1.引言

　　隨著信息化建設(shè)的飛速發(fā)展，信息安全辦公的需求日益顯著。在不基于信息安全保護(hù)措施下，使用者如果使用自己核心數(shù)據(jù)的U盤(pán)在他人辦公平臺(tái)上進(jìn)行移動(dòng)辦公，保證工作效率時(shí)，信息的安全性沒(méi)有保障。同樣。使用便攜辦公平臺(tái)進(jìn)行辦公依然存在平臺(tái)丟失等信息安全隱患。采用固定場(chǎng)所進(jìn)行辦公時(shí)，使用者同樣需要將重要數(shù)據(jù)的載體進(jìn)行安全控制存放，保障信息的安全性。

　　為解決便攜辦公存在的信息安全性問(wèn)題，首先從操作系統(tǒng)上占有主動(dòng)權(quán)，在一個(gè)受到自主控制且可信的系統(tǒng)環(huán)境下進(jìn)行辦公，同時(shí)對(duì)核心數(shù)據(jù)進(jìn)行加密存儲(chǔ)。

　　2.平臺(tái)概述

　　加密型便攜操作系統(tǒng)USB辦公平臺(tái)(后面簡(jiǎn)稱(chēng)平臺(tái))由加密U盤(pán)和Ukey(USB Key)組成。加密U盤(pán)主要存儲(chǔ)加密數(shù)據(jù)：UKey完成USB通道的安全認(rèn)證，為加解密算法提供密鑰，平臺(tái)結(jié)構(gòu)如圖1所示。加密U盤(pán)自帶操作系統(tǒng)，WinPE或者LinUx操作系統(tǒng)均可以使用。

圖1 加密型便攜操作系統(tǒng)USB辦公平臺(tái)結(jié)構(gòu)圖

　　為了保證使用者在任何環(huán)境下、任何人的電腦上都是使用自己的操作系統(tǒng)來(lái)進(jìn)行辦公。在自己攜帶的操作系統(tǒng)上辦公不用擔(dān)心任何黑客行為，也不用擔(dān)心來(lái)自網(wǎng)絡(luò)的攻擊，更不用擔(dān)心在辦公過(guò)的電腦上留下日志和操作痕跡：同時(shí)因?yàn)榧用躑盤(pán)是需要外接一個(gè)UKey來(lái)進(jìn)行身份識(shí)別和加密密鑰存儲(chǔ)的，U盤(pán)上的所有數(shù)據(jù)都是加密保護(hù)存放的f包括操作系統(tǒng))。

　　在任何一個(gè)有USB接口的計(jì)算機(jī)上，只要通過(guò)BIOS設(shè)置為USB引導(dǎo)即可。通過(guò)USB接口連接好加密型便攜操作系統(tǒng)USB辦公平臺(tái)，扦插上UKey來(lái)進(jìn)行身份認(rèn)證。計(jì)算機(jī)將會(huì)通過(guò)USB接口引導(dǎo)啟動(dòng)一個(gè)U盤(pán)上的操作系統(tǒng)。連接方式如圖2所示。

圖2 連接示意圖

　　3.平臺(tái)的設(shè)計(jì)研究

　　平臺(tái)上存放有MINI操作系統(tǒng)(Windows PE利各種LinUx均可）。由USB通道進(jìn)入平臺(tái)存儲(chǔ)模塊FLASH的所有數(shù)據(jù)全部進(jìn)行加密處理，反之讀出數(shù)據(jù)全部解密。USB的通道加密是由接口芯片直接提交給專(zhuān)用的FPGA分組加密芯片來(lái)完成。存儲(chǔ)加密算法以比較經(jīng)典的分組AES算法來(lái)進(jìn)行研究，因?yàn)閿?shù)據(jù)的加密速度必須要大于USB最大傳輸速度f(wàn)理論最大值480Mbps)才滿(mǎn)足數(shù)據(jù)的透明吞吐。經(jīng)調(diào)試實(shí)現(xiàn)在Virtex芯片上AES工作時(shí)鐘133MHz，數(shù)據(jù)加密速率1419Mbps。密鑰保護(hù)在UKey內(nèi)，同時(shí)UKey還負(fù)責(zé)USB通道的認(rèn)證工作，UKey沒(méi)有插入U(xiǎn)SB通道將拒絕所有服務(wù)。

　　3.1基于USB接口的操作系統(tǒng)引導(dǎo)技術(shù)

　　日前針對(duì)MINI操作系統(tǒng)的引導(dǎo)，主流操作系統(tǒng)提供商都發(fā)行了相關(guān)的產(chǎn)品。例如微軟的WindowsPrelnstallation Environment(WindowsPE)，就是一款帶有有限服務(wù)的最小Win32預(yù)安裝子系統(tǒng)，它包括運(yùn)行WindoWS安裝程序及腳本、連接網(wǎng)絡(luò)共享、自動(dòng)化基本過(guò)程以及執(zhí)行硬件驗(yàn)證所需的桌面系統(tǒng)。LinUx系統(tǒng)的體積更是無(wú)庸置疑。

　　USB接口引導(dǎo)操作系統(tǒng)，還需要由類(lèi)似GNUGRUB(簡(jiǎn)稱(chēng)GRUB)的操作系統(tǒng)啟動(dòng)程序來(lái)幫助引導(dǎo)。GRUB可用于選擇分區(qū)上的不同內(nèi)核，也可用于向這些內(nèi)核傳遞啟動(dòng)參數(shù)，USB引導(dǎo)首先會(huì)指向GRUB，再通過(guò)GRUB引導(dǎo)啟動(dòng)WindowsPE，同樣的GRUB也可以代替lilo來(lái)完成對(duì)LinUx的引導(dǎo)。

　　USB數(shù)據(jù)傳輸?shù)倪^(guò)程可分為三個(gè)階段：操作系統(tǒng)傳輸階段、存儲(chǔ)外設(shè)階段和USB接口物理通道傳輸階段。國(guó)內(nèi)外針對(duì)USB數(shù)據(jù)的安全研究主要集中在操作系統(tǒng)傳輸階段和存儲(chǔ)外設(shè)階段。

　　操作系統(tǒng)傳輸階段，將需要存儲(chǔ)的數(shù)據(jù)在操作系統(tǒng)控制下經(jīng)過(guò)USB驅(qū)動(dòng)程序送到USB接口上，此階段傳輸途徑較多，用戶(hù)可以通過(guò)不同的操作系統(tǒng)傳輸數(shù)據(jù)，即使在同一操作系統(tǒng)下，借助軟件工具可實(shí)現(xiàn)特殊的傳輸方式。因此，在該階段實(shí)現(xiàn)數(shù)據(jù)加密傳輸具有很多不可控制的安全隱患。

　　存儲(chǔ)外設(shè)階段，是對(duì)USB數(shù)據(jù)存儲(chǔ)的介質(zhì)進(jìn)行加密，如FLASH芯片加密，在介質(zhì)上實(shí)現(xiàn)加密的雖然能保護(hù)存入的數(shù)據(jù)，但沒(méi)有對(duì)USB通道進(jìn)行控制，不能阻止外部對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)。

　　USB接口物理通道傳輸加密，是將需要存儲(chǔ)的數(shù)據(jù)從計(jì)算機(jī)的USB接口物理接口上通過(guò)USB物理介質(zhì)傳輸?shù)酱鎯?chǔ)設(shè)備的USB物理接口上。該通道傳輸環(huán)境單一，也是USB數(shù)據(jù)傳輸?shù)谋亟?jīng)之路。因此，在該階段實(shí)現(xiàn)USB安全傳輸具有非常高的安全性，不但可以對(duì)U瘟數(shù)據(jù)進(jìn)行加密、而且對(duì)U盤(pán)的扇區(qū)表也進(jìn)行了加密。但由于USB相關(guān)的核心技術(shù)尤其是芯片技術(shù)掌握在外國(guó)人手里，實(shí)現(xiàn)難度比較大。

　　在USB接口物理通道上對(duì)數(shù)據(jù)處理，需要將竊取通道上傳輸?shù)臄?shù)據(jù)，在處理完成后再恢復(fù)成USB通道上傳輸?shù)臄?shù)據(jù)格式，包括USB設(shè)備枚舉過(guò)程和數(shù)據(jù)傳輸過(guò)程兩個(gè)階段的通道處理。

　　在USB設(shè)備枚舉過(guò)程中，需要研究通道處理模塊竊取主機(jī)或USB設(shè)備發(fā)送的枚舉信息，并依次解析信息包含的內(nèi)容，及時(shí)更新枚舉狀態(tài)機(jī)，然后根據(jù)USB物理層連接協(xié)議產(chǎn)生建立連接的時(shí)序電路和數(shù)據(jù)，發(fā)送給USB設(shè)備和主機(jī)。

　　在數(shù)據(jù)傳輸過(guò)程中，主機(jī)過(guò)來(lái)的數(shù)據(jù)被竊取后，通道處理模塊解析攜帶的命令，提取需要被加密的數(shù)據(jù)和加密存儲(chǔ)的地址，同時(shí)在USB傳輸協(xié)議規(guī)定的時(shí)間里及時(shí)給主機(jī)發(fā)送響應(yīng)包，在加密完成后將數(shù)據(jù)封裝發(fā)送給USB設(shè)備，并及時(shí)處理USB設(shè)備發(fā)送的響應(yīng)包。

　　USB設(shè)備過(guò)來(lái)的數(shù)據(jù)被竊取后，通道處理模塊解析攜帶的命令，提取需要被解密的數(shù)據(jù)，同時(shí)在USB傳輸協(xié)議規(guī)定的時(shí)間里及時(shí)給USB設(shè)備發(fā)送響應(yīng)包，在解密完成后將數(shù)據(jù)封裝發(fā)送給主機(jī)，并及時(shí)處理主機(jī)發(fā)送的響應(yīng)包。

　　既然是設(shè)計(jì)成USB接口物理通道的加密，就必須對(duì)所有軟件層的協(xié)議透明。為了保證不會(huì)干擾到軟件協(xié)議的通信就必須保證傳輸協(xié)議規(guī)定的時(shí)間里完成數(shù)據(jù)加密。最好的解決辦法就是通過(guò)FPGA來(lái)提供高速的數(shù)據(jù)加密處理。因?yàn)镕PGA是由獨(dú)立時(shí)鐘來(lái)控制處理的，絕對(duì)保證了加密的時(shí)效性。通過(guò)接口芯片解析通信協(xié)議，將協(xié)議頭剔出，將數(shù)據(jù)段提交FPGA完成加密后回填到協(xié)議中。數(shù)據(jù)流入的加密處理流程如圖3所示。

圖3 數(shù)據(jù)流入的加密處理流程

　　3.2 分組加密算法FPGA設(shè)計(jì)

　　經(jīng)調(diào)試實(shí)現(xiàn)在Virtex芯片上AES工作時(shí)鐘133MHz。數(shù)據(jù)加密速率1419Mbps。為了提高FPGA芯片的加密處理性能。需要考慮的環(huán)節(jié)有幾種。

·選擇算法時(shí)需要考慮算法的迭代層數(shù)，這是制約性能的重要方面。

·為了便于FPGA的高性能實(shí)現(xiàn)需要研究算法的反饋深度。

·分組算法沒(méi)有上下文依存關(guān)系，可以考慮進(jìn)行雙核或多核設(shè)計(jì)。

·算法接口進(jìn)行FIFO接口設(shè)計(jì)解決不同時(shí)間域下的協(xié)同處理。

·密鑰擴(kuò)展的同步設(shè)計(jì)。

　　4.結(jié)束語(yǔ)

　　隨著網(wǎng)絡(luò)通信的飛速發(fā)展，信息化水平不斷提高；給人們帶來(lái)極人便利的同時(shí)也產(chǎn)生了大量的信息安全隱患。交通的便捷，人與人的交流也日趨頻繁，地球村的概念離我們也并不遙遠(yuǎn)。怎樣在享受移動(dòng)辦公便捷的同時(shí)，讓自己的敏感信息不受到威脅，從操作系統(tǒng)的源頭由自己把控可能是不錯(cuò)的解決方法，同時(shí)所有數(shù)據(jù)都是加密存放更能保證信息安全的萬(wàn)無(wú)一失。所以加密型便攜操作系統(tǒng)USB辦公平臺(tái)很好地解決了問(wèn)題。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：安全移動(dòng)辦公平臺(tái)技術(shù)研究

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839514209.html