基于智能卡技术的移动存储安全管理研究.docVIP

　　基于智能卡技术的移动存储安全管理研究 作者：余鹏飞吴俊军王同洋张新访 　　 论文 关键词：智能卡指纹识别移动存储信息安全 　　论文摘要：随着移动存储设备的广泛应用，由其引发的信息泄漏等安全问题日益受到关注。针对目前移动存储安全解决方案中利用用户名和密码进行身份认证的不足，本文提出了基于智能卡技术的安全管理方案。该方案将指纹特征作为判定移动存储设备持有者身份的依据，同时通过智能卡技术实现了移动存储设备与接入终端间的双向认证，从源头上杜绝了移动存储设备带来的安全隐患。 　　1引言 　　移动存储设备因其体积小、容量大、使用灵活而应用广泛，但其本身的“匿名性”给设备安全管理带来了巨大挑战，身份认证难、信息易泄露、常携带病毒等问题一直困扰着用户和 计算 机系统安全人员。 　　在移动存储的安全管理上应基于两个层面：首先是移动存储设备对用户的身份认证，以确保移动存储设备持有者身份的合法性；其次是移动存储设备与接入终端间的双向认证。目前，移动存储的安全管理往往是基于用户名和口令的身份认证方案，容易受到非法用户“假冒身份”的攻击，同时系统中所保存的口令表的安全性也难以保障，因此该方案存在较大的安全隐患。少数采用生物特征识别的安全方案也仅仅做到了第一个层面的身份认证，仍无法解决对移动存储设备本身的身份认证以及移动存储设备对接入终端的身份认证。然而，移动存储设备和接入终端间双向认证的必要性是显而易见的，只有被终端信任的移动存储设备才允许接入；同时，当终端也被移动存储设备信任时，移动存储设备和终端才能获得彼此间相互读写的操作权限。只有实现上述的双向认证，才能有效地在源头杜绝移动存储设备带来的安全隐患。 　　本文描述了一种移动存储安全管理方案，针对U盘和移动硬盘等移动存储设备，基于智能卡技术，结合指纹识别模块，解决了设备持有者的身份认证以及设备与接人终端间的双向认证问题，并将设备持有者的指纹作为实名访问信息记人审计系统，进一步完善了移动存储的安全管理方案。 　　2基于指纹识别的用户身份认证 　　指纹识别技术主要涉及指纹图像采集、指纹图像处理、特征提取、数据保存、特征值的比对和匹配等过程，典型的指纹识别系统如图1所示。 　　 　　　　　　　　　　　图1指纹识别系统 　　指纹图像预处理的目的是去除指纹图像中的噪音，将其转化为一幅清晰的点线图，便于提取正确的指纹特征。预处理影响指纹识别的效果，具有重要的意义。它分四步进行，即灰度滤波、二值化、二值去噪和细化。图像细化后，采用细节点模板提取出指纹图像的脊线末梢和脊线分支点的位置，将指纹认证问题转化成为点模式匹配问题。 　　如图2所示，移动存储设备采用兼容多种设备接口的控制芯片、安全控制闪存芯片、大容量用户标准Flash构成硬件基础，以智能卡控制芯片为控制中心，结合指纹识别模块，实现对设备持有者的身份认证；同时，结合大容量普通闪存存储结构，实现数据存储低层管理和数据存储加密。 　　 　　3基于智能卡技术的双向认证 　　为加强系统认证安全性与可信性，在移动存储设备内集成智能卡模块，使之具备计笄能力，从而实现移动存储设备与终端之问的双向认证。移动存储设备的身份文件存放于智能卡模块中。身份文件是指存储着移动存储设备各项物理特征信息的私密文件，由于这些物理特征信息与个体紧密相联，所以可以起到唯一鉴别该移动存储设备的作用。 　　智能卡模块提供对终端的认证，只有通过认证的终端才能访问身份文件和移动存储设备中的数据。将现有移动存储设备硬件结构进行改造，在其中分别加人指纹处理模块与智能卡模块后的硬件结构如图3所示。 　　智能卡模块内置CPU、存储器、加解密算法协处理器、随机数发生器等硬件单元，及芯片操作系统(COS)、芯片文件系统等多个功能模块。其内部具有安全数据存储空间，用于存放移动存储设备的身份文件。对该存储空间的读写受身份认证机制保护，只有通过认证的用户和终端才能对其进行访问，并且操作必须通过定制的应用程序实现，用户无法直接读取。支持指纹认证的智能卡文件系统如图4所示。 　　 　　对终端的身份认证方式有多种，本方案采用冲击一响应的认证方式_7]。需要验证终端身份时，终端向智能卡模块发送验证请求，智能卡模块接到此请求后产生一组随机数发送给终端(称为冲击)。终端收到随机数后，使用终端认证软件内置的密钥对该随机数进行一次三重DES加密运算，并将得到的结果作为认证依据传给智能卡模块(称为响应)，与此同时，智能卡模块也使用该随机数与内置的密钥进行相同的密码运算，若运算结果与终端传回的响应结果相同，则通过认证。这种认证方式以对称密码为基础，特点是实现简单，运算速度快，安全性高，比较适合对移动存储设备的认证。 　　在终端通过认证，取得移动存储设备信任的前提下，终端通过智能卡模块读