/-------------------------N0TINFO SECURITY __________________________________________________________________________________________________4019年第9期
■doi:10.3969/j.issn.1671-1122.2019.09.017
设计与实现
---------------------韩菊茹匕杨秩*纪兆轩",马存庆2-------------------------------------------
(1.中国科学院信息工程研究所信息安全国家重点实验室,北京100195; 2.中国科学院大学网络空间安全学院,
北京100195; 3.北京可信华泰信息技术有限公司,北京100195)
摘要:随着个人数据安全保护需求的日益增长,在静态存储和动态移动过程中都需要对数据进行机密性保护。文章利用Windows系统组件BitLocker技术进行虚拟磁 盘的加解密,并基于小程序进行用户身份验证,从而实现对BitLocker的解锁和锁定, 达到个人敏感数据在存储和移动过程中的全盘加密保护o
关键词:数据机密性保护;虚拟磁盘;BitLocker;小程序 中图分类号:TP309文献标识码:A文章编号:1671-1122(2019)09-0081-05
中文引用格式:韩菊茹,杨秩,纪兆轩,等.基于小程序的文件加密系统设计与实现[J].信息网络安全,2019,19(9):81-85.
英文引用格式:HAN Juru,YANG Zhi,JI Zhaoxuan,et al.Design and Implementation of File Encryption System Based on Wechat Mini Program卩].Netinfo Security,2019,19(9):81-85.
Design and Implementation of File Encryption System Based on
Wechat Mini Program
HAN Juru1>2,YANG Zhi3,JI Zhaoxuan lj2,MA Cunqing2
(1.State Key Laboratory of I nformation Security,Institute of I nformation Engineering,Chinese A cademy ofSciences,
Beijing100195,China',2.School of C yber Security,University of C hinese A cademy ofSciences,Beijing100195,
China;3.Beijing TrustedHuatai Information Technology Co.,Ltd,Beying100195,China)
Abstract:As the needs of personal data security protection increase,we should protect the confidentiality of data in both storage and movement.In this paper,we use the technology
of BitLocker component in the Windows system to encrypt and decrypt the virtual disk,and
authenticate based on Wechat Mini Program to realizeunlock and lock of the BitLocker in the
virtual disk,achieving the full disk encryption protection of personal sensitive data during
storage and movement.
Key words:data confidentiality protection;virtual disk;BitLocker;Wechat Mini Program
0引言
在大数据信息化时代,计算机网络技术的发展增加了用户数据的安全风险,个人数据安全保护需求不
断•-----------------------------------
收稿日期:2019-7-15
基金项目:国家自然科学基金[U163620068]
作者简介:韩菊茹(1994—),女,安徽,硕士研究生,主要研究方向为信息安■全;杨秩(1978—),男,内蒙古,工程师,本科,主要研究方向为信息安全;纪兆轩(1994—),男,河北,硕士研究生,主要研究方向为信息安全;马存庆(1984—),男,青海,高级工程师,博士,主要研究方向为信息安全。
通信作者:韩菊茹hanjuru@iie.ac
N0TINFO SECURITY 入选论文
增长,对数据进行加密保存m是确保用户数据机密性⑷的有效措施。目前较为普遍的保护方法是应用层的文件级加密跖]:将文件加密后存储在磁盘,需阅读或修改文件时,解密文件对其操作,处理完成后再次加密存储。这种加密技术虽然实现简单、开发成本低,但是存在操作繁琐和对上层应用不透明等问题。相比文件级加密,全盘加密技术阴则能更好的解决这些问题。
对于个人敏感数据,不仅需要在本地客户端加密保护,在文件移动过程中也要进行数据加密处理。例如,将文件从办公场所复制到其它办公场所的过程中,如果将文件以明文形式存储在U盘中,若U 盘丢失,数据极可能被对手获取,从而导致数据泄露的严重后果。因此,数据在移动过程中的机密性保护尤为重要%
此外,个人数据保护中涉及到用户身份验证阴传统的用户名口令认证方式存在记忆困难、易于破解等问题,而UKey需要借助额外的硬件,因而需要一种灵活方便且具备相当安全性的用户身份验证方式。
针对上述需求,本文耐并实现了一个基于小程序的文件加密系统:使用虚拟磁盘"切进行数据加密,具备全盘加密操作简单、对上层应用透明的优点,而且虚拟磁盘本身作为文件,能够满足移动过程中的安全保护需求;使用小程序获取用户授权进行用户身份验证,更加便捷高效,能带来更好的用户体验。
1文件加密系统现状
近年来,随着磁盘加密理论的研究进步和芯片处理能力的提高,磁盘加密产品在安全性、产品形式和数量上都有了很大的发展。现阶段磁盘加密技术发展相对成熟,有Windows磁盘加密组件BitLocker^"], Linux磁盘加密系统LUKS,免费开源磁盘加密软件TrueCrypt问和FreeOTFE以及SafeNet公司的磁盘加密软件ProtectDrive。磁盘加密产品的安全性依赖于所选择的加密算法和模式。
在加密算法上,BitLocker 和LUKS采用的是AES算法;TrueCrypt、FreeOTFE 以及ProtectDrive除了支持传统的加密算法(DES、
3DES、TwoFish)之外,也支持AES算法。而戦上, BitLocker采用微软自己研发的AES-CBC+Elephant difiuser;LUKS采用CBC;TrueCrypt和FreeOTFE除了支持传统的加密模式CBC外,也支持专门针对磁盘加密的模式XTS。
考虑到目前主流的操作系统为Windows,本文基于Windows7操作系统并利用其BitLocker组件来进行文件加密系统的设计与实现。
2系统总体设计
基于小程序的文件加密系统结构如图1所示,不锈钢酸洗
根据功能模块的不同,将其划分为4部分:服务器、中心服务器、客户端和小程序。
耳机绕线器中心服务器服务器
■-
客户端客户端小程序图1基于小程序的文件加密系统结构
-
=
--------
2.1服务器
服务器为腾讯公司提供的服务设备,本文系统只需要根据其所提供的服务接口,与其进行交互并获取相应的数据,其主要功能包括:
1)小程序码的动态生成。当接收到中心服务器的小程序码请求时,立即生成并传送回相
应的小程序码进行响应。
2)用户唯一身份标识的获取。通过对小程序提供的动态变化的登录凭证Code、中心服务器提供的URL、AppID、AppSecret等信息,转换得到用户的唯一身份标识。
N0TINFO SECURITY
入选论文__________________________________________________________________________________________________2019年第9期
2.2中心服务器
胀锚螺栓中心服务器能够生成、存储客户端文件系统解锁关键信息所需的对称密钥,同时能够响应PC客户端请求的各种服务,具体功能如下:
抗干扰滤波器1)生成客户端文件系统解锁关键信息所需的对称密钥。文件系统在解锁时用到的关键信息加密保存在客户端,利用国密对称密码算法SM4来实现关键信息的安全存储。新用户扫码登录时,中心服务器为其生成对称密钥,加密客户端文件系统解锁时用到的关键信息并将其以密文形式存储;老用户扫码登录时,传送回用户对应的对称密钥,解密得到客户端文件系统解锁的关键信息。
2)提供客户端文件系统解锁关键信息所需对称密钥的集中存储。PC客户端文件加密系统使用中心式的密钥存储方式,使用国密算法SM2来保证对称密钥在传输过程中的安全,将对称密钥信息加密保存在中心服务器中。
3)与服务器交互,为客户端提供小程序码。实现客户端与服务器请求/响应机制的传递,将客户端的小程序码请求传递给服务器,将服务器生成的小程序码传送回客户端。
4)与服务器交互,获取小程序用户的唯一身份标识及授权信息、。
2.3PC客户端
PC客户端能够实现虚拟磁盘的管理,BitLocker 的使用、与中心服务器交互和用户操作界面的呈现。
1)虚拟磁盘的管理。客户端能够根据用户的意愿进行创建、挂载、分离、删除虚拟磁盘等操作,通过判断虚拟磁盘挂载及锁定的不同实际状态,提供能够实现的相应操作步骤。
2)BitLocker的使用。利用系统中Wn32_Encryptable Wlume实现虚拟磁盘的加解密、锁定解锁功能。其中, BitLocker利用密钥对虚拟磁盘进行全盘加密,密钥根据BitLocker自身机制加密保存。密钥的加密保存以及后续的解锁过程中所用到的信息就是解锁时所需的关键信息。
3)与中心服务器的交互。客户端能够向中心服务器请求多种服务,包括客户端向中心服务器请求小程序码、客户端向中心服务器扫码请求登录、客户端査询用户授权状态以及客户端退出程序。
4)界面设计。通过流畅的界面设计更美观地展不系统基础功能。
2.4小程序
激光切割烟雾净化器小程序部署在移动终端上的应用中,主要实现的功能包括:
1)扫描PC客户端呈现的小程序码并获取用户的授权;扫描客户端的小程序码,获取小程序码中的token;授权小程序获取用户信息。
缘1142)显示用户已授权解锁的PC客户端列表,手机终端的小程序可以显示已挂载并处于解锁状态的虚拟磁盘的PC客户端名称。
3)注销用户已授权的PC客户端,利用小程序远程运行关闭注销程序。
3系统流程设计
本文加密系统的工作流程可以分为以下4个步骤,具体流程图2所示。
图2系统具体工作流程图
n C tinfo 入选SECURITY
论文
1)虚拟磁盘自检。检测固定路径的虚拟磁盘是
否存在,若存在,则进行步骤3);否则,则首先创建新的虚拟磁盘,然后进行步骤2)。
2)用户扫描小程序码登录,从中心服务器获取磁盘解锁关键信息所需的对称密钥。对于步骤1)中虚拟磁盘不存在的情况,利用该对称密钥信息加密保存磁盘解锁信息;对于虚拟磁盘存在的情况,利用该榔密钥解密得到磁瞬锁信息并解锁虚拟磁盘。
3)对解锁后的虚拟磁盘进行常规文件操作。
4)关闭程序锁定磁盘。通过客户端或者移动终端上的小程序注销程序。
3.1虚拟磁盘自检
当系统启动运行时,首先检测是否存在固定路径的虚拟磁盘文件,若不存在,则创建并挂载虚拟磁盘,启用BitLocker加密保护该虚拟磁盘;若存在,则将其挂载,此时磁盘处于锁定保护状态。处理完成后,系统跳转到小程序码扫码登录界面。
3.2解锁虚拟磁盘
解锁虚拟磁盘分为3个步骤:扫码登录、获取磁盘解锁信息所需对称密钥、解锁虚拟磁盘。
1)扫码登录界面
当客户端需要获取小程序码时,与中心服务器建立连接,向中心服务器发送获取小程序码请求。中心服务器再将此请求传送给服务器,服务器做出响应,将小程序码经过中心服务器传送回PC客户端显示。
2)获取磁盘解锁信息所需对称密钥
当客户端展示小程序码后,并定时向中心服务器查询用户的授权登录状态。当用户未使用扫码来授权登录时,中心服务器返回用户未授权响应;若用户使用扫码并授权用户登录后,小程序向中心服务器发送用户授权登录信息。中心服务器对用户身份进行验证,若是新用户首次扫描登录,则为该用户生成磁盘解锁信息所需的对称密钥;若是已扫描注册用户,则匹配其已保存的磁盘解锁信息对称密钥进行响应。客户端接收到用户已授权登录的响应信息,其中对称密钥的加解密传输使用国密算法SM2实现。
3)解锁虚拟磁盘
客户端收到磁輛锁信息所需的对称密钥后,若是新用户刚创建的虚拟磁盘,使用解锁关键信息进行解锁,并将解锁关键信息加密保存在PC客户端中;若是老用户已存在虚拟磁盘,则利用该对称密钥使用SM4算法解密得到磁盘解锁信息,并利用该信息对BitLocker锁定的虚拟磁盘进行解锁操作。如果解锁成功,表明该用户为虚拟磁盘的创建者,可以对虚拟磁盘进行正常的文件读写操作;如果解锁失败,则无法打开虚拟磁盘进行文件操作。完成解密操作后,PC 客户端立即销毁该对称密钥。
在解锁虚拟磁盘后,可以对文件进行读写、创建、删除等操作,所有文件操作都由BitLocker来保护,对用户透明。用户可以通过两种方式重新锁定虚拟磁盘:1)在客户端宜接关闭程序,将重新锁定磁盘,同时通知中心服务器用户已注销;2)利用小程序査看已授权登录的客户端列表,选择某个客户端后执行注销操作。
4系统实现
本文在Windows7专业版本平台构建了基于小程序的文件加密系统。该系统可以实现在静态客户端存储和动态移动过程中对文件进行加密保护,使用小程序进行身份授权登录后即可解锁磁融行文件操作,同时可远程注销或直接关闭客户端实现磁盘锁定。
1)磁盘创建界面
系统根据用户输入的虚拟磁盘大小、盘符生成相应的虚拟磁盘,其中盘符选择需要排除系统中已占有盘符,磁盘容量以GB为单位。创建盘符为0的虚拟磁盘并挂载后选择锁定,锁定后的虚拟磁盘显示为金锁保护状态。
打开客户端,磁盘自检后跳转至扫码登录
N0TINFO SECURITY
入选论文__________________________________________________________________________________________________2019年第9期
界面,用户扫码后进行身份验证。
2)手机端显示界面
用户扫码后,小程序获取用户授权进行身份信息获取、登录以及上传用户授权信息。当用户完成
上述授权登录后,PC客户端获取到对称密钥并解密得到磁盘解锁信息,利用该信息解锁虚拟磁盘后,虚拟磁盘即可进行正常的文件操作。磁盘解锁后依然处于加密保护状态,此时虚拟磁盘O显示银锁加密保护。
3)用户远程注销
用户可以选择客户端使用小程序远程注销,实现虚拟磁盘的锁定。
5结束语
本文设计并实现了基于小程序的文件加密系统,能够将文件存储在创建的虚拟磁盘中,加密锁定达到移动过程中的安全保护效果。利用小程序通过身份验证后即可实现磁盘解锁,进行文件操作。本文系统既实现了移动过程中数据加密保护的要求,又能灵活运用小程序方便用户身份验证,实现了对单个虚拟磁盘的管理。在下一步的工作中,将设计实现对多个虚拟磁盘的管理方案。■(责编程斌)
参考文献:
[1]WU Sujuan.The Research and Application of Data Encryption Technology in Computer Network Security[J].Computer Knowledge and Technology,2014,10(36):8633—8634.
吴苏娟•计算机网络安全中数据加密技术的应用研究[J].电脑知识与技术,2014,10(36):8633-8634.
[2]HOU Fangyong.Research on Key Techniques of M emory System Data Confidentiality and Integrity Protection[D].Changsha:School of C omputer National University of D efense Technology,2015.
侯方勇•存储系统数据机密性与完整性保护的关键技术研究[D].长沙:国防科学技术大学,2015.
[3]CHEN Shangyi.Transparent File Encryption Technology and Its Application[J].Information Security and Communications Privacy,2007,7(11):75-77.
陈尚义.透明文件加解密技术及其应用[J]•信息安全与通信保密,2007,7(11):75-77.[4]HU Hongyin,HE Chengwan.Design of Multiple Security Level Supported File Encryption Tool[J].Computer Engineering and Design, 2011,32(8):2569-2571.
胡宏银,何成万.支持多种安全级别的文件加密工具设计H计算机工程与设计,2011,32(8):2569-2571.
[5]CHENG Guoyong.Design and Application of T rusted Encryption Disk[D].Beijing:Beijing University of T echnology,2013.
成国永.可信加密磁盘的设计与应用[D].北京:北京工业大学,2013.
[6]SHEN Shanchao.Design and Realization ofDisk Encrypt SystemfD]. Changchun:Jilin University,2011.
沈善超•整盘加密系统的设计与实现[D].长春:吉林大学,2011. [7]SHAHBAZI M.Mobile Data Security System and Methods:U.S. Patent8,495,700[P].2013-7-23.
[8]ZHANG Xin,FENG Quanyuan.Dynamic ID—based remote user authentication schemeQ].Computer Engineering and Design,2007, 28⑶:545-546.
张馨,冯全源•基于动态ID的远程用户身份认证方案口计算机工程与设计,2007,28(3):545-546.
[9]XIONG J un.Application,of U ser Identity Authentication Technology in Computer in Information Security[J].Information Security and Technology,2013,4(6):33—36.
熊俊.用户身份认证技术在计算机信息安全中的应用口信息安全与技术,2013,4(6):33—36.
[10]ZHANG Hong,CHEN Zhigang.Design and Analysis of a New One-time Password Authentication SchemefJ].Computer Engineering, 2004,30(17):112-113.
张宏,陈志刚.一种新型一次性口令身份认证方案的设计与分析[J].计算机工程,2004,30(17):112-113.
[11]LI Qingjun,GAN Meng.File Encryption Approach Based on Virtual Disk[J].Computer E ngineering and Design,2006,27(15):2835—2838.
李清俊,甘萌•基于虚拟磁盘的文件加密方法[J].计算机工程与设计,2006,27(15):2835-2838.
[12]NI Kaibin,YA.O Guoxiang,GUAN Quanlong.Security Enhanced Virtual Disk Encryption System and Technology[J].Journal of C omputer Applications,2009,29(11):2987-2989.
倪凯斌,姚国祥,官全龙.安全增强型虚拟磁盘加密系统技术[J].计算机应用,2009,29(11):2987-2989.
[13]KORNBLUM J D.Implementing Bidocker Drive Encryption for Forensic Analysis[J].Digital Investigation,2009,5(3—4):75—84.
[14]SUBAIR P S,BALAN C,D^A S,et al.Forensic Decryption of FAT BitLocker Volumes[EB/OL].link.springer/chapt er/10.1007/978-3-319-14289-0_2,2018-5-15.
[15]TAO Tianyi.Research and.Implementation of Self-Securing Disk Encrypted System Based on TrueCrypt[D].Beijing:Beijing University of Posts and Telecommunications,2013.
陶天一.基于TrueCrypt的自安全磁盘加密系统的研究与实现[D].北京:北京邮电大学,2013.
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议