CN113360877B - 一种基于ram的安全移动存储介质的设计方法 - Google Patents
一种基于ram的安全移动存储介质的设计方法 Download PDFInfo
- Publication number
- CN113360877B CN113360877B CN202010147770.4A CN202010147770A CN113360877B CN 113360877 B CN113360877 B CN 113360877B CN 202010147770 A CN202010147770 A CN 202010147770A CN 113360877 B CN113360877 B CN 113360877B
- Authority
- CN
- China
- Prior art keywords
- data
- password
- ram
- storage medium
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003860 storage Methods 0.000 title claims abstract description 142
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000013461 design Methods 0.000 title claims abstract description 14
- 238000012795 verification Methods 0.000 claims abstract description 45
- 230000003993 interaction Effects 0.000 claims abstract description 28
- 230000006378 damage Effects 0.000 claims description 31
- 238000007726 management method Methods 0.000 claims description 28
- 230000006870 function Effects 0.000 claims description 17
- 238000013500 data storage Methods 0.000 claims description 14
- 238000012544 monitoring process Methods 0.000 claims description 14
- 238000005192 partition Methods 0.000 claims description 8
- 238000012986 modification Methods 0.000 claims description 7
- 230000004048 modification Effects 0.000 claims description 7
- 150000003839 salts Chemical class 0.000 claims description 7
- 238000009938 salting Methods 0.000 claims description 5
- 238000005520 cutting process Methods 0.000 claims description 3
- 230000005059 dormancy Effects 0.000 claims description 3
- 230000002618 waking effect Effects 0.000 claims 1
- 230000001960 triggered effect Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 241000700605 Viruses Species 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 241001391944 Commicarpus scandens Species 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010926 purge Methods 0.000 description 1
- 230000009385 viral infection Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公布了一种基于RAM的安全移动存储介质的设计方法,包括基于RAM的安全移动存储介质软件和安全移动存储介质装置硬件;基于RAM的安全移动存储介质软件包括安全认证***、硬盘加密***SAFEDISK、虚拟存储***;用户通过安全认证***认证成功后,使得虚拟内存盘RAMDISK成为能够稳定存储数据的介质;基于RAM的安全移动存储介质的设计方法采用QT架构实现密码校验和数据交互;通过SAFEDISK,在带电状态下实现易失性存储器能够长时间数据存储;通过软硬件方式触发,实现存储数据彻底销毁,且不可恢复,从而实现基于RAM的安全移动存储。
Description
技术领域
本发明涉及安全移动存储领域,特别是涉及一种基于RAM(随机存取存储器)的数据安全存储、数据自动销毁的安全移动存储介质的设计方法。
背景技术
随着用户对信息的大容量、快速、安全、便捷存储的需求,移动存储介质已经在计算机信息交互的过程中被广泛使用,越来越多的用户,选择移动存储介质来备份和存储重要数据,进行数据交互,从而市场出现了种类繁多的移动存储产品,且有持续呈现迅猛增长势头。移动存储介质使用灵活、方便,使它在政府和企事业信息化的过程中迅速得到普及。
随着移动存储介质使用的越来越广泛,移动存储介质的安全问题也同样凸显出来。当前,针对移动存储介质的安全性问题主要有三种技术解决方案。
第一种是对计算机的物理端口进行逻辑上关闭或人工物理上封闭,使其无法接入任何设备,这是一种最早使用的技术方案,不仅限制了USB(Universal Serial Bus通用串行总线)移动存储介质的使用,也限制了其它接口如鼠标、键盘、打印机等USB设备的使用,给正常工作带来诸多不便。同时,移动存储介质还可以通过1394、红外、蓝牙等接口接入到计算机。也就是说,禁止USB设备并不能禁止移动存储介质的非法连接,因此,这种禁止物理端口的方法存在明显的缺陷和局限性。由于该方案将导致所有设备都无法在计算机上使用,已逐渐被用户淘汰。
第二种采用移动存储介质管理软件,利用软件解决方案对存储介质进行管理,对普通用户管理具有较高的性价比。将单个设备安全和移动存储介质管理***结合起来,并推出了软硬件结合的产品,实现了移动存储介质的数据安全、介质访问控制、介质使用环境安全等多层次保护,对移动存储介质进行全生命周期管理。这种软件方案主要针对普通用户信息安全和病毒防护,软件本身的安全性不高,较容易被攻破,不适合敏感信息存储和传递。
第三种是采用专用的移动存储介质,随着安全移动存储介质应用环境的复杂化,简单地依靠桌面操作***的单向认证方式,无法抵挡假冒身份、数据拦截等恶意的窃密手段。基于安全芯片的身份认证方式,大大提高移动存储介质数据访问的安全性。但是,这种方法采用硬件解决方案配合软件,使得普通移动存储介质无法识别,只能使用专门配发的存储设备。因此,这种专用硬件移动存储介质解决方案安全可靠性高,但是针对性强,目前大多在政府、军队、金融等单位使用。
由于移动存储介质没有对其存储的数据进行彻底销毁功能,一旦设备丢失或被非法访问者持有,将会造成数据的泄漏,威胁信息的安全性。现在常用的存储设备不管是U盘(USB盘的简称)还是移动硬盘,存储的数据删除后仍有一些技术手段可以恢复数据,特别是存储的敏感或涉密数据,删除后还能恢复就有泄密风险,必将带来很大损失。
因此,敏感信息安全存储和信息交互过程中数据应急销毁已逐渐成为政府、企事业单位、个人关心的焦点。然而,越来越多的敏感信息、档案资料和涉密数据被存储在移动存储介质里,一旦被非法持有者获取,会给政府和企事业信息资源带来相当大的安全隐患,安全存储和数据销毁变得至关重要,安全存储可以作为文件和数据的存放中心,存储***作为数据的保存空间,数据销毁是数据保护的最后一道防线。
综上,现有的三种安全移动存储技术没有对数据存储的安全性进行保护,也没有增加安全控制装置,没法达到存储设备具有自身存储特点外还应具有认证安全和密码验证的功能,数据安全性和可靠性低,难以胜任保密领域的安全移动存储需要。
发明内容
为了克服上述现有技术的不足,本发明利用RAMDISK(虚拟内存盘)的断电数据即消失的特性,提供一种基于RAM的安全移动存储介质及其设计方法,对易失性存储设备进行改进,达到存储设备具有自身存储特点且新增认证安全和密码验证的功能,在保持供电的情况下该RAMDISK中的存储数据信息能长期保留,状态稳定;断电后存储数据信息也随之消失。相比现有的传统非易失性存储技术,采用本发明技术方案可实现数据快速销毁、彻底销毁,增强数据安全性和可靠性,能够胜任保密领域数据存储。
本发明通过安全认证、密码验证等方法安全访问安全移动存储介质,通过硬盘加密***SAFEDISK中的软件模块挂载、数据交互和数据销毁等设计方法实现数据存储和彻底销毁。
本发明中的SAFEDISK(硬盘加密***),对客户端用户名、密码信息进行验证。SAFEDISK安装嵌入式Linux***,利用Usb Gadget功能将flash闪存中的两个分区设置成大容量存储设备,一个格式化成fat格式用于Windows***,一个格式化成ext4格式用于Linux***,通过USB连接PC,能在PC上看到两个可移动磁盘WINDOWS_CA和LINUX_CA,磁盘内有对应操作***的认证程序,运行认证程序可以登陆RAMDISK,认证程序将用户输入的密码经过两次算法加密,然后通过USB传输给存储终端,存储终端会验证密码的准确性并将结果通过USB返回给认证程序,认证成功PC上会出现SAFE_DISK安全磁盘,SAFE_DISK还有定时清除数据的功能,用户可以设置一个时间来清除SAFE_DISK中的数据。
本发明使用综合的认证手段,包括登录时需要密码进行验证,并且通过加盐方式对密钥进行加密,采用一次一密的方式与存储在SAFEDISK中密码进行安全认证,最重要的是密钥存储在安全区中,不可拷贝,用户登录密码与存储密码分别通过加密运算后进行验证,大大提高了认证的安全性。用户忘记密码时,如对***进行重置,会使存储的所有数据消失。
本发明采用RAMDISK存储技术,利用RAM的特性设计移动式存储介质,充分利用RAM的易失性和在带电状态下能够存储数据的特性,通过安全认证和密码验证的虚拟内存盘存储方法,使得虚拟内存盘成为能够稳定存储数据的介质,数据存储对用户是透明的,也就是用户觉察不到是在使用RAM进行存储数据,而且在数据销毁时能够彻底销毁数据,确保介质中的数据内容不能还原,保证数据存储、使用的安全性。
本发明的技术方案是:
一种基于RAM的安全移动存储介质的设计方法,基于RAM的安全移动存储介质软件包括安全认证***、硬盘加密***、虚拟存储***等,用户通过安全认证***能够访问虚拟内存盘,使得虚拟存储盘在带电状态下能够存储数据;
所述安全移动存储介质硬件包括:主存储控制单元、易失性存储器、数据销毁按钮、数据交互接口、电源管理电路、数据监测指示灯和电量监测指示灯;
其中,主存储控制单元通过易失性存储器总线连接至易失性存储器;数据销毁按钮通过数据线连接至主存储控制单元;主存储控制单元设置有数据交互接口,外部总线通过数据交互接口连接至主存储控制单元;电源管理电路通过数据线分别连接主存储控制单元和易失性存储器;数据监测指示灯和电量监测指示灯分别通过数据线连接至主存储控制单元;数据通过外部总线经数据交互接口传输至主存储控制单元,主存储控制单元存储至易失性存储器;需要存储数据时,数据销毁按钮提供高电平至主存储控制单元,主存储控制单元发送供电协议指令至电源管理电路,电源管理电路为易失性存储器供电;不需要存储数据时,数据销毁按钮提供低电平至主存储控制单元,主存储控制单元发送销毁协议指令至电源管理电路,电源管理电路停止为易失性存储器供电,易失性存储器内的数据立即消失;主存储控制单元检测电源管理电路的电平的高低,得到易失性存储器是在通电状态还是断电状态,从而判断易失性存储器中有无数据的状态,并把电平高低即有无数据状态输送至数据监测指示灯,数据监测指示灯显示易失性存储器中有无数据的状态;主存储控制单元监测电源管理电路的电量,输入至电量监测指示灯显示电源管理电路中剩余的电量。
基于RAM的安全移动存储介质的设计方法包括安全认证、SAFEDISK挂载、数据交互和数据销毁;通过SAFEDISK达到易失性存储器的数据存储,通过RAM器件特性对存储数据彻底销毁,且不可恢复;采用QT架构(QT应用程序开发框架)开发实现安全认证、密码校验和数据交互;包括如下步骤:
1)用户访问安全移动存储介质时进行安全认证:
a)密码校验:读取用户输入的密码,通过密码加盐方式进行密码验证;
密码加盐方式包含随机值和加密方式。随机值是随机产生的,并且以随机的方式混在原始密码(用户输入的密码)里面,然后按照密码加盐加密方式生成一串字符串发送到服务端。加密方式是单向的,是无法解析用户真正的原始密码。同时以相同的加盐方式对存储在服务端的密码进行加密,生成另一字符串,如果与之前发送的字符串校验是一致的,则安全认证通过。密码加盐方式实际上就是给密码加一个随机串,再进行散列,可降低根据散列反推出密码的可能性。本发明通过读取用户输入的密码,并经过密码加盐加密算法进行加密后,发送给服务端进行密码校验,根据校验结果弹出验证成功与否的提示信息。
b)密码修改:读取用户输入的老密码、新密码并经过加盐加密算法进行相关的运算及加密后,发送给服务端与加密的老密码校验,校验通过后将新密码保存在介质的flash闪存(密码存储位置)中,并根据校验结果弹出修改成功与否的提示信息。
c)时间预置:读取用户输入的密码和清空时间以及电脑PC的当前时间,密码经过加密后与清空时间和电脑当前时间一起通过USB发送给设备服务端进行密码校验,密码校验通过将设备当前时间设置为PC的当前时间,通过PC的rtc(实时时钟)定时中断时间为清空时间,定时中断产生会唤醒休眠的***,并关机清空SAFEDISK中的数据,最后接收校验结果并根据校验结果弹出提示信息。
2)SAFEDISK挂载;
本发明中,SAFEDISK安全存储区挂载是在密码校验通过后,将linuxUsbGadget(linux Usb框架)功能设置为大容量存储模式,然后根据RAMDISK设备路径实现SAFEDISK挂载,把RAMDISK设备修改为大容量存储设备。
3)数据交互和数据销毁:
所述的数据交互是对SAFEDISK进行数据读写操作,对数据进行拷出拷入。
所述的数据销毁是销毁RAMDISK设备存储的数据。通过切断电源,实现数据的彻底销毁。
本发明采用的移动存储介质本身具有安全性,开发过程中,设备没用的接口全部进行关闭,对数据传输协议增加差错校验和重传机制,形成自定义的高安全的数据交互专有协议,数据在断电后能够彻底销毁,介质在数据清空后可直接用于涉密***中,也可以在不同密级的信息***中交叉使用,能够确保移动存储介质本身不被病毒感染。
与现有技术相比,本发明的有益效果是:
本发明采用安全认证方式对RAMDISK进行安全的访问,实现数据的存储,通过软硬件方式触发,实现数据的销毁,且销毁的数据是不可恢复的。采用本发明提供的基于RAM的安全移动存储介质,能够解决现有技术中数据存储安全问题,能够对移动存储介质不再定密和标密,存储涉密信息就是涉密介质,不存储涉密信息就是非密介质。应用于党政、企事业内网到Internet网的数据摆渡,保证内网数据不受病毒感染风险。本发明的技术优势具体体现为:
(一)简化了***的分级保护管理。国家保密部门在保密制度上做出了明确规定,对信息***提出了分密级保护的要求,并规定不同密级实体之间的访问规则,比如高密级电子文件不能存储在低密级存储设备上。为满足保密部门这些要求,密级标识和基于主客体密级标识的访问控制成为移动存储介质保密管理的必备功能。本发明移动存储介质,能够彻底销毁存储数据,存储介质自身不被病毒感染,不需要进行密级标识,存储涉密信息就是涉密介质,不存储涉密信息就是非密介质。
(二)提升了数据的摆渡安全。传统的数据摆渡威胁来自于移动存储介质在内外网之间的交叉使用。病毒(木马)通过移动存储介质摆渡来窃取用户文件,本发明移动存储介质通过数据销毁,能够彻底清除病毒(木马),保证移动存储介质在内网和外网之间进行数据的安全摆渡。
(三)移动存储介质本身具有安全性。后端没使用的接口全部进行关闭,数据交互采用自定义的高安全专有协议,数据在断电后能够彻底销毁,介质在清空后可以用于涉密***中,也可以用于在不同密级的信息***中交叉使用,能够确保移动存储介质本身不被病毒感染。
附图说明
图1为本发明采用的基于RAM的安全移动存储介质的结构框图。
图2为本发明中包括前端(客户端)和后端(服务器)的认证管理***流程图。
图3为本发明通过认证管理***进行业务请求的交互流程图。
图4为Token过期刷新的工作流程图。
图5为本发明提供的SAFEDISK的工作流程框图。
图6为本发明具体实施时的工作流程框图。
图7为本发明具体实施时通过USB连接PC,PC上可移动磁盘内对应WINDOWS或LINUX操作***的认证程序界面截图。
图8为本发明具体实施时将认证结果通过USB返回给认证程序的界面截图。
图9为本发明具体实施时认证成功PC上出现SAFE_DISK安全磁盘的界面截图。
图10为本发明具体实施时定时清除SAFE_DISK中的数据的界面截图。
具体实施方式
下面结合附图,通过实施例进一步描述本发明,但不以任何方式限制本发明的范围。
本发明提供一种基于RAM的安全移动存储介质的设计方法,采用安全认证方式对RAM进行安全的访问,实现数据的存储,通过软硬件方式触发,实现数据的销毁,且销毁的数据是不可恢复的。采用本发明提供的技术方案,能够解决现有技术中数据存储安全问题。
具体实施包括:
一、采用安全认证方法进行登陆,通过登录认证管理***访问安全移动存储介质;
安全认证主要完成对用户的相关登录认证,核对登录用户名和密码的相关信息是否正确。用户使用用户名和密码进行登录认证过程如下:
1)登录认证管理***包括前端(客户端)和后端(服务端);如图2所示。
用户通过客户端输入用户名和密码,通过对用户名和密码进行加密,产生相关的身份验证信息(包括令牌(Token)等),经过身份验证接口,通过自定义的高安全专有协议传输至服务端,服务端的AuthenticationManager(认证管理器)对令牌进行认证。
具体实施时,利用SpringSecurity(Spring安全框架)将获取到的用户名和密码封装成一个实现了Authentication(身份验证)接口的Username(用户名)、Password(密码),服务端其它硬件接口全部关闭,安全认证软件通过协议存储在服务端的加密区,服务端对文件只能进行只读,不可拷贝。
将上述产生的Token对象传递给认证管理***进行登录认证。
2)业务请求
如图3所示,服务端的认证管理器对用户名和密码都进行校验,校验成功后返回一个封装了用户权限等信息的Authentication身份验证对象,通过调用认证封装函数(软件封装函数),将返回的Authentication身份验证对象赋予认证封装函数当前的认证参数,获取正确的令牌。
3)Token过期刷新
Token是服务端生成的一串字符串。用户在客户端交互时,每一次只需要携带正确的令牌,而不需要用户名和密码,认证的唯一标识Token是在客户端与服务端频繁交互,减少了客户端与服务端传输用户名和密码的交互,减少了用户名和密码被破解的风险,增强服务端的健壮性。Token过期刷新的工作流程如图4所示。
以上处理过程都是有状态标记的,需要在服务端做相关的Token存储,将用户名、密码等所有的信息全部放到Token里面。这样只需要服务端确保是自己签发的Token就可以确认Token有效,由于Token的签发和验收都是服务端,认证才用对称加密算法。
使用综合的认证手段,包括登录时需要密码进行验证,并且通过加盐方式对密钥进行加密,采用一次一密的方式与存储在SAFEDISK中密钥进行安全认证,最重要的是密码存储在安全区中,不可拷贝,用户加密密码与存储密码通过加密运算后进行校验,大大提高了认证的安全性。用户忘记密码时也不可进行简单的重置,重置会使所有的数据消失。
2、RAMDISK(虚拟内存盘)存储技术
外界触发信息,通过中央处理器将信息传递到客户端,客户端就会下达一个指令,中断虚拟存储盘的供电,数据销毁。
采用RAMDISK即虚拟内存盘,它是通过软件将一部分内存(RAM)模拟为硬盘来使用的一种技术。对于操作***来说内存的存取速度远远大于机械磁盘,这种技术可以极大的提高文件访问的速度。把整个应用程序都安装在RAMDISK的驱动器中,然后用内存的速度运行,因为内存(RAM)的存取速度远远大于硬盘的存取速度。
RAMDISK(虚拟内存盘)存储技术,是利用RAM的特性进行设计的,目前市面上没有现成的移动式存储介质,充分利用RAM的易失性特点,结合在带电状态下能够长期存储数据的特性,设计的一款能够稳定存储数据的介质,对用户来是是透明的,不能觉察到是在使用RAM进行存储数据,但是断电即数据销毁时能够彻底销毁数据,确保介质中的数据内容不能还原,保证数据传输、使用的安全性。
本发明提供一种基于RAM的安全移动存储介质以及设计方法,通过SAFEDISK达到易失性存储器的数据存储,通过RAM器件特性对存储数据彻底销毁,且不可恢复。本发明***框图包括安全认证、验证密码、SAFEDISK挂载、数据交互和数据销毁等,如图5所示。
所述的***架构是采用QT架构(QT应用程序开发框架)编写的应用程序,用来密码校验、数据交互功能:
1)安全认证
a)密码校验:读取用户输入的密码,通过密码加盐方式进行密码验证;
密码加盐方式包含随机值和加密方式。随机值是随机产生的,并且以随机的方式混在原始密码(用户输入的密码)里面,然后按照密码加盐加密方式生成一串字符串发送到服务端。加密方式是单向的,是无法解析用户真正的原始密码。同时以相同的加盐方式对存储在服务端的密码进行加密,生成另一字符串,如果与之前发送的字符串校验是一致的,则安全认证通过。密码加盐方式实际上就是给密码加一个随机串,再进行散列,可降低根据散列反推出密码的可能性。本发明通过读取用户输入的密码,并经过密码加盐加密算法进行加密后,发送给服务端进行密码校验,根据校验结果弹出验证成功与否的提示信息。
b)密码修改:读取用户输入的老密码、新密码并经过自定义的加盐加密算法进行相关的运算及加密后,发送给服务端与加密的老密码校验,校验通过后将新密码加密后保存在介质的flash闪存(密码存储位置)中,并根据校验结果弹出修改成功与否的提示信息。
c)时间预置:读取用户输入的密码和清空时间以及电脑PC的当前时间,密码经过加密后与清空时间和电脑当前时间一起通过USB发送给设备服务端进行密码校验,密码校验通过将设备当前时间设置为PC的当前时间,通过PC的rtc(实时时钟)定时中断时间为清空时间,定时中断产生会唤醒休眠的***,并关机清空SAFEDISK中的数据,最后接收校验结果并根据校验结果弹出提示信息。
2)SAFEDISK挂载;
本发明中,SAFEDISK安全存储区挂载是在密码校验通过后,将linuxUsbGadget(linux Usb框架)功能设置为大容量存储模式,然后根据RAMDISK设备路径实现SAFEDISK挂载,把RAMDISK设备修改为大容量存储设备。
3)数据交互和数据销毁:
所述的数据交互是对SAFEDISK进行数据读写操作,对数据进行拷出拷入。
所述的数据销毁是销毁RAMDISK设备存储的数据。通过切断电源,实现数据的彻底销毁。
本发明已经通过产品测试,测试效果达到预期目标,在通电状态下数据存取安全,数据读取速度快,断电情况下,数据彻底销毁,数据的访问速度和安全得到很大提高,确保数据的安全性。
本发明已通过实验验证,并研制出样机。工作流程如图6所示,包括:用户通过认证程序输入密码;认证程序将密码进行加密;通过USB通讯将加密密钥提交给SAFEDISK;SAFEDISK验证密钥;密钥认证结果通过USB返回给认证程序;认证程序弹出认证结果对话框;密钥正确,挂载安全存储区RAMDISK。
其操作步骤具体如下:
用户输入正确的登录密码,通过认证后将密钥提交给SAFEDISK,SAFEDISK验证成功后进行挂载RAMDISK。
SAFEDISK(硬盘加密***),对客户端用户名、密码信息进行验证。SAFEDISK安装嵌入式Linux***,利用UsbGadget(驱动框架)功能将flash(闪存)中的两个分区设置成大容量存储设备,一个格式化成fat格式用于Windows***,一个格式化成ext4格式用于Linux***。
SAFEDISK安装嵌入式Linux***,利用Usb Gadget功能将flash中的两个分区设置成大容量存储设备,一个格式化成fat格式用于Windows***,一个格式化成ext4格式用于Linux***,通过USB连接PC,能在PC上看到两个可移动磁盘WINDOWS_CA和LINUX_CA,磁盘内有对应操作***的认证程序,运行认证程序可以登陆RAMDISK,认证程序将用户输入的密码经过两次算法加密,然后通过USB传输给存储终端,存储终端会验证密码的准确性并将结果通过USB返回给认证程序,认证成功时PC上会出现SAFE_DISK安全磁盘,SAFE_DISK还有定时清除数据的功能,用户可以设置一个时间来清除SAFE_DISK中的数据。
本发明具体实施时,通过USB连接PC,通过USB连接PC时,在PC上显示出格式化成fat格式的可移动磁盘WINDOWS_CA和格式化成ext4格式的可移动磁盘LINUX_CA;两个磁盘内装有对应WINDOWS或LINUX操作***的认证程序;如图7所示,通过点击运行认证程序登录RAMDISK;认证程序将用户输入的密码经过两次算法加密,然后通过USB传输给存储终端,存储终端验证密码的准确性并将结果通过USB返回认证程序,如图8所示;认证成功时PC上出现SAFE_DISK安全磁盘,如图9所示。
SAFE_DISK还有定时清除数据的功能,用户可以设置一个时间来清除SAFE_DISK中的数据,如图10所示。
需要注意的是,公布实施例的目的在于帮助进一步理解本发明,但是本领域的技术人员可以理解:在不脱离本发明及所附权利要求的精神和范围内,各种替换和修改都是可能的。因此,本发明不应局限于实例所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
Claims (6)
1.一种基于RAM的安全移动存储介质的设计方法,包括基于RAM的安全移动存储介质软件和安全移动存储介质硬件;
所述基于RAM的安全移动存储介质软件包括安全认证***、硬盘加密***SAFEDISK、虚拟存储***;用户通过安全认证***访问虚拟存储***,使得虚拟存储***在带电状态下长期存储数据;
所述基于RAM的安全移动存储介质硬件包括:主存储控制单元、易失性存储器、数据销毁按钮、数据交互接口、电源管理电路、数据监测指示灯和电量监测指示灯;
所述基于RAM的安全移动存储介质的设计方法包括安全认证、硬盘加密***SAFEDISK挂载、数据交互和数据销毁;采用QT架构实现密码校验和数据交互;通过硬盘加密***SAFEDISK达到易失性存储器的数据存储,并对RAM存储数据彻底销毁,且数据不可恢复;
具体包括如下步骤:
1)用户访问安全移动存储介质时进行安全认证,包括如下过程:
1a)密码校验:读取用户输入的密码,通过密码加盐方式进行密码验证;
密码加盐方式中随机产生的随机值以随机的方式混在用户输入的原始密码里面,然后按照密码加盐方式中的加密方式生成一串字符串发送到服务端;所述加密方式是单向的,是无法解析得到用户真正的原始密码;
同时以相同的密码加盐方式对存储在服务端的密钥进行加密,生成另一字符串;
将另一字符串与之前发送的字符串进行校验,如果二者是一致的,则表示安全认证通过;
1b)密码修改:读取用户输入的老密码、新密码并经过自定义的加盐加密算法进行相关的运算及加密后,发送给服务端与加密的老密码校验,校验通过后将新密码保存在介质的flash闪存中,根据校验结果弹出修改成功与否的提示信息;
1c)时间预置:读取用户输入的密码和清空时间以及电脑当前时间,密码经过加密后与清空时间和电脑当前时间一起通过USB发送给密码校验模块进行密码校验,密码校验通过将设备当前时间设置为电脑当前时间,通过电脑的实时时钟定时中断时间为清空时间,定时中断产生唤醒休眠的***,并关机清空硬盘加密***SAFEDISK中的数据,最后接收校验结果并根据校验结果弹出提示信息;
2)硬盘加密***SAFEDISK挂载,包括以下过程:
在密码校验通过后,将linux Usb框架linuxUsbGadget功能设置为大容量存储模式;
再根据虚拟存储***路径实现硬盘加密***SAFEDISK挂载,把虚拟存储***修改为大容量存储设备;
3)数据交互和数据销毁,包括:
数据交互是对硬盘加密***SAFEDISK进行数据读写操作;
数据销毁是销毁虚拟存储***存储的数据;
通过切断电源,实现数据的彻底销毁;
通过上述步骤,实现基于RAM的安全移动存储。
2.如权利要求1所述基于RAM的安全移动存储介质的设计方法,其特征是,步骤1a)密码加盐方式具体是给密码加一个随机字符串,再进行散列。
3.如权利要求1所述基于RAM的安全移动存储介质的设计方法,其特征是,硬盘加密***SAFEDISK安装嵌入式Linux***,利用驱动框架UsbGadget功能将flash闪存中的两个分区设置成大容量存储设备:一个格式化成fat格式,用于Windows***;另一个格式化成ext4格式,用于Linux***。
4.如权利要求3所述基于RAM的安全移动存储介质的设计方法,其特征是,通过USB连接PC时,在PC上显示出格式化成fat格式的可移动磁盘WINDOWS_CA和格式化成ext4格式的可移动磁盘LINUX_CA;两个磁盘内装有对应操作***的认证程序;通过运行认证程序登录虚拟存储***;认证程序将用户输入的密码经过两次算法加密,然后通过USB传输给存储终端,存储终端验证密码的准确性并将结果通过USB返回认证程序;认证成功时PC上出现SAFE_DISK安全磁盘。
5.如权利要求3所述基于RAM的安全移动存储介质的设计方法,其特征是,SAFE_DISK还有定时清除数据的功能;通过设置时间来定时清除SAFE_DISK中的数据。
6.如权利要求1所述基于RAM的安全移动存储介质的设计方法,其特征是,所述基于RAM的安全移动存储介质硬件中,主存储控制单元通过易失性存储器总线连接至易失性存储器;数据销毁按钮通过数据线连接至主存储控制单元;主存储控制单元设置有数据交互接口,外部总线通过数据交互接口连接至主存储控制单元;电源管理电路通过数据线分别连接主存储控制单元和易失性存储器;数据监测指示灯和电量监测指示灯分别通过数据线连接至主存储控制单元;数据通过外部总线经数据交互接口传输至主存储控制单元,主存储控制单元存储至易失性存储器;需要存储数据时,数据销毁按钮提供高电平至主存储控制单元,主存储控制单元发送供电协议指令至电源管理电路,电源管理电路为易失性存储器供电;不需要存储数据时,数据销毁按钮提供低电平至主存储控制单元,主存储控制单元发送销毁协议指令至电源管理电路,电源管理电路停止为易失性存储器供电,易失性存储器内的数据立即消失;
主存储控制单元检测电源管理电路的电平的高低,得到易失性存储器是在通电状态还是断电状态,从而判断易失性存储器中有无数据的状态,并把电平高低即有无数据状态输送至数据监测指示灯,数据监测指示灯显示易失性存储器中有无数据的状态;主存储控制单元监测电源管理电路的电量,输入至电量监测指示灯显示电源管理电路中剩余的电量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010147770.4A CN113360877B (zh) | 2020-03-05 | 2020-03-05 | 一种基于ram的安全移动存储介质的设计方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010147770.4A CN113360877B (zh) | 2020-03-05 | 2020-03-05 | 一种基于ram的安全移动存储介质的设计方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113360877A CN113360877A (zh) | 2021-09-07 |
| CN113360877B true CN113360877B (zh) | 2024-01-30 |
Family
ID=77523848
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010147770.4A Active CN113360877B (zh) | 2020-03-05 | 2020-03-05 | 一种基于ram的安全移动存储介质的设计方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113360877B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116779003B (zh) * | 2023-06-21 | 2023-12-08 | 广州市动易网络科技有限公司 | 用于硬盘数据销毁和安全性评估的方法及*** |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103279691A (zh) * | 2013-04-12 | 2013-09-04 | 杭州晟元芯片技术有限公司 | 一种用于版权保护的加密存储装置及方法 |
| CN106845262A (zh) * | 2015-12-03 | 2017-06-13 | 上海宝信软件股份有限公司 | 基于企业云盘的移动存储介质数据安全保护方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150100795A1 (en) * | 2013-10-07 | 2015-04-09 | Microsemi Corporation | Secure Storage Devices, Authentication Devices, and Methods Thereof |
-
2020
- 2020-03-05 CN CN202010147770.4A patent/CN113360877B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103279691A (zh) * | 2013-04-12 | 2013-09-04 | 杭州晟元芯片技术有限公司 | 一种用于版权保护的加密存储装置及方法 |
| CN106845262A (zh) * | 2015-12-03 | 2017-06-13 | 上海宝信软件股份有限公司 | 基于企业云盘的移动存储介质数据安全保护方法 |
Non-Patent Citations (2)
| Title |
|---|
| 一种基于分区引导扇区控制的移动存储介质安全控制方法;李为;刘嘉勇;;成都信息工程学院学报(01);全文 * |
| 移动存储介质权限管理和认证方法的研究;王颖;;电脑知识与技术(18);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113360877A (zh) | 2021-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10516533B2 (en) | Password triggered trusted encryption key deletion | |
| Zaddach et al. | Implementation and implications of a stealth hard-drive backdoor | |
| JP5534029B2 (ja) | データ保護方法、装置及びシステム | |
| US7900252B2 (en) | Method and apparatus for managing shared passwords on a multi-user computer | |
| US11368299B2 (en) | Self-encryption drive (SED) | |
| CN107563213B (zh) | 一种防存储设备数据提取的安全保密控制装置 | |
| CN102948114A (zh) | 用于访问加密数据的单次使用认证方法 | |
| US20090046858A1 (en) | System and Method of Data Encryption and Data Access of a Set of Storage Devices via a Hardware Key | |
| US7840795B2 (en) | Method and apparatus for limiting access to sensitive data | |
| WO2006058472A1 (fr) | Procede d'etablissement d'un environnement d'execution securisee dans un ordinateur | |
| CN108629206B (zh) | 一种安全加密方法、加密机及终端设备 | |
| JP2002318719A (ja) | 高信頼計算機システム | |
| US7818567B2 (en) | Method for protecting security accounts manager (SAM) files within windows operating systems | |
| JPH0260009B2 (zh) | ||
| TW202036347A (zh) | 資料儲存、驗證方法及裝置 | |
| KR20080071528A (ko) | 저장 장치 데이터 암호화와 데이터 액세스를 위한 방법 및시스템 | |
| WO2013048418A1 (en) | Decryption and encryption of application data | |
| CN104318179A (zh) | 基于文件重定向技术的虚拟化安全桌面 | |
| NO335189B1 (no) | Sikkert databehandlingssystem | |
| TW200832181A (en) | System and method of data encryption and data access of a set of storage device via a hardware key | |
| CN107403109A (zh) | 加密方法及加密*** | |
| CN109190389A (zh) | 一种基于u盘鉴权的固态硬盘数据保护方法 | |
| CN105005721A (zh) | 基于计算机开机钥匙的计算机授权开机控制***及方法 | |
| Götzfried et al. | Mutual authentication and trust bootstrapping towards secure disk encryption | |
| CN113360877B (zh) | 一种基于ram的安全移动存储介质的设计方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |