多方協作PDM系統數據交換安全研究

馬磊娟

多方協作PDM系統數據交換安全研究

馬磊娟

在分布式PDM系統中，數據交換復雜，在確保安全的同時，還需要考慮系統的整體效率。建立了不同協作方的安全框架；設計了HASH傳輸校驗方法；考慮效率和安全性，自定義了加密算法；通過模擬實驗驗證，成功地解決了復雜數據交換情景下的多方協作PDM系統數據安全交換問題。

分布式；多方協作；PDM；安全；數據

0　引言

隨著工業化和信息化的融合，個性化定制、快速產品設計成為機械制造發展的選擇［1］。某“機械設計研究所”，原來采用集中、樹狀的設計、管理模式。逐步被分布式、不同協作方共同參與的模式替代。這樣，各個設計方更能發揮自己的專長，產品的反應速度和設計水平大大提高。

為了避免新的管理模式與業務模式的不匹配，機械設計研究所重新構建一套按照目前模式工作的信息系統。該所作為一個大型設計信息化示范單位，在本地已經成功地的應用了PDM系統，在產品的整個生命周期包括藍圖設計、項目分析、結構設計、詳細設計、工藝設計、產品制造以及論證的所有數據，按一定的原有模式加以定義、設計管理。但是現有的系統是基于局域網封閉模式設計，在分布式PDM系統上，數據的交換不能沿襲原有的局域網交換模式。在公網傳輸模式下，數據的安全性和效率平衡顯得極為重要［2］。

1　系統體系結構

系統由位于設計所內部的中心服務器和不同的地域客戶端組成，通過Web Services，實現數據交換和項目管理。系統體系結構如圖1所示：

圖1　系統結構圖

2　安全框架研究

PDM系統需要傳輸大型文件（如工程圖紙），同時又要求實時性（如協同作業）。因此需要尋求一種既有一定的保密性，效率又能達到用戶需要的安全框架。

2.1設計思路

本項目設計需要在相互沖突的安全性、可用性以及效率之間尋求平衡。從安全性角度考慮，可以采用HTTPS、VPN等虛擬線路實現［3］，也可以采用專門線路來實現。前者，由于增加了RTT，數據交換速度成為瓶頸，后者面臨成本問題，無法在分布式系統中使用。從系統設計的角度，只要確保加密數據在一定的時效范圍內不被解開即可，而不必采用復雜的加密方案［4］。

首先，在正式文件傳輸前，雙方要進行握手，使用安全通道，協商密鑰并傳遞密鑰、文件HASH以及網頁HASH值。在加密的過程中，如果傳輸的是比較大的圖紙類文件，要先進行壓縮。如果是數據庫的表文件，則轉換成XML文件，然后再進行加密。

項目文件加密算法為一個自定義算法，這個算法為自定義算法，算法具體的計算參數，可以在運行中隨機產生的，隨機種子由用戶提供，實現一次一密，所以能夠確保數據傳輸的安全性［5］。

2.2握手協議

假定北京方客戶端為C，機械設計所為S，證書頒發人為CA，EKUs為S的公開密鑰，EKRs為S的私鑰。其關鍵握手過程如圖2所示：

圖2　握手過程

通信協商過程為：

1）客戶端通連接服務器

2）服務器將CA簽名的證書發給C。

3）客戶端C通過公鑰EKUs驗證簽名的有效性。證書的有效性包括此證書中的域是否正在請求的域，證書的時間是否過期，證書的簽發機構是否為聲稱CA和簽發路徑是否正確。比如用戶訪問HTTPS：//www.xx.com/時，客戶端C驗證服務器發送過來的經CA簽發數字證書頒發域是否為*.xx.com，并且沒有過期。

4）如果C驗證成功，C此時和S進行密鑰協商。C將隨機生成對稱密鑰，該密鑰和待傳輸文件的HASH一起傳輸，使用公鑰EKUs加密后發給服務器，并完成密鑰交換。該通信過程通常使用對稱加密算法進行，以提高通信效率。

5）最后客戶端C和服務器S所有的通信信息，都通過這個對稱密鑰進行加密。

該對稱密鑰加密算法，屬于自定義算法。

口令信息具體過程如下：

假定北京方用戶為X，機械研究所服務器為Y，證書機構為CA，M為口令信息，H為待傳文件的HASH，EKUx為X的公開密鑰，EKRx為X的私鑰，EKUy為Y的公開密鑰，EKRy為Y的私鑰，EKUa為CA的公開密鑰，EKRa為CA的私鑰，T為時間戳，R為隨機數。協商過程如下：

X-＞Y：EKUy ［hello+Rx+Tx］

X從CA取到Y的公鑰，發送要求連接Y的握手信息。

Y 解密后添加自己的時間戳。回答自己的握手信息：

Y-＞X：EKUx ［hello+Ry+Ty］|| EKRy ［hello+Rx+Tx］

該握手信息包括X發送的握手信息，如果X解密后一致，則握手成功。

X-＞Y：EKUy ［EKUx ［M+H］］

X向Y發送加密口令信息和文件HASH信息H。握手過程到此結束。

2.3客戶端文件HASH傳輸設計

為了保證系統的安全性和降低服務器端壓力，對傳輸的大文件在客戶端進行HASH，HASH傳輸方法和口令傳輸方法一樣，都是通過加密安全控件來解決。在客戶端生成文件的HASH，也有利于保證文件的安全性［6］，如圖3所示：

圖3　保證文件的安全

客戶端生成HASH，通過加密信道傳給服務器，服務器比照HASH，如果相同則認為沒有篡改，否則要重新傳輸。

由于低版本html處理能力的缺陷，這里使用HTML5設計。

2.4對稱加密算法設計

考慮效率和安全性的平衡，現有算法無法滿足需要，因此 采用自定義的算法。文件在傳輸前，首先計算HASH值和密鑰，該密鑰分為兩個部分，一個是DES密鑰，一個是自定義的加密算法。

文件在傳輸的時候，首先進行DES加密，然后使用CN123進行加密。

自定義的密鑰算法CN123主要作用是對文件進行二次加密。依靠3個數字（M+，R，T），M+為鼠標位置然后附加鍵盤最后一次按鍵信息，R為隨機數發生器產生的隨機數，T為系統當前的時間。消息為Ms。

算法為：

第k位定義為：

Ms=（k XOR M+）|T） XOR R

對奇數位進行變換，對抗頻率分析：

While（k/2）｛

If（k＜58）

K++；

Else

K--；

｝

然后使用時間戳對DES加密后的文件進行變換。

繼續進行插入運算，算法為：

SE1=S1+Rx（1）

SE2=Sn/9+…+S2+S1

SEn=Sn+Rx（1）

繼續進行置換，增加算法的復雜性：

SE=（S1+2）+S2+…+Sn

其中，如果S為數字，則為加2處理，如果為字母，則為上一個字母。

移位的具體情況，由時間戳來決定，由于時間戳的隨機性，該加密方法在高效的同時，實現了安全性。

3　算法效率

這里以讀取圖紙類文件為例，該圖紙類文件為二進制文件，文件加密后，生成新的文件，同時記錄加密時間。解密的時候，把密文解密為圖紙文件。（計算機為Intel Core i3-3220（3.3G/3M/雙核） 4G內存），算法效率如表1所示：

表1　算法效率

?

該算法效率接近于DES算法，低于AES算法。加密的時間與被加密文件的大小正線性增長，算法效率高。能夠滿足工程高速加密的應用。

4　總結

隨著中國制造2025的推進，將有更多的企業采用分布式系統來改造傳統的制造產業。上述的PDM系統數據交換方案，在確保數據安全的同時，實現了高效大數據傳輸，同時兼顧系統的實時性。

［1］ 許軼旻. 信息化與工業化融合的影響因素研究［D］. 南京大學 2013

［2］ 趙建超. 校園無線網絡安全綜合防御［J］. 制造業自動化，2011（2）； 35-37.

［3］ 肖曦，南楠. 基于HTTPS的統一通信系統安全設計［J］.物聯網技術. 2011（05）.

［4］ ［劉超，王軼駿，施勇. 匿名HTTPS隧道木馬的研究［J］.信息安全與通信保密. 2011（12）.

［5］ ［楊如鵬. 抗泄漏密碼學關鍵技術研究［D］. 山東大學2015

［6］ 周安民. 電子政務信息網絡安全［J］. 信息安全與通信保密. 2013（10）.

Research of Data Exchange Security in Distributed PDM System

Ma Leijuan
（Henan Polytechnic Institute， Nanyang473009 ， China）

In a distributed PDM system， the data exchange complexly. Not only data security should be ensured， but also the overall efficiency of the system needs to be considered. This article establishes the security framework of different collaborators， and designs HASH transmission verification method. Considering the efficiency and safety， the encryption algorithm is customized. Simulation experiments show that it successfully solves the data exchange security problems in the multilateral collaboration PDM system under complex data exchange circumstances.

Distributed； Multilateral Collaboration； PDM； Security； Data

TP316.81

A

1007-757X（2016）06-0022-03

2016.02.20）

河南省重大科技攻關計劃項目（142102210556）

馬磊娟（1987-），女，河南工業職業技術學院，講師，研究方向：計算機應用，南陽，473009