專利名稱:一種帶日志強(qiáng)審計的加密u盤系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計算機(jī)信息安全領(lǐng)域,特別涉及可保證存儲在U盤上的重要數(shù)據(jù)的安全,對用戶進(jìn)行的數(shù)據(jù)操作進(jìn)行實(shí)時精確的日志記錄的加密U盤系統(tǒng)設(shè)計。
背景技術(shù):
計算機(jī)技術(shù)的發(fā)展,使得計算機(jī)存儲介質(zhì)逐漸有代替紙張成為信息存儲的主要方式。無紙化辦公逐漸成為了政府、企業(yè)、軍隊的主要工作方式。然而,當(dāng)前各類網(wǎng)絡(luò)系統(tǒng)的建設(shè)中,往往只關(guān)心網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)的安全性和訪問過程中的身份安全性,而忽視了信息存儲的安全性,特別是移動存儲介質(zhì)的安全性。這成為了信息安全領(lǐng)域新的亟待解決的問題。
針對移動存儲介質(zhì)的安全性研究,主要集中在加密、認(rèn)證等一系列實(shí)用的功能上。隨著移動存儲介質(zhì)的廣泛使用,信息存儲的安全問題日益凸現(xiàn)。
當(dāng)前市場上的U盤產(chǎn)品主要分為兩種1、不可分區(qū)型U盤僅由一個分區(qū)構(gòu)成,使用上和一般的本地磁盤一樣,沒有任何限制。2、可分區(qū)型可分區(qū)型的U盤一般分為2個分區(qū),可根據(jù)用戶的需要在運(yùn)行附帶格式化程序時自由調(diào)節(jié)這兩個區(qū)的相對大小,并確定是保密區(qū)還是普通區(qū)。普通區(qū)就像一般的本地磁盤一樣,沒有任何限制,可以隨意存儲刪除文件。保密區(qū)則需要輸入密碼才能進(jìn)行磁盤空間的訪問。
通過對新的安全需求的分析,現(xiàn)有的解決方案不能很好的解決U盤使用情況審計的問題,即無法知道使用者對該盤進(jìn)行了什么操作,什么人對U盤進(jìn)行了操作。同樣因?yàn)閮H僅使用密碼鎖,數(shù)據(jù)的保密難以得到可靠保證。
而隨著U盤的廣泛使用,這逐漸成為了一個亟待解決的問題。
發(fā)明內(nèi)容
本發(fā)明的目的是為克服已有技術(shù)的不足之處,提出一種帶日志強(qiáng)審計的加密U盤系統(tǒng),該系統(tǒng)可保證存儲在USB存儲介質(zhì)上的重要數(shù)據(jù)的安全,對其上存儲的數(shù)據(jù)的操作進(jìn)行實(shí)時精確的日志記錄。
本發(fā)明提出的一種帶日志強(qiáng)審計的加密U盤系統(tǒng),其特征在于,該U盤系統(tǒng)包括設(shè)置在主機(jī)端的用戶層和驅(qū)動層,以及由存儲器、安全控制模塊和USB接口控制模塊構(gòu)成的U盤;該用戶層用于提供交互界面供用戶操作,監(jiān)控用戶操作,生成日志信息和文件讀寫數(shù)據(jù)與驅(qū)動層進(jìn)行交互;該驅(qū)動層用于實(shí)現(xiàn)U盤上的文件系統(tǒng)和USB通訊協(xié)議以及數(shù)據(jù)加解密功能;該U盤用于USB接口控制、安全控制和數(shù)據(jù)存儲;該U盤通過標(biāo)準(zhǔn)的USB接口接入主機(jī)端,主機(jī)端的用戶層通過USB總線U盤進(jìn)行數(shù)據(jù)和指令交互。
本發(fā)明的特點(diǎn)及效果1、文件傳輸過程中的加解密在主機(jī)與U盤的數(shù)據(jù)交互過程中,主機(jī)端驅(qū)動層對傳輸?shù)臄?shù)據(jù)進(jìn)行實(shí)時的加解密。由于U盤上的資源有限,所以將加解密的操作放在了主機(jī)上,整個的加解密過程對傳輸效率的影響很小。
2、使用自定義的USB mass storage傳輸協(xié)議,采用跟windows操作系統(tǒng)完全不同的命令結(jié)構(gòu),使得windows操作系統(tǒng)完全不能理解底層協(xié)議,保證了傳輸中的數(shù)據(jù)難以被竊聽,并可以防止病毒、遠(yuǎn)程控制等操作。
3、安全控制功能除了管理員的密碼之外,個人存儲分區(qū)和日志區(qū)各有兩個密碼,只讀密碼和讀寫密碼。密碼驗(yàn)證在安全控制模塊完成。U盤劃分為數(shù)據(jù)共享區(qū)和個人存儲區(qū)兩個用來存放文件數(shù)據(jù)的分區(qū)。兩種分區(qū)分別對應(yīng)放置可以共享型文件和保密型文件。
4、日志實(shí)時記錄與可靠管理日志記錄過程中,通過日志接口寫入,寫入接口由安全控制模塊控制。因?yàn)樽x密碼、寫密碼、以及清除日志功能分開,用戶在寫入狀態(tài)不能擦除日志分區(qū)內(nèi)容。
圖1為本發(fā)明的總體結(jié)構(gòu)框圖。
圖2為本實(shí)施例的U盤安全控制工作流程圖。
圖3為本實(shí)施例的U盤存儲器的區(qū)域劃分示意圖。
圖4是本實(shí)施例的日志區(qū)邏輯結(jié)構(gòu)示意圖。
具體實(shí)施例方式
本發(fā)明提出的一種帶日志強(qiáng)審計的加密U盤系統(tǒng),結(jié)合附圖及實(shí)施例詳細(xì)說明如下本發(fā)明的總體組成結(jié)構(gòu)如圖1所示,包括設(shè)置在主機(jī)(電腦)端的用戶層和驅(qū)動層,以及由存儲器、安全控制模塊和USB接口控制模塊構(gòu)成的U盤;U盤通過標(biāo)準(zhǔn)的USB接口接入主機(jī)端,主機(jī)端的用戶層通過USB總線(依據(jù)USB協(xié)議)與U盤進(jìn)行數(shù)據(jù)和指令交互。
各部件組成分別說明如下用戶層用戶層提供交互界面供用戶操作,監(jiān)控用戶操作,生成日志信息和文件讀寫數(shù)據(jù)與驅(qū)動層進(jìn)行交互;用戶層包括交互界面模塊、日志記錄模塊和操作監(jiān)控模塊;其中交互界面模塊提供用戶操作接口,所述操作接口經(jīng)過操作監(jiān)控模塊與底層文件數(shù)據(jù)交互;交互界面模塊可以通過日志記錄模塊提供的讀接口獲得日志信息并進(jìn)行顯示。交互界面模塊通過直接調(diào)用驅(qū)動層的USB驅(qū)動模塊進(jìn)行U盤硬件相關(guān)配置信息的讀寫和身份驗(yàn)證等操作。
操作監(jiān)控模塊將獲得的用戶動作及相關(guān)信息傳入日志記錄模塊,日志模塊記錄生成日志條目。日志記錄模塊和操作監(jiān)控模塊分別通過各自獨(dú)立的數(shù)據(jù)通道控制日志數(shù)據(jù)流和文件數(shù)據(jù)流。日志記錄模塊直接與驅(qū)動層的加解密模塊交互日志信息。操作監(jiān)控模塊與驅(qū)動層的ATA驅(qū)動模塊交互文件信息。
驅(qū)動層驅(qū)動層提供用戶層與U盤的交互接口,實(shí)現(xiàn)了對U盤上文件系統(tǒng)的管理,并對用戶層與U盤間的交互數(shù)據(jù)進(jìn)行實(shí)時加解密。該層包括ATA驅(qū)動模塊、加解密模塊和USB驅(qū)動模塊。ATA驅(qū)動模塊將傳入的文件數(shù)據(jù)流按照文件系統(tǒng)組織為文件數(shù)據(jù)塊傳入加解密模塊。加解密模塊對用戶層傳入的日志信息和ATA驅(qū)動模塊傳入的文件數(shù)據(jù)塊進(jìn)行加密。加解密后的數(shù)據(jù)采用bulk-only模式通過USB驅(qū)動模塊生成USB數(shù)據(jù)包與U盤進(jìn)行數(shù)據(jù)交互。USB驅(qū)動模塊通過自定義的USB mass storage通訊命令與U盤進(jìn)行數(shù)據(jù)交互,用戶層通過該模塊提供的管理通道與U盤交互配置信息。
U盤U盤帶有存儲器實(shí)現(xiàn)數(shù)據(jù)存儲功能,并且通過控制器中的接口控制模塊和安全控制模塊實(shí)現(xiàn)了標(biāo)準(zhǔn)的USB協(xié)議和對U盤的安全管理功能。
U盤包括USB接口控制模塊和安全控制模塊及存儲器三部分。U盤USB接口控制模塊處理USB指令,將標(biāo)準(zhǔn)數(shù)據(jù)包解釋為控制指令和數(shù)據(jù)部分。控制指令和數(shù)據(jù)傳入安全控制模塊,安全控制模塊首先驗(yàn)證當(dāng)前登錄的密碼,并依據(jù)密碼所對應(yīng)的權(quán)限處理指令和數(shù)據(jù)。處理后的寫入數(shù)據(jù)和讀取指令與存儲器進(jìn)行交互??刂浦噶钣砂踩刂颇K返回處理結(jié)果。
本發(fā)明通過實(shí)施例進(jìn)一步對帶日志強(qiáng)審計的加密U盤系統(tǒng)的各組成部分說明如下本實(shí)施例包括設(shè)置在主機(jī)(電腦)端的用戶層和驅(qū)動層,以及由存儲器、安全控制模塊和USB接口控制模塊構(gòu)成的U盤。
用戶層包括交互界面模塊、日志記錄模塊和操作監(jiān)控模塊;其中交互界面模塊交互界面模塊在主機(jī)屏上生成操作界面、配置界面及日志管理界面,提供用戶對U盤的文件操作、參數(shù)配置、日志管理功能。
本實(shí)施例的操作界面設(shè)置有操作按鈕,包括文件復(fù)制,新建文件夾,刪除,重命名等一般文件及目錄操作按鈕,供用戶管理U盤上文件,文件操作功能類似文件瀏覽器的列表框?yàn)g覽本地磁盤和U盤內(nèi)容。
配置界面通過驅(qū)動層提供的操作接口,直接操作位于U盤內(nèi)部的標(biāo)志信息區(qū)。供用戶進(jìn)行U盤的各項參數(shù)配置。此界面調(diào)用管理通道進(jìn)行操作。
日志管理界面提供用戶對日志的讀取,查找,分析,清空等操作界面。此界面調(diào)用日志記錄模塊和直接的管理通道進(jìn)行操作。
操作監(jiān)控模塊用戶對U盤中文件的所有操作都由該模塊隨時捕獲。用戶在交互界面模塊上所執(zhí)行操作的詳細(xì)內(nèi)容、時間和其它相關(guān)信息作為日志記錄內(nèi)容傳入日志記錄模塊。在日志記錄產(chǎn)生之后,該模塊完成當(dāng)前操作,此方法保證了每個操作日志的可靠性。
日志記錄模塊日志記錄模塊將由操作監(jiān)控模塊生成的日志記錄信息組裝成日志條目。本實(shí)施例的日志條目內(nèi)容包括操作時間,主機(jī)名,各網(wǎng)卡MAC地址,IP地址,硬盤序列號,CPU類型等基本信息,以及對某文件做了某項操作的具體日志信息。日志記錄模塊將日志信息的數(shù)據(jù)組織成定長的日志格式傳入驅(qū)動層的加解密模塊。
驅(qū)動層ATA驅(qū)動模塊本實(shí)施例的ATA驅(qū)動模塊使用標(biāo)準(zhǔn)的FAT文件格式。將文件及文件夾信息組織為塊數(shù)據(jù)傳入加解密模塊。并對用戶層提供文件的基本操作,如新建、刪除、拷貝、重命名、新建目錄等操作。
加解密模塊本實(shí)施例采用通用加解密模塊,使用AES256或者其他數(shù)據(jù)加密算法。
USB驅(qū)動模塊本實(shí)施例的USB驅(qū)動模塊使用標(biāo)準(zhǔn)的USB枚舉及配置協(xié)議,使U盤接入主機(jī)后無需額外驅(qū)動即可枚舉成功。為了避免主機(jī)操作系統(tǒng)對數(shù)據(jù)通道的控制,該模塊加入了自定義的USB mass storage通訊命令,主機(jī)操作系統(tǒng)將不能理解整個數(shù)據(jù)通道上的數(shù)據(jù)信息。而對應(yīng)的命令碼與USB接口控制模塊中的代碼一致。
本實(shí)施例的自定義的usb mass storage通訊命令主要包括標(biāo)準(zhǔn)操作命令ReadDisk,WriteDisk,TestUnitReady,DeviceInquiry。
日志操作命令WriteLog,ReadLog,WriteBlock,ReadBlock,EraseBlock.
管理操作命令參數(shù)讀寫接口。
在標(biāo)準(zhǔn)操作命令中,通訊命令字選用非標(biāo)準(zhǔn)協(xié)議定義的命令字即可,并將數(shù)據(jù)作任意處理,命令中加入了分區(qū)標(biāo)志,供USB接口控制模塊分流數(shù)據(jù)。主機(jī)操作系統(tǒng)將對此數(shù)據(jù)流不作任何響應(yīng)。
日志操作命令為標(biāo)準(zhǔn)操作的進(jìn)一步封裝,并在命令中加入日志標(biāo)志,USB接口控制模塊經(jīng)過解析命令,將日志條目直接添加至日志分區(qū)。
管理操作命令為獨(dú)立的命令字,通過安全控制模塊進(jìn)行身份驗(yàn)證和系統(tǒng)配置信息的讀寫。其中包括密碼驗(yàn)證,分區(qū)配置信息寫入,密碼寫入,清空日志,設(shè)定序列號等各項操作。
U盤U盤包括USB接口控制模塊、安全控制模塊和存儲器。
本實(shí)施例采用U盤控制器中的固件代碼生成USB接口控制模塊和安全控制模塊,U盤控制器采用ST的USB控制芯片,芯片可編程,并提供USB接口控制器接口和nand flash類存儲器訪問接口。
USB接口控制模塊遵從USB驅(qū)動模塊中的標(biāo)準(zhǔn)USB枚舉及配置協(xié)議。并遵守USB驅(qū)動模塊中自定義的USB mass storage通訊命令,完成與主機(jī)端的數(shù)據(jù)交互和系統(tǒng)配置等操作請求。
USB接口控制模塊在U盤插入主機(jī)USB口后自動運(yùn)行,U盤在主機(jī)端windows系統(tǒng)中將體現(xiàn)為一個小容量的標(biāo)準(zhǔn)只讀U盤,U盤內(nèi)容為隨盤攜帶的軟件。其他各個分區(qū)在主機(jī)操作系統(tǒng)下皆不可見,且不可訪問。因?yàn)橥ㄓ嵜畹牟町惡桶踩刂颇K尚未驗(yàn)證用戶身份,因此數(shù)據(jù)分區(qū)實(shí)際上處于鎖定狀態(tài)。
安全控制模塊此模塊保證主機(jī)端軟件對底層硬件信息與數(shù)據(jù)的安全訪問。在密碼驗(yàn)證通過之后,方使能對對應(yīng)分區(qū)的讀寫操作請求或者配置命令,否則返回錯誤。
密碼配置,密碼在用戶層中的配置界面由用戶生成,通過散列算法處理后放置于U盤的標(biāo)志信息區(qū)。
密碼供安全控制模塊使能與禁止上層對此區(qū)數(shù)據(jù)的訪問請求,本實(shí)施例共有如下5個密碼。對應(yīng)權(quán)限如表1表1密碼與權(quán)限表
本實(shí)施例的安全控制模塊的工作流程如圖2所示,步驟如下a)在U盤接入主機(jī)后,U盤上電,U盤安全控制模塊啟動;b)用戶層下發(fā)U盤打開指令,若打開錯誤,則返回。若正確打開,則自動進(jìn)入數(shù)據(jù)共享區(qū)。用戶此時可選擇進(jìn)入個人存儲區(qū)(需登錄);c)在讀寫過程中,先生成日志,再進(jìn)行操作;U盤鎖定條件a)若日志區(qū)滿,U盤安全控制模塊鎖定,只有管理員方能清除日志后解鎖;b)個人存儲區(qū)需要用戶口令,若口令錯誤次數(shù)達(dá)到預(yù)設(shè)上限,則硬件鎖定,需要管理員密碼方能解鎖。
存儲器本實(shí)施例的存儲器選用標(biāo)準(zhǔn)的Nand Flash,如Samsung,Toshiba等廠商的產(chǎn)品,容量較大,使用頁式存儲,適合大容量存儲類設(shè)備。
本實(shí)施例的U盤存儲器劃分為五個區(qū)域如圖3所示,包括標(biāo)志信息區(qū)、軟件區(qū)、共享區(qū)、個人存儲區(qū)和日志區(qū)。
標(biāo)志信息保存的參數(shù),如表2所示,供安全控制模塊調(diào)用。
表2 標(biāo)志信息保存的參數(shù)內(nèi)容
軟件區(qū)放置應(yīng)用軟件,在管理員登陸后,此區(qū)域可讀寫功能使能,用戶使用時,此區(qū)域?yàn)橹蛔x。
數(shù)據(jù)共享區(qū)與個人存儲區(qū)數(shù)據(jù)共享區(qū)與個人存儲區(qū)都是存儲空間,使用ATA驅(qū)動模塊提供的文件系統(tǒng)進(jìn)行組織,與普通U盤一致,區(qū)別在于個人存儲區(qū)需要個人存儲區(qū)的密碼方能打開。
日志區(qū)日志區(qū)采用順序記錄的方式進(jìn)行日志的寫入,日志操作由安全控制模塊統(tǒng)一控制,以防止日志的誤寫。
日志區(qū)日志組織結(jié)構(gòu)如圖4所示,包括兩大塊。Block區(qū)和Log區(qū)。
Block區(qū)Block區(qū)是Log區(qū)的索引,空間分配按照設(shè)定于標(biāo)志區(qū)域的數(shù)據(jù)進(jìn)行劃分。Block區(qū)的起始位置就是日志區(qū)的起始位置。
每次插拔操作產(chǎn)生一個Block,block包含上下兩段,稱為blockup和blockdown。Blockup在U盤打開時生成,blockdown在關(guān)閉時生成,為了防止U盤未正常關(guān)閉時插拔造成的blockdown丟失,在打開時系統(tǒng)掃描block區(qū)域以補(bǔ)足此信息。
blockup包含的信息如下起始時間,主機(jī)名,各網(wǎng)卡MAC地址,IP地址,硬盤序列號,CPU類型。對應(yīng)log的起始地址。
blockdown包含的信息如下終止時間,對應(yīng)log的結(jié)束地址。
Log區(qū)Log區(qū)是日志明細(xì)區(qū),每條log包含了如下信息時間,操作區(qū)域(本地磁盤為路徑,U盤為數(shù)據(jù)共享區(qū)或者個人存儲區(qū)),操作類型(新建,刪除,拷貝入,拷貝出,重命名)。
Log為邏輯上線性排列,在讀取時根據(jù)block中描述的信息進(jìn)行定位。
Log區(qū)每一條日志都包含了扇區(qū)使用標(biāo)志,以供安全控制模塊定位當(dāng)前未用的扇區(qū)號。
寫入時流程如下打開設(shè)備后使用二分法查找到Log區(qū)域中第一個空閑扇區(qū),將扇區(qū)號添加到block內(nèi)容中去,存block,再存日志。
本實(shí)施例的工作過程說明如下在用戶將U盤接入主機(jī)以后,在主機(jī)上U盤軟件區(qū)顯示為標(biāo)準(zhǔn)的只讀分區(qū),用戶層交互界面即放置在此分區(qū)。運(yùn)行此界面后,用戶層生成操作界面,日志管理界面和配置界面。
在操作界面,用戶可以操作U盤上數(shù)據(jù)共享區(qū)和個人存儲區(qū)的文件,數(shù)據(jù)共享區(qū)不需要密碼,個人存儲區(qū)需要密碼驗(yàn)證通過后才能訪問。用戶可以將文件在U盤與主機(jī)端進(jìn)行轉(zhuǎn)移,數(shù)據(jù)移入U盤的過程相當(dāng)于加密,移出的過程相當(dāng)于解密。
U盤在使用的過程中,操作監(jiān)控模塊和日志記錄模塊會實(shí)時記錄下用戶對U盤上文件的所有操作,并通過記錄操作機(jī)器的MAC號,IP地址,硬盤號,CPU ID號以及用戶名,機(jī)器名等信息定位使用者。日志的記錄方式采用先寫日志后執(zhí)行動作的串行操作,日志寫入成功后才能執(zhí)行操作,保證了日志信息的完整性。若日志區(qū)滿,則U盤會自行鎖定,只有管理員密碼對日志進(jìn)行清除后才能繼續(xù)使用,保證所有操作都可被記錄。
在日志管理界面,用戶可以查看自己所有的日志條目,并進(jìn)行可以查找,導(dǎo)出等操作。
在配置界面,用戶可以設(shè)定各個分區(qū)的大小,格式化各分區(qū),對所有的密碼,用戶可以自行設(shè)定密碼及密碼嘗試的上限。當(dāng)任何密碼錯誤超出設(shè)定上限后,U盤進(jìn)入鎖定狀態(tài),需要使用管理員密碼進(jìn)行解鎖。
權(quán)利要求
1.一種帶日志強(qiáng)審計的加密U盤系統(tǒng),其特征在于,該U盤系統(tǒng)包括設(shè)置在主機(jī)端的用戶層和驅(qū)動層,以及由存儲器、安全控制模塊和USB接口控制模塊構(gòu)成的U盤;該用戶層用于提供交互界面供用戶操作,監(jiān)控用戶操作,生成日志信息和文件讀寫數(shù)據(jù)與驅(qū)動層進(jìn)行交互;該驅(qū)動層用于實(shí)現(xiàn)U盤上的文件系統(tǒng)和USB通訊協(xié)議以及數(shù)據(jù)加解密功能;該U盤用于USB接口控制、安全控制和數(shù)據(jù)存儲;該U盤通過標(biāo)準(zhǔn)的USB接口接入主機(jī)端,主機(jī)端的用戶層通過USB總線U盤進(jìn)行數(shù)據(jù)和指令交互。
2.如權(quán)利要求1所述的U盤系統(tǒng),其特征在于,所述用戶層包括交互界面模塊、日志記錄模塊和操作監(jiān)控模塊;所述所述交互界面模塊提供用戶操作接口,該操作接口經(jīng)過操作監(jiān)控模塊與底層文件數(shù)據(jù)交互;交互界面模塊通過日志記錄模塊提供的讀接口獲得日志信息并進(jìn)行顯示;交互界面模塊通過直接調(diào)用驅(qū)動層的USB驅(qū)動模塊進(jìn)行U盤硬件相關(guān)配置信息的讀寫和身份驗(yàn)證操作;所述操作監(jiān)控模塊將獲得的用戶動作及相關(guān)信息傳入日志記錄模塊,日志模塊記錄生成日志條目;日志記錄模塊和操作監(jiān)控模塊分別通過各自獨(dú)立的數(shù)據(jù)通道控制日志數(shù)據(jù)流和文件數(shù)據(jù)流;日志記錄模塊直接與驅(qū)動層的加解密模塊交互日志信息;操作監(jiān)控模塊與驅(qū)動層的ATA驅(qū)動模塊交互文件信息。
3.如權(quán)利要求1所述的U盤系統(tǒng),其特征在于,所述驅(qū)動層包括ATA驅(qū)動模塊、加解密模塊和USB驅(qū)動模塊;所述ATA驅(qū)動模塊將傳入的文件數(shù)據(jù)流按照文件系統(tǒng)組織為文件數(shù)據(jù)塊傳入加解密模塊;該加解密模塊對用戶層傳入的日志信息和ATA驅(qū)動模塊傳入的文件數(shù)據(jù)塊進(jìn)行加解密,加解密后的數(shù)據(jù)采用bulk-only模式通過USB驅(qū)動模塊生成USB數(shù)據(jù)包與所述U盤進(jìn)行數(shù)據(jù)交互;所述USB驅(qū)動模塊通過自定義的USB mass storage通訊命令與U盤進(jìn)行數(shù)據(jù)交互,用戶層通過該模塊提供的管理通道與U盤交互配置信息。
4.如權(quán)利要求1所述的U盤系統(tǒng),其特征在于,所述U盤包括USB接口控制模塊和安全控制模塊及存儲器;所述U盤USB接口控制模塊處理USB指令,將標(biāo)準(zhǔn)數(shù)據(jù)包解釋為控制指令和數(shù)據(jù)部分;控制指令和數(shù)據(jù)傳入安全控制模塊,所述安全控制模塊首先驗(yàn)證當(dāng)前登錄的密碼,并依據(jù)密碼所對應(yīng)的權(quán)限處理指令和數(shù)據(jù),處理后的寫入數(shù)據(jù)和讀取指令與存儲器進(jìn)行交互,控制指令由安全控制模塊返回處理結(jié)果。
5.如權(quán)利要求4所述的U盤系統(tǒng),其特征在于,所述U盤的存儲器劃分為標(biāo)志信息區(qū)、軟件區(qū)、共享區(qū)、個人存儲區(qū)和日志區(qū),其中,該標(biāo)志信息區(qū)保存供安全控制模塊調(diào)用的標(biāo)志信息參數(shù);該軟件區(qū)放置應(yīng)用軟件,在管理員登陸后,此區(qū)域可讀寫功能使能,用戶使用時,此區(qū)域?yàn)橹蛔x;該數(shù)據(jù)共享區(qū)與個人存儲區(qū)都是存儲空間,其中個人存儲區(qū)需要個人存儲區(qū)的密碼方能打開;該日志區(qū)采用順序記錄的方式進(jìn)行日志的寫入,寫入操作由安全控制模塊統(tǒng)一控制,以防止日志的誤寫。
全文摘要
本發(fā)明涉及一種帶日志強(qiáng)審計的加密U盤系統(tǒng),屬于計算機(jī)信息安全領(lǐng)域,該U盤系統(tǒng)包括設(shè)置在主機(jī)端的用戶層和驅(qū)動層,以及由存儲器、安全控制模塊和USB接口控制模塊構(gòu)成的U盤;該用戶層用于提供交互界面供用戶操作,監(jiān)控用戶操作,生成日志信息和文件讀寫數(shù)據(jù)與驅(qū)動層進(jìn)行交互;一種用于數(shù)據(jù)保密和可審計使用情況的的U盤。本發(fā)明可保證存儲在U盤上的重要數(shù)據(jù)的安全。隨盤軟件對用戶進(jìn)行的數(shù)據(jù)操作進(jìn)行實(shí)時精確的日志記錄。管理員可通過對日志信息的數(shù)據(jù)挖掘,找出安全管理中的安全隱患,并在泄密事件發(fā)生后,對U盤的使用情況進(jìn)行審計,查找相關(guān)責(zé)任人。
文檔編號G06F11/00GK1952914SQ20061011369
公開日2007年4月25日 申請日期2006年10月13日 優(yōu)先權(quán)日2006年10月13日
發(fā)明者馮浩然, 胡建斌, 謝永強(qiáng), 陳鐘 申請人:馮浩然, 胡建斌, 謝永強(qiáng), 陳鐘