（通信与信息系统专业论文）基于nios硬盘加密卡的系统集成与密钥管理的研究与实现.pdf

摘要 摘要 硬盘丢失会引起了一系列的安全问题。虽然可以对硬盘进行物理隔离，但是 从根本上解决不了硬盘数据在企业内部丢失的问题。基于这样的原因，对硬盘数 据进行加密管理已经得到越来越多的应用。而在加密过程中，采用什么样的密钥 管理方案，对数据保护也起着非常重要的作用。 本文提出了一种基于提出了一种基于a l t e r a 公司的“n i o s + f p g a ”嵌入式系 统的硬盘数据加解密方案。分析了硬盘加密的原理，给出了的密钥管理方案和实 现步骤，详细叙述了系统软硬件平台的建立过程。具体来说本文所做的工作如下： 1 对比了存储加密和通信加密的异同，分析了硬盘存储加密的可行性。 2 对实现硬盘数据加密技术进行了归纳，特别介绍了嵌入式系统设计过程。 3 设计了一套完整的硬盘数据加解密系统，并实现了整个加密系统的软硬件平台 以及调试环境的搭建。 4 介绍了系统各个功能模块的具体实现，并在此基础上给出了密钥管理功能实现 的方案，介绍了嵌入式操作系统e c o s 。 使用c 语言、汇编语言实现部分软件编程，使用p r o t e l 原理图绘制，p c b 版 图设计及系统实现 关键词s 硬盘数据加密密钥管理n i o s 嵌入式系统 a b s t r a c t a b s t r a c t w i t ht h ed e v e l o p m e n to fd a t as t o r a g et e c h n o l o g y , t h ep r o t e c t i o no fs t o r e dd a t ai s a l s op a i dn l o l a n dl l l o l ea t t e n t i o n h a r dd i s k ，鹪t h em o s tc o n l n l o ns t o r a g ed e v i c e i s r e l a t i v e l ye a s yt os t e a l w h i c h 湖c a u s eal o to f s e c u r i t yp r o b l e m s i n t e r n a la t t a c ki n s i d e t h ee n t e r p r i s ei sn o ta v o i d a b l ee v e ni fh a r dd i s ki sp h y s i c a l l ys e g r e g a t e d s oe n c r y p t i n g t h ed a t a0 1 3 t h eh a r dd i s ki sag o o dw a yt oa v o i ds e c u r i t yp r o b l e m sa b o v e s o f t w a r e e n e r y p t i o n f i t s t h es i t u a t i o nt h a tt h ee n e r y p t i o ns p e e di s n o t v e r yh i 曲 i nc e r t a i no p e r a t i n gs y s t e m h a r d w a r ee n e r y p t i o n 啪m e e tt h ed e m a n dt h a tb l o c k so f d a t aa r ee n c r y p t e di nah i g h s p e e dw a y m o r e o v e r , as u i t a b l ek e ym a n a g e m e n tf o r t h e d a t ae n e r y p t i o na l g o r i t h mm u s tb ep r o p e r l yc h o s e n a c c o r d i n gt oa n a l y s i so f t h e d a t as t o r a g ea n dt r a n s f e rm e c h a a i s mf o rh a r dd i s k , t h e p a p e rp r o p o s e sas e c u r i t ys o l u t i o nt h e m eo ns t o r a g ee n e r y p t i o n , w h i c hi s b a s e do n a l t e r a s n i o s + f p g a e m b e d d e ds y s t e m i nt h ep a p e r , t h ep r i n c i p l eo fe n e r y p t i o ni s i n t r o d u c e da n dt h et h e m eo fk e ym a n a g e m e n tf o r t h es t o r a g ee n e r y p t i o ns y s t e m1 1 9w e l l a si t sd e v e l o p i n gs t e p si se x p l a i n e d f u r t h c r l l l o r e , t h ep r o c e s so ft h ei m p l e m e n t a t i o no f t h eh a r d w a r ea n ds o f t w a r es y s t e mi s s p e c i f i e di nd e t a i l t h em a i nw o r k nb e s t m a m a r i z e da sf o l l o w sc o n c r e t e l y ： 1 t h ec h a r a c t e r so fs t o r a g ee n e r y p t i o ni sa n a l y z e d ；t h ee r y p t o l o g yt h e o r yf o r s t o r a g ee n e r y p t i o ni ss i m p l ys u m m a r i z e d ； 2 t h ef e a s i b i l i t yo f h a r d w a r ee n e r y p t i o nm e t h o df o rh a r dd i s ks t o r a g ei sa n a l y z e d ； t h ed e v e l o p m e n ts t e p sf o rn i o se m b e d d e ds y s t e mi sp a r t i c u l a r l yi n t r o d u c e d ； 3 a ni n t e g r a t e ds y s t e mn a m e d d a t ae n e r y p t i o nc a r d i sd e s i g n e da n di t ss o t t w a r e a n dh a r d w a r ep l a t - f o r ma l o n gw i t ht h ed e b u g g i n ge n v i r o n m e n to f t h ed e s i g ni sb u i l du p ； 4 e v e r yf u n c t i o nm o d u l eo ft h es c h e m ei se x p l a i n e d ；ak e ym a n a g e m e n tf o rt h e s y s t e mi sd e s c r i b e di nd e t a i l ；t h ed e v e l o p i n gs t e p so ft h ee c o sa p p l i c a t i o nf o rt h e s y s t e ma r ed i s c u s s e d p a r to f p r o g r a mp e r f o r m a n c e sa r er e a l i z e di nca n da s s e m b l el a n g u a g e 趾dt h e p r i n c i p l ec h a r to f p c bi sr e a l i z e db yp r o t e l k e yw o r d ：s t o r a g ee l l e r y p t i o ak e ym a n a g e m e n t n i o se m b e d d e ds y s t e l n 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包 含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或其 它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的 任何贡献均已在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 查! 塑日期地：i ：! i 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即；研究生 在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕业 离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。学 校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部 或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。( 保密的论文在 解密后遵守此规定) 本学位论文属于保密在一年解密后适用本授权书。 本人签名：垂! 查日期! 竺! ：! ：! ! 导师签名：轫 日期 望吐! l 啤 第一章绪论 第一章绪论 1 1 信息安全领域概述 在信息技术飞速发展的今天，信息安全与保密技术日益成为人们关注的焦点。 所谓信息安全，就是建立信息处理系统所采取的技术和安全保护措施，以保护计 算机系统中的硬件、软件及数据，防止因偶然或恶意的原因使系统或信息遭到破 坏，更改和泄密。它从早期的通信保密发展到关注信息的保密、完整、可用、可 控和不可否认的信息安全，并迸一步发展到如今的信息保障和信息保障体系。稳 健的信息保障状态意味着信息保障和政策、步骤、技术与机制在整个组织的信息 基础设施的所有层面上均能得以实施。 可以这样说，面向数据的安全概念i i 】是指保密性、完整性和可用性的统一；面 面向使用者的安全概念则是指鉴别、授权、访问控制、不可否认性和服务性以及 基于内容的个人隐私、知识产权等保护。两者的结合就是信息安全系统结构中的 安全服务，而这些安全问题又要依靠密码、数字签名、身份验证技术、防火墙、 安全审计、灾难恢复、防病毒和防黑客入侵等安全机制来解决。其中密码技术和 管理是信息系统安全的核心。 1 2 硬盘数据加密课题的引出及意义 1 2 1 硬盘数据加密的迫切性 随着信息技术的发展，p c 和笔记本电脑变得越来越普及，但是硬盘被盗和涉 及重要机密的笔记本电脑丢失变成了令政府、机构、企业和个人尤为头疼的“大 事情”。根据美国计算机安全研究所( c o m p u t e rs e c u r i t yi n s t i t u t e ) 的一项调查结果 表明：膝上电脑和硬盘被盗已经成为继电脑病毒感染后人们关心的第二大安全性 问题。 为防止笔记本电脑被盗，生产商想出了各种办法：提供与普通手提箱相似的 电脑箱；发明了警报系统；设计数据加密程序，使未经授权的使用者无法看到电 脑里的内容等。推出配备指纹安全识别系统的笔记本电脑。用户只需在感应区按 下指纹，便能纪录指纹资料，当系统启动并进入操作系统时，系统将要求用户提 供指纹以供辨识，通过后方可继续操作。但是这些方法的致命弱点是：一旦盗贼 采取暴力破解的方式，将笔记本硬盘取出，立即可用其它电脑读取该笔记本硬盘 中的宝贵数据，导致数据泄密。 ! 基于n i o s 硬盘加密卡的系统集成与密钥管理的研究与实现 鉴于上面这些方法的漏洞，许多笔记本电脑厂商和信息安全公司采用软件加 密的方式来保护硬盘数据【2 1 ，这在一定程度上保护了硬盘数据。但是软件加密的速 度较慢，尤其是对一些海量数据进行处理时，就会造成硬盘读写的瓶颈，并且软 件技术本身并不安全，而采用硬件加密方法则避免了这些问题。 1 2 2 硬盘数据加密的研究现状 目前国内外有对硬盘进行加密的相关产品，主要都采用了e n o v a 公司的单芯 片x - w a l ls e 来构成加，鳃密系统。x - w a l ls e 是一块专门用于实时加密解密硬盘 内容( 包括起始扇区和操作系统) 的a s i c 。芯片采用了d e s 和t d e s 加密算法来完 成对数据的加密和解密操作。它位于主机p c i 南桥和i d e 驱动器接口之间，对流 向硬盘的数据进行实时加密，对流出硬盘的数据进行实时解密。并且芯片还设计 了专门的用于用户身份识别的“安全钥匙”，只有通过确认的用户才能启动系统和 进行数据的读写操作。如果采用x - w a l l 来设计硬盘加密系统的话将会变得相当简 单，主要的工作都由x - w a l l 芯片来完成了。但是这样的设计也有一定的缺陷，由 于芯片功能己经固定，只能采用它固有的工作方式和加密算法以及身份识别的方 法。同时对于某些特别敏感的单位( 如军事上不允许采用国外的加密产品) 将会造成 一定的困难。同时系统的升级、扩展都受到了巨大的影响。 1 2 3 硬盘加密课题的意义和来源 目前在硬盘加密芯片和硬盘加密卡研制方面，国内还没有自主知识版权的同 类产品。考虑到安全因素，国家有关部门规定：国外的信息安全产品尤其芯片级 安全产品不能直接进入国家涉及机密的系统和部门中。这些部门包括：军队、政 府、国防性质企事业单位、公安、金融、交通、电信、电力、证券、税务、海事 等等关系到国家经济命脉和政府与国防的要害部门。因此，开发有自主知识版权 的硬盘加密芯片并推广和使用，必然会推动我国信息安全领域的发展，进而带来 很大的经济效益。本课题来源于长春卓尔公司“基于f p g a 的硬盘加密卡”项目。 1 3 课题采用的主要技术及预期目标 1 3 1 采用的相关技术 为方便系统的实现，我们采用了基于“n i o s + f p g a ”的可编程片上系统设计 方式，对于需要实现加解密操作，采用基于f p g a 的硬件电路方式，对于系统控 第一章绪论 3 制、命令判断、密钥生成采用基于n i o s 处理器的软件来实现。 在硬件平台设计上，除了s o p c b u i l d e r 工具自带的c p u ，f l a s h ，s r a m ， d m a 控制器等硬件单元外，还需分别设计加密卡接主机和硬盘 d e 数据线端的逻 辑接口电路以及加解密模块器件的接口电路。 软件平台主要用c 语言和汇编语言来编写各个控制模块的程序以及密钥管理、 系统认证程序。可以根据系统剪裁嵌入式操作系统，用操作系统来控制整个系统 的功能，如密钥更新，加解密、系统认证等功能。 1 3 2 加密卡最终实现的效果 加密卡完成之后接在主机和硬盘i d e 数据线之间，存入硬盘的数据进行加密 操作，读出硬盘的数据进行解密操作。最终目标是整合密码技术和计算机芯片技 术为用户提供“硬盘加密+ 访问控制”一体化硬件解决方案：在硬盘与主机之间放 置加密卡，加密卡上用芯片进行快速加解密，用软件对访问硬盘的各种信号进行 分类处理，只对读写硬盘的数据进行加密解密。加密算法中的主密钥以i c 智能卡 形式提供，在系统自检时输入，以硬密钥作为密码来认证。除了硬盘的读写命令 启动加解密程序之外，所有的其他命令均直接通过加密卡，不做处理；主密钥由 i c 智能控制，由i c 智能卡来启动加密卡；加密卡与之绑定；没有主密钥的i c 智 能卡，加密卡不能启动。 1 4 本论文研究的内容及安排 论文的主要是研究硬盘数据卡系统集成和密钥管理设计，并以此为理论基础进 行加密卡的软硬件设计，为后续的实现及商用化提供理论和实验环境。该论文主 要研究内容如下： 1 硬盘加密卡集成 该设备完成硬盘数据的加解密功能，通过i d e 数据线分别于主机和硬盘通信， 并通过标准串口与其他用于调试的p c 通信，通过1 2 c 接口与主密钥卡通信。论文 中包括其实现原理的分析、实际的板卡的设计和实现以及主要接口模块的实现。 2 密钥管理系统的实现 论文中给出了一种多级密钥管理方案，包括密钥的生成、分配、存储与更新。 为了使硬盘加密卡可以走向应用，还需要操作系统来对密钥管理体系进行管理。 一4 基于n i o s 硬盘加密卡的系统集成与密钥管理的研究与实现 论文各个章节安排如下： 第二章介绍了密码学的基础：加密技术、密钥管理技术以及认证技术； 第三章硬盘加密卡的可行性分析：比较存储加密与通信加密的特点，分析了 硬件加密和软件加密的优劣，讨论了硬盘数据的硬加密的可行性； 第四章对硬盘数据加密卡的设计方法进行了归纳，介绍了基于n i o s 的嵌入 式系统开发，分析了硬盘加密卡的开发步骤； 第五章设计了加密卡的系统实现方案，并对各个模块进行了分块说明； 第六章分析了加密技术、密钥管理和系统认证，给出了密钥管理的设计流程； 介绍了嵌入式操作系统e c o s ： 第七章总结与展望：简要总结了整个论文研究的内容以及在项目中的作用， 在此基础上提出了后续工作的研究内容。 最后附上实际板卡的原理图和实物图。 第二章密码学理论基础 第二章密码学理论基础 5 现代信息系统中信息安全的核心问题是密码理论及其技术应用，而密码理论 与技术主要包括两部分【3 】：即基于数学的密码理论与技术( 包括公钥密码、分组密 码、序列密码、认证码、数字签名、单向散列算法与h a s h 函数、身份识别、密钥 管理与交换、p k i 技术等等) 和非数学的密码理论与技术( 包括信息隐形，量子密码， 基于生物特征的识别理论与技术等等) 。下面将根据对本项目中的应用，对用到的 密码技术基础进行了理论说明。 2 1 加密技术与加密算法 加密技术是保障数据安全的最基本、最核心的技术措施和理论基础。采用密 码方法可以隐蔽和保护需要保密的信息，使未授权者不能提取信息。被隐蔽的消 息称为明文( p l a i n t e x t ) 。密码可将明文变换为另一种隐蔽的形式，称为密文( c i p h e r t e x t ) 。这种变换过程称为加密( e n c r y p t i o n ) 。其逆过程，即由密文恢复出原明文 的过程称为解密( d e c t y p t i o n ) 。对明文进行加密时所采用的一组规则称为加密算 法( e n c r y p t i o na l g o r i t h m ) ，对密文进行解密时所采用的规则称作解密算法。加密 和解密算法操作通常都是在一组密钥( k e y ) 控制下进行的，分别称作加密密钥和 解密密钥。保密系统可以用下图简单表示： 图2 1 保密系统框图 明文用p 表示，密文用c 表示。k 。和k 2 分别代表加密密钥和解密密钥。用加 密算法e 作用于p 可以得到c ： e k i ( p ) = c式2 1 一 用解密算法d 恢复明文的过程： d m ( c ) = - p式2 - 2 先加密再解密，原始的明文将被恢复，故下面的式子成立： d m ( e k i ( p ) ) = p 式2 - 3 一6 基于n i o s 硬盘加密卡的系统集成与密钥管理的研究与实现 按照加密和解密所使用的密钥不同，密码算法町分为非对称算法和对称算法 两类。非对称算法( 也叫公开密钥算法) 是这样设计的：用作加密的密钥不同于用 作解密的密钥，而且解密密钥不能根据加密密钥计算出来。在这些系统中，加密 密钥叫做公开密钥，解密密钥叫做私人密钥。对称算法( s y m m e t r i ca l g o r i t h i l l ) 有时 又叫传统密码算法，就是加密密钥和解密密钥相同。 2 1 1 公开密钥加密算法 公开密钥加密算法中，加密密钥和解密密钥不同，且从一个难于推出另一个 4 1 。 因此又称为非对称密钥加密算法。每个用户都有一对选定的密钥，一个可以公开， 是公开密钥；另一个由用户安全拥有，是私人密钥。既可用公开密钥加密，也可 用私人密钥加密。当a 和b 进行通信时，a 用b 的公开密钥对数据进行加密，并 发送给b ；在收到数据后，用自己的私人密钥进行解密，也只有b 才能对其解密 获得明文信息。使用公开密钥加密算法，通信双方事先无需利用秘密通道和复杂 协议来交换密钥就可建立起保密通信。 2 1 2 对称密钥加密算法 在对称密钥加密算法中，加密密钥和解密密钥是相同的。它要求发送者和接收 者在安全通信之前，商定一个密钥( 称为会话密钥) 。当给对方发送消息时，用会 话密钥进行加密，而在接收方收到数据后，用会话密钥进行解密。对称密钥加密 算法根据对明文消息加密方式的不同分为两大类：即流密码和分组密码。 ( 1 ) 流密码 流密码是将明文划分为字符，字符分别与密钥流作用进行加密，解密时以同 步产生的同样的密钥流实现，其基本框图如下： 图2 2 流密码原理框图 图2 2 中，k g 为密钥流生成器，k i 为初始密钥。流密码强度完全依赖于密钥流 第二章密码学理论基础 7 产生器所生成的序列的随机性和不可预测性，其核心问题是密钥流生成器的设计 p 】。保持收发两端密钥流的精确同步时实现可靠解密的关键技术。 ( 2 ) 分组密码 分组密码是将明文消息编码表示后的数字序列研，x z ，而，划分成长 为m 的组工= c x o ，幻，玉+ ，土各组长为m 的矢量分别在密钥露= f 岛，岛， k l - 1 ) 控制下变换成等长的输出数字序列j ，= c y o ，y l ，y n _ ，土其加密函数e ： x k 一圪，是n 维矢量空间，k 为密钥空间，如图3 3 。它与流密码的不同之 处在于输出的每一位数字不是只与相应时刻输入的明文数字有关，而是还与一组 长为m 的明文数字有关。在相同的密钥下，分组密码对长为m 的输入明文组所实 施的变换是等同的，所以只需研究任一组数字的变换规则。这种密码实质上是子 长为晰的数字序列的代换密码嘲。 图2 2 分组密码框图 2 2 密钥管理技术 明文 l i x d 通常密码算法和密钥是加密系统的两个基本要素。密钥算法是一些公式、法则 或程序；密钥是密码算法中的可变参数。密码算法总是设计成相对稳定的，视为 常量，密钥视为变量。从数学的角度讲，改变了密钥，也就改变了明文与密文之 间等价的函数关系。由于种种原因，密码算法实际上很难做到绝对保密，在设计 加密系统时总是假定密码算法是公开的，而密钥才是真正需要保密的。也就是说， 一个加密系统的密码本制可以公开，密码设备可以丢失，同一型号的加密设备仍 然可以继续使用，如果密钥一旦丢失或出错，就会使非法用户窃取信息。这并不 是说对密码算法不需要保密，尤其是在政府和军事部门，对密码算法也进行了保 密，大大增强了保密强度。由此可见，一切秘密寄于密钥之中。因此，对密钥的 设计及管理将变得极为重要。 密钥的管理涉及到密钥的产生、检验、分配、传递、保管、使用和销毁的全 过程，还与密钥的行政管理制度以及人员的素质密切相关。因此，一个好的密钥 管理系统应当尽量不依赖人的因素，最终提高系统的安全程度。密钥管理的具体 要求是：密钥难以被非法窃取；在一定的条件下即使窃取了密钥也没有用；密钥 ! 基fn i o s 硬盘加密卡的系统集成与密钥管理的研究与实现 的分配和更换过程对用户是透明的，用户不必掌握密钥6 1 。 2 2 1 密钥的随机性要求 在密钥产生技术中，不可预测性是产生密钥的一条基本要求，因为容易预测 的序列也容易被攻破。在加密过程中不断注入随机因素，以适当降低通信速率为 代价换取保密强度。提高密钥质量最现实、最保险的策略是：用尽可能客观的、 物理的方法产生密钥，用尽可能完备的统计方法检验密钥的随机性，使不随机的 密钥序列出现的概率最小。产生随机密钥的方法，可利用密码装置中的密钥发生 器，也可用节点处理机中的程序产生随机数，密钥流生成程序应充分利用与用户 和处理过程有关的随机因素。如直接取机器的日时钟时间计数的数值作为输人数， 再加上人工操作时，敲击键盘瞬时时间的随机性，则可以得到一个真正的随机数 序列。不论采取什么样的密钥产生方法，都应避免可以按照某种步骤进行预测。 2 2 2 密钥的分配和建立 密钥的分配是指为了今后安装密钥而通过密码系统传送和分发密钥的过程。 它是密钥管理需要解决的一个基本问题。这是因为，任何密钥都有规定的使用期 限，制定使用期限的依据主要不是取决于在这段时间内密码能否被破译，而是从 概率的意义上考虑密钥机密是否被泄漏出去。现在的密码技术完全可以做到使加 密设备里的密钥几年内不更换，甚至在整个加密设备的有效寿命期间内保持不变， 也仍然是足够安全的。但是，加密设备里的密钥在使用长时间后就有可能被窃取 或被泄漏，这个问题超出了数学的能力之外。比如一个花费了1 0 0 万美元一也难 以破译的密码系统，可能只需用1 万美元就能买通密钥管理人员。可见，密钥应 当经常更换，更换密钥时应尽量减少人员的参与，实现密钥的自动分配，必要时 一些核心的密钥成分对操作人员也是保密的，无法通过实验求出存放在密封的核 心部件里的密钥信息。 2 2 3 密钥的保护 密钥保护技术涉及到密钥在传送、注入、存储和使用等多个方面。 ( 1 ) 密钥的注入 加密设备里的最高层密钥( 主密钥) 通常需要人工装人。装人的方法有：键盘输 人；专用的密钥注入设备输3 , ( t l l 口密钥枪) 。密钥的注入过程应有一个封闭的工作环 境，所有接近密钥注入工作的人员应当是绝对可靠的，不存在可被窃听装置接收 的电磁或其它辐射。采用密钥枪或密钥软盘应与键盘输人的口令相结合，建立一 第二章密码学理论基础 9 定的接口规约，只有在输入了合法的加密操作口令才能激活密钥枪或轮盘里的密 钥信息。在密钥注入过程完成后，不允许存在任何可能导出密钥的残留信息。当 使用密钥注入设备用于远距离传递密钥时，注入设备本身应设计成封闭式的物理、 逻辑单元。密钥注入的内容不能被显示出来，为了掌握密钥注入的过程，所有的 密钥应按照编号进行管理，而这些编号可以是公开的。在可能的条件下。重要的 密钥可采取由多人、多批次分开完成注入，这种方式的代价较高，但提供了多密 钥的加密环境。 ( 2 ) 密钥的存储 密钥注入以后，所有存储在加密设备里的密钥都以加密的形式存放，而对密 钥解密的口令应该由密码操作人员掌握。这样即使装有密钥的加密设备被破译者 窃走，也可以保证密钥系统的安全。一个高级的加密设备应做到：无论是通过直 观的、电子的或其它方法都不可能从密码设备中读出信息。加密设备在硬件上要 有一定的物理保护措施。重要的密钥信息要采用掉电保护措施，在紧急情况下应 有清除密钥的设计，使得在任何情况下只要加密设备一旦拆开，密钥就自动消失。 如果采用软件加密也应有一定的软件保护措施，在可能的条件下，对加密设备应 有迸行非法使用审计的设计，并把非法输入的口令、输入时间甚至输入者的特征 等记录下来，以便日后追查。 2 2 4 密钥的更新 密钥的使用是有寿命的，密钥到了有效期，必须清除密钥原存储区，或者用 随机产生的噪声进行重写，为了保证加密设备能进行连续工作，不应产生设备服 务的中断。将密钥设计成新密钥生成有效后，旧密钥还可继续保持一段时间，防 止在更换密钥期间出现不能解密的现象。 2 3 杂凑函数 杂凑( h a s h ) 函数是将任意长的数字串m 映射成一个较短的定长输出数字串 日的函数，以h 表示，hn 易于计算，称h - - - - h 似) 为膨的杂凑值，也称杂 凑码。这个日无疑打上了输入数字串的烙印，因此又称其为输入肘的数字指纹 ( d i g i t a l f i n g e r p r i n t ) 。h 是多对一映射，因此我们不能从日求出原来的 厶但可 以验证任一给定序列肘是否与膨有相同的杂凑值。 单向杂凑函数还可以按其是否有密钥控制划分为两大类：一类有密钥控制， 以_ i l 陡聊表示，为密码杂凑函数；另一类无密钥控制，为一般杂凑函数。无密钥 控制的单向杂凑函数，其杂凑值只是输入字串的函数，任何人都可以计算，因此 竺基于n i o s 硬盘加密卡的系统集成与密钥管理的研究与实现 不具有身份认证功能，只用于检测接受数据的完整性；而有密钥控制的单向杂凑 函数，要满足各种安全性要求，其杂凑值不仅与输入有关，而且与密钥有关，只 有持此密钥的入才能计算出相应的杂凑值，因而具有身份验证功能，如消息认证 码m a c 。此时的杂凑值就是我们常说的认证符( a u t h e n t i c a t o r ) 或认证码( 5 】。 2 4 基于口令字的认证技术 口令认证技术作为最早出现的身份认证技术之一，在安全应用系统中得到了 广泛的使用。随着各种网络信息应用系统安全需求的变化，口令认证技术也不断 发展变化，从早期的静态口令发展到动态口令【7 1 ，出现了各种各样的口令认证方法 与技术。 2 4 1 静态口令认证技术 静态口令认证是最早使用也是最简单的口令认证技术的一种形式，即每个合 法用户都持有一个身份标识i d 和相应的通行口令，被访问的系统将所有合法用户 的d 和口令保存在口令文件中。当用户访问系统时，输入各自的d 和口令，系 统将从口令文件中取出相应m 和口令同登录者提供的m 和口令相比较，若两者 结果匹配，则认定用户是合法的。否则拒绝访问。静态口令认证简单，使用方便， 目前还有很多应用系统采用这种认证方式。但是，静态口令认证安全性较低，存 在很多安全隐患和缺陷。主要表现为下列几种形式： ( 1 ) 多数用户倾向于使用短口令，造成系统安全性偏低，易受口令穷举攻击； ( 2 ) 用户为了使用方便，往往设定与自己生活信息( 姓名、生日、电话号码、身 份证号等) 特征作为相关的口令使用。结果易受口令猜测攻击； ( 3 ) 用户习惯长期使用同一口令，保存周期偏长，被破解的可能性与日俱增； ( 4 ) 大多数的远程应用系统的口令通过明文传输，易被网络上的监听者窃取； ( 5 ) 一些被访问的系统以明文方式保存用户的d 和口令，一旦口令文件被窃 取，系统的安全性荡然无存。 为了解除以上的安全威胁，就需要有一种不易猜测、经常变化、一次性使用 的动态口令来提高口令认证的安全性，以满足应用系统对安全性的要求。 2 4 2 动态口令认证技术 动态口令是随机变化的一种口令形式，每次登录将使用不同的口令。在一定 的时间间隔内，一个口令只能使用一次，重复使用的口令将被拒绝接受。在现代 第二章密码学理论基础 网络安全信息应用系统中，常用的动态口令认证系统主要由两部分组成：客户端 操作和服务器端认证。客户端操作认证的功能是通过将用户的d 和某种变化的因 素作为给定算法的输入参数，经过运算获得的结果处理值即为动态口令，并将其 作为用户登录口令使用。在服务器认证端进行同样类似的操作，将计算结果作为 验证方口令保存，并和客户端送来的登录信息比较，若两者匹配，则允许登录； 否则，拒绝登录。 动态口令的生成方法很多，主要采用数学手段实现，有简单数学变换形式， 也有复杂数学方法处理，既有随机函数也有伪随机发生器，有软件产品，也有硬 件产品。根据动态口令的生成方式不同有不同的动态口令认证方案，其安全性也 有所不同。下面分别介绍两种基本形式。 z a 2 1 基于时间同步机制的动态口令 基于时间同步机制的认证系统，其特点是选择单向散列函数( h a s h 函数) 作为 口令生成算法。选择用户的d ，口令和时间值作为单向散列函数的输入参数。由 于时间值不断变化，因此散列函数运算所得的动态口令也不断变化。服务器认证 端不保存用户的口令，它仅保存用d 和口令的散列值。所以服务器认证端也不知 道用户的口令。认证过程如图所示。 时阃戳一动态i ，匡丑习 口令雄 晖酬。丁型二 服务器端 图2 4 基于时间的认证系统 在客户端操作中，用户将自身d 、口令和客户端的系统时时问值作为单向散 列函数的输入参数，通过给定算法计算出动态口令。然后把用户d 和动态口令发 送到服务器端认证。服务器收到用户的登录信息后，找出用户d 对应的散列值 m a c ，运行相同的单向散列函数，输入用户d 和m a c ，计算出一个散列值，并 将它与收到的用户登录信息相比较。如果二者结果相同，则允许用户登录。否则， 拒绝登陆。 该方案的优点在于客户端和服务器只进行一次数据传输，操作简单，用户的 口令不在网络上明文传输，所以侦听者也很难从侦听的报文中得到用户的口令字 信息，服务器也不需要直接知道用户的口令。即使服务器端的散列值被窃取，因 为单向散列函数的特性，攻击者也无法由散列值求得用户的口令。选择时问值作 旦基于n i o s 硬盘加密卡的系统集成与密钥管理的研究与实现 为单向散列函数的输入参数，每次生成的动态口令都不同，因此可防止重放攻击。 但是，该方案要求客户端和服务器必须保持时间同步，这在实现上有点难度。 此外，如果服务器保存的散列值被窃取，攻击者有可能通过口令猜铡破译出用户 的口令。 2 4 2 2 基于挑战应答方式的动态口令 与基于时间同步机制的认证方法一样，挑战应答方式的认证系统也选择单向 散列函数作为口令生成算法，服务器认证端保存用户i d 和口令的散列值。但是， 挑战应答方式选择用户i d 、口令字和“挑战”信息作为单向散列函数的输入参数。 采用这种认证方案，客户端操作和服务器端认证需要进行三次数据传输。如图所 刁孓： 登陆请求 ，随机数 客户端服务器 臀陆口舍、 图2 5 基于挑战应答方式的口令认证 其客户端操作和服务器端认证过程如下； ( 1 ) 客户端发起登录请求，登录请求包含用户的身份标识i d ； ( 2 ) 服务器检查用户l d 是否合法，不合法就不做进一步处理，否则继续； ( 3 ) 服务器发送一个随机数给客户端； ( 4 ) 客户端将收到的随机数和用户i d 、口令字输入单向散列函数中，将计算所 得的结果作为登录口令，发送给服务器： ( 5 ) 服务器运行相同的单向散列函数，输入随机数和用户对应的散列值，得到 一个运算结果值，将这个结果值和客户端送来的登录1 3 令相比较，如果匹配就允 许用户登录，否则拒绝登录。 挑战应答方式的优缺点同基于时间同步机制的方式一样，都可以防止监听攻 击和重放攻击。若在服务器认证端泄漏散列值后，均不能防止口令猜测的攻击。 两种方式的不同之处在于；一是挑战应答方式的客户端和服务器要进行三次数据 传输，而时间同步机制只要一次。因此，在这两个方案中，前者效率更高。二是 挑战应答方式不需要客户端和服务器端保持时间同步，这在具体操作中相对比较 容易实现。 第三章硬盘数据加密分析 第三章硬盘数据加密分析 3 1 存储加密和通信加密的比较 1 3 数据存储加密和通信加密都是为了保护有效信息不被攻击者窃取。但是从实 现机制上来说又有很大的不同。从破译密码算法所需时间上看，破译存储加密算 法所需的密码分析时间仅仅由数据的价值所决定，而对于通信加密来说，破译其 算法的时间性要求高，在一段时间内如果没有被分析者破译，通信加密传输就算 是成功的，但对于存储加密来说只要数据有价值，攻击者可以想尽任何办法在任 何时间内去破译系统，这对存储加密的系统提出了更高的安全性要求；从分析者 实施的攻击上看，对于存储加密来说，除了可以进行密文攻击外。由于数据可能 存储在另外的备份盘上、另一位计算机上或以明文形式出现，密码分析者可以有 机会得到更多的明密文对儿来实施已知明文攻击，从这个方面来看，也要求存储 加密系统比一般的通信加密系统有更严格的对抗密码分析的措施；从实现的速度 上来看，存储加密系统可能要求商的输入输出速度来实现快速的加解密，因而可 以用硬件加密器件来实现，而对于通信加密来说由于如密过程只是整个通信过程 的一个部分，所以对于加解密速度来说没有像存储加密那样在特定情况下有特别 高的要求；从密钥管理方面来看，存储加密机制更为复杂，因为在数据库的应用 之中，不同的人要访问不同的文件，或者不同的人要访问同一文件不同的部分等， 而通信加密相对来说的密钥管理机制没有这么复杂。综合以上的原因，设计一个 好的存储加密系统要考虑到比一般通信加密更多更复杂的因素。 3 2 1 软件加密方法 3 2 硬盘存储加密技术 任何加密算法都可以用软件实现【5 】。软件实现的缺点是速度低，占用一些计算 和存储资源；优点是灵活，轻便，可安装于多种机器上，可以将几个软件组合成 一个系统，如与通信程序，字处理程序等相结合。当前有很多软件可以对硬盘上 的数据进行加密和解密。其一般的原理是通过在操作系统中运行某种加密软件完 成对数据的加密解密工作。软件加密的方法一般比较简单，实现起来比较经济。 适合于用户加密自己一般的隐私和资料，但是软件加密本身固有的不足使其难以 应用到需要高级保密和大数据量加密的企业以及军事机构，其缺点如下： 兰基于n i o s 硬盘加密卡的系统集成与密钥管理的研究与实现 ( 1 1 软件加密一般采用用户名加口令的方式确认身份识别，一般用户名和密码 都不是很长，容易被猜测到或者被暴力破解。同时，软件加密时，用户的密钥或 密码是以明文的方式输入到加密软件中去，很容易受到木马程序的监控或者其他 人的偷窃。所以软件加密虽然方便简单但是安全性差，加密文件容易被破解，不 适合于保密要求比较高的应用场合。 ( 2 ) 软件加密所有的执行过程都是通过c p u 运行指令来完成的。由于大多数 加密算法是面向b i t 串操作的，而p c 机上的处理器一般都是字节的整数倍( 3 2 b i t ， 6 4 b i t ) ，因此加解程序的运行效率很低，加密大量文件时将会严重占用系统资源， 直接导致系统资源紧张，影响工作效率。 ( 3 ) 软件加密最大的问题是安全性，攻击者可以利用各种调试工具，可以毫无 察觉的偷偷的修改算法；在多任务情况下，文件进入系统后是否及时被加密，存 储于系统中的文件加密可能是几分钟，当攻击者出现对，文件还可能是明文状态； 密钥也可能仍以明文形式存在硬盘某处，被其用细齿梳( f i n e - t o o t hc o m b ) 检出。 3 2 。2 硬件加密方法 采用电路方式的硬件电路加密，由于很多算法都是面向b i t 串操作，因而用电 路实现速度快；硬件加密安全性好，硬件可以封装，可以封装防止串扰，因而可 以防止入侵修改。a s l c 外面可以涂上化学防护罩，任何试图解剖芯片内部的行动 都会破坏其内部逻辑，导致存储的数据自行擦除。例如：美国的c l i p p e r 和c a p s t o n e 芯片均有防串扰设计，而且可以使外面无法读出内部密钥；硬件实现可以进行电 磁屏蔽设计，这样可以防止电磁辐射泄漏( e l e c t r o n i cr a d i a t i o n ) 。但是用硬件加密 实现的系统复杂程度高。 对于硬件数据加密的方法很多，其中之一是在主板和硬盘之间增加一个硬件 微处理芯片，该芯片能够提供硬件实体层即时加密保护，通过复杂的算法对文件 加以保护，同时硬件加密由于基于硬件层处理，因此丝毫不会占用系统资源，对 系统整体影响微乎其微。另一方面，硬件加密相对软件加密安全性有质的提高， 不易破解。同时，这种硬件加密不需任何使用界面，加密过程在硬件层由微处理 器完成，使用界面没有任何改变。 3 3 硬盘数据加密可行性分析 硬盘i d e 数据线上的传输遵循标准的a t a 系列数据传输协议【8 1 。a t a 接口也 有数据线1 6 位，用来传送命令和数据；地址线5 位，用来选择寄存器。a t a 标准 之中在中以寄存器方式传送数据、命令和地址柳。这些寄存器包括数据寄存器、错 第三章硬盘数据加密分析 误状态，特性寄存器、起始扇区地址寄存器、柱面地址寄存器、状态寄存器命令寄 存器等。除数据寄存器为1 6 位以外，其他寄存器均为8 位。p c 微机分配给寄存 器的地址有两组，一组为i f o h i f 8 h ，另一组为1 7 0 h 1 7 8 h 。通常a t a 适配器 采用i r q l 4 中断。 i d e 控制器中有两组寄存器：命令寄存器和控制寄存器。命令寄存器被用来接 收命令和传送数据；控制寄存器组用作磁盘控制。这两个寄存器组通过片选信号 区分。对硬盘的控制以及读取硬盘的状态通过写读者两个寄存器来实现【埘。a t a 接口有两种数据传输方式：p i o 和d m a 方式，但无论是哪一种方式，都是通过读 写寄存器来实现对硬盘的控制的。对于d m a 数据传输方式需要d m a 控制器。 对于要给硬盘数据加密，就要实现两部分的功能：1 ) 对于主机来说加密卡要 充当硬盘的功能：2 ) 对于硬盘来说加密卡要充当主机。因此，简单来说，对于截 获i d e 数据线上的数据的加密卡，要分别给主机和硬盘端接口根据传输协议设置 不同的时序信号，同时要让主机和硬盘都感觉不到加密卡的存在，在处理完数据 之后，再给出不同的接口信号时序，将处理完的数据送出【】。对于加密卡接硬盘 端的i d e 数据线，用检测硬盘发过来的信号信息以做出响应；对于接主机端的i d e 接口，不但要及时响应不同的信号，还要在卡上做一组寄存器，让主机来根据不 同的命令来“读写”。为此，根据不同的数据传输速度，要选择合适的加密算法， 否则如果加密速度太慢，不能及时送出给主机和硬盘端送出控制信号，将导致系 统的不能正常工作。考虑到系统的速度和安全性，合理的选择加密算法和密钥管 理系统就显得很关键。 用硬件方式来实现对数据的加密，采用什么样的开发工具也是一个值得考虑 的问题。鉴于硬盘的控制命令种类繁多，对于这样的命令用单纯的硬件电路来实 现显得复杂，编解码电路会有占用很大一部分硬件资源，一定程度限制了加密部 分的应用；再者对于控制命令，不像加密解密那样对于系统速度有很高的要求， 因此可以完全用软件来实现。考虑到上面的原因，找一种可以实现硬件电路的开 发。也可以实现在此硬件基础上用软件来操作硬件的开发工具，可以很好的满足 我们的需求。为此，我们选择了基于软核c p u 的n i o s 的嵌入式方案来实现整