基于智能卡的嵌入式網絡加密安全系統設計

　　2 設計原則

　　要設計一個網絡安全加密系統，應該考慮以下幾個方面：

　　(1)標準化、模塊化設計原則。在產品軟件和硬件的設計過程中，遵循模塊化設計原則，各個功能模塊相對獨立，各模塊之間界定清晰的接口界面。遵循標準化設計路線，遵循人民銀行PBOC*規范(算法除外)，采用標準的接口，提供標準化的安全服務；

　　(2)適應性、可擴展性原則。總體設計緊密結合實際應用，能夠適應復雜應用環境及其通信線路、多種操作系統平臺、Web服務平臺、瀏覽器平臺，支持各種流行的開發環境。另外，具有可擴展性，能夠適應未來需求變化，能夠應對安全威脅變化帶來的新的安全風險，保障本系統在其整個生命周期的安全；

　　(3)合理的密鑰管理。密鑰的安全控制和管理是系統設計的關鍵，在保證系統安全的基礎上，密鑰管理體系的設計盡量簡潔、實用；

　　(4)要在系統合適的地方對傳輸報文中的關鍵敏感字段進行加密保護。如果在低級的地方進行加密，就會因為過于相信底層的系統元素，而這些離用戶層太遠，即使被替換也不會引起用戶的注意，這就引入了脆弱性；如果加密模塊離用戶太近，用戶的頻繁干預會很容易引入錯誤，不適合平常的使用。基于以上考慮，一個網絡安全加密系統在保證安全的同時，還要保證系統的運行效率和易用性。所以本文設計的加密系統體現出以下原則 ：

　　(1)易用性。無論客戶端還是服務器端，用戶都不用關心加密和解密操作，所有的加解密操作和用戶身份認證操作都由安全模塊來自動完成；

　　(2)安全性。采用多方面的安全機制，加密芯片自身具有身份認證和很強物理防分析機制，并且密鑰的使用受用戶口令保護。設置3級密鑰管理體制，建立密鑰管理中心，制定統一的安全管理策略，對全網密碼設備的使用進行統一的安全監測和管理；

　　(3)系統的高效率。加密系統不占用太多的內存，盡量使用系統中的各種緩存，以保證系統的整體效率不受太大影響；

　　(4)對嵌入式操作系統的其它部分影響盡量小。加密系統不干擾操作系統其它部分的執行，安全模塊獨立。

　　3 實現方式

　　傳統用戶層實現方式中(如圖2所示)，安全模塊放在用戶層，在應用程序要寫文件的時候，數據要從用戶層的應用程序經過系統調用進入系統核心層，核心層需要將數據交給應用層的安全模塊處理，安全模塊將數據處理完畢后再經過系統調用進入系統核一tl,層，最后核心層將數據送到遠程服務器。數據在用戶層和核心層多次交換，應用程序也需要在核心空問和用戶空問多次切換，在用戶空問和核心空問均需要對數據進行緩存，這樣必然使系統的效率降低，而且，運行在應用層的安全模塊很容易受到威脅。比如運行在核心空間的進程可以沒有任何限制地訪問應用層的內存，從而也就可以訪問安全模塊的內存空問，導致機密信息泄漏。但是這樣實現具有系統兼容性好，實現簡單，對系統改動小的優點，可以非常容易地在不同的操作系統上移植。

　　我們所采用的核心層實現方式(如圖3所示)將安全模塊放到核心層實現，這樣數據只需從應用程序所在的用戶空間通過系統調用進入核心層，通過核心層的安全模塊進行處理，也就沒有了多個空問層次的切換，系統的效率得到很大的提高。同時，將系統代碼固化在Flash中，不支持對系統存儲區域的寫操作，因此一般的網絡*或木馬無法植于系統的可執行代碼存儲區中，這種固化特性使得通過客戶端來攻擊Web服務器變得非常困難。另外，在生成操作系統運行代碼時只開放了8080瀏覽端口，禁用了其它不必要的網絡服務端口，通過網絡手段登陸客戶端再進而以合法身份對Web服務器進行攻擊也是不易做到的。線路上的中問攻擊因為加密而難以實施，并且如果Web服務器沒有受到攻擊，則瀏覽安全的Web服務器～ 般不會受到攻擊。所以，核心層實現方式所采用的系統固化、禁用服務、關鍵配置設定等安全增強措施極大的提高了系統的安全性和可靠性。