一种基于USB密钥设备的硬盘加锁解锁控制方案
阅读:234发布:2020-09-23
专利汇可以提供一种基于USB密钥设备的硬盘加锁解锁控制方案专利检索,专利查询,专利分析的服务。并且一种 硬盘 使用的控制方案,通过瞬间完成的硬盘加 锁 解锁,可以实现若没有权限就无法读写硬盘中的任何一个扇区,并且提供基于USB密钥设备的多级权限管理方法。方案包括一个USB密钥设备、一个硬盘加锁解锁控制程序。控制程序通过计算机USB总线和USB密钥设备通信,根据密钥设备中的权限信息来对硬盘进行加锁、解锁操作。方案针对硬盘数据外泄问题给出了安全、快速、彻底的解决方法。,下面是一种基于USB密钥设备的硬盘加锁解锁控制方案专利的具体信息内容。
1.一种基于USB密钥设备的硬盘加锁、解锁控制方案,其特征在于,该方案包 括:一个USB密钥设备、一个硬盘加锁解锁控制程序;控制程序通过计算机USB 总线和USB密钥设备通信,根据密钥设备中的权限信息来对硬盘进行加锁、解锁 操作。
2.如权利要求1所述的基于USB密钥设备的硬盘加锁、解锁控制方案,其特征 在于,所述USB密钥设备是对外表现为人机接口类的USB设备,其包括:人机接 口设备类的USB微控制器、可读写的非易失存储器;人机接口设备类的USB微控 制器负责与USB总线通讯,可读写的非易失存储器用来保存权限信息。
3.如权利要求1所述的基于USB密钥设备的硬盘加锁、解锁控制方案,其特征 在于,所述USB密钥设备的通讯协议是自定义的非标准协议,是多个标准USB 请求和多种传输方式的组合;USB密钥设备中存储的权限信息经过软件加密处 理。
4.如权利要求1所述的基于USB密钥设备的硬盘加锁、解锁控制方案,其特征 在于,所述的硬盘加锁解锁控制程序是一无需操作系统支持的程序,其包括:底 层USB驱动模块、硬盘加锁解锁执行模块、权限信息鉴定模块。
5.如权利要求1所述的基于USB密钥设备的硬盘加锁、解锁控制方案,其特征 在于,所述的硬盘加锁解锁控制程序可以安装在这样的设备上:在计算机启动过 程中可以加载并运行自带的程序;这样的设备包括:主板BIOS的ROM芯片、计算 机板卡的扩展ROM芯片、硬盘、软盘、光盘、USB闪存盘。
6.如权利要求1所述的基于USB密钥设备的硬盘加锁、解锁控制方案,其特征 在于,所述的对硬盘的加锁是指禁止读写硬盘中任何一个扇区的内容;所述的硬 盘解锁是指恢复硬盘读写扇区的功能;解锁后会自动引导操作系统;对硬盘的加 锁、解锁操作是在不到1秒的瞬间完成的。
7.如权利要求1所述的基于USB密钥设备的硬盘加锁、解锁控制方案,其特征 在于,所述的对硬盘的加锁、解锁操作需要鉴定用户身份后才能执行;鉴定用户 身份需要用户提供USB加密设备并且输入正确的用户名和密码。
8.如权利要求1所述的基于USB密钥设备的硬盘加锁、解锁控制方案,其特征 在于,对用户的权限管理是分高低不同的多个级别;级别的数量可以做任意扩展。
技术领域
本发明涉及计算机数据安全领域,具体地的说是提供了一种控制硬盘使用的方案,尤其是分权 限级别来快速加锁、解锁硬盘的方案。
背景技术
硬盘作为当今数据存储最重要的媒介是各种计算机广泛采用的设备。在大部分的PC、笔记本体 统中,硬盘是唯一的数据存储设备。确保硬盘数据的安全对整个计算机系统的数据安全意义重大。
在计算机普及的今天,各个公司几乎都是以硬盘来存储公司的各种重要数据,公司的机密数据 外泄据统计绝大部分是由于对自己公司硬盘的管理不善造成的。内部不法员工或者外人可以偷偷拷 贝公司的硬盘数据或者干脆偷盗硬盘从而带走大量机密数据。今天硬盘的使用环境也日益复杂,除 了传统概念中的办公室、机房外,工业计算机上的硬盘还需要工作在厂房、建筑工地等安全环境较 差的户外,在这种环境下因盗窃硬盘而造成的机密资料泄漏的机会更大。
防范此类的安全事故需要硬盘具有特别的安全机制:要能保证即使硬盘遗失,外人若没有权限 也无法使用它,即不能读出或写入硬盘中的任何一个扇区;并且这种安全机制要能让硬盘的合法用 户方便使用。
在现有的硬盘保护方案中,对硬盘的安全保护主要是针对用户误删除,往往通过在硬盘上划分 保护区备份来实现。这种保护不能防止数据盗窃的问题。少部分针对数据盗窃而设计的保护方案大 都是基于操作系统的对文件、文件夹或分区的加密、解密及隐藏等方法。这种方法操作起来很麻烦, 一般用户很难坚持使用,而且对于一个熟悉加密和文件系统的人来说破解这种方法的可能性比较大。
一般的保护方案都是通过用户名和用户密码来鉴定用户身份,这种鉴定方法是基于字符串的, 它泄漏的可能性也很大,不如一个实物载体更容易保存,比如银行自动取款机的磁卡,必须有磁卡 实物和用户名及密码才能通过身份鉴定。
在计算机硬盘做报废处理时,通常的做法是来一次全面格式化,但这种方法是基于操作系统的, 有其明显的缺点。比如在Windows操作系统中不能对正在使用的系统分区进行格式化,所以在 Windows中总有一个系统分区是无法清除的。如果恰好这个分区的文件系统格式是NTFS,那么他的 信息在Dos中也无法被抹去。对于Linux系统更是如此,对于作为Linux服务器的硬盘,它在清除其 它分区后总会剩余一个EXT2或EXT3的系统分区无法被清除。硬盘报废处理的另一种方法是低级格 式化,这种方法虽然可以有效地清空硬盘上每一个扇区,但它缓慢的操作速度无法让人接受。在硬 盘容量越来越大的今天,其可行性也越来越低。
在计算机普及的今天,各个公司几乎都是以硬盘来存储公司的各种重要数据,公司的机密数据 外泄据统计绝大部分是由于对自己公司硬盘的管理不善造成的。内部不法员工或者外人可以偷偷拷 贝公司的硬盘数据或者干脆偷盗硬盘从而带走大量机密数据。今天硬盘的使用环境也日益复杂,除 了传统概念中的办公室、机房外,工业计算机上的硬盘还需要工作在厂房、建筑工地等安全环境较 差的户外,在这种环境下因盗窃硬盘而造成的机密资料泄漏的机会更大。
防范此类的安全事故需要硬盘具有特别的安全机制:要能保证即使硬盘遗失,外人若没有权限 也无法使用它,即不能读出或写入硬盘中的任何一个扇区;并且这种安全机制要能让硬盘的合法用 户方便使用。
在现有的硬盘保护方案中,对硬盘的安全保护主要是针对用户误删除,往往通过在硬盘上划分 保护区备份来实现。这种保护不能防止数据盗窃的问题。少部分针对数据盗窃而设计的保护方案大 都是基于操作系统的对文件、文件夹或分区的加密、解密及隐藏等方法。这种方法操作起来很麻烦, 一般用户很难坚持使用,而且对于一个熟悉加密和文件系统的人来说破解这种方法的可能性比较大。
一般的保护方案都是通过用户名和用户密码来鉴定用户身份,这种鉴定方法是基于字符串的, 它泄漏的可能性也很大,不如一个实物载体更容易保存,比如银行自动取款机的磁卡,必须有磁卡 实物和用户名及密码才能通过身份鉴定。
在计算机硬盘做报废处理时,通常的做法是来一次全面格式化,但这种方法是基于操作系统的, 有其明显的缺点。比如在Windows操作系统中不能对正在使用的系统分区进行格式化,所以在 Windows中总有一个系统分区是无法清除的。如果恰好这个分区的文件系统格式是NTFS,那么他的 信息在Dos中也无法被抹去。对于Linux系统更是如此,对于作为Linux服务器的硬盘,它在清除其 它分区后总会剩余一个EXT2或EXT3的系统分区无法被清除。硬盘报废处理的另一种方法是低级格 式化,这种方法虽然可以有效地清空硬盘上每一个扇区,但它缓慢的操作速度无法让人接受。在硬 盘容量越来越大的今天,其可行性也越来越低。
发明内容
本发明的目的是提供一种硬盘使用的控制方案,通过瞬间完成的硬盘加锁解锁,可以实现若没 有权限就无法读写硬盘中任何一个扇区的数据,并且提供基于USB密钥设备的多级权限管理方法。
本发明的技术方案分软件、硬件两个部分:一个硬件的USB密钥设备、一个软件的硬盘加锁解 锁控制程序。其中硬盘加锁解锁控制程序又分成三个子部分:底层USB驱动模块、硬盘加锁解锁执 行模块、权限信息鉴定模块。
本发明技术方案各个部分的相互关系是:用户提出加锁解锁请求后,“权限信息鉴定模块”要求 用户插入“USB密钥设备”并且输入用户名及密码,然后“权限信息鉴定模块”会调用“底层USB 驱动模块”读出“USB密钥设备”中的权限信息,经过核对鉴定用户身份后,“权限信息鉴定模块” 会调用“硬盘加锁解锁执行模块”来完成硬盘的加锁、解锁。
本发明技术方案中的“USB密钥设备”是对外表现为人机接口类的USB设备,包括人机接口设 备类的USB微控制器、可读写的非易失存储器。可读写的非易失存储器用来存储相关的权限信息, 包括:硬盘合法用户名、每个用户对应的权限级别和密码、受保护硬盘的序列号、硬盘加锁解锁控 制程序的校验和。USB密钥设备中的所有数据均经过特定的算法加密,并且它的通讯接口是经过特 殊设计的,不同于一般的人机接口类USB设备,可以保证即使USB密钥设备丢失,存储于其中的权 限数据也不会外泄。将USB密钥设计成人机接口类USB设备可以保证其体积小巧,便于携带保管。 USB密钥设备本身和合法用户的用户名及密码构成了本方案用户身份鉴定的双因子。用户必须同时 提供USB密钥及正确的用户名、密码才能通过“权限信息鉴定模块”的检查。
本发明技术方案中的“底层USB驱动模块”是控制程序中直接操控计算机USB硬件控制器来驱 动USB密钥设备的部分。直接操控硬件控制器是指控制程序不依赖任何操作系统或第三方程序的支 持,仅仅利用计算机主板BIOS的中断服务,直接访问USB控制器的寄存器来完成驱动USB密钥设 备。之所以要直接操控硬件控制器首先是因为硬盘一旦加锁并重启后,其中的任何扇区均无法访问, 硬盘中的操作系统或应用程序都无法加载,所以本方案的控制程序一定要脱离操作系统工作;其次 如果是基于通用操作系统或第三方的程序,整个方案的安全、可靠性都受制于第三方的系统,从原 理上存在安全隐患。“底层USB驱动模块”还保证了整个控制程序可以脱离操作系统存放于任何启动 设备上,包括硬盘、软盘、光盘、USB闪存盘、主板bios的ROM芯片、计算机板卡bios的ROM 芯片等。
本方案的权限级别采用树状结构,越靠近树根的用户权限越高。高级别权限的用户不但可以完 成低级别用户的所有操作,还可以读取、修改低级别用户的用户名及密码。在这个树状的权限结构 中,每个用户名都是唯一的,它唯一对应了一个USB密钥设备。本方案提供专门的工具根据用户名、 权限级别来初始化USB密钥设备。一个低级别用户的USB密钥设备中会记录由他到树根路径上的所 有高级别用户的用户名、密码。这样可以允许高级别的用户重新初始化这个USB密钥设备。本方案 对硬盘加锁解锁的控制原则是:谁加锁谁才能解锁,高级用户可以解锁低级用户加锁的硬盘。在硬 盘加锁时会在用户的USB密钥设备中同时记录硬盘的序列号,下次在解锁硬盘时,只有含序列号的 USB密钥设备才能用来解锁那块硬盘。因为高级别的用户可以读出低级别用户名和密码,所以他能 以低级别用户的身份来解锁硬盘。
本发明技术方案中的硬盘加锁分为硬加锁和软加锁两种。
方案中的硬加锁是基于硬盘安全指令集来实现的加锁。硬盘ATA接口规范中定义了安全模式特 色指令集(Security Mode Feature Set),安全模式特色指令集中定义了若干指令专门用来实现硬盘访 问权限控制。根据ATA接口规范的定义,硬盘用户可以使用密码对硬盘锁定,具体指令是SECURITY SET PASSWORD。锁定后的硬盘在每次上电后都需要解锁,否则硬盘拒绝任何访问请求,无法读写 硬盘中任何一个扇区。对硬盘解锁的具体指令是SECURITY UNLOCK,并且解锁操作是需要提供加 锁密码的。这里解锁又分成两种模式:一种是永久解锁,一种是暂时解锁。永久解锁是指一旦硬盘 解锁后,硬盘自动永久地恢复成正常状态,以后不再需要使用SECURITY UNLOCK开锁指令即可正 常访问硬盘。暂时解锁是指解锁后硬盘虽然可以在本次启动的后续时间正常使用,但一旦计算机关 机或重启硬盘又会自动恢复锁定状态,在下一次开机时用户又必须使用SECURITY UNLOCK解锁后 才能使用硬盘。永久解锁和暂时解锁是SECURITY UNLOCK指令本身提供的两种解锁模式。
方案中的软加锁是对硬加锁的补充。软加锁是通过加密硬盘的MBR(主引导记录)扇区来使得 硬盘中的数据无法读取。软加锁在硬加锁的基础上更进一步地保护了数据。
ATA安全模式特色指令集中的SECURITY SET PASSWORD等指令只能接受两个密码来加锁、 解锁,分别是Master Password和User Password。仅仅两个密码不能满足本方案中多级别权限管理的 要求。本方案通过引进“独立密码”概念对密码的级别个数、用户个数做了扩展。“独立密码”实际 是本方案自定义的两个长密码,与之对应的是用户自己设定的“用户密码”。两个“独立密码”是实 际SECURITY SET PASSWORD指令设定的两密码,分别作为Master Password和User Password。之 所以称作“独立密码”是指这两个密码与用户密码以及这两个密码之间均不同,没有任何关联,是 由本方案的实现者决定的。本方案在需要加锁解锁硬盘时会根据用户权限做一个转换,将最高级的 “用户密码”替换成Master Password对应的“独立密码”,将其它级别的“用户密码”替换成User Password对应的“独立密码”,然后再使用ATA的安全模式特色指令进行设定。这样的转换可以将本 方案的权限级别做任意的扩展。同时这种方案也可以实现在所有用户都忘记密码的情况下,由方案 制造商来解锁被锁定的硬盘。
如上所述,采用本方案对硬盘进行加锁、解锁控制其发明效果如下:
本方案的加锁解锁操作根据ATA规范可以保证锁定的硬盘在解锁前不可能泄漏任何数据,即使 硬盘被偷盗也不用担心数据被访问,所以对于工作在安全条件较差的厂房、工地上的计算机,本方 案有明显的适用性。
本方案加锁解锁操作是快速、安全的原子操作,在瞬间即可完成对硬盘的保护,而且不涉及对 硬盘有效数据的加密改写,不额外占用硬盘的空间,也不用担心加密时断电造成的数据严重破坏。 本方案在执行速度、操作安全性及方便性上有显著的优势,可以广泛地被一般用户接受并坚持使用。 而且通过简单的操作就可完成硬盘报废处理,解决了硬盘报废工作量巨大的问题。
本方案采用USB密钥设备和用户名、密码双因子来鉴定用户身份,相比单一用户名、密码的权 限鉴定具备了更高级别的安全保证。USB密钥设备小巧易于保存,它独特的通讯协议、数据内容加 密机制保证了即使密钥丢失权限信息也不会泄漏。
本方案采用不依赖任何操作系统和第三方软件的设计基本上杜绝了破解的可能,这种设计可以 使得整个方案不受其它软件质量好坏的影响。而且这样的设计可以使方案运行的环境要求降到最低, 只要计算机主板bios能正常工作无需考虑硬盘中的分区状况以及安装的是什么操作系统。仅依赖 BIOS的设计还极大地扩展了本方案的安装载体,本方案的控制程序可以脱离操作系统存放于任何启 动设备上,包括硬盘、软盘、光盘、USB闪存盘、主板bios的ROM芯片、计算机板卡bios的ROM 芯片等。
本方案管理的权限级别可以做任意的扩展,可以很方便地满足不同规模数量的硬盘控制要求。 “谁加锁谁才能解锁,高级用户可以解锁低级用户加锁的硬盘”的方针符合一般企业管理的习惯。
附图说明
图1是本方案的体系结构图。
图2是本方案控制程序和一般操作系统中应用程序的层次对比图。
图3是本控制方案的一个具体实施例的部署图。
图4是本控制方案的另一个具体实施例的部署图。
图5是本方案中权限管理的一个具体实施例。
图6是最低权限用户加锁解锁流程图。
本发明的技术方案分软件、硬件两个部分:一个硬件的USB密钥设备、一个软件的硬盘加锁解 锁控制程序。其中硬盘加锁解锁控制程序又分成三个子部分:底层USB驱动模块、硬盘加锁解锁执 行模块、权限信息鉴定模块。
本发明技术方案各个部分的相互关系是:用户提出加锁解锁请求后,“权限信息鉴定模块”要求 用户插入“USB密钥设备”并且输入用户名及密码,然后“权限信息鉴定模块”会调用“底层USB 驱动模块”读出“USB密钥设备”中的权限信息,经过核对鉴定用户身份后,“权限信息鉴定模块” 会调用“硬盘加锁解锁执行模块”来完成硬盘的加锁、解锁。
本发明技术方案中的“USB密钥设备”是对外表现为人机接口类的USB设备,包括人机接口设 备类的USB微控制器、可读写的非易失存储器。可读写的非易失存储器用来存储相关的权限信息, 包括:硬盘合法用户名、每个用户对应的权限级别和密码、受保护硬盘的序列号、硬盘加锁解锁控 制程序的校验和。USB密钥设备中的所有数据均经过特定的算法加密,并且它的通讯接口是经过特 殊设计的,不同于一般的人机接口类USB设备,可以保证即使USB密钥设备丢失,存储于其中的权 限数据也不会外泄。将USB密钥设计成人机接口类USB设备可以保证其体积小巧,便于携带保管。 USB密钥设备本身和合法用户的用户名及密码构成了本方案用户身份鉴定的双因子。用户必须同时 提供USB密钥及正确的用户名、密码才能通过“权限信息鉴定模块”的检查。
本发明技术方案中的“底层USB驱动模块”是控制程序中直接操控计算机USB硬件控制器来驱 动USB密钥设备的部分。直接操控硬件控制器是指控制程序不依赖任何操作系统或第三方程序的支 持,仅仅利用计算机主板BIOS的中断服务,直接访问USB控制器的寄存器来完成驱动USB密钥设 备。之所以要直接操控硬件控制器首先是因为硬盘一旦加锁并重启后,其中的任何扇区均无法访问, 硬盘中的操作系统或应用程序都无法加载,所以本方案的控制程序一定要脱离操作系统工作;其次 如果是基于通用操作系统或第三方的程序,整个方案的安全、可靠性都受制于第三方的系统,从原 理上存在安全隐患。“底层USB驱动模块”还保证了整个控制程序可以脱离操作系统存放于任何启动 设备上,包括硬盘、软盘、光盘、USB闪存盘、主板bios的ROM芯片、计算机板卡bios的ROM 芯片等。
本方案的权限级别采用树状结构,越靠近树根的用户权限越高。高级别权限的用户不但可以完 成低级别用户的所有操作,还可以读取、修改低级别用户的用户名及密码。在这个树状的权限结构 中,每个用户名都是唯一的,它唯一对应了一个USB密钥设备。本方案提供专门的工具根据用户名、 权限级别来初始化USB密钥设备。一个低级别用户的USB密钥设备中会记录由他到树根路径上的所 有高级别用户的用户名、密码。这样可以允许高级别的用户重新初始化这个USB密钥设备。本方案 对硬盘加锁解锁的控制原则是:谁加锁谁才能解锁,高级用户可以解锁低级用户加锁的硬盘。在硬 盘加锁时会在用户的USB密钥设备中同时记录硬盘的序列号,下次在解锁硬盘时,只有含序列号的 USB密钥设备才能用来解锁那块硬盘。因为高级别的用户可以读出低级别用户名和密码,所以他能 以低级别用户的身份来解锁硬盘。
本发明技术方案中的硬盘加锁分为硬加锁和软加锁两种。
方案中的硬加锁是基于硬盘安全指令集来实现的加锁。硬盘ATA接口规范中定义了安全模式特 色指令集(Security Mode Feature Set),安全模式特色指令集中定义了若干指令专门用来实现硬盘访 问权限控制。根据ATA接口规范的定义,硬盘用户可以使用密码对硬盘锁定,具体指令是SECURITY SET PASSWORD。锁定后的硬盘在每次上电后都需要解锁,否则硬盘拒绝任何访问请求,无法读写 硬盘中任何一个扇区。对硬盘解锁的具体指令是SECURITY UNLOCK,并且解锁操作是需要提供加 锁密码的。这里解锁又分成两种模式:一种是永久解锁,一种是暂时解锁。永久解锁是指一旦硬盘 解锁后,硬盘自动永久地恢复成正常状态,以后不再需要使用SECURITY UNLOCK开锁指令即可正 常访问硬盘。暂时解锁是指解锁后硬盘虽然可以在本次启动的后续时间正常使用,但一旦计算机关 机或重启硬盘又会自动恢复锁定状态,在下一次开机时用户又必须使用SECURITY UNLOCK解锁后 才能使用硬盘。永久解锁和暂时解锁是SECURITY UNLOCK指令本身提供的两种解锁模式。
方案中的软加锁是对硬加锁的补充。软加锁是通过加密硬盘的MBR(主引导记录)扇区来使得 硬盘中的数据无法读取。软加锁在硬加锁的基础上更进一步地保护了数据。
ATA安全模式特色指令集中的SECURITY SET PASSWORD等指令只能接受两个密码来加锁、 解锁,分别是Master Password和User Password。仅仅两个密码不能满足本方案中多级别权限管理的 要求。本方案通过引进“独立密码”概念对密码的级别个数、用户个数做了扩展。“独立密码”实际 是本方案自定义的两个长密码,与之对应的是用户自己设定的“用户密码”。两个“独立密码”是实 际SECURITY SET PASSWORD指令设定的两密码,分别作为Master Password和User Password。之 所以称作“独立密码”是指这两个密码与用户密码以及这两个密码之间均不同,没有任何关联,是 由本方案的实现者决定的。本方案在需要加锁解锁硬盘时会根据用户权限做一个转换,将最高级的 “用户密码”替换成Master Password对应的“独立密码”,将其它级别的“用户密码”替换成User Password对应的“独立密码”,然后再使用ATA的安全模式特色指令进行设定。这样的转换可以将本 方案的权限级别做任意的扩展。同时这种方案也可以实现在所有用户都忘记密码的情况下,由方案 制造商来解锁被锁定的硬盘。
如上所述,采用本方案对硬盘进行加锁、解锁控制其发明效果如下:
本方案的加锁解锁操作根据ATA规范可以保证锁定的硬盘在解锁前不可能泄漏任何数据,即使 硬盘被偷盗也不用担心数据被访问,所以对于工作在安全条件较差的厂房、工地上的计算机,本方 案有明显的适用性。
本方案加锁解锁操作是快速、安全的原子操作,在瞬间即可完成对硬盘的保护,而且不涉及对 硬盘有效数据的加密改写,不额外占用硬盘的空间,也不用担心加密时断电造成的数据严重破坏。 本方案在执行速度、操作安全性及方便性上有显著的优势,可以广泛地被一般用户接受并坚持使用。 而且通过简单的操作就可完成硬盘报废处理,解决了硬盘报废工作量巨大的问题。
本方案采用USB密钥设备和用户名、密码双因子来鉴定用户身份,相比单一用户名、密码的权 限鉴定具备了更高级别的安全保证。USB密钥设备小巧易于保存,它独特的通讯协议、数据内容加 密机制保证了即使密钥丢失权限信息也不会泄漏。
本方案采用不依赖任何操作系统和第三方软件的设计基本上杜绝了破解的可能,这种设计可以 使得整个方案不受其它软件质量好坏的影响。而且这样的设计可以使方案运行的环境要求降到最低, 只要计算机主板bios能正常工作无需考虑硬盘中的分区状况以及安装的是什么操作系统。仅依赖 BIOS的设计还极大地扩展了本方案的安装载体,本方案的控制程序可以脱离操作系统存放于任何启 动设备上,包括硬盘、软盘、光盘、USB闪存盘、主板bios的ROM芯片、计算机板卡bios的ROM 芯片等。
本方案管理的权限级别可以做任意的扩展,可以很方便地满足不同规模数量的硬盘控制要求。 “谁加锁谁才能解锁,高级用户可以解锁低级用户加锁的硬盘”的方针符合一般企业管理的习惯。
附图说明
图1是本方案的体系结构图。
图2是本方案控制程序和一般操作系统中应用程序的层次对比图。
图3是本控制方案的一个具体实施例的部署图。
图4是本控制方案的另一个具体实施例的部署图。
图5是本方案中权限管理的一个具体实施例。
图6是最低权限用户加锁解锁流程图。
具体实施方式
下面结合附图和具体实施对本发明进一步说明。
图1是展示了本方案的体系结构及各个部分的交互关系。用户提出加锁解锁请求后,“权限信息 鉴定模块”要求用户插入“USB密钥设备”并且输入用户名及密码,然后“权限信息鉴定模块”会调 用“底层USB驱动模块”读出“USB密钥设备”中的权限信息,经过核对鉴定用户身份后,“权限信 息鉴定模块”会调用“硬盘加锁解锁执行模块”来完成硬盘的加锁、解锁。整个方案中控制程序是 核心,由控制程序调度方案中的所有事务。权限信息鉴定模块提供给用户的是一个图形化的输入界 面,对于各种事务执行的状态、结果均以图形化形式显示。底层USB驱动模块要实现符合USB1.1规 范所有主机控制器的驱动,这包括通用主机控制器接口(UHCI)和开放主机控制器接口(OHCI)两 种不同的类型。在USB设备驱动方面,除了最基本的USB密钥设备外,底层USB驱动模块还可以增加 对USB闪存盘的驱动支持。硬盘加锁解锁执行模块在具体实现时还可以加入硬盘低级格式化、全部扇 区内容清零等功能,以满足更广泛的需求。
图2是本方案控制程序和一般操作系统环境中应用程序的层次对比图。图的右半部分是在操作系 统环境中应用程序访问USB密钥设备的层次结构;图的左半部分是本方案的权限信息鉴定模块访问 USB密钥设备的层次结构。
一个USB设备若想让应用程序正常使用,需要驱动软件至少提供三个部分的支持:设备驱动、USB 总线驱动、主机控制器驱动。
●设备驱动,是整个驱动软件最上层,是USB底层驱动的使用者,只有它知道设备中数据的含 义,它使用USB总线驱动提供的功能接口(比如标准WDM中提供的各种标准接口函数)来读 写数据,并处理读出或写入的数据,比如加密、解密,提供给更上层的程序使用。各种基本 的功能函数的实现对设备驱动程序是透明的。
●USB总线驱动,是USB总线的抽象层,它对设备驱动屏蔽了USB总线的操作细节,它负责自 动检查插入新设备,分配、调度USB总线的各种资源,调用下层硬件的各种标准USB请求来 合成上述设备驱动使用的功能函数。
●主机控制器驱动,提供了主机控制器硬件的抽象。主机控制器驱动通过硬件的访问完成各种 标准USB请求(比如Get Descriptor、Set Address等),各种标准USB请求会被USB总线 驱动层调用。因为主机控制器都会集成根集线器,所以主机控制器驱动要提供对根集线器的 支持。
在有操作系统的环境下,操作系统一般会提供主机控制器驱动、USB总线驱动以及USB HUB设备 驱动。操作系统对自己实现的基本功能进行了封装,形成了各种API函数。设备驱动程序是使用主 机软件提供的API函数来读写数据,这种方式也是一般USB驱动的实现方法。
本方案的底层USB驱动模块是无需操作系统的,所以要自己实现设备驱动、USB总线驱动和主机 控制器驱动这三个部分。从图中可以清楚看到虽然本方案控制程序是脱离操作系统工作的,但它实 现的功能一个也不少。
图3是本控制方案的一个具体实施例的部署图。这个实施例采用USB闪存盘作为引导设备,方案 的控制程序就放在USB闪存盘的只读区中。如图3所示,整张图有两个USB设备(USB闪存盘和USB 密钥设备)、一条USB总线,其中USB闪存盘和USB密钥设备通过插在计算机主板的USB插口上和USB 总线相连。图3所示的USB闪存盘分两个部分,一个USB接口及闪存控制器、一个闪存存储区。闪存 存储器又可分成普通的可读写区和用来存放控制程序的只读区。USB闪存盘作为引导设备,当它启动 计算机时它会加载只读区中的控制程序并将执行的控制权交给控制程序,由控制程序完成后续的引 导工作。图3所示的USB密钥设备显示了一条实现USB密钥的例子。这个例子的密钥由USB收发器、 USB微控制器、串行EEPROM组成。USB收发器是负责与USB总线通讯的USB接口芯片,USB微控制 器EEPROM的数据加密解密,EEPROM是最终权限数据的载体。
图4是本控制方案的另一个具体实施例的部署图,这张图展示了方案的一种合成设备实施例。在 图2的实施例中用到了USB闪存盘和USB密钥两个USB设备,其实两个设备也可以合而为一,通过一 个内置的USB集线器设备来连接闪存盘和密钥,再通过USB集线器和外部的USB总线连接。这种合而 为一的实施例可以将方案所需的USB硬件集成在一个小巧的设备上,使用方便。
控制程序因为可以脱离操作系统,所以可以存放于任何启动设备上,包括硬盘、软盘、光盘、 USB闪存盘、主板bios的ROM芯片、计算机板卡bios的ROM芯片等。
图5是本发明安全管理一个设施例。图5提供了三级权限控制,分别是企业主管、部门主管、部 门用户。部门用户能对硬盘进行加锁解锁并正常使用,不能更改、删除、添加其它部门用户的USB 密钥内容。每次开机部门用户使用硬盘前必须输入用户名和密码,用户名、密码将与自己USB密钥设 备中的权限信息比较,在核对口令正确无误后硬盘方可访问。部门主管的权限比部门用户高一级, 他可以更改、删除、添加他所管辖的部门用户的USB密钥内容,并且可以通过读取部门用户USB密钥 的内容,来解锁部门用户加锁的硬盘。企业主管是最高一级权限的用户,可以更改、删除、添加所 有用户的USB密钥内容。
在图5所示的实施例中,A是企业主管,B1和B2是部门主管,C1~C5是部门用户。这8个用户管 理着6个硬盘,分别是硬盘1~硬盘6。在本实施例中5个硬盘均有同一个企业主管密码,企业主管密 码作为权限较高的密码会对应于Master password,但实际写入硬盘控制器的Master password不是企业 主管设置的密码而是一个独立的密码。这样即使企业主管密码遗失软件也有办法挽救。部门主管密 码和部门用户密码会对应于User password,同样实际写入硬盘控制器的User password不是用户设置的 密码而是独立密码。在图5所示的实施例中,部门用户C1、C2、C3的USB密钥设备中会分别记录他们 的上级用户B1、A,部门用户C4、C5的USB密钥设备中会分别记录他们的上级用户B2、A。所以B1 和A可以解锁硬盘1、2、3,B2和A可以解锁硬盘4、5、6。硬盘1一旦被C1加锁,部门用户C2~C7和 部门主管B2都无法解锁。部门用户C5可以加锁两块硬盘:硬盘5、6,硬盘5、6一旦被用户C5加锁, C1~C4和B1都无法解锁。如果某块硬盘被B1加锁了,只有B1和A可以解锁。如果模块硬盘被A加锁, 只有A可以解锁。
图6是最低权限用户加锁解锁流程图。当本方案的控制程序在计算机启动中被加载执行后,控制 程序就得到了计算机的控制权。首先控制程序会读出本地硬盘的信息,包括本地硬盘数量、每个硬 盘的序列号、容量、型号以及是否已经加锁。如果当前启动硬盘没有加锁保护,由用户选择是否加 锁。如果用户选择不加锁,那么控制程序直接引导硬盘上的操作系统。如果启动硬盘已经加锁保护 或用户请求加锁保护则控制程序进入加锁解锁的部分。对硬盘加锁解锁前需要鉴定用户身份,首先 是读出用户自己USB密钥设备中的权限信息,然后要求用户输入用户名及密码,根据两次所得核对用 户身份。如果用户身份合法则进入后续操作。此时如果启动硬盘已被加锁,用户是需要解锁硬盘来 启动操作系统。这时让用户选择是要永久解锁还是暂时解锁。如果暂时解锁则使用暂时解锁命令来 解锁硬盘,然后直接引导操作系统;如果用户选择了永久解锁,表明用户想去除硬盘的加锁保护, 则使用永久解锁命令解锁硬盘。永久解锁后还要删除此硬盘在USB密钥设备中的相应信息,下次他人 用另一个密钥加锁这块硬盘后就不能再用这个已删除信息的USB密钥来解锁了。解锁后控制程序引导 操作系统。对于高级别的用户,在解锁硬盘后不会删除自己USB密钥中的硬盘相应信息,高级别的用 户可以始终解锁自己管辖的硬盘。如果用户是想对没有加锁的硬盘加锁,则控制程序会首先对硬盘 加锁然后再将硬盘的信息写入用户自己的USB密钥设备中,最后关闭计算机。
图1是展示了本方案的体系结构及各个部分的交互关系。用户提出加锁解锁请求后,“权限信息 鉴定模块”要求用户插入“USB密钥设备”并且输入用户名及密码,然后“权限信息鉴定模块”会调 用“底层USB驱动模块”读出“USB密钥设备”中的权限信息,经过核对鉴定用户身份后,“权限信 息鉴定模块”会调用“硬盘加锁解锁执行模块”来完成硬盘的加锁、解锁。整个方案中控制程序是 核心,由控制程序调度方案中的所有事务。权限信息鉴定模块提供给用户的是一个图形化的输入界 面,对于各种事务执行的状态、结果均以图形化形式显示。底层USB驱动模块要实现符合USB1.1规 范所有主机控制器的驱动,这包括通用主机控制器接口(UHCI)和开放主机控制器接口(OHCI)两 种不同的类型。在USB设备驱动方面,除了最基本的USB密钥设备外,底层USB驱动模块还可以增加 对USB闪存盘的驱动支持。硬盘加锁解锁执行模块在具体实现时还可以加入硬盘低级格式化、全部扇 区内容清零等功能,以满足更广泛的需求。
图2是本方案控制程序和一般操作系统环境中应用程序的层次对比图。图的右半部分是在操作系 统环境中应用程序访问USB密钥设备的层次结构;图的左半部分是本方案的权限信息鉴定模块访问 USB密钥设备的层次结构。
一个USB设备若想让应用程序正常使用,需要驱动软件至少提供三个部分的支持:设备驱动、USB 总线驱动、主机控制器驱动。
●设备驱动,是整个驱动软件最上层,是USB底层驱动的使用者,只有它知道设备中数据的含 义,它使用USB总线驱动提供的功能接口(比如标准WDM中提供的各种标准接口函数)来读 写数据,并处理读出或写入的数据,比如加密、解密,提供给更上层的程序使用。各种基本 的功能函数的实现对设备驱动程序是透明的。
●USB总线驱动,是USB总线的抽象层,它对设备驱动屏蔽了USB总线的操作细节,它负责自 动检查插入新设备,分配、调度USB总线的各种资源,调用下层硬件的各种标准USB请求来 合成上述设备驱动使用的功能函数。
●主机控制器驱动,提供了主机控制器硬件的抽象。主机控制器驱动通过硬件的访问完成各种 标准USB请求(比如Get Descriptor、Set Address等),各种标准USB请求会被USB总线 驱动层调用。因为主机控制器都会集成根集线器,所以主机控制器驱动要提供对根集线器的 支持。
在有操作系统的环境下,操作系统一般会提供主机控制器驱动、USB总线驱动以及USB HUB设备 驱动。操作系统对自己实现的基本功能进行了封装,形成了各种API函数。设备驱动程序是使用主 机软件提供的API函数来读写数据,这种方式也是一般USB驱动的实现方法。
本方案的底层USB驱动模块是无需操作系统的,所以要自己实现设备驱动、USB总线驱动和主机 控制器驱动这三个部分。从图中可以清楚看到虽然本方案控制程序是脱离操作系统工作的,但它实 现的功能一个也不少。
图3是本控制方案的一个具体实施例的部署图。这个实施例采用USB闪存盘作为引导设备,方案 的控制程序就放在USB闪存盘的只读区中。如图3所示,整张图有两个USB设备(USB闪存盘和USB 密钥设备)、一条USB总线,其中USB闪存盘和USB密钥设备通过插在计算机主板的USB插口上和USB 总线相连。图3所示的USB闪存盘分两个部分,一个USB接口及闪存控制器、一个闪存存储区。闪存 存储器又可分成普通的可读写区和用来存放控制程序的只读区。USB闪存盘作为引导设备,当它启动 计算机时它会加载只读区中的控制程序并将执行的控制权交给控制程序,由控制程序完成后续的引 导工作。图3所示的USB密钥设备显示了一条实现USB密钥的例子。这个例子的密钥由USB收发器、 USB微控制器、串行EEPROM组成。USB收发器是负责与USB总线通讯的USB接口芯片,USB微控制 器EEPROM的数据加密解密,EEPROM是最终权限数据的载体。
图4是本控制方案的另一个具体实施例的部署图,这张图展示了方案的一种合成设备实施例。在 图2的实施例中用到了USB闪存盘和USB密钥两个USB设备,其实两个设备也可以合而为一,通过一 个内置的USB集线器设备来连接闪存盘和密钥,再通过USB集线器和外部的USB总线连接。这种合而 为一的实施例可以将方案所需的USB硬件集成在一个小巧的设备上,使用方便。
控制程序因为可以脱离操作系统,所以可以存放于任何启动设备上,包括硬盘、软盘、光盘、 USB闪存盘、主板bios的ROM芯片、计算机板卡bios的ROM芯片等。
图5是本发明安全管理一个设施例。图5提供了三级权限控制,分别是企业主管、部门主管、部 门用户。部门用户能对硬盘进行加锁解锁并正常使用,不能更改、删除、添加其它部门用户的USB 密钥内容。每次开机部门用户使用硬盘前必须输入用户名和密码,用户名、密码将与自己USB密钥设 备中的权限信息比较,在核对口令正确无误后硬盘方可访问。部门主管的权限比部门用户高一级, 他可以更改、删除、添加他所管辖的部门用户的USB密钥内容,并且可以通过读取部门用户USB密钥 的内容,来解锁部门用户加锁的硬盘。企业主管是最高一级权限的用户,可以更改、删除、添加所 有用户的USB密钥内容。
在图5所示的实施例中,A是企业主管,B1和B2是部门主管,C1~C5是部门用户。这8个用户管 理着6个硬盘,分别是硬盘1~硬盘6。在本实施例中5个硬盘均有同一个企业主管密码,企业主管密 码作为权限较高的密码会对应于Master password,但实际写入硬盘控制器的Master password不是企业 主管设置的密码而是一个独立的密码。这样即使企业主管密码遗失软件也有办法挽救。部门主管密 码和部门用户密码会对应于User password,同样实际写入硬盘控制器的User password不是用户设置的 密码而是独立密码。在图5所示的实施例中,部门用户C1、C2、C3的USB密钥设备中会分别记录他们 的上级用户B1、A,部门用户C4、C5的USB密钥设备中会分别记录他们的上级用户B2、A。所以B1 和A可以解锁硬盘1、2、3,B2和A可以解锁硬盘4、5、6。硬盘1一旦被C1加锁,部门用户C2~C7和 部门主管B2都无法解锁。部门用户C5可以加锁两块硬盘:硬盘5、6,硬盘5、6一旦被用户C5加锁, C1~C4和B1都无法解锁。如果某块硬盘被B1加锁了,只有B1和A可以解锁。如果模块硬盘被A加锁, 只有A可以解锁。
图6是最低权限用户加锁解锁流程图。当本方案的控制程序在计算机启动中被加载执行后,控制 程序就得到了计算机的控制权。首先控制程序会读出本地硬盘的信息,包括本地硬盘数量、每个硬 盘的序列号、容量、型号以及是否已经加锁。如果当前启动硬盘没有加锁保护,由用户选择是否加 锁。如果用户选择不加锁,那么控制程序直接引导硬盘上的操作系统。如果启动硬盘已经加锁保护 或用户请求加锁保护则控制程序进入加锁解锁的部分。对硬盘加锁解锁前需要鉴定用户身份,首先 是读出用户自己USB密钥设备中的权限信息,然后要求用户输入用户名及密码,根据两次所得核对用 户身份。如果用户身份合法则进入后续操作。此时如果启动硬盘已被加锁,用户是需要解锁硬盘来 启动操作系统。这时让用户选择是要永久解锁还是暂时解锁。如果暂时解锁则使用暂时解锁命令来 解锁硬盘,然后直接引导操作系统;如果用户选择了永久解锁,表明用户想去除硬盘的加锁保护, 则使用永久解锁命令解锁硬盘。永久解锁后还要删除此硬盘在USB密钥设备中的相应信息,下次他人 用另一个密钥加锁这块硬盘后就不能再用这个已删除信息的USB密钥来解锁了。解锁后控制程序引导 操作系统。对于高级别的用户,在解锁硬盘后不会删除自己USB密钥中的硬盘相应信息,高级别的用 户可以始终解锁自己管辖的硬盘。如果用户是想对没有加锁的硬盘加锁,则控制程序会首先对硬盘 加锁然后再将硬盘的信息写入用户自己的USB密钥设备中,最后关闭计算机。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种计算机网络安全中的信息防盗管理系统 | 2020-05-15 | 665 |
| 一种拼接显示系统及其显示方法 | 2020-05-16 | 377 |
| 一种大容量数据存储设备、方法及装置 | 2020-05-17 | 398 |
| 一种显示屏驱动系统及方法 | 2020-05-21 | 351 |
| 一种涂布烘烤温度的测量装置 | 2020-05-22 | 372 |
| 一种检测实验室数据智能管理系统 | 2020-05-14 | 496 |
| 一种网络视频缓冲播放方法、装置及电视机 | 2020-05-14 | 885 |
| 一种用于LAN自组网络的虚拟数据终端及其系统 | 2020-05-17 | 870 |
| 一种实现线路转接的方法及转接头 | 2020-05-12 | 153 |
| WIFI闪存盘及应用于WIFI闪存盘的数据处理方法 | 2020-05-08 | 615 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
QQ群二维码
意见反馈
意见反馈