確保USB驅動器安全：風險產生原因和應對之策

被稱之為USB閃存驅動器 、“U盤驅動器”或“USB DONgle”的USB類存儲設備，真正使數據存儲的方式發生了革命性的變革并極大地推動了便攜性的發展。自2000年誕生以來，在全球各地生產與銷售此類設備不計其數。統計數據顯示，僅2008年一年生產的USB類閃存驅動器就高達1.73億部。

　　USB類存儲設備之所以得到廣泛采用的原因包括：

　　·便攜性：此類設備的物理尺寸通常非常小型化，重量較輕，便于裝在口袋里隨身攜帶(“UDB Dongle”)。

　　·易用性：隨著USB作為標準接口不斷得到推廣，因此USB類存儲設備的使用也極為方便，完全做到了即插即用。

　　·價格低廉。

　　·快速。

　　·容量大(而且還在不斷增長)。

　　最近，個人和企業在USB閃存驅動器方面面臨的重要問題之一就是數據泄露和失竊。報道顯示發生的很多事故都與閃存驅動器放置不當、失竊或使用不當有關，這類事故一次性所造成的損失可高達250萬美元之多。

　　機密數據、個人數據或企業數據的泄露或使用不當就會造成上述損失。鑒于此類問題，我們必須確保USB類閃存驅動器更強的安全性，避免泄露數據。USBA閃存驅動器數據的安全性可通過加密/解密機制加以實現，從而只讓已驗證人員對設備進行讀寫。

　　USB閃存驅動器的安全性

　　兩種廣泛用于確保USB閃存驅動器安全性的方法是：

　　·軟件加密：密鑰保存在設備存儲器中并用來對數據加密和解密。盡管這是一種相當安全的方法，但將密鑰放置在設備存儲器中，卻讓黑客知道了從何處尋找密鑰以及密鑰所采用的獨特格式。

　　·硬件加密：密鑰不會脫離硬件，因此也不會暴露。這一特性使得硬件加密的潛在安全性比軟件加密更強。

　　軟硬件加密方法都使用了高級加密標準(AES)128位或256位(目前尚未出現128位或256位算法遭破解的報道)。不過，僅采用AES算法還不足以確保全面安全，實施算法的方式同樣十分重要。與軟件加密一樣，AES引擎通過用戶密碼生成密鑰，這就是說加密的強度直接取決于密碼的強度。此外，理想情況下，128位的AES需要16個字符的密碼。與此類似，256位的AES需要32個字符的密碼。創建并記住別人很難猜測的密碼可能導致設備使用不便。

　　另一方面，我們可用硬件隨機數字生成器來生成數組，AES引擎用該數組生成加密密鑰。密鑰由用戶密碼解鎖，并由AES引擎用來對數據進行加密。顯然，硬件加密法的安全性更強。

　　值得注意的是，軟硬件加密方法都需要使用用戶密碼。不過，由于硬件加密法不允許直接存取加密密鑰，而且加密的質量與用戶密碼的強度無關，因此其安全性更強。

　　以下是目前可用的此類加密設備的普通方框圖：

　　從上圖中我們可以看出，USB控制器從PC或筆記本電腦的USB端口接收數據，并傳輸給AES引擎，引擎隨后將數據傳輸給加密格式的大容量存儲器。數據檢索的路徑與存儲控制器從大容量存儲器中讀取的路徑相同，之后再將數據傳遞給AES引擎，該引擎解密數據并返回給USB控制器。

　　WeST Bridge法

　　2006年，賽普拉斯半導體公司推出了West Bridge系列產品。類似于PC領域的北橋和南橋架構，West Bridge架構的推出旨在促進嵌入式處理器的發展，從而不必受存儲器和外設接口頻繁變化的影響。

　　實際上，West Bridge器件就是一種三向橋接器，旨在用于將處理器從USB和存儲器管理等數據密集型操作中解放出來。West Bridge器件帶有三個端口，一個連接到處理器，一個連接到大容量存儲器(兩個大容量存儲設備)，另一個連接到USB外部接口。這種器件架構能確保處理器和大容量存儲器之間、大容量存儲器和USB之間以及處理器和USB之間同時獲得三個雙向路徑。其突出優勢就是端口之間的數據傳輸速度非常快。

　　較快的數據傳輸速度可以抵消閃存驅動器采用安全特性后普遍發生的性能下降問題。

　　如下所示，West Bridge可用于安全USB閃存驅動器架構：

　　West Bridge在以上架構中完全控制著USB處理和存儲器管理。處理器/FPGA從上述任務中解放出來，只負責AES加密算法即可。數據通過USB端口進入并傳送至AES引擎，引擎隨后將加密數據發送到大容量存儲器。在從大容量存儲器檢索數據期間，數據會從存儲器發送到AES引擎，引擎接著進行數據解密并將其發送至USB端口。

　　此外，我們可按下圖所示進行架構升級：

　　在此，我們可用智能卡或其他類似硬件生成AES算法的加密密鑰。密鑰解鎖需要用戶密碼，而后再讓AES進行數據加擾和解擾。

　　可擴展性是一種重要特性，它能使OEM/制造商在相同架構的基礎上推出不同版本的產品。

　　本文小結

　　隨著USB作為PC和筆記本電腦連接標準的大規模推廣，以及USB閃存驅動器所具有的明顯優勢，USB閃存驅動器很可能將繼續成為深受消費者青睞的存儲介質。不過，以上所討論的、因使用這種媒介而會隨時爆發的風險，也意味著制造商和OEM需要采取切實有效的措施來確保閃存驅動器中的數據能夠安全無虞。我們可用基于West Bridge的架構來解決這一問題，同時還能通過單芯片可擴展的橋接解決方案實現高性能、低物料清單(BOM)成本等優勢。