[发明专利]一种基于指纹U盘和虚拟机的安全可移动数据存储方法

权利要求书

1.基于指纹U盘和虚拟机的安全数据存储方法，其特征在于包括如下步骤：

步骤一、利用计算机管理端对普通U盘进行初始设置，使U盘安装上引导程序、提供基本运行环境的底层操作系统、虚拟机管理器，所述虚拟机管理器上能运行一个或多个windows操作系统，windows操作系统的虚拟磁盘映像文件也存在U盘上面； 

步骤二、将U盘插入到x86计算机上，选择从U盘启动；U盘引导程序载入内存进行引导，提示输入指纹或密码；

步骤三、输入指纹或密码，验证通过后进入下一步，否则提示失败；

步骤四、引导程序引导底层操作系统，完毕后自动运行虚拟机管理器；

步骤五、进入虚拟机管理器界面，选择虚拟机运行，在windows操作系统上操作数据、存储数据或安装使用应用软件，所述虚拟机管理器在这个过程中自动读取U盘里面的密钥并自动对数据进行加解密操作。

2.根据权利要求1所述的基于指纹U盘和虚拟机的安全数据存储方法，其特征在于步骤一进一步包括：

（1）插入U盘到计算机管理端，采用U盘初始密码登录U盘，转变U盘工作模式为登录模式；

（2）计算机管理端对U盘进行格式化，安装引导程序、底层操作系统、虚拟机管理器到U盘主控芯片外部的Flash上，同时对引导程序、底层操作系统、虚拟机管理器生成一个完整性验证码，完整性验证码存在U盘主控芯片内部的Flash上；

（3）计算机管理端自动生成密钥，密钥存储在U盘主控芯片内部的Flash上，计算机管理端用密钥生成加密的虚拟磁盘映像文件，该文件为一个能运行的Windows操作系统虚拟磁盘映像文件，存放在主控芯片外部的Flash上；

（4）利用计算机管理端注册用户指纹到U盘里面，修改U盘初始密码。

3.根据权利要求1所述的基于指纹U盘和虚拟机的安全数据存储方法，其特征在于

步骤二中，还将U盘当做一个可信平台模块，对引导程序、底层操作系统、虚拟机管理器进行代码完整性验证，验证过程如下：由引导程序对自身、操作系统、虚拟机管理器的代码生成一个完整性验证码，并送入U盘与存在U盘主控芯片内部的Flash中的完整性验证码比较，一致则提示输入指纹或密码。

4.根据权利要求1所述的基于指纹U盘和虚拟机的安全数据存储方法，其特征在于步骤二中先将x86计算机设置为从U盘启动。

5.根据权利要求1所述的基于指纹U盘和虚拟机的安全数据存储方法，其特征在于步骤五中，运行多个虚拟机，各虚拟机能独立存储数据或使用数据。

6.根据权利要求1所述的基于指纹U盘和虚拟机的安全数据存储方法，其特征在于所述底层操作系统对用户不可见，并且虚拟磁盘映像文件是以加密的形式存放在U盘主控芯片外部的Flash上，密钥保存在U盘主控芯片内部的Flash上，只有完整性验证通过及密码或指纹输入正确才能获取密钥。

7.根据权利要求1所述的基于指纹U盘和虚拟机的安全数据存储方法，其特征在于利用计算机管理端将U盘中加密的映像文件备份到计算机上，如果系统崩溃，通过计算机管理端对U盘进行恢复。

8.根据权利要求1所述的基于指纹U盘和虚拟机的安全数据存储方法，其特征在于对SCSI命令进行扩展，使U盘支持读写密钥、读写密码、注册指纹、验证指纹、完整性验证或者指纹登录功能；所述U盘有两种状态：一种是未登录状态，具备现有U盘读取和存储数据的功能，同时具备完整性验证和用户登录功能；另一种为登录状态，支持读写密钥、读写密码、注册指纹和验证指纹功能。

9.根据权利要求1所述的基于指纹U盘和虚拟机的安全数据存储方法，其特征在于U盘固件采用Bulk-Only协议进行通信，该协议采用CBW包和CSW包进行数据交换， SCSI命令是封装在CBW包中；CSW是USB设备返回的状态包，表示操作的成功与否；在U盘固件和计算机的通信过程中，包括CBW、CSW、数据三种通信内容。

10.根据权利要求1~9任一项所述的基于指纹U盘和虚拟机的安全数据存储方法，其特征在于底层操作系统为小型可定制操作系统，只需满足运行虚拟机运行环境要求；虚拟机在读取加密映像的时候进行解密，在写加密映像的时候进行加密，加密算法采用标准RC4流密码变体，RC4的密钥为虚拟磁盘映像文件磁盘块号与存储在U盘的密钥的异或结果，RC4针对每个虚拟磁盘块产生的随机数都不一样，将随机数和虚拟磁盘块内容进行异或就是加密，再异或就是解密；

所述虚拟机管理器界面为安装在底层操作系统上面的软件，用于提示哪些虚拟机可用，并管理虚拟机状态，这些状态包括启动、暂停、唤醒和停止；

所述计算机管理端为安装在x86计算机上的管理端，启动管理端的时候，用户必须先插入U盘，然后输入指纹或密码才可以进入管理程序，才能进行步骤一所述操作。