麒麟安全存储技术白皮书.docx

1、麒麟安全存储技术白皮书麒麟天机安全存储系统技术白皮书XX麒麟信息工程技术XX2010.03文档修订记录版本修订内容修订人修订日期备注V4. 0技术白皮书提纲郭向华10-03-03V4. 0技术白皮书整理郭向华10-03-051.综述12.系统架构22系统架构图23.系统功能33.1全程的数据安全保障33.1.1强身份认证登录33.1.2加密的安全传输通道33.1.3用户数据实时加密存储到服务器33. 2多方位的管理控制43. 2. 1管理层三权分立原则43. 2. 2有效的用户访问权限控制43. 2. 3资源保护策略43. 2. 4磁盘配额的可控管理63. 2. 5敏感数据共享管理63. 2.

2、 6恢复用户智能卡63. 2. 7细粒度的安全审计73. 3透明的用户体验83. 3.1数据透明访问83. 3. 2数据隐藏84系统环境81综述随着网络应用的不断拓广，私人数据会越来越多的出现在网络上，如、个人照片，个 人通信录等，很多企业也建立了基于局域网甚至Internet的办公自动化系统，达到办公电子 化和自动化的目的。然而数据的安全却存在很大的安全隐患，目前市场上的服务器和办公自 动化服务器等数据集中存储的服务器，数据基本上都是明文存放，因此信息对系统管理员是 完全开放的，菲常不利于个人信息的XX0 一旦数据服务器被攻破，服务器上的所有数据也 将外泄。数据加密存储是解决数据安全的有效方

3、法。使用应用级加/解密工具对文件数掳加以保 护，可以在一立程度上解决数据泄密的问题，但此种方法使用繁琐且存在易被攻破和旁路的 致命缺点，无法从根本上解决诸如物理磁盘失窃、多操作系统引导、非授权访问等所带来的 安全隐患。因此有必要采取一种更加安全、有效的实施数拯的加/解密手段。耿麟天机安全存储系统(Secure Storage System,简称SSS)V4.0是为了解决局域网内数据 XX问题的网络数据安全存储系统，由XX麒麟信息工程技术XX独立自主开发，基于高安全 的Kylin安全操作系统，采用加密存储技术，为企业、军队、政府等提供了基于网络的数据 安全存储解决方案。耿麟天机安全存储系统具备的

4、以下特点，为用户XX数据提供安全保障：数据实时加密存储，存放在服务器上的均为密文，非法用户无法获得有效数据-数据集中存储，便于安全管理，增强敏感数据访问可控性-加密的安全传输通道防止“中间人”截取数据可选身份认证方式，用户可根据自身需要来确定选择-加密数据访问对用户透明，合法用户访问加密数据跟访问一般数据没有差别-敏感数据共享，用户之间共享的信息也是密文形式，只有授权的用户才可见并获 取真实内容-三权分立原则，由系统管理员、恢复管理员和安全管理员分别实施管理2.系统架构系统架构麒麟天机安全存储系统采用C/S结构，由安全存储系统服务器端和客户端组成。其中， 服务器端承担着数据加密、文件存储、身份

5、甄别的责任，基于Kylin安全操作系统：客户端 则是基于Windows操作系统，为管理员和普通用户提供了友好便捷的操作界面。根拯不同 的职能，有管理用户客户端、普通用户客户端以及证书和智能卡系统。整个安全存储系统的 结构如下图所示：图2.1安全存储系统整体架构图安全存储服务系统构建在内部网络上，在内部网络与外部网络之间要么完全的物理隔 离，要么使用防火墙等安全措施进行隔离。证书和智能卡管理系统与安全存储服务系统的其 它部分采用物理隔离手段，因为证书和智能卡管理系统用于生成、存储智能卡认证的用户证 书、密钥等敏感信息。3.系统功能3.1全程的数据安全保障3.1.1强身份认证登录耿麟天机安全存储系

6、统提供了两种认证机制，一种是用户劣口令认证，另一种是智能 卡认证。若采用前一种，需在登录时属于用户乞和密码；若采用智能卡认证则必须插入用户 专用智能卡，并输入PIN码才能登录。用户智能卡由安全管理员通过证书与智能卡系统离线 生成和分发，即使智能卡不慎丢失，也可以通过系统管理员禁用该智能卡，被禁用后将不能 使用。客户端和服务器相互认证利用现今流行的SSL协议，高层的应用协议能透明地建立于 SSL协议之上。通过使用SSL协议，在应用层通信之前就已经完成加密算法、通信密钥的协 商以及服务器认证工作。任此之后应用层协议所传送的数据都会被加密，从而保证通信的女 全性。3.1.2加密的安全传输通道为了全而

7、保障数据的安全性，天机安全存储系统采用先进的OpenVPN技术实现了数据 的传输过程加密。整个系统的数据传输建立在一个虚拟私有专用网络之上，在客户端与服务 器交互时，通过端对端的专用加密通道，使数据能够安全的流通。安全传输通道技术有效的 防止了网络中间人”通过抓包等方式窃取有用信息的攻击，保障了整个系统的安全性。3.3用户数据实时加密存储到服务器保险箱是专属于用户的数据加密存储空间，每个用户都有自己的私人保险箱和所属的 共享保险箱。用户登录后即与服务器建立连接，在保险箱中生成的文件或从外部进入到保险 箱中的文件都将自动加密，以密文形式存储在远程服务器上，并且与文件操作同步，保证了 数据加密的实

8、时性。3. 2多方位的管理控制3. 2.1管理层三权分立原则系统支持四类用户：安全管理员、恢复管理员、系统管理员和普通用户。除普通用户 外，管理层的三个管理员分别拥有不同的权利，各司其职，共同保障系统的安全可靠。其中， 安全管理员管理用户的智能卡密钥等敏感信息，并负责向用户发放智能卡：恢复管理员在用 户智能卡丢失或忘记密码的情况下，恢复用户信息,确保用户能够继续访问以前存储的数据： 系统管理员则承担着用户和服务器的日常管理及维护。普通用户是安全存储系统的頁正用户, 利用系统存储敏感信息。3. 2. 2有效的用户访问权限控制通过系统管理员可以对用户访问服务器的权限进行控制，禁i匕或开启某个用户、

9、智能 卡登录服务器的权限。为保证用户数据安全，需根据实际情况约朿用戸访问数据的权限，针 对不同情况，限制可分为用户限制和智能卡限制。智能卡限制用于限制某一个用户使用肖前 智能卡登录服务器，只是限制智能卡的使用而非用户：用戸限制则是直接限制特左用户登录 服务器，即通过限制用户证书来限制登录权限，与智能卡无关。细粒度的登录约朿，有效保 证了用户数据安全。实际当中，智能卡限制适用于用户智能卡丢失，为避免其他人使用遗失 智能卡登录服务器的情况；而用户限制则适用于完全限制用户的情况。若某个用户已不存在或用户智能卡丢失、损坏，系统管理员可以禁止非法用户登录， 禁用智能卡：也可以适时取消限制。恢复管理员可以

10、帮助用戸重新恢复密码，防止用户忘记 密码导致资源不能访问。安全管理员能够为一x智能卡重新生成和导入证书，再通过系统管 理员启用新的智能卡。三个管理员协同合作，形成了对用戸访问的有效控制。3. 2. 3资源保护策略资源保护策略是天机安全存储系统为避免客户端非法拷贝敏感信息而设汁的安全策略, 从文件、设备和网络三方而来进行访问控制，有效的控制了 XX数据的流动X囤。登录服务器后，用户相关资源以私人保险箱和共享保险箱的方式映射到本地，方便用 户使用和管理。为保证保险箱数据的安全性、避免通过非法通道泄露，同时满足正常交流.系统管理员可以灵活设置用户或主机的本地文件访问控制、本地设备访问控制和网络访问控

11、制等三方而策略，便安全存储服务器数拯在这种保护下更为安全。允许上传下载文件只允许上传不允许下裁文件不允许上传下载文件禁用木地文件访问控制策略U盘 光驱 打印机启用指定设备禁用所有设备禁用设备访问控制策略网络完全开放只允许访问服务器禁用网络访问控制策略本地文件访问控制本地设备访问控制网络访问控制本地文件访问控制实现保险箱内文件的防非法拷贝到本地的功能。可以允许用户将文件从本地硬盘、 优盘复制到安全存储服务器，但是服务器上的文件数据不能复制到本地硬盘和优 盘，甚至也不能通过剪贴板方式将存储服务器上的文件数据粘贴到本地硬盘的文 件中。本地设备访问控制控制加密存储服务器上的文件使之无法复制到外设中。包

12、括打印机控制和英它外 设控制功能。提供的打印控制功能，以用户和客户端为单位实施打印控制；对USB、 光驱等外设接口进行的控制，主要为禁止/允许某些设备的使用。网络访问控制提供网络防火墙功能，限制用户能够访问的网络X国。普通用户客户端一旦连接 成功存储服务器，则根据服务器上的策略控制用户能够访问的X 防止通过网 络泄露服务器数据。3. 2. 4磁盘配额的可控管理服务器资源特别是硬盘空间是固左的，为合理分配系统资源，避免个别用户恶意占用， 需限制用户能够使用的磁盘配额。磁盘配额管理为服务器资源的合理利用提供了可控保障, 系统管理员可以随时对系统中的每个用户进行配额限制，即每个用户只能使用最大配额x

13、 闱内的磁盘空间。而用户也可以在登录客户端后查询自己的空间配额情况，便于合理利用服 务器资源。3. 2. 5敏感数据共享管理实际工作中，用户之间经常需要共享数据，共享保险箱则满足了用户安全共享的需要。 系统管理员可以创建共享组，并将有权访问该共享组资源的用户加入进来，保证只有属于该 共享组的用户才能访问此共享组的资源。非共享组用户则无法看到该共享组。共享组可设置安全等级，安全等级有高安全和低安全之分。高安全组的用户必须使用 具有安全模块的客户端才能访问服务器，而低安全组内的用户却没有严格的限制。细粒度的 访问权限划分更有利于保护用户数据的安全性。3. 2. 6恢复用户智能卡系统利用证书作为用户

14、唯一的身份标识，同时利用智能卡保护证书的安全，用户即使 遗失智能卡也能保证证书不被泄露。为实现用户遗失智能卡的情况下，仍能通过合法途径恢 复智能卡，继续访问安全存储服务器，系统对用户的密钥进行了备份存储，在用户丢失智能 卡的情况下，能够重新生成智能卡，并经由恢复管理员进行恢复操作，确保用户使用新智能 卡能够访问到以前的数据。一旦用户恢复成功，新智能卡和证书则成为用户的唯一标识，旧智能卡将无法继续使 用，防止一个用户有多个可用的智能卡，要谨慎使用用户恢复功能。恢复用户功能必须由安 全管理员和恢复管理员协作完成，具体流程如下图所示：用户 4安全管理员提出恢复智能卡申请将用户备份证书导入新智能卡用八

15、恢复管理员使用新智能卡使用系统通过管理客户端恢复用户智能卡-系统管理员 禁用用八I日智能卡3. 2. 7细粒度的安全审计安全存储系统通过日志系统和审汁系统提供对系统各种活动的跟踪。日志系统负责用 户日常操作的记录，审计系统提供了一种记录系统安全信息的方法，为系统管理员在用户违 反系统安全法则时提供及时警告信息。可审计的安全事件包括：用户的身份鉴别、共享组管 理操作、系统管理操作等。审讣系统可以将记录系统内部发生的事件的信息根据用户的需求, 提供不同的报表，从而实现对系统新的追踪、审査、统计和报告等功能。3.3透明的用户体验3. 3.1数据透明访问用户登录后，将自动在客户机上映射私人保险箱和共享

16、保险箱两个网盘。用户对XX文 件的操作完全和本地文件一样，不更改用户使用习惯。有些加密存储产品，只提供远程加密 存储功能，用户使用应用程序访问这些文件时，需要从远程下载到本地，非常不方便。3. 3. 2数据隐藏在客户端的用户视图上，用户只能够看见自己的私人保险箱和共享保险箱中自己所属 的共享组文件夹，无法感知其它用户私人保险箱和共享组的存在，更无从访问。通过这样的 隐藏特性，使用戸可见数据x围得到控制，降低非法用户访问的可能性。4系统环境系统组成硕件环境软件环境安全存储服务器各种文件服务器Kylin安全操作系统证书和智能卡管理系统通用PC机Windows操作系统管理用户客户端通用PC机Windows操作系统普通用户客户端通用PC机、笔记本Windows操作系统