（信号与信息处理专业论文）硬件加密系统研究与应用.pdf

摘要 硬件加密系统研究与应用 摘要 随着计算机网络应用的普及和发展，信息安全作为新兴学科日益 受到重视。而传统的软件加密技术已经越来越不能满足信息安全对运 算速度和系统安全性的需求。在很多涉及信息安全的系统中，人们采 用了诸如高速数据密码卡、密码机、智能卡、u s bk e y 等硬件密码设 备来提高密码运算速度和系统的安全性。以密码设备为核心的硬件加 密系统已成为构筑信息安全平台的重要一环。 本文正是在这种背景下，结合当前信息安全行业的需要，对基于 硬件的加密系统进行了研究。并结合硬件加密系统的具体实现从系统 安全性、运算效率、服务提供形式等方面提出硬件加密系统性能优化 的几点改进。 本文主要研究成果如下： 1 分析了硬件加密系统的特点，从密钥保护、系统完整性、数据 处理效率以及防止物理逆向攻击等方面对比了硬件加密系统与软件加 密系统的优缺点。对硬件加密系统从安全性上进行归纳总结，抽象出 硬件加密系统基本理论模型。 2 对硬件加密系统身份认证过程进行分析，并结合智能卡的双因 子认证原理设计了一种基于多用户分散保存主密钥因子的认证管理策 略。该策略采用秘密因子分享方式，避免了传统身份认证中管理员权 限过大的弊端，具有很强的实用价值。 3 从层次结构、使用灵活性等方面对系统上层软件结构进行优化。 实现了底层高速数据交换，提高了系统数据处理效率，降低了数据处 理过程中对上位机资源的依赖程度。基于基本功能接口的应用接口层 次设计，大大提高了中间层的重复利用率。 4 对u s b 密码机的硬件体系构成进行了分析，然后结合s o c 技 术，总结了以i p 核为基本集成单元的单芯片技术在密码设备中的应用。 5 分析了影响r s a 算法运算速度的几个关键问题，结合r s a 算 法几种优化措施，提出了加速r s a 算法运算的有效方案。首先提出了 北京邮电大学硕士研究生论文 一种将模幂运算分解成模乘和模平方运算，并应用m o n t g o m e r y 算法改 进模乘运算的r s a 加速方案。其次基于目前常见的支持并行处理的硬 件乘法器以及中国剩余定理( c h i n e s er e m a i n d e rt h e o r e m ，c r n ，提出了 基于并行处理的r s a 运算改进方法。 文章的末尾结合认证授权审计似u t h e n t i c a t i o na l u t h o r i z a l i o n & a u d i t i n g ，a a ) 系统和文件加密服务器系统介绍了硬件加密系统在实 际中的应用。 关键字硬件加密系统、数据密码卡、片上系统、r s a 算法 竺j 堡垒g 一一 t h er e s e a r c ha n da p p u c a t i o n o fh a r d w a r ec r y p t o g r a p h i c s y s t e m w i t ht h e p o p u l a r i z a t i o na n dd e v e l o p m e n t o fc o m p u t e rn e t w o r k ， i n f o m l a t i o ns e c u r i t yb e c o m e so n eo ft h en e wr c s e a r c hh o t s p o t sa tp r e s e n t a n da t t r a c t sal o to fa t t e n t i o n 7 i i a d i t i o n a lc r y p t o g r a p h ym e t h o db ys o f t w a r e a l g o r i t h mc a nn o t m e e t p e o p l e s n e e do ne f ! f i c i e n c ya n ds e c u r i t yi n i n f o r m a t i o ns y s t e m i nm a n yf i e l d sr e l a t e dt oi n f o r m a t i o ns e c u r i t y ，p e o p l e u s eh a r d w a r ec r y p t o g r a p h i cs y s t e m ，s u c ha sc r y p t o g r a p h i cp r o c e s s o f 、 c r y p t o g r a p h i ca c c e l e r a t o r 、s m a r t c a r do ru s bk e y ，t op r o v i d eh i g hs p e e d d a t a 叩e f a t i o na n dt oi m p r o v et h es e c u f i t yo ft h ew h o l es y s t e m h 甜d w a r e c r y p t o g r 印h i cs y s t e mb a s e d o nh a r d w a r ee q u i p m e n th a sb e c o m ea n i m p o r t a n tp a r to fs e c u r en e 觚o r kp l a 怕n 1 1 a tt h eb a c k g r o u n do ft h i s ( 1 e v e l o p m e n t ，t h i sd i s s e r t a t i o nm a k e sa c o m p l e t er e s e a r c ho nh a r d w a r ec r y p t o g r 印h i cs y s t e m w i t ht h ea n a l y s i s a n dc o n c r e t ee x a m p l eo nh a f d w a r ec r y p t o g r a p h i cs y s t e m ，s e v e r a lp l a n s a r ep u tf o r w a r dt oi m p r o v et h ep e r f o r n l a n c eo fs e c u r i t y 、e f f i c i e n c ya n d s e r v i c es t y l e t h em a i nr e s u n si nt h i sd i s s e r t a t i o na r ea sf b u o w s ： 1 a n a l y z e sm ec h a r a c t c ro fh a r d w a r ec r y p t o 掣a p h i cs y s t e ma n d c o m p a r e sa n dc o n t r a s t si tw i t hs o f t w a r ec f y p t o g r a p h i cs y s t e mf r o mt h e p r o t e c t i o no fk e y s 、s y s t e mi n t e g r a t i o n 、e f f i c i e n c yo fd a t ap r o c e s s i n ga n d p h y s i c a ls e c u r i t y s u m m a r i z e st h e s e c u r i t y m o d e lo fh a f d w a r e o y p t o g r a p h i cs y s t e ma n dp u t sf o r w a r di t sb a s i cm a t h e m a t i c a lm o d e l 2 鸟m a l y z e st h e a u t h e n t i c a t i o np r o c e s so fh a r d w a r ec r y p t o g r a p h i c s y s t e m t h i sd i s s e r t a t i o nd e s i g n sam u l t i u s e ru n i t e dm a n a g e m e n tp o l i c y o ns m a r tc a r d st w o f a c t o r sa u t h e n t i c a t i o nt h e o r y t h i sp o l i c yd i v i d e st h e m a i nk e yi n t os e v e r a lf a c t o f sa n du s e st h e s ef a c t o f st oh i d ea n dp r o t e c tt h e i i i 北京邮电大学顿七研究生论史 c r l l ev a l u eo fm a i nk e y e v e r yu s e rh e l da n dk e p to n l yo n ek e yf a c t o r b y t h em e a no fs e c r e ts h a r i n g ，i tp r e v e n t st o om o r ep o w e ro fe v e r yu s e ra n d t h i sp o l i c yh a sv e r yp r a c t i c a lv a l u e 3 0 p t i m i z et h es t m c t u r eo fs o f t w a r ei n t e r f a c ef r o ms t m c t u r ea n d f l e x i b i l i t y i m p l e m e n th i g hs p e e dd a t ac o m m u n i c a t i o nt oi m p r o v et h es p e e d o fd a t ap r o c e s sa n dr e d u c et h ed 印e n d e n c eo nh o s t n l ea p p l i c a t i o n i n t e r f a c ei sd e s i g n e do nt h eb a s i cf u n c t i o ni n t e r f a c e t h i ss t m c t u r er e u s e s m i d d l e w a r ea n ds i m p l i f i e ss y s t e m sh i b e f a r c h y 4 a f t e f a n a l y z i n gt h eh a r d w a r es t m c t l l r eo fu s bc r y p t o g r a p h i c e q u i p m e n t ，t h ed i s s e r t a t i o ns u m m a r i z e st l l ei m p l e m e n to fs i n g l ec h i pi n c r y p t o g f 印h i cs y s t e m n es i n g l ec h i pi se s t a b l i s h e do ns o ca r c h i t e c t u r e ， a n dh a si pc o r ea si t sb a s i ci n t e g r a t ec i r c u “c e l l 5 s e v e r a lk e yp o i n t sw h i c hi n n u e n c e0 nr s a ss p e e dh a v eb e e n a n a l y z e di n t h i sd i s s e r t a t i o na n ds e v e r a ls c h e m e sw h i c hc a ns p e e du p r s a so p e r a t i o na r ep u tf o r w a r do nb a s i so fo p t i l n i z i n ga l g o r i t h m f i f s t ， t h i sd i s s e r t a t i o nd i s c u s s e sh o wt oc h a n g em o d u l ee x p o n e n ta r i 也m e t i ct o m o d u l em u l t i p l i c a t j o n 柚dm o d u l es q u a f e ，a n dh o wt o i m p r o v cm o d u l e m u l t i p l i c a t i o nb ym o n 谵o m e r ya r i t h m e t i c i nt h i sw a y ，r s a se f f i c i e n c y c a nb ei m p r o v e da1 0 t f i n a l l yt h i sp a p 口p r e s e n t sa ne 简c i e n tm e t h o dt o i m p r o v et h ep e - 0 r m a n c eo fr s ah a r d w a r e n i sm e t h o di se s t a b l i s h e do n p a r t i a lp a r a l l e lm u l t i p l i e ra n dc h i n e s er e m a i n d e rt h e o r e m ( c r l la n dc a n s p e e du pr s aa r i t h m e t i ci nh a r d w a r e a tt h ee n do ft h ed i s s e r t a t i o n ，w et a k et w op r o p o s e ds e c u r i t vs o l u t i o n s a a a s e c u r i t yp l a t f o n na n de n c r y p t i n gf i l es y s t e mf o re x a m p l e ，a n d s u m m a r i z et h ea p p l i c a t i o no fh a r d w a r eq 。y p l o g r a p h i cs y s t e mi nd a i l yj i f e f i n a l j y ，w ed e s 州b et b ef u t u r eo fh a r d w a r ec r y p l o g f a p h i cs y s c c m k e yw o i u d sh a f d w a r ec f y p t o 伊a p h i cs y s t e m 、h i 曲s p e e dc r y p t o c a r d 、s o c 、r s aa l g o r i t h m 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包 含其他人己经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均己在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 垂望 日期： 丝! ：墨：堑 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在年解密后适用本授权书。非保密论文 注释：本学位论文不属于保密范围，适用本授权书。 本人签名：丛 日期：趔：墨丝 导师签名 二 日期：塑! ：墨：兰 第一章绪论 第一章绪论 随着人们步入信息化的时代，计算机技术已经进入人们生活的各个领域。人 们在随时、随地、无困难地享用各种计算能力和信息服务。各种计算和通信系统 已经成为人类生活环境的重要组成部分，他们以多媒体形式收集、分析、存储、 展示和传播信息，并作为独立产品或与物理产品相结合为人类的政治、经济、军 事和文化服务。安全有效的使用各种信息已经成为保证人类社会发展的重要基石。 在这种背景下，信息的安全越来越受到人们的重视。 信息安全是一个综合的、交叉学科的领域，通过综合利用数学、物理、通信 和计算机等诸多学科的长期知识积累和最新发展成果，进行自主创新研究，提出 系统、完整、协同的解决方案。与其他学科相比，信息安全的研究更强调自主性 和创新性，自主性可以杜绝后门，保护国家主权；而创新性可以抵抗各种攻击， 适应技术发展的需求。如何利用现有的信息安全技术，设计和实现一个完整、全 面的计算机安全系统解决方案，是当今信息安全界需要思考的一个问题。 本文讲的安全，重点并不在通常所提的防病毒、网络防火墙、入侵检测等确 保信息系统本身正常工作的内容，而是信息的加密保护、用户身份认证、电子交 易确认和收费保护的安全等，更偏重于密码学的内容，这些方面是搭建网络信任 体系的基石。而这些方面的安全功能往往是由不同的安全元件实现，并且需要在 通用系统中互相配合使用。 计算机与网络是目前信息安全技术主要研究对象。根据计算机系统的组成， 信息安全可划分为：应用软件安全、数据库安全、操作系统安全和网络软件安全。 操作系统用于管理计算机资源，控制整个系统运行。它直接和硬件打交道并为用 户提供接口，是计算机软件的基础，也是信息安全的基础。安全技术已经成为操 作系统的一个重要方面。人们在很多情况下都是通过操作系统来保证信息安全的。 而系统中的安全又是一个整体的概念，必须从体系架构入手来提出解决方案。安 全的密码体系框架是操作系统的重要组成部分。 有效的使用信息安全技术还存在一些急需解决的问题：一方面功能强大的信 息安全技术实现起来越来越复杂，要想实现一个安全的应用系统，在设计、开发、 维护各个阶段都需要较高的专业知识以及丰富的经验。我们不能要求每一个工作 人员都能胜任这一工作。另一方面，各种不同的加密技术实现带来诸多问题，例 如实现的随意性很强没有”1 1 个统一标准，各个实现之间互通困难，各种实现没有 北京邮电大学硕士研究生论文 可比性，不同系统使用不同的配置、安全策略。这些问题都导致无法确傈信息的 安全。 1 1 理论背景 信息安全技术的理论基础是现代密码学1 1 j ，其作用通常体现在保护秘密信息和 增加身份认证安全性两方面。保护秘密信息意味着没人能够闯入你的系统，从而 读取你的敏感数据信息，通常称为保密性。身份认证属于完整性范畴，具体而言 就是一种验证用户合法身份以防止非法用户访问敏感信息的机制。 密码学理论的基本思想是对机密信息进行伪装。加密者对需要进行伪装的机 密信息进行加密变换，得到另外一种看起来似乎与原有信息无关的密文，当合法 用户接收到伪装信息后，他可以从这些看似杂乱无章的数据中恢复出原有的机密 信息，而非法用户则不具有这种信息解密恢复能力。 根据加密变换是否可逆，加密过程可分为单向密码变换以及双向密码变换。 典型的单向变换包括m d 5 、s h a 1 等密码算法，这类密码变换具有不可逆转性， 使得加密变换后的密文很难再次恢复成明文，而且即使两个明文之间仅存在微小 差别得到的密文也不会雷同。人们统称单向密码变换的密码算法为哈希算法。这 类算法通常用在信息完整性鉴别技术中。 双向密码变换根据加密运算与解密运算中所使用的密钥是否相同，可分为对 称密钥密码和公开密钥密码。对称密钥密码体制基于复杂的非线性变换，目前已 经公开的d e s 、3 d e s 、a e s 、i d e a 等算法都已得到广泛应用。其中，d e s 成为 一个世界范围内的数据加密标准己经2 0 多年了，至今仍然得到广泛的应用。a e s 是取代d e s 的新的数据加密标准，近年来a e s 的应用迅速增长。a e s 、d e s 、 3 d e s 以及i d e a 是目前应用最广泛的对称密钥算法。 1 9 7 6 年，d i f f j e 和h c l l m a n 在密码学的新方向一文中提出了公开密钥密码 思想，从而开创了现代密码学新领域。公开密钥密码是一种非对称密钥密码。每 位用户分别拥有两个密钥：加密密钥和解密密钥，两种密钥截然不同，并且不能 相互推导、转化。作为数据加密用途时，加密密钥可以公开给其它用户，而解密 密钥作为私钥，只能由用户自己严密保存。任何人都可以使用公开的加密密钥加 密文件，但是只有用户自己拥有的解密密钥( 即私钥) 才能解密文件。作为签名 目的时两者证好相反，验证密钥可以公开，签名密钥由用户自己保存。 由于公开密钥算法的运算速度远远低于对称密钥算法，在现实应用中大量的 数据多用对称密钥算法进行加密，而公开密钥算法则多用于传递和分发对称算法 的密钥、数字签名等领域。公丌密钥算法中最著名并且应用最广泛的就是r s a 算 法，其它如d s a 以及d i f f i e h e n m a n 算法也被广泛使用。r s a 既可以用于加解密， 第一章绪论 电可以用于数字签名和交换密钥；d s a 只能用于数字签名，d i f f i e h e l l m a n 只能用 于交换密钥。 现代信息安全体系就是建立在公开密钥算法、对称密钥算法和哈希算法基础 上的。在具体实现过程中，除了密码学计算理论之外，信息安全技术还包括诸多 安全协议、数据添充标准等内容。这些协议、标准大多建立在理论基础上，为安 全技术的实现提供了重要依据。 1 2 安全系统设计与实现 信息安全的目的就在于保证数据信息在确定的时间内，在确定的地点、条件 下只能被拥有使用权限的人( 或组人) 所使用或识别。加密是实现信息安全的一种 重要手段，加密技术可使一些重要数据存储在不安全的计算机上，或在不安全的 信道上传送，只有持合法密钥的一方才可以获得明文。然而仅仅考虑加密算法是 不足以确保数据安全性的，再好的加密算法也需要系统的支撑，这就必然需要从 系统的角度来考虑数据的安全性。除了加密算法，还必须考虑在数据加密和存储 过程中所可能发生的攻击行为，由此就提出了信息安全对系统的要求。 一般而言，信息安全至少应具有以下五个方面的特性： 1 机密性：防止未经授权的信息获取，如未经授权，则无法理解信息本身的 真正涵义( 力密信息) 等。 2 完整性：防止未经授权的信息更改( 修改、删除、增加) ，如未经授权无法 对信息进行任何形式的更改。一般用于防止对信息的主动、恶意的篡改。 3 可获取性：防止未经授权的信息截流( 在信息传输过程中的非法截耿) 。 4 真实性：真实性就是通过一系列的技术手段验证信息的真实性。 5 持久性：指长时间信息保存的可靠性、准确性等 从技术角度来看，采用软件实现的加密系统虽然系统成本较低，但是具有占 用主机系统资源较多、核心模块容易被跟踪和替换、密钥管理难度较大的特点。 另外，目前用户使用的操作系统和大量的系统软件均为国外研制和开发，很难保 证这些系统没有留下后门，采用软件实现的加密系统可能会给这些系统留下窃取 机密信息的机会，因此采用硬件实现信息的保密是十分必要的。 使用硬件加密设备不仅可以减轻主机系统内存和c p u 的负担，从整体上提高 服务器的性能，还能进一步提高系统的安全性，从而推动各种安全应用的快速发 展。 北京邮电大学硕士研究生论文 1 3 本文研究范围 本文主要针对硬件加密系统进行研究和分析，涉及内容包括硬件加密系统结 构的分析、应用编程接口的设计、密码算法的优化。主要工作分为两部分：1 ) 实 现一个高速数据密码卡系统；2 ) 从安全性、速度等方面对密码设备进行优化。 数据密码卡作为常用的一种密码设备，具有普遍代表性。在设计数据密码卡 系统相关工作中，本人主要参与了上层用户应用编程接口开发以及系统身份认证 模块的实现。 为了提高硬件加密系统的性能，结合当前出现的几种新技术，我从算法提速、 身份认证、软件层次等方面对其进行了优化。主要工作包括对r s a 算法几种改进 方案的总结，并结合实际改进了r s a 算法；提出新的身份认证模型；对u s b 接口 的密码机进行了分析。 第二章硬件加密系统 第二章硬件加密系统 硬件加密系统可以描述成通过使用系统硬件资源安全的、便捷的对上层应用 提供包括密码运算、密钥存储、随机数生成在内的诸多安全服务。硬件加密系统 包含一个能存储敏感信息、自主完成与密码运算相关操作的硬件设备。通常称这 类设备为密码设备。外界只能通过定义好的接口调用其中功能，不能直接访问其 中的敏感信息，也不能对其中进行的运算任务进行干预。任何对密码设备的非法 访问都将被加密系统阻止。当非法访问严重威胁加密系统安全时，加密系统可以 采取包括自毁在内诸多防护措施。 2 1 硬件加密系统优点 虽然与硬件加密系统相比，软件加密系统具有开发时间短、研发成本低、部 署维护方便等特点。但硬件加密系统在抵御攻击、密钥的安全存储、运算速度等 方面可以提供较软件加密系统更优质的服务。基于这些因素，在某些场合硬件加 密系统起着软件加密系统不可替代的作用。 2 1 1 种子密钥的保护 首先，如何安全的使用密钥对加密系统来讲至关重要。加密系统中的种子密 钥用来保护加密系统内敏感信息，需要长期保存下来。对于软件加密系统来讲， 通常以密文形式将种子密钥保存在计算机硬盘上的文件中。攻击者可以使用多种 方式获得这个文件，并使用穷举等手段加以攻击。种子密钥的安全性难以得到保 证。而且在密码运算过程中，种子密钥在参与运算时必须以明文方式出现在内存 中，虽然可以采取一些措施加以保护，但是很难保证它的绝对安全。 在硬件加密系统中，种子密钥保存在密码设备的物理器件中，如专用的 f l a s h ，从物理上断绝了非法访问密钥的可能性。而且还可以通过专门的保护电 路防止物理攻击，以提高种子密钥的安全性。同时，与种子密钥相关的所有操作 都在密码设备内完成，充分保证了种子密钥的安全性。 北京邮电大学硕士1 ) f 究生论文 2 1 2 完整性保护 其次，硬件加密系统可以保证系统运行时的完整性，而软件系统则很难做到 这点。硬件加密系统以密码设备为基础，并配以相应的软件程序。硬件加密系 统中的密码算法芯片一般采用反熔丝的f p g a 或a s i c 实现，难以破解或更改。而 相应的控制程序也是通过专用设备写入到密码设备内的f l a s h 芯片，并加以保护， 攻击者很难非法改写。此外，核心程序运行在密码设备内专用的r a m 上，它在物 理通路上与外界隔绝，使得攻击者不能非法访问、修改程序中的数据。而软件加 密系统直接利用计算机系统的软硬件资源，它的安全受制于计算机系统本身限制。 攻击者可以使用各种手段访问、篡改密码运算过程中的数据，甚至直接控制运算 的流程。因此大多数计算机系统都不能保证软件加密系统的完整性。软件加密系 统在防止外部非法访问、篡改数据等方面，很难实现加密系统对于完整性的要求。 2 1 3 运算速度 再次，硬件加密系统可以提供与软件加密系统相比更高速的服务。随着芯片 制造业的飞速发展，目前在数据处理速度上，相对于采用软件处理，使用专门为 加密系统设计的硬件处理器可以得到更高的运算速度。例如，使用公钥密码协处 理器以及相应算法运算芯片进行运算，与进行同样运算的软件系统相比可以将运 算速度提高1 0 0 倍以上。这样高速的数据运算正好可以满足实际应用对于高速运 算的需要。相比之下，软件加密系统的运算速度主要依赖于计算机系统效率，在 需要高速密码运算的应用中，软件加密系统很难胜任。另外，软件加密系统直接 使用计算机系统资源，当进行密码运算时需要占用较多的系统资源，可能会影响 系统中其他应用的正常运行。而对于最终用户来讲他们真正关注的是具体的业务 应用，在他们看来加密系统应该是透明的，而不应该影响到业务系统。在这一方 面硬件加密系统具有很大优势。 2 1 1 4 防止逆向工程 最后，在阻击逆向工程攻击方面，硬件加密系统更具有无与伦比的优越性。 在软件加密系统中，以w i n d o w s 系统为例，通过使用反汇编技术或者类似s o n i c e 软件对系统运行时内存、寄存器、变量进行监视，可以获得程序运行过程中的某 些关键信息，从而达到破解软件获取敏感信息的目的。更有甚者，攻击者可以通 过监视程序的输入输出、扫描程序数据区，以造成更大危害。相比之下，反汇编 软件无法对硬件加密系统进行监视。在硬件加密系统中，与密码相关的运算可以 放在密码设备专用处理器上完成，不使用专门的设备难以跟踪。从而极大地减少 6 第一章硬件加密系统 了系统被破解的可能。 综上所述，硬件加密系统与软件加密系统相比具有安全性高、运算速度快、 应用范围广的优点，因此被广泛使用在各种安全系统的解决方案中。 2 2 硬件加密系统功能分类 硬件加密系统通常包括硬件密码设备、控制软件、驱动程序、接口软件以及 应用程序等组成部分。根据系统中密码设备与接口软件的分工层次不同，硬件加 密系统可以分为以下四种： 2 2 1 对种子密钥、私钥进行保护 使用密码设备保存对称算法的种子密钥与非对称算法的私钥，并且完成与这 两个密钥相关的密码运算，其他工作则由接口软件完成。这种方式实现了一种相 对简单的硬件加密功能。它可以保证对称算法的种子密钥与非对称算法的私钥不 离开硬件加密设备即可完成相应的密码运算。从而有效防止非法获取、修改这些 密钥，以保证加密系统的安全。例如在基于这神形式的v p n 网关中，r s a 的私钥 和预共享密钥保存在硬件设备中，与这两个密钥相关的运算( 如l k e 交换中的数 字签名) 也在硬件设备中完成。其他密钥( 如会话密钥) 以及运算工作( 如消息 数据加解密) 由软件完成。这种方式对硬件的要求相对简单，但是必须使用计算 机系统资源完成部分功能，在速度上会受到限制。 2 2 2 保护会话密钥 在保护对称算法的种子密钥与非对称算法的私钥基础上，还可以将会话密钥 放入硬件设备中加以保护。这样可以保证会话密钥也不离开硬件加密设备，从而 进一步提高系统的安全性。在使用基于这种形式加密系统的v p n 网关中，会话密 钥的生成、销毁以及相关运算工作都由硬件完成。 2 2 3 保护所有密码操作 在保护密钥的基础上还可以将所有与密码相关的操作全部移入硬件设备。这 些操作包括随机数生成、密钥的生成销毁存储、证书的存储、加解密、签名验证、 密钥协商与建立协议等操作。在使用基于这种形式加密系统的v p n 网关中，所有 密码相关工作都由硬件完成。这样做不仅提高了系统的安全性，而且还保证了系 北京邮电大学硕士研究生论文 统的运算速度。这种方式对硬件要求较高，硬件设备中不仅要设有微处理器、存 储器，还需要相应的随机数发生器等其他芯片。而且由于运算量与存储量的增大， 往往使用协处理器与大容量的f a l s h 存储器。但是这种方式可以为加密系统提供 相当的安全保证。 2 2 4 保护密码的使用过程 在使用过程中，很多与密码处理相关的操作往往也会导致加密系统出现问题。 如操作系统的完整性可以直接危及到加密系统的安全性。硬件加密系统也可以对 这些与密码操作相关的操作提供保护。这种方式提供了较高的安全性保证。实现 起来也最为困难。其中涉及到对操作系统进行较大的修改，难以推广。 上述几种类型的硬件加密系统提供了从最基本的种子密钥保护到最完整的相 关操作保护，实际使用时可以根据需要灵活选择。目前比较常见的是保护所有密 码相关操作这种类型。 2 3 硬件加密系统模型 安全性、运算速度、使用方便是评价硬件加密系统性能的几个重要指标。它 们涉及到系统的硬件组成、密码运算速度、软件设计、安全管理策略等方面内容。 硬件加密系统以密码设备为基础辅以必要软件实现了这些要求。 硬件加密系统可以分为密码设各与接口软件两大部分。密码设备是硬件加密 系统的核心，是各种安全服务功能的提供者；接口软件是硬件加密系统的调用界 面，为应用程序调用硬件加密系统提供的功能提供接口。密码设备又可以划分为 硬件电路、控制软件、密码算法、底层固件等几部分；其中硬件电路又包括接口 电路、控制电路、密码运算电路、存储电路。接口软件则由驱动程序、基本编程 接口、标准应用编程接口组成；其中基本编程接口是硬件加密系统提供的基本接 口，使用起来比较灵活效率也很高，但是不同厂商的基本编程接口一般都互不兼 容；标准应用编程接口是业界的标准接口实现，常见的标准接口有p k c s # 1 l 、c s p 等等，这些标准接口为应用程序提供一个统一的调用形式。 第二章硬件加密系统 成f | 1 彖铙 标凇缡耘凇豁钿、椎编 躐蕊川樱建纠f 挂 缺水编艘摧【l 瓤动甜瞄 援 r l 彗箨 像移t 靴溥摊删q 姗测击庠 般八式系统 蘸珙l | i f 州 控制 存储 瓤搬r p 吹密磁 数嶙微处协蛏 电绦 蛳 f 麝滁媸器理器 2 4 对d p a 攻击的防护 骥钭栅轷莩系统 图2 1 硬件加密系统模型 针对硬件加密设备的大量使用，基于物理特征的新一代密码分析技术也逐渐 发展起来。它们包括电压分析技术、故障分析技术、侵入分析技术、时间分析技 术、能量分析攻击技术、电磁辐射分析技术、高阶差分分析技术和汉明差分分析 技术。这些攻击方法中最有效的就是能量分析攻击，能量分析攻击又分为简单的 电流分析技术s p a ( s i m p l ep o w e ra m a l y s i s ) 攻击和差分电流分析技术d p a ( d j f f c r e n c ep o w e ra _ n a l y s i s ) 攻击，对密码设备威胁最大的就是d p a 攻击。 d p a 攻击技术主要基于密码设备的物理特征，其原理是分析数据在加密算法 运行过程中呈显的电流电源变化规律从而获得密钥。利用这种技术，攻击者可以 在获得密码算法运行载体( 计算机、保密机、加密盒、i c 卡等等) 的情况下快速 获得密钥，从而破译整个密码系统。例如：破译i c 卡的d e s 运算，只需要1 0 分 钟。 以一个r s a 的数字签名为例，在该计算中由于私钥相应位取值的不同，其对 9 北京邮电大学硕上研究生论文 应的物理输出也会呈现出不同的梯形电压波形。若电压梯形高度较低则私钥相应 位为o ；若电压梯形高度较高则私钥相应位为1 。在知道了私钥每位值后，签名密 钥就被破译了。 为了防止密码设备中敏感信息被非法获取，必须尽量减少密码设备泄露的物 理信息。任何。一台电子设备工作时都会产生电磁辐射，密码设备就是通过工作时 产生的电磁辐射向外泄露物理信息的。要减少物理信息的泄露必须采取有效的措 施，尽量减少设备的电磁辐射。抑制、屏蔽电磁辐射技术主要有：对设备进行必 要屏蔽、良好的布局与布线、良好的接地、信号线与电源线的滤波。安全性要求 更高的地方还可以采用噪音干扰技术，掩盖实际泄露的信息。 针对d p a 攻击还可以通过软件方面的调整加以防范。主要的措施有：盲化密 钥，使密钥随机化加大分析密钥的难度；避免条件分支语句执行，这样不同的密 钥运算顺序基本一致，攻击者无法判断密钥；平衡能量消耗，运行一些无用的操 作在一些伪元件上，使能量消耗保持一致；使用改进的算法，这些算法在有泄露 信息的情况下还可以保证安全。为了保证密码设备安全性，这些算法通过牺牲效 率来换取安全性，它们主要是通过增加冗余运算，使得用所有密钥进行运算的运 算量相当于所用算法的最大运算量。比如对于模幂运算，通过增加冗余运算使得 所有模幂运算( 对与相同的模数而言) 的运算量都相当于幂指数( 密钥) 位为全1 的运 算量。 通过综合运用上述措施可以在相当程度上提高密码设备的安全性，保护密码 设备中敏感信息的安全。 2 5 小结 本章对比软件加密系统与硬件加密系统的优缺点，总结并提出了一个硬件加 密系统的模型。本文将在第3 、4 章中结合课题“高速数据密码卡的设计与密码设 备性能优化”对硬件加密系统从安全性、运算速度、用户接口等方面进行说明， 最后第5 章以实际应用系统为例，说明硬件加密系统在信息安全方面的具体作用。 1 0 第三章高速数据崧妈卡系统 3 1 总体结构 第三章高速数据密码卡系统 在硬件加密系统中，使用密码设备提供高速、安全的数据加解密、数字签名 与签名验证等基础密码服务，以完成信息的安全存储和加密传输。密码设备主要 包括数据密码卡、加密机、u s b 密码机以及智能卡等。数据密码卡与加密机常用 于大批量的密码运算，u s b 密码机与智能卡一般用于密钥存储、身份认证等方面。 数据密码卡与加密机相比具有成本低廉、使用方便且具有相当安全性等优点， 所以作为解决信息安全问题的一种基础密码解决方案，数据密码卡得到了广泛应 用。 数据密码卡主要由高速数字处理器、密码算法协处理器、随机数发生器、接 口电路、n a s h 闪存、防篡改安全模块、p c i 接口控制芯片、双端口r a m 和逻 辑控制单元等部分组成。其中高速数字处理器是数据密码卡的中央处理器，由于 主要密码算法可以交由密码算法协处理器来实现，因此高速数字处理器只参与数 据密码卡中的软件逻辑控制管理和一些并不复杂的密码算法，不需要参与非常复 杂的公钥算法运算。随机数发生器利用物理噪声源产生随机数，f l a s h 闪存、防 篡改安全模块用于保存敏感信息，r a m 用于充当密码运算的内存。接口电路是唯 一合法访问密码设备的途径，其他部件都必须采取措施加以保护。 在数据密码卡系统设计时通常需要遵循如下几条原则： 安全性：数据密码卡必须提供保护自身的多种安全措施，以保护数据密码 卡中敏感信息不被非法获取、篡改。 先进性：数据密码卡必须广泛采用业界标准和协议，并保持和国内外最新 密码技术和硬件技术同步。 可扩展性：数据密码卡必须能够方便的进行功能扩展，通常的实现一般采 用高性能d s p 处理器、大容量存储器，并支持多种a p l 接口协议和规范， 使之可以方便的实现多种密码算法，支持多种安全通信协议，如l p s e c 协 议和c s p 协议。 易操作性：数据密码卡一般具有良好的人机界面，提供功能完善的a p i 接 口，开发和使用都应该十分方便。 北京邮电人学硕士研究生论义 多平台适用性：数据密码卡可用于多种不同的操作系统平台，常见的如 w i n d o w s 、“n u x 等。 符合国家法律法规：数据密码卡在实现过程中必须满足国家法律规定，一 般采用国家密码管理委员会办公室认可的芯片，如s s p 0 2 一a 密码算法芯 片、中兴s s x 0 4 模幂乘密码算法协处理器、w n g 一4 噪声源芯片等。 在密码运算功能方面，数据密码卡应支持各种常见的算法，如高速r s a 运算、 国密办认可的国产密码算法、哈希算法以及利用自然噪声源产生随机数。 3 1 1 硬件结构 硬件电路是密码设备的基础，是实现密码设备各项功能的物理载体。硬件电 路的设计、芯片选型、防护措施直接决定了密码设备的抗攻击能力、运算速度。 我们的数据密码卡结构如下图3 1 所示： 图3 1 数据密码卡的基本结构 数据密码卡把多种密码算法芯片集成于体，密码算法均采用硬件实现。对 称算法由国密办认可的密码算法芯片实现；随机数据通过w n g 4 产生，采集物理 噪音充分保证了随机数的高随机性；为了快速实现r s a 公钥算法，大数模幂和大 数模乘运算运用了二片专用高速模幂和模乘协处理器芯片并行工作，并结合并行 算法技术、队列缓存技术、中国剩余定理，提供了很高的密码运算处理能力。 为满足高速运算与复杂控制能力，数据密码卡采用高速数字处理器d s p 作为 中央控制器，它是整个数据密码卡的核心。d s p 采用修正哈佛总线结构，具有硬 件乘法器和多功能单元并且采用专用寻址单元和流水线处理，因此程序执行效率 高，乘法运算速度快，很适合用作数据密码卡的中央处理器。由于采用密码协处 理器进行r s a 运算，d s p 总体负担较轻。这样做既减少技术难度，优化了设计， 也为以后扩展留有余地。在本设计实例中，我们采用美国t l 公司的3 2 位高速d s p 第三章高速数据密码卡系统 处理器t m s 3 2 0 c 3 2 来实现卡上的程序管理和密码算法控制。 计算机主机与密码卡之间的通讯使用p c i 总线形式，p c i 接口控制采用通用的 p c i 接口芯片，这样做能够减少开发时间和成本，并且可以获得可靠的数据传输性 能。两者之间的数据交换采用共享内存以及双端口r a m 技术，利用d m a 传输方 式可以在主机与密码卡之间实现大块数据的快速交换，数据交换速率达到了近千 兆b p s 。采用的随机数发生器和密码算法协处理器都是经过国家专门部门批准的， 不仅符合国家法律法规，而且能够提供高质量的随机数和安全、可靠、快速的对 称密码算法以及r s a 、e c c 等公钥密码算法。逻辑控制单元采用了c e ip f p g a 技术，单片c e l p 芯片就实现了整个数据密码卡电路的逻辑控制，从而使得数据 密码卡的面积减小，稳定性提高，而且其反熔丝工艺防止了非法分子的电路逻辑 跟踪，更加保障了卡的自身安全。 另外，密码卡可以通过r s 2 3 2 接口与智能卡读卡器相连，利用智能卡对数据 密码卡操作员进行身份认证( 数据密码卡可由一个或是多个操作员来管理) 。密码卡 的主密钥分散密存在智能卡内，实现了对主密钥的安全管理，进一步提高了安全 性。此外，密钥管理方面，采用了完善的三级密钥管理体系，这种体系保证了密 钥产生、存储、使用、销毁等环节的安全性。同时还采用一些物理保护措施防止