本發(fā)明涉及一種控制U盤使用范圍的方法，屬于信息安全技術領域。

背景技術：

U盤作為一種便攜的存儲設備廣泛的在各種場合下使用，在帶來方便的同時也存在泄密的嚴重隱患。比如公司里的技術圖紙、核心代碼、商業(yè)機密都能通過U盤拷貝出去造成泄密。

在現(xiàn)有的解決方案中，保密U盤是一種常用的保護U盤數(shù)據(jù)的手段。保密U盤的工作原理是通過強加密的方式將整個U盤分區(qū)進行加密處理，形成私有的磁盤格式。使用的時候通過VVOL技術將加密后的U盤分區(qū)解密并掛載成虛擬卷，這樣用戶就能和使用普通的U盤一樣使用保密U盤了。而如果U盤帶出公司，由于無法通過VVOL進行解密和掛載，U盤中的數(shù)據(jù)無法使用。

現(xiàn)有的保密U盤能從很大程度上杜絕涉密文件通過U盤泄密，但是控制顆粒度太粗，不太易于使用，當有如下需求時，現(xiàn)有保密U盤無法滿足：1、公司里有多個部門，不同的部門分配不同的U盤，不同的部門之間只能使用各自的U盤，或者控制U盤在跨部門的情況下只讀。2、動態(tài)的對U盤的使用范圍進行調整，比如A優(yōu)盤開始是屬于研發(fā)部門的，通過管理員調整為B部門的。

技術實現(xiàn)要素：

本發(fā)明要解決的技術問題是提供一種控制U盤使用范圍的方法，對U盤的使用范圍進行細粒度的控制，并且支持靈活定制，隨時調整。

為了解決所述技術問題，本發(fā)明采用的技術方案是：一種控制U盤使用范圍的方法，包括以下步驟：S01)、根據(jù)U盤的ID串計算U盤的唯一標識碼，用于唯一標識U盤，同一個U盤在不同的終端獲取到的標識碼始終相同，不同的U盤標識碼不同；S02）、根據(jù)U盤的唯一標識碼生成該U盤的密鑰，使用密鑰制作保密U盤，將U盤的唯一標識、描述和對應的密鑰入庫；S03）、對不同的終端或者部門配置密鑰策略；S04）、終端檢測到保密U盤插入后通過本地緩存的密鑰進行保密U盤的掛載。

進一步的，計算U盤唯一標識碼的步驟為：1）、通過SetupDiGetClassDevs API接口打開磁盤存儲管理接口；2）、通過SetupDiEnumDeviceInterfaces并指定GUID遍歷本地擁有的磁盤存儲設備；3）、通過CM_Get_Device_ID接口獲取USB存儲設備的ID串，ID串中包括USB存儲的生產(chǎn)序號和批次號；4）、通過crc32算法配合私有掩碼計算該ID串的crc32值，將crc32值作為該U盤的唯一標識碼。

進一步的，使用密鑰制作保密U盤的步驟為：1）、設置保密卷創(chuàng)建選項；2）、在內(nèi)存中創(chuàng)建保密卷頭，保密卷頭中寫入用戶數(shù)據(jù)；3）、對保密卷頭進行加密格式化，將其格式化成制定的文件系統(tǒng)；4）、將經(jīng)過處理的卷寫入U盤存儲設備的起始位置；5）、根據(jù)設置的密鑰對完成加密的U盤進行掛載，掛載成功即為創(chuàng)建成功，掛載失敗則重復步驟1-4重新加密。

進一步的，步驟4后，填充隨機數(shù)據(jù)，增加保密U盤的安全性。

進一步的，步驟3中，將保密卷頭格式化成NTFS的文件系統(tǒng)。

進一步的，保密U盤掛載的步驟為：1）、獲取一個閑置的盤符；2）、設置掛載密碼，掛載密碼為我步驟3中下發(fā)的U盤密鑰；3）、應用層給驅動層發(fā)送IOCTRL對指定的密盤進行掛載動作。

進一步的，針對有多個密鑰的終端，依次嘗試所有的密鑰，直到成功或者所有的密鑰都掛載失敗。

本發(fā)明的有益效果：本發(fā)明保留了現(xiàn)有保密U盤的所有優(yōu)點，如文件存取效率高、穩(wěn)定，并且本發(fā)明通過U盤唯一標識碼對U盤進行識別的統(tǒng)一的管控，即使U盤被格式化掉同樣有效；通過U盤識別碼配合U盤密鑰對U盤的使用范圍進行精準的管控，細粒度的控制U盤的使用范圍，并能夠靈活的調整和補充。

附圖說明

圖1為現(xiàn)有保密U盤的工作流程；

圖2為本發(fā)明控制U盤使用范圍的方法的流程圖。

具體實施方式

下面結合附圖和具體實施例對本發(fā)明作進一步的說明。

首先對本實施例中出現(xiàn)的縮略語進行解釋。

VVOL：Virtual Volume，虛擬卷設備，通過Windows底層磁盤設備驅動生成的虛擬設備。

UUM: U盤唯一標識碼，通過U盤生產(chǎn)序號加私有的CRC32算法生成的唯一標識U盤的標識串。

保密U盤：通過底層驅動虛擬設備技術配合數(shù)據(jù)讀寫加解密技術實現(xiàn)的一種保護U盤內(nèi)數(shù)據(jù)的方案。

NTFS：一種文件系統(tǒng)，和Fat32文件系統(tǒng)相比最大優(yōu)勢是支持單個文件超過4G的大文件。

Json：(JavaScript Object Notation) 是一種輕量級的數(shù)據(jù)交換格式，本實施例中用于描述給終端下發(fā)的保密U盤策略的策略內(nèi)容。

如圖1所示，為現(xiàn)有保密U盤的工作原理圖，通過強加密的方式將整個U盤分區(qū)進行加密處理，形成私有的磁盤格式，使用的時候通過VVOL技術將加密后的U盤分區(qū)解密并掛載成虛擬卷，這樣用戶就能和使用普通的U盤一樣使用保密U盤了。

現(xiàn)有保密U盤能從很大程度上杜絕涉密文件通過U盤泄密，因為如果沒有在授信環(huán)境中，加密過的U盤不會通過VVOL進行掛載，用戶也就無法訪問密盤中的文件數(shù)據(jù)，但是控制顆粒度太粗，不太易于使用，比如有如下需求：1.公司里有多個部門，不同的部門分配不同的U盤，不同的部門之間只能使用各自的U盤，或者控制U盤在跨部門的情況下只讀。2.動態(tài)的對U盤的使用范圍進行調整，比如A優(yōu)盤開始是屬于研發(fā)部門的，通過管理員調整為B部門。在出現(xiàn)這些需求時，現(xiàn)有保密U盤不能夠滿足。

本實施例所述方法通過U盤唯一標識和保密U盤密鑰授信技術通過策略對內(nèi)部U盤的使用范圍進行細粒度的控制，并且支持靈活定制，隨時調整。

如圖2所示，為本發(fā)明所述控制U盤使用范圍的方法的流程圖，該方法包括以下步驟：S01）、首先需要計算U盤的唯一標識碼，用于唯一標識一個U盤,同一個U盤要保證在不同的終端獲取到的標識碼始終相同，不同的U盤標識碼要不同。

計算U盤唯一標識碼的過程為：

1.通過SetupDiGetClassDevs API接口打開磁盤存儲管理接口；

2.通過SetupDiEnumDeviceInterfaces并指定GUID遍歷本地擁有的磁盤存儲設備；

3.通過CM_Get_Device_ID接口獲取USB存儲設備的ID串，串中包含USB存儲的生產(chǎn)序號和批次號，不同的U盤的數(shù)據(jù)不一樣，類似USB\Vid_1b1a&Pid_0000字符串；

4.通過crc32算法配合私有掩碼計算該串的crc32值，結果作為該U盤的唯一標識碼。

S02)、根據(jù)U盤的唯一標識碼生成該U盤的密鑰，使用這個密鑰制作保密U盤，并將U盤的唯一標識、描述和對應的密鑰入庫。

使用密鑰創(chuàng)建保密U盤的詳細步驟為：

1).設置保密卷創(chuàng)建選項，保密卷創(chuàng)建的參數(shù)選項包括是否是設備類型、是否是隱藏卷、卷路徑、卷大小、隱藏卷大小、文件系統(tǒng)、簇大小、是否支持快速格式化、扇區(qū)大小、實際的扇區(qū)大小（可能和設置的不同）、密碼信息（即設置的密鑰）；

2).在內(nèi)存中創(chuàng)建保密卷頭，保密卷頭中寫入用戶數(shù)據(jù)，然后對卷頭進行加密格式化；

3).格式化成指定的文件系統(tǒng)，通常配置為NTFS(支持單個文件大小超過4G的大文件)；

4).將經(jīng)過處理的卷寫入U盤存儲設備的起始位置；

5).填充隨機數(shù)據(jù),增加保密U盤的安全性；

6).最后嘗試通過我們設置的密鑰對創(chuàng)建完成設備進行掛載，能掛載成功即為創(chuàng)建成功，掛載失敗則重新創(chuàng)建。

S03)、對不同的終端或者部門配置密鑰策略。比如技術部門和研發(fā)部門，分別下發(fā)其持有保密U盤對應的密鑰，那技術部門和研發(fā)部門就只能用其持有的保密U盤。

保密U盤密鑰采用Json格式，針對不同的部門，會有多個密鑰。

S04）、終端檢測到保密盤插入后通過本地緩存的密鑰進行密盤的掛載。

保密U盤掛載的步驟為：

1.掛載保密U盤前首先獲取一個閑置的盤符,比如P盤；

2.設置掛載密碼為我們策略中下發(fā)的U盤密鑰；

3.應用層給驅動層發(fā)送IOCTRL對指定的密盤進行掛載動作；

4.如果終端有多個密鑰依次嘗試所有的密鑰，直到成功或者所有的密鑰都掛載失敗。

下面以一個實際應用場景為例說下該方法能達到的效果：

公司有三個部門，技術部、研發(fā)部、總經(jīng)辦，要求U盤只能在公司內(nèi)部使用并且技術部和研發(fā)部分別只能使用自己的U盤，總經(jīng)辦需要使用所有的U盤。給所有的U盤注冊并生成密鑰，技術部和研發(fā)部只下發(fā)其持有的U盤密鑰，總經(jīng)辦下發(fā)所有的保密U盤密鑰即可實現(xiàn)。如果使用過程中需要調整，比如新買了五個盤，重新注冊并給指定部門下發(fā)密鑰即可。

本發(fā)明保留了現(xiàn)有保密U盤的所有優(yōu)點，如文件存取效率高、穩(wěn)定，并且本發(fā)明通過U盤唯一標識碼對U盤進行識別的統(tǒng)一的管控，即使U盤被格式化掉同樣有效；通過U盤識別碼配合U盤密鑰對U盤的使用范圍進行精準的管控，細粒度的控制U盤的使用范圍，并能夠靈活的調整和補充。

以上描述的近視本發(fā)明的基本原理和優(yōu)選實施例，本領域技術人員根據(jù)本發(fā)明做出的改進和替換，屬于本發(fā)明的保護范圍。