安全移動辦公平臺技術研究

    1.引言

　　隨著信息化建設的飛速發展，信息安全辦公的需求日益顯著。在不基于信息安全保護措施下，使用者如果使用自己核心數據的U盤在他人辦公平臺上進行移動辦公，保證工作效率時，信息的安全性沒有保障。同樣。使用便攜辦公平臺進行辦公依然存在平臺丟失等信息安全隱患。采用固定場所進行辦公時，使用者同樣需要將重要數據的載體進行安全控制存放，保障信息的安全性。

　　為解決便攜辦公存在的信息安全性問題，首先從操作系統上占有主動權，在一個受到自主控制且可信的系統環境下進行辦公，同時對核心數據進行加密存儲。

　　2.平臺概述

　　加密型便攜操作系統USB辦公平臺(后面簡稱平臺)由加密U盤和Ukey(USB Key)組成。加密U盤主要存儲加密數據：UKey完成USB通道的安全認證，為加解密算法提供密鑰，平臺結構如圖1所示。加密U盤自帶操作系統，WinPE或者LinUx操作系統均可以使用。

圖1 加密型便攜操作系統USB辦公平臺結構圖

　　為了保證使用者在任何環境下、任何人的電腦上都是使用自己的操作系統來進行辦公。在自己攜帶的操作系統上辦公不用擔心任何黑客行為，也不用擔心來自網絡的攻擊，更不用擔心在辦公過的電腦上留下日志和操作痕跡：同時因為加密U盤是需要外接一個UKey來進行身份識別和加密密鑰存儲的，U盤上的所有數據都是加密保護存放的f包括操作系統)。

　　在任何一個有USB接口的計算機上，只要通過BIOS設置為USB引導即可。通過USB接口連接好加密型便攜操作系統USB辦公平臺，扦插上UKey來進行身份認證。計算機將會通過USB接口引導啟動一個U盤上的操作系統。連接方式如圖2所示。

圖2 連接示意圖

　　3.平臺的設計研究

　　平臺上存放有MINI操作系統(Windows PE利各種LinUx均可）。由USB通道進入平臺存儲模塊FLASH的所有數據全部進行加密處理，反之讀出數據全部解密。USB的通道加密是由接口芯片直接提交給專用的FPGA分組加密芯片來完成。存儲加密算法以比較經典的分組AES算法來進行研究，因為數據的加密速度必須要大于USB最大傳輸速度f理論最大值480Mbps)才滿足數據的透明吞吐。經調試實現在Virtex芯片上AES工作時鐘133MHz，數據加密速率1419Mbps。密鑰保護在UKey內，同時UKey還負責USB通道的認證工作，UKey沒有插入USB通道將拒絕所有服務。

　　3.1基于USB接口的操作系統引導技術

　　日前針對MINI操作系統的引導，主流操作系統提供商都發行了相關的產品。例如微軟的WindowsPrelnstallation Environment(WindowsPE)，就是一款帶有有限服務的最小Win32預安裝子系統，它包括運行WindoWS安裝程序及腳本、連接網絡共享、自動化基本過程以及執行硬件驗證所需的桌面系統。LinUx系統的體積更是無庸置疑。

　　USB接口引導操作系統，還需要由類似GNUGRUB(簡稱GRUB)的操作系統啟動程序來幫助引導。GRUB可用于選擇分區上的不同內核，也可用于向這些內核傳遞啟動參數，USB引導首先會指向GRUB，再通過GRUB引導啟動WindowsPE，同樣的GRUB也可以代替lilo來完成對LinUx的引導。

　　USB數據傳輸的過程可分為三個階段：操作系統傳輸階段、存儲外設階段和USB接口物理通道傳輸階段。國內外針對USB數據的安全研究主要集中在操作系統傳輸階段和存儲外設階段。

　　操作系統傳輸階段，將需要存儲的數據在操作系統控制下經過USB驅動程序送到USB接口上，此階段傳輸途徑較多，用戶可以通過不同的操作系統傳輸數據，即使在同一操作系統下，借助軟件工具可實現特殊的傳輸方式。因此，在該階段實現數據加密傳輸具有很多不可控制的安全隱患。

　　存儲外設階段，是對USB數據存儲的介質進行加密，如FLASH芯片加密，在介質上實現加密的雖然能保護存入的數據，但沒有對USB通道進行控制，不能阻止外部對數據的訪問。

　　USB接口物理通道傳輸加密，是將需要存儲的數據從計算機的USB接口物理接口上通過USB物理介質傳輸到存儲設備的USB物理接口上。該通道傳輸環境單一，也是USB數據傳輸的必經之路。因此，在該階段實現USB安全傳輸具有非常高的安全性，不但可以對U瘟數據進行加密、而且對U盤的扇區表也進行了加密。但由于USB相關的核心技術尤其是芯片技術掌握在外國人手里，實現難度比較大。

　　在USB接口物理通道上對數據處理，需要將竊取通道上傳輸的數據，在處理完成后再恢復成USB通道上傳輸的數據格式，包括USB設備枚舉過程和數據傳輸過程兩個階段的通道處理。

　　在USB設備枚舉過程中，需要研究通道處理模塊竊取主機或USB設備發送的枚舉信息，并依次解析信息包含的內容，及時更新枚舉狀態機，然后根據USB物理層連接協議產生建立連接的時序電路和數據，發送給USB設備和主機。

　　在數據傳輸過程中，主機過來的數據被竊取后，通道處理模塊解析攜帶的命令，提取需要被加密的數據和加密存儲的地址，同時在USB傳輸協議規定的時間里及時給主機發送響應包，在加密完成后將數據封裝發送給USB設備，并及時處理USB設備發送的響應包。

　　USB設備過來的數據被竊取后，通道處理模塊解析攜帶的命令，提取需要被解密的數據，同時在USB傳輸協議規定的時間里及時給USB設備發送響應包，在解密完成后將數據封裝發送給主機，并及時處理主機發送的響應包。

　　既然是設計成USB接口物理通道的加密，就必須對所有軟件層的協議透明。為了保證不會干擾到軟件協議的通信就必須保證傳輸協議規定的時間里完成數據加密。最好的解決辦法就是通過FPGA來提供高速的數據加密處理。因為FPGA是由獨立時鐘來控制處理的，絕對保證了加密的時效性。通過接口芯片解析通信協議，將協議頭剔出，將數據段提交FPGA完成加密后回填到協議中。數據流入的加密處理流程如圖3所示。

圖3 數據流入的加密處理流程

　　3.2 分組加密算法FPGA設計

　　經調試實現在Virtex芯片上AES工作時鐘133MHz。數據加密速率1419Mbps。為了提高FPGA芯片的加密處理性能。需要考慮的環節有幾種。

·選擇算法時需要考慮算法的迭代層數，這是制約性能的重要方面。

·為了便于FPGA的高性能實現需要研究算法的反饋深度。

·分組算法沒有上下文依存關系，可以考慮進行雙核或多核設計。

·算法接口進行FIFO接口設計解決不同時間域下的協同處理。

·密鑰擴展的同步設計。

　　4.結束語

　　隨著網絡通信的飛速發展，信息化水平不斷提高；給人們帶來極人便利的同時也產生了大量的信息安全隱患。交通的便捷，人與人的交流也日趨頻繁，地球村的概念離我們也并不遙遠。怎樣在享受移動辦公便捷的同時，讓自己的敏感信息不受到威脅，從操作系統的源頭由自己把控可能是不錯的解決方法，同時所有數據都是加密存放更能保證信息安全的萬無一失。所以加密型便攜操作系統USB辦公平臺很好地解決了問題。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.hanmeixuan.com/

本文標題：安全移動辦公平臺技術研究

本文網址：http://m.hanmeixuan.com/html/consultation/10839514209.html