非對稱保密傳輸安全網關研究

王軍民東軟集團股份有限公司 北京 100094

0 前言

本文在深入研究的基礎上，對電子文件在涉密網絡中的傳輸提出一套可行的方案，該方案對于國家秘密電子文件密級標志技術的研究，可以提供一定的參考。

1 非對稱保密傳輸安全網關可行性分析

1.1 基于標簽的安全電子文件系統技術分析

基于標簽的安全電子文件系統包括應用系統、中間件、基礎密碼服務和個性密碼服務，如圖1所示。

標簽和文件是中間件的操作對象，標簽與文件存在惟一綁定關系。其中，文件保存內容信息，標簽提供對文件的安全控制。

中間件對標簽進行驗證、解析和處理，根據標簽屬性的指示，調用相關的密碼服務，完成對文件的加密、解密、簽名、驗證、印章處理、水印處理、指紋識別等密碼操作。其中，加密、解密、簽名和驗證操作由基礎密碼服務完成，印章處理、水印處理、指紋識別等操作由個性密碼服務實現。

圖1 安全電子文件系統組成

1.1.1 基于標簽技術的安全機理

在基于標簽的安全機制中，安全電子文件由文件和標簽兩部分組成。文件是指原始文件或對原始文件經過密碼處理后的結果，標簽是原始標簽或對原始標簽經過密碼處理后的結果。在安全電子文件全生命周期中，文件和標簽存在惟一綁定關系。標簽只能由中間件進行處理。標簽有標簽頭和標簽體組成，標簽體可加密。在本研究中關鍵要確保安全電子文件的安全性，所以數字簽名、數字水印技術則尤為重要。

1.1.1.1 數字簽名

在非對稱保密傳輸安全網關中，數字簽名可以確保安全電子文件的完整性、真實性、防偽造、防抵賴、防重放攻擊的作用。

數字簽名的方案有多種，包括但不限于如下方案：

（1）基于離散對數的數學簽名方案；

（2）基于橢圓曲線的數字簽名方案(ECC)；

（3）基于身份的數字簽名方案；

（4）代理簽名方案；

（5）盲簽名方案；

（6）群簽名方案；

（7）多重數字簽名方案。

在本研究中，我們推薦使用基于橢圓曲線的數字簽名方案，因為ECC較RSA等算法而言，密鑰短、安全性高，耗費計算機資源更小。

1.1.1.2 數字水印技術

數字水印技術必須具備較強的穩健性、安全性和透明性。本文中數字水印技術包括：文本水印技術、音頻數字水印技術、視頻圖像水印技術。在涉密網中進行非對稱傳輸時，安全電子文件可以是文本、圖像、音頻格式、視頻圖像。

（1）文本水印技術

針對文本水印，可以采用行間距編碼、字間距編碼、特征編碼來實現。

行間距編碼就是在文本的每一頁中，每間隔一行輪流地嵌入水印信息，但嵌入信息的行的相鄰上下兩行位置不動，作為參考，需嵌入信息的行根據水印數據的比特流進行輕微的上移和下移。行間距編碼具有很強的穩健性，但會引起文本相對較多的失真。

字間距編碼即在文檔中進行字間距編碼，在這種方法中，水印標記的嵌入是通過將文本某一行中的一個單詞進行水平移位。該編碼方式隱藏性好，不易被察覺，但抗攻擊能力較行間距編碼弱。

特征編碼是通過改變文檔中某個字母的某一特殊特征來嵌入標記。這種編碼方法可能因拷貝、打印過程導致水印檢測困難，但該方法隱藏的水印數據可以更多，同時這種方法嵌入的水印最難被攻擊者去除。

以上三種文本水印可依據實際應用而選擇。

（2）圖像水印技術

圖像水印技術是研究得最廣泛和成熟的水印技術之一，可以包括空域圖像水印技術、DCT域圖像水印技術、小波域圖像水印技術、基于分形圖像編碼的數字水印技術、基于神經網絡的圖像水印技術。

（3）音頻水印技術

數字音頻水印包括時域音頻水印算法、變換域音頻水印算法等等。

（4）視頻圖像水印技術

視頻水印技術較以上其它水印技術比，復雜度非常高，其圖像水印的提取過程是在實際上連續的，在連續幀上進行提取。提取技術包括基于擴頻思想的視頻水印技術、基于參數替換的視頻水印技術等等。

由于非對稱傳輸安全網關面臨上述各類安全電子文件的識別與控制，所以水印技術的選擇將非常關鍵，目前我們將重點放在文本水印技術上，可以根據實際情況來選擇一種安全的水印技術。

1.1.2 中間件對安全電子文件的處理

中間件按照請求/響應方式為應用系統提供服務，當應用系統對中間件發出操作請求之后，中間件的處理過程如下：

（1）中間件從操作請求中獲得操作者身份、標簽和文件；

（2）中間件安照綁定規則，對文件和標簽進行綁定關系的驗證，確認標簽與文件的唯一綁定關系；

（3）驗證成功，中間件按照標簽的操作權限屬性，審核操作的合法性；

（4）審核成功，中間件對標簽屬性進行解析，安照標簽的相關屬性，調用相關密碼服務，完成對文件的具體密碼操作；

（5）操作完成，中間件在標簽中修改相應的屬性，添加操作日志，更新標簽，并建立標簽與文件新的綁定關系；

（6）中間件向應用系統返回操作結果。

1.1.3 安全電子文件的存儲方式

安全電子文件的存儲與尋址方式可以有多種，可分為內聯式和外聯式兩種。

（1）內聯式

在內聯式存儲中，文件嵌入到標簽，形成一個整體，在同一物理位置存放。標簽的內容屬性保存了文件起始位置的偏移量(如圖2所示)。

圖2 內聯式

（2）外聯式

在外聯式存儲中，標簽和文件存放于兩個獨立文件，標簽的內容屬性中保存了文件的URL(如圖3所示)。

圖3 外聯式

可以通過磁盤存儲技術將標簽隱藏。

從安全角度將，外聯存儲方式更便于提升安全電子文件安全性，提高黑客對存儲文件進行逆向恢復的難度。

1.1.4 建立綁定關系

如圖4所示，建立標簽與文件的綁定關系流程如下：

（1）對文件進行摘要計算；

（2）將文件的摘要填充在標簽體中；

（3）使用系統簽名私鑰，對標簽中除標簽完整性簽名以外的所有內容計算摘要并簽名，將此簽名作為標簽完整性簽名置于標簽頭中。

圖4 文件-標簽綁定關系

1.1.5 驗證綁定關系

如圖5所示，驗證標簽與文件的綁定關系流程如下：

（1）使用系統簽名公鑰，對標簽完整性簽名進行驗證。驗證通過，則標簽完整性可信；

（2）對文件進行摘要計算；

（3）比較此摘要與標簽體內的文件摘要，如相同，則綁定關系驗證通過。

圖5 綁定流程

1.2 LISG技術架構分析

1.2.1 LISG內核模塊與中間件接口

圖6 LISG內核模塊與中間件接口

如圖6所示，為提升處理性能，LISG內核及DPI模塊實際上都工作在內核態完成，API負責與中間件進行通信及讀取、分析安全電子文件的標簽信息。

API負責與中間件通信，與中間件具有匹配的加解密及標簽內容識別的規范。

1.2.2 LISG檢測處理流程

核心層的設計思路是按照網絡數據包在LISG內核中的走向流程來確定。核心態的系統結構參見圖7。

圖7 LISG檢測處理底層模塊

核心態主要處理模塊處理方式如下：

（1）DDoS & 加解密模塊

LISG自身安全性是實現安全電子文件傳輸的關鍵。為了防御由于DDoS攻擊對LISG自身帶來的安全威脅，我們專門在加解密模塊中增加一個子模塊專門檢測DDoS攻擊。使用者可以通過界面來設定規則以低于此類攻擊。

（2）模式選擇器

在LISG中，每個接口有一個模式切換選項，使用者可從交換模式和路由模式之間轉換，而且做到該模塊對其他模塊透明，可提供對LISG接口相關信息的設置、系統信息配置等功能。

（3）協議分析器

在LISG中有協議待處理時，LISG將協議分析后選擇性送至“內容過濾&DPI”模塊中，起到分流協議的作用，從而提升系統效率。

（4）內容過濾&DPI

在LISG中設定了該模塊的主要目的在于能夠對安全電子文件進行深度檢測，即通過標準接口分析標簽內容，確定安全電子文檔走向。另外，針對常用應用協議的識別，如HTTP、FTP、MSN、QQ等也需要由此模塊完成檢測識別工作，確保正確執行使用者意愿。

（5）動態連接表管理模塊

在LISG中，為了快速的對狀態連接表進行管理，可采用平衡二叉樹，并對其進行封裝，整個過程對外部所有其他模塊是透明的。

（6）核心包過濾模塊

核心包過濾為LISG最主要的和最核心的功能，該模塊對主要協議ICMP，UDP，TCP等通常用的IP協議族的協議進行詳細的處理，和對非IP協議族的協議進行籠統的處理。

（7）統計模塊

內核中提供了高精度的合并處理功能，通過在核心進行緩存的處理，將針對已建動態鏈接表的信息及被各種原因拒絕的鏈接信息匯總。便于使用者判斷安全電子文件的傳輸方向。

2 總結與展望

中間件與非對稱保密傳輸安全網關構建了一套安全電子文件的傳輸系統，這套系統可以保證涉密的電子文件在可控范圍內安全傳輸。從性能上看，目前來講更加適合文本類電子文件的傳輸，而針對音頻、視頻類的電子文件傳輸也是適用的。該系統技術可行性強、安全性高，適合于在涉密系統的應用。

從長遠來看，隨著硬件性能的不斷提升，后續可以考慮“多核+專用芯片”來提升LISG整體性能，而實現的關鍵在于專用芯片的開發，這屬于另一個研究范疇，仍然需要進行周密的研究與技術可行性分析。

[1]東軟網絡安全網站.NetEye.neusoft.com.2010.

[2]吳世忠.信息安全保障基礎.航空工業出版社.2009.

[3]中華人民共和國電子簽名法.2009.

[4]http://www.watermarkingworld.org.2009.

[5](美)Mohan Atreya.數字簽名.清華大學出版社.2003.

[6]王炳錫,陳琦,鄧峰森.數字水印技術.西安電子科技大學出版社.2003.

[7]金聰.數字水印理論與技術.清華大學出版社.2008.

[8](美)Ingemar J.Cox,Matthew L.Miller,Jeffrey A.Bloom.數字水印=Digital watermarking.電子工業出版社.2003.

[9](美)Wes Noonan, Ido Dubrawsky 著.防火墻基礎.人民郵電出版社.2007.

[10]Richard Tibbs,Edward Oakes著.防火墻與 VPN原理與實踐= Firewalls and VPNs principles and practices.清華大學出版社.2008.