基于環(huán)境感知的安全移動存儲系統(tǒng)設計與實現(xiàn)

王秋晨，王 雷，夏魯寧，荊繼武

（1.中國科學院信息工程研究所，北京100093；2.中國科學院數(shù)據(jù)與通信保護研究教育中心，北京100093；3.信息安全國家重點實驗室，北京100093；4.中國科學院大學，北京100049）

0 引 言

近年來，移動存儲設備作為一種靈活、快捷的存儲介質在企業(yè)機構中被廣泛使用。這些設備中存儲的文件數(shù)據(jù)，很多涉及了企業(yè)的雇員和消費者檔案資料、知識產權、商業(yè)秘密等信息。內部人員如果將存有這些敏感信息的移動存儲設備帶出并在外部場合使用，則存在不慎泄露敏感信息的風險，可能給企業(yè)機構帶來巨大的損失［1］。因此如何更好地管控企業(yè)內部的移動存儲設備、保護設備內的數(shù)據(jù)安全，成為了當前亟待研究解決的問題。目前，針對安全移動存儲設備的研究方案中，主要采用了加密存儲［2，3］和用戶認證［4，5］的方式，保證設備中的信息不被非法使用者竊取，但是并沒有限制合法用戶對于設備的使用。部分針對限制設備使用環(huán)境的研究中，通過在主機上安裝相應的軟件模塊［6］或硬件模塊［7，8］，限制了設備的接入主機，但是這類方案不容易對設備的使用進行監(jiān)控和審計；另外，有學者提出可以通過驗證接入主機IP地址來認證設備的使用環(huán)境［9］，然而，該方案仍不能防止合法使用者將設備帶出公司。鑒于此，本文描述了一種基于環(huán)境感知的安全移動存儲系統(tǒng)，該系統(tǒng)采用了雙射頻RFID（radio frequency identification）的設計，確保移動存儲設備的授權使用、加密存儲、離境告警和可靠銷毀，從而能夠嚴格控制移動存儲設備的安全使用區(qū)域，并在設備被帶離安全使用區(qū)域時，綜合使用告警和密鑰銷毀手段，顯著降低敏感信息經由移動存儲介質外泄的風險。

1 系統(tǒng)功能描述

（1）文件加解密:對系統(tǒng)中的所有文件進行加密存儲，在用戶對系統(tǒng)進行讀、寫操作時進行相應文件的加解密。若存儲設備丟失，非法使用者只能獲取密文數(shù)據(jù)，從而保護設備中重要文件的安全。同時，加解密操作對用戶透明，并且不會改變文件本身的屬性。

（2）用戶管理:管理企業(yè)內部環(huán)境中移動存儲設備的用戶信息，在每個存儲設備初始化時由管理員統(tǒng)一設置用戶名和口令。每個設備可對應多個用戶，后期使用過程中管理員可以對用戶進行添加和刪除。在用戶訪問存儲設備的過程中，對用戶身份進行認證。

（3）文件訪問控制:每個用戶對應一個文件加密密鑰，當用戶創(chuàng)建文件時，利用這個用戶的文件密鑰來加密文件，并為每個文件維護一個訪問控制列表。經過身份認證后，設備只呈現(xiàn)出該用戶的文件，并按照既定的策略對文件進行嚴格的訪問控制，避免由于設備的交叉使用帶來的安全隱患。

（4）主機級別控制:在接入主機的USB（universal serial bus）插座和存儲設備的USB插頭上分別設置主機訪問級別檢測引腳，當存儲設備接入主機時，根據(jù)USB插座上檢測引腳的電平信號來對主機設備的訪問級別進行認證，保證只有符合級別要求的主機才能訪問存儲設備。

（5）環(huán)境管控:在合法接入主機上和管控范圍的出口部署HF（high frequency）射頻讀寫器，利用存儲設備上的HF射頻接口與外部射頻讀寫裝置相互鑒別，保證設備只有在接入了管控范圍內的合法主機的情況下才能進行正常讀寫，若系統(tǒng)被帶出管控范圍，存儲的密鑰將被銷毀。

（6）密鑰管理:設備為每個用戶生成一個文件加密密鑰，用來對該用戶的文件進行加解密，該文件密鑰存儲于設備中的安全存儲區(qū)域，由專門的密鑰管理程序對其進行控制。另外，為了確保密鑰銷毀操作可以安全完成，還需在管控范圍的出口部署UHF（ultra high frequency）射頻讀寫器，從而在存儲設備被帶離管控區(qū)域時，通過設備上的UHF射頻接口遠距離寫入一個離境告警標志，保證設備在下次接入主機時進行可靠銷毀。

2 系統(tǒng)組成

2.1 系統(tǒng)總體結構

基于環(huán)境感知的安全移動存儲系統(tǒng)主要由微控制器、NAND Flash、雙界面CPU卡芯片、UHF射頻標簽芯片和天線組成，如圖1所示，系統(tǒng)一方面通過USB接口與接入主機通信，另一方面通過兩個射頻接口分別與HF射頻讀寫器和UHF射頻讀寫器通信。

圖1 系統(tǒng)總體結構

（1）微控制器:微控制器是系統(tǒng)的控制中心，它通過USB接口與接入主機進行通信，執(zhí)行對主機的訪問級別控制，并配合接入主機的接口程序，對用戶身份進行認證。微控制器的另一個重要任務是利用7816接口與雙界面CPU卡芯片進行通信，完成環(huán)境認證與數(shù)據(jù)讀寫的聯(lián)動，并在各項認證都完成后執(zhí)行對文件的訪問控制和高速的文件數(shù)據(jù)加解密操作。

（2）NAND Flash:用戶的文件數(shù)據(jù)以密文的形式安全地存儲在NAND Flash之中，F(xiàn)lash的存儲單元組織形式采用FAT文件系統(tǒng)，微控制器內有專門的控制程序對其進行控制。

（3）雙界面CPU卡芯片:作為一個安全芯片存儲了系統(tǒng)的所有安全信息，包括系統(tǒng)狀態(tài)、系統(tǒng)主密鑰、系統(tǒng)支持的主機級別和用戶信息（用戶名、口令和該用戶的文件加密密鑰），這些信息大都在進行初始化操作時設置或生成。另外，雙界面CPU卡芯片還負責接收并執(zhí)行來自微控制器的各種命令，包括對系統(tǒng)狀態(tài)、系統(tǒng)支持的主機級別、用戶口令的查詢與驗證以及對當前環(huán)境進行認證的命令。該芯片在HF射頻讀寫器的讀寫距離內與其進行通信，以進行環(huán)境認證和近距離的密鑰銷毀。

（4）UHF射頻標簽芯片:UHF射頻標簽芯片實際上也是一個雙界面的芯片，其射頻接口符合ISO 18000－6C協(xié)議，用來與UHF射頻讀寫器進行通信；另外該芯片還帶有一個I2C接口，可以與微控制器相連。在存儲設備被帶離管控區(qū)域時，一旦進入UHF射頻讀寫器的讀寫范圍（5m），讀寫器就向該標簽芯片遠距離寫入一個離境告警標志；當設備在下次接入主機時，微控制器首先會檢測UHF射頻標簽芯片中是否有上述告警標志，若有則控制雙界面CPU卡芯片進行可靠的密鑰銷毀。

（5）HF射頻讀寫器:HF射頻讀寫器的工作頻率為13.56MHz，支持ISO 14443協(xié)議，讀寫距離在10cm以內。與系統(tǒng)進行通信的HF射頻讀寫器包括3類:首先是由初始化主機控制的初始化讀寫器，用來對系統(tǒng)進行必要的初始化操作；其次是由運行使用區(qū)環(huán)境認證程序的服務器控制的使用區(qū)讀寫器，部署在管控范圍內的合法主機上，在用戶有數(shù)據(jù)讀寫請求時進行環(huán)境認證；最后是由運行警戒區(qū)環(huán)境認證程序的服務器控制的警戒區(qū)讀寫器，部署在管控范圍的出口，在系統(tǒng)被帶離管控范圍時進行近距離的密鑰銷毀。

（6）UHF射頻讀寫器:UHF射頻讀寫器的工作頻率為860MHz－960MHz，支持ISO 18000－6C協(xié)議，讀寫距離可達到5m。與系統(tǒng)進行通信的UHF射頻讀寫器由運行遠距離設備識別程序的服務器控制，該讀寫器同樣部署在管控范圍的出口，在系統(tǒng)被帶離管控范圍時進行離境告警標志的寫入。

2.2 系統(tǒng)模塊

為了實現(xiàn)移動存儲系統(tǒng)與接入主機的安全交互，需要考慮硬件芯片和軟件實現(xiàn)的安全關聯(lián)和功能分配。一個可行的系統(tǒng)模塊設計方案如圖2所示，主機部分主要是指用戶界面的交互；安全移動存儲系統(tǒng)部分由主控模塊和安全模塊組成，其中主控模塊在硬件上基于微控制器，包含鑒別、訪問控制和文件加解密幾個子模塊，安全模塊在硬件上基于雙界面CPU卡芯片和UHF射頻標簽芯片，包含環(huán)境管控和信息管理兩個子模塊；射頻讀寫器部分由HF射頻讀寫器模塊和UHF射頻讀寫器模塊組成，其中HF射頻讀寫器模塊又分為初始化、環(huán)境認證和近距離密鑰銷毀幾個子模塊。

圖2 模塊設計

主機、安全移動存儲設備和射頻讀寫器的各個模塊相互配合，共同實現(xiàn)系統(tǒng)的各項功能。系統(tǒng)模塊與安全功能的對照見表1。

3 系統(tǒng)流程設計

3.1 初始化

管理員在初始化主機上對安全移動存儲系統(tǒng)進行必要的初始化操作。為了保證系統(tǒng)接收到的初始化信息的真實性和完整性，在設置好系統(tǒng)主密鑰后，所有由初始化主機導入的數(shù)據(jù)都添加了HMAC校驗值，系統(tǒng)對數(shù)據(jù)校驗成功后才將相應的初始化信息存儲于系統(tǒng)的安全區(qū)域。

（1）每一個安全移動存儲系統(tǒng)都有一個唯一ID號，在出廠時寫入系統(tǒng)內部。初始化主機首先請求系統(tǒng)的這個唯一ID，根據(jù)該ID生成系統(tǒng)主密鑰并傳入系統(tǒng)，用于后續(xù)的環(huán)境管控。主密鑰的生成方法為:初始化主機擁有一個根密鑰，用根密鑰加密每個系統(tǒng)的ID即得到系統(tǒng)主密鑰。之后，管理員設置管理員口令，并根據(jù)該存儲設備的用途為其設定支持的主機級別。

（2）新用戶加入系統(tǒng)時需要進行注冊，由管理員統(tǒng)一設置用戶名和口令等信息，同時需要其輸入管理員口令以證明自己的身份。隨后，系統(tǒng)會驗證管理員口令的正確性，若正確則接受新注冊用戶的信息，并為該用戶生成一個文件加密密鑰，專門用于對該用戶文件的加解密。

表1 系統(tǒng)模塊與安全功能的對照

3.2 系統(tǒng)狀態(tài)檢查

（1）狀態(tài)標志檢查:系統(tǒng)內部維護了一個指示其當前狀態(tài)的標識（出廠、鎖定、激活、銷毀），例如，經過上述初始化操作后，系統(tǒng)將由出廠狀態(tài)變?yōu)殒i定狀態(tài)。每當系統(tǒng)接入一臺主機時，首先進行該狀態(tài)標志的檢查，只有當前狀態(tài)為鎖定或激活時，才能繼續(xù)使用；若當前狀態(tài)為出廠狀態(tài)，則提示用戶通知管理員進行初始化；若當前狀態(tài)為銷毀狀態(tài)，則向用戶告警該設備已經被銷毀。

（2）離境告警標志檢查:為了防止用戶因疏忽將系統(tǒng)帶出管控區(qū)域，并因此饒過了HF射頻讀寫器的檢測和銷毀，系統(tǒng)還需要檢測UHF射頻標簽中是否有由UHF射頻讀寫器遠距離寫入的離境告警標志，若存在該標志，而系統(tǒng)當前狀態(tài)并不是銷毀，則進行相應的密鑰銷毀操作，并將系統(tǒng)狀態(tài)設置為銷毀。

3.3 主機訪問級別控制

（1）主機級別讀取:由于接入主機的USB插座和存儲設備的USB插頭上都設置有主機訪問級別檢測引腳，當USB插頭和插座連接后，微控制器通過電平檢測電路讀取USB插座上檢測引腳的電平值，從而獲取該主機的訪問級別信息。該引腳默認的電平值為高電平，當接入主機為引腳提供低電平時，微控制器將檢測到低電平。

（2）訪問級別控制:微控制器將檢測到的主機訪問級別信息傳入雙界面CPU卡芯片。由于系統(tǒng)在初始化時就已經由管理員設定了支持的主機級別，雙界面CPU卡芯片將當前接入主機的級別信息和系統(tǒng)支持的主機級別作對比，并將結果傳回微控制器。若驗證通過，微控制器才允許接入主機訪問存儲系統(tǒng)，否則提示設備不支持當前級別主機的訪問。

3.4 用戶身份認證

對主機訪問級別驗證通過后，接入主機上會彈出用戶交互界面，提示用戶輸入用戶名和口令。系統(tǒng)對接收到的用戶名和口令信息進行驗證，若與之前存儲的用戶信息一致，則認證成功。經過身份認證之后，將為用戶呈現(xiàn)操作界面，該界面僅列出屬于該用戶的文件，用戶可以直接以操作U盤的方法來操作，后續(xù)的環(huán)境認證和文件加解密對用戶是透明的。

3.5 環(huán)境認證與數(shù)據(jù)讀寫

用戶身份認證通過后，就會發(fā)起對其文件的數(shù)據(jù)讀寫請求。此時，微控制器會通知雙界面CPU卡芯片進行環(huán)境認證，也就是與部署在管控范圍內的合法主機（當前接入主機）上的HF射頻讀寫器進行雙向鑒別。

（1）環(huán)境認證:安全移動存儲系統(tǒng)與使用區(qū)HF射頻讀寫器的雙向鑒別采用實體鑒別國標（GB/T 15843.2—2008/ISO/IEC 9798－2:1999）中的對稱加密算法機制，具體的鑒別方案如圖3所示。首先HF射頻讀寫器產生一個挑戰(zhàn)隨機數(shù)RA并發(fā)送給安全移動存儲系統(tǒng)，以發(fā)起認證請求；雙界面CPU卡芯片只有在收到微控制器的環(huán)境認證通知的情況下，才響應讀寫器的認證請求，生成另外一個隨機數(shù)RB，然后利用系統(tǒng)ID、RA、RB和系統(tǒng)主密鑰計算出TokenBA，并發(fā)送給HF射頻讀寫器；讀寫器一旦收到包含TokenBA的消息，則利用根密鑰加密ID得到系統(tǒng)主密鑰，從而將加密部分解密，得到明文后檢驗ID的正確性，并比較解密得到的隨機數(shù)是否與（1）中發(fā)送的挑戰(zhàn)隨機數(shù)一致，以驗證TokenBA，驗證通過后產生并向移動存儲系統(tǒng)發(fā)送TokenAB，以激活系統(tǒng)；系統(tǒng)收到包含TokenAB的消息后，將加密部分解密，同時檢驗RA、RB和ID的正確性。此時，系統(tǒng)已經完成與讀寫器的雙向鑒別，若上述各項驗證通過，則系統(tǒng)確定了自身確實接入了管控范圍內的合法主機，于是執(zhí)行激活命令，系統(tǒng)進入激活狀態(tài)。

圖3 系統(tǒng)與使用區(qū)HF射頻讀寫器的雙向鑒別

（2）數(shù)據(jù)讀寫:雙界面CPU卡芯片將上述環(huán)境認證的結果返回到微控制器。若認證失敗，則拒絕用戶的數(shù)據(jù)讀寫請求，并在界面上提示當前環(huán)境下不允許使用該存儲設備；若認證成功，才可進行后續(xù)的訪問控制和文件讀寫等，具體過程如下:當用戶請求操作某文件時，微控制器將用戶的操作級別與其對文件的訪問權限進行比較，根據(jù)訪問控制策略做出判斷，允許或拒絕當前操作。若操作符合訪問權限規(guī)定，微控制器向雙界面CPU卡芯片請求該用戶的文件加密密鑰，并按照用戶的要求進行文件的讀寫。當執(zhí)行的是文件數(shù)據(jù)讀取操作時，微控制器首先從NAND Flash中獲取密文數(shù)據(jù)，然后對數(shù)據(jù)進行解密并向主機返回用戶請求的明文文件；當執(zhí)行的是文件數(shù)據(jù)寫入功能時，首先利用密鑰對數(shù)據(jù)進行加密，然后將密文數(shù)據(jù)寫入NAND Flash。這里需要注意的是，雙界面CPU卡芯片每次向微控制器提供文件加密密鑰之后，會將系統(tǒng)狀態(tài)設置為鎖定，下一次讀寫操作（微控制器下一次請求文件加密密鑰）時需要重新進行環(huán)境認證。

3.6 環(huán)境認證與密鑰銷毀

當被帶離管控范圍時，系統(tǒng)會與部署在管控范圍出口的射頻讀寫器通信，進行密鑰銷毀操作。該過程中，系統(tǒng)首先會進入UHF射頻讀寫器的讀寫范圍（5m），然后進入HF射頻讀寫器的讀寫范圍（10cm）。

（1）UHF射頻通信:當UHF射頻讀寫器檢測到有安全移動存儲系統(tǒng)經過時，立即通過存儲設備上的UHF射頻接口遠距離寫入離境告警標志，保證設備在下次接入主機時進行可靠的密鑰銷毀。

（2）HF射頻通信:當系統(tǒng)進入警戒區(qū)HF射頻讀寫器的讀寫范圍后，HF射頻讀寫器會發(fā)起雙向鑒別請求。此時的環(huán)境認證機制同樣采用3.5節(jié)中描述的雙向鑒別方案，這里不再贅述。唯一不同的是，一旦收到來自于警戒區(qū)HF射頻讀寫器的認證請求，系統(tǒng)會立即無條件響應該請求。雙向鑒別完成后，若其中各項驗證都通過，系統(tǒng)確認自身正在被帶離限定的管控區(qū)域，于是執(zhí)行密鑰銷毀指令，雙界面CPU卡芯片將刪除其內部存儲的各類密鑰和初始化信息，并將系統(tǒng)狀態(tài)設置為銷毀。

4 系統(tǒng)實現(xiàn)與測試

4.1 系統(tǒng)實現(xiàn)

（1）主機部分用戶交互界面:在Visual Studio 2012中，基于MFC在Windows系統(tǒng)上實現(xiàn)了主機部分的用戶交互界面。操作流程為:用戶將安全移動存儲系統(tǒng)的USB接口接入主機的USB插座上，該交互界面則會自動彈出；用戶輸入正確的用戶名和口令信息后，點擊登錄，即可進入僅列出屬于該用戶的文件的視圖。

（2）系統(tǒng)主體的軟硬件實現(xiàn):為了滿足系統(tǒng)的各項功能要求，在本系統(tǒng)的硬件實現(xiàn)中，微控制器選用飛思卡爾公司的MK60FX512VLQ12（R），NAND Flash選用三星公司的K9 MDG08U5M，雙界面CPU卡芯片選用英飛凌公司的SLE 78CLFX3007P（M），UHF射頻標簽芯片選用英頻杰公司的Monza X－2K Dura。按照上述的系統(tǒng)設計方案，我們在Keil u Vision V4.7中，采用C語言，在這些硬件芯片之上進行了相應的軟件開發(fā)，實現(xiàn)了安全移動存儲設備的原型系統(tǒng)。

（3）射頻讀寫器的控制:為了控制HF射頻讀寫器和UHF射頻讀寫器，需要在讀寫器的控制機上開發(fā)相應的接口程序。對于HF射頻讀寫器，涉及到的控制命令較多，我們采用C＋＋編程語言，根據(jù)微軟的PC/SC規(guī)范，調用該規(guī)范中的一些標準API接口，分別實現(xiàn)了初始化程序、使用區(qū)環(huán)境認證程序和警戒區(qū)環(huán)境認證程序。對于UHF射頻讀寫器，相應的控制命令比較簡單，僅需要一個遠距離設備識別程序實現(xiàn)離境告警標志的寫入即可。

4.2 系統(tǒng)測試

為了測試系統(tǒng)的各項功能和穩(wěn)定性，我們部署了上述系統(tǒng)的測試環(huán)境，如圖4所示，測試環(huán)境包括一個安全移動存儲系統(tǒng)、一臺初始化主機、3臺讀寫器控制機（分別控制使用區(qū)HF射頻讀寫器、警戒區(qū)HF射頻讀寫器和警戒區(qū)UHF射頻讀寫器）、兩個HF射頻讀寫器、一個UHF射頻讀寫器和一臺測試主機。

在上述測試環(huán)境下，對系統(tǒng)的各項功能和讀寫操作性能進行了反復測試，達到了預期的效果。表2列出了對原型系統(tǒng)的實驗方法和結果。

實驗結果表明，我們實現(xiàn)的安全移動存儲系統(tǒng)達到了設計要求，成功地實現(xiàn)了文件加解密、用戶管理、文件訪問控制、主機級別控制、環(huán)境管控和密鑰管理六大功能，具有較好的穩(wěn)定性；系統(tǒng)操作簡潔，易于使用，附加的安全功能不會對用戶對于文件的操作產生任何影響，每次讀寫操作都能夠較快地完成，可以很好地滿足實際應用的需求。

圖4 系統(tǒng)的測試環(huán)境

表2 主要測試內容和結果

4.3 安全性分析

（1）文件加密存儲和嚴格的密鑰管理保障數(shù)據(jù)安全:移動存儲設備面臨的最大安全威脅是文件數(shù)據(jù)被非法獲取，通過文件的加密存儲，配合用戶身份認證，可以有效地防止非法用戶獲取明文數(shù)據(jù)。同時，密文的解密需要文件解密密鑰，而該密鑰安全地存儲于雙界面CPU卡芯片之中，并對密鑰進行了嚴格地管理。這里對密鑰的訪問控制體現(xiàn)在兩個方面:首先，對密鑰的訪問需要進行Pin碼驗證；其次，只有采用開發(fā)者自己定義的合法接口，并且滿足特定的條件（如環(huán)境認證通過，系統(tǒng)被激活）時才能獲取密鑰。這種密鑰管理方案可以防止攻擊者偽造一些射頻或7816命令來盜取密鑰。

（2）級別與權限控制防止合法用戶非法獲取文件:通過對主機級別的控制，杜絕了高級別存儲設備被低級別主機（用戶）訪問的可能。另外，對文件的訪問控制保證了，即使系統(tǒng)擁有多個用戶，每個用戶卻只能按照既定的訪問控制策略訪問屬于自己的文件，從而避免了由于設備的交叉使用帶來的安全隱患。

（3）HMAC機制保護交互數(shù)據(jù)的完整性:系統(tǒng)與外部設備進行交互時，如管理員通過初始化設備對系統(tǒng)進行初始化操作期間，存在一定的安全威脅。首先這些交互數(shù)據(jù)有可能被攻擊者篡改；其次，攻擊者也可能偽造一臺設備對系統(tǒng)進行部分初始化信息的設定。為了防止上述威脅，在初始化設備與系統(tǒng)交互的數(shù)據(jù)中添加了HMAC校驗值，系統(tǒng)對數(shù)據(jù)校驗成功后才接受這些初始化信息，從而保證了交互數(shù)據(jù)的真實性和完整性。

（4）雙射頻環(huán)境感知機制保證密鑰可靠銷毀:系統(tǒng)最顯著的特性是對使用環(huán)境的感知，保證自身只能在管控區(qū)域內的合法主機上使用，超出管控范圍，密鑰將被銷毀，這種環(huán)境感知的機制［10］曾被用于保護手機中的敏感信息。但是，基于HF射頻技術的環(huán)境管控中，射頻讀寫距離只能達到10cm，那么在管控范圍的出口，合法用戶有可能因疏忽忘記向HF射頻讀寫器出示存儲系統(tǒng)，造成銷毀操作無法完成。而UHF射頻通信協(xié)議的讀寫距離可以達到5m，通過兩種射頻技術的結合，保證了系統(tǒng)被帶離管控范圍時，密鑰可以被可靠地銷毀。

5 結束語

本文設計的基于環(huán)境感知的安全移動存儲系統(tǒng)，將加解密、射頻識別和實體鑒別技術相結合，可以有效地保障存儲設備內的數(shù)據(jù)安全。系統(tǒng)測試效果良好，可以確保只有授權的用戶在管控區(qū)域內的合法主機上才能使用設備，并對不同用戶和不同級別主機的訪問進行了控制；相對于目前常見的加密U盤，本系統(tǒng)獨有的雙射頻環(huán)境感知機制，可以保證在系統(tǒng)被帶離管控區(qū)域時，密鑰被安全地銷毀。該系統(tǒng)可以應用于各企業(yè)機構，從而更好地管控企業(yè)內部使用的移動存儲設備，保證內部環(huán)境的信息安全。

［1］Study:Companies lose millions from missing memory sticks［EB/OL］.［2013－06－26］.http://www.cio.com.au/article/396622/study＿companies＿lose＿millions＿from＿missing＿memory＿sticks/.

［2］Li Yamin，Shi Lin.Design and implementation of encryption filter driver for USB storage devices［C］//IEEE Fourth International Symposium on Computational Intelligence and Design，2011:356－359.

［3］Chen Hanlin.The single－chip solution of embedded USB encryptor［C］//IEEE International Conference on Information Theory and Information Security，2010:42－45.

［4］Yang Fuw－Yi，Wu Tzung－Da，Chiu Su－Hui.A novel mutual authentication scheme for USB storage devices［C］//Proceedings of the 11th International Conference on Information Integration and Web－based Applications ＆Services，2009:410－413.

［5］Lee Sun－Ho，Yim Kang－Bin，Lee Im－Yeong.A secure solution for USB flash drives using FAT file system structure［C］//13th International Conference on Network－Based Information Systems，2010:487－492.

［6］LI Wei，LIU Jiayong.A security method based on boot sector of logic partition for removable storage medium［J］.Journal of Chengdu University of Information Technology，2007，22（1）:92－97（in Chinese）.［李為，劉嘉勇.一種基于分區(qū)引導扇區(qū)控制的移動存儲介質安全控制方法［J］.成都信息工程學院學報，2007，22（1）:92－97.］

［7］Kevin RB Butler，Stephen E Mc Laughlin，Patrick D McDaniel.Protecting portable storage with host validation［C］//Pro－ceedings of the 17th ACM Conference on Computer and Communications Security，2010:651－653.

［8］Kevin RB Butler，Stephen E Mc Laughlin，Patrick D McDaniel.Kells:A protection framework for portable data［C］//Proceedings of the 26th Annual Computer Security Applications Conference，2010:231－240.

［9］Takesue Masaru.A scheme for protecting the information leakage via portable devices［C］//The International Conference on Emerging Security Information，Systems，and Technologies，2007:54－59.

［10］Seifert Julian，De Luca Alexander，Conradi Bettina，et al.TreasurePhone:Context－sensitive user data protection on mobile phones［C］//Proceedings of Pervasive Computing，2010:130－137.