1、磁盤數據安全保護技術綜述摘要：隨著越來越多的重要數據存儲在磁盤上，磁盤 數據的安全保護逐漸成為備受關注的問題。眾多的安全威脅 如磁盤數據被非法修改、磁盤數據泄漏、磁盤失竊，都可能 會對保存著重要信息的組織如軍隊、政府、企業等造成無法 估計的損失。以保密性、完整性、可用性、驗證和授權為安 全威脅模型，從硬件和軟件兩個方面對當前主要的磁盤數據 安全保護技術、系統進行分析和比較，并展望今后的研究方 向。關鍵詞：磁盤數據安全保護； 保密性； 完整性； 可 用性； 驗證； 授權中圖分類號： TP309 文獻標志碼： A文章編號： 1001-3695(2008)05-1288-04信息時代的重要特征之一就

2、是大量的數據都以電子化 的形式存儲在各種媒質上。自 1956 年第一塊磁盤 IBM 350 RAMAC誕生以來1，磁盤就以其體積小、 容量大、速度快等 特點逐漸成為存儲數據的理想介質。 ?磁盤數據的安全保護可以從硬件和軟件兩個方面進行。 硬件保護是指借助于額外的硬件單元或部件對磁盤數據進 行保護；軟件保護是指依賴于硬件上層的操作系統或文件系 統，從應用程序級、文件系統級或操作系統級對磁盤的讀 / 寫、訪問等進行安全保護。在當前的磁盤數據保護技術的研 究中，基于硬件保護的研究工作主要以產品或專利的形式存 在26 。基于軟件的保護研究有各種原型系統和解決方案， 主要可分為 encrypt on w

3、ire 和 encrypt on disk 系統兩 類7 。其中， encrypt on wire 系統是指加密服務器與客戶 端之間數據傳輸的系統 810；encryptondisk 系統是指 加密磁盤上存儲數據的系統。 Encrypt on disk 系統又可以 分為共享 1118 和非共享系統 1921兩類，其區別主要在于 是否提供加密文件的多用戶共享機制。 ?如何衡量當前提出的眾多磁盤數據安全保護系統，需要考慮其具體的應用場景和威脅模型。Hasan等人22提出了一個通用的安全存儲系統的威脅模型CIAA，即保密性、完整性、可用性和驗證，但他并沒有強調訪問控制失效給系統帶來的 危險。而在磁盤

4、數據保護中，對磁盤的讀寫權限控制是保護 磁盤數據安全的必要手段。因此本文在CIAA的基礎上添加了授權即CIAAA,并將其作為分析各種磁盤數據保護技術的指 標。 ?當前磁盤數據保護技術的研究日趨熱門，相關的研究工 作很多。例如，Riedel等人7提出了一個評價存儲系統安全 性的框架； Kher 等人23對當前主要的安全存儲系統進行了介紹和比較。但這些工作都沒有包括當前最新的工作，如 Windows Vista BitLocker drive encryption 等，并且都沒有涉及 硬件方面的保護技術。因此有必要對現有技術給出較為全面 的分析和歸納，以提供有益的借鑒。 ?1 硬件系統 ?1 1

5、硬盤數據加密系統 ?硬盤數據加密系統是苗勝等人 2 設計的一種基于 FPGA 的硬盤加密系統。其基本原理是由數據緩沖電路對硬盤數據 線上的數據進行緩沖，過濾命令控制信號、加密數據信號， 實現硬盤數據的安全保護。該系統使用智能卡存儲和管理密 鑰，并支持 DES 3DES AES等各種加密算法。？CIAAA 評價為： ?a）保密性。總線上流入磁盤的數據通過硬件電路模塊進行加 /解密保護，確保了磁盤數據的保密性。但文獻2 中沒有指出所使用的加密算法的加密模式。如果是簡單的 ECB 模式，則同樣的明文塊會產生同樣的密文塊，造成安全隱 患。 ？b） 完整性。系統沒有驗證磁盤數據完整性的機制。？c） 可用

6、性。硬件電路的使用周期一般較長，且執行效率較軟件系統有很大的優勢。但系統的硬件單元一旦受到物理損壞，則整個系統就無法正常工作。 ?d） 驗證。系統沒有驗證機制。？e） 授權。系統沒有權限控制機制。？12Secured data storage device？SDSD3由保護和媒質部分構成。保護部分的主要模塊有 實時時鐘、命令處理器、數據存儲處理器及固定存儲等。媒 質部分為存儲數據的介質 （如磁盤、 軟盤等）及其控制單元， 由介質控制器、介質驅動及介質本身組成。保護和媒質部分 通過接口邏輯連接。 ？SDSD通過保護部分將數據通過實時時鐘打上時間戳，再經過加密后將其寫入存儲介質。SDSD將加密密鑰

7、分為兩部分， 一部分存儲在媒質部分的存儲介質中，一部分存儲在保護部 分的固定存儲中。這樣做的目的是即使非法用戶通過訪問磁 盤獲得了存儲在介質中的密鑰，也無法獲得存儲在保護部分 中的密鑰以獲得完整的加 / 解密密鑰。為了提高系統的效率， SDSD沒有采用通用的加密算法如DES等，而是通過由密鑰產生的偽隨機序列進行加 /解密操作。 ？CIAAA 評價為： ？a）保密性。磁盤上的數據經過保護部分的安全操作后以密文的形式存儲，確保了數據的保？卜芐浴* ?b）完整性。通過對寫入數據打上時間標簽，保證了系統抗重放攻擊的能力？c）可用性。電路損耗或損壞對系統的正常工作產生影響。 ?d） 驗證。SDSD沒有提

8、供單獨的驗證機制。？e） 授權。SDSD沒有磁盤數據讀寫的權限控制機制。？?2 軟件系統 ？ 21Encryptonwire 系統 ？SFS（self certifying file system）13 系統由三部分組成， 即SFS文件服務器、SFS客戶端和SFS認證服務器。SFS的認證 服務器用來存儲客戶端用戶的組信息和公鑰信息。SFS采用自認證路徑來完成服務器和客戶端的雙向認證。？SFS文件系統通過掛載點/sfs/location/hostid進行訪問。其中，location是文件服務器的地址，可以是其DNS主機名或 IP 地址； hostid 是服務器地址和其公鑰的哈希值。當用戶 請求文

9、件服務器上的文件時，SFS客戶端首先生成一個公私鑰對，然后從認證服務器獲取文件服務器的公鑰，并將其哈 希值同 hostid 值比對以驗證文件服務器的身份。通過服務器 的身份認證后，客戶端和文件服務器協商創建會話密鑰，建 立安全信道。接著客戶端用其私鑰簽名一個請求發送給文件 服務器，用于獲得服務器的驗證。當服務器和客戶端的雙向 認證結束后，雙方在事先建立好的安全信道中通信。 ？SFS后來又發展了兩個改進的版本，即集中訪問控制的SFS24和只讀SFS25。前者在SFS中增加了非集中式的訪問 控制功能，允許文件的創建者添加在本地或遠程SFS中的用戶對該文件的訪問權限。后者使用新的模塊一一數據庫生成

10、程序，在用戶創建文件時將其每個數據塊進行哈希，然后將 哈希值插入到文件的 inode 中，接著將每個 inode 的哈希值 插入到文件目錄中。如此重復這個過程，直到創建系統根目 錄/root的哈希值，構成整個文件系統的哈希樹。？CIAAA 評價為： ?a ）保密性。SFS及其改進版本都通過雙向認證阻止非法 用戶對系統的訪問，間接地保護了數據的隱私，但是磁盤數 據仍然以明文形式存在。 ？b）完整性。SFS- RO通過建立整個文件系統的哈希樹確 保了文件系統的完整性。 ？c ）可用性。SFS及其改進版本中，存儲服務器公鑰的認 證服務器由于直接參與了系統的認證過程，容易造成單點拒 絕服務攻擊。 ？d

11、）驗證。SFS及其改進版本提供了完善的雙向認證機制， 并通過使用自認證技術增強了系統的可擴展性。 ？e）授權。SFS- DAC通過創建可信任用戶組及其權限 控制表，控制了共享文件的授權訪問。SFS及其改進版本的磁盤訪問控制主要由 UNIX本身自帶的訪問控制機制提供。？?2 2Encrypt on disk 系統 ?221 非共享系統 CFS?CFS19是最早提出的 encrypt - on - disk系統。CFS向客戶端內核注冊為一個 NFS服務器，不論其是在客戶端本地還 是在遠程服務器上。因此 CFS是運行在用戶進程空間中，當 其執行加 / 解密操作時需要額外的上下文切換， 影響了系統的

12、效率。CFS通過cattach命令將加密的文件目錄映射為一個虛 擬目錄掛載在“/crypt ”下，用戶通過這個目錄訪問他們的文 件。CFS基本上設計為一個單用戶系統。每個用戶為自己需 要加密的目錄及文件指定一個密鑰種子，系統根據該種子生 成加密密鑰。當用戶需要與其他用戶共享加密文件時，需要 親自將密鑰交給其他用戶。 ?CIAAA 評價為： ?a）保密性。CFS中磁盤存儲的是密文，只有在客戶端執 行讀操作后，磁盤數據才以明文形式存在。 ?b） 完整性。CFS沒有提供驗證磁盤數據完整性的機制。？?c）可用性。CFS通過加密磁盤上存儲的數據確保只能被 其創建者或擁有者訪問，但由于 CFS運行在用戶進

13、程空間， 頻繁的上下文切換操作會消耗系統的額外資源。 ？d）驗證。CFS依賴UNIX自身的驗證機制完成用戶身份 驗證。 ？e）授權。CFS采用UNIX自身的磁盤文件讀寫訪問控制機制。 ?共享系統 ?1）PLUTUS?PLUTUS15設計了良好的機制以完成文件的多用戶共享。PLUTUS中具有相同共享屬性的文件被歸為同一文件組（file-group）中。同一文件組中的文件共享一個共同的數據結構 lockbox，其中存放著該文件組的lockbox key。同一文件組中文件的每個數據塊都由不同的file block keys加密，而這些 file block keys 再由 lockbox key 加

14、密。 ?對于每個文件組，有一個RSA公私鑰對與其關聯。私鑰部分叫做 file signkey,公鑰部分叫做 file verifykey。PLUTUS 將系統文件操作對象分為讀者（readers）和寫者（writers ） 兩類。讀者只被分配給lockbox keys,而寫者除了 lockboxkeys外還分配給file signkeys。PLUTUS中的文件塊以 Merkel tree 的形式組織。寫文件時寫者通過對該文件的 root 用與該文件組對應的file signkey進行簽名。而其他的讀者 或寫者都可以用該文件組的 file verifykey 對該文件的完整 性進行驗證。 ?PL

15、UTUS借鑒了很多 Cepheus 系統14的特點，女口 lockbox 技術最早就是由 Cepheus提出。除此之外，PLUTUS還借鑒了 Cepheus 的 lazy re encryption 的思想。 Lazy re encryption 是指當用戶從系統中刪除時,不立即對屬于該用戶的文件用 新的密鑰重新加密，而是等該文件被再次訪問時再重新加密。 關于注銷用戶的密鑰管理， 文獻 7，26中進行了有關的討論， lazy re encryption 比用戶注銷后立即進行重新加密的 active/aggressive re encryption 在性能上有優勢。 ?CIAAA 評價為： ?a

16、）保密性。PLUTUS文件服務器上的數據以密文形式存在， 保護了數據的隱秘性。 ?b）完整性。PLUTUS通過 file signkey 和 file verifykey對文件進行簽名和驗證保護，確保了磁盤數據的完整性。?c）可用性。PLUTUS通過將安全操作轉移到客戶端，減輕了服務器的工作壓力，并且通過file groups實現文件的共享，使得文件的所有者無須在線仍然可以共享其所擁有的文 件。 ?d）驗證。PLUTUS依賴UNIX系統自身的驗證機制。？e）授權。PLUTUS通過分配不同的密鑰授權不同的磁盤數 據讀寫權限。 ？2）NCryptfs？NCryptfs16 是利用可堆疊文件系統技術

17、設計的 encrypt on disk 共享文件系統。 NCryptfs 提供內核級別的安全服 務，因此在性能上有很大的優勢。 NCryptfs 通過掛載點/mnt/ncryptfs 進行訪問，并且通過授權入口（ authorizatoin entries ）管理系統的訪問和操作。每個授權入口都是一個登與CFS樣，用戶通過 attach命令創建一個加密目錄。NCryptfs 通過用戶輸入的 passphrase 為該目錄及目錄下的文 件創建密鑰， 該密鑰儲存在內核中。 當用戶需要共享文件時， 必須為每個其他用戶關聯授權入口。但由于密鑰是通過用戶 的 attach 命令生成的，當其他用戶訪問共享

18、文件時，該文件 的創建者必須在線， 否則無法事先產生文件的加 / 解密密鑰并 對訪問者進行驗證。另外由于密鑰是儲存在內核中，只能在 同一臺機器中共享文件。這些都是 NCryptfs 共享文件機制的 弊端。由于 NCryptfs 是利用可堆疊文件系統技術設計的，無 須過分依賴底層操作系統內核的具體細節，具有較高的可移 植性。 ?CIAAA 評價為： ?a）保密性。NCryptfs中磁盤上的數據以密文的形式存在。 ?b）完整性。NCryptfs沒有設計保護數據完整性的機制， 但是在其后續工作中 27添加了相關的內容。 ?c）可用性。由于文件密鑰通過attach命令生成并且駐留在內存中， NCryp

19、tfs 的文件共享機制存在很大的局限性。 ?d）驗證。NCryptfs通過authorization entry驗證合法的系 統用戶。 ?e）授權。NCryptfs通過authorization entry 規定用戶不同的訪問及操作權限，但其具體實現仍然是依賴 UNIX 自身提 供的授權訪問控制機制。 ?3) Windows Vista BitLocker drive encryption ?Windows Vista BitLocker drive encryption7 是微軟公司 近期推出的在其下一代操作系統 Windows Vista 中使用的磁 盤數據安全保護技術。 BitLocke

20、r drive encryption 提供兩項最 基本的功能：全卷加密和系統啟動前基礎模塊的完整性檢 查。 ?BDE( bitlocker drive encryption )使用全卷加密密鑰 (full volume encryption key,FVEK)對整個系統卷進行加密，FVEK本身又被主卷密鑰(volume master key,VMK)加密。BDE通 過 TPM18 ( trust platform module )芯片進行系統啟動前的 基礎模塊完整性檢查，以確保磁盤數據的完整性。 TPM 芯片 收集系統啟動模塊的信息，如BIOS上的設置等，形成當前機器的指紋。當磁盤被替換或磁盤

21、啟動數據被非法修改時，由 于機器無法正確識別當前磁盤而不能正常啟動系統。當機器 不支持TPM或沒有TPM芯片時，用戶可以使用 BDE自身加 強的驗證功能來保護系統的啟動。此時用戶必須輸入正確的 PIN碼或插入USB設備并輸入正確的啟動口令，否則系統無 法正常啟動。 ?BED中的文件共享與 Windows上的普通文件共享一樣，授權的用戶可以通過網絡對其進行訪問，而被加密的文 件在磁盤上仍然是以密文形式存在的。 ?CIAAA 評價為： ?a）保密性。BDE通過全卷加密保護了磁盤上數據的隱秘 性。 ?b）完整性。BDE通過TPM實現系統啟動前的完整性校驗，一旦校驗失敗就無法正常進入Windows操作

22、系統。c）可用性。在沒有TPM支持，使用通過USB設備加強系統啟動驗證時， USB設備的安全保護是能否成功進入操作系統的關鍵。？d）驗證。BDE使用各種加強驗證方式如 USB啟動口令、PIN啟動碼等對合法用戶進行安全驗證。？e）授權。BDE的磁盤數據讀寫權限控制依賴于底層Windows 操作系統的機制。 ？3 比較和討論 ？按照CIAAA安全威脅模型，針對系統是否提供了防范各 個安全威脅的功能，對磁盤數據安全保護系統的比較總結如 表 1 所示。 ？由表 1 可見，磁盤數據保護的硬件系統大多集中于應對 某一特定方面的安全威脅，而軟件保護系統由于其設計的靈 活性，大多數都考慮了更多的安全威脅。然而

23、，所有的系統 都是不盡完善的，為了提供更加可靠的磁盤數據安全環境， 應當考慮綜合各種方案。在設計新的磁盤數據保護系統時， 也應綜合考慮各種技術，提供更加全面的安全保護。 ?磁盤數據保護系統的設計除了需要提供全面的安全保 護外，還應考慮系統的實用性。主要有以下幾個方面的考 慮： ?a）性能。磁盤數據保護由于增加了額外的安全操作，會對系統的性能帶來損耗。 文獻 7,28中對現有的若干安全存儲 系統的性能進行了比較。Encrypt on disk 系統一般比encrypt on wire 系統有更好的性能；不同技術的選取，如 lazy re encryption 和 aggressive re en

24、cryption 對系統性能 的影響是不同的；系統加密算法的選取也會對系統的性能造 成影響。實現上，硬件系統較軟件系統有較大的優勢。 ?b）實現及部署成本。實現及部署成本是指系統的開發、 運行及維護所帶來的人力、財力的開銷。硬件系統由于需要 特定硬件支持， 其部署成本一般比軟件系統高。 軟件系統中， 可堆疊文件系統技術 16能加快系統的實現速度、節約系統 的開發成本。 ?c）用戶體驗。系統如果需要用戶過多地參與，并且需要 過多的額外操作，都會影響系統的實用性。在不損失系統安 全性能的前提下，應為用戶提供更方便的使用體驗，如用戶 可以自行選擇不同的加密算法。系統密鑰的分配和管理應當對用戶透明。

25、?d）特殊應用場景。針對特定的應用場景，如嵌入式設備 環境等，磁盤數據保護系統應當根據安全需求進行定制化的 設計，并且在資源受限環境中系統的性能也將有更高的要 求。 ?4 結束語 ?由于現有的磁盤數據保護技術和系統很多，限于文章的 篇幅，不能對所有系統進行討論和比較。選擇了具有代表性 的主要硬件和軟件系統，以 CIAAA 為安全威脅模型進行了分 析和比較。在分析了磁盤數據保護系統安全性要求的同時， 提出了性能、系統成本、用戶體驗及特殊應用場景等問題， 以進行今后進一步的研究。 ?參考文獻：1IBM 305 RAMACEB/OL.2007-02 11. ramac.html. 2苗勝,張新家,曹

26、衛兵 ,等.硬盤數據加密系統的設計及其FPGA實現J.計算機應用研究，2004, 21(10):217-219. ?3CHAN, et al. Secured data storagedevicesEB/OL.(1992-09-22).4 FISHERMAN,IGOR, OLEG U, et al. Personal computer hard disk protection systemEB/OL.(1997-08 12).5 RENTON. Hard drive security systemEB/OL.(1997 ?08 12).6 MATHERS S, STEWART A C. Sec

27、urity system for hard disk driveEB/OL.(2000-01-04).7 RIEDEL E, KALLAHALLA M, SAMINATHAN R. A framework for evaluating storage system securityC/Proc of the 1st Conference on File and Storage Technologies. Berkeley: USENIX Association, 2002:15-30.8 MAZIERES D, KAMINSKY M, KAASHOEDK M F, et al. Separat

28、ing key management from file system securityC/Proc of the 17th ACM Symposium on Operating Systems Principles. New York: ACM Press, 1999:124 139.9 HOWARD J. An overview of the Andrew file systemC/Proc of USENIX Winter Technical Conference. Berkeley: USENIX Association, 1998.10 GOBIOFF H, GIBSON G, TY

29、GAR D. Security for network attached storage devices, CMU CS-91 185R. Pittsburgh: Carnegie Mellon University SCS, 1997.11 林昊翔，董淵張為，等基于Linux的通用加密文件系 統 Waycryptic 的設計與實現 J. 小型微型計算機系統 , 2007,28(1):122 126.12 邢常亮 ,卿斯漢 ,李麗萍 .一個基于 Linux 的加密文件系 統的設計與實現 J. 計算機工程與應用 , 2005, 42(17):101 104.13 徐國棟 ,白英彩 .加密文件系統

30、在 Windows 下的實現 J. 微型電腦應用 , 2006,13(5):56-58,2.14 FU K. Group sharing and random access in cryptographic storage file systemsD. Massachusettes: Massachusettes Institute of Technology, 1999.15 KALLAHAHHA M, RIEDEL E, SWAMINATHAN R, et al.PLUTUS: scalable secure file sharing on untrusted storageC/Proc

31、of the 2nd USENIX Conference on File and Storage Technologies. Berkeley: USENIX Association, 2003:29-42.16 CHARLES E Z, WRIGHT, MPARTINA M C. Ncryptfs: a secure and convenient cryptographic file systemC/Proc of USENIX Annual Technical Conference. San Antonio: USENIX Press, 2003:197-210.17 BitLocker

32、drive encryption: technical overviewEB/OL.2007-01 12. us/windowsvista/aa906017.aspx.18 CATTANEO G, CATUOGNO L, SORBO A D, et al. The design and implementation of a transparent cryptographic file system for UNIXC/Proc of FREENIX Track: USENIX Annual Technical Con-ference. Berkeley: USENIX Association

33、, 2001:199-212.19 BLAZE M. A cryptographic file system for UNIXC/Proc of the 1st ACM Conference on Communications and Computing Security. New York: ACM Press, 1993:9 16.20 SafeNet ProtectDriveEB/OL.2007-02-02.http:/www.?safene-tinc.co m/products/data_at_rest_protection/Protectdrive.asp.21 TrueCryptEB/OL.2007-03 11.22 HASAN R, MYAGMAR S, LEE A J, et al. Toward a threat model for storage systemsC/Proc of ACM Workshop on Storage Security and Survivability. New York: ACM Press,