技術領域

本發明涉及安全移動存儲技術領域，特別是可以通過逐次身份認證和日志記錄與審計來保障數據安全的移動存儲裝置。

背景技術

近年來，移動存儲設備以其便攜性、高速的存取速度以及大容量等特性深受消費者青睞，越來越多的用戶使用移動存儲設備作為數據轉移、數據臨時存放的主要工具?，F有技術中，任何訪問者無需身份認證都能對移動存儲設備中的數據進行任意訪問，這對一些對數據安全性、機密性要求非常高的單位在數據安全保護方面會帶來非常大的危害。單位的員工很容易通過移動存儲設備將機密數據帶出單位而導致主動數據泄密。另外，由于移動存儲設備經常在不同的場合使用，也容易導致被動式的數據泄密。比如，當移動存儲設備在有互聯網絡環境中的主機設備(如能上網的家用電腦)上使用后可能被感染上木馬，當用戶將感染木馬的移動存儲設備在無互聯網絡環境中的主機設備(如用戶單位的工作用機，該工作用機由于保密原因無法上網)上使用時，木馬可能會自動掃描主機中的敏感文件，并將這些敏感文件悄悄地復制到移動存儲設備中，并隱藏起來。當用戶再次將該移動存儲設備在有互聯網絡環境中的主機設備上使用時，移動存儲設備中的木馬就將隱藏起來的敏感文件悄悄地通過互聯網發送給遠程的某個惡意用戶的電腦中，從而導致數據泄密。

發明內容

為了解決上述現有技術中存在的問題，本發明的目的是提供一種帶身份逐次認證和日志記錄功能的移動存儲裝置。它通過對訪問者進行身份認證，確保只有經過許可的訪問者才能對移動存儲設備中的數據進行訪問，安全性高、自主性強。

為了達到上述發明目的，本發明的技術方案以如下方式實現：

一種帶身份逐次認證和日志記錄功能的移動存儲裝置，它包括移動存儲設備和訪問移動存儲設備的計算機。其結構特點是，所述移動存儲設備包括：

訪問控制單元，由依次相互連接的USB數據傳輸協議、身份認證協議和訪問日志處理程序組成，USB數據傳輸協議控制USB數據的傳輸，身份認證協議對訪問者的身份進行逐次認證，以決定訪問者是否能訪問數據存儲單元中的數據，訪問日志處理程序對訪問者的訪問過程進行日志記錄；

密碼學服務單元，與訪問控制單元相互連接，由隨機數生成器、對稱密碼算法、非對稱密碼算法、摘要算法、簽名和簽名認證算法組成，提供常用密碼學服務；

數據存儲單元，與訪問控制單元相互連接，存儲信息或數據，其中的一部分空間為只讀存儲區；

USB接口，與訪問控制單元中的USB數據傳輸協議相互連接，為移動存儲設備與外部設備通訊的接口。

在上述移動存儲裝置中，所述只讀存儲區保存訪問代理程序、片內操作系統、應用程序和用戶訪問日志，只有特定允許的用戶能對用戶訪問日志進行讀訪問操作。

在上述移動存儲裝置中，所述外部設備采用計算機。

本發明由于采用了上述結構，通過對訪問者進行身份認證，確保只有經過許可的訪問者才能合法對移動存儲設備中的數據進行訪問。一方面增加了存儲設備數據保護的主動性，另一方面本發明移動存儲裝置構造簡單、成本低廉、安全性高。

下面結合附圖和具體實施方式對本發明作進一步說明。

附圖說明

圖1為本發明的結構原理示意圖；

圖2為本發明實施例的結構原理示意圖；

圖3為本發明實施例的工作過程流程圖。

具體實施方式

參看圖1，本發明包括移動存儲設備和訪問移動存儲設備的外部設備計算機。移動存儲設備包括：

訪問控制單元，由依次相互連接的USB數據傳輸協議、身份認證協議和訪問日志處理程序組成，USB數據傳輸協議控制USB數據的傳輸，身份認證協議對訪問者的身份進行逐次認證，以決定訪問者是否能訪問數據存儲單元中的數據，訪問日志處理程序對訪問者的訪問過程進行日志記錄；

密碼學服務單元，與訪問控制單元相互連接，由隨機數生成器、對稱密碼算法、非對稱密碼算法、摘要算法、簽名和簽名認證算法組成，提供常用密碼學服務；

數據存儲單元，與訪問控制單元相互連接，存儲信息或數據，其中的一部分空間為保存訪問代理程序、片內操作系統、應用程序和用戶訪問日志的只讀存儲區，只讀存儲單元只有特定允許的用戶能對用戶訪問日志進行讀訪問操作。；

USB接口，與訪問控制單元中的USB數據傳輸協議相互連接，為移動存儲設備與外部設備通訊的接口。