PKI系统中加密机的设计分析.docVIP

PKI系统中加密机的设计分析 吉大正元信息技术股份有限公司 高建峰 摘要 PKI(Public Key Infrastructure)1技术是流行的网络身份认证技术和手段，目前我们国家PKI系统开始大规模的建设。密码系统的设计是PKI系统的核心，本文主要分析了PKI系统中加密机的设计。 关键词 CA1 证书1 Design of securiy server in PKI system Jilin University Information Technologies Com.,Ltd Gao Jianfeng Abstract PKI has been recognized as one of the most effective tools for providing security for networks. PKI system of our coutry begin to be constructed on a large scale. The securiy server is kernel of the PKI system .Designs of securiy server in PKI system is analyzed in the paper. Key words certificate authority certificate 前言 随着信息革命的兴起和信息时代的到来，世界范围内正在掀起一场迅猛的信息化浪潮，呈现出以信息为根本特征的崭新面貌。在这一新的发展机遇与历史抉择面前，许多国家纷纷确立以推进信息化为特征的发展战略，在信息化建设的过程中如何解决在开放的网络体系中用户身份的认证、传输信息的保密、信息的防篡改、信息的防抵赖行为是信息化建设过程中必须要解决的问题。 目前的安全技术，只有PKI技术通过加密、数字签名技术手段可以完美的解决以上的安全问题。建设PKI基础设施、使用PKI技术成为了信息化建设的一个关键步骤。 PKI技术简介 PKI（Public Key Infrastructure）certificate authority)，该系统主要负责用户证书的生成、更新、注销、证书作废列表的发布等日常的管理，逻辑结构如下： 图0 CA系统逻辑结构图 从以上的逻辑图可以看出，整个系统的密码运算都是由加密系统负责，该系统的主要功能归纳如下： CA系统中的密钥的生成、存储，包括签名密钥对和会话密钥。 数据加解密运算功能。 数字签名、验证运算功能。 数字证书签发和验证等基本的证书运算功能。 数字信封的运算功能。 摘要运算功能。 加密系统是整个CA系统安全的基础，目前CA系统中使用的加密系统主要是加密机，加密机的设计直接关系到CA系统密钥的安全性和运行的效率。下面对CA系统中使用的加密机的设计做简单的分析。 加密机设计分析 系统逻辑结构 图1 加密机逻辑结构 从以上的逻辑图可以看出加密机主要是由以下几个功能模块组成：操作系统、作业调度模块、密钥管理系统、监控管理、权限管理、服务程序。 功能模块分析 操作系统模块 加密机属于CA系统的核心、基础系统，作为一个密码服务的提供者本身的安全是很重要的，系统的设计选择了开放源代码的LINUX作为操作系统。为了避免网络攻击行为、加快系统的启动速度，一般都重新编译LINUX操作系统，去掉不必要的功能，关掉不需要的服务，如常见的WEB、FTP 、TELNET等服务。为了防止掉电、机器的振荡等造成操作系统的破坏，国内的厂家都选择了安全可靠、体积小的电子盘作为操作系统的载体，从操作系统层保证了加密机系统的安全、可靠、高效的运行。 作业调度模块 作业调度模块是加密机各个模块与密码硬件交互的通道，主要完成多个密码硬件作业的调度。如何实现各个密码硬件的负载均衡，使效率线性的增长，直接关系到整个系统的效率，下面介绍一种采用共享内存+信号灯的方式实现多个密码硬件高效协调工作的方法。 系统开辟一块共享内存空间，在该空间中存储各个硬件加密模块当前的任务值，定义结构如下： typedef struct HSM_BUSY{ int Used； int Task_Amount； } HSM； HSM HsmBusy[HsmMaxNum]； 其中HSM结构中的Used代表当前的密码硬件是否可用，Task_Amount代表当前该密码硬件的任务数量，HsmMaxNum代表系统最多可以容纳的密码硬件的数目。对于耗费系统资源的非对成密钥对的生成、数字签名等运算，每个任务的权为100，对称密钥的生成、公钥运算的权为50，对称密钥的运算权为10。在使用共享内存进行密码硬件负载均衡的时候，需要使用信号灯互斥保证不同进程对该共享内存的独占使用，具体的流程如下： 信号灯加锁操作。 取共享内存数据