[发明专利]一种USB安全存储方法及系统

说明书

技术领域

本发明涉及数据保护技术，特别涉及一种USB安全存储方法及系统。

背景技术

当前，U盘等便携式存储设备作为一种灵活、快捷的存储介质在各个公司、企业和科研机构中被广泛使用。这些设备中存储的文件数据，很多涉及企业的知识产权或商业技术秘密等信息。一旦内部人员将存有这些信息的设备带出并在外部场合使用，就会造成公司敏感信息的泄露。因此，需要对USB存储设备中的数据进行严格保护，对USB存储设备的使用环境进行管控，以防止信息的泄露。

随着企业用户对数据安全性要求的提高和技术的不断发展，为了防止USB存储设备离开可控范围后，数据安全受到威胁，出现了几种针对U盘内数据的保护方法。

1）软件加密：U盘本身并没有加密功能，需要在接入主机上安装加密软件，加密软件利用过滤驱动技术对交互数据进行加密，然后将加密后的数据存储到U盘上。

2）硬件加密U盘：与软件加密类似，硬件加密U盘中的数据同样是以密文的形式进行存储；但是，与软件加密不同，加密算法和加密过程固化在U盘的控制逻辑中，对数据的加解密操作在U盘内完成，不需要在接入主机上进行额外的加解密操作；加解密过程都需要用户输入正确的口令。

3）接入主机鉴别：通过在主机内添加可信平台模块（TPM，Trust Platform Module），在U盘接入主机和后续的访问过程中，利用TPM对主机进行周期性的验证：TPM利用自身的私钥对主机的BIOS信息、Bootloader及其配置、操作系统信息作签名，发送给U盘；U盘利用公钥验证签名，并将主机信息和内部预先存储的信息比较，验证通过后允许主机对U盘内文件的读写访问。

4）双界面加密存储卡：在加密存储的基础上，集成了USB接口和HF射频接口，其中，HF射频接口遵循ISO/IEC14443标准。对芯片的访问可以通过USB接口，也可以通过相隔一定距离以射频方式进行访问；通过在合法的使用区域和管控范围的出口部署射频读写装置，利用HF射频接口鉴别当前存储设备的使用环境，保证只有在合法范围内设备才能被激活使用；超出可控范围，密钥将被销毁。

上述方式虽然可以在一定程度上防止信息泄露，但是，在实际应用中均会存在一定的问题，如：

对于方式1），由于需要对数据进行额外的加密操作，因此对于用户来说不太方便，那么一旦用户忘记对数据进行加密，当U盘丢失时，其中的数据就会泄露；

对于方式2），虽然能够保证U盘丢失后，其中的数据不被泄漏，但不能防止有使用权限的、知道口令的用户蓄意泄漏其中的数据；

对于方式3），由于需要定期地对主机进行验证，该方案会带来一定的系统开销，影响文件读写速率；另外，该方案不能防止合法用户主动将存储设备携带出公司使用；

对于方式4），双界面加密存储卡的HF射频接口遵循ISO/IEC14443标准，读写距离非常有限，只能达到10cm，因此一旦用户因疏忽忘记向射频读写装置出示存储卡，或快速通过管控范围的出口，密钥销毁操作就无法完成。

发明内容

本发明提供了一种USB安全存储方法及系统，实现对USB存储设备的使用环境进行管控，提高存储数据的安全性。

为实现上述目的，本发明提供了一种USB安全存储方法，包括：

初始化步骤：

初始化装置通过HF射频通信控制USB安全存储装置生成数据密钥，存储数据密钥并将USB安全存储装置的状态由出厂状态设定为锁定状态，将数据密钥设定为无效状态；

USB安全存储装置状态及离境告警标志验证步骤：

USB安全存储装置通过USB接口与终端连接，并查询当前USB安全存储装置的状态，若当前状态为出厂状态或销毁状态，则禁止USB安全存储装置使用，若当前USB安全存储装置的状态为锁定状态或激活状态，则USB安全存储装置查询USB安全存储装置内是否存在由告警装置通过UHF射频通信写入的离境告警标志，若存在所述离境告警标志，则销毁数据密钥，并将USB安全存储装置当前状态设定为销毁状态，禁止USB安全存储装置使用；若不存在所述离境告警标志，则允许USB安全存储装置使用；

数据读写步骤：

当USB安全存储装置允许使用、且USB安全存储装置通过USB接口收到由终端发送的读请求或写请求时，USB安全存储装置通过HF射频通信接收由激活装置发送的激活命令，将USB安全存储装置设置为激活状态，并将数据密钥设定为有效状态，利用数据密钥加解密数据并完成读操作或写操作。

进一步，所述初始化步骤包括：