技術領域

本發明涉及信息安全技術領域，特別涉及一種實現移動存儲設備保護的方法及系統。

背景技術

隨著計算機信息以及存儲技術的快速發展，移動存儲設備已成為人們日常中的一種重要的存儲設備。通過將文件存放到移動存儲設備來進行傳遞，可以使文件的傳遞變得十分方便、快捷；但同時也很容易引發數據安全問題，因為通常移動存儲設備都不具備加密和身份認證功能，移動存儲設備內的數據很容易被竊取。

現有技術中對移動存儲設備的保護措施主要包括：通過秘鑰對移動存儲設備數據進行軟加密，或者利用證書對移動存儲設備進行身份認證。但現有的移動存儲設備保護措施存在有以下缺陷：1、秘鑰是無保護功能的，直接暴露在外部，很容易被惡意程序竊取；2、對移動存儲設備數據的加解密過程也暴露在外部，使用起來也不安全；3、利用軟件算法對移動存儲設備的大量數據進行加密，速度較慢，需要花費較多時間。

發明內容

本發明要解決的技術問題之一，在于提供一種實現移動存儲設備保護的方法，該方法采用過濾驅動與可信平臺模塊相結合來實現對移動存儲設備的保護，可以大大增加移動存儲設備使用的安全性。

本發明是這樣實現技術問題之一的：一種實現移動存儲設備保護的方法，所述方法包括如下步驟：

步驟1、通過計算機的可信平臺模塊生成密鑰和證書，將證書寫入到移動存儲設備的獨立分區，將密鑰存儲在可信平臺模塊中；

步驟2、將移動存儲設備插入計算機進行掛載，從移動存儲設備獲取證書并發送到可信平臺模塊進行身份認證；

步驟3、將對移動存儲設備的讀寫操作數據先發送到可信平臺模塊中進行加解密，然后執行對移動存儲設備的讀寫操作。

進一步地，所述步驟2具體為：

將移動存儲設備插入到計算機進行掛載，移動存儲設備過濾驅動程序從移動存儲設備的獨立分區中獲取證書，并將證書發送到可信平臺模塊進行身份認證，且如果可信平臺模塊認證成功，則正常掛載移動存儲設備；如果可信平臺模塊認證失敗，則卸載移動存儲設備。

進一步地，所述“如果可信平臺模塊認證失敗，則卸載移動存儲設備”為：

如果可信平臺模塊認證失敗，則通過系統監控程序對擁有管理權限的用戶提示是否對移動存儲設備添加信任，若是，則將證書寫入到移動存儲設備的獨立分區中，并正常掛載移動存儲設備；若否，則卸載移動存儲設備。

進一步地，所述步驟3具體包括：

步驟31、對移動存儲設備發起操作請求，通過USB Mass Storage驅動程序判斷發出的是讀取數據請求還是寫入數據請求，如果是讀取數據請求，則進入步驟32；如果是寫入數據請求，則進入步驟33；

步驟32、USB Mass Storage驅動程序將讀取數據請求發送給USB總線驅動程序，USB總線驅動程序從移動存儲設備中獲取請求讀取的數據，并將請求讀取的數據返回給移動存儲設備過濾驅動程序，由移動存儲設備過濾驅動程序將請求讀取的數據發送到可信平臺模塊進行解密處理；完成解密后，將解密的數據發送給USB Mass Storage驅動程序，并由USB Mass Storage驅動程序將解密的數據顯示到計算機中；

步驟33、移動存儲設備過濾驅動程序從USB Mass Storage驅動程序中截取請求寫入的數據，并將請求寫入的數據發送到可信平臺模塊進行加密處理；完成加密后，將加密的數據發送給USB總線驅動程序，并由USB總線驅動程序將加密的數據寫入到移動存儲設備中。

本發明要解決的技術問題之二，在于提供一種實現移動存儲設備保護的系統，該系統采用過濾驅動與可信平臺模塊相結合來實現對移動存儲設備的保護，可以大大增加移動存儲設備使用的安全性。

本發明是這樣實現技術問題之二的：一種實現移動存儲設備保護的系統，所述包括秘鑰證書生成模塊、身份認證模塊以及數據讀寫模塊；

所述秘鑰證書生成模塊，用于通過計算機的可信平臺模塊生成密鑰和證書，將證書寫入到移動存儲設備的獨立分區，將密鑰存儲在可信平臺模塊中；

所述身份認證模塊，用于將移動存儲設備插入計算機進行掛載，從移動存儲設備獲取證書并發送到可信平臺模塊進行身份認證；

所述數據讀寫模塊，用于將對移動存儲設備的讀寫操作數據先發送到可信平臺模塊中進行加解密，然后執行對移動存儲設備的讀寫操作。

進一步地，所述身份認證模塊具體為：