專利名稱:用于提高數(shù)據(jù)安全性的辦公系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于提高數(shù)據(jù)安全性的辦公系統(tǒng),屬于安全存儲應(yīng)用領(lǐng)域。
背景技術(shù):
目前,USB存儲設(shè)備是目前應(yīng)用最廣泛的移動存儲設(shè)備,包括U盤和移動硬盤等。越來越多的企事業(yè)單位使用USB存儲設(shè)備作為日常交換信息的工具,在使用過程中,存在兩方面的風(fēng)險一方面,企事業(yè)單位內(nèi)部計算機(jī)上存儲的重要業(yè)務(wù)數(shù)據(jù)和內(nèi)部信息,有可能通過USB端口外泄;另一方面,USB存儲設(shè)備上的類似信息,在設(shè)備丟失的情況下,也有可能外泄。這些數(shù)據(jù)一旦外泄,將會對企業(yè)或個人造成重大的損失。因此,數(shù)據(jù)安全已經(jīng)成為信息安全中主要的一個環(huán)節(jié)。利用USB數(shù)據(jù)流加解密技術(shù),可同時保護(hù)內(nèi)部計算機(jī)和USB存儲設(shè)備上的重要數(shù)據(jù)。目前對于USB數(shù)據(jù)保護(hù),通常有硬件和軟件等技術(shù)來實現(xiàn)數(shù)據(jù)的加密存儲。(I)很多USB存儲設(shè)備廠商推出了帶加密功能的USB存儲設(shè)備,此類設(shè)備在使用前,需校驗預(yù)設(shè)的密碼,密碼校驗通過,才能正常使用設(shè)備。這種方式可有效的保護(hù)移動存儲設(shè)備上的數(shù)據(jù),但無法保護(hù)計算機(jī)上的數(shù)據(jù)。(I)軟件實現(xiàn)的USB存儲設(shè)備數(shù)據(jù)防泄密系統(tǒng)。這種方式由一個安裝了證書管理軟件的服務(wù)器,多個安裝了客戶端軟件的內(nèi)部網(wǎng)絡(luò)主機(jī)客戶端,以及多個由普通USB存儲設(shè)備經(jīng)過證書服務(wù)器的初始化處理后的安全USB存儲設(shè)備所組成。使用時在網(wǎng)絡(luò)服務(wù)器和內(nèi)閣主機(jī)中分別安裝證書管理軟件和客戶端軟件,在證書服務(wù)器對USB存儲設(shè)備執(zhí)行安全初始化,將已初始化的安全USB存儲發(fā)放給內(nèi)部用戶使用,這種方式,安全管理和數(shù)據(jù)加解密全部采用軟件實現(xiàn)?!矫?,在安全性上,服務(wù)器和客戶端軟件,都存在被破解的可能,只要一個軟件被破解,都會導(dǎo)致數(shù)據(jù)外泄;另一方面,此方案中,USB數(shù)據(jù)加解密通過內(nèi)部計算機(jī)軟件實現(xiàn),必然導(dǎo)致USB傳輸效率降低,影響傳輸速度,且會占用內(nèi)部計算機(jī)大量資源。
發(fā)明內(nèi)容
本發(fā)明目的是提供一種用于提高數(shù)據(jù)安全性的辦公系統(tǒng),該辦公系統(tǒng)可任意設(shè)置工作域,方便了權(quán)限管理效率,且有效避免了工作域內(nèi)數(shù)據(jù)的外泄;并可靈活設(shè)置辦公系統(tǒng)的功能狀態(tài)。為達(dá)到上述目的,本發(fā)明采用的技術(shù)方案是
一種用于提高數(shù)據(jù)安全性的辦公系統(tǒng),包括由若干臺計算機(jī)組成的局域網(wǎng)和若干USB存儲設(shè)備,還包括一 USB加解密橋接器和USB密鑰設(shè)備;·所述USB加解密橋接器一端與所述計算機(jī)主板上的南橋芯片連接,其另一端作為外露的USB存儲設(shè)備的主接口 ;此USB加解密橋接器進(jìn)一步包括
第一 USB從接口模塊,與計算機(jī)南橋相連,用于與所述計算機(jī)之間通過USB總線進(jìn)行數(shù)據(jù)傳輸; USB主接口模塊,用于與所述USB存儲設(shè)備之間通過USB總線進(jìn)行數(shù)據(jù)傳輸和接收來自所述USB密鑰設(shè)備的第二識別碼和密鑰,或者與所述USB存儲設(shè)備傳輸數(shù)據(jù);
數(shù)據(jù)存儲區(qū),位于所述第一 USB從接口模塊(USB Device)和USB主接口模塊(USBHost)之間,用于存儲來自所述USB主接口模塊和第一 USB從接口模塊的數(shù)據(jù);
第一加解密模塊,與所述數(shù)據(jù)存儲區(qū)連接,當(dāng)計算機(jī)接收來自所述USB存儲設(shè)備的數(shù)據(jù)時,采用接收來自USB密鑰設(shè)備的密鑰對來自所述USB主接口模塊(USB Host)的數(shù)據(jù)進(jìn)行解密處理;當(dāng)計算機(jī)向所述USB存儲設(shè)備發(fā)送數(shù)據(jù)時,采用來自USB密鑰設(shè)備的密鑰對來自所述USB從接口模塊(USB Device)的數(shù)據(jù)進(jìn)行加密處理;
第一閃存存儲模塊(FLASH),用于存儲加解密算法的公鑰和私鑰對以及設(shè)置的第一識別碼,此公鑰和私鑰用于計算機(jī)與USB密鑰設(shè)備之間傳輸數(shù)據(jù)的加解密;
USB數(shù)據(jù)傳輸管理模塊,連接到所述第一 USB從接口模塊(USB Device I)、USB主接口模塊(USB Host)和第一加解密模塊,當(dāng)來自所述USB密鑰設(shè)備的第二識別碼與所述第一識別碼相等時,則接收來自所述USB密鑰設(shè)備的密鑰,調(diào)度USB從接口模塊(USB Device)內(nèi)數(shù)據(jù),USB主接口模塊(USB Host)內(nèi)數(shù)據(jù)和加解密模塊內(nèi)數(shù)據(jù)之間的數(shù)據(jù)交互;否則,禁止與所述USB存儲設(shè)備進(jìn)行數(shù)據(jù)傳輸;
USB加解密橋接器功能管理模塊,其位于USB加解密橋接器與USB密鑰設(shè)備,用于響應(yīng)USB密鑰設(shè)備的指令從而配置USB加解密橋接器處于以下功能之一 (a)USB加解密橋接器關(guān)閉,關(guān)閉USB主接口模塊,使主機(jī)端口不再工作,客戶端計算機(jī)無法通過此端口與USB存儲設(shè)備傳輸數(shù)據(jù),(b) USB加解密橋接器以非加密方式打開,打開USB加解密橋接器的USB主接口模塊,不使能加解密功能,客戶端計算機(jī)可通過此端口與一定USB存儲設(shè)備傳輸數(shù)據(jù),并且數(shù)據(jù)不會被加密或解密,(c) USB加解密橋接器以加密方式打開,打開USB加解密橋接器的主機(jī)端口,并使能加解密功能,客戶端計算機(jī)可通過此端口與USB存儲設(shè)備傳輸數(shù)據(jù),并且當(dāng)從USB存儲設(shè)備讀取數(shù)據(jù)時候,數(shù)據(jù)被解密;當(dāng)寫數(shù)據(jù)到USB存儲設(shè)備上時,數(shù)據(jù)被加密,Cd)變更加解密的密鑰,改變USB密鑰設(shè)備內(nèi)部保存的密鑰,由第二真隨機(jī)數(shù)模塊生成新密鑰,并保存到第二閃存存儲模塊;此USB加解密橋接器功能管理模塊,通信遵循USB2. O協(xié)議,使用私有SCSI命令進(jìn)行交互,工作過程如下
(I )、USB密鑰設(shè)備插入第一 USB從接口模塊后,USB加解密橋接器對其進(jìn)行枚舉,并識別到設(shè)備是密鑰設(shè)備,
(2)、USB加解密橋接器通過私有SCSI命令讀取USB密鑰設(shè)備的第二識別碼,并判斷此第二識別碼是否有效,如果有效,則繼續(xù)工作,否則彈出USB密鑰設(shè)備,
(3)、加解密橋接設(shè)備查詢USB密鑰設(shè)備是否有按鍵按下,如果有,則執(zhí)行對應(yīng)功能,并在執(zhí)行完畢后,反饋狀態(tài)信息到密鑰設(shè)備,
USB加解密橋接器與USB密鑰設(shè)備之間通信采用數(shù)字信封方式,基于1024位RSA非對稱加解算法,并對非對稱算法的公鑰,采用DES對稱加解密算法進(jìn)行加解密;
所述USB密鑰設(shè)備進(jìn)一步包括
第二 USB從接口模塊,用于與所述USB加解密橋接器的USB主接口模塊(USB Host)連接,用于與所述USB加解密橋接器之間通過USB總線進(jìn)行數(shù)據(jù)和第二識別碼傳輸;
第二加解密模塊,采用公鑰對所述密鑰進(jìn)行加密,同時采用私鑰對來自所述USB加解密橋接器的數(shù)據(jù)進(jìn)行解密;
第二閃存存儲模塊(FLASH),用于保存所述密鑰和所述第二識別碼并記錄USB加解密橋接器的功能狀態(tài);
四個按鍵,包括用于關(guān)閉端口的第一按鍵,用于打開USB橋接設(shè)備、以非加密模式的第二按鍵,用于打開USB橋接設(shè)備、以加密模式的第三按鍵,用于變換密鑰的第四按鍵。上述技術(shù)方案中進(jìn)一步改進(jìn)的方案如下
I、上述方案中,所述第一加解密模塊進(jìn)一步包括
第一非對稱算法RSA模塊,用于USB加解密橋接器與USB密鑰設(shè)備通信時用來對敏感 數(shù)據(jù)進(jìn)行加解密,此敏感數(shù)據(jù)包括密鑰和USB密鑰設(shè)備的第二識別碼;
第一對稱算法模塊,此對稱算法模塊內(nèi)存儲SMl或SM4或3DES算法;
第一真隨機(jī)數(shù)模塊,用于產(chǎn)生所述第一非對稱算法RSA模塊需要的隨機(jī)數(shù)。2、上述方案中,所述第二加解密模塊進(jìn)一步包括
第二非對稱算法RSA模塊,用于USB加解密橋接器與USB密鑰設(shè)備通信時對數(shù)據(jù)進(jìn)行處理;
第二對稱算法模塊,此第二對稱算法模塊內(nèi)存儲SMl或SM4或3DES算法;
第二真隨機(jī)數(shù)模塊,用于產(chǎn)生所述非對稱算法RSA模塊需要的隨機(jī)數(shù)并根據(jù)此隨機(jī)數(shù)產(chǎn)生所述密鑰。由于上述技術(shù)方案運(yùn)用,本發(fā)明與現(xiàn)有技術(shù)相比具有下列優(yōu)點(diǎn)和效果
本發(fā)明提出了一種全新的,基于硬件設(shè)備的USB端口用于提高數(shù)據(jù)安全性的辦公系統(tǒng),整個系統(tǒng)應(yīng)用靈活,并且在安全性上,具有極大的優(yōu)勢。此方案中,權(quán)限管理和USB數(shù)據(jù)流加解密使用硬件實現(xiàn),在硬件不被破壞的前提下,可以確保其安全性,并且?guī)缀醪挥绊慤SB數(shù)據(jù)傳輸效率,不占用計算機(jī)任何資源。在確保安全性的前提下,本發(fā)明具有良好的兼容性,計算機(jī)方面,能支持目前市場上所有USB2. O接口的計算機(jī);而移動存儲設(shè)備方面,能夠支持各個品牌的U盤或移動硬盤。
附圖I為本發(fā)明系統(tǒng)結(jié)構(gòu)示意 附圖2為本發(fā)明USB加解密橋接器結(jié)構(gòu)示意 附圖3為本發(fā)明USB密鑰設(shè)備結(jié)構(gòu)示意圖。
具體實施例方式下面結(jié)合附圖及實施例對本發(fā)明作進(jìn)一步描述
實施例一種用于提高數(shù)據(jù)安全性的辦公系統(tǒng),包括由若干臺計算機(jī)組成的局域網(wǎng)和移動存儲設(shè)備,一 USB加解密橋接器和USB密鑰設(shè)備;
所述USB加解密橋接器一端與所述計算機(jī)主板上的南橋芯片連接,其另一端作為外露USB存儲設(shè)備的主接口 ;此USB加解密橋接器進(jìn)一步包括
第一 USB主接口模塊USB Device I,與計算機(jī)南橋相連,用于與所述計算機(jī)之間通過USB總線進(jìn)行數(shù)據(jù)傳輸;
USB從接口模塊USB Host,用于與所述USB存儲設(shè)備之間通過USB總線進(jìn)行數(shù)據(jù)和來自所述USB密鑰設(shè)備的第二識別碼傳輸,或者與所述移動存儲設(shè)備傳輸數(shù)據(jù);
數(shù)據(jù)存儲區(qū),位于所述USB主接口模塊USB Device和USB從接口模塊USB Host之間,用于存儲來自所述第一 USB主接口模塊和USB從接口模塊的數(shù)據(jù);
第一加解密模塊,與所述數(shù)據(jù)存儲區(qū)連接,當(dāng)計算機(jī)接受來自所述移動存儲設(shè)備的數(shù)據(jù)時,采用接收的密鑰對來自所述USB從接口模塊USB Host的數(shù)據(jù)進(jìn)行解密處理;當(dāng)計算機(jī)向所述移動存儲設(shè)備發(fā)送數(shù)據(jù)時,采用接收的密鑰對來自所述USB主接口模塊USBDevice的數(shù)據(jù)進(jìn)行加密處理;
第一閃存存儲模塊FLASH,用于存儲加解密算法的公鑰和私鑰對以及設(shè)置的第一識別碼,此公鑰和私鑰用于計算機(jī)與USB密鑰設(shè)備之間傳輸數(shù)據(jù)的加解密;
USB數(shù)據(jù)傳輸管理模塊,連接到所述第一 USB主接口模塊USB Device UUSB從接口模塊USB Host和第一加解密模塊,當(dāng)來自所述USB密鑰設(shè)備的第二識別碼與所述第一識別碼相等時,則接收來自所述USB密鑰設(shè)備的密鑰,調(diào)度USB主接口模塊USB Device內(nèi)數(shù)據(jù),USB從接口模塊USB Host內(nèi)數(shù)據(jù)和加解密模塊內(nèi)數(shù)據(jù)之間的數(shù)據(jù)交互;否則,禁止與所述移動存儲設(shè)備進(jìn)行數(shù)據(jù)傳輸;
所述USB密鑰設(shè)備進(jìn)一步包括
第二 USB主接口模塊,用于與所述USB加解密橋接器的USB從接口模塊USB Host連接,用于與所述USB加解密橋接器之間通過USB總線進(jìn)行數(shù)據(jù)和第二識別碼傳輸;
第二加解密模塊,采用公鑰對所述密鑰進(jìn)行加密,同時采用私鑰對來自所述USB加解密橋接器的數(shù)據(jù)進(jìn)行解密;
第二閃存存儲模塊FLASH,用于保存所述密鑰和所述第二識別碼。上述第一加解密模塊進(jìn)一步包括
第一非對稱算法RSA模塊,用于USB加解密橋接器與USB密鑰設(shè)備通信時對數(shù)據(jù)進(jìn)行處理;
第一對稱算法模塊,此對稱算法模塊內(nèi)存儲SMl或SM4或3DES算法。第一真隨機(jī)數(shù)模塊,用于產(chǎn)生所述非對稱算法RSA模塊需要的隨機(jī)數(shù)。上述第二加解密模塊進(jìn)一步包括
第二非對稱算法RSA模塊,用于USB加解密橋接器與USB密鑰設(shè)備通信時對數(shù)據(jù)進(jìn)行處理;
第二對稱算法模塊,此對稱算法模塊內(nèi)存儲SMl或SM4或3DES算法。第二真隨機(jī)數(shù)模塊,用于產(chǎn)生所述非對稱算法RSA模塊需要的隨機(jī)數(shù)。本實施例上述內(nèi)容具體工作過程如下。上述辦公系統(tǒng)包括下述部件
一個用于管理控制的USB密鑰設(shè)備,USB密鑰設(shè)備是表現(xiàn)為對外人機(jī)接口的USB設(shè)備,存儲著一個通過隨機(jī)數(shù)產(chǎn)生的密鑰,該密鑰為若干USB加解密橋接器的授權(quán)密鑰。USB密鑰設(shè)備用于初始化USB加解密橋接器,并管理加解密設(shè)備的使用。多個客戶端,它是安裝了 USB加解密橋接器的內(nèi)部計算機(jī),用于對USB存儲設(shè)備的讀寫操作進(jìn)行透明加解密處理,同時實現(xiàn)對USB存儲設(shè)備的使用控制。
客戶端使用前,必須由USB密鑰設(shè)備進(jìn)行初始化。初始化過程中,USB加解密橋接器將獲取USB密鑰設(shè)備上的密鑰和密鑰設(shè)備的唯一 ID,并保存。若干客戶端可組成一個工作組,工作組由唯一 USB密鑰設(shè)備管理,同一工作組中的客戶端之間,可以通過USB存儲設(shè)備互相傳遞數(shù)據(jù)。USB加解密橋接器具有具體解釋如下
(I)在使用過程中,USB加解密橋接器介于計算機(jī)南橋芯片和USB存儲設(shè)備之間,在USB數(shù)據(jù)傳輸過程中起到橋接的作用。(2)USB加解密橋接器只能識別USB密鑰設(shè)備和移動存儲設(shè)備,不支持其他類型的USB設(shè)備。(3) USB加解密橋接器功能受USB密鑰設(shè)備控制,加解密所使用的密鑰,由USB密鑰設(shè)備提供。
·
(4) USB加解密橋接器與USB密鑰設(shè)備通信時,采用USB私有命令,對敏感數(shù)據(jù)采用RSA非對稱數(shù)字信封和SM4對稱加解密兩種疊加的方式,具有強(qiáng)大的安全性。(5 ) USB加解密橋接器的USB端口,支持USB2. O和USB1. I協(xié)議,遵循MassStorage設(shè)備類規(guī)范,bulk only協(xié)議,以及SCSI協(xié)議。(6)加解密過程對計算機(jī)用戶透明。(7)效率高,速度快,采用SMl算法,在USB存儲設(shè)備速度達(dá)到30MB/s以上,大文件數(shù)據(jù)傳輸時,加解密讀寫速度可到25MB/S以上。 (8)在數(shù)據(jù)傳輸過程中,USB數(shù)據(jù)接收、USB數(shù)據(jù)發(fā)送和數(shù)據(jù)加解密同時進(jìn)行,最大程度上保證了數(shù)據(jù)傳輸效率。(9)對計算機(jī)用戶來說,加解密過程是透明的,不影響任何操作。加解密設(shè)備由密鑰設(shè)備來控制,無需改變計算機(jī)任何配置,方便靈活。USB密鑰設(shè)備具有以下特征
(I) 一個USB密鑰設(shè)備管理一個工作組,工作組由若干客戶端即計算機(jī)組成,USB密鑰設(shè)備通過設(shè)置客戶端上的USB加解密橋接器功能,來實現(xiàn)對工作組的管理。一個工作組對應(yīng)一個USB密鑰設(shè)備。(2)USB密鑰設(shè)備只有與USB加解密橋接器配合才能使用,將USB密鑰設(shè)備插入普通USB主機(jī),沒有任何效果。(3) USB密鑰設(shè)備與USB加解密橋接器之間通信,遵循USB2. O協(xié)議,遵循MassStorage設(shè)備類規(guī)范,bulk only協(xié)議,以及SCSI協(xié)議。采用私有命令方式,對敏感數(shù)據(jù)采用RSA非對稱數(shù)字信封和SM4對稱加解密兩種疊加的方式,具有強(qiáng)大的安全性。(4)每個USB密鑰設(shè)備都具有唯一的第二識別碼ID2,此第二識別碼ID2長度為32bit,在設(shè)備生產(chǎn)過程中生成,采用時間標(biāo)定的方式,確保其唯一性,第二識別碼ID2保存在USB密鑰設(shè)備的第二閃存存儲模塊FLASH2內(nèi)。(5) USB密鑰設(shè)備采用真隨機(jī)數(shù)模塊產(chǎn)生密鑰,密鑰保存在第二閃存存儲模塊FLASH2內(nèi)。此密鑰供USB加解密橋接器作為數(shù)據(jù)加解密密鑰使用。(6)USB密鑰設(shè)備有四個按鍵,對應(yīng)可以與USB加解密橋接器配合,進(jìn)行四種操作 A:關(guān)閉USB加解密橋接器,此時USB加解密橋接器對插入的USB存儲設(shè)備無響應(yīng)。B:以非加解密模式,打開USB加解密橋接器,此時USB加解密橋接器與計算機(jī)普通USB端口具有一樣的功能。C:以加解密模式,打開USB加解密橋接器,此時USB加解密橋接器具有加解密的功能,對所傳輸?shù)臄?shù)據(jù)會進(jìn)行加密或者解密的操作。D:變更USB密鑰設(shè)備上的密鑰,USB密鑰設(shè)備將通過真隨機(jī)數(shù)發(fā)生器,產(chǎn)生新的密鑰,并保存到FLASH中。(7) USB密鑰設(shè)備有四個指示燈,對應(yīng)四個按鍵,表示對應(yīng)按鍵的操作是否正確完成。工作方法
基于USB密鑰設(shè)備、USB加解密橋接器的數(shù)據(jù)防泄密系統(tǒng)的使用方法,
包括下列步驟
(I)若干安裝好USB加解密橋接器的客戶端、一個USB密鑰設(shè)備和移動存儲設(shè)備組成一個工作域。USB加解密橋接器在初始狀態(tài)下,USB主機(jī)端口是關(guān)閉的,因此此時工作域內(nèi)USB端口不可用。(2)通過連接USB密鑰設(shè)備和某一客戶端的USB加解密橋接器,通過USB密鑰設(shè)備按鍵選擇“打開USB加解密橋接器,以加解密方式”,等待設(shè)置完成。(3)采用相同方式,配置所有客戶端。(4)把移動存儲設(shè)備插入客戶端的USB從接口模塊,此時移動存儲設(shè)備無法正常使用,需格式化該移動存儲設(shè)備,成功后可使用該移動存儲設(shè)備傳遞數(shù)據(jù)。(5)正常使用過程中,數(shù)據(jù)從客戶端拷貝到移動存儲設(shè)備,會經(jīng)過USB加解密橋接器的加密,數(shù)據(jù)以密文形式存儲在移動存儲設(shè)備上。(6)正常使用過程中,數(shù)據(jù)從移動存儲設(shè)備拷貝到客戶端,會經(jīng)過USB加解密橋接器的解密,數(shù)據(jù)以明文形式存儲在客戶端硬盤上。(7)同一 USB密鑰設(shè)備管理的客戶端,具有相同的加解密密鑰,可互相之間拷貝數(shù)據(jù);此密鑰可隨時更改,使用USB密鑰設(shè)備的“變更密鑰”功能,首先變更USB密鑰設(shè)備存儲的密鑰,后通過“以加解密方式,打開橋接設(shè)備”這個功能,把新的密鑰同步到每個客戶端。(8)添加一個客戶端到工作域,使用USB密鑰設(shè)備,對一個安裝好USB加解密橋接器的客戶端進(jìn)行配置,通過“以加解密方式,打開橋接設(shè)備”這個功能,把加解密密鑰和USB密鑰設(shè)備的ID同步到客戶端即可。(9)特殊情況之下,可設(shè)置客戶端拷貝明文數(shù)據(jù)到存儲設(shè)備,使用USB密鑰設(shè)備的“以非加解密方式,打開橋接設(shè)備”功能,配置某個客戶端對拷貝數(shù)據(jù)不進(jìn)行加解密,這種情況下,數(shù)據(jù)從客戶端拷貝到移動存儲設(shè)備,不進(jìn)行加密,移動存儲設(shè)備存儲的是數(shù)據(jù)明文,在任何一臺普通計算機(jī)上都還可以正確讀取。(10)特殊情況之下,可關(guān)閉客戶端的USB端口,使用USB密鑰設(shè)備的“關(guān)閉橋接設(shè)備”功能即可實現(xiàn)。USB加解密橋接器說明
USB主接口模塊USB Host USB主機(jī)功能模塊,支持USB1. I和USB2. O協(xié)議,可通過USB主接口模塊USB Host接收數(shù)據(jù),或通過Host端口發(fā)送FIFO內(nèi)的數(shù)據(jù)。USB加解密橋接器的主機(jī)接口只能識別USB密鑰設(shè)備和移動存儲設(shè)備,并且主機(jī)接口受USB密鑰設(shè)備的控制。加解密橋接芯片USB Host接口外露在計算機(jī)外殼外部,作為外部USB存儲設(shè)備的主接口。主機(jī)接口負(fù)責(zé)與移動存儲設(shè)備和USB密鑰設(shè)備進(jìn)行通信。第一 USB從接口模塊USB Devl USB設(shè)備功能模塊,支持USB1. I和USB2. O協(xié)議,可通過Device端口接收,或通過第一 USB主接口模塊USB Devl發(fā)送的數(shù)據(jù)。USB加解密橋接器的第一 USB從接口模塊USB Devl與計算機(jī)南橋相連,負(fù)責(zé)與計算機(jī)之間通過USB總線進(jìn)行通信。第一閃存存儲模塊FLASHl :存儲模塊負(fù)責(zé)保存相關(guān)信息,包括USB密鑰設(shè)備的ID、數(shù)據(jù)加解密使用的密鑰以及USB加解密橋接器當(dāng)前功能狀態(tài)。對稱加解密模塊包括SM1、SM4和DES等,主要作用是對傳輸?shù)腢SB數(shù)據(jù)進(jìn)行加解密,以及在USB加解密橋接器與USB密鑰設(shè)備進(jìn)行通信時,對數(shù)字信封的公鑰進(jìn)行加解密。
(5)非對稱加解密RSA模塊非對稱RSA模塊,在USB加解密橋接器與USB密鑰設(shè)備通信時,用來對敏感數(shù)據(jù)進(jìn)行加解密,敏感數(shù)據(jù)包括加解密密鑰和USB密鑰設(shè)備的識別碼ID等。采用數(shù)字信封方式。數(shù)字信封技術(shù)是安全通訊領(lǐng)域一種常用技術(shù),用于發(fā)起方(A)、響應(yīng)方(B)雙方的重要信息交換,可以保證通訊數(shù)據(jù)一次一鑰。(I), A隨機(jī)生成非對稱公私鑰對。(2), A方將公鑰發(fā)送給B方。(3),B方用A方的公鑰將B方需要傳輸?shù)臄?shù)據(jù)加密。(4),B方將加密后的數(shù)據(jù)發(fā)送回A方。(5),A方用私鑰解密B方發(fā)送回的數(shù)據(jù)。(6),解密數(shù)據(jù)即為B方明文。采用1024位RSA加解密算法。(6)真隨機(jī)數(shù)模塊
USB加解密橋接器包含一個硬件真隨機(jī)數(shù)發(fā)生器,能夠產(chǎn)生真隨機(jī)數(shù),用來生成RSA算法所需要的隨機(jī)數(shù)據(jù)。(7) USB數(shù)據(jù)傳輸管理模塊
USB數(shù)據(jù)傳輸管理模塊負(fù)責(zé)客戶端與移動存儲設(shè)備數(shù)據(jù)交互管理,負(fù)責(zé)調(diào)度USB加解密橋接器的USB Host模塊、USB Device模塊和加解密模塊。把從客戶端USB主機(jī)收到的命令通過加解密橋接設(shè)備USB主機(jī)轉(zhuǎn)發(fā)給移動存儲設(shè)備。往移動存儲設(shè)備寫數(shù)據(jù)時,把從客戶端收到的數(shù)據(jù)經(jīng)過加密后轉(zhuǎn)發(fā)給移動存儲設(shè)備。從移動存儲設(shè)備讀取數(shù)據(jù)時,把從移動存儲設(shè)備讀出的數(shù)據(jù)解密后轉(zhuǎn)發(fā)給客戶端。從移動存儲設(shè)備讀取狀態(tài)時,把從移動存儲設(shè)備讀出的狀態(tài)直接轉(zhuǎn)發(fā)給客戶端。(8) USB加解密橋接器功能管理模塊
此模塊負(fù)責(zé)與USB密鑰設(shè)備進(jìn)行交互,配置USB加解密橋接器的功能。USB加解密橋接器與USB密鑰設(shè)備之間,通信遵循USB2. O協(xié)議,使用私有SCSI命令進(jìn)行交互。過程如下(I),USB密鑰設(shè)備插入客戶端后,USB加解密橋接器對其進(jìn)行枚舉,并識別到設(shè)備是密鑰設(shè)備。(2),USB加解密橋接器通過私有SCSI命令讀取密鑰設(shè)備的ID,并判斷此ID是否有效,如果有效,則繼續(xù)工作,否則彈出密鑰設(shè)備。(3),加解密橋接設(shè)備查詢密鑰設(shè)備是否有按鍵按下,如果有,則執(zhí)行對應(yīng)功能,并在執(zhí)行完畢后,反饋狀態(tài)信息到密鑰設(shè)備。USB加解密橋接器與USB密鑰設(shè)備之間通信采用數(shù)字信封方式,基于1024位RSA非對稱加解算法,并對非對稱算法的公鑰,采用DES對稱加解密算法進(jìn)行加解密。USB加解密橋接器是集成在客戶端上特定的USB2. O高速主機(jī)端口,內(nèi)置國芯安全MCU,可以將Mass Storage設(shè)備類的數(shù)據(jù)流進(jìn)行加解密,該端口只能枚舉Mass Storage類設(shè)備。在工作過程中,USB加解密橋接器介于計算機(jī)USB主機(jī)和移動存儲設(shè)備之間。對·于客戶端的用戶來說,USB加解密橋接器是透明的,在平時操作中,加解密過程是用戶不可見的。支持USB主機(jī)接口、USB密鑰設(shè)備接口和對應(yīng)協(xié)議棧。支持USB2. O高速協(xié)議,支持Mass Storage Bulk only協(xié)議。USB主機(jī)借口只支持Mass Storage設(shè)備類規(guī)范。其他類型設(shè)備,主機(jī)將不能完成枚舉和初始化過程。USB加解密橋接器使用SMl對稱算法將USB Mass Stoage設(shè)備通訊中的SCSI命令中的DATA部分加密或解密。支持通過USB密鑰設(shè)備更新SMl加密密鑰。與USB密鑰設(shè)備通訊協(xié)議為Mass Stoage協(xié)議,通過私有SCSI命令。與USB密鑰設(shè)備的數(shù)據(jù)傳輸使用數(shù)字信封技術(shù),加密方式為RSA (采用1024bit密鑰)。USB加解密橋接器采用SMl算法,在硬盤的速度達(dá)到30MB/S以上大文件數(shù)據(jù)傳輸時,USB加解密橋接器的USB主機(jī)和設(shè)備端口的數(shù)據(jù)收發(fā)速度可達(dá)到25MB/S。USB密鑰設(shè)備說明
(I) USB Dev
USB設(shè)備功能模塊,支持USB1. I和USB2. O協(xié)議,可通過第二 USB從接口模塊即Device端口接收數(shù)據(jù),或通過第二 USB從接口模塊即Device端口發(fā)送數(shù)據(jù)。USB密鑰設(shè)備的Device端口與USB加解密橋接器的USB主接口模塊相連,負(fù)責(zé)與USB加解密橋接器之間通過USB總線進(jìn)行通信。(2)第二閃存存儲模塊FLASH2 :
第二閃存存儲模塊FLASH2負(fù)責(zé)保存相關(guān)信息,USB密鑰設(shè)備生成過程中,會生成USB密鑰設(shè)備的第二識別碼ID2,此第二識別碼ID2具有唯一性,每個設(shè)備都不同,采用時間標(biāo)定的方式,此第二識別碼ID2在生成過程中,保存到第二閃存存儲模塊FLASH2中;數(shù)據(jù)加解密使用的密鑰在USB密鑰設(shè)備第一次上電時,通過真隨機(jī)數(shù)自動生成,并保存在第二閃存存儲模塊FLASH2中。(3)對稱加解密模塊
DES對稱加解密算法,主要作用是在USB加解密橋接器與USB密鑰設(shè)備進(jìn)行通信時,對數(shù)字信封的公鑰進(jìn)行加解密。(4)非對稱加解密RSA模塊
非對稱RSA模塊,在USB加解密橋接器與USB密鑰設(shè)備通信時,用來對敏感數(shù)據(jù)進(jìn)行加解密,敏感數(shù)據(jù)包括加解密密鑰和USB密鑰設(shè)備的第二識別碼ID2等。采用數(shù)字信封方式。(5)第二真隨機(jī)數(shù)模塊
USB密鑰設(shè)備包含一個硬件真隨機(jī)數(shù)發(fā)生器,能夠產(chǎn)生真隨機(jī)數(shù),用來生成RSA算法所需要的隨機(jī)數(shù)據(jù)。(6) USB加解密橋接器功能管理模塊
此模塊負(fù)責(zé)與USB加解密橋接器進(jìn)行交互,配置USB加解密橋接器的功能。USB加解密橋接器與USB密鑰設(shè)備之間,通信遵循USB2. O協(xié)議,使用私有SCSI命令進(jìn)行交互。USB加解密橋接器功能管理模塊,加解密設(shè)備具有以下幾個可配置功能USB加解密橋接器關(guān)閉、USB加解密橋接器以非加密方式打開、USB加解密橋接器以加密方式打開和變更加解密設(shè)備的密鑰。以上功能配置,必須與USB加解密橋接器配合實現(xiàn)。(7)按鍵和 LED
USB密鑰設(shè)備有四個按鍵,以及與之配套的LED狀態(tài)顯示燈。四個按鍵可以選擇是進(jìn)行何種操作。同時有4個指示燈指示操作是否成功。
權(quán)利要求
1.一種用于提高數(shù)據(jù)安全性的辦公系統(tǒng),包括由若干臺計算機(jī)組成的局域網(wǎng)和若干USB存儲設(shè)備,其特征在于還包括一 USB加解密橋接器和USB密鑰設(shè)備; 所述USB加解密橋接器一端與所述計算機(jī)主板上的南橋芯片連接,其另一端作為外露的USB存儲設(shè)備的主接口 ;此USB加解密橋接器進(jìn)一步包括 第一 USB從接口模塊,與計算機(jī)南橋相連,用于與所述計算機(jī)之間通過USB總線進(jìn)行數(shù)據(jù)傳輸; USB主接口模塊,用于與所述USB存儲設(shè)備之間通過USB總線進(jìn)行數(shù)據(jù)傳輸和接收來自所述USB密鑰設(shè)備的第二識別碼和密鑰,或者與所述USB存儲設(shè)備傳輸數(shù)據(jù); 數(shù)據(jù)存儲區(qū),位于所述第一 USB從接口模塊(USB Device)和USB主接口模塊(USBHost)之間,用于存儲來自所述USB主接口模塊和第一 USB從接口模塊的數(shù)據(jù); 第一加解密模塊,與所述數(shù)據(jù)存儲區(qū)連接,當(dāng)計算機(jī)接收來自所述USB存儲設(shè)備的數(shù)據(jù)時,采用接收來自USB密鑰設(shè)備的密鑰對來自所述USB主接口模塊(USB Host)的數(shù)據(jù)進(jìn)行解密處理;當(dāng)計算機(jī)向所述USB存儲設(shè)備發(fā)送數(shù)據(jù)時,采用來自USB密鑰設(shè)備的密鑰對來自所述USB從接口模塊(USB Device)的數(shù)據(jù)進(jìn)行加密處理; 第一閃存存儲模塊(FLASH),用于存儲加解密算法的公鑰和私鑰對以及設(shè)置的第一識別碼,此公鑰和私鑰用于計算機(jī)與USB密鑰設(shè)備之間傳輸數(shù)據(jù)的加解密; USB數(shù)據(jù)傳輸管理模塊,連接到所述第一 USB從接口模塊(USB Device I)、USB主接口模塊(USB Host)和第一加解密模塊,當(dāng)來自所述USB密鑰設(shè)備的第二識別碼與所述第一識別碼相等時,則接收來自所述USB密鑰設(shè)備的密鑰,調(diào)度USB從接口模塊(USB Device)內(nèi)數(shù)據(jù),USB主接口模塊(USB Host)內(nèi)數(shù)據(jù)和加解密模塊內(nèi)數(shù)據(jù)之間的數(shù)據(jù)交互;否則,禁止與所述USB存儲設(shè)備進(jìn)行數(shù)據(jù)傳輸; USB加解密橋接器功能管理模塊,其位于USB加解密橋接器與USB密鑰設(shè)備,用于響應(yīng)USB密鑰設(shè)備的指令從而配置USB加解密橋接器處于以下功能之一 (a)USB加解密橋接器關(guān)閉,關(guān)閉USB主接口模塊,使主機(jī)端口不再工作,客戶端計算機(jī)無法通過此端口與USB存儲設(shè)備傳輸數(shù)據(jù),(b) USB加解密橋接器以非加密方式打開,打開USB加解密橋接器的USB主接口模塊,不使能加解密功能,客戶端計算機(jī)可通過此端口與一定USB存儲設(shè)備傳輸數(shù)據(jù),并且數(shù)據(jù)不會被加密或解密,(c) USB加解密橋接器以加密方式打開,打開USB加解密橋接器的主機(jī)端口,并使能加解密功能,客戶端計算機(jī)可通過此端口與USB存儲設(shè)備傳輸數(shù)據(jù),并且當(dāng)從USB存儲設(shè)備讀取數(shù)據(jù)時候,數(shù)據(jù)被解密;當(dāng)寫數(shù)據(jù)到USB存儲設(shè)備上時,數(shù)據(jù)被加密,Cd)變更加解密的密鑰,改變USB密鑰設(shè)備內(nèi)部保存的密鑰,由第二真隨機(jī)數(shù)模塊生成新密鑰,并保存到第二閃存存儲模塊;此USB加解密橋接器功能管理模塊,通信遵循USB2. O協(xié)議,使用私有SCSI命令進(jìn)行交互,工作過程如下 (I )、USB密鑰設(shè)備插入第一 USB從接口模塊后,USB加解密橋接器對其進(jìn)行枚舉,并識別到設(shè)備是密鑰設(shè)備, (2)、USB加解密橋接器通過私有SCSI命令讀取USB密鑰設(shè)備的第二識別碼,并判斷此第二識別碼是否有效,如果有效,則繼續(xù)工作,否則彈出USB密鑰設(shè)備, (3)、加解密橋接設(shè)備查詢USB密鑰設(shè)備是否有按鍵按下,如果有,則執(zhí)行對應(yīng)功能,并在執(zhí)行完畢后,反饋狀態(tài)信息到密鑰設(shè)備, USB加解密橋接器與USB密鑰設(shè)備之間通信采用數(shù)字信封方式,基于1024位RSA非對稱加解算法,并對非對稱算法的公鑰,采用DES對稱加解密算法進(jìn)行加解密; 所述USB密鑰設(shè)備進(jìn)一步包括 第二 USB從接口模塊,用于與所述USB加解密橋接器的USB主接口模塊(USB Host)連接,用于與所述USB加解密橋接器之間通過USB總線進(jìn)行數(shù)據(jù)和第二識別碼傳輸; 第二加解密模塊,采用公鑰對所述密鑰進(jìn)行加密,同時采用私鑰對來自所述USB加解密橋接器的數(shù)據(jù)進(jìn)行解密; 第二閃存存儲模塊(FLASH),用于保存所述密鑰和所述第二識別碼并記錄USB加解密橋接器的功能狀態(tài); 四個按鍵,包括用于關(guān)閉端口的第一按鍵,用于打開USB橋接設(shè)備、以非加密模式的第二按鍵,用于打開USB橋接設(shè)備、以加密模式的第三按鍵,用于變換密鑰的第四按鍵。
2.根據(jù)權(quán)利要求I所述的辦公系統(tǒng),其特征在于所述第一加解密模塊進(jìn)一步包括 第一非對稱算法RSA模塊,用于USB加解密橋接器與USB密鑰設(shè)備通信時用來對敏感數(shù)據(jù)進(jìn)行加解密,此敏感數(shù)據(jù)包括密鑰和USB密鑰設(shè)備的第二識別碼; 第一對稱算法模塊,此對稱算法模塊內(nèi)存儲SMl或SM4或3DES算法; 第一真隨機(jī)數(shù)模塊,用于產(chǎn)生所述第一非對稱算法RSA模塊需要的隨機(jī)數(shù)。
3.根據(jù)權(quán)利要求I所述的辦公系統(tǒng),其特征在于所述第二加解密模塊進(jìn)一步包括 第二非對稱算法RSA模塊,用于USB加解密橋接器與USB密鑰設(shè)備通信時對數(shù)據(jù)進(jìn)行處理; 第二對稱算法模塊,此第二對稱算法模塊內(nèi)存儲SMl或SM4或3DES算法; 第二真隨機(jī)數(shù)模塊,用于產(chǎn)生所述非對稱算法RSA模塊需要的隨機(jī)數(shù)并根據(jù)此隨機(jī)數(shù)產(chǎn)生所述密鑰。
全文摘要
本發(fā)明公開一種用于提高數(shù)據(jù)安全性的辦公系統(tǒng),包括由若干臺計算機(jī)組成的局域網(wǎng)和移動存儲設(shè)備,一USB加解密橋接器和USB密鑰設(shè)備;所述USB加解密橋接器一端與所述計算機(jī)主板上的南橋芯片連接,其另一端作為外露USB存儲設(shè)備的主接口;USB加解密橋接器功能管理模塊,其位于USB加解密橋接器與USB密鑰設(shè)備,用于響應(yīng)USB密鑰設(shè)備的指令從而配置USB加解密橋接器功能,此USB加解密橋接器進(jìn)一步包括第一USB從接口模塊;USB主接口模塊;數(shù)據(jù)存儲區(qū);第一加解密模塊;第一閃存存儲模塊;USB數(shù)據(jù)傳輸管理模塊;所述USB密鑰設(shè)備進(jìn)一步包括第二USB從接口模塊;第二加解密模塊;第二閃存存儲模塊。本發(fā)明辦公系統(tǒng)可任意設(shè)置工作域,方便了權(quán)限管理效率,且有效避免了工作域內(nèi)數(shù)據(jù)的外泄。
文檔編號G06F21/44GK102930229SQ20121045836
公開日2013年2月13日 申請日期2011年1月18日 優(yōu)先權(quán)日2011年1月18日
發(fā)明者鄭茳, 肖佐楠, 匡啟和, 王廷平, 尤國芳 申請人:蘇州國芯科技有限公司