一种实现向只读分区写数据的安全加密存储系统的制作方法

1.本发明涉及存储领域，具体是一种实现向只读分区写数据的安全加密存储系统。


背景技术：

2.随着信息技术的高速发展，u盘作为一种移动存储介质，具有小巧美观、存储容量大、易于携带、价格便宜等特点，人们经常使用u盘来备份、携带、转移文件。很多人担心u盘在使用过程中重要资料会被盗走，电脑或u盘被病毒感染。为解决单位内部用u盘使用导致信息外泄、u盘交叉使用导致病毒感染，将u盘设置为写保护模式以加强安全性。写保护模式是一种对磁盘和u盘的一种自我保护程序，可以防止磁盘和u盘受到病毒的攻击和他人非法的删除u盘内部文件，是一种非常有效的防病毒和盗窃的磁盘保护方式。
3.目前市面上的写保护（只读）u盘，通过硬件写保护开关的方式控制u盘读写：在安全环境下，需要向移动磁盘写入文件时，需要将磁盘的写保护开关关闭；在未知安全性环境下，将写保护开关打开，可以读取u盘文件，不能再向u盘写入文件，从而避免用户误操作或病毒感染u盘。但这种方法也存在问题，在自认为安全的电脑环境下也会存在病毒，u盘就有可能被病毒感染、生成木马文件。所以，提供一种更加安全的数据写入方法具有重大而紧迫的现实意义。


技术实现要素：

4.针对现有技术的缺陷，本发明提供一种实现向只读分区写数据的安全加密存储系统，u盘分区的写权限不对操作系统开放，防止病毒入侵、文件误删除及被非法篡改；并通过专用软件搭建文件系统进行数据写入，保证u盘能够正常使用。
5.为了解决所述技术问题，本发明采用的技术方案是：一种实现向只读分区写数据的安全加密存储系统，存储系统包括只读分区，只读分区内文件可正常读取，无法通过操作系统接口写入、拷贝或更改文件；为了实现向只读分区写数据，通过专用接口实现对只读分区文件写入，文件写入后可被操作系统浏览查看；只读分区文件写入需要确定文件的起始扇区及写入数据长度，因此需要搭建一套文件系统进行文件管理，所述文件管理包括创建文件夹、写入文件、删除文件夹、删除文件和格式化只读分区，创建文件夹支持写入只读分区根目录及子目录下的文件夹，写入文件支持写入只读分区根目录及子目录下的文件夹，删除文件夹支持删除只读分区根目录及子目录下的文件夹，删除文件支持删除只读分区根目录及子目录下的文件。
6.进一步的，使用fatfs文件系统进行文件管理，fatfs文件系统提供以下函数来实现底层物理磁盘的读写：初始化磁盘驱动器函数disk_initialize、获取磁盘状态函数disk_status、读扇区函数disk_read、写扇区函数disk_write、设备相关的控制特性函数disk_ioctl和获取当前时间函数get_fattime 。
7.进一步的，通过专用接口向只读分区写入操作的流程为：a、设备初始化，通过get_status接口获取只读分区扇区数、每个扇区的大小、文件
系统起始位置；b、挂载文件系统，为防止系统加载的磁盘文件系统与程序搭建的文件系统冲突，将分区对应的磁盘卸载，保证操作程序独占磁盘分区；c、文件解析，解析文件系统获取文件对应的起始扇区lba及数据长度；d、私有读写，在私有读阶段使用disk_read接口对文件指定扇区lba进行读取，在私有写阶段使用disk_write接口对文件指定扇区lba进行写入；e、卸载文件系统，文件写入后，进行卸载操作并同步磁盘。
8.进一步的，创建文件夹、删除文件、删除文件夹、格式化的操作流程同文件写入流程，均需要先卸载卷，在分别执行文件系统相关接口完成具体操作。
9.进一步的，只读分区包括公开区和安全区，公开区在默认状态下开启只读权限，安全区在默认状态下设置为不可读写，支持使用软件接口使得安全区可以被操作系统识别，安全区被操作系统识别后，具备显示和只读性能。
10.进一步的，存储系统还包括cdrom区，cdrom区用于存放u盘专用软件程序，cdrom为只读分区，木马病毒无法写入。
11.进一步的，存储系统还包括隐藏区，隐藏区不被操作系统识别，该区分为日志区和隐私数据区，日志区用于存放包括文件添加、删除在内的日志，隐私数据区用于存放私密数据。
12.进一步的，在隐藏区上搭建文件系统用于日志文件管理，日志区操作包括写日志、创建日志文件夹、删除日志或日志文件夹、格式化日志区；日志区首先通过初始化工作进线日志文件系统搭建，由管理软件进行文件系统挂载，使用fatfs文件系统相关接口进行文件管理，依据fatfs文件系统，其中disk_read、disk_write接口调用隐藏区读写接口hidden_read、hidden _write。
13.本发明的有益效果：本发明通过专用接口实现对只读区文件写入，文件写入后可被操作系统浏览查看，从而保证u盘分区的正常读写功能，避免出现不能写入的情况。本发明不仅能避免u盘导致的数据泄露、使u盘免遭病毒袭击，还能保证u盘在日常使用过程中正常读写功能。本发明达到保护数据安全的目的，可应用于高可靠和高保密性的应用环境中，在公安、税务、金融等信息安全领域有着广泛的应用前景。
附图说明
14.图1为移动存储系统结构框架图；图2为u盘分区图；图3为只读分区文件写入流程图；图4为系统逻辑结构图。
具体实施方式
15.下面结合附图和具体实施例对本发明作进一步的说明。
16.实施例1本实施例公开一种实现向只读分区写数据的安全加密存储系统，具体是一种安全u盘，在其他实施例中，本存储系统也可以是磁盘、移动硬盘等。
17.如图1所示，所述安全u盘硬盘主要由hx6802安全芯片以及主控支持的nandflash等组成。其中hx6802负责实现安全u盘与windows系统通信，完成数据读写、加解密等操作。hx6802芯片支持usb3.0高速接口，支持国密sm1、sm2、sm3、sm4等算法模块，并已通过国家商密检测，同时支持aes、sha1、rsa等国际通用加密算法。通过透明硬件加密及核心芯片密钥绑定技术，即使内部数据被提取，也保证仍是加密状态，无法使用。
18.如图2所示，本实施例所述安全u盘分为软件区（cdrom）、公开区、私密区和隐藏区。
19.软件区用于存放u盘专用软件程序，软件区为只读分区，木马病毒无法写入。
20.公开区为只读分区，在默认情况下开启只读权限（掉电仍保持该权限），操作系统可识别该区，读取区域内文件或执行区域内程序，不可通过操作系统接口（如资源管理器）写入、拷贝或更改文件。
21.安全区也是只读分区，在默认情况下设置为不可读写（掉电仍保持该权限），即默认情况下不可被操作系统识别。支持使用软件接口使得安全区可以被操作系统识别，安全区被操作系统识别后，具备显示和只读性能，成为只读分区。
22.隐藏区不被操作系统识别，只能通过专用操作软件api接口进行扇区访问。隐藏区分为日志区和隐私数据区，日志区用于存放包括文件添加、删除在内的日志，便于定期追踪，找出违规操作，隐私数据区用于存放私密数据，如账户信息等。
23.在隐藏区上搭建文件系统用于日志文件管理。日志区操作包括写日志、创建日志文件夹、删除日志或日志文件夹、格式化日志区；日志区首先通过初始化工作进线日志文件系统搭建，由管理软件进行文件系统挂载，使用fatfs文件系统相关接口进行文件管理，依据fatfs文件系统，其中disk_read、disk_write接口调用隐藏区读写接口hidden_read、hidden _write。
24.分区设置为写保护后，分区内文件可正常读取，无法删除、修改，保证数据无法被非法篡改和误删除。该分区写保护通过固件对指定lun（公开区、安全区）属性设置为写保护。操作系统写入数据时，固件判断当前分区属性为写保护属性，则返回写保护sense code码，不允许写入。
25.本实施例所述安全u盘的创新点在于：u盘只读分区的写权限不对操作系统开放，防止病毒入侵、文件误删除及被非法篡改；并通过专用软件搭建文件系统进行数据写入，保证u盘能够正常使用。
26.普通u盘的只读区，是操作系统上的一个实际分区，添加了“写保护”权限，就不能进行文件拷入。为保证u盘分区的正常读写功能，避免出现不能写入的情况，本实施例所述安全u盘通过专用接口实现对只读区文件写入，文件写入后可被操作系统浏览查看。只读区文件写入需要确定文件的起始扇区及写入数据长度，这就需要搭建一套文件系统进行文件管理。
27.本实施例使用fatfs文件系统进行文件管理，fatfs文件系统提供以下函数来实现底层物理磁盘的读写：初始化磁盘驱动器函数disk_initialize、获取磁盘状态函数disk_status、读扇区函数disk_read、写扇区函数disk_write、设备相关的控制特性函数disk_ioctl和获取当前时间函数get_fattime 。
28.所述文件管理包括创建文件夹、写入文件、删除文件夹、删除文件和格式化只读分区，具体的：
1）创建文件夹：支持写入只读区根目录及子目录下的文件夹。
29.2）写入文件：支持写入只读区根目录及子目录下的文件。
30.3）删除文件夹：支持删除只读区根目录及子目录下的文件夹。
31.4）删除文件：支持删除只读区根目录及子目录下的文件。
32.5）格式化：只读区支持fat32、exfat两种格式化选项。
33.本实施例重点介绍通过只读区私有读写接口实现的只读区文件写入功能，如图3所示，通过专用接口向只读分区写入操作的流程为：a、设备初始化，通过get_status接口获取只读分区扇区数、每个扇区的大小、文件系统起始位置；b、挂载文件系统，为防止系统加载的磁盘文件系统与程序搭建的文件系统冲突，将分区对应的磁盘卸载，保证操作程序独占磁盘分区；c、文件解析，解析文件系统获取文件对应的起始扇区lba及数据长度；d、私有读写，在私有读阶段使用disk_read接口对文件指定扇区lba进行读取，在私有写阶段使用disk_write接口对文件指定扇区lba进行写入；e、卸载文件系统，文件写入后，进行卸载操作并同步磁盘。
34.创建文件夹、删除文件、删除文件夹、格式化的操作流程同文件写入流程，均需要先卸载卷，在分别执行文件系统相关接口完成具体操作。
35.如图4所示，从逻辑上说，系统包括顶层、中间层和底层，顶层是应用层，日志区、只读区，调用文件系统模块提供的一系列应用接口函数完成用户界面、日志读写、只读区文件写入操作。中间层文件系统模块，实现了fat/exfat文件读/写协议，提供文件系统功能。支持文件列表，支持文件读取、写入、添加、删除操作。底层是usb
‑
scsi接口，日志区使用u盘基于扇区的读写接口hidden_read、hidden_write；只读区使用u盘基于扇区的读写接口ro_read、ro_write。
36.普通u盘的只读区，是操作系统上的一个实际分区，添加了写保护权限，就不能进行文件拷入。为保证u盘分区的正常读写功能，避免出现不能写入的情况，通过本实施例设计的u盘方案通过专用接口实现对只读区文件写入，文件写入后可被操作系统浏览查看，保证u盘能够正常使用。
37.以上描述的仅是本发明的基本原理和优选实施例，本领域技术人员根据本发明做出的改进和替换，属于本发明的保护范围。