǎn)換 模塊和數(shù)據(jù)加解密模塊�����,其中�����,
安全策略設(shè)置模塊���,用于在所述存儲器中設(shè)定保存加密數(shù)據(jù)的安全區(qū)�,以及針對所述安全區(qū)的訪問策略�,安全區(qū)設(shè)置信息和所述訪問策略保存在所
迷存儲器中;
數(shù)據(jù)傳輸驅(qū)動;f莫塊��,用于獲取訪問所述安全區(qū)的操作�����,當(dāng)有訪問所述安 全區(qū)的操作時�����,將所述操作發(fā)送給所述安全驗證才莫塊;當(dāng)所述操作通過驗證 后����,根據(jù)安全區(qū)設(shè)置信息加載所述文件系統(tǒng)轉(zhuǎn)換模塊,將所述操作發(fā)送給所 迷文件系統(tǒng)轉(zhuǎn)換模塊�����,并將獲取的解密數(shù)據(jù)發(fā)送給計算機接口或者智能手機 的處理器�����;
安全驗證模塊��,用于接收所述數(shù)據(jù)傳輸驅(qū)動模塊發(fā)送來的操作�����,讀取所 述安全策略和安全區(qū)設(shè)置信息�����,根據(jù)所述安全策略對所迷操作進行驗證��,并 將驗證結(jié)果和安全區(qū)設(shè)置信息返回給所述數(shù)據(jù)傳輸驅(qū)動才莫塊�����;
文件系統(tǒng)轉(zhuǎn)換;漠塊��,用于接收所述數(shù)據(jù)傳輸驅(qū)動模塊發(fā)送來的操作�����,并 根據(jù)所述操作讀取所述安全區(qū)的加密數(shù)據(jù)��,將所述加密數(shù)據(jù)發(fā)送給所述數(shù)據(jù) 加解密模塊��,將返回的解密數(shù)據(jù)發(fā)送給所述數(shù)據(jù)傳輸驅(qū)動模塊�;
數(shù)據(jù)加解密模塊,用于對所述加密數(shù)據(jù)進行解密�����,并返回解密數(shù)據(jù)給所 述文件系統(tǒng)轉(zhuǎn)換才莫塊�����。
優(yōu)選的,當(dāng)所述操作為向所述安全區(qū)寫入加密數(shù)據(jù)����,并且所述數(shù)據(jù)傳輸 驅(qū)動模塊接收到所迷計算機接口的輸入數(shù)據(jù)后,如杲所述操作通過驗證���,所 述數(shù)據(jù)傳輸驅(qū)動模塊將所述輸入數(shù)據(jù)和操作一起發(fā)送給所述文件系統(tǒng)轉(zhuǎn)換模 塊�;所述文件系統(tǒng)轉(zhuǎn)換才莫塊將所述輸入數(shù)據(jù)發(fā)送給所述數(shù)據(jù)加解密才莫塊�����,并 將返回的加密數(shù)據(jù)寫入所述安全區(qū)��;所迷數(shù)據(jù)加解密模塊用于對所述輸入數(shù) 據(jù)進行加密���,并返回加密數(shù)據(jù)給所述文件系統(tǒng)轉(zhuǎn)換模塊。
優(yōu)選的���,所述安全策略包括安全密碼��,所述安全IHi^莫塊根據(jù)所述安全 密碼對所述操作進行驗證�。
優(yōu)選的�,進一步包括傳輸監(jiān)控模塊,所述傳輸監(jiān)控才莫塊用于監(jiān)控通用串 行總線USB事件,當(dāng)接收到USB插入事件�����,所述傳輸監(jiān)控模塊用于將所述 USB插入事件發(fā)送到所述安全驗證模塊���,并將所述安全驗證模塊返回的驗證 結(jié)果和安全區(qū)設(shè)置信息發(fā)送給所述數(shù)據(jù)傳輸驅(qū)動模塊����;如果所述傳輸監(jiān)控模 塊接收到USB拔出事件�,通知所述數(shù)據(jù)傳輸驅(qū)動模塊卸載文件系統(tǒng)轉(zhuǎn)換模塊;所述安全驗證模塊用于對所述USB插入事件進行驗證�����,如杲驗證通過�,返回 驗證結(jié)果和安全區(qū)設(shè)置信息給所迷傳輸監(jiān)控模塊。
優(yōu)選的�,當(dāng)加密功能未啟用時,所述數(shù)據(jù)傳輸驅(qū)動才莫塊用于透傳所述USB 事件和操作��。
優(yōu)選的���,所述文件系統(tǒng)轉(zhuǎn)換沖莫塊用于對所述解密數(shù)據(jù)進行格式轉(zhuǎn)換��,將 所述解密數(shù)據(jù)轉(zhuǎn)換為計算機或者智能手機識別的格式����,并將格式轉(zhuǎn)換后的解 密數(shù)據(jù)發(fā)送給所述數(shù)據(jù)傳輸驅(qū)動模塊。
本發(fā)明所解決的另 一個技術(shù)問題是提供一種安全移動存儲系統(tǒng)的使用方 法�,能夠攔截所有訪問安全區(qū)的操作。
為了解決上述問題�����,本發(fā)明提供了一種安全移動存儲系統(tǒng)的使用方法��, 包括
通過安全策略設(shè)置;f莫塊設(shè)定保存加密數(shù)據(jù)的安全區(qū)����,以及針對所述安全 區(qū)的訪問策略;
當(dāng)數(shù)據(jù)傳輸驅(qū)動沖莫塊獲取到訪問安全區(qū)的操作時���,將所述搡作發(fā)送給安 全驗證模塊����;
所述安全驗ii^莫塊接收所述操作����,讀取所述安全策略和安全區(qū)設(shè)置信息, 根據(jù)所述安全策略對所述操作進行驗證�����,并將驗證結(jié)果和安全區(qū)設(shè)置信息返 回給所述數(shù)據(jù)傳輸驅(qū)動模塊�����;
當(dāng)所述操作通過驗證后�����,所述數(shù)據(jù)傳輸驅(qū)動才莫塊根據(jù)所述安全區(qū)設(shè)置信 息加載文件系統(tǒng)轉(zhuǎn)換模塊���,將所述操作發(fā)送給所述文件系統(tǒng)轉(zhuǎn)換模塊�;
所述文件系統(tǒng)轉(zhuǎn)換才莫塊根據(jù)接收到的所述操作讀取所述安全區(qū)的加密數(shù) 據(jù)���,并將所迷加密數(shù)據(jù)發(fā)送給數(shù)據(jù)加解密模塊�;
所述數(shù)據(jù)加解密模塊對所迷加密數(shù)據(jù)進行解密��,并返回解密數(shù)據(jù)給所述 文件系統(tǒng)轉(zhuǎn)換才莫塊���;
所述文件系統(tǒng)轉(zhuǎn)換才莫塊通過所述數(shù)據(jù)傳輸驅(qū)動模塊將所述解密數(shù)據(jù)發(fā)送 給計算機接口或者智能手機的處理器�����。
進一步�����,當(dāng)所述操為向所述安全區(qū)的寫入數(shù)據(jù)��,并且所述數(shù)據(jù)傳輸驅(qū)動 模塊接收到所述計算機接口的輸入數(shù)據(jù)后���,如果所述操作通過驗證����,所述數(shù)據(jù)傳輸驅(qū)動模塊將所述輸入數(shù)據(jù)和操作一起發(fā)送給所述文件系統(tǒng)轉(zhuǎn)換模塊�����; 所述文件系統(tǒng)轉(zhuǎn)換模塊將所述輸入數(shù)據(jù)發(fā)送給所述數(shù)據(jù)加解密模塊����,所述數(shù) 據(jù)加解密模塊對所述輸入數(shù)據(jù)進行加密,并返回給所述文件系統(tǒng)轉(zhuǎn)換模塊����; 所述文件系統(tǒng)轉(zhuǎn)換才莫塊將所述加密數(shù)據(jù)寫入所述安全區(qū)。
進一步���,所述文件系統(tǒng)轉(zhuǎn)換才莫塊進一步對所述解密數(shù)據(jù)進行格式轉(zhuǎn)換��, 將所述解密數(shù)據(jù)轉(zhuǎn)換為計算^u或者智能手機識別的格式����,并將格式轉(zhuǎn)換后的 解密數(shù)據(jù)發(fā)送給所述數(shù)據(jù)傳輸驅(qū)動模塊����。
進一步,當(dāng)接收到通用串行總線USB插入事件后����,將所述USB插入事 件發(fā)送到安全驗證模塊;所述安全驗證模塊對所述USB插入事件進行驗證����, 如果驗證通過,返回驗證結(jié)果和安全區(qū)設(shè)置信息到所述數(shù)據(jù)傳輸驅(qū)動模塊�����; 當(dāng)接收到USB拔出事件���,通知所述數(shù)據(jù)傳輸驅(qū)動模塊卸栽文件系統(tǒng)轉(zhuǎn)換模塊���。
技術(shù)效果
本發(fā)明在手機外部存儲技術(shù)的基礎(chǔ)上實現(xiàn)了對數(shù)據(jù)的加密保護����,能夠攔 截所有訪問安全區(qū)的數(shù)據(jù)包�,進一步,可以完全在手機側(cè)實現(xiàn)對安全盤的設(shè) 置及加密功能���。
圖1是本發(fā)明中安全移動存儲系統(tǒng)的應(yīng)用場景示意圖����; 困2是本發(fā)明中安全移動存儲系統(tǒng)的結(jié)構(gòu)示意圖�����; 圖3是本發(fā)明中傳輸監(jiān)控模塊的工作流程圖�; 圖4是本發(fā)明中安全驗證才莫塊的工作流程圖; 圖5是本發(fā)明中數(shù)據(jù)傳輸驅(qū)動模塊的工作流程圖�����; 圖6是本發(fā)明中文件系統(tǒng)轉(zhuǎn)換層模塊的工作流程圖�。
具體實施例方式
本發(fā)明中的安全移動存儲系統(tǒng)能夠應(yīng)用于智能手機����、筆記本和臺式電腦 等設(shè)備��。本發(fā)明可不用在電腦側(cè)安裝軟件就能實現(xiàn)��,即安全移動存儲系統(tǒng)能夠讓電腦直接識別��,當(dāng)然���,也可通過提供PC側(cè)的軟件來進一步增強系統(tǒng)的
人機界面和功能。
下面參照附圖和優(yōu)選實施例對本發(fā)明技術(shù)方案做詳細說明����。
如圖1所示,是本發(fā)明中安全移動存儲系統(tǒng)的應(yīng)用場景示意圖�,安全移 動存儲系統(tǒng)設(shè)置在存儲器與計算機接口之間,安全移動存儲系統(tǒng)可以與存儲
器和計算積4妻口交互數(shù)據(jù)和操作信息�。
現(xiàn)在,智能手機����、筆記本或者臺式電腦等設(shè)備都設(shè)置有計算機接口和存 儲器,通用串行總線(Universal Serial Bus���, USB)接口和無線接口是兩種常 用的計算機接口�。本發(fā)明中,安全移動存儲系統(tǒng)利用上述設(shè)備的文件系統(tǒng)����, 在存儲器中生成一個保密的存儲區(qū)域,需要加密的數(shù)據(jù)通過安全移動存儲系 統(tǒng)在該存儲區(qū)域進行儲存或者讀取���。
以智能手機為例��,安全移動存儲系統(tǒng)是基于現(xiàn)有智能手機的移動存儲基 礎(chǔ)之上的文件加密存儲系統(tǒng)�。隨著智能手機存儲功能的日益強大����,越來越多 的人選擇將智能手機作為存儲資料的載體,利用智能手機現(xiàn)有的文件系統(tǒng)�, 通過 文造智能手機的存儲系統(tǒng),在智能手機中生成一個加密數(shù)據(jù)的存儲區(qū)域 作為安全盤�,讀存儲區(qū)域的位置、空間及訪問的安全策略可以通過智能手機 的軟件界面將設(shè)置參數(shù)保存在存儲器上����。這樣,當(dāng)用戶利用智能手機的計算 機接口儲存/讀取存儲區(qū)域的加密數(shù)據(jù)時,就能在電腦或者智能手機中顯示一 個安全盤���,當(dāng)訪問該安全盤時����,需要先對訪問用戶進行驗證��,比如�,在PC 機或智能手機上提示用戶輸入密碼�,如果驗證成功才允許用戶在該安全盤進 行讀或?qū)懖僮鳎x入或?qū)懭氲募用軘?shù)據(jù)由智能手機上的安全移動存儲系統(tǒng)進 行加密或者解密處理�����,處理后的加密數(shù)據(jù)可存放在智能手機的存儲器上��。用 戶也以直接儲存/讀取智能手機存儲區(qū)域的加密數(shù)據(jù)���,此時��,需要安全移動存 儲系統(tǒng)先對訪問用戶進行身份驗證�����。
如圖2所示�����,是本發(fā)明中安全移動存儲系統(tǒng)的結(jié)構(gòu)示意圖�,移動安全存 儲系統(tǒng)包括安全策略設(shè)置模塊、數(shù)據(jù)傳輸驅(qū)動模塊��、傳輸監(jiān)控模塊�、安全 驗化漠塊、文件系統(tǒng)轉(zhuǎn)換模塊�����、數(shù)據(jù)加解密模塊和安全策略存儲器����。
安全策略設(shè)置模塊,用于設(shè)定保存加密數(shù)據(jù)的安全區(qū)���,以及設(shè)置該存儲 安全區(qū)的訪問策略�����,訪問策略可以存放在一個另外開辟的安全策略存儲器中����。以智能手機為例,訪問策略的內(nèi)容可以包括手機安全盤是開放的還是加密 的��、加密的密碼等內(nèi)容�;安全策略存儲器和安全盤可以設(shè)置在可擦寫內(nèi)存中 或者外存儲卡上。數(shù)據(jù)傳輸驅(qū)動模塊��,用于獲取訪問安全區(qū)的操作��,當(dāng)有訪問安全區(qū)的操 作時�����,激活安全驗證模塊�����;對該操作驗證通過后��,與文件系統(tǒng)轉(zhuǎn)換才莫塊進行 交互��,將針對安全區(qū)的操作發(fā)送給文件系統(tǒng)轉(zhuǎn)換模塊�����,并接收從文件系統(tǒng)轉(zhuǎn) 換模塊返回的解密數(shù)據(jù)���,將解密數(shù)據(jù)發(fā)送給計算機接口或者智能手機的處理 器���;或者,將需要寫入安全區(qū)的輸入數(shù)據(jù)和操作一起發(fā)送給文件系統(tǒng)轉(zhuǎn)換模 塊��。無論是通過計算機接口還是通過手機訪問安全區(qū)�,都會去激活安全驗證 模塊。數(shù)據(jù)傳輸驅(qū)動模塊是運行在操作系統(tǒng)的USB驅(qū)動和文件驅(qū)動之上的數(shù) 據(jù)傳輸驅(qū)動����,能夠攔截所有訪問安全區(qū)的數(shù)據(jù)包;當(dāng)用戶通過PC ;t/L或者智 能手機訪問安全區(qū)時����,如果對該操作驗證通過,數(shù)據(jù)傳輸驅(qū)動才莫塊將兩種途 徑獲取的操作和數(shù)據(jù)送到文件系統(tǒng)轉(zhuǎn)換模塊�,并實現(xiàn)與文件系統(tǒng)轉(zhuǎn)換模塊的 交互。同時��,該數(shù)據(jù)傳輸驅(qū)動模塊還負責(zé)監(jiān)控USB事件(包括插入事件和撥 出事件)���,如果接收到USB事件��,通知傳輸監(jiān)控模塊進行相應(yīng)的處理�。在加 密功能未啟用時,該數(shù)據(jù)傳輸驅(qū)動模塊僅^si^到透傳USB包和文件訪問的功 能���;在加密功能啟用時�,會攔截所有對安全區(qū)訪問的文件操作���。傳輸監(jiān)控模塊����,負責(zé)處理USB接口的插入或撥出事件���;當(dāng)有USB插入 事件時��,會調(diào)用安全驗證模塊對訪問進行驗證�����,并返回驗證結(jié)果和安全區(qū)設(shè) 置信息給數(shù)據(jù)傳輸驅(qū)動模塊,以加載文件系統(tǒng)轉(zhuǎn)換模塊�����;如果有USB撥出事 件時,文件系統(tǒng)轉(zhuǎn)換模塊會被卸載����。安全驗證模塊,被激活后��,讀取安全策略����,根據(jù)安全策略對訪問安全區(qū) 的操作進行驗證,并將驗證結(jié)果和安全區(qū)設(shè)置信息返回給數(shù)據(jù)傳輸驅(qū)動模塊�, 驗證內(nèi)容包括用戶輸入密碼的匹配等。在安全驗證通過的情況下�����,安全驗證 模塊可以將安全區(qū)設(shè)置信息直接發(fā)送給數(shù)據(jù)傳輸驅(qū)動模塊�����。文件系統(tǒng)轉(zhuǎn)換模塊,接收數(shù)據(jù)傳輸驅(qū)動模塊發(fā)送來的操作���,將操作轉(zhuǎn)換 成對安全區(qū)的操作,將解密后的數(shù)據(jù)轉(zhuǎn)換為一個可供PC機或者手機訪問的 文件格式并返回給數(shù)據(jù)傳輸驅(qū)動模塊���,或者���,將需要寫入安全區(qū)的輸入數(shù)據(jù) 送到數(shù)據(jù)加解密模塊進行加密��,將返回的加密數(shù)據(jù)寫入安全區(qū)。加密數(shù)據(jù)既可以是存儲在智能手機內(nèi)存的一段保留的地址區(qū)��,也可以以文件的形式存》文在智能手機的可插撥儲卡上;文件系統(tǒng)轉(zhuǎn)換4莫塊將上述內(nèi)存或文件中的加密 數(shù)據(jù)轉(zhuǎn)換為 一個可訪問的文件系統(tǒng)�����,比如FAT32���。數(shù)據(jù)加解密模塊�,用于完成對傳輸驅(qū)動輸入的數(shù)據(jù)進行加密��,并將加密 數(shù)據(jù)返回給文件系統(tǒng)轉(zhuǎn)換模塊����;或者,用于對加密數(shù)據(jù)進行解密�,并將解密 數(shù)據(jù)返回給文件系統(tǒng)轉(zhuǎn)換模塊,加解密轉(zhuǎn)換可以選擇對稱或非對稱的加密算 法���。下面以安全移動存儲系統(tǒng)應(yīng)用在智能手機為例�����,對安全移動存儲系統(tǒng)的 1吏用方法做詳細說明。1�、 首先,通過安全策略設(shè)置才莫塊設(shè)置安全區(qū)的空間大小���、存放位置��、驗 證密碼,并將設(shè)置信息保存在手機的存儲器上�,根據(jù)設(shè)置的安全區(qū)對存儲器 進行初始化,保留存儲器的一段空間或產(chǎn)生一個文件用于存放加密數(shù)據(jù)�����。2���、 傳輸監(jiān)控模塊負責(zé)檢測數(shù)據(jù)傳輸驅(qū)動模塊報告上來的USB接口事件�����, 如果有訪問安全區(qū)的操作,則通知安全驗證模塊。如圖3所示���,是本發(fā)明中傳輸監(jiān)控;漢塊的工作流程圖,下面對傳輸監(jiān)控 模塊的工作過程做詳細說明。(1) 監(jiān)聽數(shù)據(jù)傳輸驅(qū)動模塊的USB事件��。(2) 如果傳輸監(jiān)控模塊接收到數(shù)據(jù)傳輸驅(qū)動模塊的USB事件��,進一步 判斷USB事件的類型。如果是USB撥出事件�,傳輸監(jiān)控模塊直接通知數(shù)據(jù)傳輸驅(qū)動模塊卸載其 它的模塊鏈��;如果是USB插入事件�,則加載安全驗證模塊,將USB撥出事 件發(fā)送給安全驗證模塊�����。(3 )根據(jù)安全驗必漢塊返回的驗證結(jié)果,給數(shù)據(jù)傳輸驅(qū)動模塊返回不同 的操作命令��。如果操作命令是驗證成功,則數(shù)據(jù)傳輸驅(qū)動模塊初始化文件系 統(tǒng)轉(zhuǎn)換模塊���,數(shù)據(jù)傳輸驅(qū)動模塊將安全區(qū)設(shè)置信息傳給文件系統(tǒng)轉(zhuǎn)換模塊����; 如果操作命令是驗證失敗,則通知數(shù)據(jù)傳輸驅(qū)動模塊�,讓數(shù)據(jù)傳輸驅(qū)動模塊 直接透傳所有USB數(shù)據(jù)包。當(dāng)驗證失敗時,由于文件系統(tǒng)轉(zhuǎn)換模塊沒有加載安全設(shè)置區(qū)信息�,此時用戶無法訪問安全區(qū)。3�、 安全驗證模塊根據(jù)安全策略對訪問安全區(qū)的操作進行驗證��,-瞼證內(nèi)容 包括用戶�����、輸入密碼的匹配等。如圖4所示��,是本發(fā)明中安全驗證模塊的工作流程圖����,下面對安全驗證 模塊的驗證訪問安全區(qū)操作的過程做詳細說明�。安全驗證模塊被調(diào)用��,如果訪問安全區(qū)需要密碼,會在智能手機或PC 上提示用戶輸入密碼��,并對密碼進行驗證,如果驗證通過則返回安全區(qū)設(shè)置 信息給傳輸監(jiān)控模塊�;如果驗證失敗則通知數(shù)據(jù)傳輸驅(qū)動模塊不要加載文件 系統(tǒng)轉(zhuǎn)換模塊��,也就是說只有驗證通過的情況下文件系統(tǒng)轉(zhuǎn)換模塊才會^皮加 載��。如果用戶是通過智能手機直接訪問安全區(qū)也會激活安全驗證才莫塊。4�、 數(shù)據(jù)傳輸驅(qū)動模塊運行在操作系統(tǒng)的USB驅(qū)動和文件驅(qū)動之上,當(dāng) 有訪問安全區(qū)的操作時,需要將該操作送到安全驗證模塊進行驗證�����,如果驗 證通過��,則數(shù)據(jù)傳輸驅(qū)動模塊按照安全區(qū)設(shè)置信息加載文件系統(tǒng)轉(zhuǎn)換模塊����, 實現(xiàn)數(shù)據(jù)傳輸驅(qū)動才莫塊與文件系統(tǒng)轉(zhuǎn)換才莫塊的數(shù)據(jù)交互���。當(dāng)數(shù)據(jù)傳輸驅(qū)動模塊從USB驅(qū)動上獲取到訪問安全區(qū)的USB包(包含 有USB事件)時����,通知傳輸監(jiān)控模塊和安全驗證模塊進行相應(yīng)的處理;當(dāng)數(shù) 據(jù)傳輸驅(qū)動模塊從智能手機自身的文件驅(qū)動上截獲訪問安全區(qū)的操作時�����,通 知安全驗證才莫塊對該操作進行驗證����,如果驗證通過�����,將上述兩種情況下獲取 的操作發(fā)送給文件系統(tǒng)轉(zhuǎn)換模塊���,實現(xiàn)對安全區(qū)的訪問����。當(dāng)USB包中包含有 USB數(shù)據(jù)時��,將文件訪問命令和USB數(shù)據(jù)一起發(fā)送給文件系統(tǒng)轉(zhuǎn)換模塊����, USB數(shù)據(jù)經(jīng)文件系統(tǒng)轉(zhuǎn)換模塊格式轉(zhuǎn)換后被保存到安全區(qū)���。在加密功能未啟用時�,該數(shù)據(jù)傳輸驅(qū)動才莫塊透傳USB事件和文件訪問命令����。5���、 文件系統(tǒng)轉(zhuǎn)換模塊將讀寫操作(文件訪問命令)轉(zhuǎn)換成對安全區(qū)的讀 寫操作;如果是讀操作��,從安全區(qū)讀出需要的加密數(shù)據(jù),并通過數(shù)據(jù)解密模 塊進行解密���,將解密后的數(shù)據(jù)流傳給數(shù)據(jù)傳輸驅(qū)動模塊;如杲是寫操作����,將 數(shù)據(jù)傳輸驅(qū)動模塊需要寫入的數(shù)據(jù)流(即輸入數(shù)據(jù))通過數(shù)據(jù)加密^莫塊進行加密����,并將加密的數(shù)據(jù)流寫M。密區(qū)���。讀寫格式轉(zhuǎn)換模塊主要起到將存放在安全區(qū)中的加密數(shù)據(jù)虛擬成可供PC機或手機文件系統(tǒng)訪問的作用。比如PC機上采用的文件系統(tǒng)是FAT32���, 在PC上虛擬出來的安全邏輯驅(qū)動器號是E�����,數(shù)據(jù)傳輸驅(qū)動才莫塊給文件系統(tǒng)轉(zhuǎn) 換;漠塊的訪問地址形式會為地址A (驅(qū)動器E的磁頭號+柱面號+扇區(qū)號)�, 由文件系統(tǒng)轉(zhuǎn)換層進一步映射為對手機文件系統(tǒng)中的地址B (文件路徑+偏移 地址)的訪問形式,具體的映射細節(jié)類似但不限于這種����。
權(quán)利要求
1���、一種安全移動存儲系統(tǒng)���,包括存儲器,其特征在于�,進一步包括安全策略設(shè)置模塊、數(shù)據(jù)傳輸驅(qū)動模塊��、安全驗證模塊�����、文件系統(tǒng)轉(zhuǎn)換模塊和數(shù)據(jù)加解密模塊,其中�����,安全策略設(shè)置模塊�,用于在所述存儲器中設(shè)定保存加密數(shù)據(jù)的安全區(qū),以及針對所述安全區(qū)的訪問策略�����,安全區(qū)設(shè)置信息和所述訪問策略保存在所述存儲器中��;數(shù)據(jù)傳輸驅(qū)動模塊�����,用于獲取訪問所述安全區(qū)的操作��,當(dāng)有訪問所述安全區(qū)的操作時����,將所述操作發(fā)送給所述安全驗證模塊���;當(dāng)所述操作通過驗證后�����,根據(jù)安全區(qū)設(shè)置信息加載所述文件系統(tǒng)轉(zhuǎn)換模塊�,將所述操作發(fā)送給所述文件系統(tǒng)轉(zhuǎn)換模塊��,并將獲取的解密數(shù)據(jù)發(fā)送給計算機接口或者智能手機的處理器��;安全驗證模塊,用于接收所述數(shù)據(jù)傳輸驅(qū)動模塊發(fā)送來的操作����,讀取所述安全策略和安全區(qū)設(shè)置信息����,根據(jù)所述安全策略對所述操作進行驗證���,并將驗證結(jié)果和安全區(qū)設(shè)置信息返回給所述數(shù)據(jù)傳輸驅(qū)動模塊����;文件系統(tǒng)轉(zhuǎn)換模塊,用于接收所述數(shù)據(jù)傳輸驅(qū)動模塊發(fā)送來的操作���,并根據(jù)所述操作讀取所述安全區(qū)的加密數(shù)據(jù)����,將所述加密數(shù)據(jù)發(fā)送給所述數(shù)據(jù)加解密模塊,將返回的解密數(shù)據(jù)發(fā)送給所述數(shù)據(jù)傳輸驅(qū)動模塊���;數(shù)據(jù)加解密模塊�����,用于對所述加密數(shù)據(jù)進行解密����,并返回解密數(shù)據(jù)給所述文件系統(tǒng)轉(zhuǎn)換模塊��。
2���、 如權(quán)利要求l所述的安全移動存儲系統(tǒng)�,其特征在于,當(dāng)所述操作為 向所述安全區(qū)寫入加密數(shù)據(jù)�����,并且所述數(shù)據(jù)傳輸驅(qū)動模塊接收到所述計算機 接口的輸入數(shù)據(jù)后��,如果所述操作通過^S正,所述數(shù)據(jù)傳輸驅(qū)動模塊將所述 輸入數(shù)據(jù)和操作一起發(fā)送給所述文件系統(tǒng)轉(zhuǎn)換才莫塊�;所述文件系統(tǒng)轉(zhuǎn)換才莫塊 將所述輸入數(shù)據(jù)發(fā)送給所述數(shù)據(jù)加解密模塊,并將返回的加密數(shù)據(jù)寫入所述 安全區(qū)��;所述數(shù)據(jù)加解密模塊用于對所述輸入數(shù)據(jù)進行加密,并返回加密數(shù) 據(jù)給所述文件系統(tǒng)轉(zhuǎn)換模塊�。
3、 如權(quán)利要求1所述的安全移動存儲系統(tǒng)����,其特征在于,所述安全策略 包括安全密碼���,所述安全驗ii^莫塊根據(jù)所述安全密碼對所述操作進行驗證��。
4����、 如權(quán)利要求1所述的安全移動存儲系統(tǒng)���,其特征在于���,進一步包括傳 輸監(jiān)控模塊,所述傳輸監(jiān)控模塊用于監(jiān)控通用串行總線USB事件�����,當(dāng)接收到 USB插入事件,所述傳輸監(jiān)控模塊用于將所述USB插入事件發(fā)送到所述安全 驗證模塊����,并將所述安全驗證模塊返回的驗證結(jié)果和安全區(qū)設(shè)置信息發(fā)送給 所述數(shù)據(jù)傳輸驅(qū)動模塊����;如果所述傳輸監(jiān)控模塊接收到USB拔出事件,通知 所述數(shù)據(jù)傳輸驅(qū)動模塊卸載文件系統(tǒng)轉(zhuǎn)換沖莫塊�;所述安全驗iJ^漠塊用于對所 述USB插入事件進行驗證,如果驗證通過��,返回驗證結(jié)果和安全區(qū)i殳置信息 給所述傳輸監(jiān)控模塊���。
5��、 如權(quán)利要求l所述的安全移動存儲系統(tǒng)�����,其特征在于�,當(dāng)加密功能未 啟用時��,所述數(shù)據(jù)傳輸驅(qū)動模塊用于透傳所述USB事件和操作��。
6��、 如權(quán)利要求1所述的安全移動存儲系統(tǒng),其特征在于���,所述文件系統(tǒng) 轉(zhuǎn)換才莫塊用于對所述解密數(shù)據(jù)進行格式轉(zhuǎn)換�����,將所述解密數(shù)據(jù)轉(zhuǎn)換為計算機 或者智能手機識別的格式�����,并將格式轉(zhuǎn)換后的解密數(shù)據(jù)發(fā)送給所述數(shù)據(jù)傳輸 驅(qū)動模塊����。
7���、 一種安全移動存儲系統(tǒng)的使用方法�,其特征在于����,包括通過安全策略設(shè)置模塊設(shè)定保存加密數(shù)據(jù)的安全區(qū),以及針對所述安全 區(qū)的訪問策略�;當(dāng)數(shù)據(jù)傳輸驅(qū)動模塊獲取到訪問安全區(qū)的操作時,將所述才喿作發(fā)送給安 全驗證模塊;所述安全驗證模塊接收所述操作����,讀取所述安全策略和安全區(qū)設(shè)置信息, 根據(jù)所述安全策略對所述操作進行驗證��,并將驗證結(jié)果和安全區(qū)設(shè)置信息返 回給所述數(shù)據(jù)傳輸驅(qū)動才莫塊�����;當(dāng)所述操作通過驗證后���,所述數(shù)據(jù)傳輸驅(qū)動模塊根據(jù)所述安全區(qū)設(shè)置信 息加載文件系統(tǒng)轉(zhuǎn)換模塊,將所述操作發(fā)送給所述文件系統(tǒng)轉(zhuǎn)換才莫塊��;所述文件系統(tǒng)轉(zhuǎn)換模塊根據(jù)接收到的所述操作讀取所述安全區(qū)的加密數(shù)據(jù)�,并將所述加密數(shù)據(jù)發(fā)送給數(shù)據(jù)加解密模塊;所述數(shù)據(jù)加解密模塊對所述加密數(shù)據(jù)進行解密���,并返回解密數(shù)據(jù)給所述 文件系統(tǒng)轉(zhuǎn)換模塊�;所述文件系統(tǒng)轉(zhuǎn)換模塊通過所述數(shù)據(jù)傳輸驅(qū)動模塊將所述解密數(shù)據(jù)發(fā)送 給計算機接口或者智能手機的處理器����。
8、 根據(jù)權(quán)利要求7所述的安全移動存儲系統(tǒng)的使用方法,其特征在于���, 當(dāng)所述操為向所述安全區(qū)的寫入數(shù)據(jù)���,并且所述數(shù)據(jù)傳輸驅(qū)動才莫塊4妄收到所 述計算機接口的輸入數(shù)據(jù)后,如果所述操作通過驗證���,所述數(shù)據(jù)傳輸驅(qū)動模 塊將所述輸入數(shù)據(jù)和操作一起發(fā)送給所述文件系統(tǒng)轉(zhuǎn)換模塊�����;所述文件系統(tǒng) 轉(zhuǎn)換才莫塊將所述輸入數(shù)據(jù)發(fā)送給所述數(shù)據(jù)加解密模塊���,所述數(shù)據(jù)加解密模塊 對所述輸入數(shù)據(jù)進行加密,并返回給所述文件系統(tǒng)轉(zhuǎn)換模塊�����;所迷文件系統(tǒng) 轉(zhuǎn)換模塊將所述加密數(shù)據(jù)寫入所述安全區(qū)���。
9�、 根據(jù)權(quán)利要求7所述的安全移動存儲系統(tǒng)的使用方法���,其特征在于�����, 所述文件系統(tǒng)轉(zhuǎn)換;f莫塊進一步對所述解密數(shù)據(jù)進行格式轉(zhuǎn)換����,將所述解密數(shù) 據(jù)轉(zhuǎn)換為計算機或者智能手機識別的格式,并將格式轉(zhuǎn)換后的解密數(shù)據(jù)發(fā)送 給所述數(shù)據(jù)傳輸驅(qū)動模塊�。
10���、 根據(jù)權(quán)利要求7所述的安全移動存儲系統(tǒng)的使用方法��,其特征在于�����, 當(dāng)接收到通用串行總線USB插入事件后��,將所述USB插入事件發(fā)送到安全 驗證模塊�����;所述安全驗"^f莫塊對所述USB插入事件進行驗證��,如果驗證通過�����, 返回驗證結(jié)果和安全區(qū)設(shè)置信息到所述數(shù)據(jù)傳輸驅(qū)動模塊��;當(dāng)接收到USB拔 出事件�����,通知所述數(shù)據(jù)傳輸驅(qū)動模塊卸栽文件系統(tǒng)轉(zhuǎn)換模塊�����。
全文摘要
本發(fā)明公開了一種安全移動存儲系統(tǒng)�,其中,安全策略設(shè)置模塊用于設(shè)定保存加密數(shù)據(jù)的安全區(qū)和訪問策略�;數(shù)據(jù)傳輸驅(qū)動模塊用于獲取訪問安全區(qū)的操作,根據(jù)安全區(qū)設(shè)置信息加載文件系統(tǒng)轉(zhuǎn)換模塊�����,將獲取的解密數(shù)據(jù)發(fā)送給計算機接口或者智能手機的處理器��;安全驗證模塊用于接收操作�,根據(jù)安全策略對操作進行驗證���,并將驗證結(jié)果和安全區(qū)設(shè)置信息返回給數(shù)據(jù)傳輸驅(qū)動模塊;文件系統(tǒng)轉(zhuǎn)換模塊根據(jù)操作將讀取的加密數(shù)據(jù)發(fā)送給數(shù)據(jù)加解密模塊�,將返回的解密數(shù)據(jù)發(fā)送給數(shù)據(jù)傳輸驅(qū)動模塊;數(shù)據(jù)加解密模塊用于對加密數(shù)據(jù)進行加密或者解密���。本發(fā)明還公開了一種安全移動存儲系統(tǒng)的使用方法��,本發(fā)明能夠攔截所有訪問安全區(qū)的操作�。
文檔編號G06F12/14GK101308475SQ200810132428
公開日2008年11月19日 申請日期2008年7月15日 優(yōu)先權(quán)日2008年7月15日
發(fā)明者俊 吳 申請人:中興通訊股份有限公司