保护及托管存储密钥的两种方式

发布时间：2024-02-04 05:28

　　随着现代科学技术的快速发展,越来越多的重要数据需要硬盘来存储。由于存在着诸如硬盘数据泄露或非法修改以及硬盘失窃等安全性威胁,因而,这些存储重要数据的硬盘一般都需要提供加密保护。由于对称加密技术速度快,通常用于加密硬盘数据。加密的安全性不仅取决于密码体制和加密算法,密钥管理的安全性尤为重要。因此,如何保证密钥管理的安全性已经成为各方备受关注的议题。针对密钥的保护及管理问题,本文提出了两种不同的方式。第一种是基于X.509技术的实现方案。该方案应用了X.509证书和Open SSL工具包。针对该方案,首先提出了系统实现模型,分析了模型的组成结构和基本原理。描述了系统方案设计流程,主要包括服务器证书配置管理、LUKS分区启动服务、加密过程和解密过程。第二种是基于ECDH改进算法和JOSE技术的实现方案。这种协议也是建立在椭圆曲线离散对数问题的事实上。由于协议本身没有提供信息完整性校验,因而,本文提出了JSON对象签名和加密(JOSE)标准,客户端接收到的回复消息包含JWS签名的JWK Set。针对该方案,首先提出了系统实现模型,并分析了模型的组成结构和基本原理。然后,提出了存储密钥管理系统,...

【文章页数】：63 页

【学位级别】：硕士

【部分图文】：

图3.5AES-GCM认证加密过程

图3.5AES-GCM认证加密过程计数器模式中，数据块按顺序进行编号，然后，使用AES算法E。加密的结果是采用异或运算将明文数据转换为密文数据。，这本质上是一种流加密形式，因此，每个加密的流必须使用不lt函数将密文文本与认证代码相结合，生成一个认证标签，用加密的文本就....

图3.8AES-GCM认证解密过程

图3.8AES-GCM认证解密过程证解密过程流程与认证加密过程基本类似，mult函数将密文文本证标签，用于验证数据的完整性。析析的解密服务器是无状态化的。这就意味着服务器不会保存客户需要携带额外的状态数据，并且无状态服务器更加健壮，重这就使得服务器的维护和扩容更加方便。引....

图3.10服务器实物图

图3.10服务器实物图生成对称密钥文件使用LUKS/cryptsetup命令工具实现硬盘分区加密过程：fdisk命令创建一个硬盘分区/dev/sdb1，不进行格式化处理密算法，xts-plain64加密模式对分区/dev/sdb1进行加密，-v-y-caes....

图3.11分区加密状态（3）生成自签名证书

图3.11分区加密状态生成自签名证书ux系统中，利用Openssl命令行工具生成自签名证书链，并将证书链放入sslgenrsa-des3-outkeys/server.key2048sslrsa-inkeys/server.key-outkeys/serv....

本文编号：3895289