一種具有環(huán)境控制的USB加密存儲(chǔ)系統(tǒng)及方法技術(shù)方案

本發(fā)明專利技術(shù)公開了一種具有環(huán)境控制的USB加密存儲(chǔ)系統(tǒng)及方法，在數(shù)據(jù)讀寫階段，處于鎖定狀態(tài)的USB加密存儲(chǔ)裝置通過射頻接口與激活裝置進(jìn)行雙向環(huán)境鑒別，當(dāng)確認(rèn)處在授權(quán)許可的環(huán)境之中后才進(jìn)行一次主機(jī)的讀操作或?qū)懖僮鳎纱藢?shí)現(xiàn)數(shù)據(jù)加解密密鑰與所處環(huán)境的綁定，從而使離開授權(quán)許可環(huán)境的USB加密存儲(chǔ)裝置無法泄露存儲(chǔ)的數(shù)據(jù)，提高存儲(chǔ)數(shù)據(jù)的安全性。

【技術(shù)實(shí)現(xiàn)步驟摘要】
一種具有環(huán)境控制的USB加密存儲(chǔ)系統(tǒng)及方法
本專利技術(shù)涉及數(shù)據(jù)保護(hù)技術(shù)，特別涉及一種具有環(huán)境控制的USB加密存儲(chǔ)系統(tǒng)及方法。
技術(shù)介紹
當(dāng)前，U盤等USB存儲(chǔ)設(shè)備作為一種靈活、快捷的存儲(chǔ)介質(zhì)在各個(gè)公司、企業(yè)和科研機(jī)構(gòu)中被廣泛使用。這些設(shè)備中存儲(chǔ)的文件數(shù)據(jù)，很多涉及企業(yè)的知識(shí)產(chǎn)權(quán)或商業(yè)技術(shù)秘密等信息。一旦內(nèi)部人員將存有這些信息的設(shè)備帶出并在外部場合使用，就會(huì)造成公司敏感信息的泄露。因此，需要對USB存儲(chǔ)設(shè)備中的數(shù)據(jù)進(jìn)行嚴(yán)格保護(hù)，對USB存儲(chǔ)設(shè)備的環(huán)境進(jìn)行管控，以防止信息的泄露。隨著企業(yè)用戶對數(shù)據(jù)安全性要求的提高和技術(shù)的不斷發(fā)展，為了防止USB存儲(chǔ)設(shè)備離開可控范圍后，數(shù)據(jù)安全受到威脅，出現(xiàn)了幾種針對USB存儲(chǔ)設(shè)備內(nèi)數(shù)據(jù)的保護(hù)方法，以U盤為例：方式1，軟件加密：U盤本身并沒有加密功能，需要在接入主機(jī)上安裝加密軟件，加密軟件利用過濾驅(qū)動(dòng)技術(shù)對交互數(shù)據(jù)進(jìn)行加密，然后將加密后的數(shù)據(jù)存儲(chǔ)到U盤上。方式2，硬件加密U盤：與軟件加密類似，硬件加密U盤中的數(shù)據(jù)同樣是以密文的形式進(jìn)行存儲(chǔ)；但是，與軟件加密不同，加密算法和加密過程固化在U盤的控制邏輯中，對數(shù)據(jù)的加解密操作在U盤內(nèi)完成，不需要在接入主機(jī)上進(jìn)行額外的加解密操作；加解密過程都需要用戶輸入正確的口令。方式3，接入主機(jī)鑒別：通過在主機(jī)內(nèi)添加可信平臺(tái)模塊（TPM，TrustPlatformModule），在U盤接入主機(jī)和后續(xù)的訪問過程中，利用TPM對主機(jī)進(jìn)行周期性的驗(yàn)證：TPM利用自身的私鑰對主機(jī)的BIOS信息、Bootloader及其配置、操作系統(tǒng)信息作簽名，發(fā)送給U盤；U盤利用公鑰驗(yàn)證簽名，并將主機(jī)信息和內(nèi)部預(yù)先存儲(chǔ)的信息比較，驗(yàn)證通過后允許主機(jī)對U盤內(nèi)文件的讀寫訪問。方式4，雙界面加密存儲(chǔ)卡：在加密存儲(chǔ)的基礎(chǔ)上，集成了USB接口和射頻接口，其中，射頻接口遵循ISO/IEC14443標(biāo)準(zhǔn)。對芯片的訪問可以通過USB接口，也可以通過相隔一定距離以射頻方式進(jìn)行訪問；通過在合法的使用區(qū)域和管控范圍的出口部署射頻讀寫裝置，利用射頻接口鑒別當(dāng)前存儲(chǔ)設(shè)備的使用環(huán)境，保證只有在合法范圍內(nèi)設(shè)備才能被激活使用；超出可控范圍，密鑰將被銷毀。方式5，基于雙射頻環(huán)境鑒別機(jī)制的USB加密存儲(chǔ)方法：在雙界面加密存儲(chǔ)卡的基礎(chǔ)上，又集成了UHF射頻接口。若存儲(chǔ)設(shè)備超出合法使用范圍，告警裝置將通過UHF射頻向USB存儲(chǔ)裝置寫入離境告警標(biāo)志，當(dāng)USB存儲(chǔ)裝置進(jìn)入到銷毀裝置射頻接口范圍內(nèi)時(shí)，USB加密存儲(chǔ)裝置的狀態(tài)設(shè)置為銷毀，執(zhí)行銷毀命令，銷毀所存儲(chǔ)的數(shù)據(jù)密鑰，并銷毀所存儲(chǔ)的主密鑰。上述方式雖然可以在一定程度上防止信息泄露，但是，在實(shí)際應(yīng)用中均會(huì)存在一定的問題，如：對于方式1，由于需要對數(shù)據(jù)進(jìn)行額外的加密操作，因此對于用戶來說不太方便，那么一旦用戶忘記對數(shù)據(jù)進(jìn)行加密，當(dāng)U盤丟失時(shí)，其中的數(shù)據(jù)就會(huì)泄露；對于方式2，雖然能夠保證U盤丟失后，其中的數(shù)據(jù)不被泄漏，但不能防止有使用權(quán)限的、知道口令的用戶蓄意泄漏其中的數(shù)據(jù)；對于方式3，由于需要定期地對主機(jī)進(jìn)行驗(yàn)證，該方案會(huì)帶來一定的系統(tǒng)開銷，影響文件讀寫速率；另外，該方案不能防止合法用戶主動(dòng)將存儲(chǔ)設(shè)備攜帶出公司使用；對于方式4，雙界面加密存儲(chǔ)卡的射頻接口遵循ISO/IEC14443標(biāo)準(zhǔn)，讀寫距離非常有限，只能達(dá)到10cm，因此一旦用戶因疏忽忘記向射頻讀寫裝置出示存儲(chǔ)卡，或快速通過管控范圍的出口，密鑰銷毀操作就無法完成。對于方式5，射頻接口遵循ISO/IEC14443標(biāo)準(zhǔn)，讀寫距離非常有限，只能達(dá)到10cm，U射頻讀寫距離也只在3米到5米左右，若采用電磁屏蔽等技術(shù)，告警裝置將無法向USB存儲(chǔ)裝置寫入離境告警標(biāo)志，從而銷毀裝置無法執(zhí)行銷毀數(shù)據(jù)密鑰及主密鑰操作，存在安全隱患。
技術(shù)實(shí)現(xiàn)思路
有鑒于此，本專利技術(shù)的主要目的在于提供一種具有環(huán)境控制的USB加密存儲(chǔ)方法，實(shí)現(xiàn)數(shù)據(jù)加解密密鑰與所處環(huán)境的綁定，從而使離開授權(quán)許可環(huán)境的USB加密存儲(chǔ)裝置無法泄露存儲(chǔ)的數(shù)據(jù)，提高存儲(chǔ)數(shù)據(jù)的安全性。本專利技術(shù)的另一目的在于提供一種可提高存儲(chǔ)數(shù)據(jù)安全性，具有環(huán)境控制的USB加密存儲(chǔ)系統(tǒng)。為實(shí)現(xiàn)上述目的，本專利技術(shù)提供了一種具有環(huán)境控制的USB加密存儲(chǔ)方法，包括：初始化步驟：初始化裝置通過射頻與USB加密存儲(chǔ)裝置建立數(shù)據(jù)連接，初始化設(shè)備將USB加密存儲(chǔ)裝置的狀態(tài)由出廠狀態(tài)設(shè)定為鎖定狀態(tài)；狀態(tài)驗(yàn)證步驟：USB加密存儲(chǔ)裝置通過USB接口與主機(jī)連接并上電復(fù)位，查詢當(dāng)前自身的狀態(tài)；若當(dāng)前狀態(tài)為出廠狀態(tài)，則禁止USB加密存儲(chǔ)裝置執(zhí)行主機(jī)的數(shù)據(jù)讀寫操作；若當(dāng)前狀態(tài)為鎖定狀態(tài)，則進(jìn)入數(shù)據(jù)讀寫步驟；數(shù)據(jù)讀寫步驟：激活裝置通過射頻與USB加密存儲(chǔ)裝置進(jìn)行環(huán)境鑒別；若環(huán)境鑒別失敗，則禁止USB加密存儲(chǔ)裝置執(zhí)行主機(jī)的數(shù)據(jù)讀寫操作；若環(huán)境鑒別成功，USB加密存儲(chǔ)裝置進(jìn)入激活狀態(tài)并生成文件加解密密鑰，利用文件加解密密鑰完成一次讀操作或?qū)懖僮鳌＿M(jìn)一步，所述初始化步驟中，初始化設(shè)備獲取USB加密存儲(chǔ)裝置的ID標(biāo)識(shí)，在對所述ID標(biāo)識(shí)進(jìn)行加密后得到第一加密結(jié)果，將所述第一加密結(jié)果作為主密鑰發(fā)送至USB加密存儲(chǔ)裝置儲(chǔ)存；初始化設(shè)備控制USB加密存儲(chǔ)裝置生成并存儲(chǔ)數(shù)據(jù)密鑰，且將USB加密存儲(chǔ)裝置的狀態(tài)由出廠狀態(tài)變更為鎖定狀態(tài)。進(jìn)一步，所述數(shù)據(jù)讀寫步驟中，激活裝置通過射頻持續(xù)廣播環(huán)境鑒別請求；處于鎖定狀態(tài)的USB加密存儲(chǔ)裝置當(dāng)收到主機(jī)的讀請求或?qū)懻埱髸r(shí)，響應(yīng)所述環(huán)境鑒別請求，激活裝置通過射頻與USB加密存儲(chǔ)裝置進(jìn)行環(huán)境鑒別。進(jìn)一步，所述數(shù)據(jù)讀寫步驟中，所述環(huán)境鑒別請求包含第一挑戰(zhàn)隨機(jī)數(shù)；激活裝置通過射頻與USB加密存儲(chǔ)裝置進(jìn)行環(huán)境鑒別包括：USB加密存儲(chǔ)裝置獲取所述第一挑戰(zhàn)隨機(jī)數(shù)，生成第二挑戰(zhàn)隨機(jī)數(shù)，利用所述主密鑰對所述第一挑戰(zhàn)隨機(jī)數(shù)、第二挑戰(zhàn)隨機(jī)數(shù)和所述ID標(biāo)識(shí)進(jìn)行加密得到第二加密結(jié)果，并將第二加密結(jié)果與未加密的ID標(biāo)識(shí)發(fā)送給激活裝置；激活裝置對所述未加密的ID標(biāo)識(shí)進(jìn)行加密得到主密鑰，并利用主密鑰解密第二加密結(jié)果，獲得第一、第二挑戰(zhàn)隨機(jī)數(shù)和ID標(biāo)識(shí)，激活裝置比較解密得到的第一挑戰(zhàn)隨機(jī)數(shù)與之前發(fā)送的第一挑戰(zhàn)隨機(jī)數(shù)是否一致、比較解密得到的ID標(biāo)識(shí)與未加密的ID標(biāo)識(shí)是否一致，若一致，則激活裝置對USB加密存儲(chǔ)裝置鑒別通過；激活裝置生成激活命令和環(huán)境密鑰，且由第二挑戰(zhàn)隨機(jī)數(shù)、ID標(biāo)識(shí)、激活命令和環(huán)境密鑰計(jì)算得到第一校驗(yàn)和，并利用主密鑰加密第二挑戰(zhàn)隨機(jī)數(shù)、ID標(biāo)識(shí)、激活命令、環(huán)境密鑰和第一校驗(yàn)和得到第三加密結(jié)果，將第三加密結(jié)果發(fā)送至USB加密存儲(chǔ)裝置；USB利用存儲(chǔ)的主密鑰對接收到的第三加密結(jié)果進(jìn)行解密，比較解密得到的第二挑戰(zhàn)隨機(jī)數(shù)與之前發(fā)送的第二挑戰(zhàn)隨機(jī)數(shù)是否一致、ID標(biāo)識(shí)與USB加密存儲(chǔ)裝置ID是否一致，如果一致，則由第二挑戰(zhàn)隨機(jī)數(shù)、ID標(biāo)識(shí)、激活命令和環(huán)境密鑰計(jì)算得到第二校驗(yàn)和，若第一校驗(yàn)和與第二校驗(yàn)和一致，則對激活裝置的鑒別通過，環(huán)境鑒別成功，執(zhí)行激活命令，將USB加密存儲(chǔ)裝置設(shè)置為激活狀態(tài)。進(jìn)一步，USB加密存儲(chǔ)裝置生成文件加解密密鑰包括：USB加密存儲(chǔ)裝置利用環(huán)境密鑰與數(shù)據(jù)密鑰計(jì)算生成文件加解密密鑰。本專利技術(shù)還提供了一種具有環(huán)境控制的USB加密存儲(chǔ)系統(tǒng)，包括USB加密存儲(chǔ)裝置、初始化裝置、主機(jī)和激活裝置；其中，所述初始化裝置用于初始化時(shí)與USB加密存儲(chǔ)裝置通過射頻建立連接，并將USB加密存儲(chǔ)裝置的狀態(tài)由出廠狀本文檔來自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
一種具有環(huán)境控制的USB加密存儲(chǔ)方法，其特征在于，包括：初始化步驟：初始化裝置通過射頻與USB加密存儲(chǔ)裝置建立數(shù)據(jù)連接，初始化設(shè)備將USB加密存儲(chǔ)裝置的狀態(tài)由出廠狀態(tài)設(shè)定為鎖定狀態(tài)；狀態(tài)驗(yàn)證步驟：USB加密存儲(chǔ)裝置通過USB接口與主機(jī)連接并上電復(fù)位，查詢當(dāng)前自身的狀態(tài)；若當(dāng)前狀態(tài)為出廠狀態(tài)，則禁止USB加密存儲(chǔ)裝置執(zhí)行主機(jī)的數(shù)據(jù)讀寫操作；若當(dāng)前狀態(tài)為鎖定狀態(tài)，則進(jìn)入數(shù)據(jù)讀寫步驟；數(shù)據(jù)讀寫步驟：激活裝置通過射頻與USB加密存儲(chǔ)裝置進(jìn)行環(huán)境鑒別；若環(huán)境鑒別失敗，則禁止USB加密存儲(chǔ)裝置執(zhí)行主機(jī)的數(shù)據(jù)讀寫操作；若環(huán)境鑒別成功，USB加密存儲(chǔ)裝置進(jìn)入激活狀態(tài)并生成文件加解密密鑰，利用文件加解密密鑰完成一次讀操作或?qū)懖僮鳌?

【技術(shù)特征摘要】
1.一種具有環(huán)境控制的USB加密存儲(chǔ)方法，其特征在于，包括：初始化步驟：初始化裝置通過射頻與USB加密存儲(chǔ)裝置建立數(shù)據(jù)連接，初始化設(shè)備將USB加密存儲(chǔ)裝置的狀態(tài)由出廠狀態(tài)設(shè)定為鎖定狀態(tài)；狀態(tài)驗(yàn)證步驟：USB加密存儲(chǔ)裝置通過USB接口與主機(jī)連接并上電復(fù)位，查詢當(dāng)前自身的狀態(tài)；若當(dāng)前狀態(tài)為出廠狀態(tài)，則禁止USB加密存儲(chǔ)裝置執(zhí)行主機(jī)的數(shù)據(jù)讀寫操作；若當(dāng)前狀態(tài)為鎖定狀態(tài)，則進(jìn)入數(shù)據(jù)讀寫步驟；數(shù)據(jù)讀寫步驟：激活裝置通過射頻與USB加密存儲(chǔ)裝置進(jìn)行環(huán)境鑒別；若環(huán)境鑒別失敗，則禁止USB加密存儲(chǔ)裝置執(zhí)行主機(jī)的數(shù)據(jù)讀寫操作；若環(huán)境鑒別成功，USB加密存儲(chǔ)裝置進(jìn)入激活狀態(tài)并生成文件加解密密鑰，利用文件加解密密鑰完成一次讀操作或?qū)懖僮鳎凰龀跏蓟襟E中，初始化設(shè)備獲取USB加密存儲(chǔ)裝置的ID標(biāo)識(shí)，在對所述ID標(biāo)識(shí)進(jìn)行加密后得到第一加密結(jié)果，將所述第一加密結(jié)果作為主密鑰發(fā)送至USB加密存儲(chǔ)裝置儲(chǔ)存；初始化設(shè)備控制USB加密存儲(chǔ)裝置生成并存儲(chǔ)數(shù)據(jù)密鑰，且將USB加密存儲(chǔ)裝置的狀態(tài)由出廠狀態(tài)變更為鎖定狀態(tài)；所述數(shù)據(jù)讀寫步驟中，激活裝置通過射頻持續(xù)廣播環(huán)境鑒別請求；處于鎖定狀態(tài)的USB加密存儲(chǔ)裝置當(dāng)收到主機(jī)的讀請求或?qū)懻埱髸r(shí)，響應(yīng)所述環(huán)境鑒別請求，激活裝置通過射頻與USB加密存儲(chǔ)裝置進(jìn)行環(huán)境鑒別；所述數(shù)據(jù)讀寫步驟中，所述環(huán)境鑒別請求包含第一挑戰(zhàn)隨機(jī)數(shù)；激活裝置通過射頻與USB加密存儲(chǔ)裝置進(jìn)行環(huán)境鑒別包括：USB加密存儲(chǔ)裝置獲取所述第一挑戰(zhàn)隨機(jī)數(shù)，生成第二挑戰(zhàn)隨機(jī)數(shù)，利用所述主密鑰對所述第一挑戰(zhàn)隨機(jī)數(shù)、第二挑戰(zhàn)隨機(jī)數(shù)和所述ID標(biāo)識(shí)進(jìn)行加密得到第二加密結(jié)果，并將第二加密結(jié)果與未加密的ID標(biāo)識(shí)發(fā)送給激活裝置；激活裝置對所述未加密的ID標(biāo)識(shí)進(jìn)行加密得到主密鑰，并利用主密鑰解密第二加密結(jié)果，獲得第一、第二挑戰(zhàn)隨機(jī)數(shù)和ID標(biāo)識(shí)，激活裝置比較解密得到的第一挑戰(zhàn)隨機(jī)數(shù)與之前發(fā)送的第一挑戰(zhàn)隨機(jī)數(shù)是否一致、比較解密得到的ID標(biāo)識(shí)與未加密的ID標(biāo)識(shí)是否一致，若一致，則激活裝置對USB加密存儲(chǔ)裝置鑒別通過；激活裝置生成激活命令和環(huán)境密鑰，且由第二挑戰(zhàn)隨機(jī)數(shù)、ID標(biāo)識(shí)、激活命令和環(huán)境密鑰計(jì)算得到第一校驗(yàn)和，并利用主密鑰加密第二挑戰(zhàn)隨機(jī)數(shù)、ID標(biāo)識(shí)、激活命令、環(huán)境密鑰和第一校驗(yàn)和得到第三加密結(jié)果，將第三加密結(jié)果發(fā)送至USB加密存儲(chǔ)裝置；USB加密存儲(chǔ)裝置利用存儲(chǔ)的主密鑰對接收到的第三加密結(jié)果進(jìn)行解密，比較解密得到的第二挑戰(zhàn)隨機(jī)數(shù)與之前發(fā)送的第二挑戰(zhàn)隨機(jī)數(shù)是否一致、ID標(biāo)識(shí)與USB加密存儲(chǔ)裝置ID是否一致，如果一致，則由第二挑戰(zhàn)隨機(jī)數(shù)、ID標(biāo)識(shí)、激活命令和環(huán)境密鑰計(jì)算得到第二校驗(yàn)和，若第一校驗(yàn)和與第二校驗(yàn)和一致，則對激活裝置的鑒別通過，環(huán)境鑒別成功，執(zhí)行激活命令，將USB加密存儲(chǔ)裝置設(shè)置為激活狀態(tài)。2.根據(jù)權(quán)利要求1所述的方法，其特征在于，USB加密存儲(chǔ)裝置生成文件加解密密鑰包括：USB加密存儲(chǔ)裝置利用環(huán)境密鑰與數(shù)據(jù)密鑰計(jì)算生成文件加解密密鑰，且每當(dāng)利用文件加解密密鑰加解密數(shù)據(jù)并完成一次讀操作或?qū)懖僮鳎琔SB加密存儲(chǔ)裝置...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：夏魯寧，荊繼武，嵇亞飛，王秋晨，王雷，賈世杰，向繼，高能，林璟鏘，王躍武，王瓊霄，王平建，王展，
申請(專利權(quán))人：中國科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心，
類型：發(fā)明
國別省市：北京;11