嵌入式Linux下文件管理系統的設計與實現

王文晶，胡艷慧（山西大學商務學院信息學院，太原030031）

嵌入式Linux下文件管理系統的設計與實現

王文晶，胡艷慧
（山西大學商務學院信息學院，太原030031）

目前的文件管理系統大多是基于Windows操作系統的，很少有針對Linux系統。針對目前計算機中文件信息不能有效保護，易于泄露和篡改，設計基于Linux系統的文件管理系統。該設計使用Java加密框架完整實現文件系統的加密，同時利用校驗技術對用戶進行認證。通過測試，該加密文件系統在功能和性能上滿足設計的目標，達到很好的試驗效果。

文件管理系統；Linux系統；加密框架

省級重點項目（No.2012011013-2）

0　引言

近些年來，數據的加密越來越受人們的關注。入侵者通過硬件設備以及計算機網絡，對數據進行入侵篡改，對數據的安全性提出更高的要求。最根本的原因是由于計算機中大多數的數據以明文的形式存儲，所以使用數據加密技術可以對計算機中的數據進行有效保護。加密文件系統目前已經成為對數據加密的一種有效手段。加密文件系統可以防止管理員利用別的操作系統竊取計算機中的數據[1]。

目前，加密基于Linux的文件加密系統主要有AFS和TCFS。加密系統是對數據寫操作和讀操作進行加密和解密，確保數據以密文形式存儲。TCFS加密系統對于不同的文件有不同的加密密鑰，同時同一文件的不同塊實現不同秘鑰。AFS文件加密系統對客戶端和服務器的對話加密。這些文件加密系統對數據進行了一定程度的保護，但是保護不嚴密，同時性能低。由于Java的可移植性強，源代碼開放，所以本文設計了一個基于嵌入式Linux系統下的文件安全保護系統，通過對文件加密和解密，達到對系統文件的安全保護[2]。

1　系統框架

加密文件系統模塊主要包括文件保護模塊、用戶認證模塊、文件瀏覽。關系圖如圖1所示。

文件加密和解密是通過DES算法實現的。由于DES算法是一種對稱加密算法。用戶可以對文件加密，并將加密后的數據文件保存于文件管理系統，也可以對文件解密，將文件管理系統中的文件解密后存儲在指定位置[3]。文件瀏覽主要用于用戶傳輸文件時候需要查找文件。文件可以通過目錄形式進行查找。這兩個模塊的執行必須是用戶通過認證模塊。用戶認證通過用戶名和密碼認證，本系統不直接存儲用戶名密碼，而是存儲經過散列以后的值，這樣可以防止入侵者竊取和篡改用戶信息，保證用戶數據的安全性[4]。

圖1　加密文件管理系統結構圖

2　系統設計

2.1用戶認證模塊

用戶認證模塊主要實現用戶注冊認證和用戶登錄認證，它的主要作用是確保數據操作安全。此外對口令的修改會更新認證數據。

當新用戶注冊信息時，應保證賬戶名稱的唯一性。所以必須檢查注冊賬戶名是否已存在于數據庫中。對于用戶的口令，必須擁有足夠的長度以確保賬戶的相對安全。為了防范口令通過數據庫被盜用，可以將口令以MD5摘要信息的形式存儲[5]。賬號登錄需要驗證相應的賬戶名是否存在以及和口令信息是否與數據庫中的存儲數據相匹配，此外若一個賬戶已經登錄則不能重復登錄，所以還需檢測對應賬戶是否存在于在線客戶鏈表中。

2.2文件的發送、接收

為了保證文件在傳輸過程中防止篡改，采用PGP認證。PGP認證過程是基于RSA非對稱加密算法進行的，發送方和接收方在認證前必須相互交換各自的RSA公鑰。

認證時，消息發送方將利用散列算法（如MD5）計算消息摘要，并將摘要用自己的私鑰加密生成簽名，此時該簽名只能用發送者的公鑰才能解密。故只有用發送方公鑰解密簽名并比較獲得的結果與原消息摘要，匹配一致才能說明此簽名用發送方的私鑰加密，從而確定發送方身份。認證流程圖如圖2所示。

圖2　PGP認證圖

2.3文件加密解密模塊

PGP加解密前也必須交換雙方公鑰。加密時發送方用將用IDEA加密算法，加密原文壓縮包，并將文件加密密鑰用接收方公鑰加密，最后將密文和加密密鑰一起發送接收方。此時只有接收方才能用自己的私鑰解密提取IDEA文件密鑰從而繼續解密明文并最終獲得明文[6～7]。PGP加密解密流程圖如圖3所示。

圖3　PGP加密解密流程圖

本系統使用DES算法進行文件加密，由于DES屬于對稱加密算法，其加密和解密文件使用相同的密鑰，所以在加密完畢以后有必要將密鑰存儲于數據庫中，這樣既能保證密鑰不會因人為疏忽而丟失，也能實現在文件解密時自動調取密鑰解密，從而增加系統的易用性。對于RSA密鑰，由于它只應用于文件傳輸過程中的數字簽名，而每次的文件傳輸都需要用隨機產生的RSA計算簽名，所以為了傳輸安全不會重用上次會話使用過的密鑰，因此無需對RSA密鑰進行存儲。

函數send_md5_deskey式設置RSA私鑰和公鑰，生成摘要和數字簽名。首先調用函數des_encry加密文件并提取摘要和密鑰，然后設置對方公鑰和私鑰，加密文件密鑰和摘要。部分關鍵算法如下：

/*創建并發送數字簽名和文件密鑰*/

bool CLIENTCORE::send_md5_deskey(pnode ptr)// ptr為傳輸文件信息節點地址

{

char buffer[MAX]={0},

tmp[MAX]={0};

des_encry(ptr-＞filename,ptr-＞key,ptr-＞md5);//加密文件并提取摘要和密鑰

intn=ptr-＞key.size()+1;

rsa.set_keys(ptr-＞hs_d,0,ptr-＞hs_n);//設置RSA密鑰（對方公鑰）

rsa.rsa_enc_msg(ptr-＞key.c_str(),(buffer+30),n);//加密文件密鑰

n=ptr-＞md5.size()+1;

rsa.set_keys(ptr-＞my_e,0,ptr-＞my_n);//設置RSA密鑰（私鑰）

rsa.rsa_enc_msg(ptr-＞md5.c_str(),tmp,n);//加密摘要（簽名）

n=n*4+4;

rsa.set_keys(ptr-＞hs_d,0,ptr-＞hs_n);//設置RSA密鑰

rsa.rsa_enc_msg(tmp,(buffer+90),n);//加密簽名

string msg=MSG_DAK+ptr-＞sock+SPRT; //創建協議頭

memcpy(buffer,msg.c_str(),msg.size());//設置發送信息協議頭

}

3　試驗結果

本設計以MySQL開發后臺數據庫，使用Qt圖形界面應用程序設計交互界面。預期實現功能要求，能在傳輸密文之后自動解密，還原明文與發送一致。本文只對加密的速度進行了測試。本系統所用加密及摘要算法與其他典型加密及摘要算法的比較如表1所示。

通過測試結果可以看出AES算法的密鑰長度是128、192、256位，長度最長，加密速度也最快，安全性也最高。其次是DES算法，密鑰長度56位，第二位，加密速度也是緊跟其次，主要用于大批數據加密。

通過測試說明，該文件的加密算法在功能和性能上都實現了初期的目標和要求，包括用戶的認證，文件的加密和解密，Linux文件完整性校驗，目錄文件的瀏覽查詢。該加密算法可以嘗試移植到別的平臺。

4　結語

由于設計時間較短，并未充分考慮交互界面的美化方案，故用戶界面的設計也有一定的完善空間。同時算法還需要改進，提高加密和解密的速度。在最后的測試階段展現出的一系列漏洞雖然已經修補，但并不能確定該系統在使用過程中不會再發現新的問題，因此需要用戶在實際使用中不斷發現不足以實現系統的進一步優化。

表1　典型摘要計算及數據加密算法比較表

[1]任偉．密碼學與現代密碼學研究．信息網絡安全，2011,11，1～5

[2]劉傳領，范建華．RSA非對稱加密算法在數字簽名中的應用研究．通信技術，2009，42：12～13

[3]劉曉星，胡暢霞，劉明生．安全加密算法DES的分析與改進．微計算機信息，2006，5：23～26

[4]段璐琳．數論中一個歐拉公式的證明及其在解題中的應用．廣西教育學院學報，2012，1：14～18

[5]王連笑．費馬小定理和歐拉定理的應用．科技日報，2008，6：34～37

[6]丁宏，郭艷華．快速大數模乘算法及其應用．杭州電子工業學院，2003

[7]Philip Zimmermann．PGPMarks 10th Anniversary．New York:Spring-Verlag，2001

DocumentManagement System;Linux;Cryptographic Framework

Design and Implementation of Embedded Linux of DocumentManagement System

WANGWen-jing HU Yan-hui
(College of Information,Business College of Shanxi University,Taiyuan 030031)

Most of the current documentmanagement system is based on the W indows operating system,there is little for the Linux system.File information for the current computer can not be effectively protected,easy to leakage and tampering,the design is based on Linux system's filemanagement system.Ituses a full implementation of the Java Cryptographic Framework encrypted file system,while taking the advantage of technology to verify the user authentication.Through testing,the encrypted file system functionality and performance to meet the design objectives,achieve good test results.

1007-1423（2015）15-0063-04

10.3969/j.issn.1007-1423.2015.15.016

王文晶（1981-），女，山西沁縣人，碩士，講師，研究方向為自然語言處理、信息安全

胡艷慧（1976-），女，山西太原人，碩士，講師，研究方向為網絡管理

2015-03-24

2015-05-11