基于PKI技術的網絡安全平臺設計分析

基于PKI技術的網絡安全平臺設計分析

　　[摘要]采用USB加密機和PKI技術設計并實現一個網絡安全平臺。該安全平臺實現身份驗證、安全傳輸和訪問權限管理等功能。研究該平臺所使用的協議的工作流程，并詳細介紹客戶端、訪問控制服務器和證書管理系統的工作原理。

　　[關鍵詞]信息安全 PKI 安全協議 USB加密機 網絡安全平臺

　　一、概述

　　本文的目的是開發基于PKI技術的網絡安全認證和連接平臺。該平臺使用USB 密碼機，利用PKI體系的相關技術，構建一個供擁有密碼機的合法用戶通過內網或者互聯網訪問內部網絡的資源服務器的安全平臺。平臺要求實現用戶的和服務器的雙向認證、密鑰磋商、用戶訪問權限管理，保證信息傳輸的保密性、完整性、不可否認性。

　　這個網絡安全平臺的服務器端分為兩個部分，訪問控制服務器和證書管理服務器。訪問控制服務器是直接與客戶端交換數據的服務器，負責的是與客戶端完成密鑰磋商，實現加密傳輸，控制客戶端的訪問權限。證書管理服務器負責包括訪問控制服務器在內的所有用戶的證書牛成和證書頒發。證書采用X.509v3格式，并且在連接的時候負責用戶的身份鑒定。

　　二、USB密碼機介紹

　　本文中采用的SJW-21C型USB密碼機是采用USB接口的密碼設備。

　　SJW-21C型密碼機的對稱加密算法使用的是經國家密碼局鑒定的專用密碼算法芯片，其加密分組為64位，密鑰長度為128位，密碼機的對稱加密速度≥SMbps，公鑰算法支持1024何的RSA，簽名速度≥4 次/秒，摘要算法則支持SHA—l和MDS。密碼機還內置通過國家有關部門鑒定的隨機數發生器，并且支持隨機數的篩選，也就是會自動檢查隨機數的質量，如果達不到要求，會自動舍去。另外，密碼機本身也硬件支持生成RSA密鑰對。

　　三、PKI同絡安全平臺原理介紹

　　基于PKI的網絡安全平臺的安全認證過程分為兩個部分，一個是認證信息初始化過程，一個是對用戶的入網認證過程，

　　(一)認證信息初始化

　　認證信息初始化指的是這個網絡安傘平臺在架設起來之后，證書管理系統會生成所有用戶包括訪問控制服務器的證書和私鑰，然后分發到各自的密碼機中去，具體過程如下。

　　1，將證書管理系統安裝好之后，會進行初始化。

　　2，證書系統會開始根據需要牛成其他認證實體的證書。

　　3，各用戶將自己的密碼機拿到證節管理系統里面來初始化，寫入證書和私鑰。

　　4，密碼機初始化完畢之后，只要把密碼機安裝到任何一個可以連接到訪問控制服務器的電腦上，運行客戶端，輸入正確的PIN碼，就可以開始按照自己的權限來使用資源服務器上面的內容。以上就是整個安全平臺系統的初始化過程。

　　(二)安全平臺認證協議的認證過程

　　安全平臺的認證協議設計思想來自SSL/TLS協議，但不是純粹的將兩者簡單的加在一起，因為那樣不僅小能發揮USB密碼機的真正優勢，密碼機本身的特性也會對SSL/TLS協議的安全性帶來影響，所以這個協議是在理解了SSL/TLS協議的設計思想之后根據密碼機的安全功能和實際情況之后設計的。在下面的介紹里，會將密碼機所自帶的128位國產對稱加密算法稱為SAl28。

　　1、客戶端密碼機生成一個12 8位的隨機數R1，然后用SHA一1算法取這個隨機數和密碼機TD的信息摘要H1，用SAl28算法以Rl為密鑰將H1加密，然后用密碼機的私鑰加密R1，并在前頭加上密碼機的ID發送給訪問控制服務器。

　　2、訪問控制服務器將用戶發來的數據直接轉發給證書管理服務器。

　　3、證書服務器收到包之后，先根據這個ID在證書數據庫里面找這個ID所對應的證書，然后用證書電所包含的公鑰解密被客戶端私鑰加密過的Rl，然后用這個R1通過SAl28算法解密得到H1，驗證通過后。證書服務器會生成一個新隨機數R2，然后將R2用客戶端的公鑰進行RSA加密，把加密后的數據加上 Rl之后取摘要值H2，然后將Rl和加密之后的R2還有H2以R2為密鑰用SAl28算法加密，再將R2用訪問控制服務器的公鑰進行RSA加密，再將以上數據發送給訪問控制服務器。

　　4、服務器收到上述數據后，首先用自己的公鑰解出R2，然后用R2通過SAl28算法得到RsC(R2)+RI+H2，驗證通過后，將R2取摘要H3，然后將RsC(R2)+H3以R1用SAl28算法加密之后發送給客戶端。

　　5、客戶端收到數據后，先用Rl解出Rsl(R2)和H3，在確認之后，用自己的私鑰解出R2，然后以R2為SA 128算法的密鑰開始和服務器進行通信，到此，驗證過程結束，客戶端和訪問控制服務器之問建立起安全連接。

　　四、安全平臺的主要橫塊

　　這個網絡安傘認證平臺的安全連接部分主要分成3個部分，客戶端，訪問控制服務器和證書管理服務器。這個系統是一個網絡安全的應用，所以網絡通信和安全非常重要。在Internet公網上的通訊采用TCP/IP協議，使用MFC封裝的一步SOCKET類CasyncSocket建屯網絡連接。至于安全方面的連接是采用密碼機，編程采用對USB的驅動程序應用接口的訪問，這里使用的是針對這個密碼機的軟件開發包。

　　(一)客戶端的實現

　　客戶端的實現土要分為兩個部分，一個是對密碼機的控制，一個是對網絡安全協議的支持�？蛻舳吮辉O置為驗證PIN碼之后，就開始進行公私鑰自檢，自檢成功后就開始向連接控制服務器提交驗證申請。

　　(二)訪問控制服務器的實現

　　訪問控制服務器的主要功能是負責外網和內網的數據交換，并判斷數據的屬性以做不同的處理。在訪問服務器上面，維護了一個訪問權限數據庫，這個數據庫鶚面含有資源服務器上面所有的資源并且對每個不間的用戶ID標明了權限。在客戶端和訪問控制服務器之間建立了安全連接之后，服務器就會將和這個客戶端聯系的線程轉變成一個轉發線程，客戶端將自己的需求加密之后發過來，經過轉發線程的解密處理之后，會按貺客戶端的權限范圍決定是否將需求發送給資源服務器，如果需求符合客戶端的權限，那么轉發線程會將得到的資源加密之后發送給客戶端。

　　(三)證書管理服務器的實現

　　在這個安全平臺里面，證書管理服務器的作用是證書生成和頒發，驗證客戶端和服務器端的身份，并且生成對稱加密密鑰。證書管理服務器有一個證書庫，存有安全平臺系統里所有密碼機的證書。

　　證書管理服務器還維護一份CRL，由于所有的證書不是在證書管理服務器的證書庫里面，就是在密碼機里面，所以這份cue，除了過期的證書以外。其它所有情況下證書的狀態改變都是管理員手動修改。

　　五、固終安全平臺中的數據庫設計

　　該網絡安全平臺中，一共存在四個數據庫，其中訪問控制服務器兩個，分別是日志數據庫和訪問權限數據庫，證書管理服務器兩個，分別是日志數據庫和證書數據庫。

　　由于本安傘平臺并不是基于公眾網的安哞，平臺，所以用戶量不會很大，出于效率的考慮，選用TBer keley DB數據庫系統。Berkeley DB是開放源碼嵌入式數據庫函數庫，不同于SQL等關系類數據庫，Berkel ey DB直接使用API調用數據庫里面的各項功能，而且對于大多數數據庫系統Berkeley踞只提供了相對簡單的數據訪問方式。記錄是以 (KEY，V“UE)對存放，所以Berkeley Db對的查詢比帶有高級語占解釋的關系類庫快很多，也便很多。

【基于PKI技術的網絡安全平臺設計分析】相關文章：

基于GIS平臺開發的電力調度系統的應用分析論文03-09

分析基于現網的OTN技術應用01-15

淺談基于Openstack 的網絡攻防實驗平臺設計與實現論文02-20

基于現代網絡技術的教學發展探究分析11-14

網絡安全協議分析與設計研究03-28

基于PHP技術的網站設計畢業論文11-21

淺談基于條碼技術的庫存管理系統設計11-17

談基于條碼技術的庫存管理系統設計11-18

基于JAVA的畢業審查系統的設計策略分析論文02-16