[发明专利]防泄密U盘

说明书

技术领域

本发明涉及的是用于移动存储器中信息机密性保护的防泄密U盘，属于计算机应用技术领域。

技术背景

目前市场主流的信息安全产品有访问控制类：网络与主机防火墙等；检测防护类：主机与网络入侵检测与入侵防护系统、防病毒防木马产品、安全审计产品；密码技术类产品：用户认证类产品如指纹识别产品、密码产品，公开密钥基础设施等等。在广泛使用的Windows操作系统、Unix操作系统、Linux操作系统的计算机中，这些产品可以帮助识别使用系统的用户，使得非授权的用户不能进入计算机系统。

对于一个授权的用户的行为，现有的信息安全的防护设施控制得就很少。例如，财务信息可能集中存放在一个服务器上，只有授权的财务人员可以访问，如果一个授权的财务人员访问财务信息的服务器上的文件，暂存在自己的计算机中，进行处理，然后再上载到财务信息服务器上去，暂存在自己的计算机中的文件容易形成扩散，甚至可能有机会泄露到企业的外面，这是企业的主管担心且棘手的事情。类似的问题包括：企业的客户信息、技术信息，政府内部处理的敏感信息，国防企业的技术信息等等，这些信息都需要秘书、员工等授权人员处理，而这些信息往往留在这些员工的计算机上，这些计算机终端量大面广，系统环境复杂、各异，极易造成泄露。目前解决这类问题的办法主要是主机终端系统加固，控制计算机终端的设备与输入输出、防木马防病毒、安全审计等等。这些措施往往给用户带来不便，环境复杂多样，往往留有漏洞。因此，通常的用户认证、自主访问控制等措施难以保障信息的安全性。

发明内容

本发明的目的旨在采用特殊控制功能和特殊读写接口的USB控制器制作的防泄密U盘。通过该U盘上特定的监控程序全程监控使用用户的数据处理行为；通过管理程序设置管理员制定的控制策略并想管理员提供对使用用户的行为审计，综合软硬件的方法防止U盘中的信息非法泄密。

本发明的技术解决方案：其特征是USB控制接口的输出/输入端与控制器的输入/输出端对应相接；控制器的输出端分别与普通区域、隐藏区域、私密区域的输入端对应相接。

本发明的优点：第一：通过采用特殊控制功能和特殊读写接口的USB控制器使得恶意程序无法直接接触到用户的数据文件，非授权用户也无法接触到用户数据文件。这样恶意程序就无法感染防泄密U盘，防止了恶意程序的传播。第二：用户的认证信息和授权信息都在私密区域，非授权用户无法获取这些信息，彻底杜绝了通过软件破解的方式绕过用户认证。第三，防泄密U盘运行是在Windows内核中插入了多个监控点，监控使用用户的数据操作行为，与现有的加密U盘的理念完全不同，可以进行全过程的监控，防止信息非法泄露。

附图说明

附图1是防泄密U盘的结构示意图。

具体实施方式

对照附图1，其结构是USB控制接口的输出/输入端与控制器的输入/输出端对应相接；控制器的输出端分别与普通区域、隐藏区域、私密区域的输入端对应相接。

所述的USB控制接口设置Flash存储器的数据分区，该数据分区包括普通区域、隐藏区域、私密区域。

所述的普通区域是植入登陆程序的，普通区域被设置成只读的。它可使恶意程序无法感染。

所述的私密区域是保存用户的信息和用户认证信息，它是无法读取的。

所述的是隐藏区域是植入监控程序的信息，它也是无法读取的。

所述的控制器用USB控制器(型号CBM209X)。

使用时，设置接口访问密码，这样恶意程序和非管理员无法直接读写U盘的数据区；通过USB的控制接口设置Flash存储器的数据分区，分成普通区域、隐藏区域、私密区域；设置可以使用防泄密U盘的用户，将用户的信息和用户认证信息保存在私密区域；设置授权用户的权限，权限分为：限制在防泄密U盘中编辑文件权限，将文件从计算机中拷贝到防泄密U盘中的权限，将防泄密U盘中的文件拷贝到计算机中的权限，管理日志信息的权限；将监控程序植入防泄密U盘的隐藏区域，登陆程序植入普通区域，将普通区域设置为只读。

防泄密U盘的插入：按照上述过程制作的防泄密U盘，当插入计算机的时候，操作系统只能识别普通区域，普通区域是只读的，恶意程序无法感染普通区域。隐藏分区和私密区域是无法读取。

授权用户的使用：(1)用户第一步唯一可以做的是执行登陆程序进行用户认证。(2)用户通过认证后登陆程序装载监控程序，用户的操作在监控程序下进行，受到严格的控制，严格控制数据的流向，防止数据泄密。