喻瀟，田里，劉喆，王捷

?

基于USBKEY的網(wǎng)絡(luò)存儲(chǔ)用戶數(shù)據(jù)保護(hù)的研究與實(shí)現(xiàn)

喻瀟1，田里1，劉喆2.3，王捷1

（1. 國(guó)網(wǎng)湖北省電力有限公司電力科學(xué)研究院，湖北 武漢 430077；2. 武漢大學(xué)國(guó)家網(wǎng)絡(luò)安全學(xué)院，湖北 武漢 430072；3. 武漢大學(xué)空天信息安全與可信計(jì)算教育部重點(diǎn)實(shí)驗(yàn)室，湖北 武漢 430072）

網(wǎng)絡(luò)硬盤和云存儲(chǔ)等網(wǎng)絡(luò)存儲(chǔ)服務(wù)運(yùn)用面廣泛，但是由于網(wǎng)絡(luò)硬盤與云存儲(chǔ)自身的相對(duì)靈活性，造成其需要面對(duì)諸多安全風(fēng)險(xiǎn)。提出基于USBKEY的數(shù)據(jù)加密防護(hù)機(jī)制，數(shù)據(jù)加密與存儲(chǔ)服務(wù)獨(dú)立，把密鑰存儲(chǔ)于USBKEY內(nèi)，最終將“服務(wù)層面提供安全”細(xì)化到“實(shí)體掌握安全”，達(dá)到用戶掌控?cái)?shù)據(jù)安全的目的。

USBKEY；云存儲(chǔ)；網(wǎng)絡(luò)硬盤；數(shù)據(jù)隱私保護(hù)

1 引言

隨著互聯(lián)網(wǎng)與計(jì)算機(jī)的發(fā)展，IT技術(shù)的不斷演進(jìn)，用戶數(shù)據(jù)呈爆炸式增長(zhǎng)，越來越多的用戶依靠網(wǎng)絡(luò)等渠道進(jìn)行數(shù)據(jù)的處理、傳遞和存儲(chǔ)，網(wǎng)絡(luò)硬盤、云存儲(chǔ)等用戶數(shù)據(jù)的服務(wù)產(chǎn)品能夠向用戶提供數(shù)據(jù)、文件等的存儲(chǔ)、備份、共享和管理服務(wù)，具有方便快捷的優(yōu)點(diǎn)。但是，網(wǎng)絡(luò)硬盤與云存儲(chǔ)等服務(wù)只是提供了存儲(chǔ)空間，并沒有承諾對(duì)存儲(chǔ)數(shù)據(jù)的隱私保護(hù)，安全問題也越來越突出，GoogleDocs、The Linkup等多家云服務(wù)提供商都曾被曝出由于安全問題導(dǎo)致數(shù)據(jù)泄露等嚴(yán)重后果[1]。具體來說，一方面來自外部威脅與框架安全問題，通過云服務(wù)器用戶接口與云內(nèi)部系統(tǒng)進(jìn)行交互，外部攻擊者利用軟硬件的漏洞實(shí)施入侵，這主要是系統(tǒng)在開發(fā)過程中就存在安全隱患，目前針對(duì)安全框架已有相當(dāng)多的研究，云計(jì)算的安全問題也已經(jīng)是一大熱門話題[2]；另一方面是來自內(nèi)部威脅與用戶信任的問題，目前阻礙網(wǎng)盤和云存儲(chǔ)等服務(wù)的重要制約因素就是用戶對(duì)服務(wù)提供商的信任問題[3]，云存儲(chǔ)的外包存儲(chǔ)服務(wù)模式導(dǎo)致了特權(quán)用戶的存在，后者具有非授權(quán)訪問用戶數(shù)據(jù)的能力，易導(dǎo)致數(shù)據(jù)信息和隱私泄露等內(nèi)部攻擊問題[4]，內(nèi)部管理員或者特權(quán)用戶的誤操作、惡意企圖都將造成用戶數(shù)據(jù)發(fā)生泄露，而系統(tǒng)本身的一些操作行為也會(huì)侵犯用戶的隱私。用戶對(duì)網(wǎng)絡(luò)硬盤和云存儲(chǔ)之類的存儲(chǔ)服務(wù)不夠信任，同時(shí)存儲(chǔ)服務(wù)提供商也無法證明自己絕對(duì)的安全可信，所以用戶的敏感數(shù)據(jù)和文件不敢隨便上傳到服務(wù)端。為了實(shí)現(xiàn)數(shù)據(jù)的保護(hù)，對(duì)數(shù)據(jù)進(jìn)行加密是最基本的方法，但一般的加密處理方式往往較為簡(jiǎn)單，而且缺乏完整的密鑰管理體系，不涉及較安全的加密算法。

目前，在數(shù)據(jù)加密方面已有框架安全、加密算法等諸多研究[5]，但在客戶端進(jìn)行加密的研究相對(duì)較少。在客戶端進(jìn)行加密涉及很多問題，考慮到服務(wù)使用者大部分是非專業(yè)人員，因此在加密過程和密鑰管理上存在較多問題，本文提出了一個(gè)用戶自主保護(hù)數(shù)據(jù)的安全方案，以USBKEY為密鑰載體，建立完整的密鑰管理體系。該體系將前序安全體系中的“服務(wù)層面提供安全”細(xì)化到“實(shí)體掌握安全”，以USBKEY為基礎(chǔ)，實(shí)現(xiàn)安全快捷的加解密服務(wù)。

2 基于USBKEY的數(shù)據(jù)保護(hù)方案

由于網(wǎng)絡(luò)硬盤以及云存儲(chǔ)等服務(wù)功能越來越強(qiáng)大，可以實(shí)現(xiàn)檢索、運(yùn)算等功能。在本方案中，主要考慮存儲(chǔ)和備份服務(wù)，不考慮其他（如計(jì)算、檢索等）相關(guān)功能。數(shù)據(jù)僅在客戶端以明文存在。

2.1 數(shù)據(jù)加密

數(shù)據(jù)加密是對(duì)數(shù)據(jù)進(jìn)行保護(hù)的基礎(chǔ)，在用戶使用存儲(chǔ)服務(wù)的過程中，在哪一個(gè)環(huán)節(jié)對(duì)數(shù)據(jù)進(jìn)行加密尤為重要。目前很多存儲(chǔ)服務(wù)提供商宣稱對(duì)存儲(chǔ)空間進(jìn)行加密，使數(shù)據(jù)能夠在服務(wù)提供商端實(shí)現(xiàn)密文存儲(chǔ)，但依然存在安全風(fēng)險(xiǎn)，一方面數(shù)據(jù)在傳輸?shù)倪^程中是明文存在，容易被截獲[6]；另一方面，用戶對(duì)自己的數(shù)據(jù)安全仍然無法感知[7]，因此數(shù)據(jù)的加密還必須由用戶完成。由于用戶對(duì)服務(wù)提供商存在信任問題，若要以用戶可感知的方法解決數(shù)據(jù)保護(hù)問題，則必須由用戶完成數(shù)據(jù)加密工作，同時(shí)，為了抵御服務(wù)提供商內(nèi)部的惡意攻擊，推薦方式為僅使用網(wǎng)絡(luò)硬盤和云存儲(chǔ)所提供的存儲(chǔ)服務(wù)，而加密的細(xì)節(jié)對(duì)存儲(chǔ)服務(wù)提供商不可見，這就要求在用戶端具有一套自主的數(shù)據(jù)加解密體系，同時(shí)又能達(dá)到對(duì)存儲(chǔ)服務(wù)提供商相對(duì)獨(dú)立的目的[8-9]。

2.2 USBKEY

USBKEY是一種USB 接口的硬件設(shè)備，內(nèi)置了CPU、存儲(chǔ)器、芯片操作系統(tǒng)（COS，chip operating system），具有安全數(shù)據(jù)存儲(chǔ)空間，可以存儲(chǔ)數(shù)字證書、密鑰等秘密數(shù)據(jù)，對(duì)該存儲(chǔ)空間的讀寫操作必須通過程序?qū)崿F(xiàn)，用戶無法直接讀取，其中的用戶密鑰是不可導(dǎo)出的，這就杜絕了復(fù)制用戶數(shù)字證書或身份信息的可能性，USB-KEY 可以實(shí)現(xiàn)加解密和簽名的各種算法，加解密運(yùn)算在USBKEY 內(nèi)進(jìn)行，保證了密鑰不會(huì)出現(xiàn)在計(jì)算機(jī)內(nèi)存中，從而杜絕了用戶密鑰被黑客截取的可能性[8]。利用USBKEY 內(nèi)置的密碼算法還能夠?qū)τ脩羯矸莸恼J(rèn)證，每一個(gè)USBKEY 都具有硬件PIN碼保護(hù)，PIN 碼和硬件構(gòu)成了用戶使用USBKEY的2個(gè)必要因素，用戶只有同時(shí)取得了USBKEY和用戶PIN 碼才可以登錄系統(tǒng)。如果PIN碼泄露，只要用戶仍持有USBKEY，用戶的身份就不會(huì)被仿冒；如果用戶的USBKEY 遺失，但由于不知道用戶PIN 碼，也無法仿冒用戶的合法身份[10]。

要實(shí)現(xiàn)用戶自主數(shù)據(jù)加密且相對(duì)存儲(chǔ)服務(wù)提供商獨(dú)立，需要面對(duì)的主要問題是：加密算法的實(shí)現(xiàn)和密鑰的管理。加密操作必須采用相應(yīng)的軟件來實(shí)現(xiàn)，而密鑰管理則更為復(fù)雜。從以上USBKEY的特點(diǎn)分析來看，USBKEY非常適合作為加解密與密鑰管理的載體[11-12]。

2.3 基于USBKEY的數(shù)據(jù)加密

用戶對(duì)敏感數(shù)據(jù)先加密后上傳，由于上傳的數(shù)據(jù)是密文，能夠同時(shí)抵抗針對(duì)服務(wù)商的外部攻擊和內(nèi)部攻擊，當(dāng)用戶自行加密數(shù)據(jù)時(shí)，最大問題就是加密軟件和密鑰管理。采用USBKEY的形式能保證用戶的密鑰安全，并且使用戶能方便地在多種環(huán)境下實(shí)現(xiàn)隨身加解密。

2.4 用戶自主掌控?cái)?shù)據(jù)安全

用戶個(gè)人掌控安全，意味著僅用戶能獲得最終加解密文件的密鑰，用戶也能夠獨(dú)自掌握USBKEY的PIN碼。在本方案中，最終加解密文件的密鑰由USBKEY內(nèi)置密鑰和PIN碼生成的密鑰組合而成，最終密鑰只在運(yùn)行時(shí)臨時(shí)生成。首先，用戶PIN碼生成一個(gè)密鑰，并作為最終密鑰的一部分，使密鑰完全由用戶掌控，即使USBKEY內(nèi)密鑰意外泄露，也無法得到最終密鑰，管理服務(wù)端也無法獲得最終密鑰，使安全完全由用戶自己掌握，用戶信息的隱私得到完全保護(hù)；其次，USBKEY內(nèi)部有標(biāo)準(zhǔn)密鑰，該密鑰存放在安全存儲(chǔ)區(qū)域中，只作為加解密密鑰的一部分，內(nèi)置密鑰進(jìn)一步加強(qiáng)了密鑰的安全性，也解決了PIN碼產(chǎn)生的密鑰空間過小的問題。

3 PIN碼的保護(hù)

3.1 PIN碼

在本方案中，USBKEY提供基本PIN碼管理、認(rèn)證等功能，并在此基礎(chǔ)上擴(kuò)充了PIN碼的功能，以及對(duì)歷史PIN碼的管理。

3.2 身份認(rèn)證

為防止USBKEY被盜用，每次使用USBKEY時(shí)需驗(yàn)證用戶身份，驗(yàn)證方式采用PIN碼，驗(yàn)證通過后方可使用USBKEY的功能，具體認(rèn)證流程圖1所示。

圖1 身份認(rèn)證流程

3.3 密鑰生成

為了達(dá)到個(gè)人掌控安全的目的，最終的加解密密鑰由USBKEY內(nèi)置的標(biāo)準(zhǔn)密鑰和用戶口令共同決定。其中，PIN碼生成的密鑰是實(shí)現(xiàn)用戶掌控安全、保護(hù)用戶信息隱私的重要手段，內(nèi)置密鑰則為了達(dá)到增大密鑰空間、加大密鑰強(qiáng)度。密鑰生成流程如圖2所示。

圖2 密鑰生成流程

3.4 PIN碼修改與管理

3.4.1 PIN碼與密鑰更新

為了安全使用USBKEY，用戶可隨時(shí)修改USBKEY的使用PIN碼，同時(shí)，修改PIN碼也會(huì)同步更新加解密密鑰，修改操作全部在客戶端進(jìn)行，認(rèn)證PIN碼后才能進(jìn)行修改，修改流程與修改口令類似。

3.4.2 PIN碼標(biāo)識(shí)數(shù)

當(dāng)用戶修改PIN碼時(shí)，加解密文件的密鑰也會(huì)改變，用戶能對(duì)之前所有文檔進(jìn)行解密操作，就需要對(duì)PIN碼進(jìn)行管理。為了實(shí)現(xiàn)對(duì)PIN碼的管理，會(huì)對(duì)每個(gè)PIN碼定義一個(gè)標(biāo)識(shí)數(shù)，標(biāo)識(shí)數(shù)的規(guī)則如下。

1) PIN碼的標(biāo)識(shí)數(shù)產(chǎn)生于該P(yáng)IN碼被修改時(shí)，值為修改時(shí)系統(tǒng)時(shí)間距離1970年1月1日 0:0:0 的秒數(shù)。

2) PIN碼被修改后，會(huì)被新PIN碼所產(chǎn)生的密鑰加密，該P(yáng)IN碼的標(biāo)識(shí)數(shù)和密文以XML格式存儲(chǔ)于USBKEY安全區(qū)域的PIN碼維護(hù)文件中。

3) 加密文件時(shí)，將在文件的密文文件的額外信息區(qū)域加入時(shí)間數(shù)信息，即當(dāng)前加密時(shí)間距離1970年1月1日 0:0:0 的秒數(shù)。

4) 解密時(shí)，根據(jù)密文文件時(shí)間數(shù)信息和PIN碼維護(hù)文件確定加密該文件的PIN碼，取得該P(yáng)IN碼密文后解密并用該P(yáng)IN碼解密文件（用PIN碼加密文件意為用該P(yáng)IN碼生成的密鑰和內(nèi)置密鑰組合而成的密鑰加密，解密同）。

5) 修改PIN碼時(shí)，需用修改前的PIN碼解密所有PIN碼，并用新PIN碼加密所有歷史PIN碼并重新存儲(chǔ)，即每次修改PIN碼都需重新更新整個(gè)文件，相應(yīng)的標(biāo)識(shí)數(shù)保持不變。

3.4.3 PIN碼管理

PIN碼是由標(biāo)識(shí)數(shù)管理，對(duì)歷史PIN碼管理規(guī)則如下。

1) PIN碼維護(hù)文件存放在USBKEY安全區(qū)域指定目錄下，客戶端通過身份認(rèn)證后才能進(jìn)行操作。

2) PIN碼維護(hù)文件以XML格式存儲(chǔ)，每個(gè)PIN碼包含兩個(gè)字段：標(biāo)識(shí)數(shù)與密文。

3) 每次修改PIN碼時(shí)：首先用修改后的PIN碼Pnew加密修改前的PIN碼Pold，得到密文*P，同時(shí)生成標(biāo)識(shí)數(shù)NUM；再將NUM和*P組合成PIN碼維護(hù)文件規(guī)定的格式，并添加未修改完成標(biāo)記，將以上內(nèi)容添加進(jìn)PIN碼維護(hù)文件中；調(diào)用PIN碼管理模塊修改PIN碼（此3步完成后才開始進(jìn)行之前的PIN碼維護(hù)）；取出PIN碼維護(hù)文件中不帶未完成屬性（剛加入的節(jié)點(diǎn)）的PIN碼節(jié)點(diǎn)的密文，用Pold解密、Pnew加密，并更新對(duì)應(yīng)密文節(jié)點(diǎn)的內(nèi)容；更新完畢后，刪除未修改完成屬性，修改操作全部結(jié)束。修改PIN碼的流程如圖3所示。

圖3 PIN碼修改流程

需要說明的一點(diǎn)是，由于PIN的目標(biāo)是用戶個(gè)人掌握安全，所以PIN碼僅用戶個(gè)人知曉。所以針對(duì)PIN碼僅提供修改功能，不提供管理功能。一旦PIN丟失，無法做到密碼找回等管理操作。

3.5 PIN碼生成密鑰算法

輸入PIN碼、內(nèi)置密鑰，輸出為64位DES密鑰，生成過程如下。

1) 初始化Hash函數(shù)，將作為Hash函數(shù)的輸入。

2) 取Hash結(jié)果并計(jì)算校驗(yàn)碼，湊成64位DES密鑰。

3) 計(jì)算與異或結(jié)果。

4) 根據(jù)與的長(zhǎng)度，以作為輸入，調(diào)用對(duì)應(yīng)的密鑰生成算法得到組合后的密鑰。

4 基于USBKEY的用戶自主數(shù)據(jù)安全防護(hù)方案

在整個(gè)安全防護(hù)方案中，加解密分為用戶端與服務(wù)端兩部分。其中，用戶端由USBKEY組成，負(fù)責(zé)用戶數(shù)據(jù)的加解密以及集成網(wǎng)盤接口，服務(wù)端則負(fù)責(zé)密鑰的管理。

USBKEY硬件提供一定的存儲(chǔ)空間和加解密功能，硬件部分對(duì)軟件提供加解密調(diào)用接口，接收上層軟件傳來的數(shù)據(jù)進(jìn)行加解密操作并返回結(jié)果數(shù)據(jù)；軟件的核心部分是文件加解密包，負(fù)責(zé)讀取文件調(diào)用USBKEY進(jìn)行加解密并輸出密/明文文件至指定目錄，整個(gè)方案中該部分與硬件進(jìn)行交互并對(duì)外提供接口，供調(diào)用實(shí)現(xiàn)文件的加解密操作。

4.1 加密處理

客戶端共實(shí)現(xiàn)了2種密碼算法：DES和RC4，其中，USBKEY加密采用的是DES加密算法，快速加密采用RC4算法，2種算法的密鑰存儲(chǔ)于USBKEY內(nèi)的保密區(qū)域，未授權(quán)者無法讀取。數(shù)據(jù)源經(jīng)過分塊后根據(jù)選擇的操作類型（USBKEY內(nèi)部加密或快速加密）進(jìn)行相應(yīng)的加密操作，2種方式的區(qū)別如下。

圖4 加密流程

1) USBKEY內(nèi)部加密的計(jì)算由USBKEY內(nèi)的密碼芯片完成，速度較慢。

2) 快速加密的計(jì)算由客戶端完成，但密鑰需從USBKEY讀取出來，具體流程如圖4所示。

由于存在2種加密算法，解密時(shí)要選擇相應(yīng)的解密方式，具體在加密的過程中將加密方式存入密文，客戶端根據(jù)標(biāo)記字段選擇相應(yīng)的加密方式。由于采用對(duì)稱算法，因此密鑰的處理方式與加密相同，快速解密同樣需要讀出密鑰，整體流程如圖5所示。

圖5 解密流程

4.2 密鑰管理

密鑰管理由密鑰庫實(shí)現(xiàn)，密鑰庫主要用于管理USBKEY中的密鑰，具體是有一個(gè)獨(dú)立的非聯(lián)網(wǎng)數(shù)據(jù)庫以及相關(guān)操作程序組成。密鑰由非聯(lián)網(wǎng)服務(wù)器的專門程序生成，生成后寫入U(xiǎn)SBKEY，每個(gè)USBKEY會(huì)寫入1個(gè)DES密鑰和1個(gè)RC4密鑰，密鑰寫入U(xiǎn)SBKEY后，會(huì)在密鑰庫中進(jìn)行備份，備份數(shù)據(jù)分組含密鑰數(shù)據(jù)備份與密鑰文件備份，所有備份數(shù)據(jù)均為密文數(shù)據(jù)。

密鑰數(shù)據(jù)庫中備份表包含以下字段。

1) USBKEY_ID：對(duì)應(yīng)每個(gè)USBKEY的唯一DI。

2) USBKEY_KEY_DES：DES加密所用密鑰數(shù)據(jù)（密文）。

3) USBKEY_KEY_RC4：RC4加密所用密鑰（密文）。

4) USBKEY_PATH_DES：DES密鑰密文文件存放目錄。

5) USBKEY_PATH_RC4：RC4密鑰密文文件存放目錄。

如果用戶USBKEY遺失，必須生成相同密鑰的USBKEY才能確保之前的加密文件能夠正常解密，具體根據(jù)遺失USBKEY的ID查找對(duì)應(yīng)的密鑰文件，解密后寫入到新的USBKEY中。

4.3 軟件版本與安全證明

軟件共分為網(wǎng)絡(luò)版與本地版共2個(gè)版本，其中，本地版主要實(shí)現(xiàn)數(shù)據(jù)的加解密，密鑰由USBKEY內(nèi)部密鑰和PIN碼形成，僅有文件加解密的基本功能，不通過網(wǎng)絡(luò)交換數(shù)據(jù)；網(wǎng)絡(luò)版則在本地版的基礎(chǔ)上增加了存儲(chǔ)功能，集成了網(wǎng)絡(luò)硬盤和云存儲(chǔ)所提供的接口[13]。

目前，盜取用戶信息的軟件主要通過預(yù)留后門、植入代碼、搜集用戶信息或未經(jīng)允許上傳私人信息等方式實(shí)現(xiàn)。在加解密軟件版本中，本地版不與外界交流任何信息，而網(wǎng)絡(luò)版則調(diào)用網(wǎng)盤接口，數(shù)據(jù)分組發(fā)送地址為網(wǎng)絡(luò)硬盤或云存儲(chǔ)服務(wù)商的地址，可以應(yīng)對(duì)以上常見的安全威脅。

5 結(jié)果測(cè)試

5.1 加密效率測(cè)試

通過測(cè)試USBKEY內(nèi)部加密和USBKEY外加密速度，發(fā)現(xiàn)2種加密耗時(shí)還有較大差別，具體如表1所示。

表1 USBKEY內(nèi)部加密和USBKEY外加密耗時(shí)對(duì)比

5.2 軟件監(jiān)控

本地版無網(wǎng)絡(luò)數(shù)據(jù)交換，對(duì)于網(wǎng)絡(luò)版能夠?qū)崿F(xiàn)對(duì)客戶端提交數(shù)據(jù)的發(fā)送地址進(jìn)行監(jiān)控，具體如圖6所示。

圖6 客戶端網(wǎng)絡(luò)連接

6 結(jié)束語

網(wǎng)絡(luò)硬盤以及云存儲(chǔ)等服務(wù)為用戶提供了諸多便利，但其自身存在的安全問題在一定程度上阻礙了發(fā)展，本文提出了一種從客戶端著手、以USBKEY作為載體，針對(duì)用戶數(shù)據(jù)進(jìn)行加解密的安全防護(hù)方案。該方案改變了以往由服務(wù)商提供安全的傳統(tǒng)模式，既適用于本地用戶的軟件與數(shù)據(jù)隱私保護(hù)，也針對(duì)網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)進(jìn)行數(shù)據(jù)安全保護(hù)，并監(jiān)控軟件運(yùn)行過程，及時(shí)發(fā)現(xiàn)異常操作行為，實(shí)現(xiàn)用戶自身掌控?cái)?shù)據(jù)安全，以用戶可感知的方法解決了數(shù)據(jù)與軟件保護(hù)的安全挑戰(zhàn)，具有一定的推廣應(yīng)用價(jià)值。

[1] 劉曉建, 王力生, 廖新考. 基于CP-ABE和XACML多權(quán)限安全云存儲(chǔ)訪問控制方案[J]. 計(jì)算機(jī)科學(xué), 2016, 43(3): 118-121.

LIU X J, WANG L S, LIAO X K. Multiple permissions secure access control scheme combining CP-ABE and XACML in cloud storage[J]. Computer Science,2016,43(3):118-121.

[2] 吳吉義, 李文娟, 黃劍平, 等. 移動(dòng)互聯(lián)網(wǎng)研究綜述[J].中國(guó)科學(xué):信息科學(xué), 2015, 45(1): 45-69.

WU J Y, LI W J, HUANG J P, et al. Key techniques for mobile Internet: a survey[J]. Scientia Sinica Informationis, 2015, 45(1): 45-69.

[3] 牛德華, 馬建峰, 馬卓, 等. 基于屬性的安全增強(qiáng)云存儲(chǔ)訪問控制方案[J]. 通信學(xué)報(bào), 2013,34(S1):276-284.

NIU D H, MA J F, MA Z, et al. Enhanced cloud storage access control scheme based on attrib-ute[J].2013,34(S1):276-284.

[4] 余江,萬勁波,張?jiān)?推動(dòng)中國(guó)云計(jì)算技術(shù)與產(chǎn)業(yè)創(chuàng)新發(fā)展的戰(zhàn)略思考[J].中國(guó)科學(xué)院院刊,2015,30(2):181-186.

YU J, WAN J B, ZHANG Y. Strategy of promoting innovation in China’s cloud computing industry[J].Bulletin of Chinese Academy of Sciences,2015,30(2):181-186.

[5] 劉帆, 楊明. 一種用于云存儲(chǔ)的密文策略屬性基加密方案[J].計(jì)算機(jī)應(yīng)用研究, 2012, 29(4): 1452-1456.

LIU F, YANG M. Ciphertext policy attribute based encryption scheme for cloud storage[J]. Application Research of Comput-ers, 2012, 29(4): 1452-1456.

[6] 王帥, 常朝穩(wěn), 魏彥芬. 基于云計(jì)算的USB Key身份認(rèn)證方案[J]. 計(jì)算機(jī)應(yīng)用研究,2014,31(7):2130-2134.

WANG S,CHANG C W,WEI Y F. USB key authentica-tion scheme based on cloud computing[J]. Application Research of Computers,2014,31(7):2130-2134.

[7] 馮登國(guó), 秦宇, 汪丹, 等. 可信計(jì)算技術(shù)研究[J]. 計(jì)算機(jī)研究與發(fā)展, 2011, 48(8): 1332-1349.

FENG D G, QIN Y, WANG D, et al. Research on trusted computing technology[J]. Journal of Computer Research and Development, 2011,48(8): 1332-1349.

[8] 秦中元, 胡愛群. 可信計(jì)算系統(tǒng)及其研究現(xiàn)狀[J]. 計(jì)算機(jī)工程, 2006, 32(14): 111-113.

QIN Z Y, HU A Q. Trusted copmuting system and its currect computer engineering[J]. Computer Engineering, 2006, 32(14): 111-113.

[9] 張煥國(guó), 陳璐, 張立強(qiáng).可信網(wǎng)絡(luò)連接研究[J].計(jì)算機(jī)學(xué)報(bào), 2010, 33(4): 706-717.

ZHANG H G, CHEN L, ZHANG L Q. Research on trusted network connection[J]. Chinese Journal of Computers, 2010, 33(4): 706-717.

[10] 于江, 蘇錦海, 張永福. 基于USB-Key的強(qiáng)口令認(rèn)證方案設(shè)計(jì)與分析. 計(jì)算機(jī)應(yīng)用,2011,31(2) :511-513.

YU J, SU J H, ZHANG Y F. Design and analysis of USB-Key based strong password authentication scheme[J].Journal of Computer Applications,2011,31(2) :511-513.

[11] Trusted Computing Group. TCG trusted network connect TNC architecture for interoperability[S]. 2009.

[12] Cisco. Cisco Network Admission Control[R]. 2003.

[13] Microsoft. Network Access Pretection Platform Architec-ture[R]. 2004.

Research and realization on USBKEY based network storage user data protection

YU Xiao1, TIAN Li1, LIU Zhe2.3, WANG Jie1

1.State Grid Hubei Electric Power Research Institute, Wuhan 430077, China 2. School of Cyber Science and Engineering, Wuhan University, Wuhan 430072, China 3. Key Laboratory of Aerospace Information Security and Trusted Computing Ministry of Education, Wuhan University, Wuhan 430072, China

Network storage services such as network hard disk and cloud storage are widely used. However, due to the relative flexibility of network hard disk and cloud storage, it has to face many security risks. Based on the data encryption protection mechanism of USBKEY, data encryption and storage service, the key is stored in USBKEY, will eventually “service level provide security” elaboration to the "real master security" to achieve the purpose of user control of data security.

USBKEY, cloud storage, online storage, data privacy protection

TP393

A

10.11959/j.issn.2096-109x.2018018

2018-04-25；

2018-05-20

劉喆，liangshijie@sina.com

國(guó)家自然科學(xué)基金資助項(xiàng)目（No.61772384）

The National Natural Science Foundation of China (No.61772384)

喻瀟（1984-），男，湖北紅安人，國(guó)網(wǎng)湖北省電力有限公司電力科學(xué)研究院工程師，主要研究方向?yàn)樾畔踩?/p>

田里（1984-），男，湖北十堰人，國(guó)網(wǎng)湖北省電力有限公司電力科學(xué)研究院工程師，主要研究方向?yàn)樾畔踩?/p>

劉喆（1989-），男，山東青島人，武漢大學(xué)博士生，主要研究方向?yàn)樾畔踩?/p>

王捷（1987-），男，湖北黃岡人，博士，國(guó)網(wǎng)湖北省電力有限公司電力科學(xué)研究院工程師，主要研究方向?yàn)樾畔踩?/p>