Windows内核态密码服务接口设计与实现

论文摘要

密码服务接口是一个包含了一系列安全机制和接口函数的体系。其主要目标是保护加密密钥和相关的敏感数据,隐藏密码算法实现细节,向开发者提供透明的密码服务,并为上层应用程序和下层密码服务模块规定统一的接口,便于二者的独立开发和共享。近十年计算机网络和信息安全的发展对密码技术的应用提出了新的需求,越来越多的安全程序运行在操作系统内核态,因此,研究、设计和开发内核态密码服务接口,直接为内核安全程序提供统一、高效的密码服务具有重要意义。本课题的主要研究目的是在Windows内核态构建一个公开、安全、实用的密码服务平台,为内核态安全产品提供高效的密码服务和统一的密码编程接口,便于软件的移植、密码模块和算法的选择与复用,提高产品的可靠性和开发效率。围绕这一任务,本文从具体应用出发,分析了当前Windows内核态的密码服务需求,研究归纳了相关的密码服务和接口标准,总结了现有密码服务接口的一般实现技术。在此基础上,设计实现了基于传统计算机安全模型、具有高度兼容性和扩展性的Windows内核态密码服务接口。该密码服务接口的主要特点是通过专门的安全内核负责消息分发、对象管理和对象访问控制,建立起系统的安全边界,以隔离外部程序对内部数据的访问,保证敏感数据的安全。安全内核之上是各类对象,它们对密码服务进行分层抽象,完成加密、哈希和密钥管理等功能,这种基于对象的分层模型使接口具有清晰的结构和灵活的扩展性,并且能很好地兼容硬件加密产品。最后,本文以磁盘加密为应用背景,介绍了一个基于该接口的磁盘加密系统,分析了接口对其框架设计和安全功能的支持,并详细描述了接口在其过滤驱动和基于C/R机制的用户身份认证模块中的应用。磁盘加密的应用实例和接口性能测试的结果表明,该密码服务接口在实现其安全目标,保证其兼容性和扩展性方面所需的开销很小,并且它是一个高效、通用的平台,能够满足目前Windows内核态几乎所有的密码服务需求,有效地提高了内核态安全产品的可靠性和开发效率。

论文目录

摘要

Abstract

第1章绪论

1.1 课题背景及意义

1.2 国内外研究现状

1.3 本文主要研究内容及组织结构

第2章密码服务及其接口技术

2.1 密码学与密码服务

2.1.1 公钥密码

2.1.2 对称密码

2.1.3 Hash 函数

2.1.4 消息认证码

2.1.5 数字签名

2.1.6 密钥管理

2.2 密码服务接口

2.2.1 标准密码服务接口

2.2.2 CryptoAPI 简介

2.3 内核密码服务接口

2.3.1 简单密码编程接口

2.3.2 Linux 内核密码接口

2.3.3 Solaris 密码框架

2.4 软件体系结构模型

2.4.1 管道过滤模型

2.4.2 分层模型

2.4.3 面向对象模型

2.4.4 消息通信模型

2.5 Windows NT 内核驱动编程

2.6 本章小结

第3章 KeCrypt 的设计与实现

3.1 功能需求

3.2 设计原则

3.3 概要设计

3.3.1 体系结构

3.3.2 分层结构

3.3.3 对象抽象

3.3.4 对象交互

3.4 对象建模

3.5 对象管理

3.5.1 引用计数

3.5.2 对象状态

3.6 对象安全

3.6.1 对象安全模型

3.6.2 对象访问控制

3.7 消息机制

3.7.1 消息路由

3.7.2 消息分发

3.7.3 消息处理

3.7.4 对象消息流图

3.8 管理第三方模块

3.9 本章小结

第4章基于 KeCrypt 的磁盘加密

4.1 磁盘加密简介

4.2 磁盘加密系统

4.2.1 系统框架

4.2.2 加密过滤驱动

4.2.3 用户身份认证

4.2.4 安全特性分析

4.3 本章小结

第5章性能测试与分析

5.1 测试环境

5.2 系统开销

5.3 系统吞吐量

5.4 综合测试

5.5 本章小结

结论

参考文献

附录 A 加密库吞吐量测试结果

A.1 UsrCrypt 的对称加密吞吐量

A.2 Cryptlib 的对称加密吞吐量

A.3 Crypto++ 的对称加密吞吐量

攻读硕士学位期间发表的学术论文

致谢

Windows内核态密码服务接口设计与实现

论文摘要

论文目录

相关论文文献

猜你喜欢