論文摘要：移動存儲設(shè)備因其體積小、容量大、使用靈活而應(yīng)用廣泛，但其本身的“匿名性”給設(shè)備安全管理帶來了巨大挑戰(zhàn)，身份認(rèn)證難、信息易泄露、常攜帶病毒等問題一直困擾著用戶和計(jì)算機(jī)系統(tǒng)安全人員。隨著移動存儲設(shè)備的廣泛應(yīng)用，由其引發(fā)的信息泄漏等安全問題日益受到關(guān)注。針對目前移動存儲安全解決方案中利用用戶名和密碼進(jìn)行身份認(rèn)證的不足，本文提出了基于智能卡技術(shù)的安全管理方案。該方案將指紋特征作為判定移動存儲設(shè)備持有者身份的依據(jù)，同時(shí)通過智能卡技術(shù)實(shí)現(xiàn)了移動存儲設(shè)備與接入終端間的雙向認(rèn)證，從源頭上杜絕了移動存儲設(shè)備帶來的安全隱患。本文選自《電子制作》。《電子制作》雜志是經(jīng)中國新聞出版總署批準(zhǔn)，北京市工商局備案，國內(nèi)外公開發(fā)行的國家級科技類優(yōu)秀期刊。本刊主管單位為中國商業(yè)聯(lián)合會、主辦單位為中國家用電器服務(wù)維修協(xié)會，國內(nèi)統(tǒng)一刊號：CN11-3571/TN；國際標(biāo)準(zhǔn)刊號：ISSN1006-5059。郵發(fā)代號：82-541。

　　關(guān)鍵詞：智能卡指紋識別移動存儲信息安全,電子制作

　　1引言

　　在移動存儲的安全管理上應(yīng)基于兩個(gè)層面：首先是移動存儲設(shè)備對用戶的身份認(rèn)證，以確保移動存儲設(shè)備持有者身份的合法性；其次是移動存儲設(shè)備與接入終端間的雙向認(rèn)證。目前，移動存儲的安全管理往往是基于用戶名和口令的身份認(rèn)證方案，容易受到非法用戶“假冒身份”的攻擊，同時(shí)系統(tǒng)中所保存的口令表的安全性也難以保障，因此該方案存在較大的安全隱患。少數(shù)采用生物特征識別的安全方案也僅僅做到了第一個(gè)層面的身份認(rèn)證，仍無法解決對移動存儲設(shè)備本身的身份認(rèn)證以及移動存儲設(shè)備對接入終端的身份認(rèn)證。然而，移動存儲設(shè)備和接入終端間雙向認(rèn)證的必要性是顯而易見的，只有被終端信任的移動存儲設(shè)備才允許接入；同時(shí)，當(dāng)終端也被移動存儲設(shè)備信任時(shí)，移動存儲設(shè)備和終端才能獲得彼此間相互讀寫的操作權(quán)限。只有實(shí)現(xiàn)上述的雙向認(rèn)證，才能有效地在源頭杜絕移動存儲設(shè)備帶來的安全隱患。

　　本文描述了一種移動存儲安全管理方案，針對U盤和移動硬盤等移動存儲設(shè)備，基于智能卡技術(shù)，結(jié)合指紋識別模塊，解決了設(shè)備持有者的身份認(rèn)證以及設(shè)備與接人終端間的雙向認(rèn)證問題，并將設(shè)備持有者的指紋作為實(shí)名訪問信息記人審計(jì)系統(tǒng)，進(jìn)一步完善了移動存儲的安全管理方案。

　　2基于指紋識別的用戶身份認(rèn)證

　　指紋識別技術(shù)主要涉及指紋圖像采集、指紋圖像處理、特征提取、數(shù)據(jù)保存、特征值的比對和匹配等過程，典型的指紋識別系統(tǒng)。

　　指紋識別系統(tǒng)

　　指紋圖像預(yù)處理的目的是去除指紋圖像中的噪音，將其轉(zhuǎn)化為一幅清晰的點(diǎn)線圖，便于提取正確的指紋特征。預(yù)處理影響指紋識別的效果，具有重要的意義。它分四步進(jìn)行，即灰度濾波、二值化、二值去噪和細(xì)化。圖像細(xì)化后，采用細(xì)節(jié)點(diǎn)模板提取出指紋圖像的脊線末梢和脊線分支點(diǎn)的位置，將指紋認(rèn)證問題轉(zhuǎn)化成為點(diǎn)模式匹配問題。

　　所示，移動存儲設(shè)備采用兼容多種設(shè)備接口的控制芯片、安全控制閃存芯片、大容量用戶標(biāo)準(zhǔn)Flash構(gòu)成硬件基礎(chǔ)，以智能卡控制芯片為控制中心，結(jié)合指紋識別模塊，實(shí)現(xiàn)對設(shè)備持有者的身份認(rèn)證；同時(shí)，結(jié)合大容量普通閃存存儲結(jié)構(gòu)，實(shí)現(xiàn)數(shù)據(jù)存儲低層管理和數(shù)據(jù)存儲加密。

　　3基于智能卡技術(shù)的雙向認(rèn)證

　　為加強(qiáng)系統(tǒng)認(rèn)證安全性與可信性，在移動存儲設(shè)備內(nèi)集成智能卡模塊，使之具備計(jì)笄能力，從而實(shí)現(xiàn)移動存儲設(shè)備與終端之問的雙向認(rèn)證。移動存儲設(shè)備的身份文件存放于智能卡模塊中。身份文件是指存儲著移動存儲設(shè)備各項(xiàng)物理特征信息的私密文件，由于這些物理特征信息與個(gè)體緊密相聯(lián)，所以可以起到唯一鑒別該移動存儲設(shè)備的作用。

　　智能卡模塊提供對終端的認(rèn)證，只有通過認(rèn)證的終端才能訪問身份文件和移動存儲設(shè)備中的數(shù)據(jù)。將現(xiàn)有移動存儲設(shè)備硬件結(jié)構(gòu)進(jìn)行改造，在其中分別加人指紋處理模塊與智能卡模塊后的硬件結(jié)構(gòu)如圖3所示。

　　智能卡模塊內(nèi)置CPU、存儲器、加解密算法協(xié)處理器、隨機(jī)數(shù)發(fā)生器等硬件單元，及芯片操作系統(tǒng)(COS)、芯片文件系統(tǒng)等多個(gè)功能模塊。其內(nèi)部具有安全數(shù)據(jù)存儲空間，用于存放移動存儲設(shè)備的身份文件。對該存儲空間的讀寫受身份認(rèn)證機(jī)制保護(hù)，只有通過認(rèn)證的用戶和終端才能對其進(jìn)行訪問，并且操作必須通過定制的應(yīng)用程序?qū)崿F(xiàn)，用戶無法直接讀取。支持指紋認(rèn)證的智能卡文件系統(tǒng)如圖4所示。

　　對終端的身份認(rèn)證方式有多種，本方案采用沖擊一響應(yīng)的認(rèn)證方式_7]。需要驗(yàn)證終端身份時(shí)，終端向智能卡模塊發(fā)送驗(yàn)證請求，智能卡模塊接到此請求后產(chǎn)生一組隨機(jī)數(shù)發(fā)送給終端(稱為沖擊)。終端收到隨機(jī)數(shù)后，使用終端認(rèn)證軟件內(nèi)置的密鑰對該隨機(jī)數(shù)進(jìn)行一次三重DES加密運(yùn)算，并將得到的結(jié)果作為認(rèn)證依據(jù)傳給智能卡模塊(稱為響應(yīng))，與此同時(shí)，智能卡模塊也使用該隨機(jī)數(shù)與內(nèi)置的密鑰進(jìn)行相同的密碼運(yùn)算，若運(yùn)算結(jié)果與終端傳回的響應(yīng)結(jié)果相同，則通過認(rèn)證。這種認(rèn)證方式以對稱密碼為基礎(chǔ)，特點(diǎn)是實(shí)現(xiàn)簡單，運(yùn)算速度快，安全性高，比較適合對移動存儲設(shè)備的認(rèn)證。

　　在終端通過認(rèn)證，取得移動存儲設(shè)備信任的前提下，終端通過智能卡模塊讀取移動存儲設(shè)備身份文件，對移動存儲設(shè)備進(jìn)行準(zhǔn)入認(rèn)證。只有在雙向認(rèn)證通過的情況下，移動存儲設(shè)備才能接入可信終端，進(jìn)而在授權(quán)服務(wù)器分發(fā)的安全策略下與可信域終端進(jìn)行正常的讀寫操作。

　　4移動存儲安全管理系統(tǒng)設(shè)計(jì)

　　在采用智能卡技術(shù)的基礎(chǔ)上，加入移動存儲安全管理系統(tǒng)，提供對移動存儲設(shè)備的接人控制，將認(rèn)證體系擴(kuò)展至計(jì)算機(jī)USB總線。

　　安全管理系統(tǒng)的認(rèn)證體系示意圖如圖5所示。各終端首先需要加入某個(gè)信任域，在此之后可對移動存儲設(shè)備提供基于所在信任域的接入認(rèn)證，如果終端沒有通過信任域認(rèn)證，則不允許任何移動存儲設(shè)備接入。

　　授權(quán)認(rèn)證服務(wù)器位于各信任域的公共區(qū)域中，為各信任域的終端提供移動存儲設(shè)備授權(quán)認(rèn)證服務(wù)。它將設(shè)備授權(quán)給某個(gè)信任域后，該設(shè)備便成為該區(qū)域中的授權(quán)設(shè)備，可在該區(qū)域中任意一臺終端上使用；在其他區(qū)域使用時(shí)將被認(rèn)為是未授權(quán)的，接入將被拒絕。隔離區(qū)中的終端與授權(quán)認(rèn)證服務(wù)器不能通過網(wǎng)絡(luò)相連，從而保證了被隔離的終端不能夠使用移動存儲設(shè)備，防止安全隱患向外擴(kuò)散。這種把安全域細(xì)分成不同信任域的整體設(shè)計(jì)可以最大限度地防止安全實(shí)體內(nèi)敏感數(shù)據(jù)的任意傳播，大大降低涉密信息向外非法泄露的可能性。

　　終端移動設(shè)備認(rèn)證軟件部署在網(wǎng)絡(luò)系統(tǒng)中的各臺終端上，實(shí)時(shí)監(jiān)測終端上所有USB接口，探測接人的移動存儲設(shè)備。發(fā)現(xiàn)設(shè)備后，認(rèn)證軟件將與接入設(shè)備進(jìn)行相互認(rèn)證，并與認(rèn)證服務(wù)器通信，對設(shè)備進(jìn)行認(rèn)證，通過認(rèn)證的設(shè)備被認(rèn)為是當(dāng)前信任域的授權(quán)設(shè)備，否則將被認(rèn)為是未授權(quán)的。根據(jù)認(rèn)證結(jié)果，允許或禁止移動設(shè)備接入。

　　4．1授權(quán)流程描述

　　服務(wù)器端授權(quán)軟件運(yùn)行時(shí)，探測出所有連接到授權(quán)服務(wù)器上的移動存儲設(shè)備，并將結(jié)果報(bào)告給管理員。管理員指定需要授權(quán)的設(shè)備，填寫好授權(quán)區(qū)域、授權(quán)日期、授權(quán)人、授權(quán)有效期并錄入用戶指紋信息后，授權(quán)軟件開始對該移動存儲設(shè)備進(jìn)行授權(quán)。

　　(1)獲取該設(shè)備的各項(xiàng)物理信息，這些信息具有特征標(biāo)識，可以唯一地標(biāo)識該設(shè)備；

　　(2)將收集到的物理信息和管理員輸入的授權(quán)區(qū)域、授權(quán)日期、授權(quán)人、授權(quán)有效期等信息以一定格式排列，并注入隨機(jī)字符，采用三重DES運(yùn)算，生成身份文件；

　　(3)設(shè)置移動存儲設(shè)備中指紋模塊的指紋信息；

　　(4)將智能卡模塊中的認(rèn)證密鑰設(shè)成與終端事先約定好的密鑰；

　　(5)將(3)中生成的身份文件存入智能卡模塊中的安全數(shù)據(jù)存儲空間。

　　4．2認(rèn)證流程描述

　　移動存儲設(shè)備管理系統(tǒng)完成認(rèn)證的整個(gè)流程，其步驟如下：

　　(1)終端認(rèn)證軟件判斷當(dāng)前終端所處區(qū)域，如果處于信任域中，掃描各USB端口狀態(tài)，判斷是否有新設(shè)備接人；如果處于隔離區(qū)，則拒絕任何USB移動設(shè)備接入。

　　(2)如果探測到新設(shè)備接入，智能卡CPU調(diào)用指紋處理模塊，接收并驗(yàn)證用戶指紋。

　　(3)如果指紋認(rèn)證通過，則終端向USB存儲設(shè)備發(fā)送認(rèn)證請求；否則禁用該USB存儲設(shè)備。

　　(4)如果沒有收到USB存儲設(shè)備的智能卡模塊發(fā)來的隨機(jī)數(shù)，證明該設(shè)備是不符合系統(tǒng)硬件設(shè)計(jì)要求的，拒絕接入；如果收到隨機(jī)數(shù)，則進(jìn)行沖擊一響應(yīng)認(rèn)證。如果沒有通過認(rèn)證，證明該終端為非信任終端，智能卡模塊拒絕該設(shè)備接人終端。

　　(5)終端讀取智能卡模塊存儲的身份文件，并讀取該設(shè)備的各項(xiàng)物理信息，將身份文件、物理信息及終端所處的信任域信息發(fā)送至認(rèn)證服務(wù)器進(jìn)行認(rèn)證。

　　(6)服務(wù)器認(rèn)證軟件接收到終端發(fā)送來的信息后，將標(biāo)識文件解密，得到授權(quán)區(qū)域、授權(quán)日期、授權(quán)人、授權(quán)有效期等信息。

　　①將解密得到的物理信息與終端發(fā)來的物理信息作比對，如果不相符，證明該標(biāo)識文件是被復(fù)制或偽造的，向終端發(fā)送未通過認(rèn)證的指令。

　　②如果①中認(rèn)證通過，將解密得到的信任域信息與終端發(fā)來的信任域信息作比對，如果不相符，證明該移動存儲設(shè)備處于非授權(quán)區(qū)域中，向終端發(fā)送未通過認(rèn)證的指令。

　　③如果②中認(rèn)證通過，將解密得到的授權(quán)有效期與當(dāng)前日期做比較，如果當(dāng)前日期處于有效期內(nèi)，向終端發(fā)送通過認(rèn)證的指令；如果當(dāng)前日期處于有效期外，向終端發(fā)送未通過認(rèn)證的指令。

　　(7)終端接收認(rèn)證服務(wù)器發(fā)來的指令，對USB設(shè)備執(zhí)行允許或禁止接入的操作。如果USB設(shè)備被允許接入，則智能卡模塊將設(shè)備持有者指紋提交給認(rèn)證服務(wù)器，作為已授權(quán)訪問記錄記入日志中。

　　(8)轉(zhuǎn)至(2)繼續(xù)探測新設(shè)備。

　　5安全性分析

　　本方案通過在移動存儲設(shè)備中加入指紋識別模塊和智能卡模塊，更安全可靠地解決了設(shè)備持有者身份認(rèn)證問題以及移動存儲設(shè)備的“匿名性”問題，通過引入身份文件，實(shí)現(xiàn)了移動存儲設(shè)備的實(shí)名制認(rèn)證。結(jié)合智能卡的相關(guān)技術(shù)，本方案從根本上解決了移動存儲設(shè)備與接入終端問的雙向認(rèn)證問題，構(gòu)建了雙方互信的安全傳輸環(huán)境。

　　基于信任域的劃分對設(shè)備進(jìn)行授權(quán)管理，使整個(gè)系統(tǒng)能夠同時(shí)對終端和移動存儲設(shè)備提供接人控制，有效地阻止了安全威脅的傳播。在方案的具體實(shí)現(xiàn)上，有如下安全性考慮：

　　(1)移動存儲設(shè)備采用指紋識別的方式認(rèn)證設(shè)備持有者身份，確保其身份的合法性；采用三重DES對稱加密的方式對終端進(jìn)行認(rèn)證，確保終端為運(yùn)行認(rèn)證軟件的合法授權(quán)終端，有效地避免了強(qiáng)力破解的可能性。

　　(2)移動存儲設(shè)備的物理信息各不相同，身份文件也是唯一確定的。身份文件采用三重DES加密的方式，加解密過程全部在服務(wù)器端認(rèn)證軟件中完成，密鑰不出服務(wù)器，避

　　免了密碼被截獲的可能性。身份文件存儲于智能卡模塊中的安全數(shù)據(jù)存儲區(qū)，受智能卡模塊軟硬件的雙重保護(hù)。方案保證了身份文件的唯一性、抗復(fù)制性和抗偽造性，任何非授權(quán)設(shè)備都無法通過破譯、復(fù)制、偽造等人侵手段冒名成為授權(quán)設(shè)備。

　　(3)認(rèn)證服務(wù)器與隔離區(qū)中的終端相互隔離，只能被信任域中的終端訪問，保證了認(rèn)證服務(wù)器的安全。

　　(4)雙向認(rèn)證通過后，被授權(quán)的移動存儲設(shè)備將設(shè)備持有者的指紋記入授權(quán)服務(wù)器的訪問日志中，以便日后能夠準(zhǔn)確地確定安全事故責(zé)任人。

　　綜上所述，通過指紋識別技術(shù)、智能卡技術(shù)、密碼學(xué)技術(shù)、芯片技術(shù)和嵌入式系統(tǒng)設(shè)計(jì)技術(shù)實(shí)現(xiàn)了安全可信的移動存儲。

　　6結(jié)束語

　　將生物特征識別和嵌入式芯片技術(shù)納入移動存儲的安全管理是解決此類安全問題的有效手段，也是未來移動存儲安全領(lǐng)域的發(fā)展趨勢。本文正是基于這樣的思路對現(xiàn)有移動存儲安全解決方案進(jìn)行了擴(kuò)充，加入了更安全可靠的身份認(rèn)證方法以及移動存儲設(shè)備與終端間的雙向認(rèn)證機(jī)制，使移動存儲安全管理體系的范圍更為全面，提供了更高的安全性。