麒麟安全存储技术白皮书.docx

1、麒麟安全存储技术白皮书麒麟天机安全存储系统技术白皮书湖南麒麟信息工程技术有限公司2010.03文档修订记录版 本修订内容修订人修订日期备 注V4.0技术白皮书提纲郭向华10-03-03V4.0技术白皮书整理郭向华10-03-05目录1 综述 12 系统架构 22.1 系统架构图 23 系统功能 33.1 全程的数据安全保障 33.1.1 强身份认证登录 33.1.2 加密的安全传输通道 33.1.3 用户数据实时加密存储到服务器 33.2 多方位的管理控制 43.2.1 管理层三权分立原则 43.2.2 有效的用户访问权限控制 43.2.3 资源保护策略 53.2.4 磁盘配额的可控管理 63

2、.2.5 敏感数据共享管理 63.2.6 恢复用户智能卡 63.2.7 细粒度的安全审计 73.3 透明的用户体验 83.3.1 数据透明访问 83.3.2 数据隐藏 84 系统环境 81 综述随着网络应用的不断拓广，私人数据会越来越多的出现在网络上，如邮件、个人照片，个人通信录等，很多企业也建立了基于局域网甚至Internet的办公自动化系统，达到办公电子化和自动化的目的。然而数据的安全却存在很大的安全隐患，目前市场上的邮件服务器和办公自动化服务器等数据集中存储的服务器，数据基本上都是明文存放，因此信息对系统管理员是完全开放的，非常不利于个人信息的保密。一旦数据服务器被攻破，服务器上的所有数

3、据也将外泄。数据加密存储是解决数据安全的有效方法。使用应用级加/解密工具对文件数据加以保护，可以在一定程度上解决数据泄密的问题，但此种方法使用繁琐且存在易被攻破和旁路的致命缺点，无法从根本上解决诸如物理磁盘失窃、多操作系统引导、非授权访问等所带来的安全隐患。因此有必要采取一种更加安全、有效的实施数据的加/解密手段。麒麟天机安全存储系统(Secure Storage System,简称SSS)V4.0是为了解决局域网内数据保密问题的网络数据安全存储系统，由湖南麒麟信息工程技术有限公司独立自主开发，基于高安全的Kylin安全操作系统，采用加密存储技术，为企业、军队、政府等提供了基于网络的数据安全存

4、储解决方案。麒麟天机安全存储系统具备的以下特点，为用户机密数据提供安全保障： 数据实时加密存储，存放在服务器上的均为密文，非法用户无法获得有效数据 数据集中存储，便于安全管理，增强敏感数据访问可控性 加密的安全传输通道防止“中间人”截取数据 可选身份认证方式，用户可根据自身需要来确定选择 加密数据访问对用户透明，合法用户访问加密数据跟访问一般数据没有差别 敏感数据共享，用户之间共享的信息也是密文形式，只有授权的用户才可见并获取真实内容 三权分立原则，由系统管理员、恢复管理员和安全管理员分别实施管理2 系统架构2.1 系统架构图麒麟天机安全存储系统采用C/S结构，由安全存储系统服务器端和客户端组

5、成。其中，服务器端承担着数据加密、文件存储、身份甄别的责任，基于 Kylin安全操作系统；客户端则是基于Windows操作系统，为管理员和普通用户提供了友好便捷的操作界面。根据不同的职能，有管理用户客户端、普通用户客户端以及证书和智能卡系统。整个安全存储系统的结构如下图所示：图2.1 安全存储系统整体架构图安全存储服务系统构建在内部网络上，在内部网络与外部网络之间要么完全的物理隔离，要么使用防火墙等安全措施进行隔离。证书和智能卡管理系统与安全存储服务系统的其它部分采用物理隔离手段，因为证书和智能卡管理系统用于生成、存储智能卡认证的用户证书、密钥等敏感信息。3 系统功能3.1 全程的数据安全保障

6、3.1.1 强身份认证登录麒麟天机安全存储系统提供了两种认证机制，一种是用户名口令认证，另一种是智能卡认证。若采用前一种，需在登录时属于用户名和密码；若采用智能卡认证则必须插入用户专用智能卡，并输入PIN码才能登录。用户智能卡由安全管理员通过证书与智能卡系统离线生成和分发，即使智能卡不慎丢失，也可以通过系统管理员禁用该智能卡，被禁用后将不能使用。客户端和服务器相互认证利用现今流行的SSL协议，高层的应用协议能透明地建立于SSL协议之上。通过使用SSL协议，在应用层通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的安全性。3.1

7、.2 加密的安全传输通道为了全面保障数据的安全性，天机安全存储系统采用先进的OpenVPN技术实现了数据的传输过程加密。整个系统的数据传输建立在一个虚拟私有专用网络之上，在客户端与服务器交互时，通过端对端的专用加密通道，使数据能够安全的流通。安全传输通道技术有效的防止了网络“中间人”通过抓包等方式窃取有用信息的攻击，保障了整个系统的安全性。3.1.3 用户数据实时加密存储到服务器保险箱是专属于用户的数据加密存储空间，每个用户都有自己的私人保险箱和所属的共享保险箱。用户登录后即与服务器建立连接，在保险箱中生成的文件或从外部进入到保险箱中的文件都将自动加密，以密文形式存储在远程服务器上，并且与文件

8、操作同步，保证了数据加密的实时性。3.2 多方位的管理控制3.2.1 管理层三权分立原则系统支持四类用户：安全管理员、恢复管理员、系统管理员和普通用户。除普通用户外，管理层的三个管理员分别拥有不同的权利，各司其职，共同保障系统的安全可靠。其中，安全管理员管理用户的智能卡密钥等敏感信息，并负责向用户发放智能卡；恢复管理员在用户智能卡丢失或忘记密码的情况下，恢复用户信息，确保用户能够继续访问以前存储的数据；系统管理员则承担着用户和服务器的日常管理及维护。普通用户是安全存储系统的真正用户，利用系统存储敏感信息。3.2.2 有效的用户访问权限控制通过系统管理员可以对用户访问服务器的权限进行控制，禁止或

9、开启某个用户、智能卡登录服务器的权限。为保证用户数据安全，需根据实际情况约束用户访问数据的权限，针对不同情况，限制可分为用户限制和智能卡限制。智能卡限制用于限制某一个用户使用当前智能卡登录服务器，只是限制智能卡的使用而非用户；用户限制则是直接限制特定用户登录服务器，即通过限制用户证书来限制登录权限，与智能卡无关。细粒度的登录约束，有效保证了用户数据安全。实际当中，智能卡限制适用于用户智能卡丢失，为避免其他人使用遗失智能卡登录服务器的情况；而用户限制则适用于完全限制用户的情况。若某个用户已不存在或用户智能卡丢失、损坏，系统管理员可以禁止非法用户登录，禁用智能卡；也可以适时取消限制。恢复管理员可以

10、帮助用户重新恢复密码，防止用户忘记密码导致资源不能访问。安全管理员能够为一张智能卡重新生成和导入证书，再通过系统管理员启用新的智能卡。三个管理员协同合作，形成了对用户访问的有效控制。3.2.3 资源保护策略资源保护策略是天机安全存储系统为避免客户端非法拷贝敏感信息而设计的安全策略，从文件、设备和网络三方面来进行访问控制，有效的控制了机密数据的流动范围。登录服务器后，用户相关资源以私人保险箱和共享保险箱的方式映射到本地，方便用户使用和管理。为保证保险箱数据的安全性、避免通过非法通道泄露，同时满足正常交流，系统管理员可以灵活设置用户或主机的本地文件访问控制、本地设备访问控制和网络访问控制等三方面策

11、略，使安全存储服务器数据在这种保护下更为安全。 本地文件访问控制 实现保险箱内文件的防非法拷贝到本地的功能。可以允许用户将文件从本地硬盘、优盘复制到安全存储服务器，但是服务器上的文件数据不能复制到本地硬盘和优盘，甚至也不能通过剪贴板方式将存储服务器上的文件数据粘贴到本地硬盘的文件中。 本地设备访问控制控制加密存储服务器上的文件使之无法复制到外设中。包括打印机控制和其它外设控制功能。提供的打印控制功能，以用户和客户端为单位实施打印控制；对USB、光驱等外设接口进行的控制，主要为禁止/允许某些设备的使用。 网络访问控制提供网络防火墙功能，限制用户能够访问的网络范围。普通用户客户端一旦连接成功存储服

12、务器，则根据服务器上的策略控制用户能够访问的范围，防止通过网络泄露服务器数据。3.2.4 磁盘配额的可控管理服务器资源特别是硬盘空间是固定的，为合理分配系统资源，避免个别用户恶意占用，需限制用户能够使用的磁盘配额。磁盘配额管理为服务器资源的合理利用提供了可控保障，系统管理员可以随时对系统中的每个用户进行配额限制，即每个用户只能使用最大配额范围内的磁盘空间。而用户也可以在登录客户端后查询自己的空间配额情况，便于合理利用服务器资源。3.2.5 敏感数据共享管理实际工作中，用户之间经常需要共享数据，共享保险箱则满足了用户安全共享的需要。系统管理员可以创建共享组，并将有权访问该共享组资源的用户加入进来

13、，保证只有属于该共享组的用户才能访问此共享组的资源。非共享组用户则无法看到该共享组。共享组可设置安全等级，安全等级有高安全和低安全之分。高安全组的用户必须使用具有安全模块的客户端才能访问服务器，而低安全组内的用户却没有严格的限制。细粒度的访问权限划分更有利于保护用户数据的安全性。3.2.6 恢复用户智能卡系统利用证书作为用户唯一的身份标识，同时利用智能卡保护证书的安全，用户即使遗失智能卡也能保证证书不被泄露。为实现用户遗失智能卡的情况下，仍能通过合法途径恢复智能卡，继续访问安全存储服务器，系统对用户的密钥进行了备份存储，在用户丢失智能卡的情况下，能够重新生成智能卡，并经由恢复管理员进行恢复操作

14、，确保用户使用新智能卡能够访问到以前的数据。一旦用户恢复成功，新智能卡和证书则成为用户的唯一标识，旧智能卡将无法继续使用，防止一个用户有多个可用的智能卡，要谨慎使用用户恢复功能。恢复用户功能必须由安全管理员和恢复管理员协作完成，具体流程如下图所示：3.2.7 细粒度的安全审计安全存储系统通过日志系统和审计系统提供对系统各种活动的跟踪。日志系统负责用户日常操作的记录，审计系统提供了一种记录系统安全信息的方法，为系统管理员在用户违反系统安全法则时提供及时警告信息。可审计的安全事件包括：用户的身份鉴别、共享组管理操作、系统管理操作等。审计系统可以将记录系统内部发生的事件的信息根据用户的需求，提供不同

15、的报表，从而实现对系统新的追踪、审查、统计和报告等功能。3.3 透明的用户体验3.3.1 数据透明访问用户登录后，将自动在客户机上映射私人保险箱和共享保险箱两个网盘。用户对保密文件的操作完全和本地文件一样，不更改用户使用习惯。有些加密存储产品，只提供远程加密存储功能，用户使用应用程序访问这些文件时，需要从远程下载到本地，非常不方便。3.3.2 数据隐藏在客户端的用户视图上，用户只能够看见自己的私人保险箱和共享保险箱中自己所属的共享组文件夹，无法感知其它用户私人保险箱和共享组的存在，更无从访问。通过这样的隐藏特性，使用户可见数据范围得到控制，降低非法用户访问的可能性。4 系统环境系统组成硬件环境软件环境安全存储服务器各种文件服务器Kylin安全操作系统证书和智能卡管理系统通用PC机Windows操作系统管理用户客户端通用PC机Windows操作系统普通用户客户端通用PC机、笔记本Windows操作系统