随着计算机及存储技术的发展,移动存储(如U盘或移动硬盘)已成为人们日常工作中的一项重要存储设备。虽然通过将文件存放到移动设备来进行传递,可以让文件传递变得十分方便、快捷;但同时也容易引发数据安全问题,因为通常移动存储并不具备加密和身份认证功能,移动存储内的数据较容易被窃取。
在现有技术中,对于移动存储的保护措施主要包括:通过密钥对移动存储数据进行软加密,或者利用证书对移动存储进行身份认证。
现有移动存储保护措施存在以下缺陷:
升腾可信智能终端通过可信平台模块生成密钥和证书,将证书写入到移动存储的独立分区,将密钥存储在可信平台模块中,从而确保移动存储的数据安全。
技术方案
整个技术流程如图1和图2所示:
图1
图2
通过可信智能终端的可信平台模块(TPM/TCM)生成密钥和证书,将证书写入到移动存储(例如U盘)的独立分区,在挂载移动存储时可通过证书来对移动存储进行身份认证,将密钥存储在可信平台模块中,使密钥受到可信平台模块保护,确保密钥的安全性。
基本处理流程
将移动存储插入到可信智能终端进行挂载,移动存储过滤驱动程序从移动存储的独立分区中获取证书,并将证书发送到可信平台模块进行身份认证,且如果可信平台模块认证成功,则正常挂载移动存储;如果可信平台模块认证失败,则卸载移动存储。
这里通过移动存储过滤驱动程序获取证书并发送可信平台模块进行身份认证,可以有效拦截非法移动存储接入,确保数据安全。
为了方便管理,具有管理权限的用户还可通过系统监控程序对指定的移动存储添加信任。在此时,所述“如果可信平台模块认证失败,则卸载移动存储”可替换为:如果可信平台模块认证失败,则通过系统监控程序(系统监控程序对接入的移动存储进行实时监控,以判断接入的移动存储是否添加信任)对拥有管理权限的用户提示是否对移动存储添加信任;若是,则将证书写入到移动存储的独立分区中,并正常挂载移动存储;若否,则卸载移动存储。
将对移动存储的读写操作数据先发送到可信平台模块进行加解密,然后执行对移动存储的读写操作。
参照图1和图3所示,包括密钥证书生成模块、身份认证模块以及数据读写模块流程:
图3
密钥证书生成模块,用于通过可信智能终端的可信平台模块生成密钥和证书,将证书写入到移动存储的独立分区,在挂载移动存储时可通过证书来对移动存储进行身份认证,将密钥存储在可信平台模块中,这使密钥受到可信平台模块的保护,确保密钥的安全性。
身份认证模块,用于将移动存储插入可信智能终端进行挂载,从移动存储获取证书并发送到可信平台模块进行身份认证。
身份认证模块
将移动存储插入到可信智能终端进行挂载,移动存储过滤驱动程序从移动存储的独立分区中获取证书,并将证书发送到可信平台模块进行身份认证,且如果可信平台模块认证成功,则正常挂载移动存储;如果可信平台模块认证失败,则卸载移动存储。这里通过移动存储过滤驱动程序获取证书并发送至可信平台模块认证,可以有效拦截非法移动存储的接入,确保数据安全。
数据读写模块,用于将对移动存储的读写操作数据先发送到可信平台模块中进行加解密,然后执行对移动存储的读写操作。该数据读写模块具体包括请求判断单元、数据读取单元以及数据写入单元。
请求判断单元,用于在移动存储正常挂载后,用户就可以对移动存储发起操作请求,且通过USB Mass Storage驱动程序判断发出的是读取数据请求还是写入数据请求,如果是读取数据请求,则进入所述数据读取单元;如果是写入数据请求,则进入所述数据写入单元。
数据读取单元,用于USB Mass Storage驱动程序将读取数据请求发送给USB总线驱动程序,USB总线驱动程序(busdriver)从移动存储中获取请求读取的数据,并将请求读取的数据返回给移动存储过滤驱动程序,由移动存储过滤驱动程序将请求读取的数据发送到可信平台模块进行解密处理;完成解密后,将解密的数据发送给USB Mass Storage驱动程序,并由USB Mass Storage驱动程序将解密的数据显示到可信智能终端中。
数据写入单元,用于移动存储过滤驱动程序从USB MassStorage驱动程序中截取请求写入的数据,并将请求写入的数据发送到可信平台模块进行加密处理,且采用硬件加密引擎来执行具体的加密工作;完成加密后,将数据发送给USB总线驱动程序,并由USB总线驱动程序将加密的数据写入移动存储。
移动存储保护优势
| 留言与评论(共有 0 条评论) |
