摘  要： 目前多數(shù)安全USB設(shè)備使用時(shí),，需要開啟一個(gè)應(yīng)用程序界面來(lái)對(duì)USB設(shè)備進(jìn)行讀寫、加密/解密,。對(duì)此,，提出并實(shí)現(xiàn)了一種利用硬件PNP技術(shù)自動(dòng)對(duì)USB映射為本地盤符，拔下時(shí)自動(dòng)刪除盤符的技術(shù),。讀寫文件時(shí),，對(duì)USB設(shè)備自動(dòng)透明加解密；安全U盤使用前經(jīng)過(guò)授權(quán)中心統(tǒng)一注冊(cè)與授權(quán),，劃分為權(quán)限注冊(cè)區(qū)和加密區(qū),；用戶密碼驗(yàn)證采用基于密碼的密碼系統(tǒng)說(shuō)明書(RFC2898)和應(yīng)用偽隨機(jī)函數(shù)導(dǎo)出密鑰(PBKDF2)；權(quán)限管理采用預(yù)先設(shè)定好的內(nèi),、外網(wǎng)策略,，內(nèi)網(wǎng)策略分為多個(gè)等級(jí)。在實(shí)際應(yīng)用中取得了較好效果,。
關(guān)鍵詞： 移動(dòng)存儲(chǔ),；加解密；卷映射,；硬件插拔

    大多數(shù)普通安全U盤通過(guò)使用軟件實(shí)現(xiàn)安全U盤加密功能,。在使用過(guò)程中，用戶需要打開專用的U盤瀏覽器或管理工具等,，不但操作不方便,，而且不符合USB設(shè)備使用習(xí)慣和人性化設(shè)計(jì)。
    本文通過(guò)對(duì)驅(qū)動(dòng)層硬件插拔(PNP)的研究,，在用戶接上USB等存儲(chǔ)設(shè)備時(shí),，在卷過(guò)濾驅(qū)動(dòng)層判斷符合卷格式的USB設(shè)備時(shí)，如果符合規(guī)定的卷格式和標(biāo)識(shí),，則對(duì)U盤自動(dòng)卷映射(mount)為本地磁盤,，對(duì)U盤的讀寫操作如同操作本地盤，即在寫入文件時(shí)自動(dòng)加密,，讀文件時(shí)自動(dòng)解密,，對(duì)卷映射的本地磁盤盤符的讀寫,，實(shí)際是對(duì)U盤上加密數(shù)據(jù)的讀寫。
    在分析了Windows DDK/FSD驅(qū)動(dòng)開發(fā)技術(shù),、卷上過(guò)濾驅(qū)動(dòng)技術(shù),，提出了在Windows系統(tǒng)插入U(xiǎn)SB設(shè)備時(shí)，自動(dòng)掛載符合規(guī)定卷格式的USB設(shè)備,，映射為本地磁盤,，根據(jù)注冊(cè)信息和本機(jī)是否在內(nèi)網(wǎng)，應(yīng)用相應(yīng)的策略,，對(duì)USB設(shè)備進(jìn)行可讀,、可寫、禁用等措施,；在加解密方面,，應(yīng)用基于密碼的密碼系統(tǒng)說(shuō)明書（RFC2898)和應(yīng)用偽隨機(jī)函數(shù)導(dǎo)出密鑰（PBKDF2)等標(biāo)準(zhǔn)，保證了數(shù)據(jù)的安全存儲(chǔ),。
1 原理與架構(gòu)
    系統(tǒng)分為驅(qū)動(dòng)層和應(yīng)用層,，驅(qū)動(dòng)層包括一個(gè)卷過(guò)濾驅(qū)動(dòng)程序和一個(gè)文件系統(tǒng)過(guò)濾驅(qū)動(dòng)；應(yīng)用層包括一個(gè)應(yīng)用程序和與驅(qū)動(dòng)交互的dll,。應(yīng)用層是隱藏界面的應(yīng)用程序,。卷過(guò)濾驅(qū)動(dòng)對(duì)USB盤的(PNP)動(dòng)作識(shí)別，讀移動(dòng)硬盤卷的頭為512 B,，對(duì)特定標(biāo)識(shí)識(shí)別,，如果不符合卷標(biāo)示，則可采用禁用或放行等,；如果符合卷格式和標(biāo)識(shí),，則對(duì)此卷進(jìn)行映射。USB盤上數(shù)據(jù)采用透明加解密方法,。
    普通U盤使用前需要格式化,，物理U盤上的數(shù)據(jù)是隨機(jī)的數(shù)值。密碼算法采用基于口令的密碼系統(tǒng) (RFC2898),，口令和鹽(salt)結(jié)合產(chǎn)生密鑰,。鹽可看作是對(duì)口令導(dǎo)出的一個(gè)大密鑰集合的索引。鹽和迭代次數(shù)構(gòu)成了PKCS#5v1.5中基于口令加密基礎(chǔ),。系統(tǒng)總體架構(gòu)序列圖如圖1所示,。

    加密算法可采用AES-256、Serpent,、Twofish等,，解密時(shí)通過(guò)判斷廠商標(biāo)識(shí)以及CRC-32校驗(yàn)和是否正確，在此過(guò)程中在權(quán)限注冊(cè)區(qū)讀入相應(yīng)的注冊(cè)信息,，如GUID和廠商標(biāo)識(shí)等,。如上述過(guò)程正確,，則執(zhí)行正確的卷映射過(guò)程。
2 研究與實(shí)現(xiàn)
    系統(tǒng)應(yīng)用層主要由三個(gè)線程組成,，主線程是應(yīng)用程序,，剩下卷映射線程和卸下卷(unmount)線程分別用來(lái)在USB存儲(chǔ)設(shè)備做PNP時(shí)對(duì)本地盤進(jìn)行卷映射和卸下卷。線程和驅(qū)動(dòng)層采用事件通信機(jī)制,。本系統(tǒng)定位于移動(dòng)存儲(chǔ)設(shè)備,，包括移動(dòng)硬盤、U盤及移動(dòng)存儲(chǔ)卡等移動(dòng)存儲(chǔ)介質(zhì),。可以將用戶的普通USB存儲(chǔ)設(shè)備分為密文區(qū)與權(quán)限注冊(cè)區(qū)兩個(gè)存區(qū),。密文區(qū)是從內(nèi)部可信計(jì)算機(jī)拷貝數(shù)據(jù)到USB存儲(chǔ)設(shè)備,，數(shù)據(jù)在后臺(tái)加密處理后存放的區(qū)域；權(quán)限注冊(cè)區(qū)則寫入GUID和必要的廠商,、運(yùn)行權(quán)限,、內(nèi)外網(wǎng)策略等。
    卷映射線程收到底層USB的PNP動(dòng)作時(shí),，首先得到運(yùn)行環(huán)境,，根據(jù)運(yùn)行環(huán)境得到USB存儲(chǔ)設(shè)備讀寫權(quán)限，然后根據(jù)相關(guān)密碼,、密鑰等參數(shù)通過(guò)DEVICEIOCONTROL通知驅(qū)動(dòng)創(chuàng)建本地虛擬盤,，最后廣播DBT_DEVICEARRIVAL消息通知操作系統(tǒng)。卸下卷線程收到USB存儲(chǔ)設(shè)備拔出事件通知后,，將盤符參數(shù)下發(fā)到驅(qū)動(dòng)層,，對(duì)盤符做卸下卷操作，同時(shí)清理相關(guān)資源,，發(fā)送廣播消息(DBT_DEVICEREMOVEPENDING)消息,。
    集中注冊(cè)與授權(quán)，使用前必須經(jīng)過(guò)授權(quán)中心統(tǒng)一注冊(cè)與授權(quán),，包括格式化,、實(shí)名注冊(cè)、標(biāo)識(shí)密級(jí),、指定授權(quán)計(jì)算機(jī),、是否采用口令保護(hù)等。授權(quán)后的移動(dòng)存儲(chǔ)介質(zhì)在涉密計(jì)算機(jī)上能正常使用,，當(dāng)未授權(quán)的移動(dòng)存儲(chǔ)設(shè)備接入計(jì)算機(jī)時(shí),，系統(tǒng)可自動(dòng)關(guān)閉USB端口，使未授權(quán)移動(dòng)存儲(chǔ)介質(zhì)無(wú)法在涉密計(jì)算機(jī)上使用,。采用透明加密技術(shù)實(shí)現(xiàn)讀寫數(shù)據(jù)自動(dòng)加解密,。
    對(duì)于正確安裝了移動(dòng)存儲(chǔ)安全系統(tǒng)客戶端的計(jì)算機(jī),，客戶端自動(dòng)上報(bào)該機(jī)狀態(tài)，完成到控制臺(tái)服務(wù)器注冊(cè)功能,，有效防止非法用戶安裝客戶端程序,。靈活的注冊(cè)策略，可設(shè)定移動(dòng)存儲(chǔ)介質(zhì)允許的計(jì)算機(jī)或組,；管理員可隨時(shí)更改移動(dòng)存儲(chǔ)介質(zhì)注冊(cè)策略和信息,，包括遠(yuǎn)程策略變更、掛失和注銷等,；外出拷貝功能是將COPY到U盤內(nèi)安全存儲(chǔ)的數(shù)據(jù)與外界沒有安裝客戶端程序的計(jì)算機(jī)進(jìn)行數(shù)據(jù)交互使用,，非法外聯(lián)監(jiān)控；審計(jì)功能包括詳細(xì)審計(jì)記錄(如注冊(cè)信息,、使用信息和文件操作信息),，記錄要素包括使用人、使用的計(jì)算機(jī),、使用時(shí)間和動(dòng)作等,。
    應(yīng)用層完成對(duì)移動(dòng)存儲(chǔ)設(shè)備的格式化工作。對(duì)卷起始位置寫入密碼,、校驗(yàn)和等信息,，提供了FAT32和NTFS兩種文件系統(tǒng)格式。在驅(qū)動(dòng)中對(duì)移動(dòng)存儲(chǔ)設(shè)備做卷映射,，創(chuàng)建類型為FILE_DEVICE_DISK卷過(guò)濾驅(qū)動(dòng),，使用不同的盤符。在IRP_MJ_WRITE和IRP_MJ_READ請(qǐng)求例程中進(jìn)行加解密,。在IRP_MJ_WRITE分發(fā)例程中把相關(guān)的IRP存入隊(duì)列,。在新創(chuàng)建的系統(tǒng)線程內(nèi)進(jìn)行卷加密。在IRP_MJ_READ中進(jìn)行解密,。
    注冊(cè)主要由應(yīng)用層注冊(cè)工具完成,，可由用戶選擇FAT32或NTFS格式。注冊(cè)流程如下：訪問(wèn)移動(dòng)存儲(chǔ)盤,，輸入需要注冊(cè)信息,。注冊(cè)信息包括：移動(dòng)存儲(chǔ)盤密碼、標(biāo)簽名,、安全等級(jí),、客戶標(biāo)識(shí)名、分區(qū)個(gè)數(shù),、內(nèi)網(wǎng)移動(dòng)存儲(chǔ)策略,、外網(wǎng)移動(dòng)存儲(chǔ)策略、1~5等級(jí)的移動(dòng)存儲(chǔ)策略(是否啟用保密區(qū)、是否啟用交換區(qū),，不同分區(qū)間操作控制),。然后寫入移動(dòng)存儲(chǔ)密碼和相關(guān)注冊(cè)信息，使用IOCTL向移動(dòng)存儲(chǔ)介質(zhì)寫入相應(yīng)的控制權(quán)限信息,。
    插入安全U盤后,，得到處理環(huán)境信息：是否為有效設(shè)備、是否有客戶端代理,、客戶標(biāo)識(shí)匹配,、在內(nèi)網(wǎng)否、安全等級(jí)是否1~5,，然后決定應(yīng)用不同策略,。驅(qū)動(dòng)只要掛載存儲(chǔ)卷的UpperFilter即可完成卷的加解密任務(wù)。
    卷過(guò)濾驅(qū)動(dòng)在IRP_MJ_PNP請(qǐng)求時(shí)監(jiān)控設(shè)備的插拔消息,，程序判斷是否是指定的卷格式,，如發(fā)現(xiàn)是移動(dòng)存儲(chǔ)設(shè)備，則用DeviceIoControl與驅(qū)動(dòng)層通信,。通過(guò)對(duì)新加卷的監(jiān)控，實(shí)現(xiàn)對(duì)移動(dòng)存儲(chǔ)設(shè)備的加解密,。應(yīng)用層通過(guò)DeviceIoControl與應(yīng)用層的通信獲得用戶密鑰和權(quán)限策略,。
    在文件系統(tǒng)驅(qū)動(dòng)層映射卷的流程如下：應(yīng)用程序調(diào)用ZwCreateFile或IoCreateFileSpecifyDeviceObjectHint，I/O管理器確定請(qǐng)求的目標(biāo)是哪個(gè)邏輯卷,，檢查是否設(shè)置了VPB_MOUNTED,。如此卷在系統(tǒng)引導(dǎo)后未被卷映射，則I/O管理器發(fā)送卷映射請(qǐng)求(IRP_MN_MOUNT_VOLUME),。
    每個(gè)文件系統(tǒng)接收到卷映射卷請(qǐng)求后,，檢查卷引導(dǎo)扇區(qū)確認(rèn)是否是正確的卷格式、卷是否為指定的文件系統(tǒng)格式化的,。如果卷格式符合,，文件系統(tǒng)則卷映射該卷。
    對(duì)移動(dòng)存儲(chǔ)設(shè)備的格式化可分為FAT32和NTFS兩種格式,。卷過(guò)濾驅(qū)動(dòng)監(jiān)控系統(tǒng)的PNP行為,，如移動(dòng)介質(zhì)頭512 B符合卷頭格式，則使用事件通知應(yīng)用層對(duì)移動(dòng)介質(zhì)卷映射,，卷映射線程將相關(guān)參數(shù)(盤符,、密碼、磁盤屬性)等傳遞到文件系統(tǒng)驅(qū)動(dòng),，創(chuàng)建一個(gè)FILE_DEVICE_DISK類型的過(guò)濾設(shè)備,；然后創(chuàng)建一個(gè)線程，在線程中應(yīng)用ZwCreateFile打開卷設(shè)備Handle，讀取卷頭信息,，對(duì)卷頭信息進(jìn)行驗(yàn)證,，如驗(yàn)證卷頭信息成功，則創(chuàng)建相應(yīng)盤符的符號(hào)鏈接,；對(duì)USB設(shè)備加密模式為XTS,；卸下卷線程接到拔下USB存儲(chǔ)器通知事件后，對(duì)相應(yīng)盤符進(jìn)行卸載,，清理相關(guān)資源,。
    應(yīng)用層包括對(duì)卷格式化功能，對(duì)移動(dòng)USB設(shè)備合法性驗(yàn)證,、得到USB運(yùn)行環(huán)境信息,、根據(jù)策略信息對(duì)USB設(shè)備進(jìn)行讀寫、禁用等控制,。在USB設(shè)備上單開辟一個(gè)區(qū)域,，用來(lái)存取注冊(cè)信息以及寫入注冊(cè)信息和讀取注冊(cè)信息，生成GUID寫入U(xiǎn)SB設(shè)備的唯一標(biāo)示,，完成卷映射功能,。
    安全U盤總體設(shè)計(jì)序列圖如圖2所示。

    在PNP發(fā)生時(shí),，驅(qū)動(dòng)層和應(yīng)用層通過(guò)事件進(jìn)行通信,。對(duì)卷映射和卸下卷過(guò)程各啟動(dòng)一個(gè)線程等待PNP事件發(fā)生。首先驗(yàn)證卷頭格式,，卷頭信息讀到RAM中,。卷頭64 B是生成密鑰所需的鹽(salt)，驅(qū)動(dòng)層解密讀入的標(biāo)準(zhǔn)卷頭,、解密過(guò)程中的所有數(shù)據(jù)保存在RAM中,。在此過(guò)程中需要得到如下參數(shù)：
卷頭導(dǎo)出函數(shù)用的PRF參數(shù)(見PKCS #5 v2.0)可為：HMAC-SHA-512、HMAC_RIPEMD-160等,；廠商標(biāo)示密碼和讀入的鹽值傳給卷頭密鑰導(dǎo)出函數(shù),，生成頭解密密鑰和扇區(qū)解密密鑰；使用的加密算法為AES-256,；解密時(shí)對(duì)照廠商標(biāo)示密碼及校驗(yàn)和,，密鑰用來(lái)解密卷上的扇區(qū)。
主要數(shù)據(jù)結(jié)構(gòu)和參數(shù)如下：
(1)卷映射數(shù)據(jù)結(jié)構(gòu)
typedef  struct
{
    Int    nReturnCode,；                //底層sys返回碼
    Short      wszHsVolume[MAX_PATH],；        //卷名稱
    Password   VolumePassword；            //用戶密碼
    BOOL      bCache,；//是否在驅(qū)動(dòng)中緩存密碼
    Int          nDosDriveNo,；    //需要卷映射的盤符號(hào)
    Int          BytesPerSector,；                //扇區(qū)字節(jié)數(shù)
    BOOL      bSystemVolume；        //是否為系統(tǒng)卷
    BOOL      bPersistenVolume,；    //是否為隱藏卷
    BOOL      bMountReadOnly,；//是否映射為隱藏卷格式
    BOOL      bMountRemovable；//是否映射為可移動(dòng)
//存儲(chǔ)設(shè)備
} MOUNT_STRUCT,；
(2)設(shè)備信息結(jié)構(gòu)
typedef struct _SECDEVICEINFO
{
    CHAR    szProvider[SD_MAX_PROVIDER_LEN],；
//設(shè)備提供者名稱
    DWORD  dwDeviceType；        //設(shè)備類型
CHAR    szDeviceID[SD_MAX_DEVICE_ID_LEN],；  
//設(shè)備唯一標(biāo)識(shí)
__int64  dwDeviceCapacity,；            //設(shè)備容量
} SECDEVICEINFO， *PSECDEVICEINFO,；
(3)策略數(shù)據(jù)結(jié)構(gòu)
typedef struct  _POLICYDATA
{
    BOOL    bEnableSecPart,；    //是否啟動(dòng)保密區(qū)
BOOL   bReadSecPart；    //是否可讀保密區(qū)
BOOL   bWriteSecPart,；        //是否可寫保密區(qū)
BOOL    bEncryptSecPart,；        //是否加密保密區(qū)
BOOL    bEnableExchPart；        //是否啟用交換區(qū)
BOOL    bReadExchPart,；        //是否可讀交換區(qū)
BOOL   bWriteExchPart,；        //是否可寫交換區(qū)
BOOL    bEncryptExchPart；        //是否加密交換區(qū)
BOOL    bExchPartToSecPart,；    
//是否允許從交換區(qū)復(fù)制到保密區(qū)
BOOL    bsechPartToSecPart,；    
//是否允許從保密區(qū)復(fù)制到交換機(jī)
} POLICYDATA，*PPOLICYDATA,；
應(yīng)用層創(chuàng)建雙線程，等待PNP消息,，如接入U(xiǎn)SB盤符和特定卷格式,，則對(duì)卷做相應(yīng)卷映射和卸下卷。
對(duì)卷卷映射函數(shù)：
Int MountVolume (
                 int driveNo,，
                 char *volumePath,，
                 Password *password，
                 MountOptions *mountOptions,，
                 BOOL bReportWrongPassword ),；
    對(duì)卷卸下卷函數(shù)：
BOOL    UnmountVolume
(int nDosDriveNo， BOOL forceUnmount ),；
    創(chuàng)建內(nèi)存中卷格式：
int VolumeWriteHeader(char*header,，int ea，int mode,，Password* password,，
char*masterKey，
PCRYPTO_INFO*retInfo，
BOOL bWipeMode ),；
    讀入U(xiǎn)SB卷頭：
    int VolumeReadHeader(char*encryptedHeader,，Password)；
    經(jīng)過(guò)測(cè)試人員測(cè)試和客戶現(xiàn)場(chǎng)應(yīng)用,，本系統(tǒng)達(dá)到了良好的應(yīng)用效果,，從驅(qū)動(dòng)層到應(yīng)用層都運(yùn)行良好。系統(tǒng)支持FAT32和NTFS格式,，對(duì)容量較大的USB移動(dòng)存儲(chǔ)設(shè)備和容量較小的U盤都有較好的使用和保密效果,。
參考文獻(xiàn)
[1] 胡曉軍.開發(fā)WDM型USB設(shè)備客戶驅(qū)動(dòng)程序[J].中國(guó)數(shù)據(jù)通信，2002(2)：51-53.
[2] RUSSINOVICH M E,， SOLOMON D A. 深入解析Windows操作系統(tǒng)[M].第4版.潘愛民,，譯.北京：電子工業(yè)出版社，2008.