应对警察信息泄漏的自动加密和访问控制软件
 Yanagihara Tadaaki
                       警方信息通信研究中心
 国家警察学院
                     3-12-1朝日町，府中市，东京，日本
 摘要：自从2007国家警察厅（警政署）已经开发出了自动加密和访问控制软件作为信息安全的措施，并一直使用它。该软件的工作原理如下：1）主要是禁止信息被转移到可移动媒体；2）加密信息时自动信息转移到可移动媒体； 3）记录了历史个人电脑之间传输和审计可移动媒体。这软件包括为加密密钥和访问权限管理的“加密密钥管理系统”以及获取可移动媒体的控制的 “自动加密和访问控制计划”。他们共同构成USB密钥（USB加密狗）用于实际上控制授权和权利。
 关键词：信息泄漏，加密，访问控制。
一 引言
 在日本，自从2004年信息泄露事件频繁发生在企业和公共机构，所造成的电脑病毒的电脑存储信息里面暴露出来的P2P网络。
 警察依据规章制度未经许可禁止官员带出警方信息，然而警方信息的泄漏，同样也发生在警察局。在这些泄漏事故，共同原因是：未经许可，官员们将警察的信息存在他们家中的私人电脑，文件共享应用程序和P2P也被安装于他们的私人电脑。
 国家警察厅将这些泄漏视为一个严重的问题，并建立如下三项政策，并决定采取通过开发和引进的制度，禁止擅自带出警察信息官员的基本对策。
 （1）原则上，未经许可禁止任何主要从移动媒体信息的传递警察；
 （2）特殊情况外，生意需要授权，总是会自动加密信息，当资料被转移到可移动介质；
 （3）通过进一步的例外，需要更严格的控制信息转移到可移动介质， 由于接收机得原因，在平常等情况时，它是不可能实现的。
 针对这一点，警方信息通信研究中心是从事研究的信息和通信在警察的活动，它提出此软件来实现这样的政策，并被采纳和发展。
 该软件具有两种基本功能，即“自动加密”和“访问控制”，实现了数据的输入和数据的输出，以及行政管理。
 至于控制的数据输入和输出数据，我们采用了以下特点：
 （1） 在正常使用使它无法访问移动媒体；
 （2）只有当经理批准来做这件事，它有可能进入移动媒体；
 （3） 不要让用户意识到这一点，自动化加密的同时，资料也在加密，并且转移到可移动介质；
 （4）要记录的信息传送给移动媒体为审计的历史。
 以下是用于管理数据的输入输出的功能：
 （1）为了能够实施允许的程序，使用这样的方式去移动媒体与我们共同组织的行政架构。
 （2）能够管理用户信息和用户的电脑传输信息。
 （3）为了能够采用同样的管理程序，同时向独立和网络环境。
 （4）可以很容易的更新信息管理和密钥。
 另外，也采取以下情况：
 （1）在 Windows上运行： 用于警察官员为日常工作的大多数PC机运行在Windows。所以这个软件的开发工作在Windows操作系统。
 （2）简化操作：减少用户使用的负担，该软件是尽可能简单。
 这篇论文介绍了我们使用该软件的功能和主要技术。
二 自动加密和访问控制软件
 自动加密和访问控制软件包括“管理系统密钥（Management System of Encryption Key，简称MSEK）”和“自动加密和访问控制程序（Automatic Encryption and Access Control Program，简称AEACP）”。它利用所谓的“USB密钥”来管理授权和权利转让物理设备。
 A：管理体系的密钥
 加密系统的设计，我们必须决定如何处理加密密钥。在日本的警察，都道府县警察部队的工作，有时要共同努力和相互沟通，使信息在一个都道府县警察加密必须能够被解密在另一个县警方。因此，我们决定使用相同的加密密钥全国。
 因此，我们决定，国家警察厅指定具有控制出版管理加密密钥州警察部队有控制密钥管理、出版的USB的密钥。
 MSEK的加密密钥管理，管理的USB管理的关键，也是对谁主管指派必要的权利转让信息和电脑，他/她使用的人士的资料
 该系统将权利划分为四部分。
 （1）使用权限：通过从授权的人借出USB密钥，使用的人就可以使用可移动媒体。有两种类型的可以从授权人借出USB密钥。一个是传输信息加密的加密USB密钥。另一种是传输平常信息不加密的USB密钥。
 （2）授予权限：通过从经营人手里得到使用USB密钥的授权，在授权人的监护下，权授权人就可以写入授权信息（用户帐户，计算机名称和现有的时期）为空白的加密或没有加密的USB密钥。授权信息是从在授权程序列表被选中的。他/她通过借出已经记录的USB密钥给用户，授权使用权利。
 （3）管理权限：通过从修改权限的人手里得到使用USB密钥的管理权限，经营权限的人获得了经营的权利，他/他管理这些人员、电脑和USB密钥的信息。这些信息是通过设置用于对授权信息的授权名单。
 （4）修改权限：修改权限是特殊的权利。修改权限的人拥有在这个系统中使用所有的USB密钥。通常系统管理员有这个权利。
 在警察的业务控制系统的金字塔结构，经理监督下属的业务经营以及高级管理人员监管经理业务。
 相关业务的经理是来判断电脑之间传输的必要性和可移动媒体的信息。因此，我们给他/她的权利，授权借出的USB加密密钥。我们叫他/她的“总管理员”。
 转在PC机和不加密的可移动媒体上的信息转让需要更严格的判断。因此，我们把这种具有可以借出非加密的USB密钥的授予权限和管理权限的人。称他/她为“高级管理员”。
 如上所述，我们需要必要的结构机制，分配权限转移在PC机和不加密的移动媒体上的信息，如图1所示。

图1：管理权的分配结构
 MSEK包括实施的每一项权利的方案。图2中显示了一个USB密钥的加密例子，除了向先进的管理员，我们通过相同的应用程序，，而不是向一般的管理员。

图 2：借出加密的USB密钥流程图
 图3显示了该方案的授权，以提供加密/非加密的USB密钥通过高级管理员和普通管理员。当授权人获得他/她的USB密钥的授权时，这个程序自动启动。
 要分配使用权是很容易的，他/她所要做的就是附加空白的USB密钥转借，记录信息谁使用，哪台电脑会被使用以及使用多久等等，和单击“借出USB密钥”。同时，所有操作将被记录审计。

图 3：运行程序授权
 B：自动加密和访问控制程序
 表1显示了自动加密和访问控制方案概况，图4显示了概念设计。

图 4：概念设计
 AEACP安装在该人使用的个人电脑上，AEACP控制所使用的访问和可移动媒体。通过MSEK制作的加密/非加密的USB密钥是利用了授权文件进行传输。当使用加密的USB密钥，在个人电脑和移动媒体之间传输的文件会自动加密或解密。我们的加密算法是我国电子政务推荐的加密算法，它是足够强大的。
 设计AEACP是为了使用人不需要注意加密的过程，因此当用户使用移动媒体时，他/她不需要做什么，只需附加的USB密钥到PC。
 在USB密钥连接好后，AEACP读取它的许可条件。如果条件得到满足，AEACP可以使用可移动媒体。如果条件不满足，AEACP什么都不做。
 当当没有USB密钥连接时，只有本地硬盘驱动器显示在“我的电脑”上，如图5所示。当获得授权的加密/非加密连接USB密钥时，可移动存储器就会显示以及变得可用，如图6所示。

图 5：电脑没有连接USB密钥

图6：电脑连接的USB密钥
 通过点击在任务栏的图标，关于哪一类的USB密钥的连接和可用的时间就会呈现出来，如图7和图8所显示的。当一个USB密钥没有授权擅自连接，它们将不被显示。

图7：在任务栏图标

图8：关于附加信息加密USB密钥
 当文件被复制或从PC转移到可移动媒体时，以及当加密的USB密钥被连接时，通过复制和粘贴或拖动和移动文件，文件将被加密或解密，正如Windows的一般操作，如图图9所示。然而当非加密USB密钥连接时，做上面的操作：复制或移动文件到可移动媒体，它是不加密的（没有加密）。

图9：文件通过拖和移放自动加密
 我们设计的加密文件名不会改变原来的文件名。这是因为在可移动媒体没有造成分类或文件重新分区。
 据悉，AEACP记录在PC机与可移动媒体之间文件复制或移动操作的所有记录。
三 应用技术
 在自动加密和访问控制软件，我们使用以下三个主要的技术。
 该选中文件访问它利用微筛选器。
 自动加密和访问控制程序利用微筛选器，微筛选器挂选中访问文件，应用于访问控制，自动加密，解密和自动文件访问记录。
 对于这种技术，它选中访问文件，我们用多于两种方法考察，是“内核修补”和“过滤器驱动程序”。该利用内核修补方法重写Windows内核。因此，每次Windows内核改变的时，必须密码是正确的。所以，我们认为该方法并不实用。
 Windows支持的设备驱动程序用来处理各种外设。过滤器驱动程序是利用过滤器驱动程序，它位于层次结构中，有一个函数来改写专家小组的参数（I / O请求包）。但是在利用这种方法时，有必要制定一个为每个设备使用的过滤器，但是会出现兼容性问题，因为文件系统设备驱动程序的中断命令将无法修复。
 因此，我们决定采用利用微筛选的方法，它提供了挂接文件系统。利用微筛选器的方法是由微软支持的，可以实现中断文件访问功能，它是独立于设备，因为它有一功能来通过预先设定的级别控制下载命令。
 因此，利用一个微筛选方法能够实现选中文件访问功能。

 图10：微筛选结构
 B：利用USB密钥设定权利分配和认证
 在此软件上权利分配和认证使用的是USB密钥。USB密钥有一个存储器和处理器。只有当访问是在USB密钥处理器授权的内存，访问才是可能的。在验证发送前，认证所需要的信息会被分配的，发送给每个组织的USB密钥的分配信息都是唯一的，对于一般用户使用者来说，做一个USB密钥副本是不可能的。
 在关USB密钥的存储器中，通过存储许可的信息（用户帐户，所用计算机的名字和使用的时间期限等等），我们实现了权利分配和认证，并不依赖于电脑是单机还是联网。
 在研发的第一阶段，我们研究的是在日本能够使用的USB密钥。然后，我们发现了一些USB密钥产品，非常有用，拥有足够大的内存。正是本软件所需的。但我们也发现，每个USB产品有自己的驱动器，需要不同的方法来控制。
 因此，在考虑到软件的发展速度和维修效率，我们决定开发通用接口程序（“Dongle API”），该接口支持的每个USB密钥的规格，吸收这些差异使我们可以很容易地发展其他组成方案。
 在授权期间，该软件使授权人可以在授权电脑上使用可移动媒体。为了实现这一目标，使用者和个人电脑亦也必须标注，不能伪造。要鉴别一台电脑，我们可以使用诸如CPU的编号，MAC地址等信息。我们使用其中一些，以便在任何环境中是唯一的和是不可能被伪造的。我们决定使用上述信息同时用户帐户和计算机名称为识别的Windows设置。
 C：集成控制的服务程序
 服务程序是Windows操作系统启动时，无论用户是否登录的这样的程序。通过运行系统相关的服务程序，该软件实现掌握和控制设备的操作系统识别功能，并使微筛选和Dongle API共同运行。
 要检测一个设备连接，我们可以使用两种方法。其中一种方法是检查连接到PC每某一固定时期设备的状态。另一种方法是捕捉一个Windows事件发生时，该设备连接或断开。这种方法有一个获得正确信息的优势，因为所有的设备都进行检查。但是，这种方法有一些问题，其中之一是，在每一段固定的时期，它的系统负担严重，因为它会检查所有的设备状态，另一个是在连接的过程与检查设备的过程间有延迟的时间。此外，个人电脑可以连接如非存储设备的USB鼠标，以及储存设备，如金融衍生工具驱动器和光盘驱动器。为了实现充分的访问控制，在操作系统识别设备和软件识别设备之间要有不同。因此，采纳捕获Windows事件的方法以确保在操作系统识别设备和软件识别设备之间没有差别。
 建立在这些设备的连接状态基础上，而这些设备是捕获Windows事件所需要的，因而利用微筛选器，服务程序实现了访问控制和Dongle API。
四 结论
 开发自动加密和访问控制软件项目在2006年6月成立，并开始发展。 2007年，自动加密和访问控制软件开始部署到都道府县警察，同时会升级到与即将在市场上出现的Windows Vista兼容的版本。 2008年3月，当它被安装到都道府县警察日常工作使用机器上，以及每个都道府县警察，部署也就完成，     预计，运行该软件将实现信息安全的必要水平（机密）。

相关论文