基于PKI技術(shù)的網(wǎng)絡(luò)安全平臺(tái)設(shè)計(jì)分析

基于PKI技術(shù)的網(wǎng)絡(luò)安全平臺(tái)設(shè)計(jì)分析

　　[摘要]采用USB加密機(jī)和PKI技術(shù)設(shè)計(jì)并實(shí)現(xiàn)一個(gè)網(wǎng)絡(luò)安全平臺(tái)。該安全平臺(tái)實(shí)現(xiàn)身份驗(yàn)證、安全傳輸和訪問(wèn)權(quán)限管理等功能。研究該平臺(tái)所使用的協(xié)議的工作流程，并詳細(xì)介紹客戶端、訪問(wèn)控制服務(wù)器和證書管理系統(tǒng)的工作原理。

　　[關(guān)鍵詞]信息安全 PKI 安全協(xié)議 USB加密機(jī) 網(wǎng)絡(luò)安全平臺(tái)

　　一、概述

　　本文的目的是開發(fā)基于PKI技術(shù)的網(wǎng)絡(luò)安全認(rèn)證和連接平臺(tái)。該平臺(tái)使用USB 密碼機(jī)，利用PKI體系的相關(guān)技術(shù)，構(gòu)建一個(gè)供擁有密碼機(jī)的合法用戶通過(guò)內(nèi)網(wǎng)或者互聯(lián)網(wǎng)訪問(wèn)內(nèi)部網(wǎng)絡(luò)的資源服務(wù)器的安全平臺(tái)。平臺(tái)要求實(shí)現(xiàn)用戶的和服務(wù)器的雙向認(rèn)證、密鑰磋商、用戶訪問(wèn)權(quán)限管理，保證信息傳輸?shù)谋Ｃ苄浴⑼暾�性、不可否認(rèn)性。

　　這個(gè)網(wǎng)絡(luò)安全平臺(tái)的服務(wù)器端分為兩個(gè)部分，訪問(wèn)控制服務(wù)器和證書管理服務(wù)器。訪問(wèn)控制服務(wù)器是直接與客戶端交換數(shù)據(jù)的服務(wù)器，負(fù)責(zé)的是與客戶端完成密鑰磋商，實(shí)現(xiàn)加密傳輸，控制客戶端的訪問(wèn)權(quán)限。證書管理服務(wù)器負(fù)責(zé)包括訪問(wèn)控制服務(wù)器在內(nèi)的所有用戶的證書牛成和證書頒發(fā)。證書采用X.509v3格式，并且在連接的時(shí)候負(fù)責(zé)用戶的身份鑒定。

　　二、USB密碼機(jī)介紹

　　本文中采用的SJW-21C型USB密碼機(jī)是采用USB接口的密碼設(shè)備。

　　SJW-21C型密碼機(jī)的對(duì)稱加密算法使用的是經(jīng)國(guó)家密碼局鑒定的專用密碼算法芯片，其加密分組為64位，密鑰長(zhǎng)度為128位，密碼機(jī)的對(duì)稱加密速度≥SMbps，公鑰算法支持1024何的RSA，簽名速度≥4 次/秒，摘要算法則支持SHA—l和MDS。密碼機(jī)還內(nèi)置通過(guò)國(guó)家有關(guān)部門鑒定的隨機(jī)數(shù)發(fā)生器，并且支持隨機(jī)數(shù)的篩選，也就是會(huì)自動(dòng)檢查隨機(jī)數(shù)的質(zhì)量，如果達(dá)不到要求，會(huì)自動(dòng)舍去。另外，密碼機(jī)本身也硬件支持生成RSA密鑰對(duì)。

　　三、PKI同絡(luò)安全平臺(tái)原理介紹

　　基于PKI的網(wǎng)絡(luò)安全平臺(tái)的安全認(rèn)證過(guò)程分為兩個(gè)部分，一個(gè)是認(rèn)證信息初始化過(guò)程，一個(gè)是對(duì)用戶的入網(wǎng)認(rèn)證過(guò)程，

　　(一)認(rèn)證信息初始化

　　認(rèn)證信息初始化指的是這個(gè)網(wǎng)絡(luò)安傘平臺(tái)在架設(shè)起來(lái)之后，證書管理系統(tǒng)會(huì)生成所有用戶包括訪問(wèn)控制服務(wù)器的證書和私鑰，然后分發(fā)到各自的密碼機(jī)中去，具體過(guò)程如下。

　　1，將證書管理系統(tǒng)安裝好之后，會(huì)進(jìn)行初始化。

　　2，證書系統(tǒng)會(huì)開始根據(jù)需要牛成其他認(rèn)證實(shí)體的證書。

　　3，各用戶將自己的密碼機(jī)拿到證節(jié)管理系統(tǒng)里面來(lái)初始化，寫入證書和私鑰。

　　4，密碼機(jī)初始化完畢之后，只要把密碼機(jī)安裝到任何一個(gè)可以連接到訪問(wèn)控制服務(wù)器的電腦上，運(yùn)行客戶端，輸入正確的PIN碼，就可以開始按照自己的權(quán)限來(lái)使用資源服務(wù)器上面的內(nèi)容。以上就是整個(gè)安全平臺(tái)系統(tǒng)的初始化過(guò)程。

　　(二)安全平臺(tái)認(rèn)證協(xié)議的認(rèn)證過(guò)程

　　安全平臺(tái)的認(rèn)證協(xié)議設(shè)計(jì)思想來(lái)自SSL/TLS協(xié)議，但不是純粹的將兩者簡(jiǎn)單的加在一起，因?yàn)槟菢硬粌H小能發(fā)揮USB密碼機(jī)的真正優(yōu)勢(shì)，密碼機(jī)本身的特性也會(huì)對(duì)SSL/TLS協(xié)議的安全性帶來(lái)影響，所以這個(gè)協(xié)議是在理解了SSL/TLS協(xié)議的設(shè)計(jì)思想之后根據(jù)密碼機(jī)的安全功能和實(shí)際情況之后設(shè)計(jì)的。在下面的介紹里，會(huì)將密碼機(jī)所自帶的128位國(guó)產(chǎn)對(duì)稱加密算法稱為SAl28。

　　1、客戶端密碼機(jī)生成一個(gè)12 8位的隨機(jī)數(shù)R1，然后用SHA一1算法取這個(gè)隨機(jī)數(shù)和密碼機(jī)TD的信息摘要H1，用SAl28算法以Rl為密鑰將H1加密，然后用密碼機(jī)的私鑰加密R1，并在前頭加上密碼機(jī)的ID發(fā)送給訪問(wèn)控制服務(wù)器。

　　2、訪問(wèn)控制服務(wù)器將用戶發(fā)來(lái)的數(shù)據(jù)直接轉(zhuǎn)發(fā)給證書管理服務(wù)器。

　　3、證書服務(wù)器收到包之后，先根據(jù)這個(gè)ID在證書數(shù)據(jù)庫(kù)里面找這個(gè)ID所對(duì)應(yīng)的證書，然后用證書電所包含的公鑰解密被客戶端私鑰加密過(guò)的Rl，然后用這個(gè)R1通過(guò)SAl28算法解密得到H1，驗(yàn)證通過(guò)后。證書服務(wù)器會(huì)生成一個(gè)新隨機(jī)數(shù)R2，然后將R2用客戶端的公鑰進(jìn)行RSA加密，把加密后的數(shù)據(jù)加上 Rl之后取摘要值H2，然后將Rl和加密之后的R2還有H2以R2為密鑰用SAl28算法加密，再將R2用訪問(wèn)控制服務(wù)器的公鑰進(jìn)行RSA加密，再將以上數(shù)據(jù)發(fā)送給訪問(wèn)控制服務(wù)器。

　　4、服務(wù)器收到上述數(shù)據(jù)后，首先用自己的公鑰解出R2，然后用R2通過(guò)SAl28算法得到RsC(R2)+RI+H2，驗(yàn)證通過(guò)后，將R2取摘要H3，然后將RsC(R2)+H3以R1用SAl28算法加密之后發(fā)送給客戶端。

　　5、客戶端收到數(shù)據(jù)后，先用Rl解出Rsl(R2)和H3，在確認(rèn)之后，用自己的私鑰解出R2，然后以R2為SA 128算法的密鑰開始和服務(wù)器進(jìn)行通信，到此，驗(yàn)證過(guò)程結(jié)束，客戶端和訪問(wèn)控制服務(wù)器之問(wèn)建立起安全連接。

　　四、安全平臺(tái)的主要橫塊

　　這個(gè)網(wǎng)絡(luò)安傘認(rèn)證平臺(tái)的安全連接部分主要分成3個(gè)部分，客戶端，訪問(wèn)控制服務(wù)器和證書管理服務(wù)器。這個(gè)系統(tǒng)是一個(gè)網(wǎng)絡(luò)安全的應(yīng)用，所以網(wǎng)絡(luò)通信和安全非常重要。在Internet公網(wǎng)上的通訊采用TCP/IP協(xié)議，使用MFC封裝的一步SOCKET類CasyncSocket建屯網(wǎng)絡(luò)連接。至于安全方面的連接是采用密碼機(jī)，編程采用對(duì)USB的驅(qū)動(dòng)程序應(yīng)用接口的訪問(wèn)，這里使用的是針對(duì)這個(gè)密碼機(jī)的軟件開發(fā)包。

　　(一)客戶端的實(shí)現(xiàn)

　　客戶端的實(shí)現(xiàn)土要分為兩個(gè)部分，一個(gè)是對(duì)密碼機(jī)的控制，一個(gè)是對(duì)網(wǎng)絡(luò)安全協(xié)議的支持�？蛻舳吮辉O(shè)置為驗(yàn)證PIN碼之后，就開始進(jìn)行公私鑰自檢，自檢成功后就開始向連接控制服務(wù)器提交驗(yàn)證申請(qǐng)。

　　(二)訪問(wèn)控制服務(wù)器的實(shí)現(xiàn)

　　訪問(wèn)控制服務(wù)器的主要功能是負(fù)責(zé)外網(wǎng)和內(nèi)網(wǎng)的數(shù)據(jù)交換，并判斷數(shù)據(jù)的屬性以做不同的處理。在訪問(wèn)服務(wù)器上面，維護(hù)了一個(gè)訪問(wèn)權(quán)限數(shù)據(jù)庫(kù)，這個(gè)數(shù)據(jù)庫(kù)鶚面含有資源服務(wù)器上面所有的資源并且對(duì)每個(gè)不間的用戶ID標(biāo)明了權(quán)限。在客戶端和訪問(wèn)控制服務(wù)器之間建立了安全連接之后，服務(wù)器就會(huì)將和這個(gè)客戶端聯(lián)系的線程轉(zhuǎn)變成一個(gè)轉(zhuǎn)發(fā)線程，客戶端將自己的需求加密之后發(fā)過(guò)來(lái)，經(jīng)過(guò)轉(zhuǎn)發(fā)線程的解密處理之后，會(huì)按貺客戶端的權(quán)限范圍決定是否將需求發(fā)送給資源服務(wù)器，如果需求符合客戶端的權(quán)限，那么轉(zhuǎn)發(fā)線程會(huì)將得到的資源加密之后發(fā)送給客戶端。

　　(三)證書管理服務(wù)器的實(shí)現(xiàn)

　　在這個(gè)安全平臺(tái)里面，證書管理服務(wù)器的作用是證書生成和頒發(fā)，驗(yàn)證客戶端和服務(wù)器端的身份，并且生成對(duì)稱加密密鑰。證書管理服務(wù)器有一個(gè)證書庫(kù)，存有安全平臺(tái)系統(tǒng)里所有密碼機(jī)的證書。

　　證書管理服務(wù)器還維護(hù)一份CRL，由于所有的證書不是在證書管理服務(wù)器的證書庫(kù)里面，就是在密碼機(jī)里面，所以這份cue，除了過(guò)期的證書以外。其它所有情況下證書的狀態(tài)改變都是管理員手動(dòng)修改。

　　五、固終安全平臺(tái)中的數(shù)據(jù)庫(kù)設(shè)計(jì)

　　該網(wǎng)絡(luò)安全平臺(tái)中，一共存在四個(gè)數(shù)據(jù)庫(kù)，其中訪問(wèn)控制服務(wù)器兩個(gè)，分別是日志數(shù)據(jù)庫(kù)和訪問(wèn)權(quán)限數(shù)據(jù)庫(kù)，證書管理服務(wù)器兩個(gè)，分別是日志數(shù)據(jù)庫(kù)和證書數(shù)據(jù)庫(kù)。

　　由于本安傘平臺(tái)并不是基于公眾網(wǎng)的安哞，平臺(tái)，所以用戶量不會(huì)很大，出于效率的考慮，選用TBer keley DB數(shù)據(jù)庫(kù)系統(tǒng)。Berkeley DB是開放源碼嵌入式數(shù)據(jù)庫(kù)函數(shù)庫(kù)，不同于SQL等關(guān)系類數(shù)據(jù)庫(kù)，Berkel ey DB直接使用API調(diào)用數(shù)據(jù)庫(kù)里面的各項(xiàng)功能，而且對(duì)于大多數(shù)數(shù)據(jù)庫(kù)系統(tǒng)Berkeley踞只提供了相對(duì)簡(jiǎn)單的數(shù)據(jù)訪問(wèn)方式。記錄是以 (KEY，V“UE)對(duì)存放，所以Berkeley Db對(duì)的查詢比帶有高級(jí)語(yǔ)占解釋的關(guān)系類庫(kù)快很多，也便很多。

【基于PKI技術(shù)的網(wǎng)絡(luò)安全平臺(tái)設(shè)計(jì)分析】相關(guān)文章：

基于GIS平臺(tái)開發(fā)的電力調(diào)度系統(tǒng)的應(yīng)用分析論文03-09

分析基于現(xiàn)網(wǎng)的OTN技術(shù)應(yīng)用01-15

淺談基于Openstack 的網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)論文02-20

基于現(xiàn)代網(wǎng)絡(luò)技術(shù)的教學(xué)發(fā)展探究分析11-14

網(wǎng)絡(luò)安全協(xié)議分析與設(shè)計(jì)研究03-28

基于PHP技術(shù)的網(wǎng)站設(shè)計(jì)畢業(yè)論文11-21

淺談基于條碼技術(shù)的庫(kù)存管理系統(tǒng)設(shè)計(jì)11-17

談基于條碼技術(shù)的庫(kù)存管理系統(tǒng)設(shè)計(jì)11-18

基于JAVA的畢業(yè)審查系統(tǒng)的設(shè)計(jì)策略分析論文02-16