摘 要: 目前多數(shù)安全USB設(shè)備使用時,需要開啟一個應(yīng)用程序界面來對USB設(shè)備進(jìn)行讀寫、加密/解密。對此,提出并實現(xiàn)了一種利用硬件PNP技術(shù)自動對USB映射為本地盤符,拔下時自動刪除盤符的技術(shù)。讀寫文件時,對USB設(shè)備自動透明加解密;安全U盤使用前經(jīng)過授權(quán)中心統(tǒng)一注冊與授權(quán),劃分為權(quán)限注冊區(qū)和加密區(qū);用戶密碼驗證采用基于密碼的密碼系統(tǒng)說明書(RFC2898)和應(yīng)用偽隨機函數(shù)導(dǎo)出密鑰(PBKDF2);權(quán)限管理采用預(yù)先設(shè)定好的內(nèi)、外網(wǎng)策略,內(nèi)網(wǎng)策略分為多個等級。在實際應(yīng)用中取得了較好效果。
關(guān)鍵詞: 移動存儲;加解密;卷映射;硬件插拔
大多數(shù)普通安全U盤通過使用軟件實現(xiàn)安全U盤加密功能。在使用過程中,用戶需要打開專用的U盤瀏覽器或管理工具等,不但操作不方便,而且不符合USB設(shè)備使用習(xí)慣和人性化設(shè)計。
本文通過對驅(qū)動層硬件插拔(PNP)的研究,在用戶接上USB等存儲設(shè)備時,在卷過濾驅(qū)動層判斷符合卷格式的USB設(shè)備時,如果符合規(guī)定的卷格式和標(biāo)識,則對U盤自動卷映射(mount)為本地磁盤,對U盤的讀寫操作如同操作本地盤,即在寫入文件時自動加密,讀文件時自動解密,對卷映射的本地磁盤盤符的讀寫,實際是對U盤上加密數(shù)據(jù)的讀寫。
在分析了Windows DDK/FSD驅(qū)動開發(fā)技術(shù)、卷上過濾驅(qū)動技術(shù),提出了在Windows系統(tǒng)插入USB設(shè)備時,自動掛載符合規(guī)定卷格式的USB設(shè)備,映射為本地磁盤,根據(jù)注冊信息和本機是否在內(nèi)網(wǎng),應(yīng)用相應(yīng)的策略,對USB設(shè)備進(jìn)行可讀、可寫、禁用等措施;在加解密方面,應(yīng)用基于密碼的密碼系統(tǒng)說明書(RFC2898)和應(yīng)用偽隨機函數(shù)導(dǎo)出密鑰(PBKDF2)等標(biāo)準(zhǔn),保證了數(shù)據(jù)的安全存儲。
1 原理與架構(gòu)
系統(tǒng)分為驅(qū)動層和應(yīng)用層,驅(qū)動層包括一個卷過濾驅(qū)動程序和一個文件系統(tǒng)過濾驅(qū)動;應(yīng)用層包括一個應(yīng)用程序和與驅(qū)動交互的dll。應(yīng)用層是隱藏界面的應(yīng)用程序。卷過濾驅(qū)動對USB盤的(PNP)動作識別,讀移動硬盤卷的頭為512 B,對特定標(biāo)識識別,如果不符合卷標(biāo)示,則可采用禁用或放行等;如果符合卷格式和標(biāo)識,則對此卷進(jìn)行映射。USB盤上數(shù)據(jù)采用透明加解密方法。
普通U盤使用前需要格式化,物理U盤上的數(shù)據(jù)是隨機的數(shù)值。密碼算法采用基于口令的密碼系統(tǒng) (RFC2898),口令和鹽(salt)結(jié)合產(chǎn)生密鑰。鹽可看作是對口令導(dǎo)出的一個大密鑰集合的索引。鹽和迭代次數(shù)構(gòu)成了PKCS#5v1.5中基于口令加密基礎(chǔ)。系統(tǒng)總體架構(gòu)序列圖如圖1所示。
加密算法可采用AES-256、Serpent、Twofish等,解密時通過判斷廠商標(biāo)識以及CRC-32校驗和是否正確,在此過程中在權(quán)限注冊區(qū)讀入相應(yīng)的注冊信息,如GUID和廠商標(biāo)識等。如上述過程正確,則執(zhí)行正確的卷映射過程。
2 研究與實現(xiàn)
系統(tǒng)應(yīng)用層主要由三個線程組成,主線程是應(yīng)用程序,剩下卷映射線程和卸下卷(unmount)線程分別用來在USB存儲設(shè)備做PNP時對本地盤進(jìn)行卷映射和卸下卷。線程和驅(qū)動層采用事件通信機制。本系統(tǒng)定位于移動存儲設(shè)備,包括移動硬盤、U盤及移動存儲卡等移動存儲介質(zhì)??梢詫⒂脩舻钠胀║SB存儲設(shè)備分為密文區(qū)與權(quán)限注冊區(qū)兩個存區(qū)。密文區(qū)是從內(nèi)部可信計算機拷貝數(shù)據(jù)到USB存儲設(shè)備,數(shù)據(jù)在后臺加密處理后存放的區(qū)域;權(quán)限注冊區(qū)則寫入GUID和必要的廠商、運行權(quán)限、內(nèi)外網(wǎng)策略等。
卷映射線程收到底層USB的PNP動作時,首先得到運行環(huán)境,根據(jù)運行環(huán)境得到USB存儲設(shè)備讀寫權(quán)限,然后根據(jù)相關(guān)密碼、密鑰等參數(shù)通過DEVICEIOCONTROL通知驅(qū)動創(chuàng)建本地虛擬盤,最后廣播DBT_DEVICEARRIVAL消息通知操作系統(tǒng)。卸下卷線程收到USB存儲設(shè)備拔出事件通知后,將盤符參數(shù)下發(fā)到驅(qū)動層,對盤符做卸下卷操作,同時清理相關(guān)資源,發(fā)送廣播消息(DBT_DEVICEREMOVEPENDING)消息。
集中注冊與授權(quán),使用前必須經(jīng)過授權(quán)中心統(tǒng)一注冊與授權(quán),包括格式化、實名注冊、標(biāo)識密級、指定授權(quán)計算機、是否采用口令保護(hù)等。授權(quán)后的移動存儲介質(zhì)在涉密計算機上能正常使用,當(dāng)未授權(quán)的移動存儲設(shè)備接入計算機時,系統(tǒng)可自動關(guān)閉USB端口,使未授權(quán)移動存儲介質(zhì)無法在涉密計算機上使用。采用透明加密技術(shù)實現(xiàn)讀寫數(shù)據(jù)自動加解密。
對于正確安裝了移動存儲安全系統(tǒng)客戶端的計算機,客戶端自動上報該機狀態(tài),完成到控制臺服務(wù)器注冊功能,有效防止非法用戶安裝客戶端程序。靈活的注冊策略,可設(shè)定移動存儲介質(zhì)允許的計算機或組;管理員可隨時更改移動存儲介質(zhì)注冊策略和信息,包括遠(yuǎn)程策略變更、掛失和注銷等;外出拷貝功能是將COPY到U盤內(nèi)安全存儲的數(shù)據(jù)與外界沒有安裝客戶端程序的計算機進(jìn)行數(shù)據(jù)交互使用,非法外聯(lián)監(jiān)控;審計功能包括詳細(xì)審計記錄(如注冊信息、使用信息和文件操作信息),記錄要素包括使用人、使用的計算機、使用時間和動作等。
應(yīng)用層完成對移動存儲設(shè)備的格式化工作。對卷起始位置寫入密碼、校驗和等信息,提供了FAT32和NTFS兩種文件系統(tǒng)格式。在驅(qū)動中對移動存儲設(shè)備做卷映射,創(chuàng)建類型為FILE_DEVICE_DISK卷過濾驅(qū)動,使用不同的盤符。在IRP_MJ_WRITE和IRP_MJ_READ請求例程中進(jìn)行加解密。在IRP_MJ_WRITE分發(fā)例程中把相關(guān)的IRP存入隊列。在新創(chuàng)建的系統(tǒng)線程內(nèi)進(jìn)行卷加密。在IRP_MJ_READ中進(jìn)行解密。
注冊主要由應(yīng)用層注冊工具完成,可由用戶選擇FAT32或NTFS格式。注冊流程如下:訪問移動存儲盤,輸入需要注冊信息。注冊信息包括:移動存儲盤密碼、標(biāo)簽名、安全等級、客戶標(biāo)識名、分區(qū)個數(shù)、內(nèi)網(wǎng)移動存儲策略、外網(wǎng)移動存儲策略、1~5等級的移動存儲策略(是否啟用保密區(qū)、是否啟用交換區(qū),不同分區(qū)間操作控制)。然后寫入移動存儲密碼和相關(guān)注冊信息,使用IOCTL向移動存儲介質(zhì)寫入相應(yīng)的控制權(quán)限信息。
插入安全U盤后,得到處理環(huán)境信息:是否為有效設(shè)備、是否有客戶端代理、客戶標(biāo)識匹配、在內(nèi)網(wǎng)否、安全等級是否1~5,然后決定應(yīng)用不同策略。驅(qū)動只要掛載存儲卷的UpperFilter即可完成卷的加解密任務(wù)。
卷過濾驅(qū)動在IRP_MJ_PNP請求時監(jiān)控設(shè)備的插拔消息,程序判斷是否是指定的卷格式,如發(fā)現(xiàn)是移動存儲設(shè)備,則用DeviceIoControl與驅(qū)動層通信。通過對新加卷的監(jiān)控,實現(xiàn)對移動存儲設(shè)備的加解密。應(yīng)用層通過DeviceIoControl與應(yīng)用層的通信獲得用戶密鑰和權(quán)限策略。
在文件系統(tǒng)驅(qū)動層映射卷的流程如下:應(yīng)用程序調(diào)用ZwCreateFile或IoCreateFileSpecifyDeviceObjectHint,I/O管理器確定請求的目標(biāo)是哪個邏輯卷,檢查是否設(shè)置了VPB_MOUNTED。如此卷在系統(tǒng)引導(dǎo)后未被卷映射,則I/O管理器發(fā)送卷映射請求(IRP_MN_MOUNT_VOLUME)。
每個文件系統(tǒng)接收到卷映射卷請求后,檢查卷引導(dǎo)扇區(qū)確認(rèn)是否是正確的卷格式、卷是否為指定的文件系統(tǒng)格式化的。如果卷格式符合,文件系統(tǒng)則卷映射該卷。
對移動存儲設(shè)備的格式化可分為FAT32和NTFS兩種格式。卷過濾驅(qū)動監(jiān)控系統(tǒng)的PNP行為,如移動介質(zhì)頭512 B符合卷頭格式,則使用事件通知應(yīng)用層對移動介質(zhì)卷映射,卷映射線程將相關(guān)參數(shù)(盤符、密碼、磁盤屬性)等傳遞到文件系統(tǒng)驅(qū)動,創(chuàng)建一個FILE_DEVICE_DISK類型的過濾設(shè)備;然后創(chuàng)建一個線程,在線程中應(yīng)用ZwCreateFile打開卷設(shè)備Handle,讀取卷頭信息,對卷頭信息進(jìn)行驗證,如驗證卷頭信息成功,則創(chuàng)建相應(yīng)盤符的符號鏈接;對USB設(shè)備加密模式為XTS;卸下卷線程接到拔下USB存儲器通知事件后,對相應(yīng)盤符進(jìn)行卸載,清理相關(guān)資源。
應(yīng)用層包括對卷格式化功能,對移動USB設(shè)備合法性驗證、得到USB運行環(huán)境信息、根據(jù)策略信息對USB設(shè)備進(jìn)行讀寫、禁用等控制。在USB設(shè)備上單開辟一個區(qū)域,用來存取注冊信息以及寫入注冊信息和讀取注冊信息,生成GUID寫入USB設(shè)備的唯一標(biāo)示,完成卷映射功能。
安全U盤總體設(shè)計序列圖如圖2所示。
在PNP發(fā)生時,驅(qū)動層和應(yīng)用層通過事件進(jìn)行通信。對卷映射和卸下卷過程各啟動一個線程等待PNP事件發(fā)生。首先驗證卷頭格式,卷頭信息讀到RAM中。卷頭64 B是生成密鑰所需的鹽(salt),驅(qū)動層解密讀入的標(biāo)準(zhǔn)卷頭、解密過程中的所有數(shù)據(jù)保存在RAM中。在此過程中需要得到如下參數(shù):
卷頭導(dǎo)出函數(shù)用的PRF參數(shù)(見PKCS #5 v2.0)可為:HMAC-SHA-512、HMAC_RIPEMD-160等;廠商標(biāo)示密碼和讀入的鹽值傳給卷頭密鑰導(dǎo)出函數(shù),生成頭解密密鑰和扇區(qū)解密密鑰;使用的加密算法為AES-256;解密時對照廠商標(biāo)示密碼及校驗和,密鑰用來解密卷上的扇區(qū)。
主要數(shù)據(jù)結(jié)構(gòu)和參數(shù)如下:
(1)卷映射數(shù)據(jù)結(jié)構(gòu)
typedef struct
{
Int nReturnCode; //底層sys返回碼
Short wszHsVolume[MAX_PATH]; //卷名稱
Password VolumePassword; //用戶密碼
BOOL bCache;//是否在驅(qū)動中緩存密碼
Int nDosDriveNo; //需要卷映射的盤符號
Int BytesPerSector; //扇區(qū)字節(jié)數(shù)
BOOL bSystemVolume; //是否為系統(tǒng)卷
BOOL bPersistenVolume; //是否為隱藏卷
BOOL bMountReadOnly;//是否映射為隱藏卷格式
BOOL bMountRemovable;//是否映射為可移動
//存儲設(shè)備
} MOUNT_STRUCT;
(2)設(shè)備信息結(jié)構(gòu)
typedef struct _SECDEVICEINFO
{
CHAR szProvider[SD_MAX_PROVIDER_LEN];
//設(shè)備提供者名稱
DWORD dwDeviceType; //設(shè)備類型
CHAR szDeviceID[SD_MAX_DEVICE_ID_LEN];
//設(shè)備唯一標(biāo)識
__int64 dwDeviceCapacity; //設(shè)備容量
} SECDEVICEINFO, *PSECDEVICEINFO;
(3)策略數(shù)據(jù)結(jié)構(gòu)
typedef struct _POLICYDATA
{
BOOL bEnableSecPart; //是否啟動保密區(qū)
BOOL bReadSecPart; //是否可讀保密區(qū)
BOOL bWriteSecPart; //是否可寫保密區(qū)
BOOL bEncryptSecPart; //是否加密保密區(qū)
BOOL bEnableExchPart; //是否啟用交換區(qū)
BOOL bReadExchPart; //是否可讀交換區(qū)
BOOL bWriteExchPart; //是否可寫交換區(qū)
BOOL bEncryptExchPart; //是否加密交換區(qū)
BOOL bExchPartToSecPart;
//是否允許從交換區(qū)復(fù)制到保密區(qū)
BOOL bsechPartToSecPart;
//是否允許從保密區(qū)復(fù)制到交換機
} POLICYDATA,*PPOLICYDATA;
應(yīng)用層創(chuàng)建雙線程,等待PNP消息,如接入USB盤符和特定卷格式,則對卷做相應(yīng)卷映射和卸下卷。
對卷卷映射函數(shù):
Int MountVolume (
int driveNo,
char *volumePath,
Password *password,
MountOptions *mountOptions,
BOOL bReportWrongPassword );
對卷卸下卷函數(shù):
BOOL UnmountVolume
(int nDosDriveNo, BOOL forceUnmount );
創(chuàng)建內(nèi)存中卷格式:
int VolumeWriteHeader(char*header,int ea,int mode,Password* password,
char*masterKey,
PCRYPTO_INFO*retInfo,
BOOL bWipeMode );
讀入USB卷頭:
int VolumeReadHeader(char*encryptedHeader,Password);
經(jīng)過測試人員測試和客戶現(xiàn)場應(yīng)用,本系統(tǒng)達(dá)到了良好的應(yīng)用效果,從驅(qū)動層到應(yīng)用層都運行良好。系統(tǒng)支持FAT32和NTFS格式,對容量較大的USB移動存儲設(shè)備和容量較小的U盤都有較好的使用和保密效果。
參考文獻(xiàn)
[1] 胡曉軍.開發(fā)WDM型USB設(shè)備客戶驅(qū)動程序[J].中國數(shù)據(jù)通信,2002(2):51-53.
[2] RUSSINOVICH M E, SOLOMON D A. 深入解析Windows操作系統(tǒng)[M].第4版.潘愛民,譯.北京:電子工業(yè)出版社,2008.