自安全磁盤研究綜述

摘 要:著重對自安全存儲技術進行研究，并通過對它的應用進行比較、分析，總結出國內外的研究現狀;對體系結構中經典的密碼保護技術進行回顧，將自安全存儲技術和密碼保護技術有機地結合起來，形成一個自安全磁盤原型。這將是今后一個可能的新的研究方向，進而為自安全磁盤研究提出一些有價值的研究問題。

關鍵詞:自安全存儲技術; 智能磁盤; 加/解密; 完整性校驗;審計; 數據備份與恢復

中圖分類號:TP309.2文獻標志碼:A

文章編號:1001-3695(2009)09-3201-04

doi:10.3969/j.issn.1001-3695.2009.09.001

Survey and research on self-securing disk

ZENG Meng-qi GU Da-wu HOU Fang-yong SONG Ning-nan

(1.Dept. of Computer Science Engineering， Shanghai Jiaotong University， Shanghai 200240， China; 2.School of Computer， National University of Defense Technology， Changsha 410073， China)

Abstract:This paper focused on the research about self-securing technique， summarized the research status home and abroad by comparing and analyzing the application of self-securing technique. Then it went deep into the classic cryptography technique in computer architecture， considering that the combination of self-securing technique and cryptographic technique led to a possible new direction. At last it proposed some valuable questions about self-securing disk.

Key words:self-securing technique; intelligent disks; encryption/decryption; integrity protection; audit; data backup and restore

磁盤是一種最典型的數據存儲介質，它是被動地由操作系統來進行管理，一旦入侵者攻破了操作系統這一關，磁盤的數據將暴露出來從而喪失保護能力。如何使存儲設備如磁盤具有主動管理和防御的功能是一個新的課題——自安全磁盤。

近年來，自安全存儲技術變得越來越熱，智能磁盤的概念越來越被人們廣泛地引用。由于這個課題尚在學術研究階段，有一定的超前性，智能磁盤并沒有產品化。在國內，自安全存儲技術研究的相對較少，文獻[1，2]只是對S4作了介紹和綜述。在國外，以卡內基梅隆(Carnegie Mellon)大學的并行數據實驗室的研究成果最為顯著，他們在self-securing、active disks方面發表了相當多的論文(如文獻[3~13]);此外，賓夕法尼亞州大學(Pennsylvania State University)的系統與因特網基礎設施安全實驗室也在研究磁盤及存儲系統保護技術，他們提出了autonomously secure disks的概念[14，15]。當然也有一些研究者提出了smart disks、intelligent disks[16~19]，并發表了一些這方面的論文。

1 自安全存儲技術的各種典型應用

1.1 自安全存儲技術的研究

卡內基梅隆大學并行數據實驗室是一個存儲系統研究中心，self-securing storage的研究成果也主要集中在該實驗室。

1.1.1 自安全存儲技術

自安全存儲技術的目標是將安全功能嵌入到存儲服務器中去，以加強入侵防御功能。即使當客戶端操作系統或用戶賬號被攻破以后，這些安全功能仍然有效，也就是說，自安全存儲技術利用了存儲接口作為安全邊界。在這個安全邊界背后，一個自安全存儲設備可以檢測可疑的活動，并獲取存儲請求的審計日志，阻止數據的破壞或竄改。通過維護一定時間(detection windows)內的所有文件的各個版本來恢復數據，在這個窗口時間內，由于完整的歷史信息都在，入侵診斷和數據恢復是可行的。

如圖1所示，存儲接口可以認為是一個邊界，在這個邊界后，存儲服務器可以觀察存儲請求并保護數據。該模型同樣適合于塊設備的協議，如SCSI、IDE、ATA，以及分布式文件系統協議如NFS、CIFS。所以自安全存儲技術是可以在多種存儲服務器上實現的，如文件服務器、磁盤陣列控制器，甚至磁盤。

1.1.2 安全邊界

在傳統的系統中，存儲系統被動地由操作系統進行管理，由操作系統負責數據的保護。一旦操作系統被攻破后，數據就暴露出來。相反地，存儲設備(如本機磁盤或遠程服務器)應當保護所存的數據，并且這種保護要同操作系統的保護獨立開來。這種計算機系統的體系結構支持這樣一個觀點:由于存儲系統是硬件上獨立的，并且運行獨立于操作系統的代碼，它們之間只通過簡單的接口進行通信(如SCSI、NFS、CIFS)。這樣就可以將存儲設備放在一個合適的位置來提供對系統數據的保護。由于系統存儲了所有的數據，并能夠看到所有的請求，這樣就有足夠的信息來保護數據。

現代的存儲系統也有優勢來實現這種保護，它們的大容量足以存儲所存數據的多個版本。這些設備還具有內置的內存和處理能力來檢查存儲請求，并且獨立于主機的處理器和操作系統。

1.1.3 數據保護

為了增強入侵防御的功能，存儲設備充當了主動和被動的角色。存儲設備可以利用它自身的處理能力和內存來主動監控存儲請求，如果看到可疑的活動可以報警(或采取適當的行動)。這種主動的管理能夠減少用于偵測入侵的時間，因為它添加了新的組件在計算機系統里。

自安全存儲設備能夠看到所有的請求，并被動地維護這些請求的審計日志信息。這些審計日志信息使得系統管理員可以看到每個存儲請求的類型、次序和發起者。這些存儲設備內部的維護審計日志信息以只讀方式暴露給授權用戶，這使得管理員可以看到系統請求，但不能修改或刪除日志。

除了每個請求的審計日志外，這些設備保存了所有寫數據的所有版本。每次寫或刪除請求一旦到來，文件或目錄的當前版本會更新到新的狀態，但是在一定時間內，舊的版本會保存在歷史池中，并且舊版本的文件或目錄在時間到期之前不能被修改或刪除，這個時間可以由管理員進行設置。存儲設備在空間邏輯上分為三部分，即當前數據、歷史池和空白區域。歷史池的大小是可變的，這些歷史信息的維護是完全由存儲設備負責的，對其他系統是透明的。這些歷史信息可以用來觀察或恢復歷史池中文件的任意版本，并且入侵后可以快速恢復。這種恢復是通過一個copy forward操作來實現的(而不是回滾到設備或文件的舊狀態)，這就防止了中間數據的破壞，并可由正常的用戶進行增量的恢復和copy forward操作。

為了實現這一目標，存儲設備必須有大的容量，并且要有處理能力來維護歷史池和審計日志。而這些方案是可行的，并且自安全存儲技術可以應用于智能磁盤、磁盤陣列或文件服務器。后兩者在今天是應用相當廣泛的，并且只需要合適的軟件來變成自安全存儲設備。

自安全存儲系統參考了前人的工作。而S4最重要的優勢是它從客戶操作系統中分離出來。其實，自安全磁盤是智能磁盤[16~19]的一個實例。

入侵后數據恢復的標準做法是將數據定期地備份。一些文件系統采用快照(snapshot)的方式來簡化這個定期備份的過程。

1.2 Active disks的研究

Active disks的主要研究成果也來自于卡內基梅隆大學并行數據實驗室。

應用軟件和技術的趨勢是越來越將計算量移至被處理的數據。主動磁盤就是將處理器和內存內置到磁盤中，并允許特定的代碼在數據被正在讀或寫的時候下載和執行。一個關鍵的思想就是將一部分計算量移至常駐磁盤的處理器，而主機的處理器只是進行協調、調度，并將各個磁盤的數據結合起來。

為適應不同特定工作環境和場合的需求，可以對disk進行改造，形成適合某種特定場合的active disks。例如專門用于數據庫的主動磁盤、大規模數據挖掘和多媒體的主動磁盤以及網絡連接存儲設備的遠程執行的主動磁盤。

主動磁盤系統提升了網絡磁盤的總體處理能力，從而增加了處理大型數據挖掘任務的吞吐量。隨著處理器性能的增加和內存價格的下降，系統智能開始從處理器移向外圍設備。存儲系統設計者使用這個趨勢來增強存儲設備的處理能力并優化其性能。主動磁盤存儲設備結合了驅動在線的處理能力和能夠下載軟件的內存，從而允許磁盤執行應用程序級別的功能。將應用程序的處理部分移至存儲設備，大大減少了數據的交換量，提高了數據并行度，從而顯著地減少了數據挖掘所需的時間。

1.3 Autonomously secure disks的研究

這方面主要貢獻來源于賓夕法尼亞州大學系統與因特網基礎設施安全實驗室。

圖2給出了一個自治安全磁盤的體系結構圖。其中加入了處理器、內存、固件，使得其功能更加強大。在高端的計算環境中存儲系統面臨很多挑戰，每個環境有單獨的安全需求，數據類型的限制要求各種不同機制的使用，應用程序對性能有一定的要求。筆者正在研究新的基于策略的體系結構，以滿足存儲系統中的安全需求及評估性能的優化，可能的方法有體系結構安全策略、協議的改進、安全架構。

1.4 Hybrid hard drive的研究

內置了NAND Flash的混合磁盤(hybrid hard drive)隨著Windows Vista對Ready Drive技術的支持，尤其顯示出了在筆記本中強大的生命力。這塊內置的非易失性緩存(一般為NAND Flash芯片)使得某些安全機制變得更有優勢。

如圖3所示，卡內基梅隆大學對混合磁盤的研究則充分利用了這個內置的Flash，文獻[14]用它來存儲重要的密碼數據，如IV、MAC值。此外，為了降低密碼保護機制對Flash容量的需求，引入了完整集(integrity set)的概念。完整集就是一組固定長度的相鄰扇區。引入完整集的概念后，以完整集為單位來計算IV和MAC。

其實歸根結底，混合磁盤也是通過添加了硬件來增強其性能，可以看做是向智能磁盤發展的一個趨勢。

1.5 Intelligent disks的研究

文獻[18]中提到，智能磁盤利用了低代價的嵌入式處理器、主存和高速的串口通信連接。智能磁盤通過這些串口和高速的交換機連接起來，克服了常見的I/O總線上資源競爭的瓶頸。通過卸下昂貴的桌面處理器，智能磁盤進一步提高了性能。更重要的是，智能磁盤的體系結構允許系統的處理量隨著存儲量正比變化。

為了減低價格，智能磁盤在進化過程中減少了處理器和內存的數量。智能磁盤流行起來有以下幾個潛在推動力:a)磁盤可以內置處理器和內存;b)內置的處理器比桌面機的處理器更加低功耗，但整體性能是桌面機處理器的兩倍;c)磁盤開始具有高速的串口連接口;d)高速的串口連接和交換機的價格已經可以接受; e)磁盤生產廠商開發集成設備(內置處理器、內存、串口線)用來滿足市場的需求。

2 體系結構中密碼算法的研究

從加密模式來講，主流的有counter mode和GCM。前者是一種高速的加密模式，但是沒有認證機制;后者是在counter mode的基礎上演化出來，形成了一種帶認證的加密模式。目前對這種GCM的研究和應用相當熱，有不少論文都涉及GCM。

從安全的體系結構來講，比較典型的有XOM和AEGIS。XOM提出得比較早，文獻[20]針對軟件拷貝和竄改，提出了一種安全的體系結構XOM，其中應用了加密。完整性校驗(hash)、對稱密鑰，但是XOM不能抵制重放攻擊。文獻[21]針對XOM的安全體制不完善，提出了一種能對抗軟硬件攻擊的單芯片的處理器的體系結構，可以說是作者對先前工作的融合。

在加密模式和安全的體系結構兩條主線的發展過程中，衍生出了不少論文，使得加密模式和體系結構更加完善。具體分析如下:文獻[22]分析了counter mode的性能瓶頸，通過對PAD的預測和預計算來抑制對內存訪問的延時。文獻[23]為了隱藏內存加密的性能代價，引入了預解密技術，進一步提高了counter mode的性能。文獻[24]為了防止硬件攻擊，用split counter和GCM模式的認證來優化counter mode。文獻[25]提出了一種軟硬件結合的安全的體系結構，應用于網格計算和分布式計算中遠程代碼執行的保護。文獻[26] 為安全的體系機構設計了一種新的cache(SAM)。文獻[27]針對SAM的加密和hash算法不完善，提出了新的加密函數和hash方法。

在完整性校驗方面，文獻[28]針對XOM中完整性校驗機制不完善的問題，提出了經典的哈希樹(hashtree)完整性校驗方案，但是這種方案的性能代價很大(盡管作者后來也用增量的hash來提高性能)。文獻[29]進一步改善了加密和完整性校驗的性能，新的加密方案基于一次一密，并采用了基于日志的增量hash。文獻[30]專門針對hash方法作了改進，提出了增量的多重hash方法。文獻[31]針對XOM的安全體制不完善，提出了用counter cache進行一次一密的加密。文獻[32]針對 AEGIS中的完整性校驗算法(hashtree、Chash、Lhash)算法性能不夠理想提出了新的完整性校驗方案:基于圖的完整性校驗機制，并給出了基于圖的完整性校驗算法。文獻[33]針對XOM 中容易受到重放攻擊，完整性校驗方案不完善提出了新的完整性校驗方案——動態樹。但是文獻[32，33]在本質上并沒有突破hash樹方法。

由于GCM應用廣泛，這里作一些更詳細的介紹。GCM是繼counter mode之后典型的帶認證的加密模式。文獻[34]針對counter mode沒有認證機制，提出了GCM—高速的帶認證的加密;GCM能夠用軟硬件很容易實現。文獻[35]對GCM的安全性和性能進行了分析。文獻[36]指出當消息認證碼長度比較小時容易受到攻擊。文獻[37]對上文進行了有力的回駁，更進一步地證實了GCM的安全性(因為默認了消息認證碼足夠長，64 bit)。在文獻[38]中，GCM的提出者對GCM的應用舉例。文獻[39]針對GCM提出了一種高速的體系結構。文獻[40]是GCM在產品中的應用。

3 自安全磁盤的研究目標

歸根結底，self-securing storage、active disks、autonomously secure disks、smart disks、intelligent disks這些技術都是在原有存儲設備的基礎上加入硬件(內置的處理器、內存)或軟件(密碼保護技術)或兩者結合使得其功能更加強大、更獨立、更智能。但是，添加硬件模塊或添加密碼保護技術會帶來一定的代價，如運行效率可能會下降，還要考慮到所加入的硬件部件的價格以及可行性。從以上考慮，本課題將更關注軟件技術的保護方案，比如，最關鍵的密碼保護體制如加解密、完整性保護，還會涉及到認證、審計等。數據的備份與恢復也是要考慮的因素。一個好的自安全存儲系統需要有以下方面的特性:

a)易使用、較好的性能。好的自安全存儲系統應當盡量避免對用戶的使用習慣產生較大影響。如果整個系統的保護工作需要頻繁的用戶參與，則這種系統總的來說是不友好的。如果用戶的參與無法避免，系統則應具備相當的可配置性，使得用戶可以選擇最符合自己需要的系統配置。因為自安全存儲系統需要有大量的安全操作，系統的性能可能會受到較大的影響。當前有許多的工作都對安全存儲系統的性能進行了測試和分析，并得出了若干提高性能的設計原則。一般來說，encrypt-on-disk系統的性能要優于encrypt-on-wire系統的性能。 b)自身的主動管理和防御。由于在自安全磁盤中加入了內置的處理器和內存，使得自安全磁盤自身也有“智能”。這樣，磁盤從操作系統的附屬部件變成一個主動管理的部件。

c)數據保密機制。自安全存儲系統必須將存儲在磁盤上的數據進行有效的保護，因此應當使其存儲的數據是密文。這樣，即使硬盤失竊也不會產生信息泄露，并且磁盤數據應當進行全卷加密，而不是單個的文件加密。

d)數據完整性機制。應當建立良好的機制以確保自安全存儲系統的數據完整性，這一點當前很多的現有系統都是欠考慮的。確保數據完整性的目的在于防止數據被非法用戶進行竄改。保護數據完整性中比較困難的問題是如何防止重放攻擊(replay attack)，即用先前的合法數據替換當前的數據，如對系統的元數據進行了重放攻擊的替換，則可能會導致系統崩潰。目前這方面的工作也是國際上研究的熱點，常見的保護數據完整性的方法有建立文件系統的hashtree或用校驗和(checksum)校驗文件的完整性。

e)一致性維護與數據恢復機制。它是建立在數據完整性之上的，一旦數據的完整性遭到破壞，則應當有一套有效的機制將系統恢復到上一個可信的狀態。這方面的研究也是當前國內外學術界的研究熱點之一。數據恢復的方法可以是對系統進行快照或者版本控制，一旦數據遭到破壞則退回到上一個版本。

f)訪問控制機制。該機制是使不同用戶對文件的操作在其被允許的范圍之內。可以與現有操作系統上的訪問控制機制結合。

g)安全認證機制。安全認證是保證系統不能被非法用戶訪問。一般來說，系統可能遭受到的來自安全認證的威脅有以下兩個方面[31]:偽裝存儲系統用戶及偽裝存儲設備。一般安全系統的認證機制主要是防止第一種威脅，第二種威脅在SAN系統或類似NASD的可以直接訪問磁盤的系統中才需重點防范。

h)安全審計機制。應當對系統中的任何操作進行安全審計。安全審計的級別可以是文件級或是進程級的，也可以對用戶的行為進行審計。

4 結束語

由于現有的磁盤數據保護技術和系統很多，本文僅選擇了具有代表性的自安全存儲技術的應用和密碼保護技術進行了分析和比較。在分析了磁盤數據保護系統安全性要求的同時，提出了自安全存儲技術的改進、加解密方案、訪問控制策略及數據備份與恢復等問題和目標，以便今后進一步的研究。

參考文獻:

[1]楊波，張繼征，賈惠波.存儲設備的自安全機制[J].計算機應用研究，2006，23(4):85-87.

[2]邵必林，邊根慶，楊玲.自安全存儲機制與設備的研究[J].西安建筑科技大學學報:自然科學版，2007，39(5):41-46.

[3]WYLIE J J， BIGRIGG M W， STRUNK J D， et al. Survivable information storage systems[J]. IEEE Computer Society， 2000，33(8):61-68.

[4]WYLIE J J， BAKKALOGLU M， PANDURANGAN V，et al. Selecting the right data distribution scheme for a survivable storage system， CMU-CS-01-120[R]. Pittsburgh: Carnegie Mellon University， 2001:1-10.

[5]STRUNK J D， GOODSON G R， SCHEINHOLTZ M L， et al. Self-securing storage: protecting data in compromised systems[C]//Proc of the 4th Symposium on Operating Systems Design and Implementation. Washington DC:IEEE Computer Society， 2000:195-209.

[6]PENNINGTON A， STRUNK J， GRIFFIN J， et al. Storage-based intrusion detection: watching storage activity for suspicious behavior， CMU-CS-02-179[R]. Pittsburgh:Carnegie Mellon University， 2002:1-11.

[7]STRUNK J D， GOODSON G R， PENNINGTON A G， et al. Intrusion detection， diagnosis， and recovery with self-securing storage， CMU-CS-02-140[R]. Pittsburgh:Carnegie Mellon University， 2002:1-9.

[8]RIEDEL E， FALOUTSOS C， GIBSON G A， et al.Active disks for large-scale data processing[J]. Computer， 2001，34(6):68-74.

[9]RIEDEL E， FALOUTSOS C， NAGLE D. Active disk architecture for databases， CMU-CS-00-145[R]. Pittsburgh:Carnegie Mellon University， 2002:1-12.

[10]RUEDEL E， FALOUTSOS C， GANGER G R， et al. Data mining on an OLTP system (nearly) for free[J]. ACM SIGMOD Record， 2000，29(2):13-21.

[11]RIEDEL E， GIBSON G. Active disks-remote execution for network-attached storage， CMU-CS-99-177[R]. Pittsburgh:Carnegie Mellon University， 1999:1-11.

[12]RIEDEL E， GIBSON G. Active storage for large-scale data mining and multimedia[C]//Proc of the 24th International Conference on Very Large Databases. San Francisco:Morgan Kaufmann Publishers， 1998:62-73.

[13]RIEDEL E， GIBSON G. Active disks: remote execution for network-attached storage， CMU-CS-97-198[R]. Pittsburgh:Carnegie Mellon University， 1997:1-9.

[14]BUTLER K， McLAUGHLIN S， McDANIEL P. Non-volatile memory and disks: avenues for policy architectures[C]//Proc of the 1st Computer Security Architecture Workshop. New York:ACM Press，2007:77-84.

[15]CHAITANYA S， BUTLER K， SIVASBRAMANIAM A， et al. Design， implementation， and evaluation of security in iSCSI-based network sto-rage systems[C]//Proc of the 2nd International Workshop on Storage Security and Survivability. New York: ACM Press， 2006:17-28.

[16]ACHARYA A， UYSAL M， SALTZ J. Active disks: programming model， algorithms and evaluation[C]//Proc of the 8th International Conference on Architectural Support for Programming Language and Operating Systems. New York: ACM Press， 1998:81-91.

[17]GIBSON G A， NAGLE D F， AMIRI K， et al. A cost-effective， high-bandwidth storage architecture[J]. SIGPLAN Notices， 1998，33(11):92-103.

[18]KEETON K， PATTERSON D A， HELLERSTEIN J M. A case for intelligent disks (IDISKs)[J]. ACMRecord， 1998，27(3):42-52.

[19]WANG R Y， PATTERSON D A， ANDERSON T E. Virtual log based file systems for a programmable disk[C]//Proc of the 3rd Symposium on Operating Systems Design and Implementation. Berkeley:USENIX Association， 1999:29-43.

[20]LIE D， THEKKATH C， MITCHELL M， et al. Architectural support for copy and tamper resistant software[C]//Proc of the 9th International Conference on Architectural Support for Programming Language and Operating Systems. New York:ACM Press， 2000:232-238.

[21]SUH G E， CLARKE D， GASSEND B， et al. AEGIS: architecture for tamper-evident and tamper-resistant processing[C]//Proc of the 17th Annual International Conference on Supercomputing. New York:ACM Press， 2003:160-171.

[22]SHI Wei-dong， LEE H H， GHOSH M， et al. High efficiency counter mode security architecture via prediction and precomputation[C]//Proc of the 32nd Annual International Symposium on Computer Architecture. Washington DC:IEEE Computer Society， 2005:14-24.

[23]ROGERS B， SOLIHIN Y， PRVULOVIC M. Predecryption: hiding the latency overhead of memory encryption[J]. ACM SIGARCH Computer Architecture NEWS， 2005，33(1):27-33.

[24]YAN Chen-yu， ROGERS B， ENGLENDER D， et al. Improving cost， performance， and security of memory encryption and authentication[C]//Proc of the 33rd International Symposium on Computer Architecture. 2006:179-190.

[25]PLATTE J， NAROSKA E. A combined hardware and software architecture for secure computing[C]//Proc of the 2nd Conference on Computing Frontiers. New York:ACM Press， 2005:280-288.

[26]PLATTE J， NAROSKA E， GRUNDMANN K. A cache design for a security architecture for microprocessors (SAM)[C]//Proc of the 19th International Conference on Architecture of Computing Systems. Berlin:Springer，2006:435-449.

[27]PLATTE J， RDURAN R D， EDWIN NAROSKA. A new encryption and hashing scheme for the security architecture for microprocessors[C]//Proc of the 10th International Conference on Communications and Multimedia Security. Berlin:Springer， 2006:120-129.

[28]GASSEND B， SUH G E， CLARKE D， et al. Caches and hash trees for efficient memory integrity verification[C]//Proc of the 9th International Symposium on High Performance Computer Architecture. Washington DC:IEEE Computer Society， 2003:295.

[29]SUH G E， CLARKE D， GASSEND B， et al. Efficient memory integrity verification and encryption for secure processor[C]//Proc of the 36th Annual ACM International Symposium on Microarchitecture. Washington DC:IEEE Computer Society， 2003:339-350.

[30]CLARKE D， DEVADAS S， VAN DIJK M， et al. Incremental multiset hash functions and their application to memory integrity checking[C]//Proc of the 9th International Conference on the Theory and Application of Cryptology and Information Security. Berlin:Springer， 2003:188-207.

[31]YANG Jun， ZHANG You-tao， GAO Lan. Fast secure processor for inhibiting software piracy and tampering[C]//Proc of the 36th Annual IEEE/ACM International Symposium on Microarchitecture. Washington DC:IEEE Computer Society， 2003:351.

[32]AHMAD W. Efficient memory integrity verification schemes for secure processors[C]//Proc of the 3rd IEEE International Conference on Information Technology Applications. 2004:56-62.

[33]KHANVIKAR S. Guaranteeing memory integrity in secure processors with dynamic trees， ECE594[R]. 2003:23-29.

[34]McGREW D， VIEGA J. The Galois/Counter mode of operation (GCM)[EB/OL]. (2004-01-15). http://www.cryptobarn.com/papers/gcm-spec.pdf.

[35]McGREW D， VIEGA J. The security and performance of the Galois/Counter mode (GCM) of operation[C]//Proc of the 5th International Conference on Cryptology. Berlin:Springer， 2004:343-355.

[36]FERGUSON N. Authentication weaknesses in GCM[C]//Proc of the 3rd IEEE International Conference on Information Technology Applications. 2005.

[37]McGREW D， VIEGA J. The Galois/Counter mode of operation (GCM)[EB/OL]. (2005-05). http://csrc.nist.gov/CryptoToolkit/modes/proposed modeslgcm/gcm-revisedspec.pdf.

[38]McGREW D. Efficient authentication of large， dynamic data sets using Galois/Counter mode(GCM)[C]//Proc of the 3rd IEEE International Security in Storage Workshop. Washington DC:IEEE Computer Society， 2005:89-94.

[39]YANG Bo， MISHRA S， KARRI R. High speed architecture for Galois/Counter mode of operation (GCM)[EB/OL]. (2005).http://eprint.iacr.org/2005/146.pdf..

[40]CLP-24， AES-GCM core-5 Gbps product brief[EB/OL]. [2007-05-12]. http://www.ellipticsemi.com/pdf/CLP-24_90401.pdf.