随着移动存储设备的广泛应用，由其引发的信息泄漏等安全问题日益受到关注。针对目前移动存储安全解决方案中利用用户名和密码进行身份认证的不足，本文提出了基于智能卡技术的安全管理方案。该方案将指纹特征作为判定移动存储设备持有者身份的依据，同时通过智能卡技术实现了移动存储设备与接入终端间的双向认证，从源头上杜绝了移动存储设备带来的安全隐患。

　　1引言

　　移动存储设备因其体积小、容量大、使用灵活而应用广泛，但其本身的“匿名性”给设备安全管理带来了巨大挑战，身份认证难、信息易泄露、常携带病毒等问题一直困扰着用户和计算机系统安全人员。

　　在移动存储的安全管理上应基于两个层面：首先是移动存储设备对用户的身份认证，以确保移动存储设备持有者身份的合法性；其次是移动存储设备与接入终端间的双向认证。目前，移动存储的安全管理往往是基于用户名和口令的身份认证方案，容易受到非法用户“假冒身份”的攻击，同时系统中所保存的口令表的安全性也难以保障，因此该方案存在较大的安全隐患。少数采用生物特征识别的安全方案也仅仅做到了第一个层面的身份认证，仍无法解决对移动存储设备本身的身份认证以及移动存储设备对接入终端的身份认证。然而，移动存储设备和接入终端间双向认证的必要性是显而易见的，只有被终端信任的移动存储设备才允许接入；同时，当终端也被移动存储设备信任时，移动存储设备和终端才能获得彼此间相互读写的操作权限。只有实现上述的双向认证，才能有效地在源头杜绝移动存储设备带来的安全隐患。

　　本文描述了一种移动存储安全管理方案，针对U盘和移动硬盘等移动存储设备，基于智能卡技术，结合指纹识别模块，解决了设备持有者的身份认证以及设备与接人终端间的双向认证问题，并将设备持有者的指纹作为实名访问信息记人审计系统，进一步完善了移动存储的安全管理方案。

　　2基于指纹识别的用户身份认证

　　指纹识别技术主要涉及指纹图像采集、指纹图像处理、特征提取、数据保存、特征值的比对和匹配等过程，典型的指纹识别系统如图1所示。

　　

　　　　　　　　　　　图1指纹识别系统
指纹图像预处理的目的是去除指纹图像中的噪音，将其转化为一幅清晰的点线图，便于提取正确的指纹特征。预处理影响指纹识别的效果，具有重要的意义。它分四步进行，即灰度滤波、二值化、二值去噪和细化。图像细化后，采用细节点模板提取出指纹图像的脊线末梢和脊线分支点的位置，将指纹认证问题转化成为点模式匹配问题。

　　如图2所示，移动存储设备采用兼容多种设备接口的控制芯片、安全控制闪存芯片、大容量用户标准Flash构成硬件基础，以智能卡控制芯片为控制中心，结合指纹识别模块，实现对设备持有者的身份认证；同时，结合大容量普通闪存存储结构，实现数据存储低层管理和数据存储加密。

　　

　　3基于智能卡技术的双向认证

　　为加强系统认证安全性与可信性，在移动存储设备内集成智能卡模块，使之具备计笄能力，从而实现移动存储设备与终端之问的双向认证。移动存储设备的身份文件存放于智能卡模块中。身份文件是指存储着移动存储设备各项物理特征信息的私密文件，由于这些物理特征信息与个体紧密相联，所以可以起到唯一鉴别该移动存储设备的作用。

　　智能卡模块提供对终端的认证，只有通过认证的终端才能访问身份文件和移动存储设备中的数据。将现有移动存储设备硬件结构进行改造，在其中分别加人指纹处理模块与智能卡模块后的硬件结构如图3所示。

　　智能卡模块内置CPU、存储器、加解密算法协处理器、随机数发生器等硬件单元，及芯片操作系统(COS)、芯片文件系统等多个功能模块。其内部具有安全数据存储空间，用于存放移动存储设备的身份文件。对该存储空间的读写受身份认证机制保护，只有通过认证的用户和终端才能对其进行访问，并且操作必须通过定制的应用程序实现，用户无法直接读取。支持指纹认证的智能卡文件系统如图4所示。

　　

　　

　　对终端的身份认证方式有多种，本方案采用冲击一响应的认证方式_7]。需要验证终端身份时，终端向智能卡模块发送验证请求，智能卡模块接到此请求后产生一组随机数发送给终端(称为冲击)。终端收到随机数后，使用终端认证软件内置的密钥对该随机数进行一次三重DES加密运算，并将得到的结果作为认证依据传给智能卡模块(称为响应)，与此同时，智能卡模块也使用该随机数与内置的密钥进行相同的密码运算，若运算结果与终端传回的响应结果相同，则通过认证。这种认证方式以对称密码为基础，特点是实现简单，运算速度快，安全性高，比较适合对移动存储设备的认证。

　　在终端通过认证，取得移动存储设备信任的前提下，终端通过智能卡模块读取移动存储设备身份文件，对移动存储设备进行准入认证。只有在双向认证通过的情况下，移动存储设备才能接入可信终端，进而在授权服务器分发的安全策略下与可信域终端进行正常的读写操作。
 

4移动存储安全管理系统设计

　　在采用智能卡技术的基础上，加入移动存储安全管理系统，提供对移动存储设备的接人控制，将认证体系扩展至计算机USB总线。

　　

　　安全管理系统的认证体系示意图如图5所示。各终端首先需要加入某个信任域，在此之后可对移动存储设备提供基于所在信任域的接入认证，如果终端没有通过信任域认证，则不允许任何移动存储设备接入。

　　授权认证服务器位于各信任域的公共区域中，为各信任域的终端提供移动存储设备授权认证服务。它将设备授权给某个信任域后，该设备便成为该区域中的授权设备，可在该区域中任意一台终端上使用；在其他区域使用时将被认为是未授权的，接入将被拒绝。隔离区中的终端与授权认证服务器不能通过网络相连，从而保证了被隔离的终端不能够使用移动存储设备，防止安全隐患向外扩散。这种把安全域细分成不同信任域的整体设计可以最大限度地防止安全实体内敏感数据的任意传播，大大降低涉密信息向外非法泄露的可能性。

　　终端移动设备认证软件部署在网络系统中的各台终端上，实时监测终端上所有USB接口，探测接人的移动存储设备。发现设备后，认证软件将与接入设备进行相互认证，并与认证服务器通信，对设备进行认证，通过认证的设备被认为是当前信任域的授权设备，否则将被认为是未授权的。根据认证结果，允许或禁止移动设备接入。

　　4．1授权流程描述

　　服务器端授权软件运行时，探测出所有连接到授权服务器上的移动存储设备，并将结果报告给管理员。管理员指定需要授权的设备，填写好授权区域、授权日期、授权人、授权有效期并录入用户指纹信息后，授权软件开始对该移动存储设备进行授权。

　　(1)获取该设备的各项物理信息，这些信息具有特征标识，可以唯一地标识该设备；

　　(2)将收集到的物理信息和管理员输入的授权区域、授权日期、授权人、授权有效期等信息以一定格式排列，并注入随机字符，采用三重DES运算，生成身份文件；

　　(3)设置移动存储设备中指纹模块的指纹信息；

　　(4)将智能卡模块中的认证密钥设成与终端事先约定好的密钥；

　　(5)将(3)中生成的身份文件存入智能卡模块中的安全数据存储空间。

　　4．2认证流程描述

　　
 

图6是移动存储设备管理系统完成认证的整个流程，其步骤如下：

　　(1)终端认证软件判断当前终端所处区域，如果处于信任域中，扫描各USB端口状态，判断是否有新设备接人；如果处于隔离区，则拒绝任何USB移动设备接入。

　　(2)如果探测到新设备接入，智能卡CPU调用指纹处理模块，接收并验证用户指纹。

　　(3)如果指纹认证通过，则终端向USB存储设备发送认证请求；否则禁用该USB存储设备。

　　(4)如果没有收到USB存储设备的智能卡模块发来的随机数，证明该设备是不符合系统硬件设计要求的，拒绝接入；如果收到随机数，则进行冲击一响应认证。如果没有通过认证，证明该终端为非信任终端，智能卡模块拒绝该设备接人终端。

　　(5)终端读取智能卡模块存储的身份文件，并读取该设备的各项物理信息，将身份文件、物理信息及终端所处的信任域信息发送至认证服务器进行认证。

　　(6)服务器认证软件接收到终端发送来的信息后，将标识文件解密，得到授权区域、授权日期、授权人、授权有效期等信息。

　　①将解密得到的物理信息与终端发来的物理信息作比对，如果不相符，证明该标识文件是被复制或伪造的，向终端发送未通过认证的指令。

　　②如果①中认证通过，将解密得到的信任域信息与终端发来的信任域信息作比对，如果不相符，证明该移动存储设备处于非授权区域中，向终端发送未通过认证的指令。

　　③如果②中认证通过，将解密得到的授权有效期与当前日期做比较，如果当前日期处于有效期内，向终端发送通过认证的指令；如果当前日期处于有效期外，向终端发送未通过认证的指令。

　　(7)终端接收认证服务器发来的指令，对USB设备执行允许或禁止接入的操作。如果USB设备被允许接入，则智能卡模块将设备持有者指纹提交给认证服务器，作为已授权访问记录记入日志中。

　　(8)转至(2)继续探测新设备。

　　5安全性分析

　　本方案通过在移动存储设备中加入指纹识别模块和智能卡模块，更安全可靠地解决了设备持有者身份认证问题以及移动存储设备的“匿名性”问题，通过引入身份文件，实现了移动存储设备的实名制认证。结合智能卡的相关技术，本方案从根本上解决了移动存储设备与接入终端问的双向认证问题，构建了双方互信的安全传输环境。

　　基于信任域的划分对设备进行授权管理，使整个系统能够同时对终端和移动存储设备提供接人控制，有效地阻止了安全威胁的传播。在方案的具体实现上，有如下安全性考虑：

　　(1)移动存储设备采用指纹识别的方式认证设备持有者身份，确保其身份的合法性；采用三重DES对称加密的方式对终端进行认证，确保终端为运行认证软件的合法授权终端，有效地避免了强力破解的可能性。

　　(2)移动存储设备的物理信息各不相同，身份文件也是唯一确定的。身份文件采用三重DES加密的方式，加解密过　程全部在服务器端认证软件中完成，密钥不出服务器，避

　　免了密码被截获的可能性。身份文件存储于智能卡模块中的安全数据存储区，受智能卡模块软硬件的双重保护。方案保证了身份文件的唯一性、抗复制性和抗伪造性，任何非授权设备都无法通过破译、复制、伪造等人侵手段冒名成为授权设备。

　　(3)认证服务器与隔离区中的终端相互隔离，只能被信任域中的终端访问，保证了认证服务器的安全。

　　(4)双向认证通过后，被授权的移动存储设备将设备持有者的指纹记入授权服务器的访问日志中，以便日后能够准确地确定安全事故责任人。

　　综上所述，通过指纹识别技术、智能卡技术、密码学技术、芯片技术和嵌入式系统设计技术实现了安全可信的移动存储。

　　6结束语

　　将生物特征识别和嵌入式芯片技术纳入移动存储的安全管理是解决此类安全问题的有效手段，也是未来移动存储安全领域的发展趋势。本文正是基于这样的思路对现有移动存储安全解决方案进行了扩充，加入了更安全可靠的身份认证方法以及移动存储设备与终端间的双向认证机制，使移动存储安全管理体系的范围更为全面，提供了更高的安全性。