一种随机校验及提供可信操作环境的文件存储与编辑方法.pdf

本发明涉及一种保护信息安全的方法，公开了一种随机校验及提供可信操作环境的文件存储与编辑方法，其基于一种内部含有控制芯片和存储器的移动存储设备、管理该移动存储设备的专用软件以及用于与用户交互并运行该专用软件的硬件平台，所述的存储器内包含有可信操作系统区和存储目的文件的存储区。本发明提供的一种随机校验及提供可信操作环境的文件存储与编辑方法，有效地防止了未知操作环境下木马病毒对移动存储设备中的文件的窃取，而且还允许用户在当前环境使用指定文件且确保其他文件不会违背用户意愿被窃取，大大方便用户使用，而且还采用随机校验的方式作为文件系统模块授权的方式，避免了木马等病毒控制硬件平台自动运作。

权利要求书
1.  一种随机校验及提供可信操作环境的文件存储与编辑方法，其特征在于：其 基于一种内部含有控制芯片和存储器的移动存储设备、管理该移动存储设备 的专用软件以及用于与用户交互并运行该专用软件的硬件平台，所述的存储 器内包含有可信操作系统区和存储目的文件的存储区，所述的可信操作系统 区内设有可信操作环境，所述的控制芯片上运行的程序包含控制模块，所述 的移动存储设备还设有用于与用户交互的交互部件，所述的控制模块分别与 可信操作系统区、专用软件和交互部件通信，其具体步骤如下：
A)初始状态：将移动存储设备与硬件平台通信连接，控制芯片上电并运行 控制模块，控制模块进入保护态，专用软件在硬件平台上运行，等待用户的 操作命令；
B)口令验证：用户打开专用软件，专用软件弹出口令验证框，等待用户的 输入，控制模块将交互部件传来的口令与内部预定的口令信息进行比对，如 果相符合，则转至步骤E)，如果不符合，则将口令错误的信息反馈至专用软 件，转至步骤C)，如果不符合的次数达到N次，则回转至步骤D)；
C)验证失败：专用软件重新弹出与用户交互的口令验证框，等待用户通过 交互部件的输入，回转至步骤B)；
D)访问失败：控制模块查看预定的配置信息，如果配置信息为格式化，则 控制模块将口令信息和校验信息均重置为默认值，将错误次数过多的信息反 馈至专用软件，并清除存储区内部所有文件，专用软件弹出错误次数过多的 警示框后自动关闭，转至步骤N)，如果配置信息为不格式化，则控制模块将 错误次数过多的信息反馈至专用软件，专用软件弹出错误次数过多的警示框， 回转至步骤B)；
E)选择操作环境：专用软件弹出供用户选择编辑环境的选择框，如果用户选 择在专用软件中编辑存储区的文件，则专用软件再弹出环境不可信的警示框， 转至步骤F)，如果用户选择在可信操作环境中编辑存储区的文件，则转至步 骤L)；
F)发出操作命令：根据用户的操作，专用软件发出对存储区内部文件的操作 命令，并将操作命令传输至控制模块，等待控制模块的反馈；
G)访问控制：控制模块解析操作命令，判断该命令是否属于特殊命令，如 果是，则将该命令需要用户校验的控制命令回馈给专用软件，并生成随机的 校验信息，将该校验信息传输至交互部件，转至步骤H)，如果不是，则转至 步骤K)；
H)用户校验：专用软件弹出与用户交互的操作验证框，等待用户输入，等 待用户的输入，如果在T1时间内未收到用户的验证信息，则判定为无效操作， 重新转至步骤F)，如果在T1时间内收到了用户的验证信息，则将该验证信 息传送至控制模块，转至步骤I)；
I)验证操作：控制模块将用户输入的验证信息与生成的校验信息进行核对， 如果验证信息符合，则转至步骤K)，如果不符合，则将校验错误的信息回馈 给专用软件，转至步骤J)，如果不符合的次数达到三次，则回转至步骤D)；
J)校验失败：专用软件重新弹出与用户交互的操作验证框，等待用户的输入， 回转至步骤H)；
K)操作处理：控制模块解析操作命令，并根据操作命令进行文件的访问或 者传输，随即回转至步骤F)；
L)状态检查：控制模块检查自身是否处于保护态，如果处于信任态，则转至 步骤N)，如果处于保护状态，则控制模块切换至信任态，向硬件平台枚举出 可信操作系统区，专用软件控制操作平台在下一次启动时进入可信操作系统 区，并在保持移动存储设备与硬件平台的通信连接下，将硬件平台重新启动；
M)启动编辑环境：控制模块向重新启动后的硬件平台枚举出可信操作系统 区和存储区，根据用户的操作，硬件平台发出对存储区内部文件的操作命令， 并将该操作命令传输至控制模块，控制模块解析该操作命令，并根据操作命 令进行文件的编辑；
N)结束操作：用户完成操作，退出可信操作系统区，控制模块控制硬件平 台在下一次启动时不进入可信操作系统区，将硬件平台关闭，依次断开可信 操作系统区与硬件平台的通信和移动存储设备与硬件平台的通信连接，并切 换至保护态，回转至步骤A)。

2.  如权利要求1所述的一种随机校验及提供可信操作环境的文件存储与编辑方 法，其特征在于：所述的控制芯片上运行的程序还包括文件系统模块，所述 的控制模块通过调用文件系统模块访问存储区，在步骤K)中，控制模块解 析操作命令，并根据操作命令调用文件系统模块，进行文件的访问或者传输。

3.  如权利要求1所述的一种随机校验及提供可信操作环境的文件存储与编辑方 法，其特征在于：所述的T1时间为5s～10s，在步骤L)中，N的次数不少 于三次。

4.  如权利要求1至3中任一项所述的一种随机校验及提供可信操作环境的文件 存储与编辑方法，其特征在于：在步骤K)中，如果专用软件发出的是目录 访问命令，则控制模块根据存储区内部的文件信息，提取所需的目录信息， 并将目录信息反馈给专用软件，以供用户查看。

5.  如权利要求1至3中任一项所述的一种随机校验及提供可信操作环境的文件 存储与编辑方法，其特征在于：在步骤K)中，如果专用软件发出的是删除 命令，则控制模块根据删除命令针对的文件或者目录，将存储区内部的文件 删除或者更改对应的目录信息，然后将已经删除的信息反馈给专用软件。

6.  如权利要求1至3中任一项所述的一种随机校验及提供可信操作环境的文件 存储与编辑方法，其特征在于：在步骤K)中，如果专用软件发出的是重命 名命令，则控制模块根据重命名命令针对的文件或者目录，更改存储区内部 的文件名称或者更改对应的目录信息，然后将已经更改的信息反馈给专用软 件。

7.  如权利要求1至3中任一项所述的一种随机校验及提供可信操作环境的文件 存储与编辑方法，其特征在于：在步骤K)中，如果专用软件发出的是传输 命令，则控制模块根据存储区内部的文件信息，提取传输命令针对的文件或 者目录，将文件或者打包好的目录信息传输至专用软件，由专用软件将其传 输至硬件平台，控制模块在完成传输后将传输完成的信息反馈给专用软件。

8.  如权利要求1至3中任一项所述的一种随机校验及提供可信操作环境的文件 存储与编辑方法，其特征在于：在步骤K)中，如果专用软件发出的是导入 命令，则控制模块根据导入命令中的文件或者目录信息，将文件信息写入存 储区或者更改相应的目录信息，然后将导入完成的信息反馈给专用软件。

9.  如权利要求1所述的一种随机校验及提供可信操作环境的文件存储与编辑方 法，其特征在于：所述的移动存储设备通过USB协议与硬件平台通信连接。

10.  如权利要求9所述的一种随机校验及提供可信操作环境的文件存储与编辑方 法，其特征在于：所述的交互部件包括指纹识别器，所述的指纹识别器与控 制芯片连接、并与控制模块通信，在步骤B)中，用户输入的口令为指纹信 息，在步骤B)中，控制模块内部预定的口令信息是相应的指纹信息。

说明书一种随机校验及提供可信操作环境的文件存储与编辑方法
【技术领域】
本发明涉及一种保护信息安全的方法，特别涉及一种随机校验及提供可信 操作环境的文件存储与编辑方法。
【背景技术】
普通的移动存储设备，不管是否具备加密功能，或者是否直接将存储块开 放给计算机操作系统，以及是否对文件访问进行人工授权确认，它们都仅仅起 到一个文件载体的功能。当文件在打开时，总是以明文的方式存在于计算机操 作系统中，再由相应的编辑软件打开。当编辑软件运行的环境即操作系统及周 边软件环境本身存在着失密风险时，可以说再如何防范都无法保证这些文件的 保密安全。例如在陌生的计算机上操作存储设备上的文件时，用户并不知道计 算机是否存在病毒，也不知道是否会有第三人窃取存储设备的文件。
因此，为了解决上述情况中可信操作环境的安全性无法保证的技术问题， 申请人认为需要引入一种新方法，这种方法一方面需要方便地提供一种可信的 操作环境以供用户对移动存储设备内部的文件进行编辑应用；另一方面则需要 对进入该操作环境进行文件浏览与应用的过程进行授权验证。
还有一个需要注意到的情况是用户对自己不同的文件会有不一样的保密安 全要求，有些文件特别需要保密，于是可以进入上述可信的操作环境进行编辑， 但是有些文件不需要如此保密，可以直接在当前的操作系统下编辑使用，如果 也必须进入到上述可信的操作环境才能访问编辑，就会显得极大的不便，因为 上述可信的操作环境是一个与当前操作系统平行的环境，切换过程需要计算机 的重启。
现有技术中，一般都只强调文件访问授权控制或加密保护，而没有考虑到 文件在编辑时的安全保护需求。即使关注到了文件编辑使用时的环境安全，也 没有提供一种方法，让用户对不同的文件可以采用不同的策略，安全级别高的 进安全环境进行编辑，级别低的可以直接在当前操作环境编辑，这种方法的缺 失实际上给用户造成很多不便，而且文件访问的授权机制往往采用预设的密码 作为许可凭证，一旦密码被他人知道，存储设备的数据也就无法保密，给用户 带来很大的安全隐患。
【发明内容】
本发明的目的在于克服上述现有技术的不足，提供一种随机校验及提供可 信操作环境的文件存储与编辑方法，其旨在解决现有技术中的文件编辑环境的 安全性不高、编辑环境切换难以确保安全、不能对不同文件选择不同的编辑环 境、授权凭证容易被窃取的技术问题。
为实现上述目的，本发明提出了一种随机校验及提供可信操作环境的文件 存储与编辑方法，其基于一种内部含有控制芯片和存储器的移动存储设备、管 理该移动存储设备的专用软件以及用于与用户交互并运行该专用软件的硬件平 台，所述的存储器内包含有可信操作系统区和存储目的文件的存储区，所述的 可信操作系统区内设有可信操作环境，所述的控制芯片上运行的程序包含控制 模块，所述的移动存储设备还设有用于与用户交互的交互部件，所述的控制模 块分别与可信操作系统区、专用软件和交互部件通信，其具体步骤如下：
A)初始状态：将移动存储设备与硬件平台通信连接，控制芯片上电并运行 控制模块，控制模块进入保护态，专用软件在硬件平台上运行，等待用户的操 作命令；
B)口令验证：用户打开专用软件，专用软件弹出口令验证框，等待用户的 输入，控制模块将交互部件传来的口令与内部预定的口令信息进行比对，如果 相符合，则转至步骤E)，如果不符合，则将口令错误的信息反馈至专用软件， 转至步骤C)，如果不符合的次数达到N次，则回转至步骤D)；
C)验证失败：专用软件重新弹出与用户交互的口令验证框，等待用户通过 交互部件的输入，回转至步骤B)；
D)访问失败：控制模块查看预定的配置信息，如果配置信息为格式化，则 控制模块将口令信息和校验信息均重置为默认值，将错误次数过多的信息反馈 至专用软件，并清除存储区内部所有文件，专用软件弹出错误次数过多的警示 框后自动关闭，转至步骤N)，如果配置信息为不格式化，则控制模块将错误次 数过多的信息反馈至专用软件，专用软件弹出错误次数过多的警示框，回转至 步骤B)；
E)选择操作环境：专用软件弹出供用户选择编辑环境的选择框，如果用户 选择在专用软件中编辑存储区的文件，则专用软件再弹出环境不可信的警示框， 转至步骤F)，如果用户选择在可信操作环境中编辑存储区的文件，则转至步骤 L)；
F)发出操作命令：根据用户的操作，专用软件发出对存储区内部文件的操 作命令，并将操作命令传输至控制模块，等待控制模块的反馈；
G)访问控制：控制模块解析操作命令，判断该命令是否属于特殊命令，如 果是，则将该命令需要用户校验的控制命令回馈给专用软件，并生成随机的校 验信息，将该校验信息传输至交互部件，转至步骤H)，如果不是，则转至步骤 K)；
H)用户校验：专用软件弹出与用户交互的操作验证框，等待用户输入，等 待用户的输入，如果在T1时间内未收到用户的验证信息，则判定为无效操作， 重新转至步骤F)，如果在T1时间内收到了用户的验证信息，则将该验证信息传 送至控制模块，转至步骤I)；
I)验证操作：控制模块将用户输入的验证信息与生成的校验信息进行核对， 如果验证信息符合，则转至步骤K)，如果不符合，则将校验错误的信息回馈给 专用软件，转至步骤J)，如果不符合的次数达到三次，则回转至步骤D)；
J)校验失败：专用软件重新弹出与用户交互的操作验证框，等待用户的输 入，回转至步骤H)；
K)操作处理：控制模块解析操作命令，并根据操作命令进行文件的访问或 者传输，随即回转至步骤F)；
L)状态检查：控制模块检查自身是否处于保护态，如果处于信任态，则转 至步骤N)，如果处于保护状态，则控制模块切换至信任态，向硬件平台枚举出 可信操作系统区，专用软件控制操作平台在下一次启动时进入可信操作系统区， 并在保持移动存储设备与硬件平台的通信连接下，将硬件平台重新启动；
M)启动编辑环境：控制模块向重新启动后的硬件平台枚举出可信操作系统 区和存储区，根据用户的操作，硬件平台发出对存储区内部文件的操作命令， 并将该操作命令传输至控制模块，控制模块解析该操作命令，并根据操作命令 进行文件的编辑；
N)结束操作：用户完成操作，退出可信操作系统区，控制模块控制硬件平 台在下一次启动时不进入可信操作系统区，将硬件平台关闭，依次断开可信操 作系统区与硬件平台的通信和移动存储设备与硬件平台的通信连接，并切换至 保护态，回转至步骤A)。
作为优选，所述的控制芯片上运行的程序还包括文件系统模块，所述的控 制模块通过调用文件系统模块访问存储区，在步骤K)中，控制模块解析操作命 令，并根据操作命令调用文件系统模块，进行文件的访问或者传输。
作为优选，所述的T1时间为5s～10s，在步骤B)中，N的次数不少于三次。
作为优选，在步骤K)中，如果专用软件发出的是目录访问命令，则控制模 块根据存储区内部的文件信息，提取所需的目录信息，并将目录信息反馈给专 用软件，以供用户查看。
作为优选，在步骤K)中，如果专用软件发出的是删除命令，则控制模块根 据删除命令针对的文件或者目录，将存储区内部的文件删除或者更改对应的目 录信息，然后将已经删除的信息反馈给专用软件。
作为优选，在步骤K)中，如果专用软件发出的是重命名命令，则控制模块 根据重命名命令针对的文件或者目录，更改存储区内部的文件名称或者更改对 应的目录信息，然后将已经更改的信息反馈给专用软件。
作为优选，在步骤K)中，如果专用软件发出的是传输命令，则控制模块根 据存储区内部的文件信息，提取传输命令针对的文件或者目录，将文件或者打 包好的目录信息传输至专用软件，由专用软件将其传输至硬件平台，控制模块 在完成传输后将传输完成的信息反馈给专用软件。
作为优选，在步骤K)中，如果专用软件发出的是导入命令，则控制模块根 据导入命令中的文件或者目录信息，将文件信息写入存储区或者更改相应的目 录信息，然后将导入完成的信息反馈给专用软件。
作为优选，所述的移动存储设备通过USB协议与硬件平台通信连接。
作为优选，所述的移动存储设备通过USB协议与硬件平台通信连接。
作为优选，所述的交互部件包括指纹识别器，所述的指纹识别器与控制芯 片连接、并与控制模块通信，在步骤B)中，用户输入的口令为指纹信息，在步 骤B)中，控制模块内部预定的口令信息是相应的指纹信息。
本发明的有益效果：与现有技术相比，本发明提供的一种随机校验及提供 可信操作环境的文件存储与编辑方法，步骤合理，采用移动存储设备内置的安 全可信操作环境作为用户访问和编辑移动存储设备中的文件的界面，有效地防 止了未知操作环境下木马病毒对移动存储设备中的文件的窃取，而且还允许用 户在当前环境使用指定文件且确保其他文件不会违背用户意愿被窃取，大大方 便用户使用，而且还采用随机校验的方式作为文件系统模块授权的方式，有效 提高了用户授权凭证的安全性，避免了木马等病毒控制硬件平台自动运作。
本发明的特征及优点将通过实施例结合附图进行详细说明。
【附图说明】
图1是本发明实施例的流程示意图。
【具体实施方式】
为使本发明的目的、技术方案和优点更加清楚明了，下面通过附图中及实 施例，对本发明进行进一步详细说明。但是应该理解，此处所描述的具体实施 例仅仅用以解释本发明，并不用于限制本发明的范围。此外，在以下说明中， 省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。
参阅图1，本发明实施例提供一种随机校验及提供可信操作环境的文件存储 与编辑方法，其基于一种内部含有控制芯片和存储器的移动存储设备、管理该 移动存储设备的专用软件以及用于与用户交互并运行该专用软件的硬件平台， 存储器内包含有可信操作系统区和存储目的文件的存储区，可信操作系统区内 设有可信操作环境，控制芯片上运行的程序包含控制模块，移动存储设备还设 有用于与用户交互的交互部件，控制模块分别与可信操作系统区、专用软件和 交互部件通信。
在本发明实施例中，可信操作系统区用以提供安全的可信操作环境，其能 够解析存储区内部的数据块、并将数据块以文件的形式显示给用户，以便用户 编辑。而且可信操作环境是一个与硬件平台上的操作系统互斥的操作环境，从 而不仅使得可信操作系统区脱离硬件平台的操作系统，保证了存储区内部数据 的安全，而且还使得不同的文件系统均能够在相同的硬件平台上运行，方便用 户的编辑。
其中，对于保密要求不高的文件，用户还可以通过运行在硬件平台上的专 用软件对文件进行编辑，其虽然安全性不高，但是无需重启硬件平台，适合与 时间紧迫的情况，从而实现不同的文件具有不同的操作环境，大大方便用户的 使用。
具体的安全文件存储与编辑方法的步骤如下：
A)初始状态：将移动存储设备与硬件平台通信连接，控制芯片上电并运行 控制模块，控制模块进入保护态，专用软件在硬件平台上运行，等待用户的操 作命令。
在本发明实施例中，保护态是移动存储设备中各部件的初始状态，在保护 态下，硬件平台与控制模块通信，控制模块接收专用软件的操作命令，可信操 作系统区和存储区均不与硬件平台相互通信，即存储区内部数据处于被保护的 状态。
其中，专用软件可以是安装在硬件平台上的，也可以是安装于移动存储设 备上并在硬件平台上运行的。
B)口令验证：用户打开专用软件，专用软件弹出口令验证框，等待用户的 输入，控制模块将交互部件传来的口令与内部预定的口令信息进行比对，如果 相符合，则转至步骤E)，如果不符合，则将口令错误的信息反馈至专用软件， 转至步骤C)，如果不符合的次数达到N次，则回转至步骤D)。
在本发明实施例中，用户需要通过口令验证才能运行专用软件，即步骤B) 作为文件访问授权机制的第一步限制，其用于防止非法用户直接通过专用软件 访问存储区。同时，控制模块能够将口令不符合的次数记下，并在移动存储设 备与硬件平台断开连接时，该次数仍然能够保留，避免非法用户能够通过断开 移动存储设备与硬件平台之间的连接以清除不符合次数，从而防止非法用户绕 开格式化的步骤不断尝试口令。
其中，N的次数不少于3次，在本发明的实施例中，N取值6次。
C)验证失败：专用软件重新弹出与用户交互的口令验证框，等待用户通过 交互部件的输入，回转至步骤B)。
D)访问失败：控制模块查看预定的配置信息，如果配置信息为格式化，则 控制模块将口令信息和校验信息均重置为默认值，将错误次数过多的信息反馈 至专用软件，并清除存储区内部所有文件，专用软件弹出错误次数过多的警示 框后自动关闭，转至步骤N)，如果配置信息为不格式化，则控制模块将错误次 数过多的信息反馈至专用软件，专用软件弹出错误次数过多的警示框，回转至 步骤B)。
步骤B)作为整个文件访问第一重授权操作，其不仅能够防止非法用户对存 储区的访问，而且还能够在非法用户强行窃取时进入警告模式，即在步骤D) 中弹出对用户的警告，如果配置信息为格式化，则控制模块将会将整个存储区 进行格式化，从而避免更多的数据被窃取，将用户损失控制在适当的范围内。 当然，这只在紧急关头才会运作，对于普通情况，例如用户忘记密码，用户可 以通过更改配置信息来使得控制信息只是反馈信息，而不会格式化全部数据。
在本发明实施例中，配置信息可以由生产者在控制芯片制造初始阶段设定， 也可以由用户在使用时随时调整。其中，用户还可以通过专用软件对配置信息 进行修改。
E)选择操作环境：专用软件弹出供用户选择编辑环境的选择框，如果用户 选择在专用软件中编辑存储区的文件，则专用软件再弹出环境不可信的警示框， 转至步骤F)，如果用户选择在可信操作环境中编辑存储区的文件，则转至步骤 L)。
F)发出操作命令：根据用户的操作，专用软件发出对存储区内部文件的操 作命令，并将操作命令传输至控制模块，等待控制模块的反馈。
G)访问控制：控制模块解析操作命令，判断该命令是否属于特殊命令，如 果是，则将该命令需要用户校验的控制命令回馈给专用软件，并生成随机的校 验信息，将该校验信息传输至交互部件，转至步骤H)，如果不是，则转至步骤 K)。
对于用户的操作，本发明的实施例采用分级控制，对于一些特殊的操作命 令，例如删除存储区内部数据或者向外传输内部数据等，专用软件会提醒用户 该操作命令需要进行用户确认；而对于其他的不会影响存储区内部数据的操作 命令，控制模块会直接进行操作命令的处理，从而真正实现不同操作均有不同 级别的授权限制，大大提高移动存储设备的保密性能。
H)用户校验：专用软件弹出与用户交互的操作验证框，等待用户输入，等 待用户的输入，如果在T1时间内未收到用户的验证信息，则判定为无效操作， 重新转至步骤F)，如果在T1时间内收到了用户的验证信息，则将该验证信息传 送至控制模块，转至步骤I)。
在本发明实施例中，用户需要通过查看移动存储设备上的交互部件才能知 道正确的验证信息，这就使得用户校验过程需要用户人工操作，杜绝了控制硬 件平台就能够跳过用户直接访问存储区的情况。
此时的交互部件可以是输出部件，例如显示屏、麦克风，也可以是输出部 件和输入部件，例如键盘、按钮。
其中，为了留给用户查看和输入的时间，T1时间设为5s～10s，本发明实施 例采用5s。
I)验证操作：控制模块将用户输入的验证信息与生成的校验信息进行核对， 如果验证信息符合，则转至步骤K)，如果不符合，则将校验错误的信息回馈给 专用软件，转至步骤J)，如果不符合的次数达到三次，则回转至步骤D)。
在本发明实施例中，用户能够通过移动存储设备交互部件查看校验信息， 并将验证信息输入至硬件平台中运行的专用文件传输软件，而校验信息是由独 立于硬件平台的控制模块生成的随机信息，即步骤I)中，控制模块信息核对脱 离硬件平台独立运行，不仅提高了用户的验证信息保密性，避免第三人控制了 专用文件传输软件就能访问存储区的情况发生；而且还使得用户的验证信息不 固定，即使不小心被他人知晓，存储区内部的文件也是安全的，提高移动存储 设备的安全性。
其中，不管是因为口令验证失败还是校验失败，控制模块都会进入格式化 的模式，即每一个访问授权限制都具有紧急方案，提高移动存储设备的保密性 能。
J)校验失败：专用软件重新弹出与用户交互的操作验证框，等待用户的输 入，回转至步骤H)。
K)操作处理：控制模块解析操作命令，并根据操作命令进行文件的访问或 者传输，随即回转至步骤F)。
L)状态检查：控制模块检查自身是否处于保护态，如果处于信任态，则转 至步骤N)，如果处于保护状态，则控制模块切换至信任态，向硬件平台枚举出 可信操作系统区，专用软件控制操作平台在下一次启动时进入可信操作系统区， 并在保持移动存储设备与硬件平台的通信连接下，将硬件平台重新启动。
在本发明实施例中，信任态是移动存储设备中各部件的使用状态，在信任 态下，可信操作系统区中的可信操作环境通过控制模块与硬件平台相互通信， 此时的存储区内部数据处于可信任的编辑环境中。用户在可信操作环境中产生 的操作命令会被硬件平台传输至控制模块，由控制模块进行数据块的读取。
由于只要是不可信的操作系统与移动存储设备的存储器连接，存储区就有 可能感染病毒，因此，本发明实施例要求用户在进入可信操作环境前先检查状 态，以防控制模块在开放可信任操作系统区后硬件平台的原操作系统中的病毒 感染存储区。
M)启动编辑环境：控制模块向重新启动后的硬件平台枚举出可信操作系统 区和存储区，根据用户的操作，硬件平台发出对存储区内部文件的操作命令， 并将该操作命令传输至控制模块，控制模块解析该操作命令，并根据操作命令 进行文件的编辑。
在本发明实施例中，每一次用户的操作都需要经过控制模块的解析，即控 制模块不仅对硬件平台的访问进行控制，而且还对运行在硬件平台上的可信操 作的访问也单独控制，使得硬件平台的访问权限能够控制在操作命令相应的范 围内，从而进一步限制了硬件平台对存储区内部数据的访问权限，提高存储区 的保密性。
N)结束操作：用户完成操作，退出可信操作系统区，控制模块控制硬件平 台在下一次启动时不进入可信操作系统区，将硬件平台关闭，依次断开可信操 作系统区与硬件平台的通信和移动存储设备与硬件平台的通信连接，并切换至 保护态，回转至步骤A)。
为了使得专用软件也能够提供安全性能较好的操作环境，控制芯片上运行 的程序还包括文件系统模块，控制模块通过调用文件系统模块访问存储区，在 步骤K)中，控制模块解析操作命令，并根据操作命令调用文件系统模块，进行 文件的访问或者传输。
此种结构中，存储区内部所有数据均有移动存储设备自带的文件系统模块 解析，不仅能够隔离硬件平台对存储区内部数据块的直接访问，而且还能够使 得不同文件系统均在同一硬件平台上运行。
具体地，在步骤K)中，如果专用软件发出的是目录访问命令，则控制模 块根据存储区内部的文件信息，提取所需的目录信息，并将目录信息反馈给专 用软件，以供用户查看。
具体地，在步骤K)中，如果专用软件发出的是删除命令，则控制模块根 据删除命令针对的文件或者目录，将存储区内部的文件删除或者更改对应的目 录信息，然后将已经删除的信息反馈给专用软件。
具体地，在步骤K)中，如果专用软件发出的是重命名命令，则控制模块 根据重命名命令针对的文件或者目录，更改存储区内部的文件名称或者更改对 应的目录信息，然后将已经更改的信息反馈给专用软件。
具体地，在步骤K)中，如果专用软件发出的是传输命令，则控制模块根 据存储区内部的文件信息，提取传输命令针对的文件或者目录，将文件或者打 包好的目录信息传输至专用软件，由专用软件将其传输至硬件平台，控制模块 在完成传输后将传输完成的信息反馈给专用软件。
具体地，在步骤K)中，如果专用软件发出的是导入命令，则控制模块根 据导入命令中的文件或者目录信息，将文件信息写入存储区或者更改相应的目 录信息，然后将导入完成的信息反馈给专用软件。
在本发明实施例中，移动存储设备通过USB协议与硬件平台通信连接，而 且，交互部件也通过USB协议与控制模块通信，此时的交互部件既可以通过移 动存储设备上的USB接口与控制芯片连接，也可以固定设于移动存储设备上。
其中，文件安全编辑环境的实现方法既可用于通过USB协议的移动存储设 备与硬件平台之间的文件传输，也可用于固定设备与固定设备之间通过硬件平 台进行的文件传输，还可用于统一设备内部的文件传输，只要设备中包含有独 立的编辑环境，就属于本发明的保护范围内。
以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发 明的精神和原则之内所作的任何修改、等同替换或改进等，均应包含在本发明 的保护范围之内。