1.引言

　　隨著信息化建設(shè)的飛速發(fā)展，信息安全辦公的需求日益顯著。在不基于信息安全保護措施下，使用者如果使用自己核心數(shù)據(jù)的U盤在他人辦公平臺上進行移動辦公，保證工作效率時，信息的安全性沒有保障。同樣。使用便攜辦公平臺進行辦公依然存在平臺丟失等信息安全隱患。采用固定場所進行辦公時，使用者同樣需要將重要數(shù)據(jù)的載體進行安全控制存放，保障信息的安全性。

　　為解決便攜辦公存在的信息安全性問題，首先從操作系統(tǒng)上占有主動權(quán)，在一個受到自主控制且可信的系統(tǒng)環(huán)境下進行辦公，同時對核心數(shù)據(jù)進行加密存儲。

　　2.平臺概述

　　加密型便攜操作系統(tǒng)USB辦公平臺(后面簡稱平臺)由加密U盤和Ukey(USB Key)組成。加密U盤主要存儲加密數(shù)據(jù)：UKey完成USB通道的安全認證，為加解密算法提供密鑰，平臺結(jié)構(gòu)如圖1所示。加密U盤自帶操作系統(tǒng)，WinPE或者LinUx操作系統(tǒng)均可以使用。

圖1 加密型便攜操作系統(tǒng)USB辦公平臺結(jié)構(gòu)圖

　　為了保證使用者在任何環(huán)境下、任何人的電腦上都是使用自己的操作系統(tǒng)來進行辦公。在自己攜帶的操作系統(tǒng)上辦公不用擔心任何黑客行為，也不用擔心來自網(wǎng)絡(luò)的攻擊，更不用擔心在辦公過的電腦上留下日志和操作痕跡：同時因為加密U盤是需要外接一個UKey來進行身份識別和加密密鑰存儲的，U盤上的所有數(shù)據(jù)都是加密保護存放的f包括操作系統(tǒng))。

　　在任何一個有USB接口的計算機上，只要通過BIOS設(shè)置為USB引導(dǎo)即可。通過USB接口連接好加密型便攜操作系統(tǒng)USB辦公平臺，扦插上UKey來進行身份認證。計算機將會通過USB接口引導(dǎo)啟動一個U盤上的操作系統(tǒng)。連接方式如圖2所示。

圖2 連接示意圖

　　3.平臺的設(shè)計研究

　　平臺上存放有MINI操作系統(tǒng)(Windows PE利各種LinUx均可）。由USB通道進入平臺存儲模塊FLASH的所有數(shù)據(jù)全部進行加密處理，反之讀出數(shù)據(jù)全部解密。USB的通道加密是由接口芯片直接提交給專用的FPGA分組加密芯片來完成。存儲加密算法以比較經(jīng)典的分組AES算法來進行研究，因為數(shù)據(jù)的加密速度必須要大于USB最大傳輸速度f理論最大值480Mbps)才滿足數(shù)據(jù)的透明吞吐。經(jīng)調(diào)試實現(xiàn)在Virtex芯片上AES工作時鐘133MHz，數(shù)據(jù)加密速率1419Mbps。密鑰保護在UKey內(nèi)，同時UKey還負責USB通道的認證工作，UKey沒有插入USB通道將拒絕所有服務(wù)。

　　3.1基于USB接口的操作系統(tǒng)引導(dǎo)技術(shù)

　　日前針對MINI操作系統(tǒng)的引導(dǎo)，主流操作系統(tǒng)提供商都發(fā)行了相關(guān)的產(chǎn)品。例如微軟的WindowsPrelnstallation Environment(WindowsPE)，就是一款帶有有限服務(wù)的最小Win32預(yù)安裝子系統(tǒng)，它包括運行WindoWS安裝程序及腳本、連接網(wǎng)絡(luò)共享、自動化基本過程以及執(zhí)行硬件驗證所需的桌面系統(tǒng)。LinUx系統(tǒng)的體積更是無庸置疑。

　　USB接口引導(dǎo)操作系統(tǒng)，還需要由類似GNUGRUB(簡稱GRUB)的操作系統(tǒng)啟動程序來幫助引導(dǎo)。GRUB可用于選擇分區(qū)上的不同內(nèi)核，也可用于向這些內(nèi)核傳遞啟動參數(shù)，USB引導(dǎo)首先會指向GRUB，再通過GRUB引導(dǎo)啟動WindowsPE，同樣的GRUB也可以代替lilo來完成對LinUx的引導(dǎo)。

　　USB數(shù)據(jù)傳輸?shù)倪^程可分為三個階段：操作系統(tǒng)傳輸階段、存儲外設(shè)階段和USB接口物理通道傳輸階段。國內(nèi)外針對USB數(shù)據(jù)的安全研究主要集中在操作系統(tǒng)傳輸階段和存儲外設(shè)階段。

　　操作系統(tǒng)傳輸階段，將需要存儲的數(shù)據(jù)在操作系統(tǒng)控制下經(jīng)過USB驅(qū)動程序送到USB接口上，此階段傳輸途徑較多，用戶可以通過不同的操作系統(tǒng)傳輸數(shù)據(jù)，即使在同一操作系統(tǒng)下，借助軟件工具可實現(xiàn)特殊的傳輸方式。因此，在該階段實現(xiàn)數(shù)據(jù)加密傳輸具有很多不可控制的安全隱患。

　　存儲外設(shè)階段，是對USB數(shù)據(jù)存儲的介質(zhì)進行加密，如FLASH芯片加密，在介質(zhì)上實現(xiàn)加密的雖然能保護存入的數(shù)據(jù)，但沒有對USB通道進行控制，不能阻止外部對數(shù)據(jù)的訪問。

　　USB接口物理通道傳輸加密，是將需要存儲的數(shù)據(jù)從計算機的USB接口物理接口上通過USB物理介質(zhì)傳輸?shù)酱鎯υO(shè)備的USB物理接口上。該通道傳輸環(huán)境單一，也是USB數(shù)據(jù)傳輸?shù)谋亟?jīng)之路。因此，在該階段實現(xiàn)USB安全傳輸具有非常高的安全性，不但可以對U瘟數(shù)據(jù)進行加密、而且對U盤的扇區(qū)表也進行了加密。但由于USB相關(guān)的核心技術(shù)尤其是芯片技術(shù)掌握在外國人手里，實現(xiàn)難度比較大。

　　在USB接口物理通道上對數(shù)據(jù)處理，需要將竊取通道上傳輸?shù)臄?shù)據(jù)，在處理完成后再恢復(fù)成USB通道上傳輸?shù)臄?shù)據(jù)格式，包括USB設(shè)備枚舉過程和數(shù)據(jù)傳輸過程兩個階段的通道處理。

　　在USB設(shè)備枚舉過程中，需要研究通道處理模塊竊取主機或USB設(shè)備發(fā)送的枚舉信息，并依次解析信息包含的內(nèi)容，及時更新枚舉狀態(tài)機，然后根據(jù)USB物理層連接協(xié)議產(chǎn)生建立連接的時序電路和數(shù)據(jù)，發(fā)送給USB設(shè)備和主機。

　　在數(shù)據(jù)傳輸過程中，主機過來的數(shù)據(jù)被竊取后，通道處理模塊解析攜帶的命令，提取需要被加密的數(shù)據(jù)和加密存儲的地址，同時在USB傳輸協(xié)議規(guī)定的時間里及時給主機發(fā)送響應(yīng)包，在加密完成后將數(shù)據(jù)封裝發(fā)送給USB設(shè)備，并及時處理USB設(shè)備發(fā)送的響應(yīng)包。

　　USB設(shè)備過來的數(shù)據(jù)被竊取后，通道處理模塊解析攜帶的命令，提取需要被解密的數(shù)據(jù)，同時在USB傳輸協(xié)議規(guī)定的時間里及時給USB設(shè)備發(fā)送響應(yīng)包，在解密完成后將數(shù)據(jù)封裝發(fā)送給主機，并及時處理主機發(fā)送的響應(yīng)包。

　　既然是設(shè)計成USB接口物理通道的加密，就必須對所有軟件層的協(xié)議透明。為了保證不會干擾到軟件協(xié)議的通信就必須保證傳輸協(xié)議規(guī)定的時間里完成數(shù)據(jù)加密。最好的解決辦法就是通過FPGA來提供高速的數(shù)據(jù)加密處理。因為FPGA是由獨立時鐘來控制處理的，絕對保證了加密的時效性。通過接口芯片解析通信協(xié)議，將協(xié)議頭剔出，將數(shù)據(jù)段提交FPGA完成加密后回填到協(xié)議中。數(shù)據(jù)流入的加密處理流程如圖3所示。

圖3 數(shù)據(jù)流入的加密處理流程

　　3.2 分組加密算法FPGA設(shè)計

　　經(jīng)調(diào)試實現(xiàn)在Virtex芯片上AES工作時鐘133MHz。數(shù)據(jù)加密速率1419Mbps。為了提高FPGA芯片的加密處理性能。需要考慮的環(huán)節(jié)有幾種。

·選擇算法時需要考慮算法的迭代層數(shù)，這是制約性能的重要方面。

·為了便于FPGA的高性能實現(xiàn)需要研究算法的反饋深度。

·分組算法沒有上下文依存關(guān)系，可以考慮進行雙核或多核設(shè)計。

·算法接口進行FIFO接口設(shè)計解決不同時間域下的協(xié)同處理。

·密鑰擴展的同步設(shè)計。

　　4.結(jié)束語

　　隨著網(wǎng)絡(luò)通信的飛速發(fā)展，信息化水平不斷提高；給人們帶來極人便利的同時也產(chǎn)生了大量的信息安全隱患。交通的便捷，人與人的交流也日趨頻繁，地球村的概念離我們也并不遙遠。怎樣在享受移動辦公便捷的同時，讓自己的敏感信息不受到威脅，從操作系統(tǒng)的源頭由自己把控可能是不錯的解決方法，同時所有數(shù)據(jù)都是加密存放更能保證信息安全的萬無一失。所以加密型便攜操作系統(tǒng)USB辦公平臺很好地解決了問題。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：安全移動辦公平臺技術(shù)研究

本文網(wǎng)址：http://www.oesoe.com/html/consultation/10839514209.html