基于PKI技術(shù)的網(wǎng)絡(luò)安全平臺(tái)設(shè)計(jì)分析
[摘要]采用USB加密機(jī)和PKI技術(shù)設(shè)計(jì)并實(shí)現(xiàn)一個(gè)網(wǎng)絡(luò)安全平臺(tái)。該安全平臺(tái)實(shí)現(xiàn)身份驗(yàn)證、安全傳輸和訪問權(quán)限管理等功能。研究該平臺(tái)所使用的協(xié)議的工作流程,并詳細(xì)介紹客戶端、訪問控制服務(wù)器和證書管理系統(tǒng)的工作原理。
[關(guān)鍵詞]信息安全 PKI 安全協(xié)議 USB加密機(jī) 網(wǎng)絡(luò)安全平臺(tái)
一、概述
本文的目的是開發(fā)基于PKI技術(shù)的網(wǎng)絡(luò)安全認(rèn)證和連接平臺(tái)。該平臺(tái)使用USB 密碼機(jī),利用PKI體系的相關(guān)技術(shù),構(gòu)建一個(gè)供擁有密碼機(jī)的合法用戶通過內(nèi)網(wǎng)或者互聯(lián)網(wǎng)訪問內(nèi)部網(wǎng)絡(luò)的資源服務(wù)器的安全平臺(tái)。平臺(tái)要求實(shí)現(xiàn)用戶的和服務(wù)器的雙向認(rèn)證、密鑰磋商、用戶訪問權(quán)限管理,保證信息傳輸?shù)谋C苄、完整性、不可否認(rèn)性。
這個(gè)網(wǎng)絡(luò)安全平臺(tái)的服務(wù)器端分為兩個(gè)部分,訪問控制服務(wù)器和證書管理服務(wù)器。訪問控制服務(wù)器是直接與客戶端交換數(shù)據(jù)的服務(wù)器,負(fù)責(zé)的是與客戶端完成密鑰磋商,實(shí)現(xiàn)加密傳輸,控制客戶端的訪問權(quán)限。證書管理服務(wù)器負(fù)責(zé)包括訪問控制服務(wù)器在內(nèi)的所有用戶的證書牛成和證書頒發(fā)。證書采用X.509v3格式,并且在連接的時(shí)候負(fù)責(zé)用戶的身份鑒定。
二、USB密碼機(jī)介紹
本文中采用的SJW-21C型USB密碼機(jī)是采用USB接口的密碼設(shè)備。
SJW-21C型密碼機(jī)的對(duì)稱加密算法使用的是經(jīng)國家密碼局鑒定的專用密碼算法芯片,其加密分組為64位,密鑰長度為128位,密碼機(jī)的對(duì)稱加密速度≥SMbps,公鑰算法支持1024何的RSA,簽名速度≥4 次/秒,摘要算法則支持SHA—l和MDS。密碼機(jī)還內(nèi)置通過國家有關(guān)部門鑒定的隨機(jī)數(shù)發(fā)生器,并且支持隨機(jī)數(shù)的篩選,也就是會(huì)自動(dòng)檢查隨機(jī)數(shù)的質(zhì)量,如果達(dá)不到要求,會(huì)自動(dòng)舍去。另外,密碼機(jī)本身也硬件支持生成RSA密鑰對(duì)。
三、PKI同絡(luò)安全平臺(tái)原理介紹
基于PKI的網(wǎng)絡(luò)安全平臺(tái)的安全認(rèn)證過程分為兩個(gè)部分,一個(gè)是認(rèn)證信息初始化過程,一個(gè)是對(duì)用戶的入網(wǎng)認(rèn)證過程,
(一)認(rèn)證信息初始化
認(rèn)證信息初始化指的是這個(gè)網(wǎng)絡(luò)安傘平臺(tái)在架設(shè)起來之后,證書管理系統(tǒng)會(huì)生成所有用戶包括訪問控制服務(wù)器的證書和私鑰,然后分發(fā)到各自的密碼機(jī)中去,具體過程如下。
1,將證書管理系統(tǒng)安裝好之后,會(huì)進(jìn)行初始化。
2,證書系統(tǒng)會(huì)開始根據(jù)需要牛成其他認(rèn)證實(shí)體的證書。
3,各用戶將自己的密碼機(jī)拿到證節(jié)管理系統(tǒng)里面來初始化,寫入證書和私鑰。
4,密碼機(jī)初始化完畢之后,只要把密碼機(jī)安裝到任何一個(gè)可以連接到訪問控制服務(wù)器的電腦上,運(yùn)行客戶端,輸入正確的PIN碼,就可以開始按照自己的權(quán)限來使用資源服務(wù)器上面的內(nèi)容。以上就是整個(gè)安全平臺(tái)系統(tǒng)的初始化過程。
(二)安全平臺(tái)認(rèn)證協(xié)議的認(rèn)證過程
安全平臺(tái)的認(rèn)證協(xié)議設(shè)計(jì)思想來自SSL/TLS協(xié)議,但不是純粹的將兩者簡單的加在一起,因?yàn)槟菢硬粌H小能發(fā)揮USB密碼機(jī)的真正優(yōu)勢(shì),密碼機(jī)本身的特性也會(huì)對(duì)SSL/TLS協(xié)議的安全性帶來影響,所以這個(gè)協(xié)議是在理解了SSL/TLS協(xié)議的設(shè)計(jì)思想之后根據(jù)密碼機(jī)的安全功能和實(shí)際情況之后設(shè)計(jì)的。在下面的介紹里,會(huì)將密碼機(jī)所自帶的128位國產(chǎn)對(duì)稱加密算法稱為SAl28。
1、客戶端密碼機(jī)生成一個(gè)12 8位的隨機(jī)數(shù)R1,然后用SHA一1算法取這個(gè)隨機(jī)數(shù)和密碼機(jī)TD的信息摘要H1,用SAl28算法以Rl為密鑰將H1加密,然后用密碼機(jī)的私鑰加密R1,并在前頭加上密碼機(jī)的ID發(fā)送給訪問控制服務(wù)器。
2、訪問控制服務(wù)器將用戶發(fā)來的數(shù)據(jù)直接轉(zhuǎn)發(fā)給證書管理服務(wù)器。
3、證書服務(wù)器收到包之后,先根據(jù)這個(gè)ID在證書數(shù)據(jù)庫里面找這個(gè)ID所對(duì)應(yīng)的證書,然后用證書電所包含的公鑰解密被客戶端私鑰加密過的Rl,然后用這個(gè)R1通過SAl28算法解密得到H1,驗(yàn)證通過后。證書服務(wù)器會(huì)生成一個(gè)新隨機(jī)數(shù)R2,然后將R2用客戶端的公鑰進(jìn)行RSA加密,把加密后的數(shù)據(jù)加上 Rl之后取摘要值H2,然后將Rl和加密之后的R2還有H2以R2為密鑰用SAl28算法加密,再將R2用訪問控制服務(wù)器的公鑰進(jìn)行RSA加密,再將以上數(shù)據(jù)發(fā)送給訪問控制服務(wù)器。
4、服務(wù)器收到上述數(shù)據(jù)后,首先用自己的公鑰解出R2,然后用R2通過SAl28算法得到RsC(R2)+RI+H2,驗(yàn)證通過后,將R2取摘要H3,然后將RsC(R2)+H3以R1用SAl28算法加密之后發(fā)送給客戶端。
5、客戶端收到數(shù)據(jù)后,先用Rl解出Rsl(R2)和H3,在確認(rèn)之后,用自己的私鑰解出R2,然后以R2為SA 128算法的密鑰開始和服務(wù)器進(jìn)行通信,到此,驗(yàn)證過程結(jié)束,客戶端和訪問控制服務(wù)器之問建立起安全連接。
四、安全平臺(tái)的主要橫塊
這個(gè)網(wǎng)絡(luò)安傘認(rèn)證平臺(tái)的安全連接部分主要分成3個(gè)部分,客戶端,訪問控制服務(wù)器和證書管理服務(wù)器。這個(gè)系統(tǒng)是一個(gè)網(wǎng)絡(luò)安全的應(yīng)用,所以網(wǎng)絡(luò)通信和安全非常重要。在Internet公網(wǎng)上的通訊采用TCP/IP協(xié)議,使用MFC封裝的一步SOCKET類CasyncSocket建屯網(wǎng)絡(luò)連接。至于安全方面的連接是采用密碼機(jī),編程采用對(duì)USB的驅(qū)動(dòng)程序應(yīng)用接口的訪問,這里使用的是針對(duì)這個(gè)密碼機(jī)的軟件開發(fā)包。
(一)客戶端的實(shí)現(xiàn)
客戶端的實(shí)現(xiàn)土要分為兩個(gè)部分,一個(gè)是對(duì)密碼機(jī)的控制,一個(gè)是對(duì)網(wǎng)絡(luò)安全協(xié)議的支持。客戶端被設(shè)置為驗(yàn)證PIN碼之后,就開始進(jìn)行公私鑰自檢,自檢成功后就開始向連接控制服務(wù)器提交驗(yàn)證申請(qǐng)。
(二)訪問控制服務(wù)器的實(shí)現(xiàn)
訪問控制服務(wù)器的主要功能是負(fù)責(zé)外網(wǎng)和內(nèi)網(wǎng)的數(shù)據(jù)交換,并判斷數(shù)據(jù)的屬性以做不同的處理。在訪問服務(wù)器上面,維護(hù)了一個(gè)訪問權(quán)限數(shù)據(jù)庫,這個(gè)數(shù)據(jù)庫鶚面含有資源服務(wù)器上面所有的資源并且對(duì)每個(gè)不間的用戶ID標(biāo)明了權(quán)限。在客戶端和訪問控制服務(wù)器之間建立了安全連接之后,服務(wù)器就會(huì)將和這個(gè)客戶端聯(lián)系的線程轉(zhuǎn)變成一個(gè)轉(zhuǎn)發(fā)線程,客戶端將自己的需求加密之后發(fā)過來,經(jīng)過轉(zhuǎn)發(fā)線程的解密處理之后,會(huì)按貺客戶端的權(quán)限范圍決定是否將需求發(fā)送給資源服務(wù)器,如果需求符合客戶端的權(quán)限,那么轉(zhuǎn)發(fā)線程會(huì)將得到的資源加密之后發(fā)送給客戶端。
(三)證書管理服務(wù)器的實(shí)現(xiàn)
在這個(gè)安全平臺(tái)里面,證書管理服務(wù)器的作用是證書生成和頒發(fā),驗(yàn)證客戶端和服務(wù)器端的身份,并且生成對(duì)稱加密密鑰。證書管理服務(wù)器有一個(gè)證書庫,存有安全平臺(tái)系統(tǒng)里所有密碼機(jī)的證書。
證書管理服務(wù)器還維護(hù)一份CRL,由于所有的證書不是在證書管理服務(wù)器的證書庫里面,就是在密碼機(jī)里面,所以這份cue,除了過期的證書以外。其它所有情況下證書的狀態(tài)改變都是管理員手動(dòng)修改。
五、固終安全平臺(tái)中的數(shù)據(jù)庫設(shè)計(jì)
該網(wǎng)絡(luò)安全平臺(tái)中,一共存在四個(gè)數(shù)據(jù)庫,其中訪問控制服務(wù)器兩個(gè),分別是日志數(shù)據(jù)庫和訪問權(quán)限數(shù)據(jù)庫,證書管理服務(wù)器兩個(gè),分別是日志數(shù)據(jù)庫和證書數(shù)據(jù)庫。
由于本安傘平臺(tái)并不是基于公眾網(wǎng)的安哞,平臺(tái),所以用戶量不會(huì)很大,出于效率的考慮,選用TBer keley DB數(shù)據(jù)庫系統(tǒng)。Berkeley DB是開放源碼嵌入式數(shù)據(jù)庫函數(shù)庫,不同于SQL等關(guān)系類數(shù)據(jù)庫,Berkel ey DB直接使用API調(diào)用數(shù)據(jù)庫里面的各項(xiàng)功能,而且對(duì)于大多數(shù)數(shù)據(jù)庫系統(tǒng)Berkeley踞只提供了相對(duì)簡單的數(shù)據(jù)訪問方式。記錄是以 (KEY,V“UE)對(duì)存放,所以Berkeley Db對(duì)的查詢比帶有高級(jí)語占解釋的關(guān)系類庫快很多,也便很多。
【基于PKI技術(shù)的網(wǎng)絡(luò)安全平臺(tái)設(shè)計(jì)分析】相關(guān)文章:
基于GIS平臺(tái)開發(fā)的電力調(diào)度系統(tǒng)的應(yīng)用分析論文03-09
分析基于現(xiàn)網(wǎng)的OTN技術(shù)應(yīng)用01-15
淺談基于Openstack 的網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)論文02-20
基于現(xiàn)代網(wǎng)絡(luò)技術(shù)的教學(xué)發(fā)展探究分析11-14
網(wǎng)絡(luò)安全協(xié)議分析與設(shè)計(jì)研究03-28
基于PHP技術(shù)的網(wǎng)站設(shè)計(jì)畢業(yè)論文11-21
淺談基于條碼技術(shù)的庫存管理系統(tǒng)設(shè)計(jì)11-17
談基于條碼技術(shù)的庫存管理系統(tǒng)設(shè)計(jì)11-18
基于JAVA的畢業(yè)審查系統(tǒng)的設(shè)計(jì)策略分析論文02-16
- 相關(guān)推薦