[发明专利]一种可信U盘、实现可信U盘安全性及其与计算机数据通信的方法

说明书

技术领域

本发明涉及可信USB存储技术、信息安全技术领域，特别涉及可信U盘技术领域。

背景技术

目前，USB接口已经成为计算机的标准配置端口，而USB移动存储设备，尤其是可信U盘，由于具有存储速度快，容量大，使用方便、体积小等特点，在日常工作中得到越来越广泛的应用。

普通U盘是一个透明的移动存储介质设备，对数据的访问没有任何访问控制，只要具有USB接口的接入方都可以无阻碍地使用。因此，U盘在给人们带来便利的同时，也带来了两个重要问题：信息泄密和恶意软件的植入。

U盘造成信息泄密的原因有二：

①、由于用户在内外网之间随意拷贝数据造成内网机密信息的泄露，这种泄密方式已经成为互联网时代信息泄密主要原因之一，而且使得内外网物理隔离形同虚设。

②、由于U盘体积小，容易丢失，因此，U盘的丢失也是信息泄密的重要原因之一。

当然，在内外网之间随意拷贝数据也会造成恶意软件的植入。

目前常用的解决U盘安全问题的方法有：

1、为了防止用户在内外网之问随意拷贝数据，采取的解决方案或安全U盘产品有：

1)、采用移动存储介质管理制度来控制U盘的使用。那些需要保护敏感数据的特殊部门大多制定了USB移动存储设备使用安全管理制度，由此带来了管理成本的大大增加，同时，由于使用上的不便，很多部门的制度形同虚设，给防泄密带来较大的安全隐患。

2)、采用口令认证技术来控制对U盘的使用。

使用口令认证技术的安全U盘，仅仅实现了主机对外部设备的单向认证，并未对U盘本身以及U盘所处使用环境进行认证。也就是说，这种技术无法证明U盘是否真正可信，例如，如果非授权用户获得了U盘口令，则该U盘就毫无可信而言了。

3)、采用指纹识别技术来控制对U盘的使用。

那些使用指纹识别技术的安全U盘，仅仅实现了主机对外部设备的单向认证，并未对U盘本身以及U盘所处使用环境进行认证，而且只是将U盘与用户身份进行了绑定。这种技术就是基于对人的信任，而人往往是造成泄密和引入恶意软件的主要因素。也就是说，用户可能通过指纹U盘故意或非故意将敏感信息拷贝到外网，而系统无法控制和审计，且用户在内外网之间拷贝文件，可能无意之中引入恶意软件。故这种认证方式不是严格的，不能满足特殊部门设备使用的安全性要求，无法真正回答设备是否可信，设备是否允许在系统中被使用，设备本身是否认可使用环境，使用者是谁等问题。

4)、采用终端安全管理软件(例如：防水墙产品)将内网主机的USB端口禁用。

采用终端安全管理软件来禁用内网主机的USB端口，可以防止一切设备通过USB端口对主机进行访问，但是，无法实现灵活的权限管理。

2、为了防止U盘丢失之后其信息的泄漏，目前主要的解决办法有两种方式：

1)、采用软件加密方式，即通过主机上安装的加密软件对U盘存储的数据进行加密；

使用软件加密方式的安全U盘，由于加密通过主机完成，相比硬件加密而言，由于加密强度不够、加密密钥存放不安全等问题，存在较大安全隐患，而且U盘上存储的加密文件或数据容易被转移出来进行长时间分析与破解。

2)、采用硬件加密方式：即通过在U盘上增加具有加密功能的芯片实现片上加密。

采用硬件加密方式的安全U盘，相对软件加密方式而言，加密强度较高，而且由于加密密钥存储在防篡改硬件上，因此，安全性相对于软件加密方式而言较高，但是，仍然无法解决U盘上数据被转移分析的问题。

3、在U盘的文件系统中存放标识符的方式提供权限管理，但是这种方式依赖于Windows文件系统格式，很容易被破解。

综上所述，上述这些方法都只能解决U盘安全使用中的部分问题，或者在一定程度上提高U盘的安全性，并不能完全解决U盘使用中的所有安全问题，也就是说，所有这些U盘都是不可信的。

发明内容

本发明的目的在于：提供一种满足可信组织要求、高安全性能的可信U盘，以解决现有可信U盘使用过程中存在的上述安全问题，并提供可信U盘与计算机的通信方法。