如何確保U盤數(shù)據(jù)安全

　　如圖6所示，在“個(gè)人存儲(chǔ)加密U盤”部分，其硬件不必修改就能直接使用。唯一要修改的是支持額外的分區(qū)。此外，存儲(chǔ)在CD-ROM應(yīng)用的程序，可能需要提供除了SecureApp以外的功能，像是以可打印的格式顯示醫(yī)療紀(jì)錄。

　　銀行業(yè)的加密U盤

　　大家熟悉的網(wǎng)絡(luò)銀行風(fēng)險(xiǎn)包括鍵盤記錄器(key loggers)、屏幕閱讀器(screen readers)、root-kit賬號(hào)竊取、殭尸程序(botnets)、木馬程序(Trojan)、間諜程序(spyware)、惡意軟件(malware)、網(wǎng)絡(luò)釣魚(phishing)等，都會(huì)對(duì)使用者PC造成危害，避免這些危險(xiǎn)的方法就是在一個(gè)無感染的操作系統(tǒng)環(huán)境中進(jìn)行操作。大多數(shù)新款的PC和筆記本都支持U盤開機(jī)的功能，用戶不必啟動(dòng)系統(tǒng)硬盤上的操作系統(tǒng)就能完成開機(jī)并使用計(jì)算機(jī)。這種操作系統(tǒng)開機(jī)程序相當(dāng)快速，而且處在只讀模式，除了存放在U盤內(nèi)的程序外，其他軟件都無法安裝或執(zhí)行。圖7顯示這種架構(gòu)的例子。它含有以下各種單元/功能:

　　1. USB Mass Storage Class(MSC) 管理

　　2. 存儲(chǔ)介質(zhì)管理

　　3. 指紋傳感器 (選配)

　　4. 唯一ID

　　5. 防止修改

　　6. 加密單元

　　USB Mass Storage Class (MSC)管理：對(duì)于從U盤開機(jī)的PC/筆記本而言，U盤必須兼容USB Mass Storage class。U盤必須枚舉成只讀設(shè)備。這樣可以保護(hù)操作系統(tǒng)與磁盤，避免遭到故意或無意的毀損。

　　存儲(chǔ)介質(zhì)管理：使用的存儲(chǔ)介質(zhì)包括NAND Flash或SD-MMC的Managed NAND。介質(zhì)應(yīng)分割出一個(gè)只讀分區(qū)，用來存儲(chǔ)操作系統(tǒng)，另外還須分割出一個(gè)隱藏分區(qū)，用來存儲(chǔ)例如服務(wù)器ID、用戶ID、指紋數(shù)據(jù)等機(jī)密數(shù)據(jù)。任何從USB主控端嘗試對(duì)只讀分區(qū)進(jìn)行的存取動(dòng)作，或者對(duì)隱藏分區(qū)進(jìn)行的讀/寫動(dòng)作，都會(huì)被存儲(chǔ)媒體管理單元擋下。隱藏分區(qū)僅能從設(shè)備內(nèi)部存取。針對(duì)隱藏分區(qū)中存儲(chǔ)的機(jī)密數(shù)據(jù)進(jìn)行加密，也是不錯(cuò)的防護(hù)方法。　　

 

　　指紋傳感器：由U盤來執(zhí)行存取銀行服務(wù)器的動(dòng)作，但在開始前，首先必須驗(yàn)證用戶身份。例如要求輸入密碼(PIN標(biāo)識(shí)符)、指紋等信息。指紋傳感器比密碼防護(hù)法更加安全，但成本相對(duì)較高。用戶提供的密碼/指紋信息，會(huì)與隱藏區(qū)塊中的信息進(jìn)行比對(duì)。

　　考慮到銀行應(yīng)用所要求的安全等級(jí)，U盤必須具有防修改與防復(fù)制的功能。要防止設(shè)備復(fù)制，可在設(shè)備硬件中加入一個(gè)唯一ID，也可采用電池供電的設(shè)計(jì)，讓U盤具有防修改功能。這種機(jī)制一旦偵測(cè)到任何未經(jīng)授權(quán)的活動(dòng)，就會(huì)刪除U盤內(nèi)的所有數(shù)據(jù)。