論文摘要：移動存儲設備因其體積小、容量大、使用靈活而應用廣泛，但其本身的“匿名性”給設備安全管理帶來了巨大挑戰，身份認證難、信息易泄露、常攜帶病毒等問題一直困擾著用戶和計算機系統安全人員。隨著移動存儲設備的廣泛應用，由其引發的信息泄漏等安全問題日益受到關注。針對目前移動存儲安全解決方案中利用用戶名和密碼進行身份認證的不足，本文提出了基于智能卡技術的安全管理方案。該方案將指紋特征作為判定移動存儲設備持有者身份的依據，同時通過智能卡技術實現了移動存儲設備與接入終端間的雙向認證，從源頭上杜絕了移動存儲設備帶來的安全隱患。本文選自《電子制作》。《電子制作》雜志是經中國新聞出版總署批準，北京市工商局備案，國內外公開發行的國家級科技類優秀期刊。本刊主管單位為中國商業聯合會、主辦單位為中國家用電器服務維修協會，國內統一刊號：CN11-3571/TN；國際標準刊號：ISSN1006-5059。郵發代號：82-541。

　　關鍵詞：智能卡指紋識別移動存儲信息安全,電子制作

　　1引言

　　在移動存儲的安全管理上應基于兩個層面：首先是移動存儲設備對用戶的身份認證，以確保移動存儲設備持有者身份的合法性；其次是移動存儲設備與接入終端間的雙向認證。目前，移動存儲的安全管理往往是基于用戶名和口令的身份認證方案，容易受到非法用戶“假冒身份”的攻擊，同時系統中所保存的口令表的安全性也難以保障，因此該方案存在較大的安全隱患。少數采用生物特征識別的安全方案也僅僅做到了第一個層面的身份認證，仍無法解決對移動存儲設備本身的身份認證以及移動存儲設備對接入終端的身份認證。然而，移動存儲設備和接入終端間雙向認證的必要性是顯而易見的，只有被終端信任的移動存儲設備才允許接入；同時，當終端也被移動存儲設備信任時，移動存儲設備和終端才能獲得彼此間相互讀寫的操作權限。只有實現上述的雙向認證，才能有效地在源頭杜絕移動存儲設備帶來的安全隱患。

　　本文描述了一種移動存儲安全管理方案，針對U盤和移動硬盤等移動存儲設備，基于智能卡技術，結合指紋識別模塊，解決了設備持有者的身份認證以及設備與接人終端間的雙向認證問題，并將設備持有者的指紋作為實名訪問信息記人審計系統，進一步完善了移動存儲的安全管理方案。

　　2基于指紋識別的用戶身份認證

　　指紋識別技術主要涉及指紋圖像采集、指紋圖像處理、特征提取、數據保存、特征值的比對和匹配等過程，典型的指紋識別系統。

　　指紋識別系統

　　指紋圖像預處理的目的是去除指紋圖像中的噪音，將其轉化為一幅清晰的點線圖，便于提取正確的指紋特征。預處理影響指紋識別的效果，具有重要的意義。它分四步進行，即灰度濾波、二值化、二值去噪和細化。圖像細化后，采用細節點模板提取出指紋圖像的脊線末梢和脊線分支點的位置，將指紋認證問題轉化成為點模式匹配問題。

　　所示，移動存儲設備采用兼容多種設備接口的控制芯片、安全控制閃存芯片、大容量用戶標準Flash構成硬件基礎，以智能卡控制芯片為控制中心，結合指紋識別模塊，實現對設備持有者的身份認證；同時，結合大容量普通閃存存儲結構，實現數據存儲低層管理和數據存儲加密。

　　3基于智能卡技術的雙向認證

　　為加強系統認證安全性與可信性，在移動存儲設備內集成智能卡模塊，使之具備計笄能力，從而實現移動存儲設備與終端之問的雙向認證。移動存儲設備的身份文件存放于智能卡模塊中。身份文件是指存儲著移動存儲設備各項物理特征信息的私密文件，由于這些物理特征信息與個體緊密相聯，所以可以起到唯一鑒別該移動存儲設備的作用。

　　智能卡模塊提供對終端的認證，只有通過認證的終端才能訪問身份文件和移動存儲設備中的數據。將現有移動存儲設備硬件結構進行改造，在其中分別加人指紋處理模塊與智能卡模塊后的硬件結構如圖3所示。

　　智能卡模塊內置CPU、存儲器、加解密算法協處理器、隨機數發生器等硬件單元，及芯片操作系統(COS)、芯片文件系統等多個功能模塊。其內部具有安全數據存儲空間，用于存放移動存儲設備的身份文件。對該存儲空間的讀寫受身份認證機制保護，只有通過認證的用戶和終端才能對其進行訪問，并且操作必須通過定制的應用程序實現，用戶無法直接讀取。支持指紋認證的智能卡文件系統如圖4所示。

　　對終端的身份認證方式有多種，本方案采用沖擊一響應的認證方式_7]。需要驗證終端身份時，終端向智能卡模塊發送驗證請求，智能卡模塊接到此請求后產生一組隨機數發送給終端(稱為沖擊)。終端收到隨機數后，使用終端認證軟件內置的密鑰對該隨機數進行一次三重DES加密運算，并將得到的結果作為認證依據傳給智能卡模塊(稱為響應)，與此同時，智能卡模塊也使用該隨機數與內置的密鑰進行相同的密碼運算，若運算結果與終端傳回的響應結果相同，則通過認證。這種認證方式以對稱密碼為基礎，特點是實現簡單，運算速度快，安全性高，比較適合對移動存儲設備的認證。

　　在終端通過認證，取得移動存儲設備信任的前提下，終端通過智能卡模塊讀取移動存儲設備身份文件，對移動存儲設備進行準入認證。只有在雙向認證通過的情況下，移動存儲設備才能接入可信終端，進而在授權服務器分發的安全策略下與可信域終端進行正常的讀寫操作。

　　4移動存儲安全管理系統設計

　　在采用智能卡技術的基礎上，加入移動存儲安全管理系統，提供對移動存儲設備的接人控制，將認證體系擴展至計算機USB總線。

　　安全管理系統的認證體系示意圖如圖5所示。各終端首先需要加入某個信任域，在此之后可對移動存儲設備提供基于所在信任域的接入認證，如果終端沒有通過信任域認證，則不允許任何移動存儲設備接入。

　　授權認證服務器位于各信任域的公共區域中，為各信任域的終端提供移動存儲設備授權認證服務。它將設備授權給某個信任域后，該設備便成為該區域中的授權設備，可在該區域中任意一臺終端上使用；在其他區域使用時將被認為是未授權的，接入將被拒絕。隔離區中的終端與授權認證服務器不能通過網絡相連，從而保證了被隔離的終端不能夠使用移動存儲設備，防止安全隱患向外擴散。這種把安全域細分成不同信任域的整體設計可以最大限度地防止安全實體內敏感數據的任意傳播，大大降低涉密信息向外非法泄露的可能性。

　　終端移動設備認證軟件部署在網絡系統中的各臺終端上，實時監測終端上所有USB接口，探測接人的移動存儲設備。發現設備后，認證軟件將與接入設備進行相互認證，并與認證服務器通信，對設備進行認證，通過認證的設備被認為是當前信任域的授權設備，否則將被認為是未授權的。根據認證結果，允許或禁止移動設備接入。

　　4．1授權流程描述

　　服務器端授權軟件運行時，探測出所有連接到授權服務器上的移動存儲設備，并將結果報告給管理員。管理員指定需要授權的設備，填寫好授權區域、授權日期、授權人、授權有效期并錄入用戶指紋信息后，授權軟件開始對該移動存儲設備進行授權。

　　(1)獲取該設備的各項物理信息，這些信息具有特征標識，可以唯一地標識該設備；

　　(2)將收集到的物理信息和管理員輸入的授權區域、授權日期、授權人、授權有效期等信息以一定格式排列，并注入隨機字符，采用三重DES運算，生成身份文件；

　　(3)設置移動存儲設備中指紋模塊的指紋信息；

　　(4)將智能卡模塊中的認證密鑰設成與終端事先約定好的密鑰；

　　(5)將(3)中生成的身份文件存入智能卡模塊中的安全數據存儲空間。

　　4．2認證流程描述

　　移動存儲設備管理系統完成認證的整個流程，其步驟如下：

　　(1)終端認證軟件判斷當前終端所處區域，如果處于信任域中，掃描各USB端口狀態，判斷是否有新設備接人；如果處于隔離區，則拒絕任何USB移動設備接入。

　　(2)如果探測到新設備接入，智能卡CPU調用指紋處理模塊，接收并驗證用戶指紋。

　　(3)如果指紋認證通過，則終端向USB存儲設備發送認證請求；否則禁用該USB存儲設備。

　　(4)如果沒有收到USB存儲設備的智能卡模塊發來的隨機數，證明該設備是不符合系統硬件設計要求的，拒絕接入；如果收到隨機數，則進行沖擊一響應認證。如果沒有通過認證，證明該終端為非信任終端，智能卡模塊拒絕該設備接人終端。

　　(5)終端讀取智能卡模塊存儲的身份文件，并讀取該設備的各項物理信息，將身份文件、物理信息及終端所處的信任域信息發送至認證服務器進行認證。

　　(6)服務器認證軟件接收到終端發送來的信息后，將標識文件解密，得到授權區域、授權日期、授權人、授權有效期等信息。

　　①將解密得到的物理信息與終端發來的物理信息作比對，如果不相符，證明該標識文件是被復制或偽造的，向終端發送未通過認證的指令。

　　②如果①中認證通過，將解密得到的信任域信息與終端發來的信任域信息作比對，如果不相符，證明該移動存儲設備處于非授權區域中，向終端發送未通過認證的指令。

　　③如果②中認證通過，將解密得到的授權有效期與當前日期做比較，如果當前日期處于有效期內，向終端發送通過認證的指令；如果當前日期處于有效期外，向終端發送未通過認證的指令。

　　(7)終端接收認證服務器發來的指令，對USB設備執行允許或禁止接入的操作。如果USB設備被允許接入，則智能卡模塊將設備持有者指紋提交給認證服務器，作為已授權訪問記錄記入日志中。

　　(8)轉至(2)繼續探測新設備。

　　5安全性分析

　　本方案通過在移動存儲設備中加入指紋識別模塊和智能卡模塊，更安全可靠地解決了設備持有者身份認證問題以及移動存儲設備的“匿名性”問題，通過引入身份文件，實現了移動存儲設備的實名制認證。結合智能卡的相關技術，本方案從根本上解決了移動存儲設備與接入終端問的雙向認證問題，構建了雙方互信的安全傳輸環境。

　　基于信任域的劃分對設備進行授權管理，使整個系統能夠同時對終端和移動存儲設備提供接人控制，有效地阻止了安全威脅的傳播。在方案的具體實現上，有如下安全性考慮：

　　(1)移動存儲設備采用指紋識別的方式認證設備持有者身份，確保其身份的合法性；采用三重DES對稱加密的方式對終端進行認證，確保終端為運行認證軟件的合法授權終端，有效地避免了強力破解的可能性。

　　(2)移動存儲設備的物理信息各不相同，身份文件也是唯一確定的。身份文件采用三重DES加密的方式，加解密過程全部在服務器端認證軟件中完成，密鑰不出服務器，避

　　免了密碼被截獲的可能性。身份文件存儲于智能卡模塊中的安全數據存儲區，受智能卡模塊軟硬件的雙重保護。方案保證了身份文件的唯一性、抗復制性和抗偽造性，任何非授權設備都無法通過破譯、復制、偽造等人侵手段冒名成為授權設備。

　　(3)認證服務器與隔離區中的終端相互隔離，只能被信任域中的終端訪問，保證了認證服務器的安全。

　　(4)雙向認證通過后，被授權的移動存儲設備將設備持有者的指紋記入授權服務器的訪問日志中，以便日后能夠準確地確定安全事故責任人。

　　綜上所述，通過指紋識別技術、智能卡技術、密碼學技術、芯片技術和嵌入式系統設計技術實現了安全可信的移動存儲。

　　6結束語

　　將生物特征識別和嵌入式芯片技術納入移動存儲的安全管理是解決此類安全問題的有效手段，也是未來移動存儲安全領域的發展趨勢。本文正是基于這樣的思路對現有移動存儲安全解決方案進行了擴充，加入了更安全可靠的身份認證方法以及移動存儲設備與終端間的雙向認證機制，使移動存儲安全管理體系的范圍更為全面，提供了更高的安全性。