專利名稱:一種usb可移動(dòng)存儲(chǔ)設(shè)備的文件加解密方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全技術(shù)領(lǐng)域���,特別是涉及一種新型的��、能對(duì)存入或讀出u盤等
USB可移動(dòng)存儲(chǔ)設(shè)備的數(shù)據(jù)進(jìn)行文件級(jí)別加解密的方法�����。
背景技術(shù):
通常在沒有網(wǎng)絡(luò)環(huán)境情況下�����、在網(wǎng)絡(luò)之間物理隔絕的情況下或是傳輸文件較大情 況下���,要進(jìn)行方便的數(shù)據(jù)傳輸不得不借助于USB移動(dòng)存儲(chǔ)設(shè)備。目前市場上所見到的 USB移動(dòng)存儲(chǔ)設(shè)備大多不帶有任何安全功能��,計(jì)算機(jī)的文件數(shù)據(jù)直接經(jīng)過USB端口以 明文的形式存儲(chǔ)到USB移動(dòng)存儲(chǔ)設(shè)備的介質(zhì)中���。在很多場合�����,人們并沒有意識(shí)到存儲(chǔ) 于USB移動(dòng)存儲(chǔ)設(shè)備中數(shù)據(jù)的安全性���,唯一可以做到的就是盡量保證U盤不會(huì)丟失�����。 而一般情況下��,丟失之后的USB移動(dòng)存儲(chǔ)設(shè)備中存儲(chǔ)的數(shù)據(jù)在他人眼中便一覽無余����。 同時(shí)USB移動(dòng)存儲(chǔ)設(shè)備互借�、互拷也會(huì)給攻擊者帶來竊取數(shù)據(jù)的機(jī)會(huì)��,隨著USB的數(shù) 據(jù)傳輸速率的不斷提高���,上G字節(jié)的數(shù)據(jù)瞬間就可以被攻擊者偷偷拷走�����。
現(xiàn)有的安全方案包括了在計(jì)算機(jī)上的安全措施���、USB移動(dòng)存儲(chǔ)設(shè)備上提高安全性 能、獨(dú)立的數(shù)據(jù)加密設(shè)備��。
第一種計(jì)算機(jī)上的安全措施是通過在操作系統(tǒng)內(nèi)核中嵌入對(duì)USB接口轉(zhuǎn)存數(shù)據(jù)的 安全控制來實(shí)現(xiàn)寫到磁盤上的數(shù)據(jù)為密文形式,當(dāng)需要從磁盤上讀出數(shù)據(jù)時(shí)做相應(yīng)的 解密工作��。這種安全機(jī)制相當(dāng)于在磁盤前段加入一塊加解密裝置��,在一定范圍內(nèi)可以 保證數(shù)據(jù)的流通�����,通用性強(qiáng)�����。如果使用硬件電路的方式實(shí)現(xiàn)加解密對(duì)文件讀取速度上 的影響也較小����。但是這種方案需要對(duì)操作系統(tǒng)的內(nèi)核做修改,或者是對(duì)主板的結(jié)構(gòu)進(jìn) 行修改���,工作量大����、標(biāo)準(zhǔn)得不到統(tǒng)一����, 一旦到了大的范圍內(nèi)��,各種操作系統(tǒng)的計(jì)算機(jī) 之間就無法進(jìn)行文件的共享�����,產(chǎn)生了無謂的麻煩����。而目前國內(nèi)使用最多的Windows操 作系統(tǒng)仍然是一個(gè)商業(yè)運(yùn)作的操作系統(tǒng)����,普通用戶無法對(duì)其內(nèi)核進(jìn)行修改,使用該種 方案對(duì)數(shù)據(jù)保護(hù)的用戶只能局限在Linux幾種開放的操作系統(tǒng)下��,故至今未得到廣泛 的應(yīng)用����。而對(duì)主板進(jìn)行修改費(fèi)用高���、難度大����,很難成為普通用戶及小公司的首選���。
于是在這種情況下����,很多渴望數(shù)據(jù)安全的用戶將目光投到了一些加密軟件上,使 用折中的辦法滿足自己的需求���。通過授權(quán)PC機(jī)上的程序�,使其工作在系統(tǒng)層上�,對(duì) 出入U(xiǎn)SB移動(dòng)存儲(chǔ)設(shè)備的數(shù)據(jù)進(jìn)行加解密來提高USB移動(dòng)存儲(chǔ)設(shè)備的安全性能。這種加密方式有很多不同的形式����,不論是系統(tǒng)自身安裝的軟件還是通過移動(dòng)設(shè)備上的 autorun自動(dòng)加載的應(yīng)用程序,都使用了這種方式���。這種加密方式經(jīng)濟(jì)代價(jià)低�、硬件 上無需做變動(dòng)����。但軟件的使用不僅占用系統(tǒng)資源,而且還容易受到木馬����、病毒的威脅�����。 通常來說�����,這種加密方式需要手動(dòng)輸入密碼���,所以長度有限的字符、數(shù)字組合很容易 被后臺(tái)運(yùn)行的木馬劫持���。
另一種方案來自與各大USB移動(dòng)存儲(chǔ)設(shè)備制造廠家���,它們的共同點(diǎn)就是加密模塊 集成在移動(dòng)存儲(chǔ)設(shè)備之上,使其自身帶有保密功能���。但大多數(shù)USB移動(dòng)存儲(chǔ)設(shè)備需要 計(jì)算機(jī)上額外運(yùn)行的軟件支持�����。因?yàn)椴《镜姆簽E,通常這類軟件不是被病毒所侵害便 是被殺毒軟件誤認(rèn)為可疑對(duì)象而隔離。使用起來帶來不必要的麻煩��。另外這些產(chǎn)品將 加密過程轉(zhuǎn)由硬件實(shí)現(xiàn)�,但是具體使用的加密標(biāo)準(zhǔn)卻不允公開,無法對(duì)其展開理論分 析��,安全強(qiáng)度未知���。
最后一種加密方案完全與計(jì)算機(jī)與USB移動(dòng)存儲(chǔ)設(shè)備脫離����,工作時(shí)首先將U盤中 的數(shù)據(jù)全部取出來�,加密之后再寫入U(xiǎn)盤,然后將明文刪除���?�?偟膩碚f這樣的系統(tǒng)有 幾個(gè)缺點(diǎn)��,首先不是實(shí)時(shí)的加解密�����,每次使用U盤的前后都必須使用該設(shè)備然后將其 加解密之后再使用����;其次每次都必須全盤數(shù)據(jù)都來一次加解密,費(fèi)時(shí)且不便���。
發(fā)明內(nèi)容
技術(shù)問題本發(fā)明的目的為了克服上述對(duì)USB移動(dòng)存儲(chǔ)設(shè)備數(shù)據(jù)安全保護(hù)上的缺
陷���,提出一種USB移動(dòng)存儲(chǔ)設(shè)備的文件加解密方法,實(shí)現(xiàn)磁盤文件名及目錄可見而文 件內(nèi)容不可見���,在使用上更加靈活����。本發(fā)明方法運(yùn)行于配備USB主從接口的控制器上���, 上電自啟�,分別對(duì)USB主從接口實(shí)現(xiàn)海量存儲(chǔ)類的USB協(xié)議棧����,并實(shí)現(xiàn)數(shù)據(jù)在主從接 口間的交換。
技術(shù)方案本發(fā)明的USB可移動(dòng)存儲(chǔ)設(shè)備的文件加解密方法利用緩存快速訪問的 特點(diǎn)進(jìn)一步提高計(jì)算機(jī)與磁盤之間數(shù)據(jù)交換速率���。數(shù)據(jù)的加密方式可以根據(jù)硬件的具 體配置而定�,可以選擇硬件電路完成的加密方式��,也可以使用軟件方式實(shí)現(xiàn)��。
本發(fā)明的USB可移動(dòng)存儲(chǔ)設(shè)備的文件加解密方法����,通過主、從USB接口分別連接 于計(jì)算機(jī)和USB存儲(chǔ)設(shè)備����,對(duì)任何一個(gè)USB接口上輸入的USB數(shù)據(jù)流進(jìn)行解析、過濾��, 識(shí)別出FAT文件系統(tǒng)的文件數(shù)據(jù)簇����;同時(shí)通過開辟一塊緩存,采用直接映射的方法與 USB存儲(chǔ)設(shè)備的地址相映射����,暫存最近讀出過和寫入過的數(shù)據(jù);然后對(duì)識(shí)別出的文件 數(shù)據(jù)使用加解密算法��,并替換掉加解密前的數(shù)據(jù)��,最后重新返回到物理層,從另一個(gè) USB接口發(fā)送出去��;密鑰通過預(yù)留的端口從密鑰生成模塊獲得��。
所述的USB數(shù)據(jù)流的解析��、過濾����,是在同一系統(tǒng)中配備一主、 一從兩個(gè)USB接口以及對(duì)應(yīng)的驅(qū)動(dòng)程序�����,對(duì)計(jì)算機(jī)偽裝成普通的"USB存儲(chǔ)設(shè)備"�����,響應(yīng)威有的計(jì)算機(jī)請
求����;對(duì)待加密的usB設(shè)備偽裝成"計(jì)算機(jī)",根據(jù)計(jì)算機(jī)發(fā)來的請求稍;ai改動(dòng)再次轉(zhuǎn)
發(fā)給USB存儲(chǔ)設(shè)備����;該過程分為兩個(gè)階段��,即枚舉階段和數(shù)據(jù)傳輸階段�����;在枚舉階段, 微控制器通過發(fā)送控制請求至USB移動(dòng)存儲(chǔ)設(shè)備�,獲取該設(shè)備的設(shè)備描述、配置描述���、 接口描述���、端點(diǎn)描述、字符串描述以及最大邏輯單元數(shù)����,然后使用從USB移動(dòng)存儲(chǔ)設(shè) 備獲得的上述描述響應(yīng)計(jì)算機(jī)發(fā)起的相同請求;在數(shù)據(jù)傳輸階段��,微控制器通過對(duì)以 Bulk Only傳輸方式傳輸?shù)臄?shù)據(jù)的分析�����,利用CBW和SCSI的規(guī)范格式�����,識(shí)別出主機(jī)對(duì) 存儲(chǔ)設(shè)備的命令,對(duì)其中的ReadlO和WritelO以外的命令采取完全透明過濾的手段���; 對(duì)ReadlO的響應(yīng)先從USB可移動(dòng)存儲(chǔ)設(shè)備獲取計(jì)算機(jī)所請求的數(shù)據(jù)��,然后再轉(zhuǎn)發(fā) 給計(jì)算機(jī)�;對(duì)WritelO的響應(yīng)直接接收計(jì)算機(jī)發(fā)來的數(shù)據(jù)��,然后再存儲(chǔ)到USB存儲(chǔ) 設(shè)備中�。
所述的識(shí)別出FAT文件系統(tǒng)的文件數(shù)據(jù)簇,是根據(jù)寫入存儲(chǔ)器或讀出存儲(chǔ)器數(shù)據(jù) 的特征����,判斷該數(shù)據(jù)在FAT文件系統(tǒng)中是否為文件數(shù)據(jù)簇,要排除的可能性包括主 啟動(dòng)記錄�、DOS啟動(dòng)記錄、文件分配表l����、文件分配表2、根目錄數(shù)據(jù)和子目錄數(shù)據(jù)���, 前5者可以通過數(shù)據(jù)的地址來確定身份���;對(duì)于子目錄數(shù)據(jù)����,由于在DOS文件系統(tǒng)中規(guī) 定子目錄必須以名為"."和".."的文件開頭�,根據(jù)該特征和這兩個(gè)特殊目錄項(xiàng)所 具有的特殊屬性,其身份可以加以確定��。
類似于TCP/IP協(xié)議層�,USB自身也含有類似的協(xié)議�,下層為上層提供服務(wù),邏輯 層之間互相通信��,真正的數(shù)據(jù)流都必須通過物理信道��。圖4描述的是本系統(tǒng)的USB協(xié) 議層次之間的關(guān)系�。系統(tǒng)的工作流程分為兩個(gè)階段枚舉階段和數(shù)據(jù)傳輸階段。在枚 舉階段�,微控制器通過發(fā)送控制請求至USB移動(dòng)存儲(chǔ)設(shè)備,獲取該設(shè)備的設(shè)備描述�、 配置描述、接口描述�、端點(diǎn)描述、字符串描述以及最大邏輯單元數(shù)����,然后使用從USB 移動(dòng)存儲(chǔ)設(shè)備獲得的上述描述響應(yīng)計(jì)算機(jī)發(fā)起的相同請求�。在數(shù)據(jù)傳輸階段����,微控制 器通過對(duì)以Bulk Only傳輸方式傳輸?shù)臄?shù)據(jù)的分析,利用CBW和SCSI的規(guī)范格式�����, 識(shí)別出主機(jī)對(duì)存儲(chǔ)設(shè)備的命令����,對(duì)其中的ReadlO和WritelO以外的命令采取完全透 明過濾的手段。對(duì)ReadlO的響應(yīng)先從USB可移動(dòng)存儲(chǔ)設(shè)備獲取計(jì)算機(jī)所請求的數(shù) 據(jù)���,然后再轉(zhuǎn)發(fā)給計(jì)算機(jī)�����;對(duì)WritelO的響應(yīng)直接接收計(jì)算機(jī)發(fā)來的數(shù)據(jù)���,然后再 存儲(chǔ)到USB存儲(chǔ)設(shè)備中。ReadlO的具體示例過程見圖3。
所述的識(shí)別出數(shù)據(jù)中傳輸?shù)腇AT文件系統(tǒng)的文件數(shù)據(jù)簇��,是根據(jù)寫入存儲(chǔ)器或讀 出存儲(chǔ)器數(shù)據(jù)的特征���,判斷該數(shù)據(jù)在FAT文件系統(tǒng)中是否為文件內(nèi)容�����,要排除的可能 性包括主啟動(dòng)記錄�����、DOS啟動(dòng)記錄�����、文件分配表l、文件分配表2����、跟目錄和子目錄 數(shù)據(jù)。DOS文件件系統(tǒng)有一個(gè)共同的特點(diǎn)子目錄必定以名為"."和".."的文件開始�����。根據(jù)數(shù)據(jù)簇的地址和這個(gè)特點(diǎn)就可將以上非文件內(nèi)容的數(shù)據(jù)排除在外。間接的實(shí) 現(xiàn)對(duì)FAT文件系統(tǒng)中文件數(shù)據(jù)的識(shí)別�����。
所述的開辟一塊緩存���,利用直接映射地址的原理��,使USB存儲(chǔ)設(shè)備能夠映射到開 辟的容量較小的緩存中�����。另外使用地址映射表存放地址映射信肩��、�����。緩存最近讀取和寫 入的數(shù)據(jù)���,減小下次訪問數(shù)據(jù)時(shí)直接向磁盤索取的概率,提高4專輸速度�����。
所述的加解密算法,可以根據(jù)實(shí)際情況選用具體的加密標(biāo)準(zhǔn)(必須是對(duì)稱密碼)���, 加密采用分組模式����,初始化向量可以利用當(dāng)前數(shù)據(jù)的地址生成�����。具體的分組模式也可 以根據(jù)實(shí)際情況選用����。實(shí)現(xiàn)方式根據(jù)對(duì)速度、成本的實(shí)際要求選用軟件方式��、硬件方 式或是軟硬結(jié)合的方式實(shí)現(xiàn)�。
所述的密鑰生成模塊,可以根據(jù)實(shí)際情況選用密鑰的生成方法�,該模塊滿足對(duì)某 具體用戶����,使用本發(fā)明方法向磁盤寫入密文時(shí)使用的密鑰與讀出時(shí)的使用的相同,且 該密鑰只有合法用戶才能獲得�����。
有益效果本發(fā)明一種USB可移動(dòng)存儲(chǔ)設(shè)備的文件加解密方法具有良好的功能特 性通過對(duì)USB物理層數(shù)據(jù)流的分析,實(shí)現(xiàn)了文f^系統(tǒng)層的文4牛級(jí)別的加密����,保證了 磁盤中文件名、目錄以明文形式存在��,文件數(shù)據(jù)是否以明文存在取決于用戶的操作����; 采用緩存最近訪問數(shù)據(jù)的方式減少控制器直接從USB磁盤獲取數(shù)據(jù)的概率,提高整體 的傳輸速率��;采用標(biāo)準(zhǔn)的加密算法和加密模式��,安全性能可以得到保證���。本發(fā)明可以 根據(jù)用戶的需要��,選擇性的使用密鑰的生成方法�����,生成的密鑰通過預(yù)留接口傳輸?shù)奖?控制模塊作為加密算法的密鑰使用���,不同的密鑰對(duì)應(yīng)不同的用戶���,可實(shí)現(xiàn)同一磁盤多 個(gè)不同用戶的加密數(shù)據(jù)共存。此外���,系統(tǒng)與加密對(duì)象���、計(jì)算機(jī)三者的相互獨(dú)立保證了 USB可移動(dòng)存儲(chǔ)設(shè)備使用上的高度靈活性,除了作為加密磁盤〗吏用����,還可作為普通USB 存儲(chǔ)設(shè)備使用,互借互拷都無需擔(dān)心其中的加密數(shù)據(jù)會(huì)被破解����。
圖1是本發(fā)明方法的總體結(jié)構(gòu)示意圖。
圖2是本發(fā)明方法的方框示意圖��。
圖3是本發(fā)明方法中USB數(shù)據(jù)的透明傳輸示意圖��。
圖4是本發(fā)明方法中USB數(shù)據(jù)的傳輸?shù)膮f(xié)議棧示意圖���。
圖5是圖2的一個(gè)具體實(shí)施案例的原理框圖����。
具體實(shí)施例方式
本發(fā)明的USB可移動(dòng)存儲(chǔ)設(shè)備的文件加解密方法通過兩個(gè)USB接口分別連接于計(jì)算機(jī)和USB存儲(chǔ)設(shè)備�����,對(duì)其中一個(gè)USB接口上USB數(shù)據(jù)流的解析���、過濾���,識(shí)別出FAT 文件系統(tǒng)的文件數(shù)據(jù)簇;同時(shí)通過開辟一塊緩存�����,采用直接映射的方法與USB存儲(chǔ)設(shè) 備的地址相映射�����,暫存最近讀出過和寫入過的數(shù)據(jù)����;然后對(duì)識(shí)別出的文件數(shù)據(jù)使用加 解密算法,并替換掉加解密前的數(shù)據(jù)����,最后重新返回到物理層����,/人另一個(gè)USB接口發(fā) 送出去�。密鑰可通過預(yù)留的端口從密鑰生成模塊獲得。 本發(fā)明所包含的具體步驟如下-
1. USB數(shù)據(jù)流的解析
所述的USB數(shù)據(jù)流的解析�,分為枚舉階段和數(shù)據(jù)傳輸階段。在枚舉階段將下行的 USB設(shè)備的設(shè)備描述���、配置描述�、接口描述�����、端點(diǎn)描述以及字符串描述作為對(duì)計(jì)算機(jī) 的各種標(biāo)準(zhǔn)請求的響應(yīng)���。在數(shù)據(jù)傳輸階段�����,海量存儲(chǔ)類規(guī)范了在輸入輸出端點(diǎn)上傳輸 數(shù)據(jù)的格式必須遵循CBW�����、數(shù)據(jù)�����、CSW的"命令"�����、"數(shù)據(jù)"���、"執(zhí)行狀態(tài)"的出現(xiàn)順序, 且CBW���、 CSW有特定的標(biāo)準(zhǔn)����。而CBW數(shù)據(jù)塊中又包含了 SCSI的命令格式�����,在SCSI的 眾多命令只篩選出ReadlO和WritelO兩個(gè)進(jìn)行改動(dòng)����,其它的只做簡單的轉(zhuǎn)發(fā)���。對(duì)與 ReadlO,首先判斷計(jì)算機(jī)請求的數(shù)據(jù)是否在緩存中���,如果在直接)l各計(jì)算機(jī)請求的數(shù)據(jù) 返回����;如果不在�����,向USB可移動(dòng)存儲(chǔ)設(shè)備發(fā)送相同的CBW�,得到的數(shù)據(jù)先放在緩存中 并更新內(nèi)存映射表,然后使用解密算法對(duì)當(dāng)前請求的數(shù)據(jù)解密�����,將解密后的明文返回 給計(jì)算機(jī)�����。對(duì)于WritelO,直接接受計(jì)算機(jī)傳輸過來的數(shù)據(jù)���,將其放在緩存中并更新 內(nèi)存映射表��,然后使用加密算法對(duì)其加密��,并將加密后的密文用同樣的WriterlO命 令發(fā)送到USB移動(dòng)存儲(chǔ)設(shè)備中��。
2. 識(shí)別出FAT文件系統(tǒng)的文件數(shù)據(jù)簇
所述的PAT文件系統(tǒng)的文件數(shù)據(jù)簇���,根據(jù)FAT文件系統(tǒng)標(biāo)準(zhǔn),磁盤的存儲(chǔ)媒介上 的數(shù)據(jù)分為以下幾類主啟動(dòng)記錄�、D0S啟動(dòng)記錄、文件分配表l�、文件分配表2、根 目錄數(shù)據(jù)�����、子目錄數(shù)據(jù)和文件內(nèi)容數(shù)據(jù)����。且文件系統(tǒng)在定位數(shù)據(jù)時(shí)以簇為單位, 一個(gè) 簇的大小為512字節(jié)的整數(shù)倍���。
所述的識(shí)別出數(shù)據(jù)傳輸中FAT文件系統(tǒng)的文f牛數(shù)據(jù)簇��,根據(jù)FAT文件系統(tǒng)標(biāo)準(zhǔn)���, 文件內(nèi)容數(shù)據(jù)的地址一定是位于跟目錄之后的�,根目錄之前的包括根目錄有主啟動(dòng) 記錄�、DOS啟動(dòng)記錄、文件分配表1�、文件分配表2和跟目錄。這些的內(nèi)容的位置都 是可以根據(jù)SCSI中請求的地址而確定的�����。另外�,DOS文件系統(tǒng)中,子目錄的最前的兩 個(gè)文件名必定是"."和".."�����,再加上他們特殊的文件屬性可以斷定該簇為目錄數(shù)據(jù)����。 在排除所有的非文件數(shù)據(jù)的可能性之后,可以斷定該數(shù)據(jù)為文件數(shù)據(jù)����。
3. 開辟緩存
所述的開辟緩存���,利用直接映射地址的原 ,使USB存儲(chǔ)設(shè)備能夠映射到開辟的容量較小的緩存中�����。另外使用地址映射表存放映射信息����。
4. 加解密算法-
所述的加解密算法,可以根據(jù)實(shí)際情況選用具體的加密標(biāo)準(zhǔn)�����,加密采用分組模式�, 初始化向量可以利用當(dāng)前數(shù)據(jù)的地址生成���。具體的分組+莫式也可以根據(jù)實(shí)際情況選 用�����。實(shí)現(xiàn)方式根據(jù)對(duì)速度��、成本的實(shí)際要求選用軟件方式����、硬件方式或是軟硬結(jié)合的 方式實(shí)現(xiàn)。
5. 密鑰生成模塊
所述的密鑰生成模塊���,可以根據(jù)具體情況選用���。通過構(gòu)建合適的通信機(jī)制使加密 模塊可以從密鑰生成模塊獲得密鑰。
本發(fā)明采用了與加密對(duì)象和計(jì)算機(jī)分立的設(shè)備����,在用戶通過計(jì)算機(jī)間接地操作磁 盤時(shí)對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)的加解密,通過預(yù)留接口獲取密鑰�,為普通的USB存儲(chǔ)設(shè)備提供 了數(shù)據(jù)加密功能,且保證該磁盤在無加密設(shè)備時(shí)的正常j吏用�����。
實(shí)例采用的硬件配置ARM芯片AT91SAM9260���,使用頻率210MHz,處理能力230MIPs���, 128M Nand Flash, 64M SDRAM,全速l)SB主端口���,全速USB從端口���, SPI接口���。 USB可移 動(dòng)存儲(chǔ)設(shè)備采用FAT32文件系統(tǒng)。
以下結(jié)合圖5�����,對(duì)本發(fā)明方法各部分的結(jié)構(gòu)和流程進(jìn)《亍詳細(xì)說明���。本發(fā)明方法是 一種USB移動(dòng)存儲(chǔ)設(shè)備的文件加解密方法���。具體實(shí)施步驟如下
1. USB數(shù)據(jù)流的解析�����。采用功能完備的USB海量存鍺類的主機(jī)驅(qū)動(dòng)和USB海量存 儲(chǔ)類的設(shè)備驅(qū)動(dòng)�。首先使用主機(jī)驅(qū)動(dòng)對(duì)USB可移動(dòng)存儲(chǔ)設(shè)備進(jìn)行枚舉,獲得的描述返 回保存為設(shè)備驅(qū)動(dòng)的描述��,然后重寫設(shè)備驅(qū)動(dòng)的ReadlO和WritelO響應(yīng)函數(shù)���。
2. 識(shí)別出數(shù)據(jù)傳輸中的FAT32文件系統(tǒng)的文件內(nèi)容�����。根據(jù)步驟1中ReadlO��、 WritelO獲得的數(shù)據(jù)以及數(shù)據(jù)的地址判斷該數(shù)據(jù)是否為丈i牛內(nèi)容�����。
3. 開辟緩存����。利用系統(tǒng)配備的64M內(nèi)存,分配32M內(nèi)存用作緩存最近在USB上 傳輸?shù)臄?shù)據(jù)�����,另外申明一個(gè)128K的數(shù)組用作地址映射表����。
4. 加解密算法。采用AES-128加密標(biāo)準(zhǔn)�,CBC的分纟且模式。加密的最小單位為一 個(gè)扇區(qū)512字節(jié),采用當(dāng)前扇區(qū)的地址經(jīng)過密鑰加密后的密文作為CBC的初始化向量����。
實(shí)際的應(yīng)用結(jié)果表明�����,采用以上方法能完全達(dá)到本發(fā)明方法的設(shè)計(jì)目標(biāo)�����,完成的 加密設(shè)備具有文件名���、目錄可見,文件內(nèi)容不可見的效果�。可以用來實(shí)現(xiàn)明文�、不同 密鑰產(chǎn)生的密文在同一磁盤中的共存。采用的加解密方法也達(dá)到了預(yù)期的安全強(qiáng)度����。
應(yīng)當(dāng)理解的是�,對(duì)本領(lǐng)域普通技術(shù)人員來說,可以根^^s發(fā)明技術(shù)的較佳實(shí)施例 以及其技術(shù)構(gòu)思做出各種可能的改變或替換�����,而所有這些改變或替換都應(yīng)屬于本發(fā)明 所附權(quán)利要求的保護(hù)范圍。
權(quán)利要求
1.一種USB可移動(dòng)存儲(chǔ)設(shè)備的文件加解密方法�����,其特征在于����,通過主、從USB接口分別連接于計(jì)算機(jī)和USB存儲(chǔ)設(shè)備���,對(duì)任何一個(gè)USB接口上輸入的USB數(shù)據(jù)流進(jìn)行解析���、過濾,識(shí)別出FAT文件系統(tǒng)的文件數(shù)據(jù)簇�;同時(shí)通過開辟一塊緩存,采用直接映射的方法與USB存儲(chǔ)設(shè)備的地址相映射����,暫存最近讀出過和寫入過的數(shù)據(jù);然后對(duì)識(shí)別出的文件數(shù)據(jù)使用加解密算法�,并替換掉加解密前的數(shù)據(jù),最后重新返回到物理層���,從另一個(gè)USB接口發(fā)送出去���;密鑰通過預(yù)留的端口從密鑰生成模塊獲得���。
2. 根據(jù)權(quán)利要求1所述的一種USB可移動(dòng)存儲(chǔ)設(shè)備的文件加解密方法,其 特征是��,所述的USB數(shù)據(jù)流的解析���、過濾����,是在同一系統(tǒng)中配備一主��、 一從兩個(gè) USB接口以及對(duì)應(yīng)的驅(qū)動(dòng)程序���,對(duì)計(jì)算機(jī)偽裝成普通的"USB存儲(chǔ)設(shè)備"��,響應(yīng) 所有的計(jì)算機(jī)請求��;對(duì)待加密的USB設(shè)備偽裝成"計(jì)算機(jī)"���,根據(jù)計(jì)算機(jī)發(fā)來的 請求稍加改動(dòng)再次轉(zhuǎn)發(fā)給USB存儲(chǔ)設(shè)備;該過程分為兩個(gè)階段��,即枚舉階段和數(shù) 據(jù)傳輸階段�����;在枚舉階段��,微控制器通過發(fā)送控制請求至USB移動(dòng)存儲(chǔ)設(shè)備�����,獲 取該設(shè)備的設(shè)備描述���、配置描述��、接口描述��、端點(diǎn)描述��、字符串描述以及最大邏 輯單元數(shù)����,然后使用從USB移動(dòng)存儲(chǔ)設(shè)備獲得的上述描述響應(yīng)計(jì)算機(jī)發(fā)起的相同 請求����;在數(shù)據(jù)傳輸階段�,微控制器通過對(duì)以Bulk Only傳輸方式傳輸?shù)臄?shù)據(jù)的分 析��,利用CBW和SCSI的規(guī)范格式����,識(shí)別出主機(jī)對(duì)存儲(chǔ)設(shè)備的命令,對(duì)其中的 ReadlO和WritelO以外的命令采取完全透明過濾的手段�����;對(duì)ReadlO的響應(yīng)先 從USB可移動(dòng)存儲(chǔ)設(shè)備獲取計(jì)算機(jī)所請求的數(shù)據(jù)��,然后再轉(zhuǎn)發(fā)給計(jì)算機(jī)�;對(duì) WritelO的響應(yīng)直接接收計(jì)算機(jī)發(fā)來的數(shù)據(jù),然后再存儲(chǔ)到USB存儲(chǔ)設(shè)備中�����。
3. 根據(jù)權(quán)利要求1所述的一種USB可移動(dòng)存儲(chǔ)設(shè)備的文件加解密方法�,其 特征是,所述的識(shí)別出FAT文件系統(tǒng)的文件數(shù)據(jù)簇���,是根據(jù)寫入存儲(chǔ)器或讀出存 儲(chǔ)器數(shù)據(jù)的特征��,判斷該數(shù)據(jù)在FAT文件系統(tǒng)中是否為文件數(shù)據(jù)簇�,要排除的可 能性包括主啟動(dòng)記錄、DOS啟動(dòng)記錄�、文件分配表l���、文件分配表2����、根目錄 數(shù)據(jù)和子目錄數(shù)據(jù)�,前5者可以通過數(shù)據(jù)的地址來確定身份;對(duì)于子目錄數(shù)據(jù)��, 由于在DOS文件系統(tǒng)中規(guī)定子目錄必須以名為"."和的文件開頭�,根據(jù)該 特征和這兩個(gè)特殊目錄項(xiàng)所具有的特殊屬性,其身份可以加以確定���。
全文摘要
一種USB可移動(dòng)存儲(chǔ)設(shè)備的文件加解密方法����,通過兩個(gè)USB接口分別連接于計(jì)算機(jī)和USB存儲(chǔ)設(shè)備����,對(duì)其中一個(gè)USB接口上USB數(shù)據(jù)流的解析�����、過濾����,識(shí)別出FAT文件系統(tǒng)的文件數(shù)據(jù)簇��;同時(shí)通過開辟一塊緩存����,采用直接映射的方法與USB存儲(chǔ)設(shè)備的地址相映射,暫存最近讀出過和寫入過的數(shù)據(jù)�;然后對(duì)識(shí)別出的文件數(shù)據(jù)使用加解密算法,并替換掉加解密前的數(shù)據(jù)��,最后重新返回到物理層�����,從另一個(gè)USB接口發(fā)送出去����;密鑰可通過預(yù)留的端口從密鑰生成模塊獲得。
文檔編號(hào)G06F12/14GK101630292SQ200910183069
公開日2010年1月20日 申請日期2009年7月29日 優(yōu)先權(quán)日2009年7月29日
發(fā)明者胡愛群, 范鵬飛, 顧任亮 申請人:東南大學(xué)