[发明专利]一种带身份逐次认证和日志记录功能的移动存储装置

说明书

技术领域

本发明涉及安全移动存储技术领域，特别是可以通过逐次身份认证和日志记录与审计来保障数据安全的移动存储装置。

背景技术

近年来，移动存储设备以其便携性、高速的存取速度以及大容量等特性深受消费者青睐，越来越多的用户使用移动存储设备作为数据转移、数据临时存放的主要工具。现有技术中，任何访问者无需身份认证都能对移动存储设备中的数据进行任意访问，这对一些对数据安全性、机密性要求非常高的单位在数据安全保护方面会带来非常大的危害。单位的员工很容易通过移动存储设备将机密数据带出单位而导致主动数据泄密。另外，由于移动存储设备经常在不同的场合使用，也容易导致被动式的数据泄密。比如，当移动存储设备在有互联网络环境中的主机设备(如能上网的家用电脑)上使用后可能被感染上木马，当用户将感染木马的移动存储设备在无互联网络环境中的主机设备(如用户单位的工作用机，该工作用机由于保密原因无法上网)上使用时，木马可能会自动扫描主机中的敏感文件，并将这些敏感文件悄悄地复制到移动存储设备中，并隐藏起来。当用户再次将该移动存储设备在有互联网络环境中的主机设备上使用时，移动存储设备中的木马就将隐藏起来的敏感文件悄悄地通过互联网发送给远程的某个恶意用户的电脑中，从而导致数据泄密。

发明内容

为了解决上述现有技术中存在的问题，本发明的目的是提供一种带身份逐次认证和日志记录功能的移动存储装置。它通过对访问者进行身份认证，确保只有经过许可的访问者才能对移动存储设备中的数据进行访问，安全性高、自主性强。

为了达到上述发明目的，本发明的技术方案以如下方式实现：

一种带身份逐次认证和日志记录功能的移动存储装置，它包括移动存储设备和访问移动存储设备的计算机。其结构特点是，所述移动存储设备包括：

访问控制单元，由依次相互连接的USB数据传输协议、身份认证协议和访问日志处理程序组成，USB数据传输协议控制USB数据的传输，身份认证协议对访问者的身份进行逐次认证，以决定访问者是否能访问数据存储单元中的数据，访问日志处理程序对访问者的访问过程进行日志记录；

密码学服务单元，与访问控制单元相互连接，由随机数生成器、对称密码算法、非对称密码算法、摘要算法、签名和签名认证算法组成，提供常用密码学服务；

数据存储单元，与访问控制单元相互连接，存储信息或数据，其中的一部分空间为只读存储区；

USB接口，与访问控制单元中的USB数据传输协议相互连接，为移动存储设备与外部设备通讯的接口。

在上述移动存储装置中，所述只读存储区保存访问代理程序、片内操作系统、应用程序和用户访问日志，只有特定允许的用户能对用户访问日志进行读访问操作。

在上述移动存储装置中，所述外部设备采用计算机。

本发明由于采用了上述结构，通过对访问者进行身份认证，确保只有经过许可的访问者才能合法对移动存储设备中的数据进行访问。一方面增加了存储设备数据保护的主动性，另一方面本发明移动存储装置构造简单、成本低廉、安全性高。

下面结合附图和具体实施方式对本发明作进一步说明。

附图说明

图1为本发明的结构原理示意图；

图2为本发明实施例的结构原理示意图；

图3为本发明实施例的工作过程流程图。

具体实施方式

参看图1，本发明包括移动存储设备和访问移动存储设备的外部设备计算机。移动存储设备包括：

访问控制单元，由依次相互连接的USB数据传输协议、身份认证协议和访问日志处理程序组成，USB数据传输协议控制USB数据的传输，身份认证协议对访问者的身份进行逐次认证，以决定访问者是否能访问数据存储单元中的数据，访问日志处理程序对访问者的访问过程进行日志记录；

密码学服务单元，与访问控制单元相互连接，由随机数生成器、对称密码算法、非对称密码算法、摘要算法、签名和签名认证算法组成，提供常用密码学服务；

数据存储单元，与访问控制单元相互连接，存储信息或数据，其中的一部分空间为保存访问代理程序、片内操作系统、应用程序和用户访问日志的只读存储区，只读存储单元只有特定允许的用户能对用户访问日志进行读访问操作。；

USB接口，与访问控制单元中的USB数据传输协议相互连接，为移动存储设备与外部设备通讯的接口。