文档介绍:2009 年全国大学生信息安全竞赛参赛作品简介作品名称: 基于主动防护技术的安全优盘提交日期: 2009- 0 8- 12 U盘中数据面临的内部泄露、丢失泄密、木马窃取等严重安全问题,本作品基于自主保护的思想,在硬件上增加安全芯片,确保了 U盘数据的物理安全, 为配套软件的存储保护、数据加解密和数字签名与认证提供支持,从软件角度出发设计开发出与安全 U盘相配套的保护系统,并将软件系统固化到硬件中,实现了从安全芯片、物理硬件,文件系统过滤驱动、操作系统 API ,再到上层应用的多层次立体防护体系。同时提出了基于预期的访问控制技术概念,使得U盘能够在不可预知的环境中使用预期的安全防护策略对 U盘中数据进行保护,保证了 U 盘数据的可控性。该 U盘可服务于军队、政府机密信息保护,企业知识产权管理和个人隐私保护等。图 1U盘实物与系统软件界面图二. 相关工作目前国内外在 U盘安全防护方面存在的解决方案主要可以分为以下几种: 1)U盘加密方案:通过在 U盘上集成加解密部件,从底层硬件上实现 U盘上数据的加密存储,或单纯通过软件实现 U盘数据的加密存储。 2)USB 访问控制方案:通过在终端电脑上安装 U 盘控制系统来控制 U 盘中程序的自动运行、USB端口的启用/禁用或对进出USB端口的数据进行加密/解密。 3)智能 U 盘方案:通过在 U 盘内安装安全控制软件,将本地机器上的加密保护机制引入到 U盘上的控制软件中。上述现有方案主要偏重于对优盘数据的加密存储保护,技术手段比较单一, 没有形成软硬结合的整体防护体系。不能实现优盘内数据从创建、存储、访问到使用的全生命周期管理,在使用过程中仍然存在诸如信息泄露等安全隐患! 三. 本作品的研究内容 1)U盘所面临的各种安全风险总结 U 盘面临的风险,主要包括以下几个方面:普通 U 盘拥有者无法对使用者加以控制或约束,造成 U 盘数据从内部人员中泄露; U 盘在丢失情况下处于完全失控状态,任何捡到 U 盘的人均可对其中的数据进行完全使用,造成 U 盘内重要信息在丢失后扩散;在公共场所使用 U 盘,使得 U 盘遭到电脑上隐藏的木马等恶意程序的攻击, U盘中的数据可能会被拷贝窃取或者恶意破坏。 2)安全芯片及片上操作系统系统从硬件的角度增强安全控制,即通过采用安全芯片替换普通 U 盘的 USB 接口芯片,并在安全芯片中实现一个片上操作系统( COS ) ,从而将普通 U 盘改造成一个安全可信的 U+KEY (即 U盘和 USBKEY 的二合一产品) ,实现数据存储访问的透明加解密,并将情景用户信息以数字证书的形式提供给上层软件使用。 3)基于底层驱动的文件访问控制通过文件系统过滤驱动程序构造附加设备对象挂载在文件系统的存储设备之上,根据上层的安全策略配置,采用文件数据流关联技术,监控过滤上层的 IRP 请求包,并对文件数据的访问提供审计功能,达到控制文件访问、保护文件安全性等目的。 4)基于操作系统 API HOOK 的文件内容引用控制 HOOK 是Windows 系统中用来在系统消息、鼠标键盘操作等事件到达目标应用之前截获这些系统事件的一种机制。可以利用 HOOK 来监控用户行为,对数据进行“实时跟踪”,监控剪贴板等已访问数据流转的合法性,以防止文件内容泄露。 5)多层次防护技术的集成方案。提出 U盘智能自