[发明专利]用于办公系统的防数据泄密方法

权利要求书

1.一种用于办公系统的防数据泄密方法，其特征在于：所述办公系统包括：由若干台计算机组成的局域网和若干USB存储设备，一USB加解密桥接器和USB密钥设备；

所述USB加解密桥接器一端与所述计算机主板上的南桥芯片连接，其另一端作为外露的USB存储设备的主接口；此USB加解密桥接器进一步包括：

第一USB从接口模块，与计算机南桥相连，用于与所述计算机之间通过USB总线进行数据传输；

USB主接口模块，当与USB存储设备连接时，用于与所述USB存储设备之间通过USB总线进行数据传输；当与USB密钥设备时，接收来自所述USB密钥设备的第二识别码和密钥并将存储于第一闪存存储模块的公钥传输给USB密钥设备；

数据存储区，位于所述第一USB从接口模块和USB主接口模块之间，用于存储来自所述USB主接口模块和第一USB从接口模块的数据；

第一加解密模块，与所述数据存储区连接，当计算机接收来自所述USB存储设备的数据时，采用接收来自USB密钥设备的密钥对来自所述USB主接口模块的数据进行解密处理；当计算机向所述USB存储设备发送数据时，采用来自USB密钥设备的密钥对来自所述USB从接口模块的数据进行加密处理；

第一闪存存储模块，用于存储加解密算法的公钥和私钥对以及设置的第一识别码，此公钥和私钥用于USB加解密桥接器与USB密钥设备之间传输数据的加解密；

USB数据传输管理模块，连接到所述第一USB从接口模块、USB主接口模块和第一加解密模块，当来自所述USB密钥设备的第二识别码与所述第一识别码相等时，则接收来自所述USB密钥设备的密钥并将存储于第一闪存存储模块的公钥传输给USB密钥设备，该密钥为若干USB加解密桥接器的授权密钥，调度USB从接口模块内数据，USB主接口模块内数据和加解密模块内数据之间的数据交互；否则，禁止与所述USB存储设备进行数据传输；

USB加解密桥接器功能管理模块，其位于USB加解密桥接器与USB密钥设备，用于响应USB密钥设备的指令从而配置USB加解密桥接器处于以下功能之一：（a）USB加解密桥接器关闭，关闭USB主接口模块，使主机端口不再工作，客户端计算机无法通过此端口与USB存储设备传输数据，（b）USB加解密桥接器以非加密方式打开，打开USB加解密桥接器的USB主接口模块，不使能加解密功能，客户端计算机可通过此端口与一定USB存储设备传输数据，并且数据不会被加密或解密，（c）USB加解密桥接器以加密方式打开，打开USB加解密桥接器的主机端口，并使能加解密功能，客户端计算机可通过此端口与USB存储设备传输数据，并且当从USB存储设备读取数据时候，数据被解密；当写数据到USB存储设备上时，数据被加密，（d）变更加解密的密钥，改变USB密钥设备内部保存的密钥，由第二真随机数模块生成新密钥，并保存到第二闪存存储模块；此USB加解密桥接器功能管理模块，通信遵循USB2.0协议，使用私有SCSI命令进行交互，工作过程如下：

（1）、USB密钥设备插入第一USB从接口模块后，USB加解密桥接器对其进行枚举，并识别到设备是密钥设备，

（2）、USB加解密桥接器通过私有SCSI命令读取USB密钥设备的第二识别码，并判断此第二识别码是否有效，如果有效，则继续工作，否则弹出USB密钥设备，

（3）、加解密桥接设备查询USB密钥设备是否有按键按下，如果有，则执行对应功能，并在执行完毕后，反馈状态信息到密钥设备，

USB加解密桥接器与USB密钥设备之间通信采用数字信封方式，基于1024位RSA非对称加解算法，并对非对称算法的公钥，采用DES对称加解密算法进行加解密；

所述USB密钥设备进一步包括：

第二USB从接口模块，用于与所述USB加解密桥接器的USB主接口模块连接，用于与所述USB加解密桥接器之间通过USB总线进行数据和第二识别码传输；

第二加解密模块，采用公钥对所述密钥进行加密，同时采用私钥对来自所述USB加解密桥接器的数据进行解密；

第二闪存存储模块，用于保存所述密钥和所述第二识别码并记录USB加解密桥接器的功能状态；

四个按键，包括用于关闭端口的第一按键，用于打开USB桥接设备、以非加密模式的第二按键，用于打开USB桥接设备、以加密模式的第三按键，用于变换密钥的第四按键；

所述防数据泄密方法包括以下步骤：

步骤一. 若干安装好USB加解密桥接器的客户端、一个USB密钥设备和USB存储设备组成一个工作域，USB加解密桥接器在初始状态下，USB主接口模块是关闭的；

步骤二. 通过连接USB密钥设备和一客户端的USB加解密桥接器，通过USB密钥设备按键选择“打开USB加解密桥接器，以加解密方式”功能，此USB加解密桥接器将公钥传给USB密钥设备后，此对非对称算法的所述公钥采用DES对称加解密算法进行加密，接收来自所述USB密钥设备的密钥和第二识别码，此密钥和第二识别码经过公钥、密钥双重加密；

步骤三. USB加解密桥接器通过密钥以及位于第一闪存存储模块内的私钥和将密钥和第二识别码解密；

步骤四. 采用步骤二、三的方式，配置办公系统内其它客户端；

步骤五. 把USB存储设备插入客户端的第一USB从接口模块，此时USB存储设备无法正常使用，需格式化该移动存储设备，成功后可使用该USB存储设备传递数据；

步骤六. 数据从客户端拷贝到USB存储设备，会经过USB加解密桥接器的第一加解密模块通过密钥加密，数据以密文形式存储在USB存储设备上；

步骤七 正常使用过程中，数据从USB存储设备拷贝到客户端，会经过USB加解密桥接器的解密，数据以明文形式存储在客户端硬盘上；

步骤八. 同一USB密钥设备管理的客户端，具有相同的加解密密钥，可互相之间拷贝数据；此密钥可随时更改，使用USB密钥设备的“变更密钥”功能，首先变更USB密钥设备存储的密钥，后通过“以加解密方式，打开桥接设备”这个功能，把新的密钥同步到每个客户端；

步骤九. 添加一个客户端到工作域，使用USB密钥设备，对一个安装好USB加解密桥接器的客户端进行配置，通过“以加解密方式，打开桥接设备”这个功能，把密钥和USB密钥设备的第二识别码同步到客户端即可。