谈USBKey对电子政务系统中云端数据的安全保护

作者：黄杰

来源：《科技资讯》 2013年第22期

作者简介：黄杰（男，1981-7出生），广东省普宁市人，软件工程硕士，广州市经济贸易信息中心助理工程师。近几年主要负责“广州市中小企业投融资公共服务平台”建设工作。主要研究方向：电子政务的信息安全。

黄杰

（广州市经济贸易信息中心 广东省广州市 510000）

摘 要：随着“云计划”市场的打开，各式各样的“云计划”接踵而来。云数据在云存储的安全问题十分重要，电子政务系统中云端的数据的安全保护备受关注。本文结合作者的工作实践，基于对USBKey工作原理和安全性能分析，介绍了USBKey对电子政务系统中云端的数据的安全保护措施问题。

关键词：USBKey 电子政务系统 云端 数据 安全保护

中图分类号：TP393文献标识码：A 文章编号：1672-3791(2013)08(a)-0000-00

1 导言

社会在进步，科学在发展，对于云数据的保护技术也是层出不穷，比如程序加密、密钥等。但就安全性而言，USBKey是比较可靠的一种，它以自身的优点被多方认可，在数据安全保护上运用最为广泛。USBKey是一种可以通过存储用户的数字证书和私钥信息，并通过公钥算法进行网络认证，从而读取并验证用户身份的软件硬件合一的设备。USBKey因其小巧精悍、安全可靠，已为大多数网上银行系统利用它作客户端的安全保护设备，这即是目前常说的网银的U盾，它以其安全的程序运行和复杂的公式运算，保护了客户在网银的安全支付。但是USBKey也不是绝对安全，因为在高科技迅速发展的今天，越来越多的病毒也变得更强大，而USBKey或多或少会存在一些安全漏洞。目前，USBKey已经在电子政务系统中开始运用，本文结合作者的工作实际，基于对USBKey工作原理和安全性能分析，介绍USBKey在作者单位电子政务系统中对云端的数据的安全保护措施。

2 USBKey数据保护原理

USBKey的接口与现在的电脑的USB接口是通用的。USBKey的安全使用只要是依靠两个方面，硬件设备与PIN码，系统的登录进入只允许这两个因素处于同时存在的状态，才可进行用户的身份验证，缺一不可，所以，假如发现PIN码被盗，只要USBKey没有丢失，其他人是不能够代替真实用户的身份。

USBKey的认证时通过需要公钥与私钥的结合，一般公钥是指密码算法，私钥则是与数字证书一样储存在USBKey内部，与USBKey组成一个整体，其程序绝不会被复制或导出，当需要读取用户身份的时候，在USBKey内部进行加密运算，确保安全性。

不使用时，USBKey都是处于初始化的状态，存储用户的个人信息、USBKey内部程序、密钥和安全PIN码。当用户使用时，首先通过加密文件对用户的身份进行验证，然后安全存储后进行查看。其流程图如下面图1所示：

当用户使用USBKey，接入电脑的USB接口，通过软件平台进行USBKey信息验证，其信息的验证是在USBKey本身内部通过密码算法运行，如果错误，USBKey会自动锁死，如果验证正确，执行一个流程的操作，即自动进行加密任务，在加密文件所处的特定区域进行文件加密，形成加密文件并存储，文件已做好加密处理，不会造成信息的外泄，此时用户可以自行选择云存储或者是本地存储，之后，选中加密文件，通过其内部的密码运算，完成最终的解密工作，数据随文件的关闭自动清理，用户的USBKey身份认证通过后会正常显示解密文件，反之，会出现乱码。

由于USBKey的程序是一种内置的程序，程序的编写都会存在不同程度的安全漏洞，而现今社会上的病毒、木马也是防不胜防，因此对USBKey程序还有许多有待改进与完善之处，并一定要实施对云端数据的安全保护措施。下面结合作者的实际工作，继续介绍对云端数据的安全保护措施。

3 USBKey对电子政务系统中云端的数据的安全保护措施

本单位电子政务系统中目前采用USBKey对用户进行身份验证和用户功能控制，下面结合作者的工作实践，介绍电子政务系统中云端的数据的安全保护措施问题。

对USBKey在云端的数据的安全保护措施主要有三个方面：一是加密存储云端的数据、二是配合软件硬件同时加密解密、三是USBKey的重复性。对云端数据进行加密存储是最基本的防信息外泄措施，配合软件硬件同时加密解密是指存储的数据由密文转换成明文；USBKey的重复性是针对用户在USBKey丢失的情况下如何保护数据。现分别介绍如下：

3.1 加密存储云端数据

USBKey和个人信息是相联系的，具有唯一性，不可能出现的是两个人共用一个USBKey。互联网的USBKey使用软件平台是处在一个半封闭的状态，为防止黑客植入病毒攻击或窃取隐私信息时，最好的办法是在用户的客户端进行加密工作，在生成密钥的时候，密钥就结合用户的个人信息和唯一的PIN码，保证了USBKey的独特性，即使是用户的密码不慎被盗取，没有USBKey硬件进行密钥验证时，也是不能够读取云端存储的数据的。

3.2 配合软件硬件同时加密解密

配合软件硬件同时加密解密就是对不同文件的分区实行加密，在不同途径下进行解密比对，从而保证云端的数据的保密性。首先USBKey内处理部分特定的分块文件，另外剩余的分块文件在软件的端口出进行加密，形成两种不同的加密途径，当然密钥都是来自USBKey内部，等整体的文件加密完成后，在软件的端口出合成，在特定的位置添加特殊的个人标签，由USBKey保证每个用户的不重复性。

当数据被加密完成后，在进行解密，首先USBKey对特定的个人标签的信息进行对比，如果对比异常，说明是非个人文件，则不能正常提取；如果对比正常，就进行解密环节，获得解密密钥后，将分区的文件在USBKey和软件实行密钥解密，按照USBKey特定的规则对分区文件拼接，最终得到明文数据。

3.3 USBKey的重复性

USBKey的信息存储和个人信息都是安全保存在发证机关的，发证机关即是处在用户与软件平台之间的可信任第三方，如类似密码管理局这样的部门，USBKey在用户正常的使用情况下，发证机关将数据安全的储存在自身的服务器中， 如果出现用户丢失USBKey的情况，发证机关也是可以提供一个内部数据与之前的USBKey相同的硬件设备的。

根据本文提出的几点措施更新的版本已经在本单位电子政务系统中试运行了二年多，至今尚未发现重大安全问题。当然，随着反病毒工作力度的提升，对USBKey云端的数据的安全保护工作还有许多有待探讨和改进之处。

参考文献

[1] 李旭.试论USBKey与数据保护的关系[J],小型微机系统;2012(18).

[2] 王利林.网络安全的最后防线[J],现代计算机工程与应用;2010(11).

[3] 邹逢兴.云端数据保护的一次讨论[J],小型微机系统;2012(6).

[4] 杨立辉.网络存储中高可靠性关键技术的研究[J],华中科技大学突出管;2011(03).