一種用于防止數據泄密的辦公系統的制作方法

專利名稱：一種用于防止數據泄密的辦公系統的制作方法
技術領域：
本發明涉及一種用于防止數據泄密的辦公系統，屬于安全存儲應用領域。
背景技術：
目前，USB存儲設備是目前應用最廣泛的移動存儲設備，包括U盤和移動硬盤等。 越來越多的企事業單位使用USB存儲設備作為日常交換信息的工具，在使用過程中，存在 兩方面的風險一方面，企事業單位內部計算機上存儲的重要業務數據和內部信息，有可能 通過USB端口外泄；另一方面，USB存儲設備上的類似信息，在設備丟失的情況下，也有可能 外泄。這些數據一旦外泄，將會對企業或個人造成重大的損失。因此，數據安全已經成為信 息安全中主要的一個環節。利用USB數據流加解密技術，可同時保護內部計算機和USB存 儲設備上的重要數據。目前對于USB數據保護，通常有硬件和軟件等技術來實現數據的加密存儲。(1)很多USB存儲設備廠商推出了帶加密功能的USB存儲設備，此類設備在使用 前，需校驗預設的密碼，密碼校驗通過，才能正常使用設備。這種方式可有效的保護移動存 儲設備上的數據，但無法保護計算機上的數據。(1)軟件實現的USB存儲設備數據防泄密系統。這種方式由一個安裝了證書管理 軟件的服務器，多個安裝了客戶端軟件的內部網絡主機一一客戶端，以及多個由普通USB 存儲設備經過證書服務器的初始化處理后的安全USB存儲設備所組成。使用時在網絡服 務器和內閣主機中分別安裝證書管理軟件和客戶端軟件，在證書服務器對USB存儲設備執 行安全初始化，將已初始化的安全USB存儲發放給內部用戶使用，這種方式，安全管理和數 據加解密全部采用軟件實現。一方面，在安全性上，服務器和客戶端軟件，都存在被破解的可能，只要一個軟件 被破解，都會導致數據外泄；另一方面，此方案中，USB數據加解密通過內部計算機軟件實 現，必然導致USB傳輸效率降低，影響傳輸速度，且會占用內部計算機大量資源。

發明內容
本發明目的是提供一種用于防止數據泄密的辦公系統，該辦公系統可任意設置工 作域，方便了權限管理效率，且有效避免了工作域內數據的外泄。為達到上述目的，本發明采用的技術方案是
一種用于防止數據泄密的辦公系統，包括由若干臺計算機組成的局域網和移動存儲 設備，其特征在于還包括一 USB加解密橋接器和USB密鑰設備；
所述USB加解密橋接器一端與所述計算機主板上的南橋芯片連接，其另一端作為外露 USB存儲設備的主接口 ；此USB加解密橋接器進一步包括
第一 USB從接口模塊，與計算機南橋相連，用于與所述計算機之間通過USB總線進行數 據傳輸；
USB主接口模塊，用于與所述USB存儲設備之間通過USB總線進行數據和來自所述USB密鑰設備的第二識別碼傳輸，或者與所述移動存儲設備傳輸數據；
數據存儲區，位于所述USB主接口模塊和USB從接口模塊之間，用于存儲來自所述第一 USB主接口模塊和USB從接口模塊的數據；
第一加解密模塊，與所述數據存儲區連接，當計算機接受來自所述移動存儲設備的數 據時，采用接收的密鑰對來自所述USB主接口模塊的數據進行解密處理；當計算機向所述 移動存儲設備發送數據時，采用接收的密鑰對來自所述USB從接口模塊的數據進行加密處 理；
第一閃存存儲模塊，用于存儲加解密算法的公鑰和私鑰對以及設置的第一識別碼，此 公鑰和私鑰用于計算機與USB密鑰設備之間傳輸數據的加解密；
USB數據傳輸管理模塊，連接到所述第一 USB主接口模塊、USB從接口模塊和第一加解 密模塊，當來自所述USB密鑰設備的第二識別碼與所述第一識別碼相等時，則接收來自所 述USB密鑰設備的密鑰，調度USB主接口模塊內數據，USB從接口模塊內數據和加解密模塊 內數據之間的數據交互；否則，禁止與所述移動存儲設備進行數據傳輸； 所述USB密鑰設備進一步包括
第二 USB接口模塊，用于與所述USB加解密橋接器的USB主接口模塊連接，用于與所述 USB加解密橋接器之間通過USB總線進行數據和第二識別碼傳輸；
第二加解密模塊，采用公鑰對所述密鑰進行加密，同時采用私鑰對來自所述USB加解 密橋接器的數據進行解密；
第二閃存存儲模塊，用于保存所述密鑰和所述第二識別碼。上述技術方案中的有關內容解釋如下
1、上述方案中，所述第一加解密模塊進一步包括
第一非對稱算法RSA模塊，用于USB加解密橋接器與USB密鑰設備通信時對數據進行 處理；
第一對稱算法模塊，此對稱算法模塊內存儲SMl或SM4或3DES算法。第一真隨機數模塊，用于產生所述非對稱算法RSA模塊需要的隨機數。2、上述方案中，所述第二加解密模塊進一步包括
第二非對稱算法RSA模塊，用于USB加解密橋接器與USB密鑰設備通信時對數據進行 處理；
第二對稱算法模塊，此對稱算法模塊內存儲SMl或SM4或3DES算法。第二真隨機數模塊，用于產生所述非對稱算法RSA模塊需要的隨機數。由于上述技術方案運用，本發明與現有技術相比具有下列優點和效果
本發明提出了一種全新的，基于硬件設備的USB端口數據防泄密系統。整個系統應 用靈活，并且在安全性上，具有極大的優勢。此方案中，權限管理和USB數據流加解密使用 硬件實現，在硬件不被破壞的前提下，可以確保其安全性，并且幾乎不影響USB數據傳輸效 率，不占用計算機任何資源。在確保安全性的前提下，本發明具有良好的兼容性，計算機方 面，能支持目前市場上所有USB2. 0接口的計算機；而移動存儲設備方面，能夠支持各個品 牌的U盤或移動硬盤。


附圖1為本發明系統結構示意附圖2為本發明USB加解密橋接器結構示意圖； 附圖3為本發明USB密鑰設備結構示意圖。
具體實施例方式下面結合附圖及實施例對本發明作進一步描述
實施例一種用于防止數據泄密的辦公系統，包括由若干臺計算機組成的局域網和 移動存儲設備，一 USB加解密橋接器和USB密鑰設備；
所述USB加解密橋接器一端與所述計算機主板上的南橋芯片連接，其另一端作為外露 USB存儲設備的主接口 ；此USB加解密橋接器進一步包括
第一 USB主接口模塊USB Device 1，與計算機南橋相連，用于與所述計算機之間通過 USB總線進行數據傳輸；
USB從接口模塊USB Host，用于與所述USB存儲設備之間通過USB總線進行數據和來 自所述USB密鑰設備的第二識別碼傳輸，或者與所述移動存儲設備傳輸數據；
數據存儲區，位于所述USB主接口模塊USB Device和USB從接口模塊USB Host之間， 用于存儲來自所述第一 USB主接口模塊和USB從接口模塊的數據；
第一加解密模塊，與所述數據存儲區連接，當計算機接受來自所述移動存儲設備的數 據時，采用接收的密鑰對來自所述USB從接口模塊USB Host的數據進行解密處理；當計 算機向所述移動存儲設備發送數據時，采用接收的密鑰對來自所述USB主接口模塊USB Device的數據進行加密處理；
第一閃存存儲模塊FLASH，用于存儲加解密算法的公鑰和私鑰對以及設置的第一識別 碼，此公鑰和私鑰用于計算機與USB密鑰設備之間傳輸數據的加解密；
USB數據傳輸管理模塊，連接到所述第一 USB主接口模塊USB Device 1、USB從接口模 塊USB Host和第一加解密模塊，當來自所述USB密鑰設備的第二識別碼與所述第一識別碼 相等時，則接收來自所述USB密鑰設備的密鑰，調度USB主接口模塊USB Device內數據，USB 從接口模塊USB Host內數據和加解密模塊內數據之間的數據交互；否則，禁止與所述移動 存儲設備進行數據傳輸；
所述USB密鑰設備進一步包括
第二 USB主接口模塊，用于與所述USB加解密橋接器的USB從接口模塊USB Host連接， 用于與所述USB加解密橋接器之間通過USB總線進行數據和第二識別碼傳輸；
第二加解密模塊，采用公鑰對所述密鑰進行加密，同時采用私鑰對來自所述USB加解 密橋接器的數據進行解密；
第二閃存存儲模塊FLASH，用于保存所述密鑰和所述第二識別碼。上述第一加解密模塊進一步包括
第一非對稱算法RSA模塊，用于USB加解密橋接器與USB密鑰設備通信時對數據進行 處理；
第一對稱算法模塊，此對稱算法模塊內存儲SMl或SM4或3DES算法。第一真隨機數模塊，用于產生所述非對稱算法RSA模塊需要的隨機數。
上述第二加解密模塊進一步包括
第二非對稱算法RSA模塊，用于USB加解密橋接器與USB密鑰設備通信時對數據進行 處理；
第二對稱算法模塊，此對稱算法模塊內存儲SMl或SM4或3DES算法。第二真隨機數模塊，用于產生所述非對稱算法RSA模塊需要的隨機數。本實施例上述內容具體工作過程如下。上述辦公系統包括下述部件
一個用于管理控制的USB密鑰設備，USB密鑰設備是表現為對外人機接口的USB設備， 存儲著一個通過隨機數產生的密鑰，該密鑰為若干USB加解密橋接器的授權密鑰。USB密鑰 設備用于初始化USB加解密橋接器，并管理加解密設備的使用。多個客戶端，它是安裝了 USB加解密橋接器的內部計算機，用于對USB存儲設備的 讀寫操作進行透明加解密處理，同時實現對USB存儲設備的使用控制。客戶端使用前，必須由USB密鑰設備進行初始化。初始化過程中，USB加解密橋接 器將獲取USB密鑰設備上的密鑰和密鑰設備的唯一 ID，并保存。若干客戶端可組成一個工作組，工作組由唯一 USB密鑰設備管理，同一工作組中 的客戶端之間，可以通過USB存儲設備互相傳遞數據。USB加解密橋接器具有具體解釋如下
(1)在使用過程中，USB加解密橋接器介于計算機南橋芯片和USB存儲設備之間 ，在USB數據傳輸過程中起到橋接的作用。(2)USB加解密橋接器只能識別USB密鑰設備和移動存儲設備，不支持其他類型的 USB設備。(3) USB加解密橋接器功能受USB密鑰設備控制，加解密所使用的密鑰，由USB密 鑰設備提供。(4) USB加解密橋接器與USB密鑰設備通信時，采用USB私有命令，對敏感數據采 用RSA非對稱數字信封和SM4對稱加解密兩種疊加的方式，具有強大的安全性。(5 ) USB加解密橋接器的USB端口，支持USB2. 0和USB1. 1協議，遵循Mass Storage設備類規范，bulk only協議，以及SCSI協議。(6)加解密過程對計算機用戶透明。(7)效率高，速度快，采用SMl算法，在USB存儲設備速度達到30MB/S以上，大文件 數據傳輸時，加解密讀寫速度可到25MB/S以上。(8)在數據傳輸過程中，USB數據接收、USB數據發送和數據加解密同時進行，最大 程度上保證了數據傳輸效率。(9)對計算機用戶來說，加解密過程是透明的，不影響任何操作。加解密設備由密 鑰設備來控制，無需改變計算機任何配置，方便靈活。USB密鑰設備具有以下特征
(1) 一個USB密鑰設備管理一個工作組，工作組由若干客戶端即計算機組成，USB密鑰 設備通過設置客戶端上的USB加解密橋接器功能，來實現對工作組的管理。一個工作組對 應一個USB密鑰設備。(2)USB密鑰設備只有與USB加解密橋接器配合才能使用，將USB密鑰設備插入普通USB主機，沒有任何效果。(3) USB密鑰設備與USB加解密橋接器之間通信，遵循USB2. 0協議，遵循Mass Storage設備類規范，bulk only協議，以及SCSI協議。采用私有命令方式，對敏感數據采 用RSA非對稱數字信封和SM4對稱加解密兩種疊加的方式，具有強大的安全性。(4)每個USB密鑰設備都具有唯一的第二識別碼ID2，此第二識別碼ID2長度為 32bit，在設備生產過程中生成，采用時間標定的方式，確保其唯一性，第二識別碼ID2保存 在USB密鑰設備的第二閃存存儲模塊FLASH2內。(5) USB密鑰設備采用真隨機數模塊產生密鑰，密鑰保存在第二閃存存儲模塊 FLASH2內。此密鑰供USB加解密橋接器作為數據加解密密鑰使用。(6)USB密鑰設備有四個按鍵，對應可以與USB加解密橋接器配合，進行四種操作 A:關閉USB加解密橋接器，此時USB加解密橋接器對插入的USB存儲設備無響應。B:以非加解密模式，打開USB加解密橋接器，此時USB加解密橋接器與計算機普 通USB端口具有一樣的功能。C:以加解密模式，打開USB加解密橋接器，此時USB加解密橋接器具有加解密的 功能，對所傳輸的數據會進行加密或者解密的操作。D:變更USB密鑰設備上的密鑰，USB密鑰設備將通過真隨機數發生器，產生新的 密鑰，并保存到FLASH中。(7) USB密鑰設備有四個指示燈，對應四個按鍵，表示對應按鍵的操作是否正確完成。工作方法
基于USB密鑰設備、USB加解密橋接器的數據防泄密系統的使用方法， 包括下列步驟
(1)若干安裝好USB加解密橋接器的客戶端、一個USB密鑰設備和移動存儲設備組成 一個工作域。USB加解密橋接器在初始狀態下，USB主機端口是關閉的，因此此時工作域內 USB端口不可用。(2)通過連接USB密鑰設備和某一客戶端的USB加解密橋接器，通過USB密鑰設 備按鍵選擇“打開USB加解密橋接器，以加解密方式”，等待設置完成。(3)采用相同方式，配置所有客戶端。(4)把移動存儲設備插入客戶端的USB從接口模塊，此時移動存儲設備無法正常 使用，需格式化該移動存儲設備，成功后可使用該移動存儲設備傳遞數據。(5)正常使用過程中，數據從客戶端拷貝到移動存儲設備，會經過USB加解密橋 接器的加密，數據以密文形式存儲在移動存儲設備上。(6)正常使用過程中，數據從移動存儲設備拷貝到客戶端，會經過USB加解密橋 接器的解密，數據以明文形式存儲在客戶端硬盤上。(7)同一 USB密鑰設備管理的客戶端，具有相同的加解密密鑰，可互相之間拷貝 數據；此密鑰可隨時更改，使用USB密鑰設備的“變更密鑰”功能，首先變更USB密鑰設備 存儲的密鑰，后通過“以加解密方式，打開橋接設備”這個功能，把新的密鑰同步到每個客戶端。 (8)添加一個客戶端到工作域，使用USB密鑰設備，對一個安裝好USB加解密橋接 器的客戶端進行配置，通過“以加解密方式，打開橋接設備”這個功能，把加解密密鑰和USB密鑰設備的ID同步到客戶端即可。(9)特殊情況之下，可設置客戶端拷貝明文數據到存儲設備，使用USB密鑰設備 的“以非加解密方式，打開橋接設備”功能，配置某個客戶端對拷貝數據不進行加解密，這 種情況下，數據從客戶端拷貝到移動存儲設備，不進行加密，移動存儲設備存儲的是數據明 文，在任何一臺普通計算機上都還可以正確讀取。(10)特殊情況之下，可關閉客戶端的USB端口，使用USB密鑰設備的“關閉橋接設 備”功能即可實現。USB加解密橋接器說明
USB主接口模塊USB Host USB主機功能模塊，支持USB1. 1和USB2. 0協議，可通過 USB主接口模塊USB Host接收數據，或通過Host端口發送FIFO內的數據。USB加解密橋 接器的主機接口只能識別USB密鑰設備和移動存儲設備，并且主機接口受USB密鑰設備的 控制。加解密橋接芯片USB Host接口外露在計算機外殼外部，作為外部USB存儲設備的主 接口。主機接口負責與移動存儲設備和USB密鑰設備進行通信。第一 USB從接口模塊USB Devl USB設備功能模塊，支持USB1. 1和USB2. 0協議， 可通過Device端口接收，或通過第一 USB主接口模塊USB Devl發送的數據。USB加解密橋 接器的第一 USB從接口模塊USB Devl與計算機南橋相連，負責與計算機之間通過USB總線 進行通信。第一閃存存儲模塊FLASHl 存儲模塊負責保存相關信息，包括USB密鑰設備的ID、 數據加解密使用的密鑰以及USB加解密橋接器當前功能狀態。對稱加解密模塊包括SM1、SM4和DES等，主要作用是對傳輸的USB數據進行加解 密，以及在USB加解密橋接器與USB密鑰設備進行通信時，對數字信封的公鑰進行加解密。(5)非對稱加解密RSA模塊非對稱RSA模塊，在USB加解密橋接器與USB密鑰設 備通信時，用來對敏感數據進行加解密，敏感數據包括加解密密鑰和USB密鑰設備的識別 碼ID等。采用數字信封方式。數字信封技術是安全通訊領域一種常用技術，用于發起方(A)、響應方(B)雙方的 重要信息交換，可以保證通訊數據一次一鑰。( 1 )，A隨機生成非對稱公私鑰對。(2)，A方將公鑰發送給B方。(3)，B方用A方的公鑰將B方需要傳輸的數據加密。(4)，B方將加密后的數據發送回A方。(5)，A方用私鑰解密B方發送回的數據。(6)，解密數據即為B方明文。采用10 位RSA加解密算法。(6)真隨機數模塊
USB加解密橋接器包含一個硬件真隨機數發生器，能夠產生真隨機數，用來生成RSA算 法所需要的隨機數據。(7) USB數據傳輸管理模塊
USB數據傳輸管理模塊負責客戶端與移動存儲設備數據交互管理，負責調度USB加解 密橋接器的USB Host模塊、USB Device模塊和加解密模塊。
把從客戶端USB主機收到的命令通過加解密橋接設備USB主機轉發給移動存儲 設備。往移動存儲設備寫數據時，把從客戶端收到的數據經過加密后轉發給移動存儲設 備。從移動存儲設備讀取數據時，把從移動存儲設備讀出的數據解密后轉發給客戶端。從移動存儲設備讀取狀態時，把從移動存儲設備讀出的狀態直接轉發給客戶端。(8) USB加解密橋接器功能管理模塊
此模塊負責與USB密鑰設備進行交互，配置USB加解密橋接器的功能。USB加解密橋接 器與USB密鑰設備之間，通信遵循USB2. 0協議，使用私有SCSI命令進行交互。過程如下 (1)，USB密鑰設備插入客戶端后，USB加解密橋接器對其進行枚舉，并識別到設備是密 鑰設備。(2)，USB加解密橋接器通過私有SCSI命令讀取密鑰設備的ID，并判斷此ID是否 有效，如果有效，則繼續工作，否則彈出密鑰設備。(3)，加解密橋接設備查詢密鑰設備是否有按鍵按下，如果有，則執行對應功能，并 在執行完畢后，反饋狀態信息到密鑰設備。USB加解密橋接器與USB密鑰設備之間通信采用數字信封方式，基于IOM位RSA 非對稱加解算法，并對非對稱算法的公鑰，采用DES對稱加解密算法進行加解密。USB加解密橋接器是集成在客戶端上特定的USB2. 0高速主機端口，內置國芯安全 MCU，可以將Mass Storage設備類的數據流進行加解密，該端口只能枚舉Mass Storage類 設備。在工作過程中，USB加解密橋接器介于計算機USB主機和移動存儲設備之間。對 于客戶端的用戶來說，USB加解密橋接器是透明的，在平時操作中，加解密過程是用戶不可 見的。支持USB主機接口、USB密鑰設備接口和對應協議棧。支持USB2. 0高速協議，支 持Mass Storage Bulk only協議。USB主機借口只支持Mass Morage設備類規范。其他 類型設備，主機將不能完成枚舉和初始化過程。USB加解密橋接器使用SMl對稱算法將USB Mass Stoage設備通訊中的SCSI命令 中的DATA部分加密或解密。支持通過USB密鑰設備更新SMl加密密鑰。與USB密鑰設備 通訊協議為Mass Moage協議，通過私有SCSI命令。與USB密鑰設備的數據傳輸使用數字 信封技術，加密方式為RSA (采用1024bit密鑰)。USB加解密橋接器采用SMl算法，在硬盤的速度達到30MB/S以上大文件數據傳輸 時，USB加解密橋接器的USB主機和設備端口的數據收發速度可達到25MB/S。USB密鑰設備說明 (1) USB Dev
USB設備功能模塊，支持USB1. 1和USB2. 0協議，可通過第二 USB從接口模塊即Device 端口接收數據，或通過第二 USB從接口模塊即Device端口發送數據。USB密鑰設備的 Device端口與USB加解密橋接器的USB主接口模塊相連，負責與USB加解密橋接器之間通 過USB總線進行通信。
(2)第二閃存存儲模塊FLASH2
第二閃存存儲模塊FLASH2負責保存相關信息，USB密鑰設備生成過程中，會生成USB密 鑰設備的第二識別碼ID2，此第二識別碼ID2具有唯一性，每個設備都不同，采用時間標定 的方式，此第二識別碼ID2在生成過程中，保存到第二閃存存儲模塊FLASH2中；數據加解密 使用的密鑰在USB密鑰設備第一次上電時，通過真隨機數自動生成，并保存在第二閃存存 儲模塊FLASH2中。(3)對稱加解密模塊
DES對稱加解密算法，主要作用是在USB加解密橋接器與USB密鑰設備進行通信時，對 數字信封的公鑰進行加解密。(4)非對稱加解密RSA模塊
非對稱RSA模塊，在USB加解密橋接器與USB密鑰設備通信時，用來對敏感數據進行加 解密，敏感數據包括加解密密鑰和USB密鑰設備的第二識別碼ID2等。采用數字信封方式。(5)第二真隨機數模塊
USB密鑰設備包含一個硬件真隨機數發生器，能夠產生真隨機數，用來生成RSA算法所 需要的隨機數據。(6) USB加解密橋接器功能管理模塊
此模塊負責與USB加解密橋接器進行交互，配置USB加解密橋接器的功能。USB加解密 橋接器與USB密鑰設備之間，通信遵循USB2. 0協議，使用私有SCSI命令進行交互。USB加解密橋接器功能管理模塊，加解密設備具有以下幾個可配置功能USB加解 密橋接器關閉、USB加解密橋接器以非加密方式打開、USB加解密橋接器以加密方式打開和 變更加解密設備的密鑰。以上功能配置，必須與USB加解密橋接器配合實現。(7)按鍵和 LED
USB密鑰設備有四個按鍵，以及與之配套的LED狀態顯示燈。四個按鍵可以選擇是進行何種操作。同時有4個指示燈指示操作是否成功。
權利要求
1.一種用于防止數據泄密的辦公系統，包括由若干臺計算機組成的局域網和移動存 儲設備，其特征在于還包括一 USB加解密橋接器和USB密鑰設備；所述USB加解密橋接器一端與所述計算機主板上的南橋芯片連接，其另一端作為外露 USB存儲設備的主接口 ；此USB加解密橋接器進一步包括第一 USB從接口模塊，與計算機南橋相連，用于與所述計算機之間通過USB總線進行數 據傳輸；USB主接口模塊，用于與所述USB存儲設備之間通過USB總線進行數據和來自所述USB 密鑰設備的第二識別碼傳輸，或者與所述移動存儲設備傳輸數據；數據存儲區，位于所述USB從接口模塊(USB Device)和USB主接口模塊(USB Host)之 間，用于存儲來自所述第一 USB主接口模塊和USB從接口模塊的數據；第一加解密模塊，與所述數據存儲區連接，當計算機接收來自所述移動存儲設備的數 據時，采用接收的密鑰對來自所述USB主接口模塊(USB Host)的數據進行解密處理；當計 算機向所述移動存儲設備發送數據時，采用接收的密鑰對來自所述USB從接口模塊(USB Device)的數據進行加密處理；第一閃存存儲模塊(FLASH)，用于存儲加解密算法的公鑰和私鑰對以及設置的第一識 別碼，此公鑰和私鑰用于計算機與USB密鑰設備之間傳輸數據的加解密；USB數據傳輸管理模塊，連接到所述第一 USB從接口模塊(USB Device 1)、USB主接口 模塊(USB Host)和第一加解密模塊，當來自所述USB密鑰設備的第二識別碼與所述第一識 別碼相等時，則接收來自所述USB密鑰設備的密鑰，調度USB從接口模塊(USB Device)內 數據，USB主接口模塊(USB Host)內數據和加解密模塊內數據之間的數據交互；否則，禁止 與所述移動存儲設備進行數據傳輸； 所述USB密鑰設備進一步包括第二 USB從接口模塊，用于與所述USB加解密橋接器的USB主接口模塊(USB Host)連 接，用于與所述USB加解密橋接器之間通過USB總線進行數據和第二識別碼傳輸；第二加解密模塊，采用公鑰對所述密鑰進行加密，同時采用私鑰對來自所述USB加解 密橋接器的數據進行解密；第二閃存存儲模塊(FLASH)，用于保存所述密鑰和所述第二識別碼； 根據權利要求1所述的辦公系統，其特征在于所述第一加解密模塊進一步包括 第一非對稱算法RSA模塊，用于USB加解密橋接器與USB密鑰設備通信時對數據進行 處理；第一對稱算法模塊，此對稱算法模塊內存儲SMl或SM4或3DES算法。
2.第一真隨機數模塊，用于產生所述非對稱算法RSA模塊需要的隨機數。
3.根據權利要求1所述的辦公系統，其特征在于所述第二加解密模塊進一步包括 第二非對稱算法RSA模塊，用于USB加解密橋接器與USB密鑰設備通信時對數據進行處理；第二對稱算法模塊，此對稱算法模塊內存儲SMl或SM4或3DES算法； 第二真隨機數模塊，用于產生所述非對稱算法RSA模塊需要的隨機數。
全文摘要
一種用于防止數據泄密的辦公系統，包括由若干臺計算機組成的局域網和移動存儲設備，一USB加解密橋接器和USB密鑰設備；所述USB加解密橋接器一端與所述計算機主板上的南橋芯片連接，其另一端作為外露USB存儲設備的主接口；此USB加解密橋接器進一步包括第一USB從接口模塊，與計算機南橋相連；USB主接口模塊；數據存儲區；第一加解密模塊；第一閃存存儲模塊；USB數據傳輸管理模塊；所述USB密鑰設備進一步包括第二USB從接口模塊；第二加解密模塊；第二閃存存儲模塊。本發明辦公系統可任意設置工作域，方便了權限管理效率，且有效避免了工作域內數據的外泄。
文檔編號H04L29/06GK102081713SQ201110020320
公開日2011年6月1日 申請日期2011年1月18日 優先權日2011年1月18日
發明者匡啟和, 尤國芳, 王廷平, 肖佐楠, 鄭茳 申請人:蘇州國芯科技有限公司