书签分享收藏举报版权申诉 / 17

立即下载加入VIP,免费下载

当前位置：首页 > 电学 > 电通信技术 > 用于办公系统的防数据泄密方法.pdf

用于办公系统的防数据泄密方法.pdf

上传人：a2

文档编号：4259743

上传时间：2018-09-12

格式：PDF

页数：17

大小：2.08MB

《用于办公系统的防数据泄密方法.pdf》由会员分享，可在线阅读，更多相关《用于办公系统的防数据泄密方法.pdf（17页完整版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102930212 A (43)申请公布日 2013.02.13 C N 1 0 2 9 3 0 2 1 2 A *CN102930212A* (21)申请号 201210458456.3 (22)申请日 2011.01.18 201110020320.X 2011.01.18 G06F 21/56(2013.01) G06F 21/44(2013.01) H04L 29/06(2006.01) (71)申请人苏州国芯科技有限公司地址 215011 江苏省苏州市新区竹园路209 号 (72)发明人郑茳肖佐楠匡启和王廷平尤国芳 (74)专利代理机构苏州创元专利。

2、商标事务所有限公司 32103 代理人马明渡 (54) 发明名称用于办公系统的防数据泄密方法 (57) 摘要本发明公开一种用于办公系统的防数据泄密方法，包括：由若干台计算机组成的局域网和移动存储设备，一USB加解密桥接器和USB密钥设备；所述USB加解密桥接器一端与所述计算机主板上的南桥芯片连接，其另一端作为外露USB存储设备的主接口；USB加解密桥接器功能管理模块，其位于USB加解密桥接器与USB密钥设备，用于响应USB密钥设备的指令从而配置USB加解密桥接器功能，此USB加解密桥接器进一步包括：第一USB从接口模块；USB主接口模块；数据存储区；第一加解密模块；第。

3、一闪存存储模块；USB数据传输管理模块；所述USB密钥设备进一步包括：第二USB从接口模块；第二加解密模块；第二闪存存储模块。本发明防数据泄密方法可任意设置工作域，方便了权限管理效率，且有效避免了工作域内数据的外泄。 (62)分案原申请数据 (51)Int.Cl. 权利要求书3页说明书10页附图3页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 3 页说明书 10 页附图 3 页 1/3页 2 1.一种用于办公系统的防数据泄密方法，其特征在于：所述办公系统包括：由若干台计算机组成的局域网和若干USB存储设备，一USB加解密桥接器和USB密钥设备；。

4、所述USB加解密桥接器一端与所述计算机主板上的南桥芯片连接，其另一端作为外露的USB存储设备的主接口；此USB加解密桥接器进一步包括：第一USB从接口模块，与计算机南桥相连，用于与所述计算机之间通过USB总线进行数据传输； USB主接口模块，当与USB存储设备连接时，用于与所述USB存储设备之间通过USB总线进行数据传输；当与USB密钥设备时，接收来自所述USB密钥设备的第二识别码和密钥并将存储于第一闪存存储模块的公钥传输给USB密钥设备；数据存储区，位于所述第一USB从接口模块和USB主接口模块之间，用于存储来自所述 USB主接口模块和第一USB从接口模块的数据；第一加解密模块。

5、，与所述数据存储区连接，当计算机接收来自所述USB存储设备的数据时，采用接收来自USB密钥设备的密钥对来自所述USB主接口模块的数据进行解密处理；当计算机向所述USB存储设备发送数据时，采用来自USB密钥设备的密钥对来自所述USB 从接口模块的数据进行加密处理；第一闪存存储模块，用于存储加解密算法的公钥和私钥对以及设置的第一识别码，此公钥和私钥用于USB加解密桥接器与USB密钥设备之间传输数据的加解密； USB数据传输管理模块，连接到所述第一USB从接口模块、USB主接口模块和第一加解密模块，当来自所述USB密钥设备的第二识别码与所述第一识别码相等时，则接收来自所述USB密钥设备的。

6、密钥并将存储于第一闪存存储模块的公钥传输给USB密钥设备，该密钥为若干USB加解密桥接器的授权密钥，调度USB从接口模块内数据，USB主接口模块内数据和加解密模块内数据之间的数据交互；否则，禁止与所述USB存储设备进行数据传输； USB加解密桥接器功能管理模块，其位于USB加解密桥接器与USB密钥设备，用于响应 USB密钥设备的指令从而配置USB加解密桥接器处于以下功能之一：（a）USB加解密桥接器关闭，关闭USB主接口模块，使主机端口不再工作，客户端计算机无法通过此端口与USB存储设备传输数据，（b）USB加解密桥接器以非加密方式打开，打开USB加解密桥接器的USB 主接口模块，不使。

7、能加解密功能，客户端计算机可通过此端口与一定USB存储设备传输数据，并且数据不会被加密或解密，（c）USB加解密桥接器以加密方式打开，打开USB加解密桥接器的主机端口，并使能加解密功能，客户端计算机可通过此端口与USB存储设备传输数据，并且当从USB存储设备读取数据时候，数据被解密；当写数据到USB存储设备上时，数据被加密，（d）变更加解密的密钥，改变USB密钥设备内部保存的密钥，由第二真随机数模块生成新密钥，并保存到第二闪存存储模块；此USB加解密桥接器功能管理模块，通信遵循 USB2.0协议，使用私有SCSI命令进行交互，工作过程如下：（1）、USB密钥设备插入第一USB从接口。

8、模块后，USB加解密桥接器对其进行枚举，并识别到设备是密钥设备，（2）、USB加解密桥接器通过私有SCSI命令读取USB密钥设备的第二识别码，并判断此第二识别码是否有效，如果有效，则继续工作，否则弹出USB密钥设备，（3）、加解密桥接设备查询USB密钥设备是否有按键按下，如果有，则执行对应功能，并在执行完毕后，反馈状态信息到密钥设备，权利要求书CN 102930212 A 2/3页 3 USB加解密桥接器与USB密钥设备之间通信采用数字信封方式，基于1024位RSA非对称加解算法，并对非对称算法的公钥，采用DES对称加解密算法进行加解密；所述USB密钥设备进一步包括：。

9、第二USB从接口模块，用于与所述USB加解密桥接器的USB主接口模块连接，用于与所述USB加解密桥接器之间通过USB总线进行数据和第二识别码传输；第二加解密模块，采用公钥对所述密钥进行加密，同时采用私钥对来自所述USB加解密桥接器的数据进行解密；第二闪存存储模块，用于保存所述密钥和所述第二识别码并记录USB加解密桥接器的功能状态；四个按键，包括用于关闭端口的第一按键，用于打开USB桥接设备、以非加密模式的第二按键，用于打开USB桥接设备、以加密模式的第三按键，用于变换密钥的第四按键；所述防数据泄密方法包括以下步骤：步骤一. 若干安装好USB加解密桥接器的客户端、一个USB密钥。

10、设备和USB存储设备组成一个工作域，USB加解密桥接器在初始状态下，USB主接口模块是关闭的；步骤二. 通过连接USB密钥设备和一客户端的USB加解密桥接器，通过USB密钥设备按键选择“打开USB加解密桥接器，以加解密方式”功能，此USB加解密桥接器将公钥传给 USB密钥设备后，此对非对称算法的所述公钥采用DES对称加解密算法进行加密，接收来自所述USB密钥设备的密钥和第二识别码，此密钥和第二识别码经过公钥、密钥双重加密；步骤三. USB加解密桥接器通过密钥以及位于第一闪存存储模块内的私钥和将密钥和第二识别码解密；步骤四. 采用步骤二、三的方式，配置办公系统内其它客户端；步骤五。

11、. 把USB存储设备插入客户端的第一USB从接口模块，此时USB存储设备无法正常使用，需格式化该移动存储设备，成功后可使用该USB存储设备传递数据；步骤六. 数据从客户端拷贝到USB存储设备，会经过USB加解密桥接器的第一加解密模块通过密钥加密，数据以密文形式存储在USB存储设备上；步骤七正常使用过程中，数据从USB存储设备拷贝到客户端，会经过USB加解密桥接器的解密，数据以明文形式存储在客户端硬盘上；步骤八. 同一USB密钥设备管理的客户端，具有相同的加解密密钥，可互相之间拷贝数据；此密钥可随时更改，使用USB密钥设备的“变更密钥”功能，首先变更USB密钥设备存储的密钥，后。

12、通过“以加解密方式，打开桥接设备”这个功能，把新的密钥同步到每个客户端；步骤九. 添加一个客户端到工作域，使用USB密钥设备，对一个安装好USB加解密桥接器的客户端进行配置，通过“以加解密方式，打开桥接设备”这个功能，把密钥和USB密钥设备的第二识别码同步到客户端即可。 2.根据权利要求1所述的防数据泄密方法，其特征在于：所述第一加解密模块进一步包括：第一非对称算法RSA模块，用于USB加解密桥接器与USB密钥设备通信时用来对敏感数据进行加解密，此敏感数据包括密钥和USB密钥设备的第二识别码；权利要求书CN 102930212 A 3/3页 4 第一对称算法模块，此对称。

13、算法模块内存储SM1或SM4或3DES算法；第一真随机数模块，用于产生所述第一非对称算法RSA模块需要的随机数。 3.根据权利要求1所述的防数据泄密方法，其特征在于：所述第二加解密模块进一步包括：第二非对称算法RSA模块，用于USB加解密桥接器与USB密钥设备通信时对数据进行处理；第二对称算法模块，此第二对称算法模块内存储SM1或SM4或3DES算法；第二真随机数模块，用于产生所述非对称算法RSA模块需要的随机数并根据此随机数产生所述密钥。权利要求书CN 102930212 A 1/10页 5 用于办公系统的防数据泄密方法 0001 原申请号201110020320X，。

14、申请日2011年1月18日，发明名称为：阻燃抗撕矿用电缆橡皮护套材料及制备方法。技术领域 0002 本发明涉及一种用于办公系统的防数据泄密方法，属于安全存储应用领域。背景技术 0003 目前，USB存储设备是目前应用最广泛的移动存储设备，包括U盘和移动硬盘等。越来越多的企事业单位使用USB存储设备作为日常交换信息的工具，在使用过程中，存在两方面的风险：一方面，企事业单位内部计算机上存储的重要业务数据和内部信息，有可能通过USB端口外泄；另一方面，USB存储设备上的类似信息，在设备丢失的情况下，也有可能外泄。这些数据一旦外泄，将会对企业或个人造成重大的损失。因此，数据安全已经成为信。

15、息安全中主要的一个环节。利用USB数据流加解密技术，可同时保护内部计算机和USB存储设备上的重要数据。 0004 目前对于USB数据保护，通常有硬件和软件等技术来实现数据的加密存储。 0005 （1）很多USB存储设备厂商推出了带加密功能的USB存储设备，此类设备在使用前，需校验预设的密码，密码校验通过，才能正常使用设备。这种方式可有效的保护移动存储设备上的数据，但无法保护计算机上的数据。 0006 （1）软件实现的USB存储设备数据防泄密系统。这种方式由一个安装了证书管理软件的服务器，多个安装了客户端软件的内部网络主机-客户端，以及多个由普通USB 存储设备经过证书服务器的初始化处。

16、理后的安全USB存储设备所组成。使用时：在网络服务器和内阁主机中分别安装证书管理软件和客户端软件，在证书服务器对USB存储设备执行安全初始化，将已初始化的安全USB存储发放给内部用户使用，这种方式，安全管理和数据加解密全部采用软件实现。 0007 一方面，在安全性上，服务器和客户端软件，都存在被破解的可能，只要一个软件被破解，都会导致数据外泄；另一方面，此方案中，USB数据加解密通过内部计算机软件实现，必然导致USB传输效率降低，影响传输速度，且会占用内部计算机大量资源。发明内容 0008 本发明目的是提供一种用于办公系统的防数据泄密方法，该办公系统可任意设置工作域，方便了权限管。

17、理效率，且有效避免了工作域内数据的外泄；并可灵活设置办公系统的功能状态。 0009 为达到上述目的，本发明采用的技术方案是：一种用于办公系统的防数据泄密方法，所述办公系统包括：由若干台计算机组成的局域网和若干USB存储设备，一USB加解密桥接器和USB密钥设备；所述USB加解密桥接器一端与所述计算机主板上的南桥芯片连接，其另一端作为外露说明书CN 102930212 A 2/10页 6 的USB存储设备的主接口；此USB加解密桥接器进一步包括：第一USB从接口模块，与计算机南桥相连，用于与所述计算机之间通过USB总线进行数据传输； USB主接口模块，当与USB存储设备连接时，。

18、用于与所述USB存储设备之间通过USB总线进行数据传输；当与USB密钥设备时，接收来自所述USB密钥设备的第二识别码和密钥并将存储于第一闪存存储模块的公钥传输给USB密钥设备；数据存储区，位于所述第一USB从接口模块和USB主接口模块之间，用于存储来自所述 USB主接口模块和第一USB从接口模块的数据；第一加解密模块，与所述数据存储区连接，当计算机接收来自所述USB存储设备的数据时，采用接收来自USB密钥设备的密钥对来自所述USB主接口模块的数据进行解密处理；当计算机向所述USB存储设备发送数据时，采用来自USB密钥设备的密钥对来自所述USB 从接口模块的数据进行加密处理；第一闪。

19、存存储模块，用于存储加解密算法的公钥和私钥对以及设置的第一识别码，此公钥和私钥用于USB加解密桥接器与USB密钥设备之间传输数据的加解密； USB数据传输管理模块，连接到所述第一USB从接口模块、USB主接口模块和第一加解密模块，当来自所述USB密钥设备的第二识别码与所述第一识别码相等时，则接收来自所述USB密钥设备的密钥并将存储于第一闪存存储模块的公钥传输给USB密钥设备，该密钥为若干USB加解密桥接器的授权密钥，调度USB从接口模块内数据，USB主接口模块内数据和加解密模块内数据之间的数据交互；否则，禁止与所述USB存储设备进行数据传输； USB加解密桥接器功能管理模块，其位于U。

20、SB加解密桥接器与USB密钥设备，用于响应 USB密钥设备的指令从而配置USB加解密桥接器处于以下功能之一：（a）USB加解密桥接器关闭，关闭USB主接口模块，使主机端口不再工作，客户端计算机无法通过此端口与USB存储设备传输数据，（b）USB加解密桥接器以非加密方式打开，打开USB加解密桥接器的USB 主接口模块，不使能加解密功能，客户端计算机可通过此端口与一定USB存储设备传输数据，并且数据不会被加密或解密，（c）USB加解密桥接器以加密方式打开，打开USB加解密桥接器的主机端口，并使能加解密功能，客户端计算机可通过此端口与USB存储设备传输数据，并且当从USB存储设备读取数据时。

21、候，数据被解密；当写数据到USB存储设备上时，数据被加密，（d）变更加解密的密钥，改变USB密钥设备内部保存的密钥，由第二真随机数模块生成新密钥，并保存到第二闪存存储模块；此USB加解密桥接器功能管理模块，通信遵循 USB2.0协议，使用私有SCSI命令进行交互，工作过程如下：（1）、USB密钥设备插入第一USB从接口模块后，USB加解密桥接器对其进行枚举，并识别到设备是密钥设备，（2）、USB加解密桥接器通过私有SCSI命令读取USB密钥设备的第二识别码，并判断此第二识别码是否有效，如果有效，则继续工作，否则弹出USB密钥设备，（3）、加解密桥接设备查询USB密钥设备是否有按键。

22、按下，如果有，则执行对应功能，并在执行完毕后，反馈状态信息到密钥设备， USB加解密桥接器与USB密钥设备之间通信采用数字信封方式，基于1024位RSA非对称加解算法，并对非对称算法的公钥，采用DES对称加解密算法进行加解密；所述USB密钥设备进一步包括：说明书CN 102930212 A 3/10页 7 第二USB从接口模块，用于与所述USB加解密桥接器的USB主接口模块连接，用于与所述USB加解密桥接器之间通过USB总线进行数据和第二识别码传输；第二加解密模块，采用公钥对所述密钥进行加密，同时采用私钥对来自所述USB加解密桥接器的数据进行解密；第二闪存存储模块，用于保存。

23、所述密钥和所述第二识别码并记录USB加解密桥接器的功能状态；四个按键，包括用于关闭端口的第一按键，用于打开USB桥接设备、以非加密模式的第二按键，用于打开USB桥接设备、以加密模式的第三按键，用于变换密钥的第四按键；所述防数据泄密方法包括以下步骤：步骤一. 若干安装好USB加解密桥接器的客户端、一个USB密钥设备和USB存储设备组成一个工作域，USB加解密桥接器在初始状态下，USB主接口模块是关闭的；步骤二. 通过连接USB密钥设备和一客户端的USB加解密桥接器，通过USB密钥设备按键选择“打开USB加解密桥接器，以加解密方式”功能，此USB加解密桥接器将公钥传给 USB密钥设。

24、备后，此对非对称算法的所述公钥采用DES对称加解密算法进行加密，接收来自所述USB密钥设备的密钥和第二识别码，此密钥和第二识别码经过公钥、密钥双重加密；步骤三. USB加解密桥接器通过密钥以及位于第一闪存存储模块内的私钥和将密钥和第二识别码解密；步骤四. 采用步骤二、三的方式，配置办公系统内其它客户端；步骤五. 把USB存储设备插入客户端的第一USB从接口模块，此时USB存储设备无法正常使用，需格式化该移动存储设备，成功后可使用该USB存储设备传递数据；步骤六. 数据从客户端拷贝到USB存储设备，会经过USB加解密桥接器的第一加解密模块通过密钥加密，数据以密文形式存储在USB存。

25、储设备上；步骤七正常使用过程中，数据从USB存储设备拷贝到客户端，会经过USB加解密桥接器的解密，数据以明文形式存储在客户端硬盘上；步骤八. 同一USB密钥设备管理的客户端，具有相同的加解密密钥，可互相之间拷贝数据；此密钥可随时更改，使用USB密钥设备的“变更密钥”功能，首先变更USB密钥设备存储的密钥，后通过“以加解密方式，打开桥接设备”这个功能，把新的密钥同步到每个客户端；步骤九. 添加一个客户端到工作域，使用USB密钥设备，对一个安装好USB加解密桥接器的客户端进行配置，通过“以加解密方式，打开桥接设备”这个功能，把密钥和USB密钥设备的第二识别码同步到客户端即可。。

26、0010 上述技术方案中的有关内容解释如下： 1、上述方案中，所述第一加解密模块进一步包括：第一非对称算法RSA模块，用于USB加解密桥接器与USB密钥设备通信时用来对敏感数据进行加解密，此敏感数据包括密钥和USB密钥设备的第二识别码；第一对称算法模块，此对称算法模块内存储SM1或SM4或3DES算法；第一真随机数模块，用于产生所述第一非对称算法RSA模块需要的随机数。 0011 2、上述方案中，所述第二加解密模块进一步包括：第二非对称算法RSA模块，用于USB加解密桥接器与USB密钥设备通信时对数据进行说明书CN 102930212 A 4/10页 8 处理；第二对称算法模。

27、块，此第二对称算法模块内存储SM1或SM4或3DES算法；第二真随机数模块，用于产生所述非对称算法RSA模块需要的随机数并根据此随机数产生所述密钥。 0012 由于上述技术方案运用，本发明与现有技术相比具有下列优点和效果：本发明提出了一种全新的用于办公系统的防数据泄密方法，其基于硬件设备的USB端口数据防泄密系统。整个系统应用灵活，并且在安全性上，具有极大的优势。此方案中，权限管理和USB数据流加解密使用硬件实现，在硬件不被破坏的前提下，可以确保其安全性，并且几乎不影响USB数据传输效率，不占用计算机任何资源。在确保安全性的前提下，本发明具有良好的兼容性，计算机方面，能支持目前市。

28、场上所有USB2.0接口的计算机；而移动存储设备方面，能够支持各个品牌的U盘或移动硬盘。附图说明 0013 附图1为本发明系统结构示意图；附图2为本发明USB加解密桥接器结构示意图；附图3为本发明USB密钥设备结构示意图。具体实施方式 0014 下面结合附图及实施例对本发明作进一步描述：实施例：一种用于办公系统的防数据泄密方法，包括：由若干台计算机组成的局域网和移动存储设备，一USB加解密桥接器和USB密钥设备；所述USB加解密桥接器一端与所述计算机主板上的南桥芯片连接，其另一端作为外露 USB存储设备的主接口；此USB加解密桥接器进一步包括：第一USB主接口模块USB De。

29、vice 1，与计算机南桥相连，用于与所述计算机之间通过 USB总线进行数据传输； USB从接口模块USB Host，用于与所述USB存储设备之间通过USB总线进行数据和来自所述USB密钥设备的第二识别码传输，或者与所述移动存储设备传输数据；数据存储区，位于所述USB主接口模块USB Device和USB从接口模块USB Host之间，用于存储来自所述第一USB主接口模块和USB从接口模块的数据；第一加解密模块，与所述数据存储区连接，当计算机接受来自所述移动存储设备的数据时，采用接收的密钥对来自所述USB从接口模块USB Host的数据进行解密处理；当计算机向所述移动存储设备发送数。

30、据时，采用接收的密钥对来自所述USB主接口模块USB Device的数据进行加密处理；第一闪存存储模块FLASH，用于存储加解密算法的公钥和私钥对以及设置的第一识别码，此公钥和私钥用于计算机与USB密钥设备之间传输数据的加解密； USB数据传输管理模块，连接到所述第一USB主接口模块USB Device 1、USB从接口模块USB Host和第一加解密模块，当来自所述USB密钥设备的第二识别码与所述第一识别码相等时，则接收来自所述USB密钥设备的密钥，调度USB主接口模块USB Device内数据，USB 从接口模块USB Host内数据和加解密模块内数据之间的数据交互；否则，禁止与所。

31、述移动说明书CN 102930212 A 5/10页 9 存储设备进行数据传输；所述USB密钥设备进一步包括：第二USB主接口模块，用于与所述USB加解密桥接器的USB从接口模块USB Host连接，用于与所述USB加解密桥接器之间通过USB总线进行数据和第二识别码传输；第二加解密模块，采用公钥对所述密钥进行加密，同时采用私钥对来自所述USB加解密桥接器的数据进行解密；第二闪存存储模块FLASH，用于保存所述密钥和所述第二识别码。 0015 上述第一加解密模块进一步包括：第一非对称算法RSA模块，用于USB加解密桥接器与USB密钥设备通信时对数据进行处理；第一对称算法模。

32、块，此对称算法模块内存储SM1或SM4或3DES算法。 0016 第一真随机数模块，用于产生所述非对称算法RSA模块需要的随机数。 0017 上述第二加解密模块进一步包括：第二非对称算法RSA模块，用于USB加解密桥接器与USB密钥设备通信时对数据进行处理；第二对称算法模块，此对称算法模块内存储SM1或SM4或3DES算法。 0018 第二真随机数模块，用于产生所述非对称算法RSA模块需要的随机数。 0019 本实施例上述内容具体工作过程如下。 0020 上述办公系统包括下述部件：一个用于管理控制的USB密钥设备，USB密钥设备是表现为对外人机接口的USB设备，存储着一个通过随机数产。

33、生的密钥，该密钥为若干USB加解密桥接器的授权密钥。USB密钥设备用于初始化USB加解密桥接器，并管理加解密设备的使用。 0021 多个客户端，它是安装了USB加解密桥接器的内部计算机，用于对USB存储设备的读写操作进行透明加解密处理，同时实现对USB存储设备的使用控制。 0022 客户端使用前，必须由USB密钥设备进行初始化。初始化过程中，USB加解密桥接器将获取USB密钥设备上的密钥和密钥设备的唯一ID，并保存。 0023 若干客户端可组成一个工作组，工作组由唯一USB密钥设备管理，同一工作组中的客户端之间，可以通过USB存储设备互相传递数据。 0024 USB加解密桥接器具有具体。

34、解释如下：（1）在使用过程中，USB加解密桥接器介于计算机南桥芯片和USB存储设备之间，在 USB数据传输过程中起到桥接的作用。 0025 （2）USB加解密桥接器只能识别USB密钥设备和移动存储设备，不支持其他类型的 USB设备。 0026 （3）USB加解密桥接器功能受USB密钥设备控制，加解密所使用的密钥，由USB密钥设备提供。 0027 （4）USB加解密桥接器与USB密钥设备通信时，采用USB私有命令，对敏感数据采用RSA非对称数字信封和SM4对称加解密两种叠加的方式，具有强大的安全性。 0028 （5）USB加解密桥接器的USB端口，支持USB2.0和USB1.1协议, 遵。

35、循Mass Storage设备类规范，bulk only协议，以及SCSI协议。说明书CN 102930212 A 6/10页 10 0029 （6）加解密过程对计算机用户透明。 0030 （7）效率高，速度快，采用SM1算法，在USB存储设备速度达到30MB/s以上，大文件数据传输时，加解密读写速度可到25MB/S以上。 0031 （8）在数据传输过程中，USB数据接收、USB数据发送和数据加解密同时进行，最大程度上保证了数据传输效率。 0032 （9）对计算机用户来说，加解密过程是透明的，不影响任何操作。加解密设备由密钥设备来控制，无需改变计算机任何配置，方便灵活。 0033 。

36、USB密钥设备具有以下特征：（1）一个USB密钥设备管理一个工作组，工作组由若干客户端即计算机组成，USB密钥设备通过设置客户端上的USB加解密桥接器功能，来实现对工作组的管理。一个工作组对应一个USB密钥设备。 0034 （2）USB密钥设备只有与USB加解密桥接器配合才能使用，将USB密钥设备插入普通USB主机，没有任何效果。 0035 （3）USB密钥设备与USB加解密桥接器之间通信，遵循USB2.0协议，遵循Mass Storage设备类规范，bulk only协议，以及SCSI协议。采用私有命令方式，对敏感数据采用RSA非对称数字信封和SM4对称加解密两种叠加的方式，具有强。

37、大的安全性。 0036 （4）每个USB密钥设备都具有唯一的第二识别码ID2，此第二识别码ID2长度为 32bit，在设备生产过程中生成，采用时间标定的方式，确保其唯一性，第二识别码ID2保存在USB密钥设备的第二闪存存储模块FLASH2内。 0037 （5）USB密钥设备采用真随机数模块产生密钥，密钥保存在第二闪存存储模块 FLASH2内。此密钥供USB加解密桥接器作为数据加解密密钥使用。 0038 （6）USB密钥设备有四个按键，对应可以与USB加解密桥接器配合，进行四种操作： A: 关闭USB加解密桥接器，此时USB加解密桥接器对插入的USB存储设备无响应。 0039 B: 以非加解密。

38、模式，打开USB加解密桥接器，此时USB加解密桥接器与计算机普通USB端口具有一样的功能。 0040 C: 以加解密模式，打开USB加解密桥接器，此时USB加解密桥接器具有加解密的功能，对所传输的数据会进行加密或者解密的操作。 0041 D: 变更USB密钥设备上的密钥，USB密钥设备将通过真随机数发生器，产生新的密钥，并保存到FLASH中。 0042 （7） USB密钥设备有四个指示灯，对应四个按键，表示对应按键的操作是否正确完成。 0043 工作方法基于USB密钥设备、USB加解密桥接器的数据防泄密系统的使用方法，包括下列步骤： (1) 若干安装好USB加解密桥接器的客户端、一。

39、个USB密钥设备和移动存储设备组成一个工作域。USB加解密桥接器在初始状态下，USB主机端口是关闭的，因此此时工作域内 USB端口不可用。 0044 (2) 通过连接USB密钥设备和某一客户端的USB加解密桥接器，通过USB密钥设备按键选择“打开USB加解密桥接器，以加解密方式”，等待设置完成。说明书CN 102930212 A 10 7/10页 11 0045 (3) 采用相同方式，配置所有客户端。 0046 (4) 把移动存储设备插入客户端的USB从接口模块，此时移动存储设备无法正常使用，需格式化该移动存储设备，成功后可使用该移动存储设备传递数据。 0047 (5) 正常使用过。

40、程中，数据从客户端拷贝到移动存储设备，会经过USB加解密桥接器的加密，数据以密文形式存储在移动存储设备上。 0048 (6) 正常使用过程中，数据从移动存储设备拷贝到客户端，会经过USB加解密桥接器的解密，数据以明文形式存储在客户端硬盘上。 0049 (7) 同一USB密钥设备管理的客户端，具有相同的加解密密钥，可互相之间拷贝数据；此密钥可随时更改，使用USB密钥设备的“变更密钥”功能，首先变更USB密钥设备存储的密钥，后通过“以加解密方式，打开桥接设备”这个功能，把新的密钥同步到每个客户端。 0050 (8) 添加一个客户端到工作域，使用USB密钥设备，对一个安装好USB加解密桥接。

41、器的客户端进行配置，通过“以加解密方式，打开桥接设备”这个功能，把加解密密钥和USB 密钥设备的ID同步到客户端即可。 0051 (9) 特殊情况之下，可设置客户端拷贝明文数据到存储设备，使用USB密钥设备的“以非加解密方式，打开桥接设备”功能，配置某个客户端对拷贝数据不进行加解密，这种情况下，数据从客户端拷贝到移动存储设备，不进行加密，移动存储设备存储的是数据明文，在任何一台普通计算机上都还可以正确读取。 0052 (10) 特殊情况之下，可关闭客户端的USB端口，使用USB密钥设备的“关闭桥接设备”功能即可实现。 0053 USB加解密桥接器说明： USB主接口模块USB Hos。

42、t： USB 主机功能模块，支持USB1.1和USB2.0协议，可通过 USB主接口模块USB Host接收数据，或通过Host端口发送FIFO内的数据。USB加解密桥接器的主机接口只能识别USB密钥设备和移动存储设备，并且主机接口受USB密钥设备的控制。加解密桥接芯片 USB Host接口外露在计算机外壳外部，作为外部USB存储设备的主接口。主机接口负责与移动存储设备和USB密钥设备进行通信。 0054 第一USB从接口模块USB Dev1： USB设备功能模块，支持USB1.1和USB2.0协议，可通过Device端口接收，或通过第一USB主接口模块USB Dev1发送的数据。US。

43、B加解密桥接器的第一USB从接口模块USB Dev1与计算机南桥相连，负责与计算机之间通过USB总线进行通信。 0055 第一闪存存储模块FLASH1：存储模块负责保存相关信息，包括USB密钥设备的ID、数据加解密使用的密钥以及USB加解密桥接器当前功能状态。 0056 对称加解密模块：包括SM1、SM4和DES等，主要作用是对传输的USB数据进行加解密，以及在USB加解密桥接器与USB密钥设备进行通信时，对数字信封的公钥进行加解密。 0057 (5) 非对称加解密RSA模块：非对称RSA模块，在USB加解密桥接器与USB密钥设备通信时，用来对敏感数据进行加解密，敏感数据包括加解密密。

44、钥和USB密钥设备的识别码ID等。采用数字信封方式。 0058 数字信封技术是安全通讯领域一种常用技术，用于发起方（A）、响应方（B）双方的重要信息交换，可以保证通讯数据一次一钥。说明书CN 102930212 A 11 8/10页 12 0059 （1），A随机生成非对称公私钥对。 0060 （2），A方将公钥发送给B方。 0061 （3），B方用A方的公钥将B方需要传输的数据加密。 0062 （4），B方将加密后的数据发送回A方。 0063 （5），A方用私钥解密B方发送回的数据。 0064 （6），解密数据即为B方明文。 0065 采用1024位RSA加解密算法。 0066 (。

45、6) 真随机数模块： USB加解密桥接器包含一个硬件真随机数发生器，能够产生真随机数，用来生成RSA算法所需要的随机数据。 0067 (7) USB数据传输管理模块： USB数据传输管理模块负责客户端与移动存储设备数据交互管理，负责调度USB加解密桥接器的USB Host模块、USB Device模块和加解密模块。 0068 把从客户端USB 主机收到的命令通过加解密桥接设备USB 主机转发给移动存储设备。 0069 往移动存储设备写数据时，把从客户端收到的数据经过加密后转发给移动存储设备。 0070 从移动存储设备读取数据时，把从移动存储设备读出的数据解密后转发给客户端。 0071。

46、从移动存储设备读取状态时，把从移动存储设备读出的状态直接转发给客户端。 0072 (8) USB加解密桥接器功能管理模块：此模块负责与USB密钥设备进行交互，配置USB加解密桥接器的功能。USB加解密桥接器与USB密钥设备之间，通信遵循USB2.0协议，使用私有SCSI命令进行交互。过程如下： (1)，USB密钥设备插入客户端后，USB加解密桥接器对其进行枚举，并识别到设备是密钥设备。 0073 (2)，USB加解密桥接器通过私有SCSI命令读取密钥设备的ID，并判断此ID是否有效，如果有效，则继续工作，否则弹出密钥设备。 0074 (3)，加解密桥接设备查询密钥设备是否有按键按下，。

47、如果有，则执行对应功能，并在执行完毕后，反馈状态信息到密钥设备。 0075 USB加解密桥接器与USB密钥设备之间通信采用数字信封方式，基于1024位RSA 非对称加解算法，并对非对称算法的公钥，采用DES对称加解密算法进行加解密。 0076 USB加解密桥接器是集成在客户端上特定的USB2.0高速主机端口，内置国芯安全 MCU，可以将Mass Storage设备类的数据流进行加解密，该端口只能枚举Mass Storage类设备。 0077 在工作过程中，USB加解密桥接器介于计算机USB 主机和移动存储设备之间。对于客户端的用户来说，USB加解密桥接器是透明的，在平时操作中，加解密过程。

48、是用户不可见的。 0078 支持USB 主机接口、 USB密钥设备接口和对应协议栈。支持USB2.0高速协议，支持Mass Storage Bulk only协议。USB 主机借口只支持Mass Storage设备类规范。其他说明书CN 102930212 A 12 9/10页 13 类型设备，主机将不能完成枚举和初始化过程。 0079 USB加解密桥接器使用SM1对称算法将USB Mass Stoage设备通讯中的SCSI命令中的DATA部分加密或解密。支持通过USB密钥设备更新SM1加密密钥。与USB密钥设备通讯协议为Mass Stoage协议，通过私有SCSI命令。与USB。

49、密钥设备的数据传输使用数字信封技术，加密方式为RSA（采用1024bit密钥）。 0080 USB加解密桥接器采用SM1算法，在硬盘的速度达到30MB/s以上大文件数据传输时，USB加解密桥接器的USB 主机和设备端口的数据收发速度可达到25MB/S。 0081 USB密钥设备说明： (1) USB Dev： USB设备功能模块，支持USB1.1和USB2.0协议，可通过第二USB从接口模块即Device 端口接收数据，或通过第二USB从接口模块即Device端口发送数据。USB密钥设备的 Device端口与USB加解密桥接器的USB主接口模块相连，负责与USB加解密桥接器之间通过USB总线进行通信。 0082 (2) 第二闪存存储模块FLASH2：第二闪存存储模块FLASH2负责保存相关信息，USB密钥设备生成过程中，会生成USB密钥设备的第二识别码ID2，此第二识别码ID2具有唯一性，每个设备都不同，采用时间标定的方式，此第二识别码ID。

摘要
申请专利号：	CN201210458456.3	申请日：	2011.01.18
公开号：	CN102930212A	公开日：	2013.02.13
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):G06F 21/56申请日:20110118\|\|\|公开
IPC分类号：	G06F21/56(2013.01)I; G06F21/44(2013.01)I; H04L29/06	主分类号：	G06F21/56
申请人：	苏州国芯科技有限公司
发明人：	郑茳; 肖佐楠; 匡启和; 王廷平; 尤国芳
地址：	215011 江苏省苏州市新区竹园路209号
优先权：
专利代理机构：	苏州创元专利商标事务所有限公司 32103	代理人：	马明渡
PDF完整版下载：	PDF下载

内容摘要

本发明公开一种用于办公系统的防数据泄密方法，包括：由若干台计算机组成的局域网和移动存储设备，一USB加解密桥接器和USB密钥设备；所述USB加解密桥接器一端与所述计算机主板上的南桥芯片连接，其另一端作为外露USB存储设备的主接口；USB加解密桥接器功能管理模块，其位于USB加解密桥接器与USB密钥设备，用于响应USB密钥设备的指令从而配置USB加解密桥接器功能，此USB加解密桥接器进一步包括：第一USB从接口模块；USB主接口模块；数据存储区；第一加解密模块；第一闪存存储模块；USB数据传输管理模块；所述USB密钥设备进一步包括：第二USB从接口模块；第二加解密模块；第二闪存存储模块。本发明防数据泄密方法可任意设置工作域，方便了权限管理效率，且有效避免了工作域内数据的外泄。

权利要求书

权利要求书一种用于办公系统的防数据泄密方法，其特征在于：所述办公系统包括：由若干台计算机组成的局域网和若干USB存储设备，一USB加解密桥接器和USB密钥设备；
所述USB加解密桥接器一端与所述计算机主板上的南桥芯片连接，其另一端作为外露的USB存储设备的主接口；此USB加解密桥接器进一步包括：
第一USB从接口模块，与计算机南桥相连，用于与所述计算机之间通过USB总线进行数据传输；
USB主接口模块，当与USB存储设备连接时，用于与所述USB存储设备之间通过USB总线进行数据传输；当与USB密钥设备时，接收来自所述USB密钥设备的第二识别码和密钥并将存储于第一闪存存储模块的公钥传输给USB密钥设备；
数据存储区，位于所述第一USB从接口模块和USB主接口模块之间，用于存储来自所述USB主接口模块和第一USB从接口模块的数据；
第一加解密模块，与所述数据存储区连接，当计算机接收来自所述USB存储设备的数据时，采用接收来自USB密钥设备的密钥对来自所述USB主接口模块的数据进行解密处理；当计算机向所述USB存储设备发送数据时，采用来自USB密钥设备的密钥对来自所述USB从接口模块的数据进行加密处理；
第一闪存存储模块，用于存储加解密算法的公钥和私钥对以及设置的第一识别码，此公钥和私钥用于USB加解密桥接器与USB密钥设备之间传输数据的加解密；
USB数据传输管理模块，连接到所述第一USB从接口模块、USB主接口模块和第一加解密模块，当来自所述USB密钥设备的第二识别码与所述第一识别码相等时，则接收来自所述USB密钥设备的密钥并将存储于第一闪存存储模块的公钥传输给USB密钥设备，该密钥为若干USB加解密桥接器的授权密钥，调度USB从接口模块内数据，USB主接口模块内数据和加解密模块内数据之间的数据交互；否则，禁止与所述USB存储设备进行数据传输；
USB加解密桥接器功能管理模块，其位于USB加解密桥接器与USB密钥设备，用于响应USB密钥设备的指令从而配置USB加解密桥接器处于以下功能之一：（a）USB加解密桥接器关闭，关闭USB主接口模块，使主机端口不再工作，客户端计算机无法通过此端口与USB存储设备传输数据，（b）USB加解密桥接器以非加密方式打开，打开USB加解密桥接器的USB主接口模块，不使能加解密功能，客户端计算机可通过此端口与一定USB存储设备传输数据，并且数据不会被加密或解密，（c）USB加解密桥接器以加密方式打开，打开USB加解密桥接器的主机端口，并使能加解密功能，客户端计算机可通过此端口与USB存储设备传输数据，并且当从USB存储设备读取数据时候，数据被解密；当写数据到USB存储设备上时，数据被加密，（d）变更加解密的密钥，改变USB密钥设备内部保存的密钥，由第二真随机数模块生成新密钥，并保存到第二闪存存储模块；此USB加解密桥接器功能管理模块，通信遵循USB2.0协议，使用私有SCSI命令进行交互，工作过程如下：
（1）、USB密钥设备插入第一USB从接口模块后，USB加解密桥接器对其进行枚举，并识别到设备是密钥设备，
（2）、USB加解密桥接器通过私有SCSI命令读取USB密钥设备的第二识别码，并判断此第二识别码是否有效，如果有效，则继续工作，否则弹出USB密钥设备，
（3）、加解密桥接设备查询USB密钥设备是否有按键按下，如果有，则执行对应功能，并在执行完毕后，反馈状态信息到密钥设备，
USB加解密桥接器与USB密钥设备之间通信采用数字信封方式，基于1024位RSA非对称加解算法，并对非对称算法的公钥，采用DES对称加解密算法进行加解密；
所述USB密钥设备进一步包括：
第二USB从接口模块，用于与所述USB加解密桥接器的USB主接口模块连接，用于与所述USB加解密桥接器之间通过USB总线进行数据和第二识别码传输；
第二加解密模块，采用公钥对所述密钥进行加密，同时采用私钥对来自所述USB加解密桥接器的数据进行解密；
第二闪存存储模块，用于保存所述密钥和所述第二识别码并记录USB加解密桥接器的功能状态；
四个按键，包括用于关闭端口的第一按键，用于打开USB桥接设备、以非加密模式的第二按键，用于打开USB桥接设备、以加密模式的第三按键，用于变换密钥的第四按键；

所述防数据泄密方法包括以下步骤：
步骤一. 若干安装好USB加解密桥接器的客户端、一个USB密钥设备和USB存储设备组成一个工作域，USB加解密桥接器在初始状态下，USB主接口模块是关闭的；
步骤二. 通过连接USB密钥设备和一客户端的USB加解密桥接器，通过USB密钥设备按键选择“打开USB加解密桥接器，以加解密方式”功能，此USB加解密桥接器将公钥传给USB密钥设备后，此对非对称算法的所述公钥采用DES对称加解密算法进行加密，接收来自所述USB密钥设备的密钥和第二识别码，此密钥和第二识别码经过公钥、密钥双重加密；
步骤三. USB加解密桥接器通过密钥以及位于第一闪存存储模块内的私钥和将密钥和第二识别码解密；
步骤四. 采用步骤二、三的方式，配置办公系统内其它客户端；
步骤五. 把USB存储设备插入客户端的第一USB从接口模块，此时USB存储设备无法正常使用，需格式化该移动存储设备，成功后可使用该USB存储设备传递数据；
步骤六. 数据从客户端拷贝到USB存储设备，会经过USB加解密桥接器的第一加解密模块通过密钥加密，数据以密文形式存储在USB存储设备上；
步骤七正常使用过程中，数据从USB存储设备拷贝到客户端，会经过USB加解密桥接器的解密，数据以明文形式存储在客户端硬盘上；
步骤八. 同一USB密钥设备管理的客户端，具有相同的加解密密钥，可互相之间拷贝数据；此密钥可随时更改，使用USB密钥设备的“变更密钥”功能，首先变更USB密钥设备存储的密钥，后通过“以加解密方式，打开桥接设备”这个功能，把新的密钥同步到每个客户端；
步骤九. 添加一个客户端到工作域，使用USB密钥设备，对一个安装好USB加解密桥接器的客户端进行配置，通过“以加解密方式，打开桥接设备”这个功能，把密钥和USB密钥设备的第二识别码同步到客户端即可。
根据权利要求1所述的防数据泄密方法，其特征在于：所述第一加解密模块进一步包括：
第一非对称算法RSA模块，用于USB加解密桥接器与USB密钥设备通信时用来对敏感数据进行加解密，此敏感数据包括密钥和USB密钥设备的第二识别码；
第一对称算法模块，此对称算法模块内存储SM1或SM4或3DES算法；
第一真随机数模块，用于产生所述第一非对称算法RSA模块需要的随机数。
根据权利要求1所述的防数据泄密方法，其特征在于：所述第二加解密模块进一步包括：
第二非对称算法RSA模块，用于USB加解密桥接器与USB密钥设备通信时对数据进行处理；
第二对称算法模块，此第二对称算法模块内存储SM1或SM4或3DES算法；
第二真随机数模块，用于产生所述非对称算法RSA模块需要的随机数并根据此随机数产生所述密钥。

说明书

说明书用于办公系统的防数据泄密方法
原申请号201110020320X，申请日2011年1月18日，发明名称为：阻燃抗撕矿用电缆橡皮护套材料及制备方法。
技术领域
本发明涉及一种用于办公系统的防数据泄密方法，属于安全存储应用领域。
背景技术
目前，USB存储设备是目前应用最广泛的移动存储设备，包括U盘和移动硬盘等。越来越多的企事业单位使用USB存储设备作为日常交换信息的工具，在使用过程中，存在两方面的风险：一方面，企事业单位内部计算机上存储的重要业务数据和内部信息，有可能通过USB端口外泄；另一方面，USB存储设备上的类似信息，在设备丢失的情况下，也有可能外泄。这些数据一旦外泄，将会对企业或个人造成重大的损失。因此，数据安全已经成为信息安全中主要的一个环节。利用USB数据流加解密技术，可同时保护内部计算机和USB存储设备上的重要数据。
目前对于USB数据保护，通常有硬件和软件等技术来实现数据的加密存储。
（1）很多USB存储设备厂商推出了带加密功能的USB存储设备，此类设备在使用前，需校验预设的密码，密码校验通过，才能正常使用设备。这种方式可有效的保护移动存储设备上的数据，但无法保护计算机上的数据。
（1）软件实现的USB存储设备数据防泄密系统。这种方式由一个安装了证书管理软件的服务器，多个安装了客户端软件的内部网络主机‑‑‑‑客户端，以及多个由普通USB存储设备经过证书服务器的初始化处理后的安全USB存储设备所组成。使用时：在网络服务器和内阁主机中分别安装证书管理软件和客户端软件，在证书服务器对USB存储设备执行安全初始化，将已初始化的安全USB存储发放给内部用户使用，这种方式，安全管理和数据加解密全部采用软件实现。
一方面，在安全性上，服务器和客户端软件，都存在被破解的可能，只要一个软件被破解，都会导致数据外泄；另一方面，此方案中，USB数据加解密通过内部计算机软件实现，必然导致USB传输效率降低，影响传输速度，且会占用内部计算机大量资源。
发明内容
本发明目的是提供一种用于办公系统的防数据泄密方法，该办公系统可任意设置工作域，方便了权限管理效率，且有效避免了工作域内数据的外泄；并可灵活设置办公系统的功能状态。
为达到上述目的，本发明采用的技术方案是：
一种用于办公系统的防数据泄密方法，所述办公系统包括：由若干台计算机组成的局域网和若干USB存储设备，一USB加解密桥接器和USB密钥设备；
所述USB加解密桥接器一端与所述计算机主板上的南桥芯片连接，其另一端作为外露的USB存储设备的主接口；此USB加解密桥接器进一步包括：
第一USB从接口模块，与计算机南桥相连，用于与所述计算机之间通过USB总线进行数据传输；
USB主接口模块，当与USB存储设备连接时，用于与所述USB存储设备之间通过USB总线进行数据传输；当与USB密钥设备时，接收来自所述USB密钥设备的第二识别码和密钥并将存储于第一闪存存储模块的公钥传输给USB密钥设备；
数据存储区，位于所述第一USB从接口模块和USB主接口模块之间，用于存储来自所述USB主接口模块和第一USB从接口模块的数据；
第一加解密模块，与所述数据存储区连接，当计算机接收来自所述USB存储设备的数据时，采用接收来自USB密钥设备的密钥对来自所述USB主接口模块的数据进行解密处理；当计算机向所述USB存储设备发送数据时，采用来自USB密钥设备的密钥对来自所述USB从接口模块的数据进行加密处理；
第一闪存存储模块，用于存储加解密算法的公钥和私钥对以及设置的第一识别码，此公钥和私钥用于USB加解密桥接器与USB密钥设备之间传输数据的加解密；
USB数据传输管理模块，连接到所述第一USB从接口模块、USB主接口模块和第一加解密模块，当来自所述USB密钥设备的第二识别码与所述第一识别码相等时，则接收来自所述USB密钥设备的密钥并将存储于第一闪存存储模块的公钥传输给USB密钥设备，该密钥为若干USB加解密桥接器的授权密钥，调度USB从接口模块内数据，USB主接口模块内数据和加解密模块内数据之间的数据交互；否则，禁止与所述USB存储设备进行数据传输；
USB加解密桥接器功能管理模块，其位于USB加解密桥接器与USB密钥设备，用于响应USB密钥设备的指令从而配置USB加解密桥接器处于以下功能之一：（a）USB加解密桥接器关闭，关闭USB主接口模块，使主机端口不再工作，客户端计算机无法通过此端口与USB存储设备传输数据，（b）USB加解密桥接器以非加密方式打开，打开USB加解密桥接器的USB主接口模块，不使能加解密功能，客户端计算机可通过此端口与一定USB存储设备传输数据，并且数据不会被加密或解密，（c）USB加解密桥接器以加密方式打开，打开USB加解密桥接器的主机端口，并使能加解密功能，客户端计算机可通过此端口与USB存储设备传输数据，并且当从USB存储设备读取数据时候，数据被解密；当写数据到USB存储设备上时，数据被加密，（d）变更加解密的密钥，改变USB密钥设备内部保存的密钥，由第二真随机数模块生成新密钥，并保存到第二闪存存储模块；此USB加解密桥接器功能管理模块，通信遵循USB2.0协议，使用私有SCSI命令进行交互，工作过程如下：
（1）、USB密钥设备插入第一USB从接口模块后，USB加解密桥接器对其进行枚举，并识别到设备是密钥设备，
（2）、USB加解密桥接器通过私有SCSI命令读取USB密钥设备的第二识别码，并判断此第二识别码是否有效，如果有效，则继续工作，否则弹出USB密钥设备，
（3）、加解密桥接设备查询USB密钥设备是否有按键按下，如果有，则执行对应功能，并在执行完毕后，反馈状态信息到密钥设备，
USB加解密桥接器与USB密钥设备之间通信采用数字信封方式，基于1024位RSA非对称加解算法，并对非对称算法的公钥，采用DES对称加解密算法进行加解密；
所述USB密钥设备进一步包括：
第二USB从接口模块，用于与所述USB加解密桥接器的USB主接口模块连接，用于与所述USB加解密桥接器之间通过USB总线进行数据和第二识别码传输；
第二加解密模块，采用公钥对所述密钥进行加密，同时采用私钥对来自所述USB加解密桥接器的数据进行解密；
第二闪存存储模块，用于保存所述密钥和所述第二识别码并记录USB加解密桥接器的功能状态；
四个按键，包括用于关闭端口的第一按键，用于打开USB桥接设备、以非加密模式的第二按键，用于打开USB桥接设备、以加密模式的第三按键，用于变换密钥的第四按键；
所述防数据泄密方法包括以下步骤：
步骤一. 若干安装好USB加解密桥接器的客户端、一个USB密钥设备和USB存储设备组成一个工作域，USB加解密桥接器在初始状态下，USB主接口模块是关闭的；
步骤二. 通过连接USB密钥设备和一客户端的USB加解密桥接器，通过USB密钥设备按键选择“打开USB加解密桥接器，以加解密方式”功能，此USB加解密桥接器将公钥传给USB密钥设备后，此对非对称算法的所述公钥采用DES对称加解密算法进行加密，接收来自所述USB密钥设备的密钥和第二识别码，此密钥和第二识别码经过公钥、密钥双重加密；
步骤三. USB加解密桥接器通过密钥以及位于第一闪存存储模块内的私钥和将密钥和第二识别码解密；
步骤四. 采用步骤二、三的方式，配置办公系统内其它客户端；
步骤五. 把USB存储设备插入客户端的第一USB从接口模块，此时USB存储设备无法正常使用，需格式化该移动存储设备，成功后可使用该USB存储设备传递数据；
步骤六. 数据从客户端拷贝到USB存储设备，会经过USB加解密桥接器的第一加解密模块通过密钥加密，数据以密文形式存储在USB存储设备上；
步骤七正常使用过程中，数据从USB存储设备拷贝到客户端，会经过USB加解密桥接器的解密，数据以明文形式存储在客户端硬盘上；
步骤八. 同一USB密钥设备管理的客户端，具有相同的加解密密钥，可互相之间拷贝数据；此密钥可随时更改，使用USB密钥设备的“变更密钥”功能，首先变更USB密钥设备存储的密钥，后通过“以加解密方式，打开桥接设备”这个功能，把新的密钥同步到每个客户端；
步骤九. 添加一个客户端到工作域，使用USB密钥设备，对一个安装好USB加解密桥接器的客户端进行配置，通过“以加解密方式，打开桥接设备”这个功能，把密钥和USB密钥设备的第二识别码同步到客户端即可。
上述技术方案中的有关内容解释如下：
1、上述方案中，所述第一加解密模块进一步包括：
第一非对称算法RSA模块，用于USB加解密桥接器与USB密钥设备通信时用来对敏感数据进行加解密，此敏感数据包括密钥和USB密钥设备的第二识别码；
第一对称算法模块，此对称算法模块内存储SM1或SM4或3DES算法；
第一真随机数模块，用于产生所述第一非对称算法RSA模块需要的随机数。
2、上述方案中，所述第二加解密模块进一步包括：
第二非对称算法RSA模块，用于USB加解密桥接器与USB密钥设备通信时对数据进行处理；
第二对称算法模块，此第二对称算法模块内存储SM1或SM4或3DES算法；
第二真随机数模块，用于产生所述非对称算法RSA模块需要的随机数并根据此随机数产生所述密钥。
由于上述技术方案运用，本发明与现有技术相比具有下列优点和效果：
本发明提出了一种全新的用于办公系统的防数据泄密方法，其基于硬件设备的USB端口数据防泄密系统。整个系统应用灵活，并且在安全性上，具有极大的优势。此方案中，权限管理和USB数据流加解密使用硬件实现，在硬件不被破坏的前提下，可以确保其安全性，并且几乎不影响USB数据传输效率，不占用计算机任何资源。在确保安全性的前提下，本发明具有良好的兼容性，计算机方面，能支持目前市场上所有USB2.0接口的计算机；而移动存储设备方面，能够支持各个品牌的U盘或移动硬盘。
附图说明
附图1为本发明系统结构示意图；
附图2为本发明USB加解密桥接器结构示意图；
附图3为本发明USB密钥设备结构示意图。
具体实施方式
下面结合附图及实施例对本发明作进一步描述：
实施例：一种用于办公系统的防数据泄密方法，包括：由若干台计算机组成的局域网和移动存储设备，一USB加解密桥接器和USB密钥设备；
所述USB加解密桥接器一端与所述计算机主板上的南桥芯片连接，其另一端作为外露USB存储设备的主接口；此USB加解密桥接器进一步包括：
第一USB主接口模块USB Device 1，与计算机南桥相连，用于与所述计算机之间通过USB总线进行数据传输；
USB从接口模块USB Host，用于与所述USB存储设备之间通过USB总线进行数据和来自所述USB密钥设备的第二识别码传输，或者与所述移动存储设备传输数据；
数据存储区，位于所述USB主接口模块USB Device和USB从接口模块USB Host之间，用于存储来自所述第一USB主接口模块和USB从接口模块的数据；
第一加解密模块，与所述数据存储区连接，当计算机接受来自所述移动存储设备的数据时，采用接收的密钥对来自所述USB从接口模块USB Host的数据进行解密处理；当计算机向所述移动存储设备发送数据时，采用接收的密钥对来自所述USB主接口模块USB Device的数据进行加密处理；
第一闪存存储模块FLASH，用于存储加解密算法的公钥和私钥对以及设置的第一识别码，此公钥和私钥用于计算机与USB密钥设备之间传输数据的加解密；
USB数据传输管理模块，连接到所述第一USB主接口模块USB Device 1、USB从接口模块USB Host和第一加解密模块，当来自所述USB密钥设备的第二识别码与所述第一识别码相等时，则接收来自所述USB密钥设备的密钥，调度USB主接口模块USB Device内数据，USB从接口模块USB Host内数据和加解密模块内数据之间的数据交互；否则，禁止与所述移动存储设备进行数据传输；
所述USB密钥设备进一步包括：
第二USB主接口模块，用于与所述USB加解密桥接器的USB从接口模块USB Host连接，用于与所述USB加解密桥接器之间通过USB总线进行数据和第二识别码传输；
第二加解密模块，采用公钥对所述密钥进行加密，同时采用私钥对来自所述USB加解密桥接器的数据进行解密；
第二闪存存储模块FLASH，用于保存所述密钥和所述第二识别码。
上述第一加解密模块进一步包括：
第一非对称算法RSA模块，用于USB加解密桥接器与USB密钥设备通信时对数据进行处理；
第一对称算法模块，此对称算法模块内存储SM1或SM4或3DES算法。
第一真随机数模块，用于产生所述非对称算法RSA模块需要的随机数。
上述第二加解密模块进一步包括：
第二非对称算法RSA模块，用于USB加解密桥接器与USB密钥设备通信时对数据进行处理；
第二对称算法模块，此对称算法模块内存储SM1或SM4或3DES算法。
第二真随机数模块，用于产生所述非对称算法RSA模块需要的随机数。
本实施例上述内容具体工作过程如下。
上述办公系统包括下述部件：
一个用于管理控制的USB密钥设备，USB密钥设备是表现为对外人机接口的USB设备，存储着一个通过随机数产生的密钥，该密钥为若干USB加解密桥接器的授权密钥。USB密钥设备用于初始化USB加解密桥接器，并管理加解密设备的使用。
多个客户端，它是安装了USB加解密桥接器的内部计算机，用于对USB存储设备的读写操作进行透明加解密处理，同时实现对USB存储设备的使用控制。
客户端使用前，必须由USB密钥设备进行初始化。初始化过程中，USB加解密桥接器将获取USB密钥设备上的密钥和密钥设备的唯一ID，并保存。
若干客户端可组成一个工作组，工作组由唯一USB密钥设备管理，同一工作组中的客户端之间，可以通过USB存储设备互相传递数据。
USB加解密桥接器具有具体解释如下：
（1）在使用过程中，USB加解密桥接器介于计算机南桥芯片和USB存储设备之间，在USB数据传输过程中起到桥接的作用。
（2）USB加解密桥接器只能识别USB密钥设备和移动存储设备，不支持其他类型的USB设备。
（3）USB加解密桥接器功能受USB密钥设备控制，加解密所使用的密钥，由USB密钥设备提供。
（4）USB加解密桥接器与USB密钥设备通信时，采用USB私有命令，对敏感数据采用RSA非对称数字信封和SM4对称加解密两种叠加的方式，具有强大的安全性。
（5）USB加解密桥接器的USB端口，支持USB2.0和USB1.1协议, 遵循Mass Storage设备类规范，bulk only协议，以及SCSI协议。
（6）加解密过程对计算机用户透明。
（7）效率高，速度快，采用SM1算法，在USB存储设备速度达到30MB/s以上，大文件数据传输时，加解密读写速度可到25MB/S以上。
（8）在数据传输过程中，USB数据接收、USB数据发送和数据加解密同时进行，最大程度上保证了数据传输效率。
（9）对计算机用户来说，加解密过程是透明的，不影响任何操作。加解密设备由密钥设备来控制，无需改变计算机任何配置，方便灵活。
USB密钥设备具有以下特征：
（1）一个USB密钥设备管理一个工作组，工作组由若干客户端即计算机组成，USB密钥设备通过设置客户端上的USB加解密桥接器功能，来实现对工作组的管理。一个工作组对应一个USB密钥设备。
（2）USB密钥设备只有与USB加解密桥接器配合才能使用，将USB密钥设备插入普通USB主机，没有任何效果。
（3）USB密钥设备与USB加解密桥接器之间通信，遵循USB2.0协议，遵循Mass Storage设备类规范，bulk only协议，以及SCSI协议。采用私有命令方式，对敏感数据采用RSA非对称数字信封和SM4对称加解密两种叠加的方式，具有强大的安全性。
（4）每个USB密钥设备都具有唯一的第二识别码ID2，此第二识别码ID2长度为32bit，在设备生产过程中生成，采用时间标定的方式，确保其唯一性，第二识别码ID2保存在USB密钥设备的第二闪存存储模块FLASH2内。
（5）USB密钥设备采用真随机数模块产生密钥，密钥保存在第二闪存存储模块FLASH2内。此密钥供USB加解密桥接器作为数据加解密密钥使用。
（6）USB密钥设备有四个按键，对应可以与USB加解密桥接器配合，进行四种操作：
A: 关闭USB加解密桥接器，此时USB加解密桥接器对插入的USB存储设备无响应。
B: 以非加解密模式，打开USB加解密桥接器，此时USB加解密桥接器与计算机普通USB端口具有一样的功能。
C: 以加解密模式，打开USB加解密桥接器，此时USB加解密桥接器具有加解密的功能，对所传输的数据会进行加密或者解密的操作。
D: 变更USB密钥设备上的密钥，USB密钥设备将通过真随机数发生器，产生新的密钥，并保存到FLASH中。
（7） USB密钥设备有四个指示灯，对应四个按键，表示对应按键的操作是否正确完成。
工作方法
基于USB密钥设备、USB加解密桥接器的数据防泄密系统的使用方法，
包括下列步骤：
(1) 若干安装好USB加解密桥接器的客户端、一个USB密钥设备和移动存储设备组成一个工作域。USB加解密桥接器在初始状态下，USB主机端口是关闭的，因此此时工作域内USB端口不可用。
(2) 通过连接USB密钥设备和某一客户端的USB加解密桥接器，通过USB密钥设备按键选择“打开USB加解密桥接器，以加解密方式”，等待设置完成。
(3) 采用相同方式，配置所有客户端。
(4) 把移动存储设备插入客户端的USB从接口模块，此时移动存储设备无法正常使用，需格式化该移动存储设备，成功后可使用该移动存储设备传递数据。
(5) 正常使用过程中，数据从客户端拷贝到移动存储设备，会经过USB加解密桥接器的加密，数据以密文形式存储在移动存储设备上。
(6) 正常使用过程中，数据从移动存储设备拷贝到客户端，会经过USB加解密桥接器的解密，数据以明文形式存储在客户端硬盘上。
(7) 同一USB密钥设备管理的客户端，具有相同的加解密密钥，可互相之间拷贝数据；此密钥可随时更改，使用USB密钥设备的“变更密钥”功能，首先变更USB密钥设备存储的密钥，后通过“以加解密方式，打开桥接设备”这个功能，把新的密钥同步到每个客户端。
(8) 添加一个客户端到工作域，使用USB密钥设备，对一个安装好USB加解密桥接器的客户端进行配置，通过“以加解密方式，打开桥接设备”这个功能，把加解密密钥和USB密钥设备的ID同步到客户端即可。
(9) 特殊情况之下，可设置客户端拷贝明文数据到存储设备，使用USB密钥设备的“以非加解密方式，打开桥接设备”功能，配置某个客户端对拷贝数据不进行加解密，这种情况下，数据从客户端拷贝到移动存储设备，不进行加密，移动存储设备存储的是数据明文，在任何一台普通计算机上都还可以正确读取。
(10) 特殊情况之下，可关闭客户端的USB端口，使用USB密钥设备的“关闭桥接设备”功能即可实现。
USB加解密桥接器说明：
USB主接口模块USB Host： USB 主机功能模块，支持USB1.1和USB2.0协议，可通过USB主接口模块USB Host接收数据，或通过Host端口发送FIFO内的数据。USB加解密桥接器的主机接口只能识别USB密钥设备和移动存储设备，并且主机接口受USB密钥设备的控制。加解密桥接芯片 USB Host接口外露在计算机外壳外部，作为外部USB存储设备的主接口。主机接口负责与移动存储设备和USB密钥设备进行通信。
第一USB从接口模块USB Dev1： USB设备功能模块，支持USB1.1和USB2.0协议，可通过Device端口接收，或通过第一USB主接口模块USB Dev1发送的数据。USB加解密桥接器的第一USB从接口模块USB Dev1与计算机南桥相连，负责与计算机之间通过USB总线进行通信。
第一闪存存储模块FLASH1：存储模块负责保存相关信息，包括USB密钥设备的ID、数据加解密使用的密钥以及USB加解密桥接器当前功能状态。
对称加解密模块：包括SM1、SM4和DES等，主要作用是对传输的USB数据进行加解密，以及在USB加解密桥接器与USB密钥设备进行通信时，对数字信封的公钥进行加解密。
(5) 非对称加解密RSA模块：非对称RSA模块，在USB加解密桥接器与USB密钥设备通信时，用来对敏感数据进行加解密，敏感数据包括加解密密钥和USB密钥设备的识别码ID等。采用数字信封方式。
数字信封技术是安全通讯领域一种常用技术，用于发起方（A）、响应方（B）双方的重要信息交换，可以保证通讯数据一次一钥。
（1），A随机生成非对称公私钥对。
（2），A方将公钥发送给B方。
（3），B方用A方的公钥将B方需要传输的数据加密。
（4），B方将加密后的数据发送回A方。
（5），A方用私钥解密B方发送回的数据。
（6），解密数据即为B方明文。
采用1024位RSA加解密算法。
(6) 真随机数模块：
USB加解密桥接器包含一个硬件真随机数发生器，能够产生真随机数，用来生成RSA算法所需要的随机数据。
(7) USB数据传输管理模块：
USB数据传输管理模块负责客户端与移动存储设备数据交互管理，负责调度USB加解密桥接器的USB Host模块、USB Device模块和加解密模块。
把从客户端USB 主机收到的命令通过加解密桥接设备USB 主机转发给移动存储设备。
往移动存储设备写数据时，把从客户端收到的数据经过加密后转发给移动存储设备。
从移动存储设备读取数据时，把从移动存储设备读出的数据解密后转发给客户端。
从移动存储设备读取状态时，把从移动存储设备读出的状态直接转发给客户端。
(8) USB加解密桥接器功能管理模块：
此模块负责与USB密钥设备进行交互，配置USB加解密桥接器的功能。USB加解密桥接器与USB密钥设备之间，通信遵循USB2.0协议，使用私有SCSI命令进行交互。过程如下：
(1)，USB密钥设备插入客户端后，USB加解密桥接器对其进行枚举，并识别到设备是密钥设备。
(2)，USB加解密桥接器通过私有SCSI命令读取密钥设备的ID，并判断此ID是否有效，如果有效，则继续工作，否则弹出密钥设备。
(3)，加解密桥接设备查询密钥设备是否有按键按下，如果有，则执行对应功能，并在执行完毕后，反馈状态信息到密钥设备。
USB加解密桥接器与USB密钥设备之间通信采用数字信封方式，基于1024位RSA非对称加解算法，并对非对称算法的公钥，采用DES对称加解密算法进行加解密。
USB加解密桥接器是集成在客户端上特定的USB2.0高速主机端口，内置国芯安全MCU，可以将Mass Storage设备类的数据流进行加解密，该端口只能枚举Mass Storage类设备。
在工作过程中，USB加解密桥接器介于计算机USB 主机和移动存储设备之间。对于客户端的用户来说，USB加解密桥接器是透明的，在平时操作中，加解密过程是用户不可见的。
支持USB 主机接口、 USB密钥设备接口和对应协议栈。支持USB2.0高速协议，支持Mass Storage Bulk only协议。USB 主机借口只支持Mass Storage设备类规范。其他类型设备，主机将不能完成枚举和初始化过程。
USB加解密桥接器使用SM1对称算法将USB Mass Stoage设备通讯中的SCSI命令中的DATA部分加密或解密。支持通过USB密钥设备更新SM1加密密钥。与USB密钥设备通讯协议为Mass Stoage协议，通过私有SCSI命令。与USB密钥设备的数据传输使用数字信封技术，加密方式为RSA（采用1024bit密钥）。
USB加解密桥接器采用SM1算法，在硬盘的速度达到30MB/s以上大文件数据传输时，USB加解密桥接器的USB 主机和设备端口的数据收发速度可达到25MB/S。
USB密钥设备说明：
(1) USB Dev：
USB设备功能模块，支持USB1.1和USB2.0协议，可通过第二USB从接口模块即Device端口接收数据，或通过第二USB从接口模块即Device端口发送数据。USB密钥设备的Device端口与USB加解密桥接器的USB主接口模块相连，负责与USB加解密桥接器之间通过USB总线进行通信。
(2) 第二闪存存储模块FLASH2：
第二闪存存储模块FLASH2负责保存相关信息，USB密钥设备生成过程中，会生成USB密钥设备的第二识别码ID2，此第二识别码ID2具有唯一性，每个设备都不同，采用时间标定的方式，此第二识别码ID2在生成过程中，保存到第二闪存存储模块FLASH2中；数据加解密使用的密钥在USB密钥设备第一次上电时，通过真随机数自动生成，并保存在第二闪存存储模块FLASH2中。
(3) 对称加解密模块：
DES对称加解密算法，主要作用是在USB加解密桥接器与USB密钥设备进行通信时，对数字信封的公钥进行加解密。
(4) 非对称加解密RSA模块：
非对称RSA模块，在USB加解密桥接器与USB密钥设备通信时，用来对敏感数据进行加解密，敏感数据包括加解密密钥和USB密钥设备的第二识别码ID2等。采用数字信封方式。
(5) 第二真随机数模块：
USB密钥设备包含一个硬件真随机数发生器，能够产生真随机数，用来生成RSA算法所需要的随机数据。
(6) USB加解密桥接器功能管理模块：
此模块负责与USB加解密桥接器进行交互，配置USB加解密桥接器的功能。USB加解密桥接器与USB密钥设备之间，通信遵循USB2.0协议，使用私有SCSI命令进行交互。
USB加解密桥接器功能管理模块，加解密设备具有以下几个可配置功能：USB加解密桥接器关闭、USB加解密桥接器以非加密方式打开、USB加解密桥接器以加密方式打开和变更加解密设备的密钥。以上功能配置，必须与USB加解密桥接器配合实现。
(7) 按键和LED：
USB密钥设备有四个按键，以及与之配套的LED状态显示灯。
四个按键可以选择是进行何种操作。同时有4个指示灯指示操作是否成功。
按键1指示灯1关闭端口按键2指示灯2打开USB桥接设备，以非加密模式按键3指示灯3打开USB桥接设备，以加密模式按键4指示灯4变换密钥
USB密钥设备是表现为对外人机接口的USB设备，存储着一个通过随机数产生的密钥。该密钥为若干USB加解密桥接器的授权密钥，USB密钥设备管理一个工作组，需要加入此工作组的客户端，需要经过USB密钥设备的授权。
USB密钥设备通过与USB加解密桥接器的交互，配置USB加解密桥接器的功能，达到控制客户端USB主机接口的目的。
USB密钥设备对USB加解密桥接器可配置的功能如下：
(1) 关闭USB加解密桥接器：
关闭USB加解密设备的主机端口，使主机端口不再工作，客户端计算机无法通过此端口与移动存储设备传输数据。
(2) 打开USB加解密桥接器，以非加密模式：
打开USB加解密桥接器的主机接口，不使能加解密功能。客户端计算机可通过此端口与一定存储设备传输数据，并且数据不会被加密或解密。
(3)打开USB加解密桥接器，以加解密模式：
打开USB加解密桥接器的主机端口，并使能加解密功能，客户端计算机可通过此端口与移动存储设备传输数据，并且当从移动存储设备读取数据时候，数据被解密；当写数据到移动存储设备上时，数据被加密。
(4)变换密钥：
改变USB密钥设备内部保存的密钥，由真随机数发生器生成新密钥，并保存到FLASH存储模块。
USB密钥设备的作用，是通过对USB加解密桥接器进行功能配置，组成一个由多个客户端组成的工作域，并管理此工作域。一个工作域，对应了一个控制器。
USB密钥设备与USB加解密桥接器之间，通过USB进行连接，遵循USB2.0协议，遵循Mass Storage设备类规范，bulk only协议，以及SCSI协议；采用SCSI私有命令与USB加解密桥接器进行通讯；在传递加密密钥时，采用数字信封技术，加密方式为RSA（采用1024bit密钥）；每个USB密钥设备都有真随机数发生器生成的唯一的第二识别码ID2，使用时间标定第二识别码ID2的方式生成。
上述实施例只为说明本发明的技术构思及特点，其目的在于让熟悉此项技术的人士能够了解本发明的内容并据以实施，并不能以此限制本发明的保护范围。凡根据本发明精神实质所作的等效变化或修饰，都应涵盖在本发明的保护范围之内。