（信息与通信工程专业论文）基于linux平台加密服务器设计与实现.pdf

摘要 进入信息时代，人们对信息的安全传输、安全存储、安全处理的要求越来越迫切。 信息安全研究的内容很多，加密技术足最关键的。 本文研究的主要是基于l i n u x 下的加密服务器，它是医疗保险信息系统安全予系统的 核心部分。因此，在功效和性能方面都有较高的设计目标。水文首先闸述了一个功能完 备的加密服务器的设计原理和实现思路，接着完成了安全机制的设计和安全性分析，在 此基础上对系统的可靠性进行了讨论，提出了提高系统可靠性的具体措施。 论文主要完成了以下工作： 参与完成了安全系统总体方案的设计。 设计了l i n u x 下的加密服务器的总体结构，包括软硬件的有机组合，综合考虑了 完备性、安全性和可靠性要求。 研究了l i n u x 的基本内核结构，在此基础上设计并实现了l i n u x 上p c i 密码卡的 驱动程序。 多方面考虑了加密服务器的安全性，设计了一套管理员、操作员、数掘和应用程 序互相制衡的安全机制，可以保证加密服务器自身和应用安全。 提出并实现了一种用于加密存贮的新方案。 设计完成了一套密码卡及加密服务器的通用丌发接口s e ca p i ，该a p l 分四层 结构设计，兼备了可用性、安全性、灵活易用性、通用性录1 可扩展性，并大大提 高了系统的可靠性。 根据实践经验，提出了软硬件可靠性的关系模型和一种分析系统可靠性的方法。 提出了负载均衡、安全通道迁移等增强可靠性的措施。提出了实现负载均衡的几 种算法及其改进思想。 关键词：加密服务器、加密技术、安全策略、密钥管理、s e ca p i 、系统可靠性、l i n u x 、 p c i 驱动程序 a b s t r a c t w i t hp e o p l ee n t e r i n gt h ee r ao fi n f o r m a t i o n ，t h er e q u i r e m e n tf o rt h es e c u r i t yo ft h ed a t a w h i c hw i l lb et r m l s m i t t e d ，s t o r e do rp r o c e s s e dw i l lb em o r ea n dm o r ee x i g e n ta n di m p o r t a n t t h ea s p e c t st h a ti n f o r m a t i o ns e c u r i t y h a sb e e nr e s e a r c h e d a r ea b r o a d ，a n de n c r p y t i o n t e c h n i q u e si so n e o ft h em o s ti m p o r t a n tk e yt e c h n i q u e i nt h i st h e s i s ，t h ea u t h o rs t u d i e do nt h ee n c r y p t i o ns e v e r ，b a s e do nl i n u xp l a t f o r m ，w h i c h i st h ek e r n e lo ft h ei n f o r m a t i o ns e c u r i t ys y s t e mo ft h eh o s p i t a l i z a t i o ni n s u r a n c es y s t e m t h e m a i nr e s u l t sa r e ： t h e d e s i g no f t h ew h o l ef r a m e w o r ko ft h ee n c r y p t i o ns e v e rb a s e do nl i n u xp l a t f o r m i sa c c o m p l i s h e d ，i n c l u d i n gh a r d w a r ea l l ds o f t w a r e 1 h ee n c r y p t i o ns e r v e ri sp r o v i d e d w i t hs e l f - c o n t a i n e df u n c t i o n ，s e c u r i t ya n dr e l i a b i l i t y l i n u xp c ie n c r y p t i o nc a r dd r i v e ri sd e s i g n e da n dr e a l i z e db a s e do nt h es t u d yo f t h e l i n u xk e r n e l a l lk i n d so fa s p e c t sa r et a k e ni n t oa c c o u n tf o rt h ee n c r y p t i o ns e r v e r ss e c u r i t y a n s e c u r i t y m e c h a n i s mt h a tp e r s o n n e la p p l i c a t i o np r o g r a ma n dd a t a b a s ea r er e s t r i c t e d e a c ho t h e ri sp u tf o r w a r d a nn e wm e t h o da b o u td a t as t o r a g ew i t he n c r y p t i o nb a s e do nk e y l i bi sd e s i g n e d a g e n e r a ls e ca p ii sd e s i g n e da n dr e a l i z e d i tb a s e do nf r a m e w o r k w i t hf o u rl a y e r s a n dh a su s a b i l i t y , s e c u r i t y a g i l i t ya n ds oo n i td o e sg o o df o re n h a n c i n gt h er e l i a b i l i t y o ft h es y s t e m f r o mp r a c t i c e ，a nm o d e lo nt h er e l a t i o n s h i pb e t w e e nt h es o f t w a r er e l i a b i l i t ya n dt h e h a r d w a r er e l i a b i l i t yi sp u tf o r w a r da n dam e t h o dt oa n a l y s et h es y s t e mr e l i a b i l i t yi s d e s i g n e d w a y s t oe n h a n c et h es y s t e mr e l i a b i l i t ya r ej n t r o d u c e d s u c ha sl o a de q u i l i b r i u ma n d m o v e m e n to ft h es e c u r i t yp a s s a g e t h ea r i t h m e t i ca b o u tl o a de q u i l i b r i u mi sd e s i g n e d a n d i m p r o v e d o n k e yw o r d s ：e n c r y p t i o ns e r v e r ，e n e r y p t i o nt e c h n i q u e ，s e e u r i t yp o l i c y ，k e ym a n a g e m e n t ， s e c _ a p i ，s y s t e mr e l i a b i l i t y ，l i n u x ，p c id e v i c ed r i v e r 独创性声明 本人声明所里交的学位论文是我本人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示谢意 学位论文题目 基王! i ! ! ! 佥扭蜜腿鑫墨鳗遮让生塞婴 学位论文作者签名 易i 秕 日期：砌2 年1 1 月加日 学位论文版权使用授权书 本入完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权 国防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子 文档，允许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书) 学位论文题目： 基王k i ! ! ! 壬垒拉蜜腿麦墨盟遮盐生塞理 学位论文作者签名： 易研卜孰 作者指导教师签名 日期：2 矽口2 年，月2 口日 日期：o 1 年f 月b 日 国防科学技术人学研究生院学何论文 第一章绪论 信息是当今社会的宝贵资源，随着计算机网络技术的发展，信息安全越来越受到重 视。在各种解决网络安全的方法中，对数据进行加密足一种基本的、有效的方法。 加密服务器是处于中心网络之q 1 ，为网络中的计算机提供密码运算服务的一种专用 密码设备。加密服务器是以服务提供者的形式出现的，并且还应该足商速的、功能完备 的、安全与可靠的，本课题的主要任务就是在满足实际需要的条件下，研制一种安全可 靠的高速加密服务器，为计算机网络的信息安全提供服务。 1 1 论文研究背景 医疗保险信息系统是一个大型的复杂计算桃网络信息系统。它要根据囡家和统筹地 区有关基本医疗保险政策。解决统筹地区、特殊行业在l 阻l l ：5 工的参保、基金筹集、牡金 支付与控制、基金核算与管理以及医疗机构监督与竹理等问题，该网络所处理的主要是 各种医保资金的流动与结算因此其安全性n 日题十分重要。 加密服务器的研制是医保网络信息安全系统研制的一个必不可少的重要的纵成部 分。 1 1 1 医疗保险信息系统简介 医疗保险信息系统由局域网和广域网两部分组成。网络采用分稚式计算和管理的体系 结构，分成三大部分，即网络平台、系统管理软件和应用软件。 1 广域网结构 根据医疗保险业务的需求分析，其广域网络结构为一四级网络结构，包括省级、地区 级、县级和定点医疗机构级。其简单结构见图1 1 。 国防科学技术大学研究生院学位论文 n i 岛 告基曼爿 巾。i 岛 毫鬯曼爿 7 叫岛 售已曼茸 图1 1 医保信息系统广域网结构图 各级之间通过通过x 2 5 p s r n 线路连接网络上的数据是明文传输。因此有必要采用 加密手段进行数据交换，确保在各级问传输的信息安全来保证控个网络的数据保密性。 2 局域网的网络结构 医疗保险信息系统网络结构的设置遵从医疗保险的机构设置，即在医疗保险中心( 总 部) 为一个局域网，该局域网为整个网络系统的中心节点，为应用服务器等业务系统的 中心，同时还是网络管理中心。网络结构为：主干采用快速以太网交换技术，各楼层采 用以太网交换技术。 中心的主要计算机为两台采用磁盘阵列的数据库服务器，其余为各利，应用服务器及 工作站等。网络通过路由器与广域网相连，并在防火墙的保护之下。 1 , 1 2 医疗保险信息系统安全需求 从上述的医保网络结构来看，除了常规的网络安全风险之外( 如电磁泄露、嗅探、 d d o s 等) ，医保信息系统主要存在如下一些安全威胁( 考虑到实际中加密服务器只用于中 心网络，因此主要分析中心网络的安全威胁) 广域网之问的数据传递是明文方式 对医院终端与下级中心不能提供可靠的身份认证机制 国防科学技术大学研究生院学倪论文 各级数据库中的信息以明文方式存在 医院药店与医保中心的结算可能被否认 因此，有必要在现有网络结构的基础上，通过对数据进行加解密、加解押等方式， 实现医疗保险用户的身份认证与数字签名，保障医疗保险信息系统的信息安全。丌发能 够解决上述安全问题的加密服务器设备，也就成了首要问题。 1 1 3 信息加密系统的结构和加密方案 我们经过认真分析、论证，设计了如图所示的符合医疗保险系统的加密系统结构。 浚结构主要由加密服务器、数据加密卡、证书认证中心注册管理中心、用户身份认证器 以及相应的系统软件与应用软件等几部分组成，并山此构成了一个完整的数据安全加密 体系。 臣至囹臣至9 ，1。i一 i 网络 网络 图1 2 医保加密系统网络示意图 证1 9 认证中心( c a ) 在确定了医疗保险加密系统结构后，就需要进一步来考虑其加密方案。本系统采用 的加密方案是在应用层实现的一种混合加密方式，包括对客户端的身份验证、对称密钥 的分配、传输数据的加密和客户的数字签名。结合对称加密算法加密速度快的优点，和 公钥加密算法公、私钥分开，加密强度大的优势我们设计的加密方案分为握手过程和 数据传输过程。 国防科学技术人学研究生院学1 _ i 7 = 论文 图13 握手过程的加密框图 上图中，k u 为私钥，k p 为服务器公钥，k s 为会话密钥。m 为发起方产生的随机数， m 为打包后的数据包格式。整个过程完成了客户终端与业务主机之问的身份认证及会话 密钥的分配。 图14 数据加密框图 数据传输过程主要完成以f 功能：用户数字签名，用，。数据加密。 以上是基本加密方案的设计，加密服务器是能够完成上述加密方案的加密设锯。医 保信息网络是2 4 小时为用户提供服务的，因此加密服务器也必须具备较高的稳定性和可 靠性。l i n u x 操作系统自身在安全性和稳定性方面都具有明显的优势，在l i n u x 平台上丌 发加密服务器，能够更好地满足系统对这两方而的要求。 国防科学技术人学研究生院学位论文 刚2 加密服务器在系统中的地位与作用 从上一节的分析中可以看出，加密服务器主要是处理医保中心网络中，解决出入中 心网络的数据的传输加密、完褴性检验、对远端的身份认证、对中心数据库信息的存贮 加密，以及对交易数据的签名验证、审计等问题。i 玛此，加密服务器是实现信息安全网 络的核心部分。 1 2 1 加密服务器在系统中的位置 加密服务器位于医保中心内部网络之中，可以专门用于为一台或几台主机提供密码 服务，此时则需要此几台主机有专门的接口与加密服务器相连，如通过t t d i 。c 、r s 2 3 2 或 专用网卡等。加密服务器也可以以太网接口方式连接到网络，为大多数的内部网络主机 服务，但此时加密服务器所在的内部网络的物理安全应该能够得到保证。本文主要考虑 后一剃，方式。 1 2 2 加密服务器的应用方式 如图1 5 ，业务主机将来自网络的加密数据通过三 j 机s e c a p i 交付给加密服务器，加l 密服务器通过调用s e c a p i 对数据进行解密之后交付给业务耋机，同时也对来自、i k 务丰 机的数据进行加密之后交还给业务主机。加密服务器与、业务主机之问的通信接口可以为 l o o m 以太网。 加密服务器s s i7 j 【l 密服务器s s n 务主机 s e ca p l s e ca p i ! ca p l 通信模块 通信模块 一 i h 冶 ii 图1 5 s s 接入方式示意圉 1 2 3 加密服务器主要作用 在医保中心网络的加密服务器应该主要具备如下作用： 完成对出入医保中心网络的数据的传输加密，即对从中心发送至远端的数据进行 加密。并对从远端发送至中心的数据进行解密。 国防科学技术人学研究生院学位论文 对中心与远端的通信数据进行完整性校验，以防止恶意攻击者篡改数据。 完成对远端通信终端的身份验证，防止假冒终端访问中心网络。 对中心数据库中的重要数据进行存储加密，防止数据库管理员绕过程序直接访问 重要数据。 验证与远端的交易，防止远端否认。 1 3 加密服务器的研制目标与设计思路 基于立题背景，本课题的主要任务就是在满足实际需要的条件下，研制一种安全可 靠的高速加密服务器，为计算机网络的信息安全提f j t j l l # 务。 1 3 1 加密服务器的研制目标 加密服务器的设计应该达到的要求是： ( 1 ) 功能 根据本信息安全系统的实际需要，加密服务器应该至少提供如下一些功能： 对称j i i l 解密 加核押 r s a 签名验证 r s a 加解密 加密存储 ( 2 ) 速度 加密服务器的加解密速度主要取决于加密：薛片的处理速度。我们使用的是国家指定 的加密芯片。另外还可通过通过多卡、多机同时使用，能满足大容量、高速度的加解密 需要。 ( 3 ) 安全性 加密服务器系统应有完善的安全方案和安全措施，用以保证自身和应用的安全性。 ( 4 ) 可靠性 对于长时间高速运转的密码设备，必须保证一定的可靠性。系统要具有检查故障和 对故障的自动恢复能力。 ( 5 ) 可扩充性 中心业务主机可根据业务的数据量的大小动态配霄加密服务器数目。 ( 6 ) 易用性 中心业务主机对接收到握手信息与业务数据无须处理，可直接传给加密服务器，由 加密服务器自动完成对数掘的力n 解密、：l j i l 核押、数字签名、身份认证等操作。这螳对操 作员来说是完全透明的无需了解密码技术便能实现对加密服务器的管理。 国防科学技术人学砌f 究生院学何论文 1 3 2 加密服务器的设计思路 为了满足以上的设i 1 1 要求，加密服务器的总体设计思路应该是这样的，共分为四个 层次： 首先，加密服务器作为一个f l ：l x , 1 独立的、提供j j | 1 解密服务的设备，功能完备是首要 的。所以，首先应该考虑系统功能设计，即可用性设计。分析系统的数掘流向、系统的 功能需求，在l in u x 操作系统的基础之上，实现一个基本的加密服务器系统。其中工作 量较大的一部分足驱动程序的设i ；t 1 ，将在最后章节详细说明。 其次，在实现功能的- j l l i i l li ：充分考虑系统的安令性。作为一个用于捉商i = i 标系统 安全性的设备。其自身的安全和应用过程i f 】的安全足必须考虑的。本课题的研究任务就 是综合考虑与安全f _ l z f h 关的因素，在此基础l 为加密服务器没i ；t j 一套完犯的安全l j l , ；l i 0 ， 用以保证加密服务器的自身安全与应用安全。 第三，加密服务器一般都是工作在一 1 心网络，必须具锯有2 4 小时不川断运行的能力， 一旦加密服务器不能长时问运行，或是在运行中频繁出现故障，则其可用性也只是一句 空话。所以，可靠性设计也是卜分重要的。 最后，加密服务器的设计还应充分考虑各种可能的先进技术，提高系统的先进性与 易用性。或者用于在今后刘系统的改进r h 进一步提高加密服务器的可用性、安全性与 可靠性。 本沦文的结构也f 是按照这个设计思路组钐 的。 1 4 论文所完成的主要工作 在加密服务器的研制过程中，也即本人的论文：i = = 作中，主要完成了如下一些工作： 参与完成了安全系统总体方案的设计。 设计了一种基于l i n u x 操作系统的加密服务器，该加密服务器具备了实际网络应用 所需具备的各种密码运算功能及管理、监测、审计等附加功能，同时充分考虑了其安全 性与可靠性。 从多方丽考虑了加密服务器的安全性，设计了套安全 j l , b j ，如管理员、操作员、 数据库、应用程序等的互相制衡等，可以保i t - ；d l l 密服务器自身的安全。 研究了l i n u x 的基本内核结构，设i t 并。史现了1 if l u x 上p c i 密码忙的驱动程序实现。 提出并实现了一种加密存贮方案。 设计完成了一套密码卡及加密服务器的7 r 发函数接r - ，该套) 1 ：发接口具备有较好的 可用性并大大提i 岛了系统的可靠性。 提出并实现了负载均衡、安全通道迁移等可靠性措施。 对加密服务器的发展趋势进行了分析探讨x ；lj i l l 密服务器的一些发展方向提“；了自 己的观点，为今后进步改进j j l l 密服务器指 1 1 了方向。 国防科学技术人学研究生院学位论文 第二章加密服务器总体设计方案 加密服务器s s 是实现医疗保险网络安全的核心部分，s s 主要通过对在同一台计算 机内的多块数据加密忙s c 进行统一的管理- ) l ：j i l i 之以数掘库管理、密钥管理、网络通信、 操作员，管理员管理等手段，来实现高速的密码运算功能。 本章主要阐述了一个满足功能要求的加密服务器在l i n u x 平台下的批本实现。：l j l l 密 服务器由硬件和软件两部分有机组成。因此，本章首先阐述了在加密服务器系统设计时， 对硬件( 主要是已有的数据加密卡) 的要求。随后详细描述加密服务器上层软件f 门设计， 各个模块实现的功能和具体实现这些功f j f ( , j 方法。 2 1 硬件的设计要求 实现加密服务器就是对软仆和硬件的构架。硬e l ：足软f l ：运行的基础，冈此水节先从 硬件闸述起。 加密服务器系统的硬件主要山数据加密卡、i c 卡读写器、网卡、工控机四部分组成。 其中数据加密卡是核心部分，因此对其设计提j 1 ；了功能、安全性以及速度等性能指标上 的要求。整个加密服务器硬件的设计原则是利1 二保密、方便使用、可靠性商，结构合删、 配置灵活。 2 1 1 加密服务器硬件设计 1 系统的硬件组成 加密服务器系统的硬f l ：身t 成是： 用户身份认证器：读写各种i c 卡： 数据加密卡：处理加解密请求： 网络接口卡：用于通过网络收发数据； 工业控制用计算机：提供一个稳定的计算机平台。 身份认证器就是1 c 卡读写器，实现剥i cf 的物理访问。使用i c 卡接口函数来完成 对i c 卡的特定操作。用户身份是由i c 卡口令验证j i i 确与否来核实的。用户i c 卡里存储 了s s 操作员与管理员的信息。 数据加密卡为p c i 插卡，是完成基本的密码运算功能的设备。 网络接口卡用于提供加密服务器的x t 6 l 连接接口。 国防科学技术人学研究生院学何论文 2 硬件系统的逻辑框图 p 1 斧l h p i 吣c i ! ：i n”7 。吣l 硬盘 一 c p u () 身份认 眵h 2 6 6 m h zny 证器 l0 l p c i ili， l 数据口 li 状态 1 l l 彳 lu 。 t id s p l扩肺l 、储f o y) 如 i m $ 3 2 0 v c 5 4 0 2 | fn i e p l d 控制逻辑电路 l l u8 n li e e p r o m i s s f l 0 b w n g 噪声源 i li 定义各叫j 能模块接l 分组加密舸密 fi 7 。“i 。 i 2 1 2 加密卡硬件设计 图21 硬件系统的逻辑框图 数据加密卡是加密服务器的基本组成要素，是实现数据加解密运算的关键部件，其 设计质量的好坏是决定整个信息安保子系统成功与否的重要条件。鉴于加密卡的基础作 用，所以对加密卡必须提出功能以及性能指标上的要求。 i 功能要求 国防科学技术人4 学研究1 1 三院。# 何论文 根据s q y l 5 医保信息安保予系统的实际需要，数葫i ：加密卡应该至少提供如下一些功 能： 对称j j n 解密：对称加解密密钥山加密卡内噪声源产生，密钥长度为1 2 8 位，! l ! 存时问应该小于对1 2 8 位密钥长度x , 捕q j n 密算法的破译刚问。 j j t l 核押：支持m d 5 消息摘要算法，j f j 于数掘究憋性检验。 r s a 签名验证：支持1 0 2 4 位的r s a 签名验证算法，用于对用户的身份验证。 r s aj j h 解密：支持1 0 2 4 位的r s a ) s i i 解密竹法，| j 丁刘信息的加解街运算。 密钥管理：实现密钥队商、存贮：j s h 密等功能。 2 速度要求 加密服务器的) s n 解密速度主要取决于j l l l 密卡加密芯片的处理速度。我们使用的是国 家指定的加密芯片s s f i o b ；在实现方面可以通过对r s a 等算法进行优化，硬件设计采 用d s p 、v l s i 等技术手段，提高运算速度。另外通过多卡、多机同时使_ f i | l ，满足大容量、 高速度的加解密需要。 3 可靠性 要求加密卡d s p 程序在运行过程c | j 可躲、稳定，不允 ，i ：有监控程序非正常运转的现 象，不允许高误码枣。 4 可扩充性 数据加密卡还必须支持多块卡并行：j ：作用j 、可以根据需处理的数据量大小来动态 增减加密卡的数目。 数据加密一p - 的开发工作dj 课题组的其他成员完成。数拥加密卡的驱动程序i l l 作者设 计7 1 i 发完成，将在第五章作详细介绍。 2 2 加密服务器软件总体框架的鼓计与实现 在硬件以及驱动程序的基础上，作者构建了加密服务器的软们二程序。软件的发汁， 是在详细分析需求的基础上，划分好各个功能的模块，设计系统的工作流程，然后再进 行详细设计与实现。 2 3 1 系统数据流向 首先，作者在分析需求的基础上，叨确了软件的主要 ：作流程和数据流向。 1 接个s s 系统的软件主工作流程为： 国防科学技术大学研究生院学位论文 图2 2s s 系统的软件主工作流程图 2 数据流向： 明确了工作流程，可以将处理过程按照功能划分成相对独立的模块。对于软件的丌发， 作者采用面向数据流的设汁方法。数据流是分析问题的出发点和基础，数据流从系统的 输入端进入系统后，经过一系列的变换和处理最后山输出端流出。作者根据需求，描述 出数据流图如下： 国防科学技术人学研究生院学位论文 阿 s t r i n g 酬瓣 rs t r i n g操作员a c c o u n t 。s t r i n g操作员p a s s w o r d 处理 模块0 圈 rs i r i n ga c c o u n t j n y r e i d i g e s t 1 数 1b ”e i j c a 证1 i 十l 据 l b y t e s s 证啪 i 席 r 管，l ! 员f 1 令 s s 证is ls s 分段私钥 圈 憾s i r i n ga 晰c c o u n t 一差 盎= ，d 圆 - 4 - 5 g 操作员n c w i a s s w o r d ls i r i n g 操n ：员o i d f a s s w o r d 同r i 篓苎! h 隔万1 r _ 叶 i 堡兰! k d w o r d c e a l e n g t h b y t e i lc e r t d w o r d i l 一组吊销s n ”“”“ i 数 ”“m 9 一据 1 。6 “m 6 “。g 。 l 卑 f i l e t i m ee n d t i m c j d w o r d 1组吊销s n w a n d a t a 。- 锵洪包1 | 一 w a n d a t u 2 3 2 软件总体结构 处理 模块0 圈 图 圜 图2 3s s 数据流图 结构化的设计方法就是，将数据流图转换成对对软件结构的描述，得到s s 主程序的 逻辑结构如图2 4 ： 、，j 、j 一 圈 数阼 数据炸一娜一 一d t p 口 m 掣 旧、= = 篙 一置吼pll胛代一一换令一一r定卜证和n 一蹬=呈。一曲配一一更n一一下或时找忙肼一 m m | ；茹 晰鬻 ，j、【 国防科学技术人学研究生院学位论文 图24s s 逻辑结构图 s s m a i n 主程序框架主要是接收各种消息，启动棚应的辅线程去完成相应的任务。 s o c k e t 模块完成服务器与中心业务主；| j j l f n j 的通信任务，并通过i p 地址与端l j 完成对 h o s t 身份的识别。 s e c _ a p i 模块提供了与数据加密卡通信的类和应川程序接口，实现了一系列需) i l l 解密的专用函数g t t 对各种特殊应用的特殊函数。 身份认证器就是i c 卡读写器，实现对i c 卡的物理访问。使用1 c 卡接e l 函数来完成 对i c 卡的特定操作。用户身份是由i c 卡口令验证正确与否来核实的。 用户i c 卡里存储了s s 操作员与管理员的信息。 用户界面提供操作员和管理员进行各利，操作与锊理的手段。 c r l i e 书库存储用户的公钥信息和被吊销的用户证二 s 序列号，主程序通过o d b c 数 据库驱动程序访问c r l 证书库，查询用户公钥信息。 帐号及口令库为存放在s q ls e r v e r 数据库中的一组记录，该记录只有s s 主程序 可以读写。 l d a p 咖议完成对l d a p 目录服务器上的证m 灞l 吊销库的f 载。 审计模块是对所处理的信息进行记录并提供习f 后查询功能。 加密服务器的主要工作过程是：业务主机将来自网络的加密数据通过主机通信a p l 交付给s s ，s s 对其进行解密之后交付给业务主机同时也对来自业务主机的数掘进行加 密之后交还给业务主机。 国防科学技术人学研究生院学位论文 2 3 3 各主要模块的功能及实现 1 数据d n i 解密模块 下图中，接口2 定义了从t l o s t 或业务使用者来的要求力解密的数据，以及s s 回送 给h o s t 的数据。接口8 定义了s s 如何使用s e ca p i 丌发接口控制加密卡。 接d l2 数据 | + 图25 数据加f 解密模块接口图 s e ca p i 模块定义了与数据加密卡通信的类和应用程序接口，实现了一系列需j j | i 解密的专用函数和针对各种特殊应用的特殊函数。 此整体模块的主要实现流程为：加密服务器主程序通过s o c k e t 模块与t t o s t 通信。 h o s t 将需要1 1 1 1 7 密的数据传递给s s 服乡 器。s s 服务器则启动轴线程。在辅线程限， 如果需要的话，使用s q l 查i j 语南查询本地证书库，得到需要的，玎，- 公钥，再查i f j 证忙 作废列表然后调用相应的s e ca p i 函数将需d j l l 解密的数据和用j 、公钥( 或嚣会话密钐】) 传递给数拥i d i i 密 。数掘加密忙则按函数的要求完成特定的动作j l ：t f l l i k f i j ；i 密历的数j ：l l 返 回。s s 服务器将数据加密卡返回的数据通过通信模块传输绘业务：l - ：4 ：j 【t t o s t 。 2 通信模块 通信模块主要解决业务主机t t o s t 与s s 服务器之间的数据通信问题，并通过i p 地 址与端口完成对h o s t 身份的识别，或者况地址过滤功能，只有具有由s s 指定的i p 地 址与端口的计算机才可能与s s 进行通信。 s o c k e t 衲蛘i # l s 封 可以吲 下_ e 剖 囊 豢x k 的数据是否ln i 丽 压缓冲区r _ + | 。 蠕| n ：锚 图2 6 通信模块处理流程图 图2 6 中可以看出，本模块还必须支持各种通信状态的处理，如通信线路发生故障、 国防科学技术人学研究生院学能论文 密码卡发生故障、h o s t 发生故障等情况。在发生故障的情况下，让：业务使用者( 即加 密服务器的申请者) 感觉不到故障的存在。比如一块密码卡发生故障，加密模块将自动 将加密任务迁移到另一块密码卡中，或者迁移到另一台加密服务器上。 3 证书下载模块 s s 主程序框架主要是接收各种消息，启动相应的辅线程去完成相应的任务。 l d a p 协议是x 5 0 9 证书标准的简化使用标准。l d a p 盼议模块主要用于添加、删除、 修改和下载证书和吊销列表。对一般加解密信息，从本地已下载的证书库与c r l 库获得 证书并验证证书是否有效：对重要信息，必须通过o c s p 仂、议从c m c 获得实时有效信息 ( 目自口版本加密服务器尚不支持o c s p 功能) 。 l d a p 协议的实现是使用的n e t s c a p e 公司所提供的n e t s c a p e l d a p s d k4 0 程序丌发 包。证书库与c r l 库是用来存储解码后的证书及c r l 信息的本地数据库。数据加角￥密 模块通过使用s q l 语言侧库进行查询。 图27 证书下载模块结构图 此整体模块的主要实现流程为：主程序通过l d a p 协议模块从c m cc 一心的l d a p 与c r l 服务器上下载用户证二讳与用户证书吊销库到本地，然后将其解码后分别存入本地 的证书库与吊销库中，供数据加解密模块查询。 4 i c 卡读写模块 图2 81 ( 3 卡读写模块结构图 瑁r 丙刁r 一 国防科学技术人宁研究生院学能论文 在加密服务器中的i c 卡模块主要的功能是通过控制用户身份认证器，对标谚 用户身 份的i c 卡进行读写操作。在数据加密卡的初始化过程巾需对s s 的i c v - 进行读写操作。 流程为：加密服务器验证i c 卡口令，从i c 卡中读入证二伟文件和加密私钥文件，对证1 解码后，调用对应的s e ca p i 的装载函数将公钥和私钥装入数据加密# ，对其进行初始 化。数据加密卡必须初始化后才能工作。 在本加密服务器中，用，! 身份认证器选用的足深圳明华澳汉科技有限公司生产的 d p r - 1 2 3 型i c 卡读写器。该产品性能稳定、丌发函数丰宦、并可提供内胃式与外置两种 接u ，是一利，比较理想的i c 卡读写器。同样，在_ ；水加密服务器l 1 ，所涉及到的i c 卜全 部采用的是c p u 卡，其型号为明华公司生产的c p u 型v 3 2 ，该卡符合中国金融集成 电路i c 卡规范，支持对文件多种文件格式、1 令验证机制等，特别是其一i c - 内的s m a r i c o s 操作系统，提供了安全状态机的支持，可以有效地对卡内数据进行保护。 5 密钥管理模块 密钥管理模块是加密服务器安全性保证的主要模块。该模块主要完成各种密钥的生 成、存贮、分配、更新与销毁等问题。 6 同志与审计模块 审计部分主要由数据库支持。加密服务器所处理的加，解密数据都作为一个t i h , i ：7 f - 入 审计数掘库巾，可供审计员事后查询和统汁。 7 状态监测与显示模块 本模块主要完成对机内行块密码卡、符：i ：作线程、i i o s t 的连接状态等的胨测，j 1 智- 状态结果显示在控制台上。 8 配置模块 完成对密码卡数目、汪书服务器地址、1 1 0 s 1 1 的地址等的配最： 作。 2 3 安全性与可靠性i 殳计 作为安全系统的核心设备，加密服务器的安全性足阿先应该考虑的问题。 在木加密服务器小，作者将符种安全措施综合使川，形成一套安全机制，作兹所设 计的这套安全机制，特别是严格的身份认证与访问控f t i q t 凿施、务利访问的主体权力制衡 的措施，保证了加密服务器的自身以及应用的安全性。 密钥是密码体制安全保密的关键，密钥管理是一个密码系统中最为核心的j _ f 1 5 分。密 钥管理的安全性决定了整个加密系统的安全性。在系统的设计中，作者针对不同种类的 密钥采取不同的方式来保证密钥在其生存周期的安全性。 加密服务器是要求能够长时问稳定运t t f i j d l i 密设嵛，它的可靠性同样“卜分重要。 作者对软件和硬件的可靠性进行分析，提 l 了用软件提高系统可靠性的思想，并在 国防 等技术人学研究生院学位沦文 实现这种思想时采用了多种措施，如硬件故障检测和恢复措施、网络检m t 1 ：一i - i 。m 0 、动态负 载均衡和安全通道迁移等。通过软件上的一系列措施对硬件可靠性进行了改进。 国防科学披术人学研究生院学位论文 第三章加密服务器安全性的设计与实现 安全是第一要素，是在设计加密服务器时需要考虑的重要问题。本课题的研究任务 之一就是综合考虑与安全性相关的因素在此基础，卜为加密服务器设计安全机制，术 文设计了一套完梭的安全机制，采用了多项安全措施，用以保证：l j | l 密服务器的门身安个 与应川安全。这套安全机制- i ，既采川了通j 的安全技术，又楸圳实际系统的应川提j 了具有特色的安全策略。 论文将首先介绍几个基本的安全要素，接着分别闸述各个要素在工程t l 的具体i 殳计 和实现，其中最重要也晟具特色的是密钥管理部分，如管理员、操作员、数据库、应用 程序等的相互分权、相互制衡机制，将这一部分作重点介绍。最后，从总体一l i 剥加密服 务器的安全性作一个分析。 3 1 基本安全要素 现在有各种各样的安全技术，可以为网络小的安全网络访问和数扪传输机制提供相 应的解决方案。安全系统的基本要素大致有：身份的u 别与认证、访问的控制j 授权、 数掘的私密性和完艟性、密钥管理、巾汁跟踪等。 3 i 1 身份认证 安全系统最基本的要素就是确认使用者的身份，倘若无法确认该使用者是系统的合 法使用者系统没计再复杂的安全措施也足惘然。达成使用者身份的认证必须考虑以f 三点： 使用者身份辨识对系统的重要程度； 如何达成使用者的身份辨i ： 。这需要兼顾技术与管理两个层面。例如，使用何种身份 认证的方法这属于技术方i 而。若是使用密码输入的方式，则密码的长度与有效使用期 限就应该规范于政策，这属于管理方丽： 何处需要使用身份认证。不同的主机与系统，c 受保护的层次应该有所不同，而不应 该是进入所有的系统或予系统都层层使用身份认证程序，这样会造成使用与管理的闲 扰。 计算机系统安全机制的主要同标足控制对信息的访问。当 讨_ r 玎j 二身份口i 别的技术方法 主要有四种： 利用用户身份、口令、密钥等技术措施进行身份u 别； 国防科学技术人学研究生院学位论文 利用用户的体貌特征、指纹、签字等技术措施进行身份i ： 别： 利用用户持有的证件，如光卡、磁卡等，进行身份泌别； 多种方法交互使用进行身份识别。 其中，口令i = ； 别是目前，“泛采用的技术措施，这种身份u 别机制在技术上需要进行 两步处理： 给予身份标识； 鉴别。 除去利_ f 1 _ j 川户的生理特征进行浆别外，f 1i l l s 实现身份认证可以不t ij l 】的技术仃：1i 令 字、数字签名机制、消息鉴别码、校验、十7 能卜等。 仅以口令进行验证是i - 1i l l s 人多数商用系统所酱妯采j t j 的方法。过程是： 汁算机系统给侮个用户分配一个标i j ( n i l - - - 1 的i i ) ) ，每个用户选择一个供以后注册证 实用的口令。 计算机系统将所有用，的身份标i j ( 平l l , t 通过网络嗅探器收集在网络上以明文( 如7 f e lf i e i ，、r t i ，、i ) 0 i ) 3 ) 或简i p 编码( 如一lp 采用的b a s e 6 4 ) 形式传输的口令 因此，对于安全性要求很高的设备，女l l , j i l 密服务器，必须采川多利- 方式混合来实现 身份认证。 3 1 2 访问控制 身份i 9 , 另l l 的同的是防止入侵者非法侵入系统，但其对系统内部的合法用户的破坏即 无能为力。i - - = 1 前对系统内部用，! ，非授权的访问控制土要有两种类型： 任意访问控制 强制访问控制 任意访问控l l i i j - 旨用户可以随意在系统r | 1 规定访问刘象，通常包括目录式访问控制、 访问控制表、访问控制矩阵和丽向过程的访问控制等：强制访问控制指用，! ，和日标剥象 都有圊定的安全属性，t h 系统笛理员按j ! ：( i j ”格程序设蔑，不允许丌】户修改。如果系统设 围防科学技术人学研究生院学能论文 置的朋户安全属性不允计j i jj 、访问某个目标对象，那么不论用户是否是该目标刘缘1 j _ | ) | j 有者都不能进行访问。任意访问控制的优点是方便用，强制访问控制则通过无法回避 的访问限制来防止对系统的非法入侵。对安全性要求较高的系统通常采用任意访问控制 和强制访问控制相结合的方法：安全要求较低的部分采用任意访问控制：信息密级较高