技术支持 support
联系方式 Contact

新安信科技(深圳)有限公司

电话:13510263530

地址:广东省深圳市宝安区留仙大道2号汇聚创新园2栋2305室

网址:www.safechn.com

QQ客服:点击这里给我发消息

淘宝客服:点这里给我发消息

搜索 Search
你的位置:首页 > 技术支持 > 技术问答

安全闪存加密技术(安全U盘)

2016-6-24 22:40:22点击:

  USB闪存(Flash)存储器(也称“U盘”、“优盘”)以其高速度、大容量、便携性、价格低廉等优势,近年来得到普及,已经成为目前最主流的移动存储设备。也正因其体积小巧,很容易丢失,U盘也容易成为泄密工具。因此涉密单位对U盘的使用都有严格的限制和管理规范。

  为防范U盘意外丢失引起存储资料的泄密,出现了带有加密功能的U盘。这种U盘一般把物理存储空间分成两个区。其中一个区为普通分区,操作与一般的U盘无异。另一个分区为加密区,采用口令字保护这个分区的数据。用户运行特定的软件输入正确的口令字校验通过后加密区才可以存取数据。在没有输入正确的口令字之前加密区不能存取。这样U盘在丢失后对于不知道加密区口令字的人来说是无法查看加密区存储的内容的。我们称这种U盘加密方案为“加密区”型。

  加密区型U盘加密方案理论上可以解决U盘丢失后的泄密隐患,但却未能普及应用,主要有以下几个方面的缺点:

  1. 需要安装驱动软件,使用不方便

  U盘的加密区一般需要U盘主控芯片厂商的特殊驱动才能存取,因此使用加密区一般都需要安装指定U盘厂商的驱动程序。而U盘主控芯片各类繁多,即使相同品牌的U盘不同型号和批次的U盘采用的主控芯片也可能不相同,驱动程序也无法通用。因此使用很不方便。

  2. 容易遭到病毒入侵

  加密区型方案必须有一个普通分区。即使没有普通分区,加密分区在口令校验通过后实际上也变成普通分区,同样以标准的磁盘驱动器开放给操作系统。而可移动的U盘是病毒用来扩散和传播的理想载体,U盘的即插即用和自启动特征(AutoRun)则为病毒悄无声息地自动传播提供了完美的技术方案。用户不需要做任何电脑上的操作,更不需要打开U盘,只要把U盘在带病毒的电脑上插一下,再在自己的电脑上插一下,病毒就立刻传播到用户的计算机。

  3. 容易被“U盘摆渡”型木马窃取资料

  在上面已经阐述了这种U盘容易寄生病毒,“U盘摆渡”型木马也是病毒的一种,但这种木马更大的危害在于其目的是窃取用户的资料。这种木马在用户的系统中长期潜伏,把用户整个系统中有价值的数据都偷偷隐藏到U盘上,只要U盘所在计算机与外网接通,立刻把这些机密资料通过Internet传送给木马的制作者。这种“偷窃型”木马已经发展成为职业化犯罪工具,从盗取普通人的QQ账号、游戏装备、证券交易和网银账户,到窃取国家和军事机密,几乎都可以发现这种木马病毒的踪迹。

  造成加密区型U盘加密方案诸多缺点的根本原因是原有U盘加密方案仍然依赖于操作系统的标准文件系统。操作系统把U盘作为一个标准的磁盘管理,因此对于操作系统来说U盘除了可以热插拔以外,和一个硬盘没有什么区别。因此原本设计用于管理硬盘的庞大文件系统同样加载到U盘上。由于标准的文件系统(FAT或NTFS)是如此通用,病毒、木马也充分利用这种文件系统寄生、隐匿和传播。这就是为什么普通U盘,包括加密区型U盘容易被病毒感染乃至成为U盘摆渡型病毒窃取资料的中转站的原因。

  secWall安全U盘的闪存加密技术为U盘量身定制了专用的文件系统,从根本上铲除了病毒、木马赖以寄生的环境。同时,secWall安全U盘通过专用的存取接口管理U盘数据的输入输出,病毒、木马根本找不到安全U盘的存储空间。

  secWall安全U盘与普通U盘和加密区型U盘不同,不以驱动器的方式把存储空间开放给操作系统。安全U盘插入计算机后,只能看到一个很小的光盘驱动器,在光盘驱动器上有一个安全U盘的存取接口软件。一般在安全U盘插入计算机时存取接口软件界面会自动打开,拔出安全U盘时会自动关闭。整个安全U盘的可用存储区域在操作系统中是不可见的,即使在操作系统的物理存储设备列表中也不存在这种设备。安全U盘的存取软件界面是存取安全U盘的唯一接口。由于CDROM是不可改写的,因此病毒无法通过安全U盘传播,更不能在安全U盘上隐匿数据。存取接口软件内置在安全U盘中,因此安全U盘不需要额外安装驱动软件,安全U盘可以象普通U盘一样即插即用。另外,内置于CDROM的设计可以保证接口软件不会被病毒或恶意程序更改。

  secWall安全U盘对存储区的数据采用AES标准加密,即使通过拆解直接读取闪存芯片也无法获得存储的数据。用户对数据区的存取必须以口令字方式通过身份验证。与加密区型U盘不同,安全U盘的身份验证通过后不会在系统中出现磁盘分区,任何数据存取仍然必须通过存取软件进行。而身份验证是获取加密存储区加密证书的唯一方法。因此,secWall安全U盘如果身份验证密码遗忘,是没有任何办法解密安全U盘中存储的数据的,高达256位长的加密密钥不存在破解的可能。身份认证模块采用了对口令字的保护技术,对口令字有复杂度要求。为更高保密要求的用户提供了数据自毁功能,在超过预设的口令尝试次数后将彻底抹除闪存中的数据,杜绝一切破解的可能。

  反黑技术是secWall安全U盘内置文件保护系统的一大特色。通过启用反黑技术,安全U盘接口一旦开启,用户所有的网络连接立刻被切断,防止用户在查看和使用安全U盘中的机密资料时被系统中已经潜伏的木马传送到外网。当用户关闭安全U盘接口界面后,外网连接自动恢复。反黑技术把安全U盘中存储的机密数据与外网完全隔离开,防止用户操作不慎或系统被木马劫持引起机密资料的泄密。