一種基于計算機指紋的U盤文檔監(jiān)控與保護方法

朱征宇，周發(fā)貴，于春雷

(重慶大學(xué) 計算機學(xué)院，重慶400044)

隨著計算機移動存儲設(shè)備技術(shù)的的不斷發(fā)展，U盤因其攜帶方便、容量大等特點，已成為目前使用最為廣泛的存儲介質(zhì)。它的這種便捷性往往造成使用的隨意性，尤其在計算機病毒、木馬泛濫，各種計算機攻擊技術(shù)趨于普遍的今天，更增加了信息泄露的風(fēng)險。當前很多帶保密性質(zhì)的機構(gòu)，如軍隊、科研機構(gòu)等都采取了內(nèi)外網(wǎng)絡(luò)物理隔離的保護方式來保障機構(gòu)內(nèi)部的網(wǎng)絡(luò)信息安全，這種方式能充分保證局域網(wǎng)內(nèi)數(shù)據(jù)的安全，但要與外部網(wǎng)絡(luò)進行數(shù)據(jù)交流時由于需要外部存儲設(shè)備的接入，同樣會產(chǎn)生各種與設(shè)備相關(guān)的失泄密風(fēng)險。本文主要為解決內(nèi)部安全網(wǎng)絡(luò)中的重要文檔分發(fā)到U盤后的安全保護與使用監(jiān)控的問題，以便文檔使用及流向的可審核和可追溯。

1 常見的風(fēng)險及對策

以某軍事研究機構(gòu)(甲)為例分析存儲在U盤上的文檔存在的泄密風(fēng)險。該機構(gòu)保密級別較高，建立了基于人員指紋信息的身份認證系統(tǒng)，采取了內(nèi)外網(wǎng)絡(luò)物理隔離的方式來保護內(nèi)部網(wǎng)絡(luò)，對所有usb接口進行屏蔽，同時對內(nèi)部使用的U盤進行認證［1］，只有認證過的U盤才能正常接入內(nèi)部網(wǎng)絡(luò)，在指定計算機上由指定管理人員對外發(fā)文檔進行簽發(fā)。由于某項目需要與外單位(乙)進行交流匯報及協(xié)作，就需要管理員從專用管理機器將文件簽發(fā)給外派的聯(lián)絡(luò)人員。從分發(fā)重要文檔到U盤，以及聯(lián)絡(luò)人員攜帶U盤到指定區(qū)域及網(wǎng)絡(luò)閱讀的過程中，存在的主要泄密途徑有:

1)U盤木馬從局域網(wǎng)內(nèi)盜竊重要數(shù)據(jù)造成泄密;

2)U盤設(shè)備遺失造成泄密;

3)攜帶者在非安全計算機隨意閱讀時造成泄密;

4)攜帶者主動泄密。

嚴格的設(shè)備接入管理規(guī)定和使用安全移動設(shè)備等手段可以降低泄密風(fēng)險，但這些手段并不能有效防止和發(fā)現(xiàn)攜帶人員主觀或意外造成的泄密，如后面2種泄密途徑。這些手段都在數(shù)據(jù)拷貝到移動設(shè)備后就對數(shù)據(jù)的流向、訪問情況失去了監(jiān)管，把信息的安全完全寄托在數(shù)據(jù)持有人的安全意識上。近年國內(nèi)外的一些重大失泄密事件的發(fā)生與這方面監(jiān)管手段的缺失不無關(guān)系。如2010年7月美軍大量機密文件被“維基解密”網(wǎng)站所曝光，事件起因就是由于大量文件被內(nèi)部人員非法下載并拷貝出去所致。

針對這一現(xiàn)狀，本文提出了基于計算機指紋的U盤文檔監(jiān)控與保護方法，通過利用文件加解密技術(shù)、計算機指紋技術(shù)、文件與設(shè)備捆綁、文件循環(huán)校驗等相關(guān)技術(shù)手段，在保護分發(fā)文件安全的同時能幫助管理員利用計算機指紋和相關(guān)記錄來審核文件攜帶者對文件的閱讀情況，包括閱讀次數(shù)、地點(閱讀文件的計算機)、時間等信息，以防止攜帶人員不按要求保管及閱讀。該方法的應(yīng)用有利于軍隊、政府和企業(yè)等機構(gòu)對重要數(shù)據(jù)實現(xiàn)定人保管、定位閱讀、定期銷毀，實現(xiàn)對數(shù)據(jù)的全程監(jiān)管，減少失泄密風(fēng)險，而且有利于事后及時追查失泄密源頭及渠道，以便采取補救措施來挽回損失。

2 文件的安全防護

監(jiān)督是為了更好地保障文件的安全，要保障文件的安全，就必須綜合考慮文件在傳遞和瀏覽過程中所有可能出現(xiàn)的各種漏洞，避免在任一環(huán)節(jié)出現(xiàn)安全“短板”的情況。傳統(tǒng)文檔處理軟件(WORD、寫字板等)都具有很多的編輯功能，而這些功能對于一份僅供閱讀的文件來說是多余而具有風(fēng)險的，所以筆者設(shè)計了專用的功能有限的只讀客戶端來閱讀文件，并利用客戶端來記錄和監(jiān)督文件的瀏覽信息。在每次分發(fā)機密文檔時把閱讀器一起捆綁［2］進行分發(fā)，所以需要對閱讀軟件及文件本身的安全同時進行保護。

2.1 多重的捆綁驗證機制

為實現(xiàn)離線狀態(tài)下對文檔操作的身份識別和操作的不可否認，采取了嚴格的多重身份驗證機制，把閱讀端、文件、設(shè)備和用戶相互關(guān)聯(lián)，任一方有了改變均無法通過驗證，以此來保障數(shù)據(jù)安全及監(jiān)督的有效。

在文件被分發(fā)后把相關(guān)部分分為4塊:軟件與Keyfile文件、機密文檔與監(jiān)督信息文件、U盤和用戶。通過多重的捆綁驗證機制來保證機密文檔只有在4個方面都驗證無誤后才能打開閱讀。具體實現(xiàn)技術(shù)有2點:

2.1.1 文件和設(shè)備的捆綁

為避免閱讀軟件或機密文檔因非法拷貝造成泄密，把軟件和機密文檔與存儲設(shè)備進行捆綁，使軟件無法在其他設(shè)備運行，機密文檔在其他設(shè)備上無法正常解密閱讀。

在把機密文檔寫入設(shè)備時，分發(fā)端軟件讀取授權(quán)者信息、被授權(quán)者信息、授權(quán)時間、隨機數(shù)和U盤標識信息(如序列號、容量等)，然后用散列算法SHA1散列后加密生成標識串A，并記錄到磁盤。為保障標識信息的安全，綜合考慮實用性和技術(shù)可行性，本文利用DBR(分區(qū)引導(dǎo)扇區(qū))之后的保留扇區(qū)來存儲驗證信息。對于U盤常用的FAT32文件系統(tǒng)，在任一分區(qū)中都含有一個DBR，為擴展引導(dǎo)代碼。在DBR之后提供了一些保留扇區(qū)，這些扇區(qū)一般不被系統(tǒng)使用，是理想的隱蔽存儲區(qū)。此方法對一般的FAT32文件系統(tǒng)都有效，對文件操作(文件創(chuàng)建、復(fù)制、刪除)透明，但磁盤操作(如磁盤格式化)將導(dǎo)致失效。此時這一標識串A既能唯一標識［2］此U盤，又能標識此次授權(quán)。然后把除設(shè)備信息外的各信息加密后記錄入Keyfile文件［3］，同時利用設(shè)備信息和授權(quán)者信息參與文檔加密密鑰的生成，這樣在打開閱讀端時需要讀取設(shè)備信息來生成標識串與存入設(shè)備的標識信息進行驗證，在打開文檔時也需要讀取存儲設(shè)備信息和Keyfile信息來生成解密密鑰。這樣當軟件或數(shù)據(jù)被非法拷貝到其他存儲設(shè)備時，軟件就會無法通過驗證啟動，文檔也會因為無法生成正確的解密密鑰而打不開。用此方法實現(xiàn)了鎖定軟件與設(shè)備(模型如圖1)、文檔與設(shè)備(模型如圖2)的關(guān)聯(lián)關(guān)系。

圖2 設(shè)備與文檔加密捆綁模型

通過使用這些加密及校驗措施，實現(xiàn)閱讀端、文件與設(shè)備的關(guān)聯(lián)捆綁，軟件的啟動要在指定設(shè)備上才能正常進行，文檔要在指定設(shè)備上才能正常解密并閱讀，避免了文檔被非法復(fù)制到其他設(shè)備造成的泄密。

2.1.2 文件間的捆綁校驗

為解決閱讀軟件與文檔的捆綁，即避免用戶用授權(quán)給他的閱讀軟件閱讀非授權(quán)給他的文檔，需要對每次分發(fā)的閱讀軟件和本次授權(quán)的文檔進行綁定。在分發(fā)閱讀軟件時先從Keyfile文件讀取授權(quán)者的信息、分發(fā)時間和隨機碼，然后用SHA2散列生成識別串B注入閱讀端，再把此識別串加密后存入此次授權(quán)文檔的監(jiān)督信息文件，在打開文檔時就會解密識別串B，并與閱讀軟件中的記錄進行校驗。這樣就使每次分發(fā)的閱讀端只能打開當次的授權(quán)文檔，實現(xiàn)閱讀軟件與文檔的捆綁，一次分發(fā)的閱讀軟件可以綁定一份或多份文檔。

為防止文件內(nèi)容被惡意篡改，保護文件的完整性和合法性，常用的方法是對文件進行散列后把散列碼與文件一起分發(fā)，用戶依據(jù)文件和散列碼的對應(yīng)關(guān)系來識別文件的完整性。但分別進行散列不能鎖定文檔與審核信息，且散列碼容易被分析定位，故系統(tǒng)在分發(fā)機密文檔時，先對文檔和記錄相關(guān)監(jiān)督信息的文件進行相互校驗并分別壓縮打包(校驗?zāi)Ｐ腿鐖D3)，閱讀時需要解密后在內(nèi)部分別解壓縮再相互驗證散列碼。如果不符合，則說明該文件被修改過，此時停止對文件的所有授權(quán)操作，需要管理員審核后重新授權(quán)方可訪問。

圖3 文件相互校驗?zāi)Ｐ?/p>

2.2 文檔的安全保護

為了保護機密文檔，就必須從文檔分發(fā)權(quán)限認證，到數(shù)據(jù)的加密及捆綁驗證，再到閱讀時的驗證和監(jiān)控來防止內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的流失及泄密。

2.2.1 分發(fā)限制

為防止分發(fā)端濫用權(quán)限，在分發(fā)端利用內(nèi)部網(wǎng)絡(luò)的分級認證機制，對管理員進行分級管理，使其只能對一定保密級別的文件進行授權(quán)，在后臺記錄詳細的文件授權(quán)信息，并能對各管理員限定相應(yīng)的授權(quán)次數(shù)(如表1)。次數(shù)到達后管理員需重新申請證書，通過證書分發(fā)審核的監(jiān)督來避免因分發(fā)人員問題造成巨大損失。

表1 權(quán)限

分發(fā)時先在后臺記錄各管理員每次授權(quán)的詳細資料，如文件名、密級、授權(quán)時間，軟件的授權(quán)期限及啟動次數(shù)、文檔的授權(quán)期限及閱讀次數(shù)、被授權(quán)者信息和授權(quán)碼等，在每份文檔回收時進行這些信息的驗證。

分發(fā)軟件時利用授權(quán)者信息、分發(fā)時間及隨機序列與注入閱讀端軟件的識別碼B實現(xiàn)閱讀端與Keyfile的捆綁，然后將閱讀端利用SHA2算法散列生成驗證碼，記錄入Keyfile文件，以實現(xiàn)軟件自身的完整性檢驗，防止軟件被“爆破”或其他技術(shù)手段分析破解。

分發(fā)機密文檔時對每份授權(quán)文檔進行簽名，以識別每份文檔的授權(quán)者。授權(quán)時將文檔的使用限制條件(如閱讀次數(shù)、時間期限等信息)記錄入監(jiān)控文件，然后將文檔和監(jiān)控文件進行捆綁并加密，以實現(xiàn)對分發(fā)文檔的使用情況進行限制和有效監(jiān)控。文檔的分發(fā)流程如圖4所示。

圖4 文檔分發(fā)流程

隨機碼和時間作為變量的參與使每次分發(fā)均具有唯一性，這些捆綁及檢驗措施的運用使每次分發(fā)的軟件、文件、存儲設(shè)備及授權(quán)用戶是一次授權(quán)的整體，在閱讀時各方缺一不可。

2.2.2 文件加密

隨著計算機計算速度的飛速提高，以前的一些加密算法(如DES、MD5)的安全性已經(jīng)顯得岌岌可危。AES作為21世紀新的加密標準，它的密鑰長度可以為128，192或256，而且在理論上沒有上限，故此加密算法可被視為是安全的［4］。常見的SHA1散列算法可能存在和MD5一樣的碰撞攻擊漏洞，而SHA－2則迄今為止還沒有出現(xiàn)被成功攻擊的報道［5］。故在此選擇了AES(高級數(shù)據(jù)加密標準)和SHA2來保護數(shù)據(jù)文檔。

由于閱讀計算機環(huán)境的不確定性，使目前較常用的利用非對稱密碼加密保護密鑰的方式不適用于本方法，為增加密鑰的安全性，在分發(fā)機密文檔時，讀取存儲在保留扇區(qū)的設(shè)備標識串和分發(fā)時存入Keyfile的隨機數(shù)參及當前時間生成加密密鑰(密鑰生成模型參考圖2)，再把讀取到的當前時間、閱讀端軟件的授權(quán)碼記錄(如監(jiān)督信息文件)，讓同一口令加密的機密文檔在不同時間或設(shè)備上生成的加密密鑰是不相同的，在閱讀文檔時先解密監(jiān)督信息文件，利用其記錄檢驗設(shè)備及軟件是否符合，通過檢驗后再按密鑰生成機制讀取設(shè)備標識串和Keyfile信息，生成解密密鑰，這樣就提高了系統(tǒng)的抵抗逆向分析的能力。

2.2.3 異常檢測

為了方便用戶使用，便于在出現(xiàn)斷電、死機等情況下對文件進行恢復(fù)等處理，需要對文件異常狀況進行登記、檢測和處理，判斷系統(tǒng)是否非正常使用，這樣既便于在異常情況恢復(fù)文件，又有利于審核文件時能發(fā)現(xiàn)異常操作。同時為了防止別有用心者對軟件進行動態(tài)跟蹤或破解，系統(tǒng)可以對軟件設(shè)定一個異常狀況閥值，當軟件異常次數(shù)超出此數(shù)值時，能鎖定軟件或自動刪除客戶端和相關(guān)數(shù)據(jù)文件，最大限度地保護數(shù)據(jù)安全。當出現(xiàn)異常退出狀況時，能做出檢測并恢復(fù)文件信息，有效地對文件系統(tǒng)進行保護。

這些保護措施的采用充分保障了文檔的數(shù)據(jù)安全，即使軟件或文件被非法復(fù)制，竊取者也無法運行軟件或解密文件。

3 監(jiān)督審核的設(shè)計與實現(xiàn)

在軟件和文件的安全性有了充分保障后，利用軟件、文件與設(shè)備的捆綁與相互檢驗，使正常閱讀操作局限在文件的分發(fā)設(shè)備上。當客戶端啟動時，利用指紋生成系統(tǒng)生成閱讀計算機的指紋，在打開每一份文件前，把指紋信息記錄到該文件的審核日志，同時跟蹤記錄用戶對文件的操作歷史，并屏蔽不必要的風(fēng)險操作，如禁止拷貝、粘貼等風(fēng)險操作。

審核記錄的真實性主要通過加密手段及捆綁技術(shù)來保證，讓使用者不能對其進行修改。如果發(fā)現(xiàn)文件有修改痕跡，系統(tǒng)能及時通過校驗手段發(fā)現(xiàn)，并能停止文件的授權(quán)，直到分發(fā)機構(gòu)或管理員重新審核并授權(quán)。

3.1 計算機指紋生成模型

通過一臺計算機的CPU ID、網(wǎng)卡的MAC地址、硬盤的序列號等可以區(qū)分不同計算機信息，統(tǒng)稱為這臺計算機的指紋。由于指紋的唯一性，軟件商可以利用其來實現(xiàn)軟件授權(quán)碼和計算機的綁定，也可以利用其來實現(xiàn)對瀏覽過文件的計算機進行標識，在出現(xiàn)失泄密問題時可以及時鎖定泄露地點及途徑，幫助我們挽回損失。同樣也可以利用這些信息來指定閱讀文件的具體計算機，避免文件攜帶者在其他地方閱讀文件。

目前，常見的軟件系統(tǒng)在設(shè)計指紋系統(tǒng)時，常固定使用其中的某一種或幾種信息，雖然這樣也能保證指紋的唯一性，但軟件容易被攻擊者按生成機制分析并偽造出認證碼。為了提高序列號的穩(wěn)定性和安全性，充分利用如上所提這些信息來生成計算機指紋，有利于事后準確定位閱讀過文件的計算機。本文在設(shè)計指紋系統(tǒng)時，針對硬盤序列號是必然存在，且具有唯一性、穩(wěn)定性［6］，而主板序列號、CPU ID及MAC地址不一定能獲取到的情況，采取1+X(X代表區(qū)后3種序列碼的0到3種，由系統(tǒng)初始時隨機選取后再讀取，如果獲取不到，則由默認的一個串值代替)的方式來生成計算機指紋，使每條指紋是由硬盤序列號再加上剩余3種序列號的隨機組合來生成的，這在保證了序列號的唯一性時又使其具備隨機性，增加了利用硬件的可更換性偽造計算機指紋的難度，提高了系統(tǒng)的安全性。

指紋的生成模型如圖5所示。在軟件啟動時，先啟動登記部分，利用WinAPI函數(shù)直接調(diào)用GetVolumeInformation獲取硬盤信息;調(diào)用GetCPUVendorx獲取CPU廠商信息(AMD或INTEL);再用GetSystemInfo函數(shù)獲取CPU信息;使用Microsoft的Netbios API獲取MAC地址。如果特殊情況下取不到某個標示信息時，如CPU為奔騰3以下，用一個特殊串代替即可。最終將這些獲取到的信息經(jīng)散列變換生成計算機指紋(如圖5所示)，再將硬盤序列號和指紋寫入監(jiān)督信息文件，在審核時就能以此找出用戶曾經(jīng)的閱讀地點(具體計算機)。

圖5 計算機指紋生成模型

3.2 監(jiān)控的實現(xiàn)

文件監(jiān)控技術(shù)，就是能夠?qū)Υ蜷_文件、讀/寫文件等文件操作進行監(jiān)控、記錄，其目的就是有效地解決內(nèi)網(wǎng)內(nèi)部重要機密文件的安全問題，對機密文件進行實時監(jiān)控，記錄對機密文件的一切操作。目前常用的文件監(jiān)控技術(shù)有基于虛擬設(shè)備掛接方式監(jiān)控技術(shù)和基于拷貝鉤子(API HOOK)的文件監(jiān)控技術(shù)。本文針對U盤文檔需要離線監(jiān)控的特點，結(jié)合拷貝鉤子和Win32API函數(shù)［7］，找出了一種能獨立地監(jiān)控U盤上的文檔使用情況的方法。

在啟動軟件或打開文檔時，都先生成計算機指紋，對閱讀地址(具體計算機)進行登記，并把軟件使用信息記錄入Keyfile，把文檔操作歷史記錄入對應(yīng)監(jiān)督文件。對文檔的動作捕獲主要利用Windows系統(tǒng)提供的深層API函數(shù)和HOOKAPI來實現(xiàn)。在Windows系統(tǒng)中，當對文件進行剪切、拷貝時，操作系統(tǒng)會產(chǎn)生一個消息響應(yīng)來觸發(fā)系統(tǒng)對文件進行操作，所以捕獲消息響應(yīng)可以捕獲監(jiān)控系統(tǒng)對文件的操作。這樣當用戶對監(jiān)控文件進行操作時，根據(jù)操作動作的不同，可利用API函數(shù)或鉤子進行消息響應(yīng)的捕獲，然后對消息響應(yīng)進行分析和記錄，實現(xiàn)對文件的有效監(jiān)控。

在閱讀端對文件的剪切、拷貝以及普通的截屏操作都可以歸結(jié)為Windows的剪貼板操作［8］，所以能使用SetClipboardViewer(HWND)函數(shù)向剪貼板觀察鏈中加入一個觀察窗口。當剪貼板的內(nèi)容發(fā)生變化時，該窗口會接收到一個WM_DRAWCLIPBOARD消息，它標識了將要加入的下一個窗口。然后響應(yīng)WM_DRAWCLIPBOARD消息處理剪貼板內(nèi)容的變化，利用HasFormat屬性判斷其內(nèi)容是否是位圖(CF_BITMAP)或文本(CF_TEXT)并進行登記。最后在程序關(guān)閉時直接清空剪貼板，避免信息泄露。

同時安裝鍵盤鉤子，用SetWindowsHookEx函數(shù)將監(jiān)控程序定義的鉤子過程安裝到鉤子鏈中，當鍵盤事件發(fā)生時，調(diào)用鉤子處理函數(shù)KeyBoard-Hook進行響應(yīng)，結(jié)束后調(diào)用CallNextHookEx執(zhí)行鉤子鏈表所指的下一個鉤子子程［9］。

利用此方法實現(xiàn)對文檔的監(jiān)控實現(xiàn)復(fù)雜度低，效率較高，能監(jiān)控用戶常規(guī)使用下的相關(guān)操作。

3.3 審核

審核的目的是為了規(guī)范和監(jiān)督用戶對文檔的使用，同時能通過審核監(jiān)督文件發(fā)現(xiàn)用戶的違規(guī)使用情況，在發(fā)生失泄密事故時能利用監(jiān)督信息排查出可能的泄密環(huán)節(jié)，進行追溯以挽回損失。

由于審核者不一定需要知道文檔的內(nèi)容，故在審核時只需要對監(jiān)督信息進行解密，讀取文檔瀏覽的歷史記錄，避免因?qū)徍四K漏洞造成的泄密和信息擴散，把閱讀權(quán)限和審核權(quán)限進行隔離。

4 結(jié)束語

針對U盤使用過程中容易產(chǎn)生的信息安全問題，本文提出的方法利用軟件技術(shù)實現(xiàn)了對U盤上文檔使用的監(jiān)控及保護，并結(jié)合硬件保護技術(shù)對設(shè)備操作進行控制，使整個系統(tǒng)在各環(huán)節(jié)都具有很好的安全性，避免因為安全“短板”的存在威脅到整個系統(tǒng)。

該方法的提出很好地彌補了對涉密局域網(wǎng)離網(wǎng)文檔的監(jiān)管缺失這一信息安全問題，使涉密單位能及時發(fā)現(xiàn)和解決文檔分發(fā)后的安全隱患和監(jiān)管漏洞，具有良好的適用性和運用前景。

［1］ 王欣瑜，李釗，楊百龍，等.移動存儲介質(zhì)認證方法研究［J］.無線電通信技術(shù)，2008(1):56－58.

［2］ 廖洪其;凌捷;郝彥軍，等.USB移動存儲設(shè)備的惟一性識別方法研究［J］.計算機工程與設(shè)計，2010(12):2778－2780，2814.

［3］ 段鋼.加密與解密［M］.3版.北京:電子工業(yè)出版社，2008.

［4］ 何明星，林昊.AES算法原理及其實現(xiàn)［J］.計算機應(yīng)用研究，2002(12):61－63.

［5］SHA1 Collisions can be Found in 2^63;Operations.［2010－05－24］.http://www.rsa.com/rsalabs/node.asp?id=2927.

［6］ 丁思捷，張普朝.應(yīng)用硬盤序列號生成計算機指紋［J］.計算機應(yīng)用，2002(5):106－108.

［7］ 張桂勇，陳芳瓊.API for Windows 2000/XP詳解［M］.北京:清華大學(xué)出版社，2003.

［8］ 于抒，楊澤缸，賈培發(fā).計算機安全監(jiān)控系統(tǒng)的關(guān)鍵技術(shù)研究［J］.計算機工程，2007(12):146－148，152.

［9］ 戴春達，符紅光.WIN32中鉤子的實現(xiàn)技術(shù)及其應(yīng)用［J］.計算機應(yīng)用，2002(8):72－74.