信息时代的一个重要特征就是大量的数据都以电子化的形式存储在各种设备中。块存储设备是计算机的主要数据存储设备,携带着大量的机密信息和重要数据。由于丢失、被盗或者未经授权使用块存储设备而引起的机密信息和重要数据泄漏给政府、企业和个人造成了巨大的经济损失。加密技术是解决块存储设备数据泄露问题最直接、最有效的技术。磁盘以其体积小、容量大、速度快等特点成为了主流的数据存储设备,因此,磁盘加密从进入二十一世纪以来就成为了信息安全行业研究的热点,在近十年的时间里也涌现出了许多优秀的磁盘加密产品,但研究的热点和涌现的产品都集中在对小容量、单一磁盘加密上。对于存储大量重要数据的服务器磁盘,其加密问题却很少被人关注。本课题的研究目的是防止因磁盘的丢失或被盗而引起的静态数据泄露问题。在对磁盘所在存储系统的数据安全进行详细需求分析的基础之上,建立了磁盘数据威胁模型——CA模型,重点关注系统的机密性和对用户的认证。针对CA模型,本着安全系统应该遵循的短板理论、鲁棒理论、内外隔离和简洁易用的设计理念,在Windows操作系统下设计和实现了DARE_SPS磁盘加密软件。本磁盘加密软件的主要特点是支持磁盘阵列且系统安全性高,在系统机密性和用户认证方面的主要工作如下。在数据机密性方面,针对数据磁盘和系统磁盘的功能差异,选择不同的加密层次对磁盘数据进行加密。对于数据磁盘,选择在卷层次开发上层过滤驱动加解密程序。在这个层次对数据进行加解密,既不需要考虑物理磁盘的分布情况,也不需要关心上层文件的信息,还可以兼顾磁盘阵列的需求,简单便捷地实现对数据磁盘的全盘加密。对于系统磁盘,选择在文件系统层次开发上层过滤驱动加解密程序。这样做的优点是可以对操作系统驻留的磁盘以文件为单位进行有选择的加密,同时保证了操作系统的正常工作,在安全性和性能方面达到了较好的平衡。此外,开发了Windows操作系统内核态的密码编程接口WKCAPI,为卷过滤驱动加密程序和文件系统过滤驱动提供密码服务。既弥补了Windows内核态没有提供可靠密码服务的不足,又不依赖于硬件,还可以为其它有内核态密码服务需求的程序所用,具有很好的安全性、兼容性、扩展性和复用性。在保证系统机密性的同时,本课题在用户认证方面也做了如下工作。一般的存储系统对用户的认证都依赖于操作系统对用户的认证,但是操作系统的认证往往容易遭到攻击,安全性较差。本课题在详细分析计算机启动过程的基础上,在MBR阶段设计了基于MBR的用户双因子认证系统,认证过程先于操作系统的启动,在用户提供口令和安全令牌,认证成功后才开始导引操作系统。同时还对系统的原MBR进行了加密操作,保证了磁盘分区表的安全性。在服务器磁盘静态数据的信息泄露频频爆发,危害日益扩大之时,本课题的研究成果,对提高信息安全水平,促进信息化发展都将起到积极的作用。