CN106709361B - 基于容量隐藏和多文件***的文件内容隐藏存储访问方法及其存储装置 - Google Patents
基于容量隐藏和多文件***的文件内容隐藏存储访问方法及其存储装置 Download PDFInfo
- Publication number
- CN106709361B CN106709361B CN201611080008.9A CN201611080008A CN106709361B CN 106709361 B CN106709361 B CN 106709361B CN 201611080008 A CN201611080008 A CN 201611080008A CN 106709361 B CN106709361 B CN 106709361B
- Authority
- CN
- China
- Prior art keywords
- access
- storage
- storage area
- hidden
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000012544 monitoring process Methods 0.000 claims abstract description 30
- 230000001960 triggered effect Effects 0.000 claims abstract description 5
- 238000004140 cleaning Methods 0.000 claims description 20
- 238000013507 mapping Methods 0.000 claims description 11
- 238000005516 engineering process Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000003071 parasitic effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种基于容量隐藏和多文件***的文件内容隐藏存储访问方法及其装置,该方法具体包含:首先通过从设备中的监控单元监控主设备发送的容量请求命令,从设备端解析主设备访问命令,若是正常访问存储区的命令,则将正常访问存储区的容量标识信息反馈给主设备,如果接受到的是隐藏访问存储区命令,则需要身份识别,通过后,将对应的隐藏访问存储区i的容量标识信息反馈给主设备;还提供数据清除功能,当该隐藏***被试图破解时会触发移动存储设备的自毁模块,彻底清除隐藏区的秘密文件。本发明能够有效解决隐藏文件的稳定受操作***的影响以及被攻击者破坏等问题,有效保证了隐藏存储文件数据的安全性。
Description
技术领域
本发明属于移动存储安全技术领域,特别涉及一种基于容量隐藏和多文件***的文件内容隐藏存储访问方法及其存储装置。
背景技术
以USB为接口的移动存储设备应用越来越广泛,如U盘,已经成为数据传输的中转站,在计算机间的数据交换中扮演着重要角色。与此同时,数据的安全性问题也日益突出,个人的重要文件信息经常遭到窃取或破坏,而文件内容的隐藏存储常常作为一种保护敏感数据信息的重要方法,开展隐藏存储文件内容维护数据安全方面的研究正在蓬勃兴起。
现有的文件隐藏技术主要有以下几种:修改注册表,使得用户无法通过普通的文件操作看到被隐藏文件;借助图像、视频等文件作为宿主文件,将寄生文件隐藏在其中,如图像水印技术可将文件隐藏在图像信息中;挂接***API函数,使用用户自定义的文件管理相关函数挂接***原文件管理函数的入口地址的方式,过滤隐藏文件的访问信息,使得用户无法通过资源管理器,看到被隐藏的文件;利用***不显示卷标文件的特点,通过修改文件属性作为卷标属性,实现文件的隐藏;另外也可以修改目录项中文件的首簇号来增加文件隐藏强度;目前有人提出了通过修改目录项属性和重构FAT表序列的文件隐藏方法;还有的文件隐藏方法则利用Nand flash存储芯片特点,把文件存储在其用于坏块管理的冗余块中,实现文件隐藏;还有人提出把文件隐藏在文件***中已存在文件的扇区碎片中。
对于文件隐藏,其最重要的衡量标准就是文件的隐藏强度,即文件隐藏的不可感知性和破解查找隐藏文件所需要的时间复杂度以及技术难度。上述方法都能够实现文件的隐藏,但隐藏强度不同。把文件寄宿在宿主文件中的方法容易受宿主文件的操作的影响,鲁棒性太差;而利用存储芯片特点隐藏文件的方法隐藏强度较好,但是隐藏容量不大,容易影响芯片坏块的管理;利用文件的冗余区来隐藏文件的方法具有较强的隐蔽性,但其鲁棒性差,隐藏容量小,容易受文件操作的影响;其它几种方法都是采用的主机端技术,如过滤驱动、修改文件属性、重构FAT表等。另外,现有的文件隐藏方法依赖操作***实现,并不适用于移动存储设备。以上文件隐藏方法有两个主要缺点:(1)没有考虑隐藏文件的不可感知性,即攻击者很容易知道隐藏文件的存在,从而窃取隐藏文件;(2)隐藏文件容易受文件操作的影响,如格式化设备。攻击者可以通过格式化设备来破坏隐藏文件。
发明内容
鉴于此,本发明提供一种基于容量隐藏和多文件***的文件内容隐藏存储访问方法及其存储装置,将隐藏存储区和普通存储区进行隔离,提高隐藏文件的安全性和鲁棒性,且隐藏容量大、操作简单。
按照本发明所提供的设计方案, 一种基于容量隐藏和多文件***的文件内容隐藏存储访问方法,用于主机***隐藏存储数据的访问,移动存储设备存储区域划分为普通访问存储区和n个隐藏访问存储区,n个隐藏访问存储区表示为:隐藏访问存储区1、隐藏访问存储区2、…、隐藏访问存储区n,通过存储设备物理块冗余区的标志字节来标识该存储设备的每个访问存储区,进行逻辑存储到物理存储的映射,多文件***分别建立在移动存储设备的每个访问存储区中,该隐藏存储数据的访问具体包含如下步骤:
步骤1、主机请求访问移动存储设备容量,移动存储设备解析该请求访问命令,并通过基于查找表的地址映射方法,来确定当前请求访问的访问存储区,并根据访问存储区文件***判断是否为请求访问普通访问存储区,若是,则将普通访问存储区容量信息反馈给主机;否则,进行身份认证,若认证通过,则将对应请求访问的隐藏访问存储区容量信息反馈至主机,若认证未通过,则将普通访问存储区容量信息反馈给主机;
步骤2、设定访问限制次数的阈值,隐藏访问存储区计数器初始化;
步骤3、根据移动存储设备接收到写操作,进行身份认证;
步骤4、若认证通过,则主机获取对移动存储设备的隐藏访问存储区的访问权限,并返回步骤3执行;若认证未通过,则主机获取移动存储设备的普通访问存储区的访问权限,且隐藏访问存储区计数器加1计数;
步骤5、判断计数器值是否达到访问限制次数的阈值,若是,则进行隐藏访问存储区数据自毁操作,清洗隐藏访问存储区数据,并返回步骤3执行,否则,直接返回步骤3执行。
上述的,主机获取对移动存储设备的隐藏访问存储区的访问权限,具体内容为:主机根据请求访问需求在普通访问存储区和n个隐藏访问存储区间自由切换。
上述的,主机获取移动存储设备的普通访问存储区的访问权限,具体内容为:限定主机只能在普通访问存储区请求访问。
上述的,所述的身份认证,具体包含如下内容:移动存储设备接入主机后,主机对移动存储设备进行枚举识别,移动存储设备驱动程序安装成功后,主机直接获取普通访问存储区的访问权限;主机对移动存储设备执行写操作发起存储区的切换,通过发送CBW指令包给移动存储设备,移动存储设备解析该指令包并判断是否给该主机存储区切换的权限。
优选的,所述的移动存储设备解析该指令包并判断是否给该主机存储区切换的权限,具体是指:移动存储设备解析该指令包,读取当前访问存储区对应文件***的权限变量,根据权限变量判定是否给予主机请求访问的权限。
上述的,进行隐藏访问存储区数据自毁操作,具体是指:采用基于关键页覆写的数据清除方法,对当前隐藏访问存储区数据进行清除。
一种基于容量隐藏和多文件***的文件内容隐藏存储装置,设于移动存储设备内,用于普通数据和隐藏数据的存储访问,包含存储访问模块、身份认证模块和数据清洗模块,存储访问模块包含存储访问监控单元、普通存储访问单元和多个隐藏存储访问单元;普通存储访问单元,建立有普通数据的文件***,用于普通数据的存储访问;隐藏存储访问单元分别建立有隐藏数据的文件***,用于隐藏数据的存储访问;存储访问监控单元,用于根据主机访问请求并通过身份认证模块来判定是否给予其对应隐藏存储访问单元的存储访问权限,并根据身份认证模块反馈的认证信息判定是否触发数据清洗模块。
其中,所述的身份认证模块,用于根据主机写操作进行主机身份认证,包含计数器单元和身份认证单元,身份认证单元通过移动存储设备解析主机的请求访问数据包,获取请求访问的存储访问单元信息,并根据该存储访问单元对应的文件***权限状态来判定是否通过身份认证,若身份认证通过,则将结果反馈至存储访问监控单元,若身份认证未通过,则计数器计数,并将结果反馈至存储访问监控单元。
其中,所述的存储访问监控单元根据身份认证模块的结果反馈,若身份认证通过,则存储访问监控单元给予主机相应存储访问单元的访问权限;若身份认证未通过,则存储访问监控单元给予主机仅访问普通存储访问单元的访问权限,并判断计数器值是否达到预设的访问限制次数阈值,若已达到该阈值,则触发数据清洗模块,否则,继续根据主机写操作进行身份认证。
其中,所述的数据清洗模块,用于根据存储访问监控单的触发信号对存储访问模块进行数据清洗操作。
本发明的有益效果:
与现有技术相比,本发明首先通过从设备中的监控单元监控主设备发送的容量请求命令,从设备端解析主设备访问命令,若是正常访问存储区的命令,则将正常访问存储区的容量标识信息反馈给主设备,如果接受到的是隐藏访问存储区命令,则需要身份识别,通过后,将对应的隐藏访问存储区i的容量标识信息反馈给主设备,即当前存储区的容量;这种机制使需要保护的文件都被存储在隐藏的存储区,身份认证机制控制对隐藏区的授权访问,操作***对隐藏区的访问是透明的,这是该发明区别于其它文件隐藏方法的主要区别;另外,本发明还提供数据清除功能,当该隐藏***被试图破解时会触发移动存储设备的自毁模块,彻底清除隐藏区的秘密文件。本发明能够有效解决隐藏文件的稳定受操作***的影响以及被攻击者破坏等问题,有效保证了隐藏存储文件数据的安全性。
附图说明:
图1为本发明的方法流程示意图;
图2为本发明的装置示意图;
图3为本发明具体实现流程图;
图4为本发明身份认证示意图。
具体实施方式:
下面结合附图和技术方案对本发明作进一步详细的说明,并通过优选的实施例详细说明本发明的实施方式,但本发明的实施方式并不限于此。
实施例一,参见图1所示,一种基于容量隐藏和多文件***的文件内容隐藏存储访问方法,用于主机***隐藏存储数据的访问,移动存储设备存储区域划分为普通访问存储区和n个隐藏访问存储区,n个隐藏访问存储区表示为:隐藏访问存储区1、隐藏访问存储区2、…、隐藏访问存储区n,通过存储设备物理块冗余区的标志字节来标识该存储设备的每个访问存储区,进行逻辑存储到物理存储的映射,每个文件***分别建立在移动存储设备对应的访问存储区中,该隐藏存储数据的访问具体包含如下步骤:
步骤1、主机请求访问移动存储设备容量,移动存储设备解析该请求访问命令,并通过基于查找表的地址映射方法,来确定当前请求访问的访问存储区,并根据访问存储区文件***判断是否为请求访问普通访问存储区,若是,则将普通访问存储区容量信息反馈给主机;否则,进行身份认证,若认证通过,则将对应请求访问的隐藏访问存储区容量信息反馈至主机,若认证未通过,则将普通访问存储区容量信息反馈给主机;
步骤2、设定访问限制次数的阈值,隐藏访问存储区计数器初始化;
步骤3、根据移动存储设备接收到写操作,进行身份认证;
步骤4、若认证通过,则主机获取对移动存储设备的隐藏访问存储区的访问权限,并返回步骤3执行;若认证未通过,则主机获取移动存储设备的普通访问存储区的访问权限,且隐藏访问存储区计数器加1计数;
步骤5、判断计数器值是否达到访问限制次数的阈值,若是,则进行隐藏访问存储区数据自毁操作,清洗隐藏访问存储区数据,并返回步骤3执行,否则,直接返回步骤3执行。
上述的,主机获取对移动存储设备的隐藏访问存储区的访问权限,具体内容为:主机根据请求访问需求在普通访问存储区和n个隐藏访问存储区间自由切换。
上述的,主机获取移动存储设备的普通访问存储区的访问权限,具体内容为:限定主机只能在普通访问存储区请求访问。
上述的,所述的身份认证,具体包含如下内容:移动存储设备接入主机后,主机对移动存储设备进行枚举识别,移动存储设备驱动程序安装成功后,主机直接获取普通访问存储区的访问权限;主机对移动存储设备执行写操作发起存储区的切换,通过发送CBW指令包给移动存储设备,移动存储设备解析该指令包并判断是否给该主机存储区切换的权限。
优选的,所述的移动存储设备解析该指令包并判断是否给该主机存储区切换的权限,具体是指:移动存储设备解析该指令包,读取当前访问存储区对应文件***的权限变量,根据权限变量判定是否给予主机请求访问的权限。
上述的,进行隐藏访问存储区数据自毁操作,具体是指:采用基于关键页覆写的数据清除方法,对当前隐藏访问存储区数据进行清除。
实施例二,参见图1所示,一种基于容量隐藏和多文件***的文件内容隐藏存储访问方法,用于主机***隐藏存储数据的访问,移动存储设备存储区域划分为普通访问存储区和n个隐藏访问存储区,n个隐藏访问存储区表示为:隐藏访问存储区1、隐藏访问存储区2、…、隐藏访问存储区n,通过存储设备物理块冗余区的标志字节来标识该存储设备的每个访问存储区,进行逻辑存储到物理存储的映射,多文件***分别建立在移动存储设备的每个访问存储区,该隐藏存储数据的访问具体包含如下步骤:
步骤1、主机请求访问移动存储设备容量,移动存储设备解析该请求访问命令,并通过基于查找表gLog2Phy[]的地址映射来确定当前请求访问的访问存储区,并根据访问存储区文件***判断是否为请求访问普通访问存储区,若是,则将普通访问存储区容量信息反馈给主机;否则,进行身份认证,若认证通过,则将对应请求访问的隐藏访问存储区容量信息反馈至主机,若认证未通过,则将普通访问存储区容量信息反馈给主机;
步骤2、设定访问限制次数的阈值,隐藏访问存储区计数器初始化;
步骤3、根据移动存储设备接收到写操作,进行身份认证;
步骤4、若认证通过,则主机获取对移动存储设备的隐藏访问存储区的访问权限,即主机根据请求访问需求在普通访问存储区和n个隐藏访问存储区间自由切换,并返回步骤3执行;若认证未通过,则主机获取移动存储设备的普通访问存储区的访问权限,即限定主机只能在普通访问存储区请求访问,且隐藏访问存储区计数器加1计数;
步骤5、判断计数器值是否达到访问限制次数的阈值,若是,则进行隐藏访问存储区数据自毁操作,采用基于关键页覆写的数据清除方法,对当前隐藏访问存储区数据进行清除,清洗隐藏访问存储区数据,并返回步骤3执行,否则,直接返回步骤3执行。
其中,身份认证,具体内容如下:移动存储设备接入主机后,主机对移动存储设备进行枚举识别,移动存储设备驱动程序安装成功后,主机直接获取普通访问存储区的访问权限;主机对移动存储设备执行写操作发起存储区的切换,通过发送CBW指令包给移动存储设备,移动存储设备解析该指令包,读取当前访问存储区对应文件***的权限变量,根据权限变量判定是否给予主机请求访问的权限。
实施例三,参见图2所示,一种基于容量隐藏和多文件***的文件内容隐藏存储装置,设于移动存储设备内,用于普通数据和隐藏数据的存储访问,包含存储访问模块、身份认证模块和数据清洗模块,存储访问模块包含存储访问监控单元、普通存储访问单元和多个隐藏存储访问单元;普通存储访问单元,建立有普通数据的文件***,用于普通数据的存储访问;隐藏存储访问单元分别建立有隐藏数据的文件***,用于隐藏数据的存储访问;存储访问监控单元,用于根据主机访问请求并通过身份认证模块来判定是否给予其对应隐藏存储访问单元的存储访问权限,并根据身份认证模块反馈的认证信息判定是否触发数据清洗模块。
实施例四,参见图2所示,一种基于容量隐藏和多文件***的文件内容隐藏存储装置,设于移动存储设备内,用于普通数据和隐藏数据的存储访问,包含存储访问模块、身份认证模块、数据清洗模块,存储访问模块包含存储访问监控单元、普通存储访问单元和多个隐藏存储访问单元;普通存储访问单元,建立有普通数据的文件***,用于普通数据的存储访问;隐藏存储访问单元分别建立有隐藏数据的文件***,用于隐藏数据的存储访问;存储访问监控单元,用于根据主机访问请求并通过身份认证模块来判定是否给予其对应隐藏存储访问单元的存储访问权限,并根据身份认证模块反馈的认证信息判定是否触发数据清洗模块;其中,所述的身份认证模块,用于根据主机写操作进行主机身份认证,包含计数器单元、身份认证单元,身份认证单元通过移动存储设备解析主机的请求访问数据包,获取请求访问的存储访问单元信息,并根据该存储访问单元对应的文件***权限状态来判定是否通过身份认证,若身份认证通过,则将结果反馈至存储访问监控单元,若身份认证未通过,则计数器计数,并将结果反馈至存储访问监控单元。
其中,所述的存储访问监控单元实现对移动存储设备中存储区域的管理,完成主机逻辑地址到移动存储设备物理地址的映射,实现操作***对文件***访问的透明式管理;存储访问监控单元根据身份认证模块的结果反馈,若身份认证通过,则存储访问监控单元给予主机相应存储访问单元的访问权限;若身份认证未通过,则存储访问监控单元给予主机仅访问普通存储访问单元的访问权限,并判断计数器值是否达到预设的访问限制次数阈值,若已达到该阈值,则触发数据清洗模块,否则,继续根据主机写操作进行身份认证。
其中,所述的数据清洗模块,用于根据存储访问监控单的触发信号对存储访问模块进行数据清洗操作。
本发明将存储设备的存储区域划分为多个部分:正常访问存储区和隐藏访问存储区1、隐藏访问存储区2、……、隐藏访问存储区n,即把存储设备的物理存储块逻辑上分为多个存储区域,当逻辑存储区域映射到物理存储区域时,由事先存放在物理块冗余区的标志字节来标识,标志字节写入不同的值时,逻辑存储将映射到不同的物理存储块区域;当主设备请求从设备容量的命令时,从设备端解析设备访问命令,若是正常访问存储区的命令,则将正常访问存储区的容量标识信息反馈给主设备,如果接受到的是隐藏访问存储区命令,则需要身份识别,通过后,将对应的隐藏访问存储区i的容量标识信息反馈给主设备,即当前存储区的容量,在主设备端使用格式化操作分别在正常访问存储区和隐藏访问存储区中建立各自的文件***,格式化容量取决于容量标志字节给出的存储区容量;建立身份认证机制,在主设备端设置中断巡检机制,当从设备接入主设备***时,从设备产生中断请求,主设备中断正常处理事务,巡检接入设备,当从设备正常连接后,主设备发送身份认证信息,并由从设备中的智能处理器进行身份认证,如果身份认证未通过,则主设备对从设备的存储访问只能正常访问存储区进行,若身份认证通过,主设备对从设备的存储访问可以在正常访问存储区和配置的多个隐藏访问存储区之间自由地切换访问,正常情况下将从设备接入主设备***时,主设备将对从设备进行枚举识别,当从设备驱动程序安装成功后直接进入的是正常访问存储区;用户在主设备端通过写操作方式向从设备发送操作命令,从设备中的智能处理器接收到进行身份认证的命令时,则进行用户身份认证,认证通过后从设备向用户开放访问隐藏访问存储区的权限,用户可以自由地在正常访问存储区和多个隐藏访问存储区之间自由切换访问;否则就按正常写操作命令进行处理;用户获得超级访问从设备的权限后,可以把待隐藏的文件内容存入指定的某一个隐藏访问存储区中,存储操作完成后,切换到正常访问存储区。
本发明中移动存储设备指带智能处理器的USB移动存储设备;存储设备的容量隐藏,是通过对主设备请求设备容量命令的拦截,在返回请求的时候反馈的是对应区域的容量值,并不是从设备真实的物理块存储容量。多文件***,是在容量隐藏的基础上,将存储区划分为正常访问存储区和隐藏访问存储区1、隐藏访问存储区2、……、隐藏访问存储区n等多个存储区域,当逻辑存储区域映射到物理存储区域时,由事先存放在物理块冗余区的标志字节来标识,标志字节写入不同的值时,逻辑存储将映射到不同的物理存储块区域。身份认证机制,是为了限制非授权用户对隐藏访问存储区的访问,目的是保护隐藏访问存储区的安全。
参见图3和图4所示,多文件***分别建立在移动存储设备的每个访问存储区中,多文件***与存储区的数量是一一对应,移动存储设备划分存储区后,再把与存储区容量对应的文件***参数写入存储区中相应的位置,这样每个存储区都拥有一个独立的文件***;多文件***的切换以change标志位作为文件***切换的触发标志位,当change=0时,不需要切换文件***;当change>0时,切换当前的文件***至目标文件***;多文件***以status作为当前可访问的文件***的标识,当status=0时,当前文件***所在的存储区为普通访问存储区;当status>0时,当前文件***所在的存储区为隐藏访问存储区。从设备拦截主设备请求从设备存储容量的命令,从原存储区中划分出多个独立的隐藏存储区,将主设备对从设备存储区的访问映射各个隐藏区,所以需要在主设备请求得到设备容量时,拦截该命令的返回值,并把设定的容量值反馈给主设备即可;从设备接入主设备时,从设备监测主设备发出的读写命令;当用户需要访问隐藏存储区时,必须向从设备发出身份认证请求,用户认证数据大量混存于一堆普通数据中,从设备中的智能处理器监测到用于身份标识的特征数据时进入身份认证。认证通过后将从设备切换至一个对应的隐藏存储区文件***,把隐藏区的物理地址空间映射至逻辑地址空间,这样主机的逻辑地址空间映射的当前文件***的物理地址空间就会被替换为隐藏区的物理地址空间。隐藏区的安全保护。用户认证失败次数超过预置的阀值时,设备就会启动数据清除模块,在不破坏文件***的情况下清除物理块上存储的所有数据。
本发明不局限于上述具体实施方式,本领域技术人员还可据此做出多种变化,但任何与本发明等同或者类似的变化都应涵盖在本发明权利要求的范围内。
Claims (9)
1.一种基于容量隐藏和多文件***的文件内容隐藏存储访问方法,用于主机***隐藏存储数据的访问,其特征在于:移动存储设备存储区域划分为普通访问存储区和n个隐藏访问存储区,n个隐藏访问存储区表示为:隐藏访问存储区1、隐藏访问存储区2、…、隐藏访问存储区n,通过存储设备物理块冗余区的标志字节来标识该存储设备的每个访问存储区,进行逻辑存储到物理存储的映射,每个文件***分别建立在移动存储设备对应的每个访问存储区,多文件***与存储区的数量一一对应,移动存储设备划分存储区后,再把与存储区容量对应的文件***参数写入存储区中相应位置,每个存储区都拥有一个独立的文件***,主设备端使用格式化操作分别在普通访问存储区和隐藏访问存储区中建立各自的文件***,格式化容量取决于容量标志字节给出的存储区容量,从设备拦截主设备请求从设备存储容量的命令,从原存储区中划分出多个独立的隐藏存储区,将主设备对从设备存储区的访问映射各个隐藏区,在主设备请求得到设备容量时,拦截命令返回值,并把设定的容量值反馈给主设备;从设备接入主设备时,从设备监测主设备发出的读写命令;当用户需要访问隐藏存储区时,必须向从设备发出身份认证请求,用户认证数据混存于一堆普通数据中,从设备中的智能处理器监测到用于身份标识的特征数据时进入身份认证,认证通过后将从设备切换至一个对应的隐藏存储区文件***,把隐藏区的物理地址空间映射至逻辑地址空间,主机的逻辑地址空间映射的当前文件***的物理地址空间被替换为隐藏区的物理地址空间;该隐藏存储数据的访问具体包含如下步骤:
步骤1、主机请求访问移动存储设备容量,移动存储设备解析该请求访问命令,并通过基于查找表gLog2Phy[]的地址映射来确定当前请求访问的访问存储区,并根据访问存储区文件***判断是否为请求访问普通访问存储区,若是,则将普通访问存储区容量信息反馈给主机;否则,进行身份认证,若认证通过,则将对应请求访问的隐藏访问存储区容量信息反馈至主机,若认证未通过,则将普通访问存储区容量信息反馈给主机;
步骤2、设定访问限制次数的阈值,隐藏访问存储区计数器初始化;
步骤3、根据移动存储设备接收到写操作,进行身份认证;
步骤4、若认证通过,则主机获取对移动存储设备的隐藏访问存储区的访问权限,并返回步骤3执行;若认证未通过,则主机获取移动存储设备的普通访问存储区的访问权限,且隐藏访问存储区计数器加1计数;
步骤5、判断计数器值是否达到访问限制次数的阈值,若是,则进行隐藏访问存储区数据自毁操作,采用基于关键页覆写的数据清除方法,对当前隐藏访问存储区数据进行清除,清洗隐藏访问存储区数据,并返回步骤3执行,否则,直接返回步骤3执行。
2.根据权利要求1所述的基于容量隐藏和多文件***的文件内容隐藏存储访问方法,其特征在于:步骤3中的主机获取对移动存储设备的隐藏访问存储区的访问权限,具体内容为:主机根据请求访问需求在普通访问存储区和n个隐藏访问存储区间自由切换。
3.根据权利要求1所述的基于容量隐藏和多文件***的文件内容隐藏存储访问方法,其特征在于:步骤3中的主机获取移动存储设备的普通访问存储区的访问权限,具体内容为:限定主机只能在普通访问存储区请求访问。
4.根据权利要求1~3任一项所述的基于容量隐藏和多文件***的文件内容隐藏存储访问方法,其特征在于:所述的身份认证,具体包含如下内容:移动存储设备接入主机后,主机对移动存储设备进行枚举识别,移动存储设备驱动程序安装成功后,主机直接获取普通访问存储区的访问权限;主机对移动存储设备执行写操作发起存储区的切换,通过发送CBW指令包给移动存储设备,移动存储设备解析该指令包并判断是否给该主机存储区切换的权限。
5.根据权利要求4所述的基于容量隐藏和多文件***的文件内容隐藏存储访问方法,其特征在于:所述的移动存储设备解析该指令包并判断是否给该主机存储区切换的权限,具体是指:移动存储设备解析该指令包,读取当前访问存储区对应文件***的权限变量,根据权限变量判定是否给予主机请求访问的权限。
6.一种基于容量隐藏和多文件***的文件内容隐藏存储装置,设于移动存储设备内,用于普通数据和隐藏数据的存储访问,包含存储访问模块、身份认证模块和数据清洗模块,其特征在于:基于权利要求1所述的文件内容隐藏存储访问方法实现,存储访问模块包含存储访问监控单元、普通存储访问单元和多个隐藏存储访问单元;普通存储访问单元,建立有普通数据的文件***,用于普通数据的存储访问;隐藏存储访问单元分别建立有隐藏数据的文件***,用于隐藏数据的存储访问;存储访问监控单元,用于根据主机访问请求并通过身份认证模块来判定是否给予其对应隐藏存储访问单元的存储访问权限,并根据身份认证模块反馈的认证信息判定是否触发数据清洗模块。
7.根据权利要求6所述的基于容量隐藏和多文件***的文件内容隐藏存储装置,其特征在于:所述的身份认证模块,用于根据主机写操作进行主机身份认证,包含计数器单元、身份认证单元,身份认证单元通过移动存储设备解析主机的请求访问数据包,获取请求访问的存储访问单元信息,并根据该存储访问单元对应的文件***权限状态来判定是否通过身份认证,若身份认证通过,则将结果反馈至存储访问监控单元,若身份认证未通过,则计数器计数,并将结果反馈至存储访问监控单元。
8.根据权利要求7所述的基于容量隐藏和多文件***的文件内容隐藏存储装置,其特征在于:所述的存储访问监控单元根据身份认证模块的结果反馈,若身份认证通过,则存储访问监控单元给予主机相应存储访问单元的访问权限;若身份认证未通过,则存储访问监控单元给予主机仅访问普通存储访问单元的访问权限,并判断计数器值是否达到预设的访问限制次数阈值,若已达到该阈值,则触发数据清洗模块,否则,继续根据主机写操作进行身份认证。
9.根据权利要求6所述的基于容量隐藏和多文件***的文件内容隐藏存储装置,其特征在于:所述的数据清洗模块,用于根据存储访问监控单的触发信号对存储访问模块进行数据清洗操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611080008.9A CN106709361B (zh) | 2016-11-30 | 2016-11-30 | 基于容量隐藏和多文件***的文件内容隐藏存储访问方法及其存储装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611080008.9A CN106709361B (zh) | 2016-11-30 | 2016-11-30 | 基于容量隐藏和多文件***的文件内容隐藏存储访问方法及其存储装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106709361A CN106709361A (zh) | 2017-05-24 |
CN106709361B true CN106709361B (zh) | 2020-03-03 |
Family
ID=58934272
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611080008.9A Expired - Fee Related CN106709361B (zh) | 2016-11-30 | 2016-11-30 | 基于容量隐藏和多文件***的文件内容隐藏存储访问方法及其存储装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106709361B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110489357B (zh) * | 2019-09-10 | 2023-07-14 | 得一微电子股份有限公司 | 一种用于可移动存储设备上隐藏数据的方法及*** |
CN111191298A (zh) * | 2019-12-30 | 2020-05-22 | 山东方寸微电子科技有限公司 | 一种多个分区实时切换的存储装置及移动存储设备 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002042414A (ja) * | 2000-07-19 | 2002-02-08 | Toshiba Corp | ディスク記憶装置及び同装置に適用するセキュリティ方法 |
US20060184717A1 (en) * | 2005-02-17 | 2006-08-17 | Intel Corporation | Integrated circuit capable of flash memory storage management |
CN102207912B (zh) * | 2010-07-07 | 2015-10-07 | 无锡中科龙泽信息科技有限公司 | 在设备端实现分区功能的闪存设备及其访问方法 |
CN102301369B (zh) * | 2011-05-30 | 2013-06-05 | 华为终端有限公司 | 数据存储设备访问方法及装置 |
CN102567235B (zh) * | 2011-12-29 | 2015-01-21 | 武汉市工程科学技术研究院 | 基于区域认证的智能主动防疫式u盘及其防疫方法 |
CN105653986B (zh) * | 2015-12-25 | 2018-11-16 | 成都三零嘉微电子有限公司 | 一种基于microSD卡的数据保护方法及装置 |
-
2016
- 2016-11-30 CN CN201611080008.9A patent/CN106709361B/zh not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
CN106709361A (zh) | 2017-05-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11321452B2 (en) | Execution environment virtualization method and apparatus and virtual execution environment access method and apparatus | |
US11586734B2 (en) | Systems and methods for protecting SSDs against threats | |
KR102335063B1 (ko) | 저장 디바이스 메모리 공간에의 직접적인 호스트 액세스 | |
CN109901911B (zh) | 一种信息设置方法、控制方法、装置及相关设备 | |
TWI514187B (zh) | 提供儲存裝置上防有毒軟體保護之系統與方法 | |
US10372628B2 (en) | Cross-domain security in cryptographically partitioned cloud | |
CN109739613B (zh) | 嵌套页表的维护方法、访问控制方法及相关装置 | |
US20190238560A1 (en) | Systems and methods to provide secure storage | |
CN101877246A (zh) | 加密u盘实现方法 | |
CN101101575A (zh) | 一种数据安全存储的方法及装置 | |
CN106778275A (zh) | 基于虚拟化环境下的安全防护方法及***和物理主机 | |
TW201939337A (zh) | 行為識別、數據處理方法及裝置 | |
CN104050420A (zh) | 用于保护数据的***和方法 | |
CN107729777A (zh) | 一种安全加密固态存储方法 | |
CN106709361B (zh) | 基于容量隐藏和多文件***的文件内容隐藏存储访问方法及其存储装置 | |
US20180365428A1 (en) | Configuration of a memory controller for copy-on-write with a resource controller | |
CN1293483C (zh) | 多存储器式物理隔离型计算机数据安全防护方法及装置 | |
KR20060006791A (ko) | Nodma 캐시 | |
US11941264B2 (en) | Data storage apparatus with variable computer file system | |
CN107562514B (zh) | 一种物理内存访问控制与隔离方法 | |
US10296468B2 (en) | Storage system and cache control apparatus for storage system | |
US7246213B2 (en) | Data address security device and method | |
US20180088846A1 (en) | Multi-user dynamic storage allocation and encryption | |
CN107169375A (zh) | ***数据安全增强方法 | |
CN2569235Y (zh) | 多存储器式物理隔离型计算机数据安全防护装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200303 |