[发明专利]主动式数据安全存储设备的安全对外通讯方法

权利要求书

1.主动式数据安全存储设备的安全对外通讯方法，所述主动式数据安全存储设备采用通用型对外通讯接口，包括USB接口和网口，主动式数据安全存储设备通过USB接口与第三方USB存储设备进行通讯，主动式数据安全存储设备通过网口与网络服务器进行通讯，其特征在于，所述主动式数据安全存储设备在对外通讯时，由位于主动式数据安全存储设备上的操作系统的驱动层实现对数据的选择性安全处理，具体为：

A、当与第三方USB存储设备进行通讯时，对从主动式数据安全存储设备输出的数据，由驱动层实现对输出数据的前置加密处理；对输入主动式数据安全存储设备的数据，由驱动层实现对输入数据的前置病毒扫描处理，仅允许不包含恶意代码的数据进入主动式数据安全存储设备，以及由驱动层实现对输入数据的前置解密处理；在安全级别较高的场合，由驱动层实现禁用USB接口的数据输入；具体的实现方法如下：

A1、主动式数据安全存储设备提供单个USB接口，并通过修改操作系统安全策略，使USB接口仅支持Mass Storage Device型通用存储设备；

A2、修改操作系统内的Mass Storage Device设备读写驱动程序，在驱动层实现对读写的监控；在写入过程中，要求用户提供密钥，并用该密钥对输出缓冲区内的数据进行加密，再执行写入操作；

A3、在主动式数据安全存储设备操作系统中监视USB接口的设备接入状态；

A4、当有Mass Storage Device设备接入时，监视设备的枚举过程，直至设备就绪；

A5、通过A2中的驱动程序执行数据流出操作；

A6、通过反病毒程序监视数据流入操作，对流入的数据执行病毒扫描，仅允许不包含恶意代码的数据进入设备；

A7、在安全级别较高的场合，在Mass Storage Device设备读写驱动程序中禁用USB数据流入；

B、当与网络服务器进行通讯时，由驱动层实现对数据的打包或解包处理以进行网络数据传输，并对传输的数据进行加密处理，同时采用网络安全认证协议以保证通讯安全，以及不允许主动式数据安全存储设备通过网口访问普通的公共网络，允许主动式数据安全存储设备通过网口访问特殊的网络服务器；具体的实现方法如下：

B1、设立远程专用服务器；

B2、引入SSL网络安全认证协议，监控服务器的对外通讯状况；

B3、制订网络数据包格式，该格式支持基于SSL协议的网络通讯过程；

B4、在主动式数据安全存储设备操作系统底层，对打包过程中的本地数据访问进行监控，在本地数据读操作中前置加密处理，在本地数据写操作中前置解密处理；所述本地数据为主动式数据安全存储设备数据；

B5、在服务器端，执行与B4相对应的加解密处理，以保证服务器可获得通讯明文并执行后续存取操作，但在网络管道上流通的通讯内容处于密文状态；

B6、在通讯过程开始前，服务器发送密钥至主动式数据安全存储设备；

B7、主动式数据安全存储设备仅能与专用服务器以特殊的通讯方式进行网络交互，且不定期更换网络数据包的格式标准，以确保网络通讯的安全。