如何确保U盘数据安全

　　如图6所示，在“个人存储加密U盘”部分，其硬件不必修改就能直接使用。唯一要修改的是支持额外的分区。此外，存储在CD-ROM应用的程序，可能需要提供除了SecureApp以外的功能，像是以可打印的格式显示医疗纪录。

　　银行业的加密U盘

　　大家熟悉的网络银行风险包括键盘记录器(key loggers)、屏幕阅读器(screen readers)、root-kit账号窃取、殭尸程序(botnets)、木马程序(Trojan)、间谍程序(spyware)、恶意软件(malware)、网络钓鱼(phishing)等，都会对使用者PC造成危害，避免这些危险的方法就是在一个无感染的操作系统环境中进行操作。大多数新款的PC和笔记本都支持U盘开机的功能，用户不必启动系统硬盘上的操作系统就能完成开机并使用计算机。这种操作系统开机程序相当快速，而且处在只读模式，除了存放在U盘内的程序外，其他软件都无法安装或执行。图7显示这种架构的例子。它含有以下各种单元/功能:

　　1. USB Mass Storage Class(MSC) 管理

　　2. 存储介质管理

　　3. 指纹传感器 (选配)

　　4. 唯一ID

　　5. 防止修改

　　6. 加密单元

　　USB Mass Storage Class (MSC)管理：对于从U盘开机的PC/笔记本而言，U盘必须兼容USB Mass Storage class。U盘必须枚举成只读设备。这样可以保护操作系统与磁盘，避免遭到故意或无意的毁损。

　　存储介质管理：使用的存储介质包括NAND Flash或SD-MMC的Managed NAND。介质应分割出一个只读分区，用来存储操作系统，另外还须分割出一个隐藏分区，用来存储例如服务器ID、用户ID、指纹数据等机密数据。任何从USB主控端尝试对只读分区进行的存取动作，或者对隐藏分区进行的读/写动作，都会被存储媒体管理单元挡下。隐藏分区仅能从设备内部存取。针对隐藏分区中存储的机密数据进行加密，也是不错的防护方法。　　

 

　　指纹传感器：由U盘来执行存取银行服务器的动作，但在开始前，首先必须验证用户身份。例如要求输入密码(PIN标识符)、指纹等信息。指纹传感器比密码防护法更加安全，但成本相对较高。用户提供的密码/指纹信息，会与隐藏区块中的信息进行比对。

　　考虑到银行应用所要求的安全等级，U盘必须具有防修改与防复制的功能。要防止设备复制，可在设备硬件中加入一个唯一ID，也可采用电池供电的设计，让U盘具有防修改功能。这种机制一旦侦测到任何未经授权的活动，就会删除U盘内的所有数据。