磁盘数据安全保护技术综述

1、磁盘数据安全保护技术综述 摘要：随着越来越多的重要数据存储在磁盘上，磁盘数据的安全保护逐渐成为备受关注的问题。众多的安全威胁如磁盘数据被非法修改、磁盘数据泄漏、磁盘失窃，都可能会对保存着重要信息的组织如军队、政府、企业等造成无法估计的损失。以保密性、完整性、可用性、验证和授权为安全威胁模型，从硬件和软件两个方面对当前主要的磁盘数据安全保护技术、系统进行分析和比较，并展望今后的研究方向。 关键词：磁盘数据安全保护； 保密性； 完整性； 可用性； 验证； 授权 中图分类号：TP309文献标志码：A 文章编号：1001-3695(2008)05-1288-04 信息时代的重要特征之一就是大量的数据都

2、以电子化的形式存储在各种媒质上。自1956年第一块磁盘IBM 350 RAMAC诞生以来1，磁盘就以其体积小、容量大、速度快等特点逐渐成为存储数据的理想介质。? 磁盘数据的安全保护可以从硬件和软件两个方面进行。硬件保护是指借助于额外的硬件单元或部件对磁盘数据进行保护；软件保护是指依赖于硬件上层的操作系统或文件系统，从应用程序级、文件系统级或操作系统级对磁盘的读/写、访问等进行安全保护。在当前的磁盘数据保护技术的研究中，基于硬件保护的研究工作主要以产品或专利的形式存在26。基于软件的保护研究有各种原型系统和解决方案，主要可分为encryptonwire和encryptondisk系统两类7。其中

3、，encryptonwire系统是指加密服务器与客户端之间数据传输的系统810；encryptondisk系统是指加密磁盘上存储数据的系统。Encryptondisk系统又可以分为共享1118和非共享系统1921两类，其区别主要在于是否提供加密文件的多用户共享机制。? 如何衡量当前提出的众多磁盘数据安全保护系统，需要考虑其具体的应用场景和威胁模型。Hasan等人22提出了一个通用的安全存储系统的威胁模型CIAA，即保密性、完整性、可用性和验证，但他并没有强调访问控制失效给系统带来的危险。而在磁盘数据保护中，对磁盘的读写权限控制是保护磁盘数据安全的必要手段。因此本文在CIAA的基础上添加了授权即

4、CIAAA，并将其作为分析各种磁盘数据保护技术的指标。? 当前磁盘数据保护技术的研究日趋热门，相关的研究工作很多。例如，Riedel等人7提出了一个评价存储系统安全性的框架；Kher等人23对当前主要的安全存储系统进行了介绍和比较。但这些工作都没有包括当前最新的工作，如Windows Vista BitLocker drive encryption等，并且都没有涉及硬件方面的保护技术。因此有必要对现有技术给出较为全面的分析和归纳，以提供有益的借鉴。? 1硬件系统? 11硬盘数据加密系统? 硬盘数据加密系统是苗胜等人2设计的一种基于FPGA的硬盘加密系统。其基本原理是由数据缓冲电路对硬盘数据线上

5、的数据进行缓冲，过滤命令控制信号、加密数据信号，实现硬盘数据的安全保护。该系统使用智能卡存储和管理密钥，并支持DES、3DES、AES等各种加密算法。? CIAAA评价为：? a）保密性。总线上流入磁盘的数据通过硬件电路模块进行加/解密保护，确保了磁盘数据的保密性。但文献2中没有指出所使用的加密算法的加密模式。如果是简单的ECB模式，则同样的明文块会产生同样的密文块，造成安全隐患。? b）完整性。系统没有验证磁盘数据完整性的机制。? c）可用性。硬件电路的使用周期一般较长，且执行效率较软件系统有很大的优势。但系统的硬件单元一旦受到物理损坏，则整个系统就无法正常工作。? d）验证。系统没有验证机

6、制。? e）授权。系统没有权限控制机制。? 12Secured data storage device? SDSD3由保护和媒质部分构成。保护部分的主要模块有实时时钟、命令处理器、数据存储处理器及固定存储等。媒质部分为存储数据的介质（如磁盘、软盘等）及其控制单元，由介质控制器、介质驱动及介质本身组成。保护和媒质部分通过接口逻辑连接。? SDSD通过保护部分将数据通过实时时钟打上时间戳，再经过加密后将其写入存储介质。SDSD将加密密钥分为两部分，一部分存储在媒质部分的存储介质中，一部分存储在保护部分的固定存储中。这样做的目的是即使非法用户通过访问磁盘获得了存储在介质中的密钥，也无法获得存储在保护

7、部分中的密钥以获得完整的加/解密密钥。为了提高系统的效率，SDSD没有采用通用的加密算法如DES等，而是通过由密钥产生的伪随机序列进行加/解密操作。? CIAAA评价为：? a）保密性。磁盘上的数据经过保护部分的安全操作后以密文的形式存储，确保了数据的保?苄浴? b）完整性。通过对写入数据打上时间标签，保证了系统抗重放攻击的能力 。? c）可用性。电路损耗或损坏对系统的正常工作产生影响。? d）验证。SDSD没有提供单独的验证机制。? e）授权。SDSD没有磁盘数据读写的权限控制机制。? 2软件系统? 21Encryptonwire系统? SFS(selfcertifying file sys

8、tem)13系统由三部分组成，即SFS文件服务器、SFS客户端和SFS认证服务器。SFS的认证服务器用来存储客户端用户的组信息和公钥信息。SFS采用自认证路径来完成服务器和客户端的双向认证。? SFS文件系统通过挂载点/sfs/location/hostid进行访问。其中，location是文件服务器的地址，可以是其DNS主机名或IP地址；hostid是服务器地址和其公钥的哈希值。当用户请求文件服务器上的文件时，SFS客户端首先生成一个公私钥对，然后从认证服务器获取文件服务器的公钥，并将其哈希值同hostid值比对以验证文件服务器的身份。通过服务器的身份认证后，客户端和文件服务器协商创建会话密

9、钥，建立安全信道。接着客户端用其私钥签名一个请求发送给文件服务器，用于获得服务器的验证。当服务器和客户端的双向认证结束后，双方在事先建立好的安全信道中通信。? SFS后来又发展了两个改进的版本，即集中访问控制的SFS24和只读SFS25。前者在SFS中增加了非集中式的访问控制功能，允许文件的创建者添加在本地或远程SFS中的用户对该文件的访问权限。后者使用新的模块数据库生成程序，在用户创建文件时将其每个数据块进行哈希，然后将哈希值插入到文件的inode中，接着将每个inode的哈希值插入到文件目录中。如此重复这个过程，直到创建系统根目录/root的哈希值，构成整个文件系统的哈希树。? CIAAA

10、评价为：? a）保密性。SFS及其改进版本都通过双向认证阻止非法用户对系统的访问，间接地保护了数据的隐私，但是磁盘数据仍然以明文形式存在。? b）完整性。SFSRO通过建立整个文件系统的哈希树确保了文件系统的完整性。? c）可用性。SFS及其改进版本中，存储服务器公钥的认证服务器由于直接参与了系统的认证过程，容易造成单点拒绝服务攻击。? d）验证。SFS及其改进版本提供了完善的双向认证机制，并通过使用自认证技术增强了系统的可扩展性。? e）授权。SFSDAC通过创建可信任用户组及其权限控制表，控制了共享文件的授权访问。SFS及其改进版本的磁盘访问控制主要由UNIX本身自带的访问控制机制提供。?

11、 22Encryptondisk系统? 221非共享系统CFS? CFS19是最早提出的encryptondisk系统。CFS向客户端内核注册为一个NFS服务器，不论其是在客户端本地还是在远程服务器上。因此CFS是运行在用户进程空间中，当其执行加/解密操作时需要额外的上下文切换，影响了系统的效率。CFS通过cattach命令将加密的文件目录映射为一个虚拟目录挂载在“/crypt”下，用户通过这个目录访问他们的文件。CFS基本上设计为一个单用户系统。每个用户为自己需要加密的目录及文件指定一个密钥种子，系统根据该种子生成加密密钥。当用户需要与其他用户共享加密文件时，需要亲自将密钥交给其他用户。?

12、CIAAA评价为：? a）保密性。CFS中磁盘存储的是密文，只有在客户端执行读操作后，磁盘数据才以明文形式存在。? b）完整性。CFS没有提供验证磁盘数据完整性的机制。? c）可用性。CFS通过加密磁盘上存储的数据确保只能被其创建者或拥有者访问，但由于CFS运行在用户进程空间，频繁的上下文切换操作会消耗系统的额外资源。? d）验证。CFS依赖UNIX自身的验证机制完成用户身份验证。? e）授权。CFS采用UNIX自身的磁盘文件读写访问控制机制。? 2.2.2共享系统? 1)PLUTUS? PLUTUS15设计了良好的机制以完成文件的多用户共享。PLUTUS中具有相同共享属性的文件被归为同一文件

13、组（filegroup）中。同一文件组中的文件共享一个共同的数据结构lockbox，其中存放着该文件组的lockboxkey。同一文件组中文件的每个数据块都由不同的fileblock keys加密，而这些fileblock keys再由lockboxkey加密。? 对于每个文件组，有一个RSA公私钥对与其关联。私钥部分叫做filesignkey，公钥部分叫做fileverifykey。PLUTUS将系统文件操作对象分为读者（readers）和写者（writers）两类。读者只被分配给lockboxkeys，而写者除了lockboxkeys外还分配给filesignkeys。PLUTUS中的文件

14、块以Merkel tree的形式组织。写文件时写者通过对该文件的root用与该文件组对应的filesignkey进行签名。而其他的读者或写者都可以用该文件组的fileverifykey对该文件的完整性进行验证。? PLUTUS借鉴了很多Cepheus系统14的特点，如lockbox技术最早就是由Cepheus提出。除此之外，PLUTUS还借鉴了Cepheus的lazy reencryption的思想。Lazy reencryption是指当用户从系统中删除时，不立即对属于该用户的文件用新的密钥重新加密，而是等该文件被再次访问时再重新加密。关于注销用户的密钥管理，文献7，26中进行了有关的讨论，

15、lazy reencryption比用户注销后立即进行重新加密的active/aggressive reencryption在性能上有优势。? CIAAA评价为：? a)保密性。PLUTUS文件服务器上的数据以密文形式存在，保护了数据的隐秘性。? b)完整性。PLUTUS通过filesignkey和fileverifykey对文件进行签名和验证保护，确保了磁盘数据的完整性。? c)可用性。PLUTUS通过将安全操作转移到客户端，减轻了服务器的工作压力，并且通过filegroups实现文件的共享，使得文件的所有者无须在线仍然可以共享其所拥有的文件。? d)验证。PLUTUS依赖UNIX系统自身的

16、验证机制。? e)授权。PLUTUS通过分配不同的密钥授权不同的磁盘数据读写权限。? 2)NCryptfs? NCryptfs16是利用可堆叠文件系统技术设计的encryptondisk共享文件系统。NCryptfs提供内核级别的安全服务，因此在性能上有很大的优势。NCryptfs通过挂载点/mnt/ncryptfs进行访问，并且通过授权入口（authorizatoin entries）管理系统的访问和操作。每个授权入口都是一个登录口令及其相关权限的哈希值。? 与CFS一样，用户通过attach命令创建一个加密目录。NCryptfs通过用户输入的passphrase为该目录及目录下的文件创建密

17、钥，该密钥储存在内核中。当用户需要共享文件时，必须为每个其他用户关联授权入口。但由于密钥是通过用户的attach命令生成的，当其他用户访问共享文件时，该文件的创建者必须在线，否则无法事先产生文件的加/解密密钥并对访问者进行验证。另外由于密钥是储存在内核中，只能在同一台机器中共享文件。这些都是NCryptfs共享文件机制的弊端。由于NCryptfs是利用可堆叠文件系统技术设计的，无须过分依赖底层操作系统内核的具体细节，具有较高的可移植性。? CIAAA评价为：? a)保密性。NCryptfs中磁盘上的数据以密文的形式存在。? b)完整性。NCryptfs没有设计保护数据完整性的机制，但是在其后续

18、工作中27添加了相关的内容。? c)可用性。由于文件密钥通过attach命令生成并且驻留在内存中，NCryptfs的文件共享机制存在很大的局限性。? d)验证。NCryptfs通过authorization entry验证合法的系统用户。? e)授权。NCryptfs通过authorization entry规定用户不同的访问及操作权限，但其具体实现仍然是依赖UNIX自身提供的授权访问控制机制。? 3)Windows Vista BitLocker drive encryption ? Windows Vista BitLocker drive encryption7是微软公司近期推出的在其下

19、一代操作系统Windows Vista中使用的磁盘数据安全保护技术。BitLocker drive encryption提供两项最基本的功能：全卷加密和系统启动前基础模块的完整性检查。? BDE（bitlocker drive encryption）使用全卷加密密钥（full volume encryption key,FVEK）对整个系统卷进行加密，FVEK本身又被主卷密钥（volume master key,VMK）加密。BDE通过TPM18（trust platform module）芯片进行系统启动前的基础模块完整性检查，以确保磁盘数据的完整性。TPM芯片收集系统启动模块的信息，如BI

20、OS上的设置等，形成当前机器的指纹。当磁盘被替换或磁盘启动数据被非法修改时，由于机器无法正确识别当前磁盘而不能正常启动系统。当机器不支持TPM或没有TPM芯片时，用户可以使用BDE自身加强的验证功能来保护系统的启动。此时用户必须输入正确的PIN码或插入USB设备并输入正确的启动口令，否则系统无法正常启动。? BED中的文件共享与Windows上的普通文件共享一样，授权的用户可以通过网络对其进行访问，而被加密的文件在磁盘上仍然是以密文形式存在的。? CIAAA评价为：? a)保密性。BDE通过全卷加密保护了磁盘上数据的隐秘性。? b)完整性。BDE通过TPM实现系统启动前的完整性校验，一旦校验失

21、败就无法正常进入Windows操作系统。c)可用性。在没有TPM支持，使用通过USB设备加强系统启动验证时，USB设备的安全保护是能否成功进入操作系统的关键。? d)验证。BDE使用各种加强验证方式如USB启动口令、PIN启动码等对合法用户进行安全验证。? e)授权。BDE的磁盘数据读写权限控制依赖于底层Windows操作系统的机制。? 3比较和讨论? 按照CIAAA安全威胁模型，针对系统是否提供了防范各个安全威胁的功能，对磁盘数据安全保护系统的比较总结如表1所示。? 由表1可见，磁盘数据保护的硬件系统大多集中于应对某一特定方面的安全威胁，而软件保护系统由于其设计的灵活性，大多数都考虑了更多的

22、安全威胁。然而，所有的系统都是不尽完善的，为了提供更加可靠的磁盘数据安全环境，应当考虑综合各种方案。在设计新的磁盘数据保护系统时，也应综合考虑各种技术，提供更加全面的安全保护。? 磁盘数据保护系统的设计除了需要提供全面的安全保护外，还应考虑系统的实用性。主要有以下几个方面的考虑：? a)性能。磁盘数据保护由于增加了额外的安全操作，会对系统的性能带来损耗。文献7,28中对现有的若干安全存储系统的性能进行了比较。Encryptondisk系统一般比encryptonwire系统有更好的性能；不同技术的选取，如lazy reencryption和aggressive reencryption对系统性

23、能的影响是不同的；系统加密算法的选取也会对系统的性能造成影响。实现上，硬件系统较软件系统有较大的优势。? b)实现及部署成本。实现及部署成本是指系统的开发、 运行及维护所带来的人力、财力的开销。硬件系统由于需要特定硬件支持，其部署成本一般比软件系统高。软件系统中，可堆叠文件系统技术16能加快系统的实现速度、节约系统的开发成本。? c)用户体验。系统如果需要用户过多地参与，并且需要过多的额外操作，都会影响系统的实用性。在不损失系统安全性能的前提下，应为用户提供更方便的使用体验，如用户可以自行选择不同的加密算法。系统密钥的分配和管理应当对用户透明。? d)特殊应用场景。针对特定的应用场景，如嵌入式

24、设备环境等，磁盘数据保护系统应当根据安全需求进行定制化的设计，并且在资源受限环境中系统的性能也将有更高的要求。? 4结束语? 由于现有的磁盘数据保护技术和系统很多，限于文章的篇幅，不能对所有系统进行讨论和比较。选择了具有代表性的主要硬件和软件系统，以CIAAA为安全威胁模型进行了分析和比较。在分析了磁盘数据保护系统安全性要求的同时，提出了性能、系统成本、用户体验及特殊应用场景等问题，以进行今后进一步的研究。? 参考文献： 1IBM 305 RAMACEB/OL.2007-0211./history/ibm-305ramac.html. 2苗胜,张新家

25、,曹卫兵,等.硬盘数据加密系统的设计及其FPGA实现J.计算机应用研究, 2004, 21(10):217-219. ?3CHAN, et al. Secured data storage devicesEB/OL.(1992-09-22).. 4FISHERMAN,IGOR, OLEG U, et al. Personal computer hard disk protection systemEB/OL.(1997-0812).. 5RENTON. Hard drive security systemEB/

26、OL.(1997?0812)./. 6MATHERS S, STEWART A C. Security system for hard disk driveEB/OL.(2000-01-04)./. 7RIEDEL E, KALLAHALLA M, SAMINATHAN R. A framework for evaluating storage system securityC/Proc of the 1st Conference on File and Storage Technologies. Berkel

27、ey: USENIX Association, 2002:15-30. 8MAZIERES D, KAMINSKY M, KAASHOEDK M F, et al. Separating key management from file system securityC/Proc of the 17th ACM Symposium on Operating Systems Principles. New York: ACM Press, 1999:124139. 9HOWARD J. An overview of the Andrew file systemC/Proc of USENIX W

28、inter Technical Conference. Berkeley: USENIX Association, 1998. 10GOBIOFF H, GIBSON G, TYGAR D. Security for network attached storage devices, CMUCS-91185R. Pittsburgh: Carnegie Mellon University SCS, 1997. 11林昊翔,董渊,张为,等.基于Linux的通用加密文件系统Waycryptic的设计与实现J. 小型微型计算机系统, 2007,28(1):122126. 12邢常亮,卿斯汉,李丽萍.

29、一个基于Linux的加密文件系统的设计与实现J. 计算机工程与应用, 2005, 42(17):101104. 13徐国栋,白英彩.加密文件系统在Windows下的实现J. 微型电脑应用, 2006,13(5):56-58,2. 14FU K. Group sharing and random access in cryptographic storage file systemsD. Massachusettes: Massachusettes Institute of Technology, 1999. 15KALLAHAHHA M, RIEDEL E, SWAMINATHAN R, et

30、 al. PLUTUS: scalable secure file sharing on untrusted storageC/Proc of the 2nd USENIX Conference on File and Storage Technologies. Berkeley: USENIX Association, 2003:29-42. 16CHARLES E Z, WRIGHT P, MARTINA M C. Ncryptfs: a secure and convenient cryptographic file systemC/Proc of USENIX Annual Techn

31、ical Conference. San Antonio: USENIX Press, 2003:197-210. 17BitLocker drive encryption: technical overviewEB/OL.2007-0112./enus/windowsvista/aa.aspx. 18CATTANEO G, CATUOGNO L, SORBO A D, et al. The design and implementation of a transparent cryptographic file system for UN

32、IXC/Proc of FREENIX Track: USENIX Annual Technical Con-ference. Berkeley: USENIX Association, 2001:199-212. 19BLAZE M. A cryptographic file system for UNIXC/Proc of the 1st ACM Conference on Communications and Computing Security. New York: ACM Press, 1993:916. 20SafeNet ProtectDriveEB/OL.2007-02-02.

33、http:/www.?/products/data_at_rest_protection/Protectdrive.asp. 21TrueCryptEB/OL.2007-0311.. 22HASAN R, MYAGMAR S, LEE A J, et al. Toward a threat model for storage systemsC/Proc of ACM Workshop on Storage Security and Survivability. New York: ACM Press, 2005:94102. 23KHER V, KIM Y. Securing distributed storage: cha