[发明专利]基于移动存储介质的物理隔离双系统构建方法

权利要求书

1.一种基于移动存储介质的物理隔离双系统构建方法，所述移动存储介质包括存储控制器模块、存储模块、接口模块、安全模块和无线通讯模块，所述存储控制器模块分别与所述存储模块、所述接口模块和所述安全模块连接，所述接口模块分别与所述安全模块和所述无线通讯模块连接，所述安全模块用于对敏感数据进行加密；所述存储控制器模块用于将所述敏感数据的密文存储至所述存储模块中；其特征在于，该方法包括以下步骤：

步骤1，将包含有磁盘过滤驱动程序的第一操作系统预置在所述移动存储介质的所述存储模块中，将第二操作系统预置在个人计算机的本地硬盘中；将所述移动存储介质中的所述存储模块分为第一分区和第二分区，所述第一分区中预置有所述第一操作系统，所述第二分区用于存储加密的敏感数据；

步骤2，所述个人计算机上电后，判断其是否与所述移动存储介质连接，若与所述移动存储介质连接，则进一步进行PIN码校验，在PIN码校验通过时，允许所述个人计算机加载启动所述第一操作系统；

步骤3，所述第一操作系统通过所述磁盘过滤驱动程序实现与所述第二操作系统的物理隔离；

所述个人计算机在加载启动所述第一操作系统时，所述第一操作系统的磁盘过滤驱动程序实时监控所述个人计算机的本地硬盘行为，当所述磁盘过滤驱动程序监控到所述本地硬盘向所述第一操作系统进行注册时，立即拦截所述注册行为，从而使所述本地硬盘无法加载启动所述第一操作系统，实现所述第一操作系统在加载启动的过程中与所述本地硬盘的物理隔离；

步骤4，所述第一操作系统通过EWF组件实现应用程序的安装；

正常情况下，所述第一操作系统处于只读状态，所述第一操作系统通过本身的EWF组件将要对所述第一分区进行写入的应用程序指向到覆盖层的内存中；当所述第一操作系统重新启动后，所述写入的应用程序不会保存；

当要向所述第一操作系统所在的第一分区保存应用程序时，将所述第一分区授权为可写状态，所述第一操作系统通过本身的EWF组件将要保存的应用程序直接写入到所述第一操作系统所在的所述第一分区，实现应用程序的安装；写入完成后所述第一操作系统重新恢复为只读状态；

步骤5，所述个人计算机通过所述安全模块实现敏感数据的加密，并存储至所述存储模块中。

2.根据权利要求1所述的物理隔离双系统构建方法，其特征在于：步骤2中，所述个人计算机上电后，判断所述移动存储介质与所述个人计算机是否连接，若连接，则对所述个人计算机BIOS进行设置或自动检测，然后请求用户输入所述安全模块的PIN码以进行校验，若在设定的输入次数内校验通过，则允许通过所述存储控制器模块加载启动所述存储模块中的所述第一操作系统，并执行步骤3；否则，禁止加载启动所述第一操作系统；

若未连接，则加载启动所述本地硬盘内的所述第二操作系统。

3.根据权利要求1所述的物理隔离双系统构建方法，其特征在于：步骤5中，当用户使用所述个人计算机对敏感数据进行加密时，通过所述接口模块向所述安全模块发送加密请求指令，所述安全模块接收到所述加密请求指令后，执行相应的加密操作，再通过所述存储控制器模块将所述敏感数据的密文存储至所述第二分区。

4.根据权利要求1所述的物理隔离双系统构建方法，其特征在于：所述移动存储介质为U盘或移动硬盘。

5.根据权利要求1所述的物理隔离双系统构建方法，其特征在于：所述存储控制器模块包括Flash存储控制器、eMMC存储控制器和SSD存储控制器，所述存储模块包括Flash存储器、eMMC存储器和SSD存储器。

6.根据权利要求1所述的物理隔离双系统构建方法，其特征在于：所述接口模块包括USB接口和Type-c接口，所述安全模块为安全芯片，所述无线通讯模块为4G模块。