[发明专利]主动式数据安全存储设备的对外通讯方法

说明书

本发明公开了一种主动式数据安全存储设备的对外通讯方法，所述主动式数据安全存储设备采用通用型对外通讯接口，包括USB接口和网口，主动式数据安全存储设备通过USB接口与第三方USB存储设备进行通讯，主动式数据安全存储设备通过网口与网络服务器进行通讯，其特征在于，所述主动式数据安全存储设备在对外通讯时，由位于主动式数据安全存储设备上的操作系统的驱动层实现对数据的选择性安全处理，这种方法可在保证数据安全的前提下，赋予主动式数据安全存储设备对外通讯的功能，实现资源的有限共享。

技术领域

本发明涉及存储安全和通讯安全技术领域，尤其涉及主动式数据安全存储设备的对外通讯方法。

背景技术

主动式数据安全存储设备，是一种加载了操作系统，可实现外围设备控制并实现内部数据加密的存储设备。其最大特征在于设备本身可以决定数据的全部管理过程，包括数据区的创建和销毁、数据内容的修改和保存等。设备通过特定的机制，夺取必要外设的控制权，屏蔽风险外设的访问权，以实现设备的封闭操作。

主动式数据安全存储设备比普通的存储设备具有更高的安全性能。在设备操作系统的控制下，设备可以通过通用通讯接口(如USB口)和驱动重载，植入已连接鼠键、监视器等外设的本地计算机，控制并利用本地计算机上的硬件资源进行数据管理；在设备操作系统的监控下，一切数据读写和缓存操作都在设备内部进行，因此可以保证不在宿主计算机上留下任何数据痕迹。主动式数据安全存储设备兼有便携性、通用性、安全性，有着很好的市场前景。

然而，网络入侵技术和木马入侵技术影响了主动式数据安全存储设备的安全防线。在全封闭(仅使用鼠键、监视器等不易被病毒入侵的外设)的前提下，这种设备是非常安全的，但全封闭的使用规则极大地影响了设备的实用性；而一旦使用了U盘、光驱、网口等外设，设备将不再处于全封闭状态，木马可能通过这些接口植入到设备的操作系统和存储空间中，黑客也可能通过网口入侵设备。因为设备操作系统是普通操作系统，如果不对U盘、光驱、网口等外设接口进行有效的监控保护，入侵主动式数据安全存储设备将和入侵普通个人计算机一样简单。

发明内容

本发明的目的在于针对现有技术的不足，提供一种主动式数据安全存储设备的对外通讯方法，这种方法可在保证数据安全的前提下，赋予主动式数据安全存储设备对外通讯的功能，实现资源的有限共享。

为实现上述目的，本发明通过以下技术方案实现：主动式数据安全存储设备的对外通讯方法，所述主动式数据安全存储设备采用通用型对外通讯接口，包括USB接口和网口，主动式数据安全存储设备通过USB接口与第三方USB存储设备进行通讯，主动式数据安全存储设备通过网口与网络服务器进行通讯，所述主动式数据安全存储设备在对外通讯时，由位于主动式数据安全存储设备上的操作系统的驱动层实现对数据的选择性安全处理，具体为：

A、当与第三方USB存储设备进行通讯时，对从主动式数据安全存储设备输出的数据，由驱动层实现对输出数据的前置加密处理；对输入主动式数据安全存储设备的数据，由驱动层实现对输入数据的前置病毒扫描处理，仅允许不包含恶意代码的数据进入主动式数据安全存储设备，以及由驱动层实现对输入数据的前置解密处理；在安全级别较高的场合，由驱动层实现禁用USB接口的数据输入；具体的实现方法如下：

A1、主动式数据安全存储设备提供单个USB接口，并通过修改操作系统安全策略，使USB接口仅支持Mass Storage Device型通用存储设备；

A2、修改操作系统内的Mass Storage Device设备读写驱动程序，在驱动层实现对读写的监控；在写入过程中，要求用户提供密钥，并用该密钥对输出缓冲区内的数据进行加密，再执行写入操作；

A3、在主动式数据安全存储设备操作系统中监视USB接口的设备接入状态；

A4、当有Mass Storage Device设备接入时，监视设备的枚举过程，直至设备就绪；