塊存儲設(shè)備加密系統(tǒng)關(guān)鍵技術(shù)研究.pdf

1、信息時代的一個重要特征就是大量的數(shù)據(jù)都以電子化的形式存儲在各種設(shè)備中。塊存儲設(shè)備是計算機的主要數(shù)據(jù)存儲設(shè)備，攜帶著大量的機密信息和重要數(shù)據(jù)。由于丟失、被盜或者未經(jīng)授權(quán)使用塊存儲設(shè)備而引起的機密信息和重要數(shù)據(jù)泄漏給政府、企業(yè)和個人造成了巨大的經(jīng)濟(jì)損失。加密技術(shù)是解決塊存儲設(shè)備數(shù)據(jù)泄露問題最直接、最有效的技術(shù)。磁盤以其體積小、容量大、速度快等特點成為了主流的數(shù)據(jù)存儲設(shè)備，因此，磁盤加密從進(jìn)入二十一世紀(jì)以來就成為了信息安全行業(yè)研究的熱點，在近

2、十年的時間里也涌現(xiàn)出了許多優(yōu)秀的磁盤加密產(chǎn)品，但研究的熱點和涌現(xiàn)的產(chǎn)品都集中在對小容量、單一磁盤加密上。對于存儲大量重要數(shù)據(jù)的服務(wù)器磁盤，其加密問題卻很少被人關(guān)注。
　　本課題的研究目的是防止因磁盤的丟失或被盜而引起的靜態(tài)數(shù)據(jù)泄露問題。在對磁盤所在存儲系統(tǒng)的數(shù)據(jù)安全進(jìn)行詳細(xì)需求分析的基礎(chǔ)之上，建立了磁盤數(shù)據(jù)威脅模型——CA模型，重點關(guān)注系統(tǒng)的機密性和對用戶的認(rèn)證。針對 CA模型，本著安全系統(tǒng)應(yīng)該遵循的短板理論、魯棒理論、內(nèi)外隔離和

3、簡潔易用的設(shè)計理念，在Windows操作系統(tǒng)下設(shè)計和實現(xiàn)了 DARE_SPS磁盤加密軟件。本磁盤加密軟件的主要特點是支持磁盤陣列且系統(tǒng)安全性高，在系統(tǒng)機密性和用戶認(rèn)證方面的主要工作如下。
　　在數(shù)據(jù)機密性方面，針對數(shù)據(jù)磁盤和系統(tǒng)磁盤的功能差異，選擇不同的加密層次對磁盤數(shù)據(jù)進(jìn)行加密。對于數(shù)據(jù)磁盤，選擇在卷層次開發(fā)上層過濾驅(qū)動加解密程序。在這個層次對數(shù)據(jù)進(jìn)行加解密，既不需要考慮物理磁盤的分布情況，也不需要關(guān)心上層文件的信息，還可以兼顧

4、磁盤陣列的需求，簡單便捷地實現(xiàn)對數(shù)據(jù)磁盤的全盤加密。對于系統(tǒng)磁盤，選擇在文件系統(tǒng)層次開發(fā)上層過濾驅(qū)動加解密程序。這樣做的優(yōu)點是可以對操作系統(tǒng)駐留的磁盤以文件為單位進(jìn)行有選擇的加密，同時保證了操作系統(tǒng)的正常工作，在安全性和性能方面達(dá)到了較好的平衡。此外，開發(fā)了Windows操作系統(tǒng)內(nèi)核態(tài)的密碼編程接口WKCAPI，為卷過濾驅(qū)動加密程序和文件系統(tǒng)過濾驅(qū)動提供密碼服務(wù)。既彌補了Windows內(nèi)核態(tài)沒有提供可靠密碼服務(wù)的不足，又不依賴于硬件，還

5、可以為其它有內(nèi)核態(tài)密碼服務(wù)需求的程序所用，具有很好的安全性、兼容性、擴展性和復(fù)用性。
　　在保證系統(tǒng)機密性的同時，本課題在用戶認(rèn)證方面也做了如下工作。一般的存儲系統(tǒng)對用戶的認(rèn)證都依賴于操作系統(tǒng)對用戶的認(rèn)證，但是操作系統(tǒng)的認(rèn)證往往容易遭到攻擊，安全性較差。本課題在詳細(xì)分析計算機啟動過程的基礎(chǔ)上，在 MBR階段設(shè)計了基于MBR的用戶雙因子認(rèn)證系統(tǒng)，認(rèn)證過程先于操作系統(tǒng)的啟動，在用戶提供口令和安全令牌，認(rèn)證成功后才開始導(dǎo)引操作系統(tǒng)。同時