文档介绍:2009年全国大学生信息安全竞赛
参赛作品简介
作品名称: 基于主动防护技术的安全优盘
提交日期: 2009-08-12
摘要
针对U盘中数据面临的内部泄露、丢失泄密、木马窃取等严重安全问题,本作品基于自主保护的思想,在硬件上增加安全芯片,确保了U盘数据的物理安全,为配套软件的存储保护、数据加解密和数字签名与认证提供支持,从软件角度出发设计开发出与安全U盘相配套的保护系统,并将软件系统固化到硬件中,实现了从安全芯片、物理硬件,文件系统过滤驱动、操作系统API,再到上层应用的多层次立体防护体系。同时提出了基于预期的访问控制技术概念,使得U盘能够在不可预知的环境中使用预期的安全防护策略对U盘中数据进行保护,保证了U盘数据的可控性。该U盘可服务于军队、政府机密信息保护,企业知识产权管理和个人隐私保护等。
图1 U盘实物与系统软件界面图
二. 相关工作
目前国内外在U盘安全防护方面存在的解决方案主要可以分为以下几种:
1) U盘加密方案:通过在U盘上集成加解密部件,从底层硬件上实现U盘上
数据的加密存储,或单纯通过软件实现U盘数据的加密存储。
2) USB访问控制方案:通过在终端电脑上安装U盘控制系统来控制U盘中程序的自动运行、USB端口的启用/禁用或对进出USB端口的数据进行加密/解密。
3) 智能U盘方案:通过在U盘内安装安全控制软件,将本地机器上的加密保护机制引入到U盘上的控制软件中。
上述现有方案主要偏重于对优盘数据的加密存储保护,技术手段比较单一,没有形成软硬结合的整体防护体系。不能实现优盘内数据从创建、存储、访问到使用的全生命周期管理,在使用过程中仍然存在诸如信息泄露等安全隐患!
三. 本作品的研究内容
1)U盘所面临的各种安全风险
总结U盘面临的风险,主要包括以下几个方面:普通U盘拥有者无法对使用者加以控制或约束,造成U盘数据从内部人员中泄露;U盘在丢失情况下处于完全失控状态,任何捡到U盘的人均可对其中的数据进行完全使用,造成U盘内重要信息在丢失后扩散;在公共场所使用U盘,使得U盘遭到电脑上隐藏的木马等恶意程序的攻击,U盘中的数据可能会被拷贝窃取或者恶意破坏。
2)安全芯片及片上操作系统
系统从硬件的角度增强安全控制,即通过采用安全芯片替换普通U盘的USB接口芯片,并在安全芯片中实现一个片上操作系统(COS),从而将普通U盘改造成一个安全可信的U+KEY(即U盘和USBKEY的二合一产品),实现数据存储访问的透明加解密,并将情景用户信息以数字证书的形式提供给上层软件使用。
3)基于底层驱动的文件访问控制
通过文件系统过滤驱动程序构造附加设备对象挂载在文件系统的存储设备之上,根据上层的安全策略配置,采用文件数据流关联技术,监控过滤上层的IRP请求包,并对文件数据的访问提供审计功能,达到控制文件访问、保护文件安全性等目的。
4)基于操作系统API HOOK的文件内容引用控制
HOOK是Windows系统中用来在系统消息、鼠标键盘操作等事件到达目标应用之前截获这些系统事件的一种机制。可以利用HOOK来监控用户行为,对数据进行“实时跟踪”,监控剪贴板等已访问数据流转的合法性,以防止文件内容泄露。
5)多层次防护技术的集成方案。提出U盘智能自主保护思想,研究上述多层次防护技术的集成方案,以安全芯片作为物理硬