CN101882114A - 一种带身份逐次认证和日志记录功能的移动存储装置 - Google Patents
一种带身份逐次认证和日志记录功能的移动存储装置 Download PDFInfo
- Publication number
- CN101882114A CN101882114A CN2009100833531A CN200910083353A CN101882114A CN 101882114 A CN101882114 A CN 101882114A CN 2009100833531 A CN2009100833531 A CN 2009100833531A CN 200910083353 A CN200910083353 A CN 200910083353A CN 101882114 A CN101882114 A CN 101882114A
- Authority
- CN
- China
- Prior art keywords
- access
- data
- storage device
- movable storage
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
一种带身份逐次认证和日志记录功能的移动存储装置,涉及安全移动存储技术领域。本发明包括移动存储设备和访问移动存储设备的计算机。移动存储设备包括:访问控制单元、密码学服务单元、数据存储单元和USB接口。同现有技术相比,本发明通过对访问者进行身份认证,确保只有经过许可的访问者才能对移动存储设备中的数据进行访问,安全性高、自主性强。
Description
技术领域
本发明涉及安全移动存储技术领域,特别是可以通过逐次身份认证和日志记录与审计来保障数据安全的移动存储装置。
背景技术
近年来,移动存储设备以其便携性、高速的存取速度以及大容量等特性深受消费者青睐,越来越多的用户使用移动存储设备作为数据转移、数据临时存放的主要工具。现有技术中,任何访问者无需身份认证都能对移动存储设备中的数据进行任意访问,这对一些对数据安全性、机密性要求非常高的单位在数据安全保护方面会带来非常大的危害。单位的员工很容易通过移动存储设备将机密数据带出单位而导致主动数据泄密。另外,由于移动存储设备经常在不同的场合使用,也容易导致被动式的数据泄密。比如,当移动存储设备在有互联网络环境中的主机设备(如能上网的家用电脑)上使用后可能被感染上木马,当用户将感染木马的移动存储设备在无互联网络环境中的主机设备(如用户单位的工作用机,该工作用机由于保密原因无法上网)上使用时,木马可能会自动扫描主机中的敏感文件,并将这些敏感文件悄悄地复制到移动存储设备中,并隐藏起来。当用户再次将该移动存储设备在有互联网络环境中的主机设备上使用时,移动存储设备中的木马就将隐藏起来的敏感文件悄悄地通过互联网发送给远程的某个恶意用户的电脑中,从而导致数据泄密。
发明内容
为了解决上述现有技术中存在的问题,本发明的目的是提供一种带身份逐次认证和日志记录功能的移动存储装置。它通过对访问者进行身份认证,确保只有经过许可的访问者才能对移动存储设备中的数据进行访问,安全性高、自主性强。
为了达到上述发明目的,本发明的技术方案以如下方式实现:
一种带身份逐次认证和日志记录功能的移动存储装置,它包括移动存储设备和访问移动存储设备的计算机。其结构特点是,所述移动存储设备包括:
访问控制单元,由依次相互连接的USB数据传输协议、身份认证协议和访问日志处理程序组成,USB数据传输协议控制USB数据的传输,身份认证协议对访问者的身份进行逐次认证,以决定访问者是否能访问数据存储单元中的数据,访问日志处理程序对访问者的访问过程进行日志记录;
密码学服务单元,与访问控制单元相互连接,由随机数生成器、对称密码算法、非对称密码算法、摘要算法、签名和签名认证算法组成,提供常用密码学服务;
数据存储单元,与访问控制单元相互连接,存储信息或数据,其中的一部分空间为只读存储区;
USB接口,与访问控制单元中的USB数据传输协议相互连接,为移动存储设备与外部设备通讯的接口。
在上述移动存储装置中,所述只读存储区保存访问代理程序、片内操作***、应用程序和用户访问日志,只有特定允许的用户能对用户访问日志进行读访问操作。
在上述移动存储装置中,所述外部设备采用计算机。
本发明由于采用了上述结构,通过对访问者进行身份认证,确保只有经过许可的访问者才能合法对移动存储设备中的数据进行访问。一方面增加了存储设备数据保护的主动性,另一方面本发明移动存储装置构造简单、成本低廉、安全性高。
下面结合附图和具体实施方式对本发明作进一步说明。
附图说明
图1为本发明的结构原理示意图;
图2为本发明实施例的结构原理示意图;
图3为本发明实施例的工作过程流程图。
具体实施方式
参看图1,本发明包括移动存储设备和访问移动存储设备的外部设备计算机。移动存储设备包括:
访问控制单元,由依次相互连接的USB数据传输协议、身份认证协议和访问日志处理程序组成,USB数据传输协议控制USB数据的传输,身份认证协议对访问者的身份进行逐次认证,以决定访问者是否能访问数据存储单元中的数据,访问日志处理程序对访问者的访问过程进行日志记录;
密码学服务单元,与访问控制单元相互连接,由随机数生成器、对称密码算法、非对称密码算法、摘要算法、签名和签名认证算法组成,提供常用密码学服务;
数据存储单元,与访问控制单元相互连接,存储信息或数据,其中的一部分空间为保存访问代理程序、片内操作***、应用程序和用户访问日志的只读存储区,只读存储单元只有特定允许的用户能对用户访问日志进行读访问操作。;
USB接口,与访问控制单元中的USB数据传输协议相互连接,为移动存储设备与外部设备通讯的接口。
参看图2,本发明中的访问控制单元采用相互连接的USB3316QFN芯片和TI OMAP3530芯片,USB3316QFN芯片为USB控制器,用于控制内外部数据以USB方式进行交互,TI OMAP3530芯片是TexasInstruments公司的一款集成多种功能的运算处理器,负责各种算术和逻辑运算。密码学服务单元采用MT29C2G24MAKLAJA存储芯片,该芯片内部分为两个区域,第一个区域用于临时数据交换区,是处理器进行运算时的数据缓存区;第二个区域用于存储片内操作***和各种应用程序(包括各种协议和密码学算法)的软件代码。数据存储单元采用相互连接的JMF602芯片和MT29F32G08QAAWP存储芯片,JMF602芯片是一存储控制器,用于对MT29F32G08QAAWP存储芯片中数据的读出和写入进行存储控制,MT29F32G08QAAWP存储芯片单片容量为8GB,是用户普通数据的存储区,通过阵列方式采用多个本芯片可以进一步扩大存储容量。在MT29F32G08QAAWP存储芯片内部通过软件方式设定只读存储区,该只读存储区用于存储访问日志。
参看图3,本发明使用时,移动存储设备与外部访问设备计算机之间的数据传输过程如下:
(1)移动存储设备通过USB接口接入计算机,上电开始运行。
(2)计算机检测到移动存储设备的接入,向移动存储设备发出请求,请求访问该移动存储设备。
(3)移动存储设备从只读存储区读出访问代理程序并发送给计算机。
(4)计算机接收到访问代理程序后,执行安装过程,安装成功后开始运行。
(5)计算机中运行的访问代理程序请求与移动存储设备建立安全连接,该安全连接类似于SSL(Secure Socket Layer)连接。建立安全连接后,访问代理程序与移动存储设备之间的数据通信均被加密。
(6)当计算机中的用户和(或)程序需要访问移动存储设备时,首先向访问代理程序发出请求,访问代理程序捕获到每一次访问请求,就通过安全连接将访问请求和用户(程序)的身份信息转发给移动存储设备。
(7)移动存储设备中的身份认证协议程序对用户(程序)的身份进行鉴别,以判断该用户(程序)是否具有访问权限,如果没有,则拒绝访问,如果有,转下一步骤。
(8)移动存储设备执行数据读写操作,如从数据存储单元中读出用户(程序)请求的数据,或将用户(程序)提交的数据存储到数据存储单元。
(9)通过身份认证协议的鉴别,只有特定的用户(如安全管理员等)才可以对只读存储单元中的日志数据进行访问,且只能读出,不能写入或改写。
(10)当对数据存储单元的读写操作结束后,移动存储设备将读写结果反馈给计算机中的访问代理程序,继而,访问代理程序将结果反馈给用户和(或)程序。
本发明在使用中,用户和(或)程序的每一次访问请求都需要经过身份鉴别,鉴别通过后才可以执行对数据存储单元的读写操作。所有的访问过程,都由移动存储设备中的日志处理程序自动生成日志,并将日志存储到只读存储单元(该存储单元对外部计算机而言是只读的,但对内部的片内操作***和程序而言是可读写的)。对于日志的存储空间管理,可以采取两种方式,一种是分配固定大小的只读存储单元,当不断增加的日志占满整个只读存储单元时,采用覆盖较老日志的方法存储新的日志;另一种方法是,动态增加只读存储单元的大小,当增加到一定的阈值后,仍然采用第一种方法存储日志。访问结束后,计算机中的访问代理程序和移动存储设备中止安全连接。
Claims (3)
1.一种带身份逐次认证和日志记录功能的移动存储装置,它包括移动存储设备和访问移动存储设备的外部设备,其特征在于,所述移动存储设备包括:
访问控制单元,由依次相互连接的USB数据传输协议、身份认证协议和访问日志处理程序组成,USB数据传输协议控制USB数据的传输,身份认证协议对访问者的身份进行逐次认证,以决定访问者是否能访问数据存储单元中的数据,访问日志处理程序对访问者的访问过程进行日志记录;
密码学服务单元,与访问控制单元相互连接,由随机数生成器、对称密码算法、非对称密码算法、摘要算法、签名和签名认证算法组成,提供常用密码学服务;
数据存储单元,与访问控制单元相互连接,存储信息或数据,其中的一部分空间为只读存储区;
USB接口,与访问控制单元中的USB数据传输协议相互连接,为移动存储设备与外部设备通讯的接口。
2.根据权利要求1所述的移动存储装置,其特征在于,所述只读存储区保存访问代理程序、片内操作***、应用程序和用户访问日志,只有特定允许的用户能对用户访问日志进行读访问操作。
3.根据权利要求1或2所述的移动存储装置,其特征在于,所述外部设备采用计算机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100833531A CN101882114A (zh) | 2009-05-04 | 2009-05-04 | 一种带身份逐次认证和日志记录功能的移动存储装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100833531A CN101882114A (zh) | 2009-05-04 | 2009-05-04 | 一种带身份逐次认证和日志记录功能的移动存储装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101882114A true CN101882114A (zh) | 2010-11-10 |
Family
ID=43054131
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100833531A Pending CN101882114A (zh) | 2009-05-04 | 2009-05-04 | 一种带身份逐次认证和日志记录功能的移动存储装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101882114A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103136496A (zh) * | 2011-11-29 | 2013-06-05 | 夏普株式会社 | 电子设备***以及电子设备 |
| CN104636688A (zh) * | 2015-02-25 | 2015-05-20 | 山东超越数控电子有限公司 | 一种基于固态硬盘的安全固件的实现方法 |
| CN105579999A (zh) * | 2013-07-31 | 2016-05-11 | 慧与发展有限责任合伙企业 | 日志分析 |
| CN106789867A (zh) * | 2016-08-26 | 2017-05-31 | 河北易泰通软件科技有限公司 | 一种以密码审核模块为宿主实现移动存储介质网络交互的方法 |
| CN109684866A (zh) * | 2018-11-19 | 2019-04-26 | 北京计算机技术及应用研究所 | 一种支持多用户数据保护的安全优盘*** |
| CN111104679A (zh) * | 2018-10-26 | 2020-05-05 | 紫光同芯微电子有限公司 | 一种用于安全挂载的外部存储设备及其方法 |
-
2009
- 2009-05-04 CN CN2009100833531A patent/CN101882114A/zh active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103136496A (zh) * | 2011-11-29 | 2013-06-05 | 夏普株式会社 | 电子设备***以及电子设备 |
| US9047447B2 (en) | 2011-11-29 | 2015-06-02 | Sharp Kabushiki Kaisha | Electronic device system and electronic device |
| CN103136496B (zh) * | 2011-11-29 | 2016-01-13 | 夏普株式会社 | 电子设备***以及电子设备 |
| CN105579999A (zh) * | 2013-07-31 | 2016-05-11 | 慧与发展有限责任合伙企业 | 日志分析 |
| CN104636688A (zh) * | 2015-02-25 | 2015-05-20 | 山东超越数控电子有限公司 | 一种基于固态硬盘的安全固件的实现方法 |
| CN106789867A (zh) * | 2016-08-26 | 2017-05-31 | 河北易泰通软件科技有限公司 | 一种以密码审核模块为宿主实现移动存储介质网络交互的方法 |
| CN106789867B (zh) * | 2016-08-26 | 2020-08-18 | 易泰通(深圳)信息技术有限公司 | 一种以密码审核模块为宿主实现移动存储介质网络交互的方法 |
| CN111104679A (zh) * | 2018-10-26 | 2020-05-05 | 紫光同芯微电子有限公司 | 一种用于安全挂载的外部存储设备及其方法 |
| CN111104679B (zh) * | 2018-10-26 | 2023-06-06 | 紫光国芯微电子股份有限公司北京分公司 | 一种用于安全挂载的外部存储设备及其方法 |
| CN109684866A (zh) * | 2018-11-19 | 2019-04-26 | 北京计算机技术及应用研究所 | 一种支持多用户数据保护的安全优盘*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103020493B (zh) | 一种防拷贝的软件保护与运行装置及方法 | |
| US8528096B2 (en) | Secure universal serial bus (USB) storage device and method | |
| CN101120352B (zh) | 用于保护存储在存储设备中的数据的方法和设备 | |
| CN104951409B (zh) | 一种基于硬件的全盘加密***及加密方法 | |
| EP3129889B1 (en) | Apparatuses and methods for securing an access protection scheme | |
| CN101853363B (zh) | 一种文件保护方法及*** | |
| US7069447B1 (en) | Apparatus and method for secure data storage | |
| CN101470783B (zh) | 一种基于可信平台模块的身份识别方法及装置 | |
| JP4242682B2 (ja) | メモリデバイス | |
| US7861015B2 (en) | USB apparatus and control method therein | |
| CN101551784B (zh) | 一种usb接口的ata类存储设备中数据的加密方法及装置 | |
| US20050108532A1 (en) | Method and system to provide a trusted channel within a computer system for a SIM device | |
| CN101788959A (zh) | 一种固态硬盘安全加密*** | |
| US9178694B2 (en) | Securing backing storage data passed through a network | |
| JP2009518742A (ja) | マイクロコントローラにおけるデータの安全な取扱いのための方法および装置 | |
| CN101882114A (zh) | 一种带身份逐次认证和日志记录功能的移动存储装置 | |
| CN201438370U (zh) | 带身份逐次认证和日志记录功能的移动存储装置 | |
| CN105354479A (zh) | 一种基于u盘鉴权的固态硬盘及数据隐藏方法 | |
| CN201682524U (zh) | 一种基于文件过滤驱动的文件流转权限控制*** | |
| WO2004044751A1 (fr) | Procede de realisation d'un stockage securise et stockage d'algorithme au moyen d'un dispositif de memoire a semi-conducteur | |
| CN102981980A (zh) | 用于在存储装置控制存取的方法 | |
| CN100399304C (zh) | 利用过滤驱动程序结合智能密钥装置自动保护磁盘数据的方法 | |
| CN102200948A (zh) | 多分区存储装置及其访问方法 | |
| CN105389526B (zh) | 加密区和非加密区一体化的移动硬盘及其数据存储方法 | |
| CN102184143A (zh) | 一种存储设备数据的保护方法、装置及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20101110 |