亮盾終端安全登錄與硬盤保護(hù)系統(tǒng)V1解析

1、亮盾?終端安全登錄與硬盤保護(hù)系統(tǒng)V1.0技術(shù)白皮書北京二未信安科技發(fā)展有限公司Beiji ng San Sec Tech no logy Developme nt Co., Ltd.目錄1. 背景Ill2. 產(chǎn)品概述Ill2.1系統(tǒng)結(jié)構(gòu) IV2.2受保護(hù)的終端計(jì)算機(jī) V2.3智能密碼鑰匙VI3. 產(chǎn)品技術(shù)特點(diǎn)VI3.1扇區(qū)級的數(shù)據(jù)保護(hù) VI3.2全面的登錄控制VII3.3基于硬件的身份認(rèn)證 VII3.4用戶操作簡單 VIII3.5靈活易于部署VIII3.6應(yīng)急恢復(fù)機(jī)制確保數(shù)據(jù)可用性VIII4. 產(chǎn)品安裝部署VIII4.1安裝環(huán)境要求 VIII4.2產(chǎn)品生命周期和部署過程 IX1. 背景企業(yè)和個

2、人在電腦硬盤保存的數(shù)據(jù)信息越來越多，信息的價(jià)值也越來越 高，重要性增強(qiáng)。近年來，硬盤信息泄露的事件逐漸增多，一些泄密事件會 造成不可估量的損失。下面是近年發(fā)生的影響比較大的幾個例子：2005年6月6日世界最大銀行美國花旗集團(tuán)丟失了一批記錄有390萬客戶銀行賬號、歷史支付數(shù)據(jù)以及社會保障卡號的電腦磁盤。在此 之前，包括美國銀行和時代華納在內(nèi)的多家知名大公司也都出現(xiàn)過重 要客戶信息磁盤神秘失蹤的現(xiàn)象。2005年6月19日，包括萬事達(dá)、Visa在內(nèi)的多家信用卡公司 4000 多萬用戶信息被盜，這給世界范圍內(nèi)的信號卡用戶帶來威脅。各國的 商業(yè)銀行，包括我國的工商銀行、建設(shè)銀行、招商銀行等，都不得不 為

3、信息失竊的用戶換卡。2006年，美國退伍軍人事務(wù)部筆記本電腦丟失，導(dǎo)致2600萬名美國退伍軍人個人信息被竊。上述向公眾公開的泄密事件只是大量信息泄密事件的冰山一角，許多的 泄密已經(jīng)造成巨大損失而不為人們所知。電腦信息泄漏不僅發(fā)生在丟失和被盜時，廢棄的設(shè)備如果不進(jìn)行專門的 處理，也會引起信息的泄漏，例如：對硬盤格式化或者簡單的物理破壞并不 能完全消除磁盤盤片上的信息。亮盾？的目標(biāo)是通過身份認(rèn)證技術(shù)來保護(hù)硬盤上的數(shù)字資產(chǎn)，防止未經(jīng) 授權(quán)使用計(jì)算機(jī)終端，有效保護(hù)硬盤信息。2. 產(chǎn)品概述亮盾？通過身份認(rèn)證技術(shù)來保護(hù)數(shù)字資產(chǎn)，是防止未經(jīng)授權(quán)使用重要電 子信息的有效手段，有效的保護(hù)計(jì)算機(jī)終端資源?？梢杂行?/p>

4、防止數(shù)據(jù)被竊取，可為筆記本、臺式電腦及服務(wù)器數(shù)據(jù)提供強(qiáng)大保護(hù)，即使發(fā)生硬件設(shè)備 丟失或盜竊事件，也可保護(hù)存儲在設(shè)備上的機(jī)密信息不會泄漏出去。啟動前 認(rèn)證功能可有效防止未經(jīng)授權(quán)的用戶繞過操作系統(tǒng)訪問敏感信息，而基于操 作系統(tǒng)的用戶認(rèn)證機(jī)制的增強(qiáng)技術(shù)作為有效補(bǔ)充，實(shí)現(xiàn)了對終端的全面保 護(hù)。2.1系統(tǒng)結(jié)構(gòu)產(chǎn)品可以分為兩個部分：管理中心和終端計(jì)算機(jī)管理中心的作用是對終端用戶進(jìn)行配置管理。管理中心設(shè)有管理員，通過管理員身份卡和口令來證明身份。管理 中心的功能包括創(chuàng)建用戶、發(fā)放智能密碼鑰匙和對智能密碼鑰匙進(jìn) 行備份和終端恢復(fù)等，確保終端在出現(xiàn)異常狀況下硬盤數(shù)據(jù)的可用 性。終端計(jì)算機(jī)是要保護(hù)的目標(biāo)計(jì)算機(jī)系統(tǒng)

5、。終端計(jì)算機(jī)在準(zhǔn)備實(shí)施保護(hù)前，應(yīng)安裝操作系統(tǒng)并且安裝亮盾 件。終端計(jì)算機(jī)用戶首先向管理中心申請智能密碼鑰匙，然后對終 端計(jì)算機(jī)實(shí)施保護(hù)轉(zhuǎn)換，轉(zhuǎn)換完畢后，計(jì)算機(jī)進(jìn)入受保護(hù)狀態(tài)，用 戶需要插入智能密碼鑰匙到計(jì)算機(jī) USB 口并輸入正確口令那個才可開機(jī)登錄。用戶離開計(jì)算機(jī)時拔掉智能密碼鑰匙，終端進(jìn)入鎖定狀 態(tài)，再次使用計(jì)算機(jī)同樣需要智能密碼鑰匙登錄。2.2受保護(hù)的終端計(jì)算機(jī)受保護(hù)的計(jì)算機(jī)終端可以防止非授權(quán)的訪問，合法用戶只有通過智能密 碼鑰匙才能啟動電腦。在筆記本或硬盤丟失、被盜的情況下，沒有對應(yīng)的智 能密碼鑰匙就無法訪問硬盤中的任何數(shù)據(jù)。即使硬盤脫離系統(tǒng)，磁盤上的數(shù) 據(jù)也不能被讀出。I開機(jī)登錄2.

6、開機(jī)鎖定 生重新登錄4關(guān)機(jī)鎖定1. 計(jì)算機(jī)處于關(guān)機(jī)狀態(tài)下，用戶開機(jī)使用計(jì)算機(jī)終端需要將智能密碼鑰匙插入到計(jì)算機(jī)的USB 口，并輸入正確的口令后計(jì)算機(jī)操作 系統(tǒng)才被啟動。2. 用戶離開計(jì)算機(jī)時，拔掉智能密碼鑰匙終端計(jì)算機(jī)即進(jìn)入鎖定狀 態(tài)；3. 再次使用計(jì)算機(jī)需要用戶在計(jì)算機(jī)的 USB 口插入智能密碼鑰匙并 輸入正確的口令。4. 用戶關(guān)閉計(jì)算機(jī)。在關(guān)機(jī)狀態(tài)下，即使計(jì)算機(jī)硬盤脫離系統(tǒng)也無 法讀取任何信息。2.3智能密碼鑰匙智能密碼鑰匙具有硬件 PIN碼保護(hù)，PIN碼是416位長度的可見字 符，PIN碼和硬件構(gòu)成了用戶使用智能密碼鑰匙的兩個必要因素，即所謂 雙 因子認(rèn)證。用戶只有同時取得了智能密碼鑰匙

7、和用戶 PIN碼，才可以登錄 系統(tǒng)。即使用戶的PIN碼被泄漏，只要用戶持有的智能密碼鑰匙不被盜取，合 法用戶的身份就不會被仿冒；如果用戶的智能密碼鑰匙遺失，拾到者由于不 知道用戶PIN碼，也無法仿冒合法用戶的身份。智能密碼鑰匙實(shí)現(xiàn)了對口令的字典攻擊的防御，5次輸入口令錯誤密碼鑰匙鎖定，只有擁有管理員 PIN才可以解鎖。系統(tǒng)為終端用戶提供了修改智能密碼鑰匙PIN的功能。智能密碼鑰匙發(fā)布的初始化PIN為“ 12345678 ”，用戶可以使用智能密碼鑰匙管理工具進(jìn) 行密碼修改。建議用戶定期的更新PIN碼，以保證智能密碼鑰匙的安全使用。智能密碼鑰匙不可復(fù)制。3.產(chǎn)品技術(shù)特點(diǎn)3.1扇區(qū)級的數(shù)據(jù)保護(hù)在操作

8、系統(tǒng)啟動前通過INT13中斷處理程序?qū)Υ疟P進(jìn)行加解密轉(zhuǎn)換，實(shí) 現(xiàn)啟動操作系統(tǒng)；操作系統(tǒng)啟動后，通過過濾驅(qū)動程序進(jìn)行加解密轉(zhuǎn)換。加解密轉(zhuǎn)換是以扇區(qū)為單位進(jìn)行的，寫入時將數(shù)據(jù)通過強(qiáng)加密算法進(jìn)行 加密，讀出時進(jìn)行解密。加解密轉(zhuǎn)換過程對上層軟件和應(yīng)用程序是透明的。XT：V磁盤過濾轉(zhuǎn)換層圖表：磁盤過濾轉(zhuǎn)換結(jié)構(gòu)示意對每個扇區(qū)都進(jìn)行加密保護(hù)，不遺漏任何數(shù)據(jù)； 采用高強(qiáng)度的加密算法；密鑰存放在智能密碼鑰匙中，安全性高。3.2全面的登錄控制系統(tǒng)采用Pre-Boot （操作系統(tǒng)啟動前）和 Windows用戶認(rèn)證機(jī)制結(jié) 合，實(shí)現(xiàn)對終端的全面登錄認(rèn)證保護(hù)。Pre-Boot 認(rèn)證代碼自主一安全可證明；開機(jī)即認(rèn)證一縮小突

9、破口； 硬件身份認(rèn)證一高安全。Windows用戶認(rèn)證結(jié)合Pre-Boot單點(diǎn)登錄一簡單易用；待機(jī)、休眠、屏保和手動鎖定一全面無遺漏；硬件身份認(rèn)證一高安全。3.3基于硬件的身份認(rèn)證采用USB智能密碼鑰匙作為身份載體；口令重試次數(shù)限定，有效防止字典攻擊；遺忘口令可以通過管理員解鎖；丟失鑰匙可以通過管理員恢復(fù)； 可以方便的進(jìn)行用戶管理。3.4用戶操作簡單啟動認(rèn)證，單點(diǎn)登入；初始轉(zhuǎn)換設(shè)置后，保護(hù)過程用戶透明； 無需額外操作，無需額外培訓(xùn)；易于集成，無需改動已有系統(tǒng)和軟件。3.5靈活易于部署向?qū)降陌惭b和配置；靈活可配置的管理中心； 圖形化的使用和管理界面； 易于理解的部署過程； 充分保證系統(tǒng)的配置彈性

10、。3.6應(yīng)急恢復(fù)機(jī)制確保數(shù)據(jù)可用性智能密碼鑰匙丟失，管理中心可以恢復(fù)智能密碼鑰匙，可再登錄使用終端 遺忘口令和智能密碼鑰匙鎖定，管理員解鎖可以解鎖；系統(tǒng)遭到破壞不能啟動，管理中心可創(chuàng)建應(yīng)急恢復(fù)光盤，恢復(fù)系統(tǒng)；4.產(chǎn)品安裝部署4.1安裝環(huán)境要求管理中心操作系統(tǒng)：Microsoft? Windows ? 2000/XP/2003/VISTA處理器：800MHZ以上內(nèi) 存：128MB以上磁盤空間：200MB以上接 口： USB1.1/2.0 規(guī)范接口終端計(jì)算機(jī)操作系統(tǒng)：Microsoft ? Windows ? XP/2003/VISTA處理器：800MHZ以上內(nèi) 存：128MB以上磁盤空間：200MB以上接 口： USB1.1/2.0 規(guī)范接口其它要求：在BIOS啟動階段USB鍵盤可能和智能密碼鑰匙沖突，請為要保護(hù)的 計(jì)算機(jī)配置PS/2接口鍵盤；注：筆記本電腦鍵盤不是 USB接口， 般沒有沖突。4.2產(chǎn)品生命周期和部署過程管理中心部署單位用戶完成管理中心軟件安裝，管理中心初