基于智能卡的嵌入式網(wǎng)絡(luò)加密安全系統(tǒng)設(shè)計(jì)

　　2 設(shè)計(jì)原則

　　要設(shè)計(jì)一個(gè)網(wǎng)絡(luò)安全加密系統(tǒng)，應(yīng)該考慮以下幾個(gè)方面：

　　(1)標(biāo)準(zhǔn)化、模塊化設(shè)計(jì)原則。在產(chǎn)品軟件和硬件的設(shè)計(jì)過程中，遵循模塊化設(shè)計(jì)原則，各個(gè)功能模塊相對(duì)獨(dú)立，各模塊之間界定清晰的接口界面。遵循標(biāo)準(zhǔn)化設(shè)計(jì)路線，遵循人民銀行PBOC*規(guī)范(算法除外)，采用標(biāo)準(zhǔn)的接口，提供標(biāo)準(zhǔn)化的安全服務(wù)；

　　(2)適應(yīng)性、可擴(kuò)展性原則?？傮w設(shè)計(jì)緊密結(jié)合實(shí)際應(yīng)用，能夠適應(yīng)復(fù)雜應(yīng)用環(huán)境及其通信線路、多種操作系統(tǒng)平臺(tái)、Web服務(wù)平臺(tái)、瀏覽器平臺(tái)，支持各種流行的開發(fā)環(huán)境。另外，具有可擴(kuò)展性，能夠適應(yīng)未來需求變化，能夠應(yīng)對(duì)安全威脅變化帶來的新的安全風(fēng)險(xiǎn)，保障本系統(tǒng)在其整個(gè)生命周期的安全；

　　(3)合理的密鑰管理。密鑰的安全控制和管理是系統(tǒng)設(shè)計(jì)的關(guān)鍵，在保證系統(tǒng)安全的基礎(chǔ)上，密鑰管理體系的設(shè)計(jì)盡量簡(jiǎn)潔、實(shí)用；

　　(4)要在系統(tǒng)合適的地方對(duì)傳輸報(bào)文中的關(guān)鍵敏感字段進(jìn)行加密保護(hù)。如果在低級(jí)的地方進(jìn)行加密，就會(huì)因?yàn)檫^于相信底層的系統(tǒng)元素，而這些離用戶層太遠(yuǎn)，即使被替換也不會(huì)引起用戶的注意，這就引入了脆弱性；如果加密模塊離用戶太近，用戶的頻繁干預(yù)會(huì)很容易引入錯(cuò)誤，不適合平常的使用?；谝陨峡紤]，一個(gè)網(wǎng)絡(luò)安全加密系統(tǒng)在保證安全的同時(shí)，還要保證系統(tǒng)的運(yùn)行效率和易用性。所以本文設(shè)計(jì)的加密系統(tǒng)體現(xiàn)出以下原則 ：

　　(1)易用性。無論客戶端還是服務(wù)器端，用戶都不用關(guān)心加密和解密操作，所有的加解密操作和用戶身份認(rèn)證操作都由安全模塊來自動(dòng)完成；

　　(2)安全性。采用多方面的安全機(jī)制，加密芯片自身具有身份認(rèn)證和很強(qiáng)物理防分析機(jī)制，并且密鑰的使用受用戶口令保護(hù)。設(shè)置3級(jí)密鑰管理體制，建立密鑰管理中心，制定統(tǒng)一的安全管理策略，對(duì)全網(wǎng)密碼設(shè)備的使用進(jìn)行統(tǒng)一的安全監(jiān)測(cè)和管理；

　　(3)系統(tǒng)的高效率。加密系統(tǒng)不占用太多的內(nèi)存，盡量使用系統(tǒng)中的各種緩存，以保證系統(tǒng)的整體效率不受太大影響；

　　(4)對(duì)嵌入式操作系統(tǒng)的其它部分影響盡量小。加密系統(tǒng)不干擾操作系統(tǒng)其它部分的執(zhí)行，安全模塊獨(dú)立。

　　3 實(shí)現(xiàn)方式

　　傳統(tǒng)用戶層實(shí)現(xiàn)方式中(如圖2所示)，安全模塊放在用戶層，在應(yīng)用程序要寫文件的時(shí)候，數(shù)據(jù)要從用戶層的應(yīng)用程序經(jīng)過系統(tǒng)調(diào)用進(jìn)入系統(tǒng)核心層，核心層需要將數(shù)據(jù)交給應(yīng)用層的安全模塊處理，安全模塊將數(shù)據(jù)處理完畢后再經(jīng)過系統(tǒng)調(diào)用進(jìn)入系統(tǒng)核一tl,層，最后核心層將數(shù)據(jù)送到遠(yuǎn)程服務(wù)器。數(shù)據(jù)在用戶層和核心層多次交換，應(yīng)用程序也需要在核心空問和用戶空問多次切換，在用戶空問和核心空問均需要對(duì)數(shù)據(jù)進(jìn)行緩存，這樣必然使系統(tǒng)的效率降低，而且，運(yùn)行在應(yīng)用層的安全模塊很容易受到威脅。比如運(yùn)行在核心空間的進(jìn)程可以沒有任何限制地訪問應(yīng)用層的內(nèi)存，從而也就可以訪問安全模塊的內(nèi)存空問，導(dǎo)致機(jī)密信息泄漏。但是這樣實(shí)現(xiàn)具有系統(tǒng)兼容性好，實(shí)現(xiàn)簡(jiǎn)單，對(duì)系統(tǒng)改動(dòng)小的優(yōu)點(diǎn)，可以非常容易地在不同的操作系統(tǒng)上移植。

　　我們所采用的核心層實(shí)現(xiàn)方式(如圖3所示)將安全模塊放到核心層實(shí)現(xiàn)，這樣數(shù)據(jù)只需從應(yīng)用程序所在的用戶空間通過系統(tǒng)調(diào)用進(jìn)入核心層，通過核心層的安全模塊進(jìn)行處理，也就沒有了多個(gè)空問層次的切換，系統(tǒng)的效率得到很大的提高。同時(shí)，將系統(tǒng)代碼固化在Flash中，不支持對(duì)系統(tǒng)存儲(chǔ)區(qū)域的寫操作，因此一般的網(wǎng)絡(luò)*或木馬無法植于系統(tǒng)的可執(zhí)行代碼存儲(chǔ)區(qū)中，這種固化特性使得通過客戶端來攻擊Web服務(wù)器變得非常困難。另外，在生成操作系統(tǒng)運(yùn)行代碼時(shí)只開放了8080瀏覽端口，禁用了其它不必要的網(wǎng)絡(luò)服務(wù)端口，通過網(wǎng)絡(luò)手段登陸客戶端再進(jìn)而以合法身份對(duì)Web服務(wù)器進(jìn)行攻擊也是不易做到的。線路上的中問攻擊因?yàn)榧用芏y以實(shí)施，并且如果Web服務(wù)器沒有受到攻擊，則瀏覽安全的Web服務(wù)器～ 般不會(huì)受到攻擊。所以，核心層實(shí)現(xiàn)方式所采用的系統(tǒng)固化、禁用服務(wù)、關(guān)鍵配置設(shè)定等安全增強(qiáng)措施極大的提高了系統(tǒng)的安全性和可靠性。