基于PKI技術(shù)的網(wǎng)絡(luò )安全平臺設計分析

　　[摘要]采用USB加密機和PKI技術(shù)設計并實(shí)現一個(gè)網(wǎng)絡(luò )安全平臺。該安全平臺實(shí)現身份驗證、安全傳輸和訪(fǎng)問(wèn)權限管理等功能。研究該平臺所使用的協(xié)議的工作流程，并詳細介紹客戶(hù)端、訪(fǎng)問(wèn)控制服務(wù)器和證書(shū)管理系統的工作原理。

　　[關(guān)鍵詞]信息安全 PKI 安全協(xié)議 USB加密機 網(wǎng)絡(luò )安全平臺

　　一、概述

　　本文的目的是開(kāi)發(fā)基于PKI技術(shù)的網(wǎng)絡(luò )安全認證和連接平臺。該平臺使用USB 密碼機，利用PKI體系的相關(guān)技術(shù)，構建一個(gè)供擁有密碼機的合法用戶(hù)通過(guò)內網(wǎng)或者互聯(lián)網(wǎng)訪(fǎng)問(wèn)內部網(wǎng)絡(luò )的資源服務(wù)器的安全平臺。平臺要求實(shí)現用戶(hù)的和服務(wù)器的雙向認證、密鑰磋商、用戶(hù)訪(fǎng)問(wèn)權限管理，保證信息傳輸的保密性、完整性、不可否認性。

　　這個(gè)網(wǎng)絡(luò )安全平臺的服務(wù)器端分為兩個(gè)部分，訪(fǎng)問(wèn)控制服務(wù)器和證書(shū)管理服務(wù)器。訪(fǎng)問(wèn)控制服務(wù)器是直接與客戶(hù)端交換數據的服務(wù)器，負責的是與客戶(hù)端完成密鑰磋商，實(shí)現加密傳輸，控制客戶(hù)端的訪(fǎng)問(wèn)權限。證書(shū)管理服務(wù)器負責包括訪(fǎng)問(wèn)控制服務(wù)器在內的所有用戶(hù)的證書(shū)牛成和證書(shū)頒發(fā)。證書(shū)采用X.509v3格式，并且在連接的時(shí)候負責用戶(hù)的身份鑒定。

　　二、USB密碼機介紹

　　本文中采用的SJW-21C型USB密碼機是采用USB接口的密碼設備。

　　SJW-21C型密碼機的對稱(chēng)加密算法使用的是經(jīng)國家密碼局鑒定的專(zhuān)用密碼算法芯片，其加密分組為64位，密鑰長(cháng)度為128位，密碼機的對稱(chēng)加密速度≥SMbps，公鑰算法支持1024何的RSA，簽名速度≥4 次/秒，摘要算法則支持SHA—l和MDS。密碼機還內置通過(guò)國家有關(guān)部門(mén)鑒定的隨機數發(fā)生器，并且支持隨機數的篩選，也就是會(huì )自動(dòng)檢查隨機數的質(zhì)量，如果達不到要求，會(huì )自動(dòng)舍去。另外，密碼機本身也硬件支持生成RSA密鑰對。

　　三、PKI同絡(luò )安全平臺原理介紹

　　基于PKI的網(wǎng)絡(luò )安全平臺的安全認證過(guò)程分為兩個(gè)部分，一個(gè)是認證信息初始化過(guò)程，一個(gè)是對用戶(hù)的入網(wǎng)認證過(guò)程，

　　(一)認證信息初始化

　　認證信息初始化指的是這個(gè)網(wǎng)絡(luò )安傘平臺在架設起來(lái)之后，證書(shū)管理系統會(huì )生成所有用戶(hù)包括訪(fǎng)問(wèn)控制服務(wù)器的證書(shū)和私鑰，然后分發(fā)到各自的密碼機中去，具體過(guò)程如下。

　　1，將證書(shū)管理系統安裝好之后，會(huì )進(jìn)行初始化。

　　2，證書(shū)系統會(huì )開(kāi)始根據需要牛成其他認證實(shí)體的證書(shū)。

　　3，各用戶(hù)將自己的密碼機拿到證節管理系統里面來(lái)初始化，寫(xiě)入證書(shū)和私鑰。

　　4，密碼機初始化完畢之后，只要把密碼機安裝到任何一個(gè)可以連接到訪(fǎng)問(wèn)控制服務(wù)器的電腦上，運行客戶(hù)端，輸入正確的PIN碼，就可以開(kāi)始按照自己的權限來(lái)使用資源服務(wù)器上面的內容。以上就是整個(gè)安全平臺系統的初始化過(guò)程。

　　(二)安全平臺認證協(xié)議的認證過(guò)程

　　安全平臺的認證協(xié)議設計思想來(lái)自SSL/TLS協(xié)議，但不是純粹的將兩者簡(jiǎn)單的加在一起，因為那樣不僅小能發(fā)揮USB密碼機的真正優(yōu)勢，密碼機本身的特性也會(huì )對SSL/TLS協(xié)議的安全性帶來(lái)影響，所以這個(gè)協(xié)議是在理解了SSL/TLS協(xié)議的設計思想之后根據密碼機的安全功能和實(shí)際情況之后設計的。在下面的介紹里，會(huì )將密碼機所自帶的128位國產(chǎn)對稱(chēng)加密算法稱(chēng)為SAl28。

　　1、客戶(hù)端密碼機生成一個(gè)12 8位的隨機數R1，然后用SHA一1算法取這個(gè)隨機數和密碼機TD的信息摘要H1，用SAl28算法以Rl為密鑰將H1加密，然后用密碼機的私鑰加密R1，并在前頭加上密碼機的ID發(fā)送給訪(fǎng)問(wèn)控制服務(wù)器。

　　2、訪(fǎng)問(wèn)控制服務(wù)器將用戶(hù)發(fā)來(lái)的數據直接轉發(fā)給證書(shū)管理服務(wù)器。

　　3、證書(shū)服務(wù)器收到包之后，先根據這個(gè)ID在證書(shū)數據庫里面找這個(gè)ID所對應的證書(shū)，然后用證書(shū)電所包含的公鑰解密被客戶(hù)端私鑰加密過(guò)的Rl，然后用這個(gè)R1通過(guò)SAl28算法解密得到H1，驗證通過(guò)后。證書(shū)服務(wù)器會(huì )生成一個(gè)新隨機數R2，然后將R2用客戶(hù)端的公鑰進(jìn)行RSA加密，把加密后的數據加上 Rl之后取摘要值H2，然后將Rl和加密之后的R2還有H2以R2為密鑰用SAl28算法加密，再將R2用訪(fǎng)問(wèn)控制服務(wù)器的公鑰進(jìn)行RSA加密，再將以上數據發(fā)送給訪(fǎng)問(wèn)控制服務(wù)器。

　　4、服務(wù)器收到上述數據后，首先用自己的公鑰解出R2，然后用R2通過(guò)SAl28算法得到RsC(R2)+RI+H2，驗證通過(guò)后，將R2取摘要H3，然后將RsC(R2)+H3以R1用SAl28算法加密之后發(fā)送給客戶(hù)端。

　　5、客戶(hù)端收到數據后，先用Rl解出Rsl(R2)和H3，在確認之后，用自己的私鑰解出R2，然后以R2為SA 128算法的密鑰開(kāi)始和服務(wù)器進(jìn)行通信，到此，驗證過(guò)程結束，客戶(hù)端和訪(fǎng)問(wèn)控制服務(wù)器之問(wèn)建立起安全連接。

　　四、安全平臺的主要橫塊

　　這個(gè)網(wǎng)絡(luò )安傘認證平臺的安全連接部分主要分成3個(gè)部分，客戶(hù)端，訪(fǎng)問(wèn)控制服務(wù)器和證書(shū)管理服務(wù)器。這個(gè)系統是一個(gè)網(wǎng)絡(luò )安全的應用，所以網(wǎng)絡(luò )通信和安全非常重要。在Internet公網(wǎng)上的通訊采用TCP/IP協(xié)議，使用MFC封裝的一步SOCKET類(lèi)CasyncSocket建屯網(wǎng)絡(luò )連接。至于安全方面的連接是采用密碼機，編程采用對USB的驅動(dòng)程序應用接口的訪(fǎng)問(wèn)，這里使用的是針對這個(gè)密碼機的軟件開(kāi)發(fā)包。

　　(一)客戶(hù)端的實(shí)現

　　客戶(hù)端的實(shí)現土要分為兩個(gè)部分，一個(gè)是對密碼機的控制，一個(gè)是對網(wǎng)絡(luò )安全協(xié)議的支持�？蛻�(hù)端被設置為驗證PIN碼之后，就開(kāi)始進(jìn)行公私鑰自檢，自檢成功后就開(kāi)始向連接控制服務(wù)器提交驗證申請。

　　(二)訪(fǎng)問(wèn)控制服務(wù)器的實(shí)現

　　訪(fǎng)問(wèn)控制服務(wù)器的主要功能是負責外網(wǎng)和內網(wǎng)的數據交換，并判斷數據的屬性以做不同的處理。在訪(fǎng)問(wèn)服務(wù)器上面，維護了一個(gè)訪(fǎng)問(wèn)權限數據庫，這個(gè)數據庫鶚面含有資源服務(wù)器上面所有的資源并且對每個(gè)不間的用戶(hù)ID標明了權限。在客戶(hù)端和訪(fǎng)問(wèn)控制服務(wù)器之間建立了安全連接之后，服務(wù)器就會(huì )將和這個(gè)客戶(hù)端聯(lián)系的線(xiàn)程轉變成一個(gè)轉發(fā)線(xiàn)程，客戶(hù)端將自己的需求加密之后發(fā)過(guò)來(lái)，經(jīng)過(guò)轉發(fā)線(xiàn)程的解密處理之后，會(huì )按貺客戶(hù)端的權限范圍決定是否將需求發(fā)送給資源服務(wù)器，如果需求符合客戶(hù)端的權限，那么轉發(fā)線(xiàn)程會(huì )將得到的資源加密之后發(fā)送給客戶(hù)端。

　　(三)證書(shū)管理服務(wù)器的實(shí)現

　　在這個(gè)安全平臺里面，證書(shū)管理服務(wù)器的作用是證書(shū)生成和頒發(fā)，驗證客戶(hù)端和服務(wù)器端的身份，并且生成對稱(chēng)加密密鑰。證書(shū)管理服務(wù)器有一個(gè)證書(shū)庫，存有安全平臺系統里所有密碼機的證書(shū)。

　　證書(shū)管理服務(wù)器還維護一份CRL，由于所有的證書(shū)不是在證書(shū)管理服務(wù)器的證書(shū)庫里面，就是在密碼機里面，所以這份cue，除了過(guò)期的證書(shū)以外。其它所有情況下證書(shū)的狀態(tài)改變都是管理員手動(dòng)修改。

　　五、固終安全平臺中的數據庫設計

　　該網(wǎng)絡(luò )安全平臺中，一共存在四個(gè)數據庫，其中訪(fǎng)問(wèn)控制服務(wù)器兩個(gè)，分別是日志數據庫和訪(fǎng)問(wèn)權限數據庫，證書(shū)管理服務(wù)器兩個(gè)，分別是日志數據庫和證書(shū)數據庫。

　　由于本安傘平臺并不是基于公眾網(wǎng)的安哞，平臺，所以用戶(hù)量不會(huì )很大，出于效率的考慮，選用TBer keley DB數據庫系統。Berkeley DB是開(kāi)放源碼嵌入式數據庫函數庫，不同于SQL等關(guān)系類(lèi)數據庫，Berkel ey DB直接使用API調用數據庫里面的各項功能，而且對于大多數數據庫系統Berkeley踞只提供了相對簡(jiǎn)單的數據訪(fǎng)問(wèn)方式。記錄是以 (KEY，V“UE)對存放，所以Berkeley Db對的查詢(xún)比帶有高級語(yǔ)占解釋的關(guān)系類(lèi)庫快很多，也便很多。

【基于PKI技術(shù)的網(wǎng)絡(luò )安全平臺設計分析】相關(guān)文章：

基于GIS平臺開(kāi)發(fā)的電力調度系統的應用分析論文03-09

分析基于現網(wǎng)的OTN技術(shù)應用01-15

淺談基于Openstack 的網(wǎng)絡(luò )攻防實(shí)驗平臺設計與實(shí)現論文02-20

基于現代網(wǎng)絡(luò )技術(shù)的教學(xué)發(fā)展探究分析11-14

網(wǎng)絡(luò )安全協(xié)議分析與設計研究03-28

基于PHP技術(shù)的網(wǎng)站設計畢業(yè)論文11-21

淺談基于條碼技術(shù)的庫存管理系統設計11-17

談基于條碼技術(shù)的庫存管理系統設計11-18

基于JAVA的畢業(yè)審查系統的設計策略分析論文02-16