論移動存儲介質識別系統

蒙星潮 龍成 潘鵬羽 黃廣

桂林電子科技大學 廣西 桂林 541004

引言

在信息發展迅速的今天，移動存儲設備的重要性也在逐漸提高，盡管現在有各種云空間、云服務可以用于上傳分享，但是在面對需要保密的文件或者大文件時，移動存儲介質更能夠保護文件使其不被其他公司竊取，傳輸起來更便捷，適合公司內部進行傳輸。而當公司采用移動存儲設備來對內部文件進行交換傳輸時，涉及設備的合法性問題，設備遺失之后文件的保密性問題等。

為了解決這些問題，使公司更好地使用移動存儲設備，提出一個移動存儲介質識別系統，該系統能夠對接入系統的移動存儲設備進行合法性檢測，防止內部敏感文件非法復制；內部認證移動存儲設備遺失后存儲文件的保密性。

1 思想和工作原理

本系統通過C/S架構，利用四個模塊對移動存儲設備的合法性進行檢測驗證，分別是標簽注冊模塊、標簽認證模塊、進程駐留模塊、通信加密模塊、文件變更監控模塊。

本系統通過對設備進行標簽注冊及驗證保證設備的合法性，每個電腦在使用移動存儲設備前都需要進行標簽的注冊，注冊之后通過認證即可使用，并且在注冊、認證以及日志記錄過程中采用國密算法對通信消息進行加密，防止中間人攻擊截取到敏感信息，保證傳輸過程中信息的安全。經過注冊的設備的分區表通過國密算法進行加密，未通過認證的設備無法顯示文件內容，并且會被強制彈出，保證了文件的安全。為了防止人為關閉系統，繞過監管非法使用移動存儲設備，系統通過任務管理器進行HOOK，實現進程保護功能。文件變更監控模塊是對移動存儲設備中的文件變化進行記錄，并且上傳到服務器作為日志保存。

2 具體設計與實現

2.1 標簽注冊模塊

（1）所有的USB設備都有VID（Vendor ID，供應商識別碼）和PID（Product ID，產品識別碼），VID由供應商向USBIF（Implementers Forum，應用者論壇）申請。供應商通常還會給USB設備分配一個SN序列號（SerialNumber）。本系統獲取移動存儲設備信息之后獲取到的PID、VID、SN等信息進行組合[2]生成GUID（Globally Unique Identifier，全局唯一標識符），將GUID寫入保護扇區，將GUID傳輸到Flask服務端[3]記錄，Flask服務端對移動存儲設備和電腦信息進行記錄。

（2）注冊模塊需要對設備的分區表進行加密，本系統中采用SM4對稱加密技術對MBR、GPT分區表進行加密，利用生成的GUID和服務器分發的秘密值進行派生密鑰，該密鑰由SM3進行消息摘要運算，截取運算結果錢128位作為SM4的密鑰，保證服務器的秘密值的安全，利用生成的密鑰對分區表進行對稱加密，將加密信息存儲在指定扇區中，隨后清空分區表，以達到系統無法識別當前移動存儲介質的分區情況，進而保護介質內的文件資料安全。

2.2 標簽認證模塊

標簽認證模塊是對移動存儲設備進行認證，保證設備的合法性以及設備的正常使用。標簽的認證主要是通過以下三個步驟進行認證。

（1）獲取當前電腦移動存儲設備的信息，如PID、VID、SN等，組合成GUID；

（2）系統將組合而成的GUID發送至Flask服務端，服務端對GUID做對比認證，將認證結果返回系統；

（3）系統根據認證結果判斷是否對已加密分區表進行解密，如果標簽認證通過，則標簽認證模塊利用GUID生成的密鑰對加密的分區表進行解密，解密成功后移動存儲設備能夠正常使用，否則彈出插入的移動存儲設備[9]，禁止使用。

2.3 進程駐留模塊

進程駐留模塊是為了保證進程的正常運行，防止用戶手動關閉客戶端繞過監管使用非法移動存好處設備的一個模塊，通過對任務管理器進行HOOK處理將Open Process函數進行一個攔截，并替換成自己自定義的Fake Open Process，實現了Ring3級別的進程保護，在任務管理器關閉一個進程時，檢測關閉的進程是否為需要保護的進程。如果是[4]，則拒絕其操作，如果不是則正常處理。

2.4 文件變更監控模塊

文件變更監控可以對存儲設備內的文件變更情況進行一個持續掃描監控。系統采用Windows API 中的CreateFile 打開盤符的根目錄，然后利用ReadDirectory ChangesW去循環監控目錄以及子目錄下的文件是否有變更[8]。如果有變更，則將變更內容保存至一個容器中，該容器以移動存儲介質的GUID作為標識符。這樣子可以保證到，一個插入使用過的移動存儲介質，第二次插入到計算機中，即使盤符號變更了，其內容的修改仍然記錄到其對應GUID的容器中，以便后續向服務器上傳文件變更歷史記錄。

2.5 通信加密模塊

本系統采用國密算法SM2、SM3、SM4進行通信的信息加密，以保證安全可信的消息傳輸，保護數據的安全[6-7]。這樣子即使數據被中間截獲，攻擊者也無法得知消息的原本內容是什么，也無法對數據進行篡改，一旦篡改則會在接收消息的一方校驗消息失敗。這套國密算法是由國家發布的商用密碼，SM2為公鑰密碼算法、SM3為摘要算法、SM4位為分組密碼算法。

對稱加密通信流程[1]如下：

2.5.1 發送方使用接收方的對稱加密密鑰對消息進行加密，得到密文。

2.5.2 發送方計算消息的Hash，并使用接收方的非對稱加密公鑰進行加密后，將二者發送到接收方。

2.5.3 接收方接收到密文后，使用對稱加密密鑰解密，得到消息明文

2.5.4 接收方使用非對稱加密私鑰解密，得到發送方的明文Hash。

2.5.5 接收方本地計算消息的Hash，與解密出來的Hash進行比較。如果相同則認為本次通信是可靠安全的，否則是不可信的。

3 測試與驗證

3.1 測試結果

3.1.1 測試客戶端的CPU占用率，如圖1所示。

圖1 客戶端的CPU占用率圖表

3.1.2 測試不同容量的移動存儲介質識別并解密所需時間情況，如圖2所示。

圖2 不同容量的移動存儲介質識別并解密所需時間情況圖表

3.2 結果分析

通過對各個模塊的測試以及上述的系統性能表可以看到，本系統所占用的資源較少，解密速度也滿足正常需要，如果電腦的性能足夠強大，則解密速度可以得到更好的提升，減少解密所花費的時間，CPU的占用率也會減少[5]。本系統不采用傳統的DES密碼算法以及RSA算法，而是創新性地使用國密算法，保證了系統的安全性，增加了攻擊者對信息破譯的難度。

4 結束語

本系統優點在于打破傳統加密模式，采用國密算法對通信過程以及分區表進行加密，在保證不拖慢通信速度的情況下，提升了系統的安全性。采用分區表加密也是一大優勢，對分區表進行加密，提升了系統的運行速度，而且保證了移動存儲設備的合法性，防止移動存儲設備在陌生電腦上使用，造成信息泄露。缺點在于只支持Windows平臺，不能跨平臺使用；并且對于低性能的電腦不太兼容，需要占用資源稍大。