（计算机应用技术专业论文）电子文档存储加密技术的研究与开发.pdf

华中科技大学硕士学位论文 摘要 现阶段计算机硬盘以及其他大容量存储介质代替了纸张成为信息存储的主要方 式，随之带来的信息安全问题也日渐突出，电子文档的信息安全成为一个至关重要的 问题。电子文档的安全问题发生在两个场合：动态的传输途中、静态的存储形式。对 于电子文档的传输安全，可以通过数据加密技术先加密再传输、通过数字签名技术保 证电子文档的合法性和完整性。对于电子文档的存储安全，需要加密技术和认证技术 相结合，实现电子文档的存储加密和访问控制。 为解决上述问题，开发了“信息源加密系统”，成功地解决了电子文档传输加密 和存储加密的问题。对加密处理采用了一种新的软硬件结合的方法。主要数据通过u s b 总线送到硬件加密机做加密解密处理。采用把硬件加密机注珊为系统的一个c s p 的方 式使加解密处理具备良好的可扩展性。 对于电子文档的存储加密，有四种实现形式：单个文件加密、加密文件夹、针对 磁盘分区的加密、安全文件系统。详细分析四种实现形式的优缺点和实现难度后，从 安全、适用和现实的角度，采用了基于加密文件夹和虚拟加密磁盘的存储加密解决方 案。在系统软件上实现透明的文件加解密需要掌握两项关键技术：w i n d o w s g x m e 操作 系统下文件钩子v x d 技术、w i n d o w s n t 2 0 0 0 x p 系统下基于w d m 的文件系统过滤驱动 程序的技术。利用上述技术可以实现对文件系统的操作和数据的截取和加密存储。针 对磁盘分区的加密实现了虚拟加密硬盘技术，把一个文件虚拟成一个逻辑磁盘，并加 入访问控制和加密处理。 关键词：信息安全：存储加密；文件系统；文件钩子v x d ；过滤驱动 、v ，v a b s t r a c t n o w a d a y sc o m p u t e rh a r dd i s k sa n do t h e r m a s ss t o r a g em e d i ar e p l a c ep a p e r sa st h e m a j o rm e t h o do f i n f o r m a t i o ns t o r a g e sa n dt h ei n f o r m a t i o ns e c u r i t yp r o b l e m sg r o wt ob e r e m a r k a b l e t h es e c u r i t yp r o b l e m so fe l e c t r o n i cd o c u m e n t so c c u ri nt w oc i r c u m s t a n c e s ： d y n a m i ct r a n s m i s s i o na n d s t a t i cs t o r a g e f o rt h et r a n s m i s s i o ns e c u r i t y , w ec a r le n c r y p td a t a f i r s ta n dt h e nt r a n s f e r , u s et h ed i g i t a l s i g n a t u r et e c h n i q u e t oe n s u r et h e v a l i d i t ya n d i n t e g r a l i t y f o rt h es t o r a g es e c u r i t y , w en e e de n c r y p t i o na n da u t h e n t i c a t i o nt e c h n i q u et o r e a l i z et h es t o r a g ee n c r y p t i o na n da c c e s sc o n t r o lo fe l e c t r o n i cd o c u m e n t s t os o l v et h ea b o v ep r o b l e m , w ed e v e l o p ”i n f o r m a t i o ns o u r c ee n e r y p ts y s t e m ”， s u c c e s s f u l l ys o l v et h ep r o b l e mo f t h ee l e c t r o n i cd o c u m e n tt r a n s f e r s t o r a g ee n c r y p t i o n w e a d o p tan e wh a r d w a r e s o f t w a r ee n c r y p f i o nm e t h o d ，i nw h i c ht h em a j o rd a t a a r es e n t t h r o u g hu s b t ot h eh a r d w a r ef o re n c r y p t i o n d e c r y p t i o n i th a sg o o de x t e n s i b i l i t y , a st h e h a r d w a r ef o re n c r y p t i o nr e g i s t e r sa sac s e t h e r ea r ef o u rw a y st or e a l i z e s t o r a g ee n c r y p t i o n ：s i n g l ed o c u m e n te n c r y p t i o n ， o n - t h e - f l ye n c r y p t e df o l d e r , e n c r y p t i o nf o r d i s kp a r t i t i o n s ，a n de n c r y p t e df i l es y s t e m sd r i v e r a f t e rc o m p a r i n gt h em e r i t s ，s h o r t c o m i n g s ，a n dr e a l i z i n gd i f f i c u l t i e so ft h ef o u rw a y s ，w e p r o p o s e t h es o l u t i o n ：o n t h e f l ye n c r y p t e df o l d e ra n de n c r y p t e dv i r t u a ld i s k ，f r o mt h ev i e w o f s e c u r i t y , a p p l i c a b i l i t y , a n dr e a l i t y w es t u d y o nt w ok e yt e c h n i q u e so ft h es y s t e m s o f t w a r et or e a l i z e t r a n s p a r e n t f i l e e n c r y p t i o r d d e c r y p t i o n ：f i l eh o o k i n g v x do f w i n d o w s 9 x m e ，a n df i l es y s t e mf i l t e rd r i v e rb a s e do nw d m o fw i n d o w s n t 2 0 0 0 x p u s e t h et w ot e c h n i q u e st o i n t e r c e p to p e r a t i o n sa n dd a t ao ff i l es y s t e mt o r e a l i z ee n c r y p t e d s t o r a g e a l s od i s c u s sa n o t h e rw a yo fs a f e t ys t o r a g ef o re l e c t r o n i cd o c u m e n t s ：e n c r y p t e d v i r t u a ld i s k ，w h i c hu s eaf i l et os i m u l a t eav i r t u a ld i s k ，w i t he n c r y p t i o na n da u t h e n t i c a t i o n k e y w o f d s ：i n f o r m a t i o n s e c u r i t y ；e n c r y p t i o ns t o r a g e ：f i l e s y s t e m f i l e h o o k i n gv x d ：f i l t e rd r i v e r 1 1 课题背景 1 绪论 近年来，随着我国社会、经济活动信息化的飞速发展，以及全球经济体化的加 剧，信息传输的途径已经越来越依赖于电信网络的方式，尤其是计算机互联网络。随 之两来的信息安全闯题也曰益突出。如何保证网络上信息的安全逐渐成为人们关注的 焦点，政府、企业和个人对安全的需求也日益迫切。 当前各类网络系统建设中，往往只关心传输和访问过程中的数据安全性，比如用 数据加密技术进行传输【2 卅、利用防火墙技术防止非法访问等【5 8 】，而忽视了信息存储 的安全性。现阶段，计算机硬盘以及其他大容量存储介质代替了纸张成为信息存储的 主要方式。这个带来的新的信息安全问题也日渐突出，文件信息丢失或被窃取有可能 为个人甚至于国家带来极大的损失，比如企业的商业秘密、科研单位的研究成果以及 军事单位的各种保密信息等。另一方面，存储信息保护的侧重点和方式发生了很大的 变化，信息有可能通过网络甚至计算机软硬件制造商故意制造的安全漏洞而被窃取。 所以近些年信息存储加密成为信息安全应用领域的热点之一。 无论是私人信息还是部门信息、无论是军用信息还是商业信息，在进行处理和传 递前，首先要以电子文档的形式存储在单机、服务器，或是网络上任意一台客户机上。 因此信息或电子文档的安全存储应该是信息安全实现的首要条件【9 。1 0 l 。 目前使用最流行的桌面操作系统是由微软公司提供的w i n d o w s 系列操作系统。对 于w i n d o w s 9 x 操作系统来说，缺少最基本的安全措施，比如访问控制和数据加密。所 以单纯依靠操作系统本身很难实现计算机资源的安全管理和电子文档的安全存储。丽 对于w i n d o w s n t 2 0 0 0 x p 操作系统来说，n t f s 文件系统的5 0 以上版本实现了加密文 件系统( e f s ) ，实现了文件夹的加密和认证。但是他们的加密是基于w i n d o w s 本身提 供的算法，采用纯软件来实现。对于一些安全性要求较高的部门，往往不能信任 w i n d o w s 操作系统本身的安全性，那么w i n d o w s 提供的加密文件系统n t f s 肯定不能满 足要求。 华中科技大学硕士学位论文 = = = = = = = = = = = = = = = = = ；= = = = ；= = = = # = = = = # = 一 本课题是与北京电子科技学院的合作科研项目。北京电子科技学院科研中心是商 密和普密产品科研定点单位。研究开发的结合软件加密和硬件加密功能的“信息源加 密系统”是针对部队、政府等对安全性要求较高的部门而开发的商密产品之一。该项 目是由国家有关部门批准，是为了满足信息系统的安全与保密需要而研制的。它通过 u s b 接口将要加密的数据传到加密机，在加密机中实现数据加解密，加解密过程脱离 了操作系统，保证了信息的安全。它能够提供足够安全的文件存储加密和文件传输加 密。它不仅能保护个人计算机中一些重要信息，如商业秘密和个人隐私，同时也能用 于网络传输的信息保密。 1 2 国内外概况 电子文档安全存储是信息安全领域中一个新出现的课题。在此先了解我国信息安 全的现状和信息安全受到的威胁，引出电子文档安全存储的问题。再给出国内外的研 究现状和本课题中的基于存储加密技术的解决方案。 1 2 1 我国信息安全现状 信息是社会发展的重要战略资源。国际上围绕信息的获取、使用和控制的斗争愈 演愈烈，信息安全成为维护国家安全和社会稳定的一个焦点，各国都给予极大的关注 和投入。 我国信息化建设需要的大量基础设备依靠国外引进，引进的设备中的核心芯片和 系统内核逻辑编程都掌握在他人之手，无法保证我们的安全利用和有效监控。更为严 重的是有些信息安全设备也直接引进国外一些低级别的安全产品，研究揭示其中存在 着许多缺陷，存在情报机构有意埋伏安全陷阱的可能。我国所建的信息系统防护能力 很差，许多应用系统处于不设防状态，完全受制于人。由于我国的信息安全技术落后， 目前还不能解决网络系统国家机密信息的安全保密问题，进口安全设备不仅不安全， 而且高等级的安全产品国外禁止我们进口。因此建设的网络信息系统只能以行政手 段，对使用作了种种限制，以防泄密，使信息系统不能充分发挥作用，严重制约着国 家信息化的进程u , 3 , 5 1 。 2 华中科技大学硕士学位论文 1 2 2 信息安全受到的威胁和解决方案 在各种环境下，尤其是分布式网络环境下，非法用户可以采用多种手段对系统进 行攻击 7 , 1 1 - 1 3 】。 1 窃取口令：通过在线侦听截获、离线猜测、字典攻击等手段，获得合法用户 身份的口令，并冒充该用户获得其无权访问的资源。 2 流量分析：对通信双方交换的信息进行分析，获得一些不需要完全恢复消息 就可以得到的信息，如金融系统的交易量，敌方军事系统的工作状态等信息。 3 重放攻击：截获信息，然后转发，这是一种常用的主动攻击方法，使得在不 被通信双方觉察的情况下，截获他们的通信信息，并冒充其中一方与另一方通信。 4 篡改：截获消息后，用另一个消息或篡改后的消息，发送给接收者，或者冒 充通信的一方与另一方通信。 5 拒绝服务：通过大量的请求操作，导致网络无法正常运行，阻止经过授权的 用户无法访问系统资源。 6 渗透：滥用某参与方的权限，以运行敌意的或恶意的程序。 上述对信息安全的威胁可划分为两大类，即被动攻击和主动攻击。其中，截获信 息的攻击称为被动攻击，而篡改、中断、伪造信息的攻击称为主动攻击。对付被动攻 击可采用各种数据加密技术，而对付主动攻击，则需要加密技术与适当的鉴别技术相 结合4 ，”】。密码技术作为解决安全问题的有效手段，在各种安全解决方案中得到越 来越广泛的应用。 1 2 3 电子文档安全问题 随着计算机和互联网的广泛应用，人们使用计算机编写公文、技术方案、商务合 同等。这些电予文档通过网络传输，又极大地提高了文档信息的传输速度和处理速度， 从而大大提高了工作效率。但是，由于网络具有联结形式的多样性、开放性、互连性 等特征，致使网络易受黑客、怪客、恶意软件的攻击和病毒的入侵，造成电子文档信 息的泄密、假冒、篡改、抵赖等诸多问题，甚至给整个网络安全带来威胁。因此，网 上电子文档信息的安全是一个至关重要的问题【1 6 】。 电子文档的安全问题发生在两个场合：动态的传输途中、静态的存储形式。对于 华中科技大学硕士学位论文 电子文档的传输安全，可以通过数据加密技术先加密再传输、通过数字签名技术保证 电子文档的合法性和完整性。对于电子文档的存储安全，需要加密技术和认证技术相 结合，实现电予文档的存储加密和访问控制。本课题“信息源加密系统”就是解决电 子文档的传输加密和存储加密两个问题，来实现电子文档的信息安全。本文将详细讨 论其中的存储加密技术。 1 2 4 认证、加密和密钥管理方案 密码技术是信息安全领域的核心技术，也是实现认证和加密技术的基础。身份认 证是密码学的重要应用方向，也是信息安全领域中的一项主要安全技术。传统的身份 认证技术可分为：采用单向函数的口令鉴别、基于共享秘密密钥的身份鉴别、基于公 开密钥体制的身份鉴别、基于安全令牌的身份鉴别、基于认证中心的身份鉴别等等 1 7 , 1 8 】。本课题采用了类似 1 9 】文中提出的方案，采用i c 卡和口令的双因素认证方案。 加密算法对数据加密来说有着关键的作用。密码系统可以分为秘密密钥系统、公 开密钥系统和混合密钥系统。本系统中采用r s a + i d e a 方式的混合密码体制。 要实现一个安全系统，只有安全的加密算法是不够的，算法的安全性仅是系统安 全的一个方面。实际上，现代密码学认为，密码系统的安全性应仅取决于密钥系统的 安全，而不取决于对算法的保密1 2 0 。埘。有一些已制定的密钥托管协议 2 , 2 3 - 2 5 】，美国已 经制定了托管加密标准( e s c r o w e de n c r y p t i o ns t a n d a r d ) 。本课题中把密钥分为三 级管理来维护密钥系统的安全。具体的安全方案在节2 5 中详细介绍。 1 2 5 基于存储加密技术的电子文档安全存储解决方案和关键技术 随着信息技术的高速发展，数据存储领域也出现了一些新的技术和趋势，比如网 络存储技术和虚拟存储技术等 2 6 - 2 9 。本课题是针对p c 机上本地磁盘的电子文档本地 安全存储和网络安全传输的问题，本文主要涉及到基于存储加密技术的本地安全存储 技术的研究与实现。 对于本地安全存储，可以从物理层面上利用磁盘镜像和磁盘条纹来防止电子文档 受到物理损坏和及时恢复9 ，1 0 1 。更重要的是要从逻辑层来维护电子文档的安全性，避 免受到非法攻击和破坏。 密码技术是网络、信息安全的核心技术，因此是一十分敏感的技术，必须立足国 4 华中科技大学硕士学位论文 内，自主研制高强度的密码算法和密码设备。针对安全存储这个课题，国外现在有一 些类似软件产品提供。比如e 4 m 、p g p d i s k 等基于文件的虚拟加密磁盘；s c r a m d i s k 等基于内存的虚拟加密磁盘；s a f e f o l d e r 等基于文件的虚拟加密目录等等。作为个人 使用不妨是一些较好的加密软件。但是如果用在政府机关、金融机构等对安全性要求 更好的部门来说就不舍适了。因为信息安全领域| 勺特殊性要求我们必须采用我们自己 的加密算法和认证方法。 针对部队、政府机关等对文件安全要求很高的部门来说，目前国内还没有成熟的 安全存储解决方案。在目前国内的安全存储解决方案中，文p 0 提出了一个利用磁盘 过滤驱动实现磁盘级存储加密的方法，文 3 u 提出了一种软硬件结合的办法利用p c i 加密卡进行加密处理的方案，文 3 2 提出了一种虚拟硬盘系统并预示了在硬盘加密中 的应用前景。 本文提出了存储加密的四种实现形式：单个文件加密、加密文件夹、针对磁盘分 区的加密、加密文件系统，第三章将详细介绍这四种实现形式并比较优缺点。本课题 中采用了基于存储加密技术的电子文档本地安全存储解决方案，增加了系统内核服务 实现了加密文件夹和基于镜像文件的虚拟加密硬盘系统。加密文件夹可以保证电子文 档本地存储加密，虚拟加密磁盘即可以用于存储加密也可以用于传输加密。 从系统软件上来说，必须能够截取到文件系统操作和数据以对实现对用户透明的 存储加密。这个的实现方法在不同的w i n d o w s 操作系统版本上是不同的。在 w i n d o w s 9 x m e 上通过文件钩子v x d 实现；在w i n d o w s n t 2 0 0 0 x p 上要通过文件系统过 滤驱动来实现。这个的主要难点就是因为w i n d o w s 操作体统没有公开源代码，甚至她 的文件系统和磁盘方面的公开资料很少。所以需要在掌握v x d 、w d m 驱动开发基础上， 利用一些必要的内核跟踪和调试的手段。另外虚拟加密磁盘的实现也是一个难点。第 四、五章将详细介绍这些关键技术实现。 从算法实现来说，本系统采用了软件和硬件相结合的方法。主要的大量数据通过 u s b 总线送到硬件加密机来做加解密。目前，密码产品中密码算法的实现，正逐渐由 软件实现，向硬件实现过渡。国外一些厂商纷纷推出专用的加解密芯片，广泛应用于 军事和商业领域。硬件加密产品正越来越受到重视。硬件加密较软件加密而言，主要 有以下两个方面的优势：首先是速度，加密算法含有很多明文位的复杂运算，硬件实 现有速度上的优势。其次是安全性。对运行在没有物理保护的普通计算机上的某个加 5 华中科技大学硕士学位论文 密算法，其算法或密钥有可能完全被暴露，攻击者可以用各种跟踪工具研究、分析算 法而使用者完全不知道。尤其是在不安全的操作系统中，这种情况更为严重。硬件加 密设备可以将算法和密钥安全地封装起来，攻击者无法获取密钥，从而避免类似的事 件发生。从加密算法本身来说，我国在密码算法方面已取得了不少研究成果，如本系 统中所使用的分组密码算法就是由科研中心独立研制的。输入输出均为6 4 位，和i d e a 等国际著名算法相同，密钥为1 2 8 位，可抵抗差分攻击和线性攻击，用于数据加密。 为了使加解密方案具备良好的可扩展性，采用了把加密机注册为系统的一个c s p ( c r y p t o g r a p h i c s e r v i c ep r o v i d e r ，加密服务提供器) 的方案。节2 5 中给出本课题的安全 方案。本文的写作重点是存储加密的四种实现形式、文件系统操作和数据的拦截和存 储加密、虚拟加密硬盘的系统软件实现，具体将在第三、四、五章详细讨论。 1 3 课题主要研究工作 给出了电子文档存储加密四种实现形式。结合“信息源加密系统”，提出了一个 电子文档安全存储的解决方案。这个项目组一共1 1 人历经一年多才做出了一个安全 稳定的磁盘加密系统。作者本人的工作重点在系统软件方面，主要有以下几点： 1 研究应用密码学基本理论； 2 研究文件系统和磁盘驱动基本原理： 3 研究电子文档安全存储面l 临的威胁，提出基于存储加密技术的解决方案，给 出存储加密技术的四种实现形式和途径，比较这四种实现形式的优缺点和实现难度， 提出本课题中的加密文件夹和虚拟加密磁盘的方案； 4 研究w i n d o w s 9 x m e 操作系统下文件钩子v x d 的技术； 5 研究w i n d 0 w s n t 2 0 0 0 x p 操作系统下文件系统过滤驱动程序技术； 6 研究基于文件钩子和过滤驱动技术来对文件系统操作和数据进行截取和加密 存储的方法和加密文件夹的实现方法，实现目录保护中的目录重定向技术； 7 研究分别在w i n d o w s 9 x m e 系统下和w i n d o w s n t 2 0 0 0 x p 下虚拟磁盘的实现原 理，实现基于镜像文件的虚拟加密磁盘技术。 6 华中科技大学硕士学位论文 2 应用密码学的理论基础和本系统安全方案 绪论中论述了来自各方面信息安全的威胁，提出了信息安全存储的问题。设计实 际的安全系统，就需要对实际可能受到的威胁进行风险评估，然后采用相应的安全策 略，利用现有的资源给被保护对象以恰当地保护。对这些问题的研究目前已有成熟的 理论和应用基础。为了设计一个安全的磁盘加密系统需要掌握密码学的一些基本理论 和知识。本章先介绍了加密机制、密码系统、密钥管理等密码应用系统的理论基础， 然后给出了本系统的安全方案。 2 1 术语和定义 加密：将明文转变为密文的过程； 解密：将密文还原为明文的过程： 密码系统：加密和解密过程组成密码系统； 双钥密码：指对数据进行加密和解密的密码是不同的两个密码，一个称为公钥， 另一个称为私钥； 公钥：可以向外公开的密钥： 私钥：必须由持有者自己安全保存的密钥； 数字签名：是双钥密码的应用，类似于手写亲笔签名，可验证数据在网络间传输 的真实性、完整性和进行身份认证。数字签名可应用在电子邮件和电子合同的签名中； 数字信封：是双钥密码的应用，类似于将信件封入信封。它通过密码的方式，确 保数据只能由目标接收者阅读。数字信封有效地保障了数据在网络闻传输的安全，简化 了密钥的散发和管理弹 2 2 密码系统 任何密码系统，无论形式多么复杂，至少要包含以下五个部分： 一一 7 华中科技大学硕士学位论文 明文空间m ，它是待加密的全体报文的集合。 密文空间c ，它是加密后全体报文的集合。 密钥空间k ，它是全体密钥的集合，可以是数字、字符、单词或语句。其中，每一 密钥k i ，均由加密密钥k e 和解密密钥k d 组成，即k i = ( k e ，k d ) 。 加密算法e ，它是一族由m 到c 的加密变换。 解密算法d ，它是一族由c 到m 的解密变换。 发送方用加密密钥，通过加密设备或算法，将信息加密后发送出去。接收方在收 到密文后，用解密密钥将密文解密，恢复出明文。如果传输中有人截获，他只能得到 无法理解的密文，从而对信息起到保密作用。信息加密的示意图如图2 1 所示： 图2 1 密码系统不意图 对于每一确定的密钥k = ( k e ，k d ) ，加密算法，加密算法将确定一个具体的加密 变换，解密算法将确定一个具体的解密变换。而且解密变换是加密变换的逆过程。对 于明文空间m 的每一个明文，加密算法在加密密钥k e 的控制下将m 加密成密文c ： c = e ( m ，k e ) 而解密算法在解密密钥k d 控制下，从密文c 中解出同一明文m ： m = d ( c ，k d ) = d ( e ( m ，r e ) ，k d ) 密码系统可分为三种不同的类型：秘密密钥系统，公开密钥系统和混合密钥系统。 2 2 1 秘密密钥系统 所谓秘密密钥系统，就是加密与解密使用同一密钥，即使不同，也可以由其中一 个推导另一个。因此，秘密密钥系统也称为对称密钥系统。通讯双方必须交换密钥， 当需要给对方发消息时，用自己的加密密钥加密，接受方收到数据后，用对方所给的 密钥进行解密。图2 2 是秘密密钥系统的工作原理。 一_ 8 华中科技大学硕士学位论文 密钥 密文明文 图2 2 秘密密钥系统 秘密密钥系统具有算法加解密速度快，保密度高等优点，在各个领域应用广泛。 但也有其缺点： 1 管理复杂。网络内n 个人需要n ( n 一1 ) 2 个密钥。密钥本身的安全性也是一个 问题。 2 密钥具有有效期，需要进行不断更换。密钥分配过程中有可能被截获。解决 密钥管理的问题的有效方法是采用公开密钥系统。 2 2 2 公开密钥系统 公钥密码学的出现成功地解决了对称密码系统中的密钥管理问题。在公钥密码系 统中，加密密钥与解密密钥完全不同，使得从其中一个密钥推出另一个密钥在实现上 是非常困难的。其中一个密钥可以公开，称为公钥；另一个密钥保密，称为私钥。加 密和解密使用不同的密钥。图2 3 是公开密钥系统的示意图： 加密密钥 解密密钥 图2 3 公开密钥系统 公开密钥加密系统具有以下优点： 密钥少，便于管理，网络中每一用户只需保存自己的解密密钥。则n 个用户仅需 产生n 对密钥： 密钥分配简单，不需要秘密的通道和复杂的协议来传送密钥： 可以实现数字签名； 公开密钥也有缺点，它较对称密钥处理速度慢。要解决这一缺点，可采用混合密 钥系统。 一_ 9 华中科技大学硕士学位论文 2 2 3 混合密钥系统 公开密钥系统并不能代替秘密密钥系统，它们的优缺点正好互补。即传送的信息 采用秘密密钥算法来加解密，而其密钥分配由公钥算法完成。例如，r s a 的密钥很长， 加密速度慢，而采用d e s 或i d e a ，正好弥补了r s a 的缺点。即d e s 或i d e a 用于明文 加密，r s a 用于d e s 或i d e a 密钥的加密。由于d e s 或i d e a 加密速度快，适合加密较 长的报文；而r s a 可解决d e s 或i d e a 密钥分配的问题。美国的保密增强邮件( p e m ) 就是采用了r s a 和d e s 结合的方法，目前已成为e - m a i l 保密通信标准。本系统中， 则采用更为安全的r s a + i d e a 方式的混合密码体制。 2 3 加解密机制中的几个问题 下面讨论一下应用密码学理论建立一个实际的安全机制会涉及到的几个具体问 题。 2 3 1 认证交换机制 认证机制包括用户合法身份认证和消息认证。这两个方面有相关之处，采用的认 证协议有共同之处，某些时候两者可以融合在同一过程中完成。当然，还是存在差别 的。 身份认证大体有三种方式：传统的通行字( 口令) 验证的方法，基于单钥算法的 身份认证【1 l ，3 3 】，基于公钥体制的身份验证f 3 4 35 1 。前两种主要还是利用参与认证的双方 共享一个秘密，后一种是基于公钥基础设施( p k i ) 的认证方法。 传统的口令认证是当前运用的非常广泛的身份认证方法，结合智能卡技术，系统 首先判断智能卡的合法性，然后由智能卡鉴别用户身份，若用户身份合法，再将智能 卡中的随机数送给a s 作进一步认证，而最安全的方式是采用一次口令机制，即每次 用户登录系统时口令互不相同。 基于单钥体制认证方案算法比较简单，认证方案计算复杂度较低，易于实现，与 系统中的单钥模块可共用一个算法模块，但认证双方必须共享一个秘密密钥。而在公 钥体制的认证方案中，通常是用被验证者自己的私钥对验证者所发的随机数进行签 1 0 华中科技大学硕士学位论文 名，验证者通过用被验证者公钥进行验证，就可以完成身份的验证。公钥体制可以在 事先不共享任何秘密的情况下，实现安全认证。但公钥算法计算量较大，而且需要建 立一个公钥基础设施，需要第三方c a 间接参与，用户的私钥也需要安全存储。 在同等实体的相互认证时，通常与会话密钥交换协议相结合，在身份认证的同时， 也可完成两者的会话密钥的建立或交换。对s c h n o r r 身份认证体制修改，可以在身份 认证的同时，完成密钥交换。它的安全性在于求离散对数的难问题基础上的。基于公 钥体制的验证方案也可以在交换会话密钥的过程中，完成身份验证。 对消息的验证，一般是借助于公钥体制的数字签名来实现的。发送者对自己所发 送的消息生成指纹文件，用自己的签名私钥签名，接收者可以通过发送者的签名公钥 验证文件。利用公钥体制，可以实现信息完整性验证、身份验证、防抵赖等多种功能。 2 3 2 数据完整性机制 数据完整性是使消息的接收者能够验证消息在传送过程中没有被修改，入侵者不 可能用假消息代替合法消息。在发送文件的同时，生成一个文件的摘要，接收者收到 文件时，也作相同的运算，与发送来的文件的摘要比较，可以知道文件是否被篡改。 生成这种文件指纹的方法就是使用单向散列函数( o n e w a yh a s hf u n c t i o n ) ，也称为： 压缩函数、摘要算法、信息完整性校验m i c ( m e s s a g ei n t e g r i t yc h e c k ) 等 3 6 , 3 7 】。它 是密码系统中不可或缺的功能模块，在本系统中也多次用到。 散列函数就是把可变输入长度串( 叫做预映射) 转换成固定长度输出串( 叫做散 列值) 的一种函数。简单的散列函数就是对预映射的处理，并且返回由所有输入字节 异或组成的一字节。单向散列函数是在一个方向上工作的散列函数，从预映射的值很 容易计算其散列值，但要使其散列值等于一个特殊值却很难。好的散列函数也是无碰 撞的( c o l l i s i o n f r e e ) ：难于找到两个预映射的值，使他们的散列值相同。散列函 数是公开的，对处理过程不用保密。其安全性是它的单向性，预映射的值单个位的改 变，将引起散列值中一半位的改变【3 8 1 。 2 3 3 数字签名与鉴定数字签名 文件在不安全的环境下，通过计算机网络等媒介传输之后，可能会发生意外的 1 i 华中科技大学硕士学位论文 一：= = 目= # = ；= = = ；= j = = = ；# = ；= 2 = = ；自；= 。 错误，甚至被别有用心的人篡改。如果文件带有数字签名，收方可以利用发方的r s a 公开密钥，来鉴定签名真伪和文件是否经过任何的改动。数字签名的过程与加密过程 十分相似。其过程如图2 4 所示 5 l ： ( a ) 数字签名发送过程 ( b ) 数字签名接收过程 图2 4 数字签名与鉴定数字签名过程 签名时，对被签名的文件内容计算其m d 5 码。该码经过签名者的r s a 秘密密钥和 接收方公开密钥两次r s a 加密之后，变成了被加密的m d 5 码，形成数字签名。然后再 附加到原文件之后，合并为可向外发送的传输文件。收方在得到带有数字签名的传输 文件以后，须对数字签名进行鉴别。鉴别过程与签名过程类似。首先从公钥管理中心 取出签名者的r s a 公开密钥，数字签名经过收方r s a 秘密密钥和发方公开密钥以及解 密算法，恢复出m d 5 码。然后，再重新计算原文件的m d 5 码。与前者相比，如果相同， 宣布该文件属实，否则文件或签名已被改动。从某种意义上，数字签名系统比手签字 或印章更有效。一份十余页的手签文件很难保证每页的内容均不会被改动或替换，但 数字签名却能保证文件的每一字符都未经过任何改动 3 9 。4 i 】。 华中科技大学硕士学位论文 2 3 4 密钥恢复和托管问题 密钥恢复问题是指当加密设备丢失或损坏情况下能够恢复加密文件或加密密钥。 对于混合密码加密系统中，重点是恢复用户的公开密钥对。可以通过密钥对的备份来 防止意外情况。就像我们将自己家里的钥匙放在你信任的人手里保管备份一样。 密钥托管 2 2 3 彩1 是美国政府的c 1 i p p e r 计划和它的托管加密标准( e s c r o w e d e n c r y p t i o ns t a n d a r d ) 的核心，主要用在其加密电话的加密芯片中。每个加密芯片 有一个唯一i d 号和秘密密钥，密钥被分成两部分，并与i d 号一起由两个不同的托管 机构存储。芯片每次加密数据文件，它首先用唯一的秘密密钥加密会话密钥，然后通 过信道发送加密的会话密钥和它的i d 号。当一些法律执行机构要解密用这些芯片中 的一个加密的消息序列时，他监听i d 号，从托管机构收集适当的密钥，把它们异或 起来，解密会话密钥，然后使用会话密钥解密消息序列。为了防止欺诈，其托管密钥 的格式是不公开的，并且是可以防欺诈的。 用户加密个人文件，密钥托管面临一个可接受度的问题，但这有时也是必要的。 在国内，对政府机构的密码管理一般采用集中式的管理方式，管理比较容易。个人使 用加密产品通信有时会存在社会问题，一些非法组织之间的通信有的采用p g p 加密软 件，使得执法机构无法对其监控。 2 4 密码算法的实现途径 密码算法可以采用软件的方式来实现，也可以采用硬件的方式来实现。下面分别 讨论其优缺点。 目前，商用密码产品大都由硬件实现，这样做的好处是：硬件实现有速度上的优 势、硬件中可采用适合做密码运算的模块；安全性高，密钥可在硬件模块内部产生， 攻击者无法读出密钥，也就无法析出明文：易于安装，硬件模块可方便集成到专用系 统中，但硬件实现的缺点是成本较高。而软件实现则相对便宜。 一般来说，加密算法都可由软件实现。软件实现的有利之处是灵活、可移植性强、 易使用、易升级。不利之处是速度较慢，而且纯软件实现存在安全隐患，尤其是在不 安全的环境中( 如不安全的操作系统) 。如果密钥是作为文件存储在计算机中，那么， 1 3 华中科技大学硕士学位论文 ：= = = ；= = ；= = = = ；= = = = = ；# 不经过密码和算法的分析就可被系统攻击者获得密钥。本系统中为了充分利用软件实 现的优点，兼顾到效率和安全的问题，提出了软件实现和硬件实现相结合的方法。 2 5 本系统安全方案 本系统采用硬件加密机做认证处理，主要数据通过u s b 总线送给加密机做加解密 处理。为了使系统的加解密具备良好的可扩展性，采用了w i n d o w s 本身的c r y p t o a p l 中间层，把硬件加密机注册为系统的一个c s p 。具体的安全方案如下： 2 5 1 身份认证处理 身份认证程序主要完成系统认证和p i n 认证操作。 系统启动时，系统向读卡器发复位操作命令，判断是否有操作卡插入，然后判断 操作卡标志位是否正确，然后判断操作卡类型是否正确。系统认证确保所使用的操作 卡是否合法的，而且是正确的。 身份认证通过后，对操作卡的合法性没有怀疑，下一步进行p i n 认证。首先持卡 人从键盘输入口令，然后判别输入的口令和操作卡中的口令是否一致。如果一致，说 明卡的使用者是合法的持卡人，否则，判定持卡人是非法的，拒绝对卡进一步操作， 同时给出提示，锁定应用系统，使操作者无法对应用系统进行操作，从而保护了应用 系统的安全。 2 5 2 软硬件结合的加密处理方式 本系统中主算法采用现场可编程门阵列( f p g a ) 来实现，p c 机执行文件加解密操 作时，文件根据一定的规则被置乱，分成两个部分。一部分在p c 机中利用软件程序 执行加解密操作，另一部分通过u s b 接口送往加密机中执行加解密操作。两部分数据 中任一部分不能正确脱密，源文件都无法恢复。这种方法加快了加解密执行的效率， 因为u s b 接口的速率最高为i o m b i t s ，如果数据全部通过u s b 接口下传，加解密效率 就会降低；同时也增强了系统的安全性。图2 5 是这一过程的流程图。 华中科技大学硕士学位论文 文件输入 加密文件输出 ( a ) 文件加密 加密文件输出 脱密文件输出 ( b ) 文件脱密 图2 5 软硬件结合的加解密处理方式 2 5 3 加密算法采用i d e a 分组算法 分组密码加密算法采用i d e a ( 国际数据加密算法) 。它是瑞士的著名学者提出的。 在1 9 9 0 年正式公布并在以后得到增强。这种算法是在d e s 算法的基础上发展出来的， 类似于三重d e s 。发展i d e a 也是因为感到d e s 具有密钥太短等缺点，已经过时。i d e a 的密钥为1 2 8 位，这么长的密钥在今后若干年内应该是安全的。 类似于d e s ，i d e a 算法也是一种数据块加密算法，它设计了一系列加密轮次，每 轮加密都使用从完整的加密密钥中生成的一个子密钥。与d e s 的不同处在于，它采用 软件实现和采用硬件实现同样方便。 在本系统中采用f p g a 来实现。硬件实现较软件实现有更大的优点。首先，硬件实 现效率更高。i d e a 在i n t e rp e n t i u m l l4 5 0 t 吁i z 的p c 机上实现的速率是2 3 5 3 m b s ，而 i d e a 商业实现的内核称为i d e a c r y p t ，在4 0 m h z 时钟下加解密速率可达3 0 0 m b s ，速率 相差1 0 0 多倍。其次，由于硬件的“黑箱”操作，读写使能、自毁、和自锁等机制可 物理性防止关键信息，如密钥等，被外界读出，从而更好地保障信息的安全性。另外， 硬件实现减轻了d s p 的负担，d s p 只需要向f p g a 送明密文和控制信号就可实现加解密 操作。 华中科技大学硕士学位论文 一= = = = = = = ；= ；= = = j = = ；= = = ；= = = = = ；= = = 一 2 5 4 密钥变换算法和保护算法采用工作在o f b 模式的d e s 算法 密钥变换算法生成本地文件加密和传输文件加密的密钥。密钥变换算法本身也一 个分组算法，可用前文所述的o f b 模式的d e s 算法产生主算法和p c 机加密算法的密 钥。 对于本地文件加解密，密钥变换算法的密钥固定不变，因此，主算法的密钥，即 工作密钥和发给p c 机的密钥都不变。 对于传输文件加解密实行一次一密的方式，每次都由随机数生成模块生成一随机 数作为密钥。工作密钥和发给p c 机的密钥每次都不同。为保证传输文件的安全性， 密钥变换算法的密钥用r s a 算法加密后进行传输。这种方式在密钥管理中称为混合密 钥系统。 保护算法用于对密钥变换算法及其密钥加以保护。根据现代密码学的观点，密码 系统的安全性取决于密钥的安全性，因此，保护算法的安全性对系统的安全性至关重 要。 保护算法采用工作在o f b 模式的d e s 算法，既将d e s 加密算法作为密钥流产生器。 d e s 算法是一种对二进制数据进行加密的算法，数据分组长度、密钥长度和输出密文 长度均为6 4 位，明文经过1 6 轮叠代、乘积变换、压缩变换等编码过程输出密文。 2 5 5 摘要算法采用m d 5 签名算法 摘要算法属于h a s h 函数，这种算法不需要输入密钥，它首先对输入x 进行固定 长度的分组，经过内部若干次叠代后，返回一个固定长度的散列值h ：h = h ( m ) 。 本系统所用的摘要算法为m d 5 签名算法，该算法以一个任意长度的报文作为输入， 产生一个1 2 8 b i t 的报文摘要作为输出。该算法在许多著作中都有描述，在此不作进 一步讨论。 2 5 6 密钥的分级管理 为了简化密钥的管理工作，我们采用密钥分级策略。我们将密钥分成初级密钥、 二级密钥和主机主密钥三个级别。 1 初级密钥 1 6 华中科技大学硕士学位论文 用于加解密数据的密钥称为初级密钥，也可称为工作密钥，记为k 。初级密钥可 由系统应用实体请求通过硬件或软件方式自动产生，也可以由用户自己提供。本系统 中，初级密钥由密钥变换算法产生。初级密钥仅在两个应用实体交换数据时才存在， 它的生存周期很短，通常只有几分钟。为了安全，初级密钥必须受更高一级的密钥的 保护，直至它的生存周期结束为止。一般而言，初级密钥为相互通信的两个进程所共 享，在主机或终端上会同时存在多个初级密钥。 2 二级密钥 二级密钥用以加密保护初级密钥，记作k n 。在本系统中，二级密钥是密钥变换算 法的密钥。二级密钥的生存周期一般较长，它在较长时间里保持不变。 3 主机主密钥 主机主密钥是这一管理方案中的最