大多數(shù)普通安全U盤通過使用軟件實現(xiàn)安全U盤加密功能。在使用過程中，用戶需要打開專用的U盤瀏覽器或管理工具等，不但操作不方便，而且不符合USB設備使用習慣和人性化設計。

　　本文通過對驅(qū)動層硬件插拔（PNP）的研究，PNP是由Microsoft提出的，英文Plug and play的縮寫，中譯即插即用，意思是系統(tǒng)自動偵測周邊設備和板卡并自動安裝設備驅(qū)動程序，作到插上就能用，無須人工干預，是Windows自帶的一項技術。所謂即插即用是指將符合PNP標準的PC插卡等外圍設備安裝到電腦時，操作系統(tǒng)自動設定系統(tǒng)結(jié)構(gòu)的技術。這就是說，當用戶安裝新的硬件時，不必再設置任何跳線器開關，也不必用軟件配置中斷請求（IRQ）、內(nèi)存地址或直接存儲器存?。―MA）通道，Windows會向應用程序通知硬件設備的新變化，并會自動協(xié)調(diào)IRQ、內(nèi)存地址和DMA通道之間的沖突。

　　在分析了Windows DDK/FSD驅(qū)動開發(fā)技術、卷上過濾驅(qū)動技術，提出了在Windows系統(tǒng)插入USB設備時，自動掛載符合規(guī)定卷格式的USB設備，映射為本地磁盤，USB（Universal Serial Bus）即“通用串行總線”是一種應用在計算機領域的新型接口技術。USB的拓撲結(jié)構(gòu)中居于地位的是Host（也稱為主機）。任何USB的數(shù)據(jù)傳輸都必須由主機來發(fā)起和控制，所有的USB外設都只能和主機建立連接，任何兩個外設之間或是兩個主機之間無法直接通信。而目前，大量的扮演主機角色的是個人電腦PC。隨著USB應用領域的逐漸擴大，對于USB的期望也越來越高。我們希望USB能應用在各種計算機領域中，希望能通過PDA等移動設備直接和USB外設通信，使得USB能應用在沒有PC的領域中。

　　1 原理與架構(gòu)

　　系統(tǒng)分為驅(qū)動層和應用層，驅(qū)動層包括一個卷過濾驅(qū)動程序和一個文件系統(tǒng)過濾驅(qū)動；應用層包括一個應用程序和與驅(qū)動交互的dll。應用層是隱藏界面的應用程序。卷過濾驅(qū)動對USB盤的（PNP）動作識別，讀移動硬盤卷的頭為512 B，對特定標識識別，如果不符合卷標示，則可采用禁用或放行等；如果符合卷格式和標識，則對此卷進行映射。

　　普通U盤使用前需要格式化，物理U盤上的數(shù)據(jù)是隨機的數(shù)值。密碼算法采用基于口令的密碼系統(tǒng) （RFC2898），口令和鹽（salt）結(jié)合產(chǎn)生密鑰。鹽可看作是對口令導出的一個大密鑰集合的索引。鹽和迭代次數(shù)構(gòu)成了PKCS#5v1.5中基于口令加密基礎。系統(tǒng)總體架構(gòu)序列圖如圖1所示。

　　加密算法可采用AES-256、Serpent、Twofish等，解密時通過判斷廠商標識以及CRC-32校驗和是否正確，在此過程中在權(quán)限注冊區(qū)讀入相應的注冊信息，如GUID和廠商標識等。如上述過程正確，則執(zhí)行正確的卷映射過程。

　　2 研究與實現(xiàn)

　　系統(tǒng)應用層主要由三個線程組成，主線程是應用程序，剩下卷映射線程和卸下卷（unmount）線程分別用來在USB存儲設備做PNP時對本地盤進行卷映射和卸下卷。線程和驅(qū)動層采用事件通信機制。本系統(tǒng)定位于移動存儲設備，包括移動硬盤、U盤及移動存儲卡等移動存儲介質(zhì)。密文區(qū)是從內(nèi)部可信計算機拷貝數(shù)據(jù)到USB存儲設備，數(shù)據(jù)在后臺加密處理后存放的區(qū)域；權(quán)限注冊區(qū)則寫入GUID和必要的廠商、運行權(quán)限、內(nèi)外網(wǎng)策略等。

　　卷映射線程收到底層USB的PNP動作時，首先得到運行環(huán)境，根據(jù)運行環(huán)境得到USB存儲設備讀寫權(quán)限，然后根據(jù)相關密碼、密鑰等參數(shù)通過DEVICEIOCONTROL通知驅(qū)動創(chuàng)建本地虛擬盤，廣播DBT_DEVICEARRIVAL消息通知操作系統(tǒng)。

　　集中注冊與授權(quán)，使用前必須經(jīng)過授權(quán)中心統(tǒng)一注冊與授權(quán)，包括格式化、實名注冊、標識密級、指定授權(quán)計算機、是否采用口令保護等。授權(quán)后的移動存儲介質(zhì)在涉密計算機上能正常使用，當未授權(quán)的移動存儲設備接入計算機時，系統(tǒng)可自動關閉USB端口，使未授權(quán)移動存儲介質(zhì)無法在涉密計算機上使用。

　　對于正確安裝了移動存儲安全系統(tǒng)客戶端的計算機，客戶端自動上報該機狀態(tài)，完成到控制臺服務器注冊功能，有效防止非法用戶安裝客戶端程序。靈活的注冊策略，可設定移動存儲介質(zhì)允許的計算機或組；管理員可隨時更改移動存儲介質(zhì)注冊策略和信息，包括遠程策略變更、掛失和注銷等；外出拷貝功能是將COPY到U盤內(nèi)安全存儲的數(shù)據(jù)與外界沒有安裝客戶端程序的計算機進行數(shù)據(jù)交互使用。

　　應用層完成對移動存儲設備的格式化工作。對卷起始位置寫入密碼、校驗和等信息，提供了FAT32和NTFS兩種文件系統(tǒng)格式。在驅(qū)動中對移動存儲設備做卷映射，創(chuàng)建類型為FILE_DEVICE_DISK卷過濾驅(qū)動，使用不同的盤符。在IRP_MJ_WRITE和IRP_MJ_READ請求例程中進行加解密。在IRP_MJ_WRITE分發(fā)例程中把相關的IRP存入隊列。在新創(chuàng)建的系統(tǒng)線程內(nèi)進行卷加密。在IRP_MJ_READ中進行解密。

　　注冊主要由應用層注冊工具完成，可由用戶選擇FAT32或NTFS格式。注冊流程如下：訪問移動存儲盤，輸入需要注冊信息。注冊信息包括：移動存儲盤密碼、標簽名、安全等級、客戶標識名、分區(qū)個數(shù)、內(nèi)網(wǎng)移動存儲策略、外網(wǎng)移動存儲策略、1~5等級的移動存儲策略。

　　插入安全U盤后，得到處理環(huán)境信息：是否為有效設備、是否有客戶端代理、客戶標識匹配、在內(nèi)網(wǎng)否、安全等級是否1~5，然后決定應用不同策略。驅(qū)動只要掛載存儲卷的UpperFilter即可完成卷的加解密任務。

　　在PnP技術出現(xiàn)之前，中斷和I/O端口的分配是由人手工進行的，您想要這塊聲卡占用中斷5，就找一個小跳線在卡上標著中斷5的針腳上一插。這樣的操作需要用戶了解中斷和I/O端口的知識，并且能夠自己分配中斷地址而不發(fā)生沖突，對普通用戶提出這樣的要求是不切實際的。PnP技術就是用來解決這個問題的，PnP技術將自動找到一個不沖突的中斷和I/O地址分配給外部設備，而完全不需要人工干預。但是如果您讀懂了上面關于中斷沖突的那一部分，您就應該了解，在中斷資源非常緊張的今天，即使是PnP技術，也不一定能找到一個合適的中斷分配給您剛剛插入的設備，所以盡量釋放那些沒有必要的中斷，對PnP正常工作也是很有幫助的。

　　卷過濾驅(qū)動在IRP_MJ_PNP請求時監(jiān)控設備的插拔消息，程序判斷是否是指定的卷格式，如發(fā)現(xiàn)是移動存儲設備，則用DeviceIoControl與驅(qū)動層通信。通過對新加卷的監(jiān)控，實現(xiàn)對移動存儲設備的加解密。應用層通過DeviceIoControl與應用層的通信獲得用戶密鑰和權(quán)限策略。

　　在文件系統(tǒng)驅(qū)動層映射卷的流程如下：應用程序調(diào)用ZwCreateFile或IoCreateFileSpecifyDeviceObjectHint，I/O管理器確定請求的目標是哪個邏輯卷，檢查是否設置了VPB_MOUNTED。如此卷在系統(tǒng)引導后未被卷映射，則I/O管理器發(fā)送卷映射請求（IRP_MN_MOUNT_VOLUME）。

　　對移動存儲設備的格式化可分為FAT32和NTFS兩種格式。卷過濾驅(qū)動監(jiān)控系統(tǒng)的PNP行為，如移動介質(zhì)頭512 B符合卷頭格式，則使用事件通知應用層對移動介質(zhì)卷映射，卷映射線程將相關參數(shù)（盤符、密碼、磁盤屬性）等傳遞到文件系統(tǒng)驅(qū)動，創(chuàng)建一個FILE_DEVICE_DISK類型的過濾設備；然后創(chuàng)建一個線程，在線程中應用ZwCreateFile打開卷設備Handle，讀取卷頭信息，對卷頭信息進行驗證，如驗證卷頭信息成功，則創(chuàng)建相應盤符的符號鏈接；對USB設備加密模式為XTS；卸下卷線程接到拔下USB存儲器通知事件后，對相應盤符進行卸載，清理相關資源。

　　應用層包括對卷格式化功能，對移動USB設備合法性驗證、得到USB運行環(huán)境信息、根據(jù)策略信息對USB設備進行讀寫、禁用等控制。在USB設備上單開辟一個區(qū)域，用來存取注冊信息以及寫入注冊信息和讀取注冊信息，生成GUID寫入USB設備的標示，完成卷映射功能。

　　安全U盤總體設計序列圖如圖2所示。

　　在PNP發(fā)生時，驅(qū)動層和應用層通過事件進行通信。對卷映射和卸下卷過程各啟動一個線程等待PNP事件發(fā)生。首先驗證卷頭格式，卷頭信息讀到RAM中。卷頭64 B是生成密鑰所需的鹽（salt），驅(qū)動層解密讀入的標準卷頭、解密過程中的所有數(shù)據(jù)保存在RAM中。在此過程中需要得到如下參數(shù)：

　　卷頭導出函數(shù)用的PRF參數(shù)（見PKCS #5 v2.0）可為：HMAC-SHA-512、HMAC_RIPEMD-160等；廠商標示密碼和讀入的鹽值傳給卷頭密鑰導出函數(shù)，生成頭解密密鑰和扇區(qū)解密密鑰；使用的加密算法為AES-256；解密時對照廠商標示密碼及校驗和，密鑰用來解密卷上的扇區(qū)。

　　主要數(shù)據(jù)結(jié)構(gòu)和參數(shù)如下：

　?。?）卷映射數(shù)據(jù)結(jié)構(gòu)

　　typedef  struct

　　{

　　Int    nReturnCode；                //底層sys返回碼

　　Short      wszHsVolume[MAX_PATH]；        //卷名稱

　　Password   VolumePassword；            //用戶密碼

　　BOOL      bCache；//是否在驅(qū)動中緩存密碼

　　Int          nDosDriveNo；    //需要卷映射的盤符號

　　Int          BytesPerSector；                //扇區(qū)字節(jié)數(shù)

　　BOOL      bSystemVolume；        //是否為系統(tǒng)卷

　　BOOL      bPersistenVolume；    //是否為隱藏卷

　　BOOL      bMountReadOnly；//是否映射為隱藏卷格式

　　BOOL      bMountRemovable；//是否映射為可移動

　　//存儲設備

　　} MOUNT_STRUCT；

　　（2）設備信息結(jié)構(gòu)

　　typedef struct _SECDEVICEINFO

　　{

　　CHAR    szProvider[SD_MAX_PROVIDER_LEN]；

　　//設備提供者名稱

　　DWORD  dwDeviceType；        //設備類型

　　CHAR    szDeviceID[SD_MAX_DEVICE_ID_LEN]；

　　//設備標識

　　__int64  dwDeviceCapacity；            //設備容量

　　} SECDEVICEINFO， *PSECDEVICEINFO；

　?。?）策略數(shù)據(jù)結(jié)構(gòu)

　　typedef struct  _POLICYDATA

　　{

　　BOOL    bEnableSecPart；    //是否啟動保密區(qū)

　　BOOL   bReadSecPart；    //是否可讀保密區(qū)

　　BOOL   bWriteSecPart；        //是否可寫保密區(qū)

　　BOOL    bEncryptSecPart；        //是否加密保密區(qū)

　　BOOL    bEnableExchPart；        //是否啟用交換區(qū)

　　BOOL    bReadExchPart；        //是否可讀交換區(qū)

　　BOOL   bWriteExchPart；        //是否可寫交換區(qū)

　　BOOL    bEncryptExchPart；        //是否加密交換區(qū)

　　BOOL    bExchPartToSecPart；

　　//是否允許從交換區(qū)復制到保密區(qū)

　　BOOL    bsechPartToSecPart；

　　//是否允許從保密區(qū)復制到交換機

　　} POLICYDATA，*PPOLICYDATA；

　　應用層創(chuàng)建雙線程，等待PNP消息，如接入USB盤符和特定卷格式，則對卷做相應卷映射和卸下卷。

　　對卷卷映射函數(shù)：

　　Int MountVolume （

　　int driveNo，

　　char *volumePath，

　　Password *password，

　　MountOptions *mountOptions，

　　BOOL bReportWrongPassword ）；

　　對卷卸下卷函數(shù)：

　　BOOL    UnmountVolume

　?。╥nt nDosDriveNo， BOOL forceUnmount ）；

　　創(chuàng)建內(nèi)存中卷格式：

　　int VolumeWriteHeader（char*header，int ea，int mode，Password* password，

　　char*masterKey，

　　PCRYPTO_INFO*retInfo，

　　BOOL bWipeMode ）；

　　讀入USB卷頭：

　　int VolumeReadHeader（char*encryptedHeader，Password）；

　　經(jīng)過測試人員測試和客戶現(xiàn)場應用，本系統(tǒng)達到了良好的應用效果，從驅(qū)動層到應用層都運行良好。系統(tǒng)支持FAT32和NTFS格式，對容量較大的USB移動存儲設備和容量較小的U盤都有較好的使用和保密果。WINDOWS NT則更進一步，它可以檢測出SCSI設備及其他一些硬件，到了WINDOWS95/98，則幾乎可以實現(xiàn)全自動的安裝和系統(tǒng)的動態(tài)重配置。盡管WINDOWS95不可能對所有舊設備都能正確地識別，甚至有時也會求助于用戶，但就即插即用本身而言，這已經(jīng)是一個真正的飛躍了?，F(xiàn)在的WIDNOWS98/2000在PNP方面又得到進一步的發(fā)展。