本发明涉及存储设备技术领域,具体是一种多功能usb存储设备。
背景技术:
u盘,全称usb闪存盘,英文名“usbflashdisk”。它是一种使用usb接口的无需物理驱动器的微型高容量移动存储产品,通过usb接口与电脑连接,实现即插即用。u盘的称呼最早来源于朗科科技生产的一种新型存储设备,名曰“优盘”,使用usb接口进行连接。u盘连接到电脑的usb接口后,u盘的资料可与电脑交换。而之后生产的类似技术的设备由于朗科已进行专利注册,而不能再称之为“优盘”,而改称谐音的“u盘”。后来,u盘这个称呼因其简单易记而因而广为人知,是移动存储设备之一。
普通u盘在使用时,其数据存储区能直接被宿主机识别、读写,这种传统u盘在使用时主要存在五个方面的安全风险:一是u盘运行不需要认证,一旦丢失盘内数据就会暴露无遗;二是普通u盘无法记录用户的操作行为,对于安全事件无法审计取证和追踪。三是盘内的数据可能被木马病毒或后门程序窃取;四是u盘可能被宿主机内的病毒感染,使其成为新的传染源;五是使用范围无法限止,在某些特殊行业可能造成“密”与“非密”混用。针对上述问题,现在提供一种多功能usb存储设备。
技术实现要素:
本发明的目的在于提供一种多功能usb存储设备,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
一种多功能usb存储设备,包括设备本体,其特征在于,所述设备本体内设有用于存储数据的文档数据存储区以及与pc端对接的用于管理文档数据存储区数据的专用资源管理模块,所述设备本体中还设有与专用资源管理模块是否对接的状态检测模块;所述状态检测模块包括用于锁定文档数据存储区的锁定模块和位于设备本体上且与锁定模块通信的全数字输入键盘,所述锁定模块中设有用于判断键盘输入的指令是否匹配的指令对比模块,当固件对用户键入的口令验证完成后,会把设备的文档数据存储区设置为非锁定状态,并把验证结果以一个状态符的形式保存在设备中,供pc端的专用资源管理器程序读取判断。只有当验证结果正确后,资源管理器程序才能正常运行,设备内的文档数据存储区才能被正确读写。
作为本发明进一步的方案:所述状态检测模块还设有用于统计键入口令连续错误次数的计数单元和与控制文档数据存储区的销毁单元,当计数单元统计的次数达到预先设定次数时,销毁单元执行销毁程序,销毁文档数据存储区中的数据。
作为本发明进一步的方案:所述文档数据存储区包括可被直接读取的cdrom区和无法直接读的间接存储区;所述间接存储区包括存放注册信息和权限设置信息的配置信息存储区、存储关于设备使用以及设备内文档数据读写记录的日志存储区和通过状态检测模块认证后直接被读取的文档数据存储单元;所述专用资源管理模块上设有与配置信息存储区和文档数据存储单元相对应的日志写入模块和文档数据读写模块。
作为本发明进一步的方案:所述专用资源管理模块包括用于记载并存储终端信息和实时操作信息的备案模块以及用于调取上述信息的日志查看模块。
作为本发明进一步的方案:所述备案模块中还设有按照预定时间将存储的终端信息和实时操作信息制成文件夹的分类模块。
作为本发明进一步的方案:所述专用资源管理模块中还设有用于限制专用资源管理模块与pc端信息交互的权限单元。
作为本发明进一步的方案:所述权限单元包括预存的留置特征码和获取pc端的特征码并将获取的特征码与留置特征码比较的对比执行单元。
作为本发明进一步的方案:所述权限单元为用于被pc端检测模块检索并获取并建立交互的预存的留置特征码。
与现有技术相比,本发明的有益效果是:本发明该设备针对上述技术方案存在的缺点,采取多种技术措施,实现了硬件口令认证、存储空间隔离、数据加密、文件读写控制、用户行为追溯、使用范围受限等多种安全功能,使该移动存储设备既能满足涉密程度较高行业(用户)在安全保密方面的需求,又能发挥其在数据交换方面的便利性。
附图说明
图1为本发明的结构示意图。
图2为本发明的逻辑结构图。
图3为状态检测模块的流程示意图。
图4为日志信息生成及写入流程示意图。
具体实施方式
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以通过具体情况理解上述术语在本发明中的具体含义。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
请参阅图1-4,本发明实施例中,一种多功能usb存储设备,包括设备本体,其特征在于,所述设备本体内设有用于存储数据的文档数据存储区和用于与pc端对接用于管理文档数据存储区数据的专用资源管理模块,所述设备本体中还设有与专用资源管理模块是否对接的状态检测模块;所述状态检测模块包括用于锁定文档数据存储区的锁定模块和位于设备本体上且与锁定模块通信的全数字输入键盘,所述锁定模块中设有用于判断键盘输入的指令是否匹配的指令对比模块,当固件对用户键入的口令验证完成后,会把设备的文档数据存储区设置为非锁定状态,并把验证结果以一个状态符的形式保存在设备中,供pc端的专用资源管理器程序读取判断。只有当验证结果正确后,资源管理器程序才能正常运行,设备内的文档数据存储区才能被正确读写;配置全数字外置口令输入键盘,设备在插入计算机前使用内置可充电锂电池供电,由固件程序验证用户输入的口令,口令验证成功后再插入计算机使用。该过程由设备的硬件独立完成,终端pc和设备内置的pc端管理软件(专用资源管理器器软件)不参与验证过程,避免了传统的通过pc端管理软件验证口令方式所带来的口令被病毒或后门程序非法获取的隐患。
当固件对用户键入的口令验证完成后,会把设备的文件数据存储区设置为非锁定状态,并把验证结果以一个状态符的形式保存在设备中,供pc端的专用资源管理器程序读取判断。只有当验证结果正确后,资源管理器程序才能正常运行,设备内的文件数据存储区才能被正确读写。
所述状态检测模块还设有用于统计键入口令连续错误次数的计数单元和与控制文档数据存储区的销毁单元,当计数单元统计的次数达到预先设定次数时,销毁单元执行销毁程序,销毁文档数据存储区中的数据。
所述文档数据存储区包括可被直接读取的cdrom区和无法直接读的间接存储区;所述间接存储区包括存放注册信息和权限设置信息的配置信息存储区、存储关于设备使用以及设备内文档数据读写记录的日志存储区和通过状态检测模块认证后直接被读取的文档数据存储单元;所述专用资源管理模块上设有与配置信息存储区和文档数据存储单元相对应的日志写入模块和文档数据读写模块。设置特殊分区,使宿主机操作系统无法识别,从物理上阻断数据存储区与宿主机的联系。设备将内部存储器划分为4个独立的存储空间,分别是虚拟cdrom区、配置信息存储区、日志存储区和文件数据存储区,其中只有虚拟cdrom区能被宿主机识别,其它三个存储区域对宿主机来说都是不可见的。
以存储容量为8gb的设备为例,其第一部分为cdrom区,大小为20mb,当设备插入pc机时,通过usb协议中massstorage协议,仅枚举为一个cdrom类型的磁盘驱动器,具有只读属性,用户不能修改、写入数据。该存储空间在设备量产时预先灌装pc端管理软件(专用资源管理器软件)。第二部分是配置信息存储区,该存储空间大小为4kb,存放注册信息和权限设置信息,存储在该区域的信息采用特殊格式,只有对应的注册工具和权限设置工具能够读取和修改,专用资源管理器程序只能读取不能修改。第三部分是日志存储区,用来存储关于设备使用以及设备内文件数据读写的记录,其大小为100mb。为保证日志存储不间断,该区域采用循环使用模式,即当容量用完或剩余空间不足以存储下一个日志文件时,程序会自动用新的日志文件覆盖旧的日志文件。第四部分为文件数据存储区,该区域同样不会被pc机操作系统识别,存储的数据使用接口芯片自带的sm1算法进行透明加密和解密,这部分存储空间只有当用户口令验证正确后才能被使用,并且只能由专用资源管理器软件对其进行读写。
设备内置私有文件系统,从逻辑上防止非法读写。这种文件系统区别于windows常用的文件系统,只能由专用资源管理器软件加载和识别,windows的资源管理器无法对其进行操作访问,盘内的文件操作必须在专用资源管理器中完成,能防止设备内数据与操作系统的直接交互。
开发专用资源管理器软件对设备进行管理,在不改变用户操作习惯的情况下,实现与宿主机之间的数据交换。专用资源管理器软件的功能类似于windows的资源管理器,可以对设备内的存储空间进行管理,该软件在设备生产时写入到cdrom区,支持对配置信息存储区的读操作,对日志存储区的写操作和对文件数据存储区的读写操作。专用资源管理器软件既能识别设备中的私有文件系统,也能识别windows操作系统下的fat32或ntfs等文件系统,它是宿主机与设备交换数据的桥梁。这种数据交换模式能有效避免设备内数据被木马病毒或后门程序窃取,也防止了u盘病毒通过设备自动传播、交叉感染,保障了用户数据的安全。为了使用户能安全、方便、快捷、准确地对设备内的文档进行操作使用,该资源管理器具备以下功能:
只有在用户口令验证通过后才能启动资源管理器程序,确保设备内的数据不被非法用户操作。
该资源管理器程序固化在设备内,可直接运行,用户使用时不需要安装配置等操作,做到即插即用。
不改变用户的操作习惯:支持右键对文件(夹)的新建、删除、复制、粘贴、文件(夹)名修改等;支持左键的拖拽移动;支持平铺、图标、列表、详细信息等显示模式;支持与宿主机相同的文件图标显示。
为了使对设备的操作可追溯,该资源管理器具有收集终端信息和实时操作信息的功能,并能把这些信息按照一定格式存入设备指定的区域内。
能实现对设备的一些简单管理,如格式化磁盘、查看可用存储空间等
为满足上述功能需求,资源管理器程序设计了设备状态检测模块、文档数据读写模块、日志写入模块、系统资源获取模块等几部分。其中,设备状态检测模块用来检测设备当前状态,查看用户口令是否输入正确,判断设备中的配置信息存储区、日志存储区和文件数据存储区是否处于解锁状态;文档数据读写模块和系统资源获取模块用来以友好的界面显示设备内存储的文档,并支持给用户提供的所有操作;日志写入模块、系统资源获取模块可以实时检测用户的操作,并把操作内容及系统软硬件信息一并写入指定的设备日志存储区。各组件逻辑关系如图3所示。
所述专用资源管理模块包括用于记载并存储终端信息和实时操作信息的备案模块以及用于调取上述信息的日志查看模块。
所述备案模块中还设有按照预定时间将存储的终端信息和实时操作信息制成文件夹的分类模块。
所述专用资源管理模块中还设有用于限制专用资源管理模块与pc端信息交互的权限单元。
用户行为精准追溯的硬件基础是设备中为其分配的日志存储空间,软件基础是设备自带的管理软件――专用资源管理器以及日志查看工具。专用资源管理器在根据用户的指令完成各项数据交换操作的同时,也实时地把这些操作按照特定的格式组合成日志信息,并存放在设备的“日志存储区”中,需要时可以通用“日志查看工具”调阅查看,作为审计追踪的依据,达到“谁动了我的u盘我知道”这一效果。“日志存储区”的数据只能由专用资源管理器写、日志查看工具读,任何程序软件都不能对其进行修改和删除。
设备为日志存储区预留了100mb的存储空间,按照每个日志文件平均100个字节计算,大约能存储100万条以上的记录。对该区域的管理采用“先进先出,循环使用”策略,当该存储区存满或剩余空间不足以存储下一个日志文件时,程序会自动用新日志文件覆盖旧日志文件,使该区域能循环使用。日志存储区域同样是隐藏的,操作系统不能管理该区域,用户只有使用专用的日志读取工具软件才能获取日志信息。
正常情况下,用户操作行为或软件运行情况的日志记录,都是存储在一个日志文件中,该文件或采用通用的格式,或采用专用的格式,目的是当用户查看时,只需要打开一个文件,所有的日志内容都能看到。
实施例2
与实施例1相区别的是:所述权限单元包括预存的留置特征码和获取pc端的特征码并将获取的特征码与留置特征码比较的对比执行单元,所述权限单元为用于被pc端检测模块检索并获取并建立交互的预存的留置特征码。
限制设备的使用范围有两种设限模式:一是以设备为主体进行限定,设置其能使用的终端;二是以终端为主体进行限定,设定其能使用的设备。该功能由权限设置工具和专用资源管理器软件配合实现。
以设备为主体的限定,是由权限设置工具将授权主机的特征码写到设备的配置存储区内,专用资源管理器程序在运行时,通过比对主机的特征码和配置存储区内保存的特征码,如果两个特征码吻合,则专用资源管理器程序正常运行,如果不吻合则专用资源管理器程序终止运行,达到控制设备可使用终端的目的。
以终端为主体的限定,主要用于对内部终端所能使用的设备进行限定。其工作原理是:由权限设置工具将授权设备的特征码写入到一个加密文件中(配置文件),该加密文件和权限设置工具一块隐蔽地存放在终端中,并且权限设置工具处于后台运行状态,时刻监视着是否有设备插入。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
1.一种多功能usb存储设备,包括设备本体,其特征在于,所述设备本体内设有用于存储数据的文档数据存储区以及与pc端对接的用于管理文档数据存储区数据的专用资源管理模块,所述设备本体中还设有与专用资源管理模块是否对接的状态检测模块;
所述状态检测模块包括用于锁定文档数据存储区的锁定模块和位于设备本体上且与锁定模块通信的全数字输入键盘,所述锁定模块中设有用于判断键盘输入的指令是否匹配的指令对比模块。
2.根据权利要求1所述的多功能usb存储设备,其特征在于,所述状态检测模块还设有用于统计键入口令连续错误次数的计数单元和与控制文档数据存储区的销毁单元,当计数单元统计的次数达到预先设定次数时,销毁单元执行销毁程序,销毁文档数据存储区中的数据。
3.根据权利要求2所述的多功能usb存储设备,其特征在于,所述文档数据存储区包括可被直接读取的cdrom区和无法直接读的间接存储区;
所述间接存储区包括存放注册信息和权限设置信息的配置信息存储区、存储关于设备使用以及设备内文档数据读写记录的日志存储区和通过状态检测模块认证后直接被读取的文档数据存储单元;
所述专用资源管理模块上设有与配置信息存储区和文档数据存储单元相对应的日志写入模块和文档数据读写模块。
4.根据权利要求3所述的多功能usb存储设备,其特征在于,所述专用资源管理模块包括用于记载并存储终端信息和实时操作信息的备案模块以及用于调取上述信息的日志查看模块。
5.根据权利要求4所述的多功能usb存储设备,其特征在于,所述备案模块中还设有按照预定时间将存储的终端信息和实时操作信息制成文件夹的分类模块。
6.根据权利要求5所述的多功能usb存储设备,其特征在于,所述专用资源管理模块中还设有用于限制专用资源管理模块与pc端信息交互的权限单元。
7.根据权利要求6所述的多功能usb存储设备,其特征在于,所述权限单元包括预存的留置特征码和获取pc端的特征码并将获取的特征码与留置特征码比较的对比执行单元。
8.根据权利要求7所述的多功能usb存储设备,其特征在于,所述权限单元为用于被pc端检测模块检索并获取并建立交互的预存留置特征码。
技术总结