四川大學軟件學院 龍 鵬

基于可信計算的移動文件保險柜

四川大學軟件學院 龍 鵬

U盤的主要特點，也是我們喜歡用它的原因，大小適宜、性能可靠，我們可以把它掛在胸前、吊在鑰匙串上、甚至放進錢包里。另外，它還具有防潮防磁、耐高低溫等特性，安全可靠性很好。U盤幾乎不會讓水或灰塵滲入，也不會被刮傷，而這些在舊式的攜帶式存儲設備（例如光盤、軟盤片）等是嚴重的問題。可以觀察到，現(xiàn)在的我們，平均每個人至少都擁有一到兩個U盤。對于個人來說，他們的U盤里面存放的也許是日常的一些學習資料，個人照片等等，也許還有私人的一些東西，對于企業(yè)來說，U盤里儲存的可能是員工的資料，也可能是商業(yè)機密，不管是個人，還是企業(yè)，如果遺失了移動存儲設備，造成的后果也許是不堪設想。

本文所實現(xiàn)的系統(tǒng)使用可信計算模塊(TPM)作為硬件安全基礎設備，在內(nèi)核和應用層對U盤的訪問權限進行控制，只有安全U盤才能夠在裝有本系統(tǒng)的主機上使用，普通的移動存儲設備不可以使用。安全U盤只有經(jīng)過授權后才有可能在同一臺服務器管理范圍內(nèi)的制定主機上使用，其他主機同樣不可使用。若在沒有網(wǎng)絡、網(wǎng)絡上沒有服務器或者沒有主機注冊到服務器時，可以作為只能在本地使用的個人安全U盤?；诳尚庞嬎愕陌踩玌盤系統(tǒng)使用全盤加密方式存儲數(shù)據(jù)，保護數(shù)據(jù)信息，防止由于移動存儲設備丟失，被竊取而產(chǎn)生的數(shù)據(jù)泄密問題，防止了故意從內(nèi)部環(huán)境偷竊數(shù)據(jù)信息的行為，也在一定程度上防止了移動存儲設備交叉使用的行為，杜絕了安全隱患。

可信計算；虛擬磁盤；文件過濾；對稱算法；非對稱算法

1.涉及技術

1.1 可信計算

1.1.1 可信計算

可信是一種期望，在這種期望下設備按照特定的目的以特定的方式運轉?？尚庞嬎愕闹饕悸肥窃谟嬎銠C平臺上引入安全芯片架構，通過提供的安全特性來提高終端的安全性。

1.1.2 可信計算平臺

可信計算平臺的核心是TPM芯片，由TSS軟件協(xié)議棧配合TPM芯片對可信計算平臺提供支持，以保證可信計算平臺能夠提供基于硬件保護的安全存儲和各種密碼運算功能。

1.1.3 可信計算平臺模塊TPM

可信計算的核心是TPM安全芯片，TPM安全芯片好似可信計算技術的底層核心固件，并且被稱為安全PC產(chǎn)業(yè)鏈的“信任原點”，在實際的環(huán)境中，TPM安全芯片被嵌入到主板上，提供完整性度量與驗證，數(shù)據(jù)安全保護以及身份認證等功能。TPM安全芯片在更底層進行更高級別的防護。

1.1.4 TPM芯片的優(yōu)勢

將加密、解密、認證等基本的安全功能寫入硬件芯片，并且能夠確保芯片中的信息不能在外部通過軟件隨意獲取，同時提高加解密速度。

通過TPM芯片管理密碼，無需手動生成密文，方便快捷。

1.2 虛擬磁盤驅動

虛擬磁盤就是用內(nèi)存中虛擬出一個或者多個磁盤的技術，內(nèi)存的速度要比硬盤快的多，就要利用這一點，在內(nèi)存中虛擬出一個或者多個硬盤就可以加快磁盤的數(shù)據(jù)交換速度，從而提高電腦的運行速度。

在解掛載磁盤后，別人也就找不到你的文件，另外在其中加入透明加密的功能，起到保密文件的作用。

1.3 文件過濾驅動

目前對主機訪問控制的方法有兩種：一是利用windows提供的應用編程接口函數(shù)，另一種就是開發(fā)過濾驅動。文件過濾驅動是驅動層中特殊的一種驅動，是一種核心模式的驅動，之所以把它從驅動層分離出來時因為過濾驅動是不可見的，他們把自己貼在其他驅動之上，并且攔截對底層驅動設備對象的請求。

從windows內(nèi)核層面來控制用戶對虛擬磁盤映像文件的加載，修改，刪除，再從進程判斷應用程序，兩個層面上保護用戶數(shù)據(jù)安全。

2.系統(tǒng)總體構架

本文所提出的基于可信計算的移動文件保險柜適用范圍為企業(yè)、軍事單位、部門與部門之間、以及小范圍人群之間。本項目的適用人群是單位內(nèi)部員工或者普通個人。使用可信計算模塊(TPM)作為硬件安全基礎設備，在內(nèi)核和應用層對U盤的訪問權限進行控制，只有安全U盤才能夠在裝有本系統(tǒng)的主機上使用，普通的移動存儲設備不可以使用。安全U盤只有經(jīng)過授權后才有可能在同一臺服務器管理范圍內(nèi)的制定主機上使用，其他主機同樣不可使用。若在沒有網(wǎng)絡、網(wǎng)絡上沒有服務器或者沒有主機注冊到服務器時，可以作為只能在本地使用的個人安全U盤?；诳尚庞嬎愕囊苿游募ｋU柜系統(tǒng)使用全盤加密方式存儲數(shù)據(jù)，保護數(shù)據(jù)信息，防止由于移動存儲設備丟失，被竊取而產(chǎn)生的數(shù)據(jù)泄密問題，防止了故意從內(nèi)部環(huán)境偷竊數(shù)據(jù)信息的行為，也在一定程度上防止了移動存儲設備交叉使用的行為，杜絕了安全隱患。

基于可信計算的移動文件保險柜系統(tǒng)專為U盤丟失泄密、控制U盤或者移動存儲設備使用、保護數(shù)據(jù)安全的一套基于windows內(nèi)核級的解決方案。

該方案主要包括以下模塊：

1)TPM芯片管理；

2)密鑰操作；

3)數(shù)據(jù)庫管理；

4)網(wǎng)絡數(shù)據(jù)傳輸；

5)安全U盤模塊；

6)審計安全模塊；

7)文件過濾模塊；

8)虛擬磁盤模塊。

以上幾個模塊能夠從客戶端和服務器兩個方面保證用戶的移動數(shù)據(jù)安全提供有效、可靠的保護機制，并且為企業(yè)內(nèi)部移動設備控制使用提供了有利的保障。

上面這些數(shù)據(jù)的結合機制，能夠為用戶提供U盤訪問控制、數(shù)據(jù)加密、TPM芯片管理、U盤使用者授權、審計查看、安全U盤制作、安全U盤授權、U盤數(shù)據(jù)備份、U盤測速等功能。

圖1簡單描述了一個公司內(nèi)部，或者部門、研究院內(nèi)部網(wǎng)絡拓撲圖，包括電腦（臺式機和筆記本電腦）、服務器、U盤，防火墻，用戶等。

圖2描述了系統(tǒng)總體架構。

3.核心模塊設計

3.1 安全U盤模塊

安全U盤模塊是基于可信計算的U盤系統(tǒng)重要模塊之一，是應用層用戶操作最頻繁的模塊，基于可信計算的移動文件保險柜，核心功能是限制U盤的使用，讓U盤按照我們預先的設定規(guī)則來使用，本模塊是應用層模塊，調(diào)用內(nèi)核層的API來使用，應用層界面設計是順序處理，同一時間，只能執(zhí)行其中某個操作。

用戶首選選擇需要制作安全U盤的U盤，然后點擊制作按鈕，彈出子對話框，輸入安全U盤信息，若取消，返回制作安全U盤主界面，結束，若制作，入制作成功，返回制作安全U盤主界面，若失敗，也返回制作安全U盤主界面，結束。

用戶進入打開安全U盤主界面，首先選擇要打開哪個U盤上面安全U盤，然后選擇要打開哪個安全U盤文件，如果這時候取消，則返回打開安全U盤主界面，若選擇打開，若打開失敗，顯示失敗信息，并返回打開安全U盤主界面，若打開成功，顯示成功信息，返回安全U盤主界面

3.2 文件過濾驅動模塊

文件過濾驅動模塊是基于可信計算的移動文件保險柜系統(tǒng)的內(nèi)核模塊之一，過濾驅動是驅動層中特殊的一種驅動，是一種核心模式驅動，之所以把它從驅動層中分離出來是因為過濾驅動是不可見的，他們把自己貼在其他驅動之上，并且攔截對底層驅動設備對象的請求，它是可擴展的，更重要的是無論當前新功能是否可用它都允許增加新功能，文件過濾驅動要么利用I/O請求的初始目標驅動提供服務，要么利用其他用戶服務或者核心模式軟件來提供新增加的功能，在本驅動中，由于簡單的設置FastIo所有例程都返回為false，這樣所有的操作都會通過IRP請求來操作，系統(tǒng)就能監(jiān)控所有的文件操作了。

文件過濾驅動模塊在本系統(tǒng)中，必須一直啟動，保證服務的正常運行，它提供最關鍵最核心的功能，包括限制U盤的使用，不能讓內(nèi)外部U盤直接插入主機就可以使用；進程訪問的控制，不能讓其他一切進程訪問U盤，必須通過基于可信計算的移動文件保險柜系統(tǒng)應用層訪問；U盤的識別，隨時監(jiān)控U盤的插入，識別插入的是否為U盤；監(jiān)控系統(tǒng)卷綁定，綁定卷的時候，需要本系統(tǒng)監(jiān)視下才能完成，必須嚴格控制U盤的訪問；U盤文件使用監(jiān)控等等。

3.3 虛擬磁盤驅動模塊

虛擬磁盤驅動模塊是另一個基于可信計算的移動文件保險柜系統(tǒng)的內(nèi)核模塊之一，主要功能是將某個文件映射為磁盤，計算機對該磁盤的所有操作，都重定向到對應映射文件，同時在上面增加透明加解密的功能。在得到上層的寫IRP包時，對寫緩沖區(qū)中的數(shù)據(jù)加密后寫入文件，而當?shù)玫缴蠈拥淖xIRP包時，先從文件中讀取相應的長度的數(shù)據(jù)，解密后寫入讀緩沖區(qū)，從而完成了對上層文件系統(tǒng)的透明加解密。

安全U盤模塊是用戶操作最頻繁的模塊，那么虛擬磁盤驅動模塊則是最終最底層被操作的模塊，在安裝有基于可信計算的移動文件保險柜系統(tǒng)的局域網(wǎng)內(nèi)部，對U盤的任何訪問包括讀寫都是通過將映射文件虛擬成系統(tǒng)磁盤后，在該虛擬磁盤上面的操作，而不是直接對U盤的操作。本模塊最重要的功能就是將文件映射為磁盤，同時在讀寫的時候，增加透明加解密。

3.4 芯片管理模塊

TPM芯片管理模塊是可信計算的最基礎的部分，主要是為用戶提供管理TPM芯片的接口，其中包括建立所有者，清除所有者，修改獲得授權的口令等基本信息。設計出該模塊的主要目的是將用戶對芯片的授權管理等基本操作進行封裝，從而其它模塊的建立奠定基礎。本系統(tǒng)是非常駐內(nèi)存，為一個單一程序，實行順序處理。

TPM芯片管理模塊主要包含的功能有創(chuàng)建所有者，清除所有者，修改所有者口令，修改SRK認證口令，還有查看TPM芯片某些信息的功能。本模塊主要為用戶提供管理TPM芯片的基本功能，讓用戶更好的使用TPM芯片，同時讓也讓TPM芯片更好的為我們系統(tǒng)服務。

4.總結

基于可信計算的移動文件保險柜系統(tǒng)能夠為企業(yè)提供一套完整的U盤(移動設備)使用和數(shù)據(jù)保護管理系統(tǒng)。在核心功能上面，本系統(tǒng)實現(xiàn)了對U盤的進程訪問控制、數(shù)據(jù)加密、制作打開關閉安全U盤、對可信計算TPM芯片的管理、數(shù)據(jù)加密的功能，同時提供了安全U盤授權、數(shù)據(jù)庫維護、審計日志查看、防止U盤病毒等功能。這些功能基本涵蓋所有用戶需求，并且本軟件注重性能和易用性，客戶端界面友好，業(yè)務邏輯清晰。

[1]秦佳,王卜樂.基于USB驅動的移動介質(zhì)管理系統(tǒng)[J].計算機與數(shù)字工程,2010,38(4):113-114.

[2]鄒敬軒,蔡皖東.基于WDF過濾驅動的USB存儲設備監(jiān)控系統(tǒng)[J].計算機工程與科學,2010,32(3):42-44.

[3]李錦山,舒輝,董衛(wèi)宇等.基于驅動層的UsB存儲設備安全監(jiān)控技術[J].計算機工程,2008,34(8):255-257.

[4]http://www.huaweisymantec.com/cn/Product_Solution/Solution/Education/DSM_TSM/.

[5]W.A.Arbaugh,D.J.Farber,and J.M.Smith.A secure and reliable bootstrap architecture.In Proc.1997 IEEE Symposium on Security and Privacy,pages 14 65-71.IEEE Computer Society Press,1997.

[6]B.Balacheff,L.Chen,S.Pearson,and G.Proudler.Trusted Computing Platforms:TCPA Technology in Context.Prentice Hall International,2003.

[7]J.G.Dyer,M.Lindemann,R.Sailer,L.Van Doorn,S.W.Smith,and S.Weingart.Building the IBM 4758 secure coprocessor.IEEE Computer,34(10):57-66,2001.

[8]The Trusted Computing Group.TPM main version 1.2 part 1 design principles,2003.Available from http://www.trustedcomputinggroup.org.

[9]The Trusted Computing Group.Main specification version 1.1b,2003.Available from http://www.trustedcomputinggroup.org.