麒麟天机安全存储系统技术白皮书湖南麒麟信息工程技术有限公司2010.03麒麟天机安全存储系统技术白皮书I文档修订记录版本修订内容修订人修订日期备注V4.0技术白皮书提纲郭向华10-03-03V4.0技术白皮书整理郭向华10-03-05麒麟天机安全存储系统技术白皮书II目录1.综述......................................................................................................................................12.系统架构...............................................................................................................................22.1系统架构图.......................................................................................................................23.系统功能...............................................................................................................................33.1全程的数据安全保障.......................................................................................................33.1.1强身份认证登录...............................................................................................33.1.2加密的安全传输通道.......................................................................................33.1.3用户数据实时加密存储到服务器...................................................................33.2多方位的管理控制...........................................................................................................43.2.1管理层三权分立原则.......................................................................................43.2.2有效的用户访问权限控制...............................................................................43.2.3资源保护策略...................................................................................................53.2.4磁盘配额的可控管理.......................................................................................63.2.5敏感数据共享管理...........................................................................................63.2.6恢复用户智能卡...............................................................................................63.2.7细粒度的安全审计...........................................................................................73.3透明的用户体验...............................................................................................................83.3.1数据透明访问...................................................................................................83.3.2数据隐藏...........................................................................................................84系统环境...........................................................................................................................8麒麟天机安全存储系统技术白皮书2010-03-05湖南麒麟信息工程技术有限公司1/81.综述随着网络应用的不断拓广,私人数据会越来越多的出现在网络上,如邮件、个人照片,个人通信录等,很多企业也建立了基于局域网甚至Internet的办公自动化系统,达到办公电子化和自动化的目的。然而数据的安全却存在很大的安全隐患,目前市场上的邮件服务器和办公自动化服务器等数据集中存储的服务器,数据基本上都是明文存放,因此信息对系统管理员是完全开放的,非常不利于个人信息的保密。一旦数据服务器被攻破,服务器上的所有数据也将外泄。数据加密存储是解决数据安全的有效方法。使用应用级加/解密工具对文件数据加以保护,可以在一定程度上解决数据泄密的问题,但此种方法使用繁琐且存在易被攻破和旁路的致命缺点,无法从根本上解决诸如物理磁盘失窃、多操作系统引导、非授权访问等所带来的安全隐患。因此有必要采取一种更加安全、有效的实施数据的加/解密手段。麒麟天机安全存储系统(SecureStorageSystem,简称SSS)V4.0是为了解决局域网内数据保密问题的网络数据安全存储系统,由湖南麒麟信息工程技术有限公司独立自主开发,基于高安全的Kylin安全操作系统,采用加密存储技术,为企业、军队、政府等提供了基于网络的数据安全存储解决方案。麒麟天机安全存储系统具备的以下特点,为用户机密数据提供安全保障:—数据实时加密存储,存放在服务器上的均为密文,非法用户无法获得有效数据—数据集中存储,便于安全管理,增强敏感数据访问可控性—加密的安全传输通道防止“中间人”截取数据—可选身份认证方式,用户可根据自身需要来确定选择—加密数据访问对用户透明,合法用户访问加密数据跟访问一般数据没有差别—敏感数据共享,用户之间共享的信息也是密文形式,只有授权的用户才可见并获取真实内容—三权分立原则,由系统管理员、恢复管理员和安全管理员分别实施管理麒麟天机安全存储系统技术白皮书2010-03-05湖南麒麟信息工程技术有限公司2/82.系统架构2.1系统架构图麒麟天机安全存储系统采用C/S结构,由安全存储系统服务器端和客户端组成。其中,服务器端承担着数据加密、文件存储、身份甄别的责任,基于Kylin安全操作系统;客户端则是基于Windows操作系统,为管理员和普通用户提供了友好便捷的操作界面。根据不同的职能,有管理用户客户端、普通用户客户端以及证书和智能卡系统。整个安全存储系统的结构如下图所示:证书和智能卡管理系统管理用户客户端安全存储系统服务器普通用户客户端普通用户客户端内部网图2.1安全存储系统整体架构图安全存储服务系统构建在内部网络上,在内部网络与外部网络之间要么完全的物理隔离,要么使用防火墙等安全措施进行隔离。证书和智能卡管理系统与安全存储服务系统的其它部分采用物理隔离手段,因为证书和智能卡管理系统用于生成、存储智能卡认证的用户证书、密钥等敏感信息。麒麟天机安全存储系统技术白皮书2010-03-05湖南麒麟信息工程技术有限公司3/83.系统功能3.1全程的数据安全保障3.1.1强身份认证登录麒麟天机安全存储系统提供了两种认证机制,一种是用户名口令认证,另一种是智能卡认证。若采用前一种,需在登录时属于用户名和密码;若采用智能卡认证则必须插入用户专用智能卡,并输入PIN码才能登录。用户智能卡由安全管理员通过证书与智能卡系统离线生成和分发,即使智能卡不慎丢失,也可以通过系统管理员禁用该智能卡,被禁用后将不能使用。客户端和服务器相互认证利用现今流行的SSL协议,高层的应用协议能透明地建立于SSL协议之上。通过使用SSL协议,在应用层通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的安全性。3.1.2加密的安全传输通道为了全面保障数据的安全性,天机安全存储系统采用先进的OpenVPN技术实现了数据的传输过程加密。整个系统的数据传输建立在一个虚拟私有专用网络之上,在客户端与服务器交互时,通过端对端的专用加密通道,使数据能够安全的流通。安全传输通道技术有效的防止了网络“中间人”通过抓包等方式窃取有用信息的攻击,保障了整个系统的安全性。3.1.3用户数据实时加密存储到服务器保险箱是专属于用户的数据加密存储空间,每个用户都有自己的私人保险箱和所属的共享保险箱。用户登录后即与服务器建立连接,在保险箱中生成的文件或从外部进入到保险箱中的文件都将自动加密,以密文形式存储在远程服务器上,并且与文件操作同步,保证了麒麟天机安全存储系统技术白皮书2010-03-05湖南麒麟信息工程技术有限公司4/8数据加密的实时性。3.2多方位的管理控制3.2.1管理层三权分立原则系统支持四类用户:安全管理员、恢复管理员、系统管理员和普通用户。除普通用户外,管理层的三个管理员分别拥有不同的权利,各司其职,共同保障系统的安全可靠。其中,安全管理员管理用户的智能卡密钥等敏感信息,并负责向用户发放智能卡;恢复管理员在用户智能卡丢失或忘记密码的情况下,恢复用户信息,确保用户能够继续访问以前存储的数据;系统管理员则承担着用户和服务器的日常管理及维护。普通用户是安全存储系统的真正用户,利用系统存储敏感信息。3.2.2有效的用户访问权限控制通过系统管理员可以对用户访问服务器的权限进行控制,禁止或开启某个用户、智能卡登录服务器的权限。为保证用户数据安全,需根据实际情况约束用户访问数据的权限,针对不同情况,限制可分为用户限制和智能卡限制。智能卡限制用于限制某一个用户使用当前智能卡登录服务器,只是限制智能卡的使用而非用户;用户限制则是直接限制特定用户登录服务器,即通过限制用户证书来限制登录权限,与智能卡无关。细粒度的登录约束,有效保证了用户数据安全。实际当中,智能卡限制适用于用户智能卡丢失,为避免其他人使用遗失智能卡登录服务器的情况;而用户限制则适用于完全限制用户的情况。若某个用户已不存在或用户智能卡丢失、损坏,系统管理员可以禁止非法用户登录,禁用智能卡;也可以适时取消限制。恢复管理员可以帮助用户重新恢复密码,防止用户忘记密码导致资源不能访问。安全管理员能够为一张智能卡重新生成和导入证书,再通过系统管理员启用新的智能卡。三个管理员协同合作,形成了对用户