本發明公開了一種加密U盤的訪問控制方法、系統及介質，通過U盤驅動程序讀取目標U盤信息；如果目標U盤為普通U盤則根據預設的策略配置當前用戶對目標U盤的訪問權限，否則向指定的策略服務器查詢獲取在線使用策略，查詢成功則根據在線使用策略配置當前用戶對目標U盤的訪問權限；查詢失敗則根據目標U盤信息中的離線使用策略配置當前用戶對目標U盤的訪問權限；最終根據訪問權限對當前用戶進行讀寫控制及數據加解密。本發明支持細粒度且靈活的使用權限控制，并支持對其全生命周期的管理，加密U盤中存儲的用戶數據均為加密數據，只能在指定的終端上使用，可以有效的防止信息泄露，支持靈活配置策略控制其使用權限。

技術領域

本發明涉及數據安全領域，具體涉及一種加密U盤的訪問控制方法、系統及介質。

背景技術

U盤作為一種常用的移動存儲設備已經廣泛的應用于各種場合。U盤的廣泛應用增加了信息管控的難度，尤其是在企業，政府，軍隊等內部網絡中，往往有很多需要保密的信息，這些信息往往需要使用U盤在內部進行流轉，但是又必須保證信息不被篡改或泄露，有時甚至需要實現對內部不同部門不同人員間U盤使用權限的區別控制。所以，迫切的需要實現一種加密U盤，能對流轉數據進行加密儲存，并輔以相應的使用權限控制方案實現對其使用權限的細粒度且靈活的控制及全生命周期的管理。

發明內容

本發明要解決的技術問題：針對現有技術的上述問題，提供一種加密U盤的訪問控制方法、系統及介質，本發明支持實細粒度且靈活的使用權限控制，并支持對其全生命周期的管理，加密U盤中存儲的用戶數據均為加密數據，只能在安裝相應驅動程序及U盤管理應用程序的終端上使用，可以有效的防止信息泄露，支持靈活配置策略控制其使用權限。

為了解決上述技術問題，本發明采用的技術方案為：

一種加密U盤的訪問控制方法，包括識別使用U盤的步驟，步驟包括：

1）讀取目標U盤信息；根據讀取的目標U盤信息判斷目標U盤是否為普通U盤，如果是普通U盤，根據預設的策略配置當前用戶對目標U盤的訪問權限，跳轉執行步驟3）；否則跳轉執行步驟2）；

2）根據目標U盤信息中的U盤唯一標識UUID向指定的策略服務器查詢獲取在線使用策略，如果查詢成功則根據在線使用策略配置當前用戶對目標U盤的訪問權限；否則，根據目標U盤信息中的離線使用策略配置當前用戶對目標U盤的訪問權限；

3）根據配置的訪問權限對當前用戶進行讀寫權限控制，且在目標U盤不是普通U盤的情況下基于解密得到的數據密鑰datakey對讀數據進行解密或者對寫數據進行加密。

可選地，步驟1）的詳細步驟包括：

1.1）通過U盤驅動程序讀取目標U盤加密頭，包括第一隨機數串及其余待解密數據；

1.2）將指定的口令、第一隨機數串進行組合并進行哈希運算得到頭密鑰headkey；

1.3）使用頭密鑰headkey對其余加密頭數據進行解密，如果解密失敗則判定目標U盤是普通U盤，根據預設的策略配置當前用戶對目標U盤的訪問權限，跳轉執行步驟3）；否則解密得到數據密鑰datakey、唯一標識UUID、離線使用策略，跳轉執行步驟2）。

可選地，步驟1.3）中解密得到的數據密鑰datakey以密文的形式保存在內存中，且基于解密得到的數據密鑰datakey對讀數據進行解密或者對寫數據進行加密時，預先將內存中的數據密鑰datakey密文進行解密獲得數據密鑰datakey。

可選地，步驟2）中根據目標U盤信息中的U盤唯一標識UUID向指定的策略服務器查詢獲取在線使用策略時，還包括判斷是否收到指定的策略服務器返回的“注銷”指令，如果收到“注銷”指令則通過U盤驅動程序銷毀目標U盤中的所有數據。