本發明公開了一種控制U盤使用范圍的方法，該方法生成U盤唯一標識，然后通過生成的U盤密鑰對U盤存儲設備進行加密和終端通過密鑰掛載。本發明保留了現有保密U盤的所有優點，并且本發明通過U盤唯一標識碼對U盤進行識別的統一的管控，即使U盤被格式化掉同樣有效；通過U盤識別碼配合U盤密鑰對U盤的使用范圍進行精準的管控，細粒度的控制U盤的使用范圍，并能夠靈活的調整和補充。

技術領域

本發明涉及一種控制U盤使用范圍的方法，屬于信息安全技術領域。

背景技術

U盤作為一種便攜的存儲設備廣泛的在各種場合下使用，在帶來方便的同時也存在泄密的嚴重隱患。比如公司里的技術圖紙、核心代碼、商業機密都能通過U盤拷貝出去造成泄密。

在現有的解決方案中，保密U盤是一種常用的保護U盤數據的手段。保密U盤的工作原理是通過強加密的方式將整個U盤分區進行加密處理，形成私有的磁盤格式。使用的時候通過VVOL技術將加密后的U盤分區解密并掛載成虛擬卷，這樣用戶就能和使用普通的U盤一樣使用保密U盤了。而如果U盤帶出公司，由于無法通過VVOL進行解密和掛載，U盤中的數據無法使用。

現有的保密U盤能從很大程度上杜絕涉密文件通過U盤泄密，但是控制顆粒度太粗，不太易于使用，當有如下需求時，現有保密U盤無法滿足：1、公司里有多個部門，不同的部門分配不同的U盤，不同的部門之間只能使用各自的U盤，或者控制U盤在跨部門的情況下只讀。2、動態的對U盤的使用范圍進行調整，比如A優盤開始是屬于研發部門的，通過管理員調整為B部門的。

發明內容

本發明要解決的技術問題是提供一種控制U盤使用范圍的方法，對U盤的使用范圍進行細粒度的控制，并且支持靈活定制，隨時調整。

為了解決所述技術問題，本發明采用的技術方案是：一種控制U盤使用范圍的方法，包括以下步驟：S01)、根據U盤的ID串計算U盤的唯一標識碼，用于唯一標識U盤，同一個U盤在不同的終端獲取到的標識碼始終相同，不同的U盤標識碼不同；S02）、根據U盤的唯一標識碼生成該U盤的密鑰，使用密鑰制作保密U盤，將U盤的唯一標識、描述和對應的密鑰入庫；S03）、對不同的終端或者部門配置密鑰策略；S04）、終端檢測到保密U盤插入后通過本地緩存的密鑰進行保密U盤的掛載。

進一步的，計算U盤唯一標識碼的步驟為：1）、通過SetupDiGetClassDevs API接口打開磁盤存儲管理接口；2）、通過SetupDiEnumDeviceInterfaces并指定GUID遍歷本地擁有的磁盤存儲設備；3）、通過CM_Get_Device_ID接口獲取USB存儲設備的ID串，ID串中包括USB存儲的生產序號和批次號；4）、通過crc32算法配合私有掩碼計算該ID串的crc32值，將crc32值作為該U盤的唯一標識碼。

進一步的，使用密鑰制作保密U盤的步驟為：1）、設置保密卷創建選項；2）、在內存中創建保密卷頭，保密卷頭中寫入用戶數據；3）、對保密卷頭進行加密格式化，將其格式化成制定的文件系統；4）、將經過處理的卷寫入U盤存儲設備的起始位置；5）、根據設置的密鑰對完成加密的U盤進行掛載，掛載成功即為創建成功，掛載失敗則重復步驟1-4重新加密。

進一步的，步驟4后，填充隨機數據，增加保密U盤的安全性。

進一步的，步驟3中，將保密卷頭格式化成NTFS的文件系統。

進一步的，保密U盤掛載的步驟為：1）、獲取一個閑置的盤符；2）、設置掛載密碼，掛載密碼為我步驟3中下發的U盤密鑰；3）、應用層給驅動層發送IOCTRL對指定的密盤進行掛載動作。

進一步的，針對有多個密鑰的終端，依次嘗試所有的密鑰，直到成功或者所有的密鑰都掛載失敗。