用无线认证终端授权认证及加解密的安全U盘设计方法

摘要

本发明涉及一种用无线认证终端授权认证及加解密的安全U盘设计方法。它包含安全U盘（1）、无线认证终端（2）。其中，安全U盘（1）又包含：无线模块（1.1）、安全控制模块（1.2）、加解密模块（1.3）、文件名及目录认证授权模块（1.4）、USBPHY（1.5）、U盘控制模块（1.6）、存储芯片（1.7）；无线认证终端（2）包含无线终端（2.1）和安全软件（2.2）。通过无线认证终端（2）上的安全软件（2.2），实现在电脑访问安全U盘（1）时的许可状态设定、文件名及目录的查找、显示、加解密、认证授权以及安全U盘（1）中的文件内容加解密，实现利用安全U盘（1）和无线认证终端（2）之间的数据及文件的备份和/或加密备份，实现安全U盘（1）反破解密码、文件自毁、文件定时自毁等安全保护的9项新功能。

说明书

技术领域

本发明涉及信息技术领域，具体涉及安全移动存储产品的细分领域，特别是涉及用无线认证终端认证终端授权认证及加解密的安全U盘设计方法。

背景技术

目前，U盘作为一种移动存储已经非常普及。从技术层面看，U盘对于USB技术而言，它是一种Device端，而不是Host端。USB标准定义工作是由Host端主动发起， Device端被动接受，Host端为主，Device端为从。虽然OTG技术支持没有Host时的USB Device之间应用，但是，终究没有改变U盘是被动的Device的现状——U盘不能自己主动发出复杂工作请求。从标准上看，USB3.0标准的传输速度已经达到了5Gbps，存储容量已经超过256G；从产品层面上看，构成U盘的元器件已经高度集成化了，目前的集成电路的SoC技术，已经实现了高度集成化，全部控制功能采用单芯片解决方案；从市场层面看，仅仅国内，U盘的年销售数量已经数以亿计；从价格层面看，廉价的U盘价格仅为几十元；从应用层面看，几乎涉及到了从个人到企事业单位、军队、政府的各个方面。然而，随着U盘应用的普及和技术的发展，对于它的安全性保密性要求，也逐渐越发重要，安全技术已经开始提上议事日程，并且已经有了很大的发展。以下是比较新颖的典型的U盘安全技术，它们是：

1、以200820062471.5、200910135802.2、201220645938.5等为代表的专利公开了一种设计，其核心是将U盘分成保密区和非保密区，把敏感文件存放在保密区，把非敏感文件存放到非保密区，对于保密区的访问，需要在访问电脑（3）上安装解密软件，运行这个解密软件，输入密码访问。该项设计的缺陷是解密软件需要安装到电脑上，既不方便（当着别人的面操作）又不安全（解密软件本身流失后是可以被破解的）。

2、以200910030684.9 、201010556547.1、201220645938.5等为代表的专利公开了一种设计，其核心是采用专用的加解密芯片，对文件内容进行加解密，采用数字证书来认证，同时具备文件自毁功能。该项设计的缺陷是解密软件需要安装到电脑上，不便之处与上述相同。

3、以200710034214.0、201210002625.2等为代表的专利公开了一种设计，其核心是文件经过指纹加密，以确保其安全性。这项设计的缺陷是该U盘只能够由主人使用，其它人皆无法使用，同时，该指纹认证是一次性的，通过认证后，U盘上全部文件都完成了解密，无法对U盘中文件实现逐一认证授权。

4、发明专利201210434124.1公开了一种移动存储设备和身份认证方法，该方法与本专利相比，不同之处有：A、该方法是由U盘主动搜寻手机，并且在U盘上分保密区和非保密区，不能够对非保密区的文件进行认证，非授权这仍然可以读取及复制非保密区文件；B、该方法并未提供对于U盘上文件名及目录在手机上的显示，不方便操作者的使用；C、该方法不能实现对于从电脑上复制文件时对文件加密，也不支持从U盘读出文件时的解密；D、该方法不支持文件自毁。

5、发明专利申请201210350416.7公开了一种基于无线U盘和电脑之间采用无线访问的方法，并且访问时数据传输是加密的，它的主要功能是取代USB的物理直接电连接，而用电脑和U盘上的无线电连接。

对于上述技术的分析，发明人认为，在综合考虑到U盘丢失、别人借用U盘复制文件的情况下，现有技术仍然不够支撑安全。为了使得U盘更加安全，正对U盘属于被动的Device1端设备的困境，发明人提出的核心创新是“让U盘可以改变自己——CMS：Change myself. ”，CMS技术可以使Device端能够改变自己，使得U盘可以自主工作，可以主动改变自己。本发明的CMS技术实现的方式是用无线认证终端授权认证及加解密的安全U盘设计方法，用这个方法，可以实现本发明的目，同时解决以下9个问题，产生新的安全功能：

1、无线认证终端（第三方设备）认证授权操控安全U盘。

如果把安全U盘本身称为第一方，所接入的访问电脑称为第二方，当主人把安全U盘借给朋友的时候，电脑前坐的不是主人，主人不方便当着朋友的面在这台电脑上直接操作授权，最好是在另外一台设备（例如主人的手机）上进行授权操作，这就是所谓第三方设备——无线认证终端——完成访问授权及加解密控制。

无线认证终端能够识别并初始化安全U盘、设定其安全状态（至少）、查询显示安全U盘上的全部文件及目录、为安全U盘进行访问授权、设定文件加密方式等。

2、未授权U盘不可识别。

这种授权方式是U盘插入电脑后，安全U盘不被电脑识别，此时电脑无法对安全U盘进行任何操作，此时，即便该安全U盘丢失，也不会造成文件泄露。

3、未授权文件隐藏及不可访问。

这种授权方式是安全U盘插入电脑后，安全U盘可以被电脑识别，电脑也可以往安全U盘写入文件，但是此时安全U盘中原先存在的文件和目录全部隐藏，电脑是无法查看得到。也就是说该安全U盘接上电脑后，如果没有主人的授权，将无法看到或者复制安全U盘中的任何文件，此时，即便该U盘丢失，也不会造成文件泄露。

4、支持文件逐个/批量授权。

无线认证终端查询显示安全U盘上的全部文件及目录，安全U盘系统允许主人设置为所存储文件可以逐一或者批量授权访问，例如，哪些文件可以给别人看以及复制，哪些不可以让别人看以及复制。

5、支持文件分配表加密。

设定文件分配表加密是为了防止初级黑客的破解，设定多种加密方式，让黑客难以破解和找到文件分配表。

6、访问授权控制本身具有高强度安全性和保密能力。

访问授权控制本身采用高强度保密，高抗破解，保密可以与无线认证终端的特性相关联，可以设置访问密码，可以设置相关加解密算法。

7、支持文件以加密方式存储。

对于特别需要保密的文件，可以采用加密存储，这样，即便别人攻破了访问认证授权控制这一关，或者拆解下安全U盘的存储芯片，找到的文件，没有密钥也是无法解密的。采用规范的加解密方式，让文件加密存储，这是为了防止终极黑客的破解，加密算法有多种可供选择。

8、支持文件自毁保护。

当安全U盘落入到别人手里，当他采用暴力穷举法破解密码时，试探密码达到一定的次数后，系统就启动自毁程序，彻底破坏安全U盘中的文件。

9、支持U盘与无线认证终端之间文件复制。

当主人需要时，可以将无线认证终端（如手机）中存储的文件及数据通过无线传送，复制到安全U盘中，同时还可以选择加密，也可以从安全U盘中将文件及数据复制到无线终端并且解密。

发明内容

本发明的目的在于克服上述不足，提供一种用无线认证终端授权认证及加解密的安全U盘设计方法，实现包含但不限于以下9种主要功能：1、无线认证终端（第三方设备）认证授权操控安全U盘；2、未授权U盘不可识别；3、未授权文件隐藏及不可访问；4、支持文件逐个/批量授权；5、支持文件分配表加密；6、访问授权控制本身具有高强度安全性和保密能力；7、支持文件以加密方式存储；8、支持文件自毁保护；9、支持U盘与无线认证终端之间文件复制。

本发明的目的是这样实现的：一种用无线认证终端授权认证及加解密的安全U盘设计方法，主要由安全U盘和无线认证终端构成，其中，安全U盘中包含但不限于无线通信、安全加解密功能，与无线认证终端通信，无线认证终端具有安全软件，使得无线认证终端实现对于安全U盘的各项认证授权及加解密安全功能。

具体的，在所述安全U盘中包含并不限于：无线模块、USB PHY、 U盘控制模块、存储芯片、安全控制模块、文件名及目录认证授权模块，还可以包含加解密模块，无线认证终端中包含无线终端、安全软件。

在这里，需要特别说明的是，由于集成电路SoC技术的发展，USB PHY和U盘控制模块通常可以设计在一个芯片上，成为一个物理上的电路及逻辑模块，同理，安全控制模块和文件名及目录认证授权模块也可以设计在同一个物理的电路及逻辑模块，甚至还可以将加解密模块和安全控制模块和文件名及目录认证授权模块设计在同一个SoC芯片上，更甚至把USB PHY和U盘控制模块也一同设计到同一个SoC芯片上，这种方法同样都包含在本发明之中。

另外，上述模块划分也只是为了功能描述方便所划分的，在本发明中，也可以把安全控制模块、文件名及目录认证授权模块和加解密模块进行任意组合或者拆分划分，这些都包含在本发明的范围中。

所述安全控制模块驱动文件名及目录认证授权模块，并且通过它控制U盘控制模块，完成安全控制各项功能，所述U盘控制模块包含但不限于U盘控制芯片，存储芯片是U盘文件存储的载体，USB PHY是用于连接安全U盘与访问电脑的USB接口模块。

所述安全软件，包含但不限于安全软件总控模块、无线通信模块、系统初始化模块、文件名及目录模块、文件加解密模块、文件数据上下载模块、系统维护模块、文件自毁及其它模块。所述安全软件的功能，包含但不限于对于安全U盘操作管理的功能，包含但不限于对于安全U盘中所存储文件的文件名及目录的查询、显示、认证授权的功能，尤其包含管理、驱动安全U盘中加解密模块实现对于文件内容的加解密。

所述安全控制，包含但不限于对文件名和目录的授权加密认证。也就是说在访问电脑访问安全U盘时，对于其中存储文件的文件名和目录的能够进行允许访问和禁止访问。允许访问时，可以在访问电脑上看见并可以复制该文件，也可以从访问电脑复制文件到安全U盘；禁止访问时，该文件在访问电脑上无法看见，更无法复制，该工作是由所述安全软件通过无线传输的方式，驱动所述安全控制模块和文件名及目录认证授权模块，通过U盘控制模块实现。

所述安全控制，包含但不限于所述安全U盘可以由安全软件在此前对其设定为默认禁止访问，此后在安全U盘接入访问电脑以后，在未经所述无线认证终端授权的情况下，安全U盘不被访问电脑识别；另外，所述安全U盘还可以由安全软件在此前对其设定为默认空盘，此后在安全U盘接入访问电脑以后，在未经所述无线认证终端授权的情况下，安全U盘被访问电脑识别为空盘，原先存储在其中的文件均无法被访问电脑发现，但是，访问电脑可以复制文件进入安全U盘。

所述安全控制，包含但不限于对于存储在存储芯片中的文件、文件名及目录的加密解密，当文件从访问电脑复制进入安全U盘时，在无线认证终端上设置加密，所述安全软件就向安全控制模块发出加密指令，由加解密模块向U盘控制模块取得复制进来的文件内容、文件名和目录，完成加密工作，再送入U盘控制模块，存储到存储芯片中，完成加密工作；当存储芯片中的某个已经加密的文件经过认证，可以向访问电脑开放时，加解密模块向U盘控制模块取得该文件内容、文件名和目录，解密后在经由U盘控制模块通过USB PHY送出，进入访问电脑，完成解密工作；也包含对于已经存储在存储芯片中的文件内容进行加密和解密，加解密之后，文件仍然存储在存储芯片中。

所述加解密模块，在实现方式上，它既可以是一种软件，也可以是一种硬件电路、集成电路，也可以是集成电路的IP核；在结构上，它可以作为一种功能模块，组合到安全控制模块和/或文件名及目录认证授权模块之中，也可以独立于安全控制模块和/或文件名及目录认证授权模块之外；在加解密算法上，它包含但不限于DES、3DES、AES、AC4、RSA、DSA、ECC、DM5、SHA、SM1、SM2、SM3、SM4在内的加解密算法；在功能上，它包含对于存入或者取出安全U盘中文件内容和/或文件名及目录的加解密，也包含对于已经存储在存储芯片中的文件内容进行加解密。

此外，在安全软件和安全控制模块的配合下，系统还将具备以下功能，同时，经过简单的推理，还将具备其它功能。它们是：

1、对于文件名和目录的访问控制技术的参数本身，采用加密方式。例如，安全U盘中文件分配表内容、备份文件分配表地址等信息都可以选用解密方式。

2、对于存储在安全U盘上存储芯片中的文件，对其文件名和目录的认证授权，可以是逐个授权认证，也可以是某几个同时授权认证，也可以是全部授权认证。这个功能主要是在安全软件的界面上，由安全U盘的主人操作实现。

3、安全U盘可以设置各种访问级别，以便在安全U盘接入访问电脑上电时安全U盘呈现默认状态，包含但不限于安全U盘默认禁止访问、默认空盘、默认全开放等。所述默认禁止访问，就是访问电脑无法识别安全U盘；所述默认空盘就是访问电脑可以识别安全U盘，包括但不限于安全U盘的容量、分区类型等信息，但是无法发现里面存储的文件；所述默认全开放，就是访问电脑可以完全识别安全U盘，包括其中的全部文件。在未经无线认证终端授权的情况下，安全U盘将以默认状态一直保持下去，直到无线认证终端有授权时，才改变安全U盘访问状态。

4、安全U盘和无线认证终端之间，在安全软件的控制下，可以进行文件及数据的相互复制。

5、安全U盘具备反破解文件自毁保护功能。如图3所示，安全控制模块具有销毁存储在存储芯片中文件的功能，安全U盘在非授权状态下，当通过访问电脑，在安全U盘上试探密码时，安全控制模块将进行探测，当试探访问密码的次数超过设定值时，安全控制模块将驱动U盘控制模块销毁储在存储芯片中文件的文件名、目录及内容；当在无线认证终端上通过安全软件试探访问密码的次数超过设定值时，安全软件将通过安全U盘上的安全控制模块将驱动U盘控制模块销毁储在存储芯片中文件的文件名、目录及内容。

6、安全U盘具有定时文件自毁功能，所述定时文件自毁功能，是指安全软件设定安全U盘在一定时间内文件可以访问，超过时间限制，安全控制模块将驱动U盘控制模块销毁储在存储芯片中文件的文件名、目录及内容。

7、安全U盘中文件分配表采用加密隐藏方式。通过安全软件的设置，在安全控制模块和文件名及目录认证授权模块的作用下，文件分配表可以隐藏在整个安全U盘的存储空间的指定位置。

此外，对于本发明，根据技术发展和现状，所述USB PYH支持的技术标准包含但不限于USB1.1、USB2.0、USB3.0以及以后新的USB标准，也可以支持OTG标准。所述无线模块的无线技术包含但不限于WiFi、Bluetooth、UWB、ZigBee、IrDA以及它们的组合等，此外还可以是光传输方式，还可以是声传输方式等，但是，必须与所述无线认证终端上的无线通信技术相匹配。所述无线认证终端包含但不限于智能手机、带有无线通信功能的平板电脑PDA、iPad、智能终端，也包含其它带有无线功能和微处理器的无线设备。所述安全U盘包含但不限于U盘、U盾、USB-Key、读卡器、移动硬盘。

如上所述，与现有技术相比，本发明具有以下有益效果：

1、无线认证终端（第三方设备）认证授权操控安全U盘。

如果把安全U盘本身称为第一方，所接入的访问电脑称为第二方，当主人把安全U盘借给朋友的时候，电脑前坐的不是主人，主人不方便当着朋友的面在这台电脑上直接操作授权，最好是在另外一台设备（例如主人的手机）上进行授权操作，这就是所谓第三方设备——无线认证终端——完成访问授权控制。

无线认证终端能够识别并初始化安全U盘、设定其安全状态（至少）、查询显示安全U盘上的全部文件及目录、为安全U盘进行访问授权、设定文件加密方式等。

2、未授权U盘不可识别。

这种授权方式是U盘插入电脑后，安全U盘不被电脑识别，此时电脑无法对安全U盘进行任何操作，此时，即便该安全U盘丢失，不会造成文件泄露。

3、未授权文件隐藏及不可访问。

这种授权方式是安全U盘插入电脑后，安全U盘可以被电脑识别，电脑也可以往安全U盘写入文件，但是此时安全U盘中原先存在的文件和目录全部隐藏，电脑是无法查看得到。也就是说该安全U盘接上电脑后，如果没有主人的授权，将无法看到或者复制安全U盘中的任何文件，此时，即便该U盘丢失，也不会造成文件泄露。

4、支持文件逐个/批量授权。

无线认证终端查询显示安全U盘上的全部文件及目录，安全U盘系统允许主人设置为所存储文件可以逐一或者批量授权访问，例如，哪些文件可以给别人看以及复制，哪些不可以让别人看以及复制。

5、支持文件分配表加密。

设定文件分配表加密是为了防止初级黑客的破解，设定多种加密方式，让黑客难以破解和找到文件分配表。

6、访问授权控制本身具有高强度安全性和保密能力。

访问授权控制本身采用高强度保密，高抗破解，保密可以与无线认证终端的特性相关联，可以设置访问密码，可以设置相关加解密算法。

7、支持文件以加密方式存储。

对于特别需要保密的文件，可以采用加密存储，这样，即便别人攻破了访问认证授权控制这一关，或者拆解下安全U盘的存储芯片，找到的文件，没有密钥也是无法解密的。采用规范的加解密方式，让文件加密存储，这是为了防止终极黑客的破解，加密算法有多种可供选择。

8、支持文件自毁保护。

当安全U盘落入到别人手里，当他采用暴力穷举法破解密码时，试探密码达到一定的次数后，系统就启动自毁程序，彻底破坏安全U盘中的文件。

9、支持U盘与无线认证终端之间文件复制。

当主人需要时，可以将无线认证终端（如手机）中存储的文件及数据通过无线传送，复制到安全U盘中，同时还可以选择加密，也可以从安全U盘中将文件及数据复制到无线认证终端并且解密。

附图说明

图1是本发明的系统模块图。

图2是本发明中安全U盘中的软件流程图。

图3是本发明中安全软件的模块结构图。

图4是本发明中安全软件的软件流程图。

其中：

安全U盘1

无线模块1.1

安全控制模块1.2

加解密模块1.3

文件名及目录认证授权模块1.4

USB PHY 1.5

U盘控制模块1.6

存储芯片1.7

无线认证终端2

无线终端2.1

安全软件2.2

安全软件总控模块2.2.1

无线通信模块2.2.2

系统初始化模块2.2.3

文件名及目录模块2.2.4

文件加解密模块2.2.5

文件数据上下载模块2.2.6

系统维护模块2.2.7

文件自毁其它模块2.2.8

访问电脑3

安全控制信息流4。

具体实施方式

参见图1，本发明用无线认证终端授权认证及加解密的安全U盘设计方法由两个部分构成，第一是安全U盘1，第二是无线认证终端2。如果把安全U盘当成第一方，访问电脑3当成第二方，那么，无线认证终端作为第三方设备，本发明的基本思路是，引入第三方设备——无线认证终端——来认证授权电脑对于安全U盘的访问和安全U盘存储和读出时文件的加解密功能和其它安全功能。此时，对于安全U盘的主人而言，既免去了跟借用U盘的朋友直接面对同一台电脑操作的尴尬和不便，又不担心由于丢失U盘所造成的文件泄密，还可以全部满足上述9项发明目的，充分提高U盘的安全性能。

所述安全U盘1，包含无线模块1.1、安全控制模块1.2、加解密模块1.3、文件名及目录认证授权模块1.4，USB PHY 1.5模块、U盘控制模块1.6、存储芯片1.7。在无线认证终端2上，设计有无线终端2.1和安全软件2.2，安全软件2.2运行在无线终端2.1上。通过无线认证终端2与安全U盘1的无线通信，全部安全认证授权和加解密工作，都在安全软件2.2上操作运行。

具体各个模块的定义及工作原理如下：

1、无线模块1.1是用于和无线认证终端2通信的硬件电路和系统，它必须与无线认证终端2上的无线通信部分的技术相匹配，既可以是无线电方式，如WiFi、Bluetooth、UWB、ZigBee，以及未来发展的其它技术标准，也可以是光传输方式，如红外、IrDA等，还可以是声传输方式等。

2、安全控制模块1.2是设置在安全U盘1中用于完成安全管理和控制的功能模块，它既可以是一种独立的硬件电路，也可以是一种软件。它至少包含文件的文件分配表管理、加密解密管理控制，包含文件名和文件目录加密解密管理控制，包含文件名和文件目录的定位管理，包含无线认证终端2和安全U盘1之间文件和数据复制和加解密管理等功能。

3、加解密模块1.3是设置在安全U盘1中用于完成对于文件、数据加密和解密的功能模块，也可以对文件名和目录进行加解密。它既可以是一种独立的硬件电路（例如专用算法的加解密芯片及电路组合），也可以是一种软件。加密算法包含但不限于DES、3DES、AES、AC4、RSA、DSA、ECC、DM5、SHA、SM1、SM2、SM3、SM4等算法，也可以是未来发展的新算法。加解密模块1.3接受安全控制模块1.2控制和管理，它从U盘控制模块1.6取得数据，进行加解密，再送回U盘控制模块1.6，或送出USB PHY1.5，或送进存储芯片1.7。

4、文件名及目录认证授权模块1.4是设置在安全U盘1中，用于对于存储在存储芯片1.7上文件名及目录进行认证授权管理操作的模块，它根据文件管理标准执行，这些标准包含但不限于FAT12、FAT16、FAT32、NTFS、Linux native、Linux swap以及以后技术发展的新标准等。本发明定义文件及目录非授权，就是在访问电脑3访问安全U盘1时，找不到文件名和目录，而授权，就是在访问电脑3上可以看见该文件及目录，并且可以访问该文件及目录。实现的方法是针对U盘上文件分配表进行操作，为了以下叙述方便，我们定义如下：

F1：根据计算机文件管理（如FAT12、FAT16、FAT32、NTFS、Linux native、Linux swap以及以后技术发展的新标准等）标准，U盘中的系统定义的文件分配表，定义它为T1。

T1：根据计算机文件管理标准，定义存储该文件分配表的区域为T1。

F2：将F1复制、和/或者加密复制成另外一份文件分配表，定义为F2。

T2：存储F2的区域，定义为T2。

 

当安全U盘1接入访问电脑3时，安全U盘1开始初始化工作，至少包含对于文件分配表的处理，为了实现安全U盘1在未经授权的情况下隐藏全部文件，这里是采用以下方法及流程：

A、复制F1到存储芯片1.7的某一特定的区域T2，成为F2，在此过程中，根据需要，可以选择加密存储。

B、对于T1中的F1，进行置空处理，清空全部文件名和目录。

C、保留F1中全部文件所占用的存储空间，将它标记为不可访问。

授权时，通过安全软件2.2的操作，假定对于一个或者多个文件授予访问许可时，其方法及流程如下：

A、在T2区域，在F2中，找出授权文件的文件分配表。

B、如果F2被加密，则将其解密。

C、将该文件分配表F2恢复到T1中的相应位置。

为了防止安全U盘1在做上述操作时，访问电脑3的对于安全U盘1的访问冲突，安全U盘1此时将禁止USB口通信，上述操作完成后，在开放USB通信。

根据安全控制模块1.2、加解密模块1.3和文件名及目录认证授权模块1.4的工作原理，从模块划分上，既可以分成这三个模块，也可以组合成一个模块或者两个模块。 

5、USB PHY1.5是用于连接U盘控制模块1.6和访问电脑3的物理层模块，从USB技术标准上，它支持USB1.1、USB2.0、USB3.0，对于未来技术发展，它还将支持未来的相关标准，同时，还可以支持OTG标准；从结构上，它既可以是与本系统其它模块设计到一起的SoC芯片，也可以是独立的USB PHY芯片。

6、U盘控制模块1.6是U盘中用于控制、管理的模块，它既可以是目前市场上所用的U盘控制模块芯片，也可以是特殊设计的专用电路和/或芯片，它的特征是除了做常规U盘管理控制工作之外，还必须包含以下功能：

A、能够引出从访问电脑3传输到U盘存储芯片1.7中的数据到加解密模块1.3和文件名及目录认证授权模块1.4，并接受他们的管理；

B、能够引出从存储芯片1.7传输到访问电脑3的数据到加解密模块1.3和文件名及目录认证授权模块1.4，并接受他们的管理；

C、能够接受安全控制模块1.2、加解密模块1.3和文件名及目录认证授权模块1.4所申请的USB通信的中断和恢复中断； 

7、存储芯片1.7是用于存储文件的专用存储芯片；

8、无线终端2.1是用于作为第三方管理认证的设备，它可以是通用的智能手机、带有无线通信功能的PDA、iPad、平板电脑，可以是其它带有无线功能和微处理器的无线设备，也可以是专用的无线智能终端设备；

9、安全软件2.2是运行在无线终端2.1上的一种专门为本系统开发的软件，如图3所示，它包含但不限于安全软件总控模块2.2.1、无线通信模块2.2.2、系统初始化模块2.2.3、文件名及目录模块2.2.4、文件加解密模块2.2.5、文件数据上下载模块2.2.6、系统维护模块2.2.7、其它模块2.2.8。各模块功能描述如下：

9.1、安全软件总控模块2.2.1主要是负责整个安全软件2.2的总的管理和控制；

9.2、无线通信模块2.2.2主要负责与安全U盘1进行无线通信，具体是与安全U盘1中无线模块1.1进行通信，它需要与无线模块1.1的技术标准相匹配，既可以是无线电方式，如WiFi、Bluetooth、UWB、ZigBee，以及未来发展的其它技术标准，也可以是光传输方式，如红外、IrDA等，还可以是声传输方式等；

9.3、系统初始化模块2.2.3主要负责对于无线终端2.1和/或安全U盘1进行初始化工作，其中，还包含对于安全U盘1的安全性进行设置，例如，安全U盘的初始默认状态设置为禁止访问状态、空盘状态、全开放状态等，是否对于文件名、目录名进行加密，是否对于存储文件进行加密，U盘格式化、U盘分区等工作；

9.4、文件名及目录模块2.2.4主要负责对于安全U盘1中所存储的文件的文件名和目录名进行认证授权的工作，包含但不限于对于安全U盘1中所存储的文件的文件名和目录名的探测、查找、隐藏、显示、加密、解密、授权，以及在无线终端2.1上进行显示等工作。系统在默认的情况下，安全U盘1中的全部文件均为非授权状态，此时的访问电脑3将无法访问到安全U盘1上的任何文件和目录，根据需要，安全U盘1的主人，还可以选择对安全U盘1上的全部文件名和目录名进行加密和解密，加密方法包含但不限于DES、3DES、AES、AC4、RSA、DSA、ECC、DM5、SHA、SM1、SM2、SM3算法。

9.5、文件加解密模块2.2.5主要负责对于安全U盘1中所存储的文件的加密和解密，该加密包含但不限于在文件从外界复制进入安全U盘1时的加密、文件及数据从无线认证终端2复制进入安全U盘1时加密、已经存储在安全U盘1中的文件的加密等；解密包含但不限于从安全U盘1复制出文件到访问电脑3时的解密、文件及数据从安全U盘1复制到无线认证终端时的解密、已经存储在安全U盘1中的文件的解密等。

9.6、文件数据上下载模块2.2.6主要负责安全U盘1与无线认证终端之间的文件复制与传送。

9.7、系统维护模块2.2.7主要负责安全软件2.2本身的维护、安全U盘1的维护，还包括误操作后文件及数据的恢复工作。

9.8、其它模块2.2.8主要负责其它功能的工作。

 

本发明的安全U盘1的工作原理和流程如图2所示：

1、安全U盘1插入电脑后，系统上电，进入安全U盘1初始化工作；

2、关闭USB端口通信，切断安全U盘1与访问电脑3的逻辑通信，使得访问电脑3访问不到安全U盘1——这就是所述禁止访问状态；

3、进入意外中断处理。在意外中断处理过程中，主要是解决在上一次安全U盘1接入访问电脑3时，当安全U盘1正在进行处理事务的过程中，用户从访问电脑3上拔下安全U盘1，从而造成事务处理尚未完成而造成的混乱。

4、执行文件保护，该步流程主要是检查安全U盘1的文件分配表是否置空？如果没有置空，则进行置空处理，如果已经置空，则进入下一步。

5、开放USB端口通信，使得安全U盘1作为USB的设备端，连接上访问电脑3——这就是所述默认空盘状态。

6、寻找并配对无线认证终端，该步流程主要是实现安全U盘1与无线认证终端2的连接并且完成认证工作，如果认证不成功，则继续查找并且认证，如果认证通过，则将安全U盘1中存储的文件及其目录发送到无线认证终端2上，并且准备接收授权、加解密等指令。

7、无线认证终端2上，用户使用安全软件2.2，通过无线终端2.1，向安全U盘1发出授权访问的文件清单，安全U盘1接收这个清单。

8、关闭USB端口通信、恢复授权文件及目录文件分配表，该步流程主要是关闭安全U盘1中USB端口与访问电脑3的通信，再在根据T2中F2中找出授权文件及其目录的数据，如果该数据被加密，则完成解密，如果没有加密，则直接将其复制到T1中的F1所在的位置。

9、判断授权文件是否被加密，如果被加密，则解密该文件，如果没有加密，则进入下一步。

10、开放USB端口通信，允许访问电脑3访问该被授权的文件。

11、继续查找无线认证终端2是否有新的指令，如果没有，则继续循环查找，如果有新指令，则跳转到下一个循环体的起始端。

本发明的安全软件2.2的工作流程如图4所示：

1、在无线认证终端2上，启动安全软件2.2。

2、系统初始化。

3、找到安全U盘1，这里所谓“找到”就是安全软件2.2能够识别的安全U盘1，包含无线通信的标准、机制配对。

4、物理层认证，所谓物理层认证就是无线认证终端2与安全U盘1实现ID码的认证识别，如果无线认证终端是手机，那么包含手机号和/或手机ID码与安全U盘1的配对和认证。

5、输入授权认证密码，通过，则进入下一步，否则循环输入，根据系统设置，循环试探密码达到设定的次数，系统将通知安全U盘1销毁全部文件。

6、这一步包含：

6.1、设定安全U盘1安全状态，至少包含：禁止访问状态、默认空盘状态、全部开放状态等，还包含安全U盘1的分区类型、分区大小、T2区存放的位置、多次试探密码时否执行文件自毁以及触发文件自毁的试探密码次数等。

6.2、文件名及目录加解密，包含文件名加密及密码、目录名加密及密码等。

6.3、复制进入安全U盘1的文件加解密，包含文件加密方式及其密码。

6.4、无线认证终端与安全U盘1之间文件的加解密传送。

7、下载指令到安全U盘1执行。

8、查询新指令，有则跳转到循环体的头部，进入下一轮循环，无，则继续查询。