产品白皮书_北信源安全U盘系统白皮书v2.0_北信源_20100405.doc

北信源安全U盘系统产品白皮书北信源安全U盘系统产品白皮书北京北信源软件股份有限公司2010年4月版权声明本手册的所有内容，其版权属于北京北信源软件股份有限公司（以下简称北信源公司）所有，未经北信源许可，任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异，由此可能产生的差异为正常现象，相关问题请咨询北信源公司技术服务人员。免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，北信源公司及其员工均不承担任何责任。1. 产品概述北信源安全U盘系统是一种用于数据保密和使用情况审计的USB移动存储系统，本系统包括管理软件，应用软件和U盘三部分。通过密码验证和加密算法实现对U盘访问的安全控制。本U盘采用专用单片机，使用通用USB协议与主机进行数据交互。软件实时监控并记录用户动作写入U盘日志存储区域。通过记录操作机器的信息确定操作主机的唯一性。该系统针对U盘丢失可能引起的数据外泄和U盘使用情况的审计问题提供了一种可行的设计及实现方案。2. 产品架构北信源安全U盘系统的结构如Error! Reference source not found.所示，包括设置在主机（电脑）端的用户层和驱动层，以及由存储器、安全控制模块和USB接口控制模块构成的硬件层(U盘)，U盘通过标准的USB接口接入主机端，主机端的用户层通过USB总线（依据USB协议）与U盘进行数据和指令交互。管理通道交互界面模块日志记录模块操作监控模块ATA驱动加解密模块USB驱动USB总线USB接口控制模块存储器模块主机端U盘硬件端数据与指令安全控制模块驱动层硬件层用户软件层系统结构图各部件组成分别说明如下：l 用户层用户层提供交互界面供用户操作，监控用户操作，生成日志信息和文件读写数据与驱动层进行交互，用户层包括交互界面模块、日志记录模块和操作监控模块，其中：交互界面模块提供用户操作接口，所述操作接口经过操作监控模块与底层文件数据交互；交互界面模块可以通过日志记录模块提供的读接口获得日志信息并进行显示。交互界面模块通过直接调用驱动层的USB驱动模块进行U盘硬件相关配置信息的读写和身份验证等操作。操作监控模块将获得的用户动作及相关信息传入日志记录模块，日志模块记录生成日志条目。日志记录模块和操作监控模块分别通过各自独立的数据通道控制日志数据流和文件数据流。日志记录模块直接与驱动层的加解密模块交互日志信息。操作监控模块与驱动层的ATA驱动模块交互文件信息。l 驱动层驱动层提供用户层与U盘的交互接口，实现了对U盘上文件系统的管理，并对用户层与U盘间的交互数据进行实时加解密。该层包括ATA驱动模块、加解密模块和USB驱动模块。ATA驱动模块将传入的文件数据流按照文件系统组织为文件数据块传入加解密模块。加解密模块对用户层传入的日志信息和ATA驱动模块传入的文件数据块进行加密。加解密后的数据采用bulk-only模式通过USB驱动模块生成USB数据包与U盘进行数据交互。USB驱动模块通过管理通道同时接受用户层中的交互界面模块的直接命令请求与U盘交互配置信息。l 硬件层（U盘） U盘带有存储器实现数据存储功能，并且通过控制器中的接口控制模块和安全控制模块实现了标准的USB协议和对U盘的安全管理功能。U盘包括USB接口控制模块和安全控制模块及存储器三部分。U盘USB接口控制模块处理USB指令，将标准数据包解释为控制指令和数据部分。控制指令和数据传入安全控制模块，安全控制模块首先验证当前登录的密码，并依据密码所对应的权限处理指令和数据。处理后的写入数据和读取指令与存储器进行交互。控制指令由安全控制模块返回处理结果。l 逻辑结构在确定系统的逻辑体系结构时，我们采用了分层的设计思想。使用分层的设计，可以规范整个体系的接口，使其具有很好的扩展性、继承性、适应性，能够更好的适应需求的发展和变化。系统的逻辑结构主要分为四层： 系统逻辑结构图各层的意义及功能如下：l UI（用户界面层）：完成用户界面操作，从FS层获取文件列表或者读写文件。l FS（文件系统层）：提供文件系统的功能，支持文件列表、读写添加删除等操作。l ENC（加密层）：提供基于扇区的加密及用户认证功能。l HD（硬件层）：提供基于扇区的读写功能。LOG（日志层）：提供日志的读写与控制功能，为了简化日志层的设计，LOG建立在FS层之上。3. 产品模块北信源安全U盘系统包括设置在主机（电脑）端的用户层和驱动层，以及由存储器、安全控制模块和USB接口控制模块构成的硬件层(U盘)，各部件涉及到的功能模块分别说明如下：1用户软件层用户层提供交互界面供用户操作，监控用户操作，生成日志信息和文件读写数据与驱动层进行交互，用户层包括交互界面模块、日志记录模块和操作监控模块。l 交互界面模块：交互界面模块在主机屏上生成操作界面、配置界面及日志管理界面，提供用户对U盘的文件操作、参数配置、日志管理功能。操作界面设置有操作按钮，包括文件复制，新建文件夹，删除和重命名等一般文件及目录操作按钮，供用户管理U盘上文件，文件操作功能类似文件浏览器的列表框浏览本地磁盘和U盘内容。配置界面通过驱动层提供的操作接口，直接操作位于U盘内部的标志信息区。供用户进行U盘的各项参数配置。此界面调用管理通道进行操作。日志管理界面提供用户对日志的读取，查找，分析，清空等操作界面。此界面调用日志记录模块和直接的管理通道进行操作。l 操作监控模块：用户对U盘中文件的所有操作都由该模块随时捕获。用户在交互界面模块上所执行操作的详细内容、时间和其它相关信息作为日志记录内容传入日志记录模块。在日志记录产生之后，该模块完成当前操作，此方法保证了每个操作日志的可靠性。l 日志记录模块：日志记录模块将由操作监控模块生成的日志记录信息组装成日志条目。本系统的日志条目内容包括：操作时间，主机名，各网卡MAC地址，IP地址，硬盘序列号，CPU类型等基本信息，以及对某文件做了某项操作的具体日志信息。日志记录模块将日志信息的数据组织成定长的日志格式传入驱动层的加解密模块。2驱动层驱动层提供用户层与U盘的交互接口，实现了对U盘上文件系统的管理，并对用户层与U盘间的交互数据进行实时加解密。该层包括ATA驱动模块、加解密模块和USB驱动模块。l ATA驱动模块：本系统的ATA驱动模块使用标准的FAT文件格式。将文件及文件夹信息组织为块数据传入加解密模块。并对用户软件层提供文件的基本操作，如新建、删除、拷贝、重命名、新建目录等操作。l 加解密模块：本系统采用通用加解密模块，使用AES256或者其他数据加密算法。l USB驱动模块：本系统的USB驱动模块使用标准的USB枚举及配置协议，使U盘接入主机后无需额外驱动即可枚举成功。为了避免主机操作系统对数据通道的控制，该模块加入了自定义的USB mass storage通讯命令，主机操作系统将不能理解整个数据通道上的数据信息。而对应的命令码与USB接口控制模块中的代码一致。本系统的自定义的usb mass storage 通讯命令主要包括： 标准操作命令：ReadDisk, WriteDisk, TestUnitReady, DeviceInquiry。 日志操作命令：WriteLog, ReadLog, WriteBlock, ReadBlock, EraseBlock. 管理操作命令：参数读写接口。在标准操作命令中，通讯命令字选用非标准协议定义的命令字即可，并将数据作任意处理，命令中加入了分区标志，供USB接口控制模块分流数据。主机操作系统将对此数据流不作任何响应。日志操作命令为标准操作的进一步封装，并在命令中加入日志标志，USB接口控制模块经过解析命令，将日志条目直接添加至日志分区。管理操作命令为独立的命令字，通过安全控制模块进行身份验证和系统配置信息的读写。其中包括密码验证，分区配置信息写入，密码写入，清空日志，设定序列号等各项操作。3硬件层（U盘） U盘带有存储器实现数据存储功能，并且通过控制器中的接口控制模块和安全控制模块实现了标准的USB协议和对U盘的安全管理功能。U盘包括USB接口控制模块和安全控制模块及存储器三部分。本系统采用U盘控制器中的固件代码生成USB接口控制模块和安全控制模块，U盘控制器采用ST的USB控制芯片，芯片可编程，并提供USB接口控制器接口和nand flash类存储器访问接口。l USB接口控制模块：遵从USB驱动模块中的标准USB枚举及配置协议。并遵守USB驱动模块中自定义的USB mass storage 通讯命令，完成与主机端的数据交互和系统配置等操作请求。USB接口控制模块在U盘插入主机USB口后自动运行，U盘在主机端windows系统中将体现为一个小容量的标准只读U盘，U盘内容为随盘携带的软件。其他各个分区在主机操作系统下皆不可见，且不可访问。因为通讯命令的差异和安全控制模块尚未验证用户身份，因此数据分区实际上处于锁定状态。l 安全控制模块：此模块保证主机端软件对底层硬件信息与数据的安全访问。在密码验证通过之后，方便对应分区的读写操作请求或者配置命令，否则返回错误。主密钥在用户层中的配置界面由系统生成，通过散列算法及使用用户口令加密处理后放置于U盘的标志信息区。密码供安全控制模块使能与禁止上层对对应区域数据的访问请求，本系统共有如下5个密码。对应权限如表1所示。表1 密码与权限表密码名称权限管理员密码读写标志信息，读写设备软件区，读及清除日志区个人存储区只读密码读个人存储区数据，设定部分标志信息个人存储区读写密码读写个人存储区数据，设定部分标志信息日志区只读密码日志读取日志区写密码日志添加安全控制模块的工作步骤如下： 在U盘接入主机后，U盘上电，U盘安全控制模块启动； 用户层下发U盘打开指令，若打开错误，则返回。若正确打开，则自动进入数据共享区。用户此时可选择进入个人存储区(需登录)； 在读写过程中，先生成日志，再进行操作；U盘锁定条件为： 日志区满，U盘安全控制模块锁定，只有管理员方能清除日志后解锁； 个人存储区操作和用户日志查看需要口令，若口令错误次数达到预设上限，则硬件锁定，需要管理员密码方能解锁。l 存储器：本系统的存储器选用标准的Nand Flash，如Samsung, Toshiba等厂商的产品，容量较大，使用页式存储，适合大容量存储类设备。本系统的U盘存储器划分为五个区域：如图3所示，包括：标志信息区、软件区、共享区、个人存储区和日志区。软件区共享区个人存储区日志区标志信息图3 U盘存储器划分标志信息保存的参数，如表2所示，此信息供安全控制模块调用。表2 标志信息保存的参数内容名称描述区域标志标志表的头标记，校验用供应商名称出厂设定产品名称出厂设定软件区容量供管理员修改数据共享区容量管理员设定，用户可修改，个人存储区容量管理员设定，用户可修改日志区容量供管理员修改日志区索引容量供管理员修改序列号出厂设定密码信息密码散列后的结果及信息各区的功能描述如下： 软件区：放置应用软件，在管理员登陆后，此区域可读写功能使能，用户使用时，此区域为只读。 数据共享区与个人存储区：数据共享区与个人存储区都是存储空间，使用ATA驱动模块提供的文件系统进行组织，与普通U盘一致，区别在于个人存储区需要个人存储区的密码方能打开。 日志区：日志区采用顺序记录的方式进行日志的写入，日志操作由安全控制模块统一控制，以防止日志的误写。日志区日志组织结构如图4所示，包括两大块。Block区和Log区。日志区日志组织结构图 Block区：Block区是Log区的索引，空间分配按照设定于标志区域的数据进行划分。Block区的起始位置就是日志区的起始位置。每次插拔操作产生一个Block，Block包含上下两段，称为blockup和blockdown。Blockup在U盘打开时生成，blockdown在关闭时生成，为了防止U盘未正常关闭时插拔造成的blockdown丢失，在打开时系统扫描block区域以补足此信息。blockup包含的信息如下：起始时间，主机名，各网卡MAC地址，IP地址，硬盘序列号，CPU类型。对应log的起始地址。blockdown包含的信息如下：终止时间，对应log的结束地址。 Log区：Log区是日志明细区，每条log包含了如下信息：时间，操作区域（本地磁盘为路径，U盘为数据共享区或者个人存储区），操作类型（新建，删除，拷贝入，拷贝出，重命名）。Log为逻辑上线性排列，在读取时根据block中描述的信息进行定位。Log区每一条日志都包含了扇区使用标志，以供安全控制模块定位当前未用的扇区号。写入时流程如下：打开设备后使用二分法查找到Log区域中第一个空闲扇区，将扇区号添加到block内容中去，存block，再存日志。4. 产品功能北信源安全盘系统采用强加密算法和硬件验证技术，避免了存储数据的非法存取和意外泄漏，具有以下功能及特点：1. 整盘加密：强加密算法，不必担心U盘丢失后泄密。2. 密码保护：非法尝试密码超过预设限制，设备将自行锁定。3. 硬件验证：密码等关键信息硬件处理，防止黑客或病毒等恶意破解。4. 分层管理：两层权限管理，责任清晰明确。5. 简单易用：无需额外驱动，软件随盘携带，界面友好直观。6. 定位设备：日志内容包括主机CPU ID、MAC地址、硬盘序列号、用户名、 计算机名和IP地址等。7. 精确日志：日志内容涉及数据访问、口令验证结果等各项操作。精确记录用户的每一个操作动作。8. 采用专用控制模块防止U盘介质非授权格式化；9. 从原理上杜绝病毒自动传播(无法利用操作系统直接对U盘存储区文件进行读写)，防止病毒拷入U盘导致病毒传播；10. 支持基于角色的细粒度强访问控制机制，采用可定制的数据访问和审计策略，提供数据的多级多域安全防护；11. 采用安全容器技术，实现信息的存储和传输安全，保证信息内容本身的应用审计安全；12. 可对信息的分发路径进行全程跟踪，结合自主采集的多维主机指纹采集技术，从而对通过盘的数据交换行为进行全方位的细粒度审计。13. 强审计：跟踪并记录用户操作，能定位用户操作的计算机设备，审计信息记录在U盘本地的审计区，以供分析。5. 产品特性本系统的设计目标主要是保证存储在USB存储介质上的重要数据的安全，该产品采用强审计日志型结构，对其上存取数据的操作进行实时精确的日志记录。在使用的过程中，管理员可通过对日志信息的数据挖掘，找出安全管理中的安全隐患，并可在安全事件发生后，对U盘的使用情况进行审计，查找相关责任人。具体特点如下：l 文件传输过程中的加解密在主机与U盘的数据交互过程中，系统对传输的数据进行实时的加解密。在分区加载时，数据移入U盘的同时加密，移出的同时解密。整个的加解密过程对用户是透明的且对传输速率的影响很小。l 自定义的传输协议使用自定义的USB mass storage传输协议，采用跟windows操作系统完全不同的命令结构，使得windows操作系统完全不能理解底层协议，保证了传输中的数据难以被窃听，并可以防止病毒、远程控制等操作。l 用户身份验证系统中将U盘划分为数据共享区和个人存储区两个用来存放文件数据的分区，两种分区分别对应放置共享型文件和保密型文件。对于数据共享区的访问，用户可以直接使用文件传输软件进行操作，当访问个人存储区时，用户需要输入口令才能访问。口令错误超出预设上限后，U盘进入锁定状态，需要管理员登陆配置软件后进行解锁操作。l 加密分区的硬件控制U盘除软件共享区外的其他三个分区在刚插入主机时，处于锁定状态。在Windows、Linux等操作系统中均不可见，且无法操作。对其操作只能通过随盘软件进行。l 内存缓冲区的保护Windows操作系统中，数据首先在放在内存缓冲区中，然后根据一定的策略进行写入。这样的过程如果不加保护，其中的数据就很容易被窃取，因此，在系统中，为了保证所有的口令和敏感数据在内存缓冲区中的安全，这些缓冲区被锁定，以免被换页时交换到磁盘缓冲区上，并且当内存缓冲区被释放时清除口令和敏感数据。l 日志实时记录U盘在使用的过程中，操作软件会实时记录下用户对U盘的所有操作并写入U盘日志区。软件通过记录操作机器的MAC号，IP地址，硬盘号，CPU ID号以及登陆的用户名，机器名等信息确认使用者及主机的唯一性。日志的记录方式采用先写日志后执行动作的串行操作，日志写入成功后操作才能继续，该策略保证了日志信息的可靠和完整性。6. 产品型号基本规格 名称 北信源安全U盘系统容量 1GB/2GB/4GB 兼容操作系统 Windows 2000/XP/2003/VISTA/win7技术性能 完全准遵照标准的 USB 协议设计 可作为普通存储设备，运用随盘提供的管 理工具对设备进行分区，初始化和数据存取访问等操作 可定制安全访问策略。 日志存储采用 Append-only 文件系统。外观参数 颜色银白色 重量 (g)25 长度 (mm)55.00 宽度 (mm)20.30 高度 (mm)7.50 环境参数 工作温度 -5 - 45 工作湿度 10%-80% 存储温度 -8 - 65 存储湿度 8%-