一种基于Web服务器文件加密授权保护系统设计与实现.docVIP

一种基于Web服务器文件加密授权保护系统设计与实现 　　摘要：鉴于Web服务器文件访问中存在的安全隐患，比如文件截取、文件篡改等问题，设计了一种基于Web服务器的文件加密授权保护系统。该系统通过与Web服务器硬件特征码绑定，实现对Web服务器中文件进行加密存储以及对加密文件的修改和访问。系统设计中，采用多种传统的文件加密算法生成加密密钥并实现文件加密和解密功能。其中，利用MD5算法实现由硬件机器码转化生成初始加密密钥的功能，利用RSA算法实现由初始加密密钥转化生成授权密钥的功能，利用RC6算法实现文件的加密和解密功能。 　　关键词：Web服务器；硬件特征码；文件加密；加密密钥；授权密钥 　　中图分类号：TP309.7 文献标识码：A 文章编号：1672-7800（2013）005-0133-02 　　0、引言 　　本文介绍了一种基于Web服务器的文件加密授权保护系统，运用传统的文件加密算法，实现对Web服务器上???文件加密保护。从客户端看，访问过程是透明的，因为用户访问Web服务器加密页面与访问其它未加密页面并没有什么差异，同时访问速度也不会有太大差异。系统设计中，初始加密密钥的生成过程采用抓取机器硬件特征码，然后运用传统的MD5文件加密算法生成，从而确保了加密密钥的唯一性和加密过程的安全性；之后系统对初始密钥进行处理生成授权密钥，同时将授权密钥发布给Web服务器用户，从而确保每台Web服务器用户对应唯一授权密钥；最后，系统运用传统的RC6文件加密算法对Web服务器中的文件进行加密，Web访问只有在保护目录下才允许解密，从而保证整个系统文件的安全可靠。 　　1、密钥生成 　　1.1 初始加密密钥生成 　　文件加密算法中，密钥至关重要，密钥的唯一性是文件加密工作的关键。本文通过获取Web服务器中机器硬件特征码（保证唯一性），然后通过传统的MD5加密算法，生成4个32位的串码作为初始加密密钥。其中，MD5算法是散列算法，它实现了将任意大小的数据映射成为一个较小的、固定长度的唯一值。该算法变长且不可逆，这意味着通过散列结果，无法推导出任何部分的原始信息。同时，任何输入信息的变化，哪怕仅一位，都将导致散列结果（MD5值）的明显变化。系统中，正是利用了MD5加密算法的固有特性，最终将机器硬件特征码的MD5值作为初始加密密钥。 　　1.2 授权密钥生成 　　为了有效控制Web服务器用户，保证对Web服务器文件加密过程中操作的安全性和可靠性，通过机器硬件特征码生成的初始密钥需要经过进一步处理才能发给用户使用，本系统将初始生成的加密密钥通过传统RSA加密算法，生成授权密钥，发布给用户使用，从而保证了每一台Web服务器授权密钥的唯一性，以及与初始加密密钥的绝对匹配。RSA是非对称算法，加密密钥和解密密钥是不一样的，或者说不能由其中一个加密密钥推导出另一个解密密钥。在系统中，加密密钥（即公开密钥）PK是系统生成的特定素数，是给用户公开的，而解密密钥（即秘密密钥）SK是软件管理者使用的，同时也是对Web服务器用户保密的，从而保证了最终生成授权密钥的安全性以及Web服务器文件加密的可控性。 　　2、页面加密实现 　　Web服务器使用授权的加密密钥，通过RC6加密算法将Web服务器的文件加密。加密之后的文件将存在指定的目录下，以便对访问Web服务器的用户进行可靠性分析、检测和判断。一般情况下，加密目录需要事先设定，以便适应用户日常修改内容的需要。系统中用到的RC6加密算法，是一种对称的加密算法，它具有加解密的高速度和使用长密钥时的难破解性。在实际使用中，RC6使用了4个32位寄存器，在每次循环中要做两次循环移位操作，让更多的数据位去决定循环次数，以便增强抵抗攻击的能力，从而更好地实现加密和解密。另外，在运算方面使用了整数乘法，从而在每一个运算回合中增加了扩散行为，使得即使很少的回合数也有很高的安全性。3加密页面访问 　　存放在Web服务器上的加密文件，通过服务响应，判断服务请求是否在安全目录下，如果在安全目录下，则同意请求访问，同时准备执行解密操作，允许用户访问，否则不允许访问。 　　Web服务器对存储系统的访问，通过操作系统内核的文件系统接口（IFS层）完成。加密存储系统中文件系统过滤驱动模块会拦截所有的请求，进行合法性判断，具体流程如下：①当Web服务器访问一个文件时，首先发出一个打开文件请求，文件系统过滤驱动模块会拦截到该请求；②文件系统首先对初始加密密钥和授权密钥的匹配度进行判断，如果匹配则需要进一步进行合法性判断，如果不匹配则禁止访问；③文件系统过滤驱动模块对要打开文件的路径进行判断，看该文件是否是保护目录中的文件，如果不是，则直接忽略行访；如果是保护目录中的文件，则需要进一步进行合法性判断；④如果文件属于保护