[发明专利]一种支持多用户数据保护的安全优盘系统

摘要

本发明涉及支持多用户数据保护的安全优盘系统，包括：上位机执行子系统包括：状态监视器、登录窗口、日志管理器、用户管理器、销毁控制开关、文件操作器、日志生成器、操作权限过滤器、专用文件系统和SCSI协议生成器，上位机执行子系统的可执行程序保存在安全优盘的程序区中；嵌入式执行子系统包括：SCSI协议解析器、登录认证、状态响应器、登录锁、销毁控制、用户管理、快速访存器、审计管理、硬算法加密器、用户信息库、密钥库、程序区、数据区和日志区，其可执行目标码固化在安全优盘内部的主控芯片内。本发明满足了单位、部门内部多用户共享优盘，且不同用户之间数据相互保密的应用需求。

主权项

1.一种支持多用户数据保护的安全优盘系统，其特征在于，包括：上位机执行子系统以及嵌入式执行子系统；上位机执行子系统分成三层：用户操作层、安全控制层和底层驱动层；用户操作层包括：登录窗口、日志管理器、用户管理器、销毁控制开关和文件操作器，以图形界面形式为用户提供操作以及查看窗口；安全控制层包括：日志生成器、操作权限过滤器、专用文件系统和SCSI协议生成器，为用户操作层提供统一的API接口；底层驱动层采用系统通用USB存储设备驱动，实现与安全优盘的数据通信；片外主存储区划分成程序区、数据区和日志区：嵌入式执行子系统包括：SCSI协议解析器、登录认证、状态响应器、登录锁、销毁控制、用户管理、快速访存器、审计管理、硬算法加密器、用户信息库、密钥库、程序区、数据区和日志区；加载并运行上位机执行子系统包括：安全优盘连接宿主机后，宿主机端自动识别优盘设备，显示程序区；程序区具有上位机执行系统的可执行程序；用户登录包括：通过登录窗口，输入用户名和口令，通过SCSI协议生成器构建通信报文，发送给嵌入式执行子系统中的登录认证模块；登录认证模块调用算法，结合用户信息库中的用户信息，完成认证工作，并返回认证结果；若认证通过，则上位机和嵌入式端分别解锁各自的登录锁，在上位机端解锁用户管理器、销毁控制开关和文件操作器；在嵌入式端解锁销毁控制、用户管理和快速访问器，修改数据区的属性为可读写状态，使其在宿主机端可见；若当前登录用户为管理员，则在上位机端还解锁日志管理器，嵌入式端的审计管理模块的日志区的更新功能处于可操作状态，查询和删除功能在管理员登录状态下有效；若认证失败，则上位机和嵌入式端的各自的登录锁仍保持锁定状态，执行系统的功能状态与未登录时相同；上位机的用户管理器与嵌入式端的用户管理模块和快速访存器协同工作，共同完成对用户信息的配置任务；上位机通过用户管理器发起用户添加请求，嵌入式端的快速访存器和用户管理模块响应该请求，完成新用户私有文件夹的创建、为新用户分配数据加密存储用密钥以及在用户信息库中保存新用户信息项操作，返回请求处理结果；删除用户包括：在用户信息库中查找指定用户的用户信息项，根据用户信息项中私有文件夹路径，从数据区中删除该用户的私有文件夹；根据用户信息项中的密钥索引，从密钥库中删除指定密钥；从用户信息库中删除对应的用户信息项；查询用户信息包括：根据用户类型和用户名，从用户信息库中查询对应的用户信息，并反馈给上位机；解锁用户包括：根据用户类型和用户名，在用户信息库中搜索对应的用户信息项，然后重置该用户信息项中的初始登录口令和锁死状态；共享用户对自身信息的配置包括：共享用户登录后，其用户管理器具有查询以及更新用户信息功能；上位机的用户管理器与嵌入式端的用户管理模块协同工作，对用户信息的查询和更新；不同用户间数据的保护包括：通过权限过滤器、专用文件系统、SCSI协议生成器、SCSI协议解析器和硬算法加密器对不同用户间私有数据进行保护；操作权限的过滤包括：所有文件操作器的文件操作请求都经过操作权限过滤器，判断是否拦截该请求；操作权限过滤器依据当前登录用户的私有文件夹路经，允许对该私有文件夹内的子文件夹和文件操作请求通过该过滤器；数据的加密存储包括：在用户登录成功后，嵌入式端的执行子系统开启数据加解密功能，并从密钥库中加载当前登录用户的加密密钥；数据在进出外部存储区时调用硬算法加密器用当前用户的加密密钥对数据进行加解密；通过上位机执行子系统中的销毁控制开关，快速销毁用户信息库和密钥库中的信息。