可信保密磁盤的實現(xiàn)方法
【專利摘要】本發(fā)明設(shè)計基于虛擬磁盤管理技術(shù)及實時加解密磁盤軟件Truecrypt的基礎(chǔ)上�,結(jié)合可信計算的思想,利用USBKEY作為可信的硬件基礎(chǔ)�����,設(shè)計了采用USBKEY的可信磁盤加密系統(tǒng)�����。通過使用USBKEY作為可信的硬件基礎(chǔ)實現(xiàn)加密磁盤的可信性�����。
【專利說明】可信保密磁盤的實現(xiàn)方法
【技術(shù)領(lǐng)域】:
[0001]本發(fā)明設(shè)計基于虛擬磁盤管理技術(shù)及實時加解密磁盤軟件Truecrypt的基礎(chǔ)上�����,結(jié)合可信計算的思想����,利用USBKEY作為可信的硬件基礎(chǔ),設(shè)計了采用USBKEY的可信磁盤加密系統(tǒng)�����。通過使用USBKEY作為可信的硬件基礎(chǔ)實現(xiàn)加密磁盤的可信性�。
【背景技術(shù)】:
[0002]隨著計算機的日益普及,計算機數(shù)據(jù)的安全問題也越來越受到重視�。信息的安全受到來自各個方面的威脅,數(shù)據(jù)的保護越來越重要�,涉密信息的安全問題越來越突出,保證涉密文檔和敏感數(shù)據(jù)的關(guān)鍵就是數(shù)據(jù)加密技術(shù)����。然而,傳統(tǒng)的加密磁盤只是實現(xiàn)了對磁盤內(nèi)容的加解密�����,然而���,當密盤中密文數(shù)據(jù)被惡意修改之后�����,密盤中密文的內(nèi)容就會發(fā)生變化�,可能會產(chǎn)生兩種結(jié)果:第一種是密文被解密后成為完全無法識別的亂碼,但又不知道是密鑰不對還是加解密軟件出了問題����;第二種結(jié)果是導致密文被解密后內(nèi)容的含意與原密文有差異甚至完全不同,如果數(shù)據(jù)是重要的商業(yè)數(shù)據(jù)或重要的機密文件則給用戶造成的損失可能無法估量��。然而結(jié)合可信計算的思想���,實現(xiàn)加密磁盤可信���,就可以解決密鑰和磁盤加解密軟件可信性的問題。
【發(fā)明內(nèi)容】
:
[0003]1.首先在計算機系統(tǒng)中建立一個可信根�,可信根的可信性由物理安全����、技術(shù)安全與管理安共同確保。
[0004]2�、然后建立一條可信鏈,從信任根開始到硬件平臺�,到操作系統(tǒng)���,再到應(yīng)用,一級測量認證一級��,一級信任一級�����,把這種信任擴展到整個計算機系統(tǒng)�,從而確保整個計算機系統(tǒng)的可信。
【專利附圖】
【附圖說明】:
[0005]圖1:虛擬磁盤原理結(jié)構(gòu)圖
[0006]圖2:可信加密磁盤系統(tǒng)結(jié)構(gòu)圖
【具體實施方式】:
[0007]一��、可信加密磁盤的系統(tǒng)模型
[0008]可信加密磁盤為以下模塊(如附圖圖2):
[0009]界面管理模塊:用于管理加密卷創(chuàng)建界面和加密卷加載界面����。向加密卷創(chuàng)建模塊和加密卷加載模塊傳遞用戶的設(shè)置。
[0010]加密卷創(chuàng)建模塊:根據(jù)用戶設(shè)置的創(chuàng)建加密卷的參數(shù)(用戶口令�����、加密卷路徑等)�,來創(chuàng)建相應(yīng)的加密卷。
[0011]加密卷加載模塊:根據(jù)用戶設(shè)置的各種加載參數(shù),來加載相應(yīng)的加密卷,形成相應(yīng)的虛擬磁盤�,供用戶操作。[0012]虛擬磁盤驅(qū)動模塊:應(yīng)用程序的各種操作通過內(nèi)核的I/O管理器轉(zhuǎn)變?yōu)楦鞣NIRP請求。虛擬磁盤驅(qū)動相應(yīng)文件系統(tǒng)驅(qū)動程序的IRP對虛擬磁盤(卷文件)進行相應(yīng)的讀寫操作�����。
[0013]加解密模塊:提供了加解密算法和哈希算法��。其中包括AES, Serpent, Twofish,SHA-1等算法的�����。此外�����,還有隨機數(shù)產(chǎn)生器�。
[0014]USBKEY控制模塊:完成所有和USBKEY相關(guān)的操作,例如:讀取USBKEY的id��,調(diào)用USBKEY中的HASH算法等����。
[0015]可信計算功能模塊:完成可信計算相關(guān)的可信根的生成、存儲���、可信度量以及輸出可信度量結(jié)果等功能。
[0016]USBKEY:提供產(chǎn)生卷首密鑰所用的id和可信根生成時所用的HASH算法以及可信的硬件基礎(chǔ)��。
[0017]二、系統(tǒng)的關(guān)鍵技術(shù)
[0018]虛擬磁盤的設(shè)計來源于Windows OS的硬件虛擬化技術(shù)��,利用虛擬存儲技術(shù)對底層存儲設(shè)備進行抽象化管理�,將實際的物理存儲實體與存儲的邏輯表示分離開來,形成虛擬磁盤�。
[0019]1、卷首部分設(shè)計
[0020]加密卷分為兩部分:卷首部分和數(shù)據(jù)部分����,對加密卷內(nèi)數(shù)據(jù)部分的讀寫都需要實時加解密的(寫操作時是加密,寫操作時是解密)���,而加密卷的安全程度是由密鑰受保護的程度決定的���。加密卷卷首的占用512字節(jié)空間,加密卷的前64字節(jié)存儲的是由隨機數(shù)產(chǎn)生器產(chǎn)生的隨機數(shù)填充����。卷首的第64字節(jié)到第255字節(jié)存的是加密卷的一些參數(shù),第256字節(jié)到第511字節(jié)存的是對加密卷數(shù)據(jù)部分讀寫操作時進行實時加解密的主密鑰�。
[0021]卷首部分全部是由卷首密鑰要加密的,而卷首密鑰是由PKCS#5中的導出函數(shù)PBKDF2得到的��,此函數(shù)可以有效的防范字典攻擊。卷首密鑰的導出公式是DK = PBKDF2 (P,IDH, C��,dkLen)��,DK為導出的卷首密鑰�,P為用戶設(shè)定的口令,IDH為USBKEY的序列號填充固定字符之后產(chǎn)生的64字節(jié)參數(shù)����,C為迭代次數(shù),dkLen為導出的卷首密鑰的長度�����。
[0022]2�、加密卷的創(chuàng)建
[0023]加密卷的創(chuàng)建過程,首選用戶插入USBKEY��,并且選擇好創(chuàng)建的位置以及輸入用戶口令���;系統(tǒng)讀取USBKEY的id�,通過HASH處理生成64字節(jié)的IDH ;得到DK = PBKDF2 (P���,IDH,C����,dkLen);然后用隨機數(shù)產(chǎn)生器產(chǎn)生實時加解密的主次密鑰����,再用卷首密鑰DK對卷首進行加密,把加密的卷頭存到卷首�����;用隨機數(shù)產(chǎn)生器填充數(shù)據(jù)部分�,對加密卷進行HASH處理得到HASH值h,把h作為可信根存儲到USBKEY中�,從而得到加密卷。
[0024]3�、加密卷的加載
[0025]加密卷的加載過程:首先插入USBKEY,輸入用戶口令P����,系統(tǒng)讀取USBKEY的id,通過填充固定字符生成64字節(jié)的IDH ;得到DK = PBKDF2 (P, IDH, C��,dkLen)��,得到卷首密鑰后對卷首進行解密后得到加密數(shù)據(jù)部分的主密鑰�,對數(shù)據(jù)部分解密���;對密盤數(shù)據(jù)部分進行HASH算法處理得到HASH值hi,用hi與USBKEY中的可信根進行度量���,得到度量結(jié)果�,輸出度量結(jié)果�,可告知用戶密盤是否可信;加載完成���,得到虛擬磁盤�。
[0026]4�����、虛擬磁盤對數(shù)據(jù)的透明加解密
[0027]透明加解密是在系統(tǒng)對數(shù)據(jù)的讀寫過程中完成的����。Windows操作系統(tǒng)中文件系統(tǒng)驅(qū)動程序【6’7】、1/0管理器�、Cache管理器、虛擬內(nèi)存管理器四者緊密配合共同完成數(shù)據(jù)的讀寫功能���。透明加解密自動地使用指定的加解密算法��,對指定的文件實行加解密操作�����,用戶在操作的過程中��,不改變對文件的訪問操作習慣�,整個加解密操作過程是自動完成的����,加解密中所用到的算法、密鑰�����,都是事先設(shè)定的��,而不是在加解密過程中設(shè)定的���。
[0028]虛擬磁盤驅(qū)動程序需要處理系統(tǒng)對虛擬磁盤的所有I/O請求�,因此���,可以在虛擬磁盤驅(qū)動程序中嵌入加解密模塊�,從而,在驅(qū)動程序處理I/o請求時��,就可以調(diào)用加解密模塊中的加解密算法對虛擬磁盤讀寫時的數(shù)據(jù)流進行實時的加解密處理��。當虛擬磁盤驅(qū)動程序接收到寫數(shù)據(jù)請求的IRP時�����,就調(diào)用加解密模塊中的加密算法對IRP中的明文數(shù)據(jù)進行加密���,然后將密文寫到磁盤上����,這樣就實現(xiàn)了把明文文件實時加密為密文����;當虛擬磁盤驅(qū)動程序收到讀數(shù)據(jù)請求的IRP時,先從磁盤中讀出密文數(shù)據(jù)����,然后調(diào)用解密算法進行解密,然后將明文寫到IRP的內(nèi)存中���,此時��,用戶就可以看到明文了�����。這樣就實現(xiàn)了從虛擬磁盤讀取出文件進行實時解密��。
[0029]5�����、虛擬磁盤的卸載
[0030]當卸載虛擬磁盤后���,調(diào)用USBKEY中的HASH算法處理虛擬磁盤的卷文件,生成HASH值作為可信根存����,把這個可信根覆蓋USBKEY中原來存儲的可信根。當卸載虛擬磁盤時�����,虛擬磁盤中的文件內(nèi)容還有部分以明文存在Cache中���,這有可能造成數(shù)據(jù)的泄露�,所以卸載時必須 清空Cache。因此�����,在卸載時通知Cache管理器及時進行清空緩存操作�。
【權(quán)利要求】
1.基于虛擬磁盤管理技術(shù)及實時加解密磁盤軟件Truecrypt的基礎(chǔ)上,結(jié)合可信計算的思想����,利用USBKEY作為可信的硬件基礎(chǔ),設(shè)計了采用USBKEY的可信磁盤加密系統(tǒng)��。通過使用USBKEY作為可信的硬件基礎(chǔ)實現(xiàn)加密磁盤的可信性��。
2.虛擬磁盤與驅(qū)動程序的層次結(jié)構(gòu)與一般物理磁盤及驅(qū)動程序的層次結(jié)構(gòu)基本一致����,所不同的只是底層磁盤驅(qū)動程序的功能。虛擬磁盤驅(qū)動程序不像物理磁盤驅(qū)動程序那樣�����,直接訪問物理磁盤設(shè)備����,而是以訪問物理磁盤的方式來訪問一個卷文件����,將這個卷文件虛擬成一個磁盤����。
【文檔編號】G06F21/80GK103679066SQ201310149132
【公開日】2014年3月26日 申請日期:2013年4月26日 優(yōu)先權(quán)日:2013年4月26日
【發(fā)明者】韓永飛, 成國永, 王會霞 申請人:廈門密安信息技術(shù)有限責任公司