專利名稱:一種面向移動存儲介質數(shù)據(jù)安全的雙因子影子密碼保護方法
技術領域:
本發(fā)明屬于信息安全領域��,具體涉及一種基于虛擬磁盤技術和動態(tài)加解密技術的 移動存儲介質數(shù)據(jù)安全保護方法�����。
背景技術:
移動存儲介質包括軟盤、U盤、移動硬盤和SD卡等����,因其使用靈活�、方便的特點����,在 政府、軍隊和企事業(yè)單位中得到迅速普及����。但移動存儲介質使用的方便性也給設備安全、數(shù) 據(jù)安全等保密管理帶來了新問題����。主要包括第一�,任意個人的U盤��、移動硬盤����、軟盤或者光盤都可以在內(nèi)部的計算機上隨意使 用,容易造成計算機病毒感染和泛濫��;第二����,隨意使用移動存儲介質��,使懷有惡意的內(nèi)部人員可以將內(nèi)部重要信息復制 出去����,容易造成敏感和機密信息的泄密。據(jù)IDC權威機構的調查��,80%的泄密事件是來自內(nèi) 部人員的�����,其中包括有意的也有無意的����,甚至有內(nèi)外勾結的����;第三��,由于大多移動存儲介質中的信息都以明文形式存放�,即使加密,密碼也非常 單一����,內(nèi)部人員可以將涉密終端上的數(shù)據(jù)通過移動介質轉移到連接互聯(lián)網(wǎng)的計算機,并通 過互聯(lián)網(wǎng)泄露涉密信息�。雖然計算機采取了防火墻和入侵檢測等信息保護措施,但這些信 息保護措施只能夠阻止外部入侵����,不能檢測到內(nèi)部人員的違規(guī)行為,即不能防止內(nèi)部竊取 fn息ο第四����,移動存儲介質一旦丟失,或者存儲介質的使用者遭到第三者脅迫說出訪問 密碼�����,其中存儲的大量敏感數(shù)據(jù)可能失控,帶來極大的損失����。移動存儲介質的數(shù)據(jù)安全防護和管理從開始到現(xiàn)在,經(jīng)歷了幾個重要的階段��。早 期各個企業(yè)和政府部門為了防止內(nèi)部涉密信息的泄露�,大多采用人工管理的模式,通過封 堵移動存儲介質設備端口來禁止用戶使用移動存儲介質���,或者通過每天上班派發(fā)和下班回 收移動存儲介質的方式來防止內(nèi)部員工通過移動介質泄露企業(yè)商業(yè)機密。這種管理方式雖 然在某種程度上控制了重要數(shù)據(jù)的泄露���,但同時也給職員的工作帶來了極大不便�,USB接口 被封堵�����,限制的不僅僅是移動存儲介質的使用�,也限制了其他USB設備的使用,例如USB接 口鼠標����、鍵盤�����、打印機等許多即插即用設備���,這些措施使得企業(yè)和政府部門內(nèi)部與外界處于 絕對隔離的狀態(tài),數(shù)據(jù)交換因此受到阻礙��,從而導致工作效率十分低下���。隨著信息安全技術 的不斷發(fā)展�,企業(yè)和政府部門的管理者逐漸意識到采用人工管理的方式不僅導致工作流程 繁瑣��,而且由于人為原因信息泄露問題仍不能得到本質上的緩解��。因此人們開始采用信息安全技術對移動存儲介質進行管理�,主要集中在數(shù)據(jù)加密 技術方面。人們通常利用數(shù)據(jù)加密算法(包括AES-256���,Blowfish (448-bitkey), CAST5����, Serpent, TripleDES及Twofish等)來保障存儲介質中數(shù)據(jù)的機密性,完整性和可用性����。 傳統(tǒng)的磁盤介質加密方法粒度控制不靈活,要么只能全盤加密�,要么只能針對某個文件或 文件夾加密,且最為關鍵的是密碼單一���,一旦密碼被通過某種手段獲取���,則加密信息暴露無遺。針對以上情況���,本發(fā)明提出一種面向移動存儲介質數(shù)據(jù)安全的雙因子影子密碼保 護方法�,該方法充分考慮到移動介質用戶面臨的各種情況���,除技術狀況之外,特別考慮到用 戶受到脅迫要求提供密碼的復雜情況���,創(chuàng)新性地引入雙因子密碼機制�,克服傳統(tǒng)單一密碼 訪問的缺陷���;此外����,引入關聯(lián)不同密碼的數(shù)據(jù)分區(qū)技術和動態(tài)加解密技術,為不同的訪問密 碼映射不同的訪問數(shù)據(jù)���,可充分發(fā)揮雙因子密碼的強力數(shù)據(jù)保護能力�。采用本發(fā)明提供的 方法對移動介質加密��,可根據(jù)數(shù)據(jù)的密級靈活設定訪存區(qū)域���,既體現(xiàn)了 “分密級授權訪存” 的思想����,又避免非授權用戶拿到密碼之后造成的信息泄露�。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種面向移動存儲介質數(shù)據(jù)安全的雙因子影子密碼保護方 法,利用虛擬磁盤技術和動態(tài)加解密技術有效保護移動存儲介質的數(shù)據(jù)安全���。本發(fā)明的上述目的是通過如下技術方案來實現(xiàn)的1)磁盤邏輯劃分利用虛擬磁盤技術將移動存儲介質劃分為不同的功能分區(qū)���,用于存儲用戶涉密數(shù) 據(jù)和密碼等信息。用戶涉密數(shù)據(jù)保存在數(shù)據(jù)區(qū)���,密碼等自定義信息保存在頭部信息區(qū)��。如 下圖所示
權利要求
1.一種面向移動存儲介質數(shù)據(jù)安全的雙因子影子密碼保護方法�����,其特征在于包括以下 步驟步驟1. 1 將移動存儲介質映射為一個虛擬磁盤�����,虛擬磁盤被劃分為頭部信息區(qū)1和數(shù) 據(jù)區(qū)兩部分��,頭部信息區(qū)1中含有磁盤的密鑰和其他格式化信息��,數(shù)據(jù)區(qū)保存磁盤中的有 效數(shù)據(jù)����;步驟1. 2 將步驟1. 1中數(shù)據(jù)區(qū)劃分為三部分頭部信息區(qū)2、數(shù)據(jù)區(qū)1和數(shù)據(jù)區(qū)2�。此 時該虛擬磁盤在邏輯視圖上呈現(xiàn)為(頭部信息1+頭部信息2+數(shù)據(jù)區(qū)1+數(shù)據(jù)區(qū)2);步驟1. 3 影子密碼信息Keys保存在頭部信息區(qū)2中���,用于加解密涉密數(shù)據(jù)的真實密碼 信息Key11保存在頭部信息區(qū)1中;步驟1.4:當用戶訪問移動存儲介質�����,要求輸入密碼(似^或似^),對該密碼進行計算��, 得到密碼的hash值�����,并與虛擬磁盤頭部信息區(qū)中保存的密碼信息進行對比�����,如果正確�,則 顯示對應的數(shù)據(jù)區(qū);否則���,不能訪問�;步驟1.5:當用戶輸入密碼Keys��,只能看到數(shù)據(jù)區(qū)2的數(shù)據(jù)�����;當用戶輸入密碼KeyD�,只能 看到數(shù)據(jù)區(qū)1中的數(shù)據(jù)�����;步驟1. 6 用戶可以在數(shù)據(jù)區(qū)2中預先放入一些非敏感數(shù)據(jù)或垃圾數(shù)據(jù)���,而在數(shù)據(jù)區(qū)1 中保存真正的涉密數(shù)據(jù)。這樣當用戶遭受脅迫而不得已說出密碼時����,可以將影子密碼說出, 則僅僅可以得到數(shù)據(jù)區(qū)2中的非敏感數(shù)據(jù)或垃圾數(shù)據(jù)��,從而有效保證有效涉密數(shù)據(jù)的安全 性���。
2.如權利要求1的一種面向移動存儲介質數(shù)據(jù)安全的雙因子影子密碼保護方法�����,其特 征在于�����,使用虛擬磁盤技術來映射和劃分1. 1和1. 2所述的文件和數(shù)據(jù)區(qū)段����。
3.如權利要求1的一種面向移動存儲介質數(shù)據(jù)安全的雙因子影子密碼保護方法�,其特 征在于,使用動態(tài)加解密技術來實現(xiàn)1. 3,1. 4和1. 6所述的密碼及數(shù)據(jù)信息在所有數(shù)據(jù)區(qū) 和頭部信息區(qū)的存儲和訪問��。
4.如權利要求1的一種面向移動存儲介質數(shù)據(jù)安全的雙因子影子密碼保護方法���,其特 征在于�,使用文件系統(tǒng)分區(qū)機制來實現(xiàn)1. 5所述的密碼與數(shù)據(jù)區(qū)的關聯(lián)�。
全文摘要
本發(fā)明公開了一種面向移動存儲介質數(shù)據(jù)安全的雙因子影子密碼保護方法。本發(fā)明的方法利用操作系統(tǒng)自身的虛擬磁盤技術�,將移動存儲介質中的磁盤空間進行重新格式化,使得在使用移動介質時��,輸入不同的密碼可以得到保存在移動存儲介質中的不同數(shù)據(jù)����,從而可以有效抵抗針對人身攻擊的密碼暴力破解行為。
文檔編號G06F12/14GK102096641SQ20101058467
公開日2011年6月15日 申請日期2010年12月13日 優(yōu)先權日2010年12月13日
發(fā)明者俞衛(wèi)華, 沈暉 申請人:沈暉, 王毅, 郭浩然