首页 > 移动应用 > 正文

安全移动办公平台技术研究

2014-05-23 14:16:01  来源:万方数据

摘要:随着信息化建设的飞速发展,信息安全办公的需求日益显着。在不基于信息安全保护措施下,使用者如果使用自己核心数据的U盘在他人办公平台上进行移动办公。
关键词: 移动办公 信息化

    1.引言


    随着信息化建设的飞速发展,信息安全办公的需求日益显着。在不基于信息安全保护措施下,使用者如果使用自己核心数据的U盘在他人办公平台上进行移动办公,保证工作效率时,信息的安全性没有保障。同样。使用便携办公平台进行办公依然存在平台丢失等信息安全隐患。采用固定场所进行办公时,使用者同样需要将重要数据的载体进行安全控制存放,保障信息的安全性。


    为解决便携办公存在的信息安全性问题,首先从操作系统上占有主动权,在一个受到自主控制且可信的系统环境下进行办公,同时对核心数据进行加密存储。


    2.平台概述


    加密型便携操作系统USB办公平台(后面简称平台)由加密U盘和Ukey(USB Key)组成。加密U盘主要存储加密数据:UKey完成USB通道的安全认证,为加解密算法提供密钥,平台结构如图1所示。加密U盘自带操作系统,WinPE或者LinUx操作系统均可以使用。

图1 加密型便携操作系统USB办公平台结构图

    图1 加密型便携操作系统USB办公平台结构图


    为了保证使用者在任何环境下、任何人的电脑上都是使用自己的操作系统来进行办公。在自己携带的操作系统上办公不用担心任何黑客行为,也不用担心来自网络的攻击,更不用担心在办公过的电脑上留下日志和操作痕迹:同时因为加密U盘是需要外接一个UKey来进行身份识别和加密密钥存储的,U盘上的所有数据都是加密保护存放的f包括操作系统)。


    在任何一个有USB接口的计算机上,只要通过BIOS设置为USB引导即可。通过USB接口连接好加密型便携操作系统USB办公平台,扦插上UKey来进行身份认证。计算机将会通过USB接口引导启动一个U盘上的操作系统。连接方式如图2所示。

图2 连接示意图

    图2 连接示意图


    3.平台的设计研究


    平台上存放有MINI操作系统(Windows PE利各种LinUx均可)。由USB通道进入平台存储模块FLASH的所有数据全部进行加密处理,反之读出数据全部解密。USB的通道加密是由接口芯片直接提交给专用的FPGA分组加密芯片来完成。存储加密算法以比较经典的分组AES算法来进行研究,因为数据的加密速度必须要大于USB最大传输速度f理论最大值480Mbps)才满足数据的透明吞吐。经调试实现在Virtex芯片上AES工作时钟133MHz,数据加密速率1419Mbps.密钥保护在UKey内,同时UKey还负责USB通道的认证工作,UKey没有插入USB通道将拒绝所有服务。


    3.1 基于USB接口的操作系统引导技术


    日前针对MINI操作系统的引导,主流操作系统提供商都发行了相关的产品。例如微软的WindowsPrelnstallation Environment(WindowsPE),就是一款带有有限服务的最小Win32预安装子系统,它包括运行WindoWS安装程序及脚本、连接网络共享、自动化基本过程以及执行硬件验证所需的桌面系统。LinUx系统的体积更是无庸置疑。


    USB接口引导操作系统,还需要由类似GNUGRUB(简称GRUB)的操作系统启动程序来帮助引导。GRUB可用于选择分区上的不同内核,也可用于向这些内核传递启动参数,USB引导首先会指向GRUB,再通过GRUB引导启动WindowsPE,同样的GRUB也可以代替lilo来完成对LinUx的引导。


    USB数据传输的过程可分为三个阶段:操作系统传输阶段、存储外设阶段和USB接口物理通道传输阶段。国内外针对USB数据的安全研究主要集中在操作系统传输阶段和存储外设阶段。


[page]    操作系统传输阶段,将需要存储的数据在操作系统控制下经过USB驱动程序送到USB接口上,此阶段传输途径较多,用户可以通过不同的操作系统传输数据,即使在同一操作系统下,借助软件工具可实现特殊的传输方式。因此,在该阶段实现数据加密传输具有很多不可控制的安全隐患。


    存储外设阶段,是对USB数据存储的介质进行加密,如FLASH芯片加密,在介质上实现加密的虽然能保护存入的数据,但没有对USB通道进行控制,不能阻止外部对数据的访问。


    USB接口物理通道传输加密,是将需要存储的数据从计算机的USB接口物理接口上通过USB物理介质传输到存储设备的USB物理接口上。该通道传输环境单一,也是USB数据传输的必经之路。因此,在该阶段实现USB安全传输具有非常高的安全性,不但可以对U瘟数据进行加密、而且对U盘的扇区表也进行了加密。但由于USB相关的核心技术尤其是芯片技术掌握在外国人手里,实现难度比较大。


    在USB接口物理通道上对数据处理,需要将窃取通道上传输的数据,在处理完成后再恢复成USB通道上传输的数据格式,包括USB设备枚举过程和数据传输过程两个阶段的通道处理。


    在USB设备枚举过程中,需要研究通道处理模块窃取主机或USB设备发送的枚举信息,并依次解析信息包含的内容,及时更新枚举状态机,然后根据USB物理层连接协议产生建立连接的时序电路和数据,发送给USB设备和主机。


    在数据传输过程中,主机过来的数据被窃取后,通道处理模块解析携带的命令,提取需要被加密的数据和加密存储的地址,同时在USB传输协议规定的时间里及时给主机发送响应包,在加密完成后将数据封装发送给USB设备,并及时处理USB设备发送的响应包。


    USB设备过来的数据被窃取后,通道处理模块解析携带的命令,提取需要被解密的数据,同时在USB传输协议规定的时间里及时给USB设备发送响应包,在解密完成后将数据封装发送给主机,并及时处理主机发送的响应包。


    既然是设计成USB接口物理通道的加密,就必须对所有软件层的协议透明。为了保证不会干扰到软件协议的通信就必须保证传输协议规定的时间里完成数据加密。最好的解决办法就是通过FPGA来提供高速的数据加密处理。因为FPGA是由独立时钟来控制处理的,绝对保证了加密的时效性。通过接口芯片解析通信协议,将协议头剔出,将数据段提交FPGA完成加密后回填到协议中。数据流入的加密处理流程如图3所示。

图3 数据流入的加密处理流程

    图3 数据流入的加密处理流程


    3.2 分组加密算法FPGA设计


    经调试实现在Virtex芯片上AES工作时钟133MHz.数据加密速率1419Mbps.为了提高FPGA芯片的加密处理性能。需要考虑的环节有几种。


    ·选择算法时需要考虑算法的迭代层数,这是制约性能的重要方面。


    ·为了便于FPGA的高性能实现需要研究算法的反馈深度。


    ·分组算法没有上下文依存关系,可以考虑进行双核或多核设计。


    ·算法接口进行FIFO接口设计解决不同时间域下的协同处理。


    ·密钥扩展的同步设计。


    4.结束语


    随着网络通信的飞速发展,信息化水平不断提高;给人们带来极人便利的同时也产生了大量的信息安全隐患。交通的便捷,人与人的交流也日趋频繁,地球村的概念离我们也并不遥远。怎样在享受移动办公便捷的同时,让自己的敏感信息不受到威胁,从操作系统的源头由自己把控可能是不错的解决方法,同时所有数据都是加密存放更能保证信息安全的万无一失。所以加密型便携操作系统USB办公平台很好地解决了问题。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:fanwei

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。