技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)保護(hù)技術(shù)，特別涉及一種USB安全存儲(chǔ)方法及系統(tǒng)。

背景技術(shù)

當(dāng)前，U盤等便攜式存儲(chǔ)設(shè)備作為一種靈活、快捷的存儲(chǔ)介質(zhì)在各個(gè)公司、企業(yè)和科研機(jī)構(gòu)中被廣泛使用。這些設(shè)備中存儲(chǔ)的文件數(shù)據(jù)，很多涉及企業(yè)的知識(shí)產(chǎn)權(quán)或商業(yè)技術(shù)秘密等信息。一旦內(nèi)部人員將存有這些信息的設(shè)備帶出并在外部場(chǎng)合使用，就會(huì)造成公司敏感信息的泄露。因此，需要對(duì)USB存儲(chǔ)設(shè)備中的數(shù)據(jù)進(jìn)行嚴(yán)格保護(hù)，對(duì)USB存儲(chǔ)設(shè)備的使用環(huán)境進(jìn)行管控，以防止信息的泄露。

隨著企業(yè)用戶對(duì)數(shù)據(jù)安全性要求的提高和技術(shù)的不斷發(fā)展，為了防止USB存儲(chǔ)設(shè)備離開可控范圍后，數(shù)據(jù)安全受到威脅，出現(xiàn)了幾種針對(duì)U盤內(nèi)數(shù)據(jù)的保護(hù)方法。

1）軟件加密：U盤本身并沒有加密功能，需要在接入主機(jī)上安裝加密軟件，加密軟件利用過濾驅(qū)動(dòng)技術(shù)對(duì)交互數(shù)據(jù)進(jìn)行加密，然后將加密后的數(shù)據(jù)存儲(chǔ)到U盤上。

2）硬件加密U盤：與軟件加密類似，硬件加密U盤中的數(shù)據(jù)同樣是以密文的形式進(jìn)行存儲(chǔ)；但是，與軟件加密不同，加密算法和加密過程固化在U盤的控制邏輯中，對(duì)數(shù)據(jù)的加解密操作在U盤內(nèi)完成，不需要在接入主機(jī)上進(jìn)行額外的加解密操作；加解密過程都需要用戶輸入正確的口令。

3）接入主機(jī)鑒別：通過在主機(jī)內(nèi)添加可信平臺(tái)模塊（TPM，Trust?Platform?Module），在U盤接入主機(jī)和后續(xù)的訪問過程中，利用TPM對(duì)主機(jī)進(jìn)行周期性的驗(yàn)證：TPM利用自身的私鑰對(duì)主機(jī)的BIOS信息、Bootloader及其配置、操作系統(tǒng)信息作簽名，發(fā)送給U盤；U盤利用公鑰驗(yàn)證簽名，并將主機(jī)信息和內(nèi)部預(yù)先存儲(chǔ)的信息比較，驗(yàn)證通過后允許主機(jī)對(duì)U盤內(nèi)文件的讀寫訪問。

4）雙界面加密存儲(chǔ)卡：在加密存儲(chǔ)的基礎(chǔ)上，集成了USB接口和HF射頻接口，其中，HF射頻接口遵循ISO/IEC14443標(biāo)準(zhǔn)。對(duì)芯片的訪問可以通過USB接口，也可以通過相隔一定距離以射頻方式進(jìn)行訪問；通過在合法的使用區(qū)域和管控范圍的出口部署射頻讀寫裝置，利用HF射頻接口鑒別當(dāng)前存儲(chǔ)設(shè)備的使用環(huán)境，保證只有在合法范圍內(nèi)設(shè)備才能被激活使用；超出可控范圍，密鑰將被銷毀。

上述方式雖然可以在一定程度上防止信息泄露，但是，在實(shí)際應(yīng)用中均會(huì)存在一定的問題，如：

對(duì)于方式1），由于需要對(duì)數(shù)據(jù)進(jìn)行額外的加密操作，因此對(duì)于用戶來(lái)說(shuō)不太方便，那么一旦用戶忘記對(duì)數(shù)據(jù)進(jìn)行加密，當(dāng)U盤丟失時(shí)，其中的數(shù)據(jù)就會(huì)泄露；

對(duì)于方式2），雖然能夠保證U盤丟失后，其中的數(shù)據(jù)不被泄漏，但不能防止有使用權(quán)限的、知道口令的用戶蓄意泄漏其中的數(shù)據(jù)；

對(duì)于方式3），由于需要定期地對(duì)主機(jī)進(jìn)行驗(yàn)證，該方案會(huì)帶來(lái)一定的系統(tǒng)開銷，影響文件讀寫速率；另外，該方案不能防止合法用戶主動(dòng)將存儲(chǔ)設(shè)備攜帶出公司使用；

對(duì)于方式4），雙界面加密存儲(chǔ)卡的HF射頻接口遵循ISO/IEC14443標(biāo)準(zhǔn)，讀寫距離非常有限，只能達(dá)到10cm，因此一旦用戶因疏忽忘記向射頻讀寫裝置出示存儲(chǔ)卡，或快速通過管控范圍的出口，密鑰銷毀操作就無(wú)法完成。

發(fā)明內(nèi)容

本發(fā)明提供了一種USB安全存儲(chǔ)方法及系統(tǒng)，實(shí)現(xiàn)對(duì)USB存儲(chǔ)設(shè)備的使用環(huán)境進(jìn)行管控，提高存儲(chǔ)數(shù)據(jù)的安全性。

為實(shí)現(xiàn)上述目的，本發(fā)明提供了一種USB安全存儲(chǔ)方法，包括：

初始化步驟：

初始化裝置通過HF射頻通信控制USB安全存儲(chǔ)裝置生成數(shù)據(jù)密鑰，存儲(chǔ)數(shù)據(jù)密鑰并將USB安全存儲(chǔ)裝置的狀態(tài)由出廠狀態(tài)設(shè)定為鎖定狀態(tài)，將數(shù)據(jù)密鑰設(shè)定為無(wú)效狀態(tài)；

USB安全存儲(chǔ)裝置狀態(tài)及離境告警標(biāo)志驗(yàn)證步驟：

USB安全存儲(chǔ)裝置通過USB接口與終端連接，并查詢當(dāng)前USB安全存儲(chǔ)裝置的狀態(tài)，若當(dāng)前狀態(tài)為出廠狀態(tài)或銷毀狀態(tài)，則禁止USB安全存儲(chǔ)裝置使用，若當(dāng)前USB安全存儲(chǔ)裝置的狀態(tài)為鎖定狀態(tài)或激活狀態(tài)，則USB安全存儲(chǔ)裝置查詢USB安全存儲(chǔ)裝置內(nèi)是否存在由告警裝置通過UHF射頻通信寫入的離境告警標(biāo)志，若存在所述離境告警標(biāo)志，則銷毀數(shù)據(jù)密鑰，并將USB安全存儲(chǔ)裝置當(dāng)前狀態(tài)設(shè)定為銷毀狀態(tài)，禁止USB安全存儲(chǔ)裝置使用；若不存在所述離境告警標(biāo)志，則允許USB安全存儲(chǔ)裝置使用；

數(shù)據(jù)讀寫步驟：

當(dāng)USB安全存儲(chǔ)裝置允許使用、且USB安全存儲(chǔ)裝置通過USB接口收到由終端發(fā)送的讀請(qǐng)求或?qū)懻?qǐng)求時(shí)，USB安全存儲(chǔ)裝置通過HF射頻通信接收由激活裝置發(fā)送的激活命令，將USB安全存儲(chǔ)裝置設(shè)置為激活狀態(tài)，并將數(shù)據(jù)密鑰設(shè)定為有效狀態(tài)，利用數(shù)據(jù)密鑰加解密數(shù)據(jù)并完成讀操作或?qū)懖僮鳌?/p>

進(jìn)一步，所述初始化步驟包括：