陳樹(shù)敏　林珠　羅俊博

摘要：通過(guò)三個(gè)具體的實(shí)例介紹了信息安全的實(shí)際需要以及實(shí)現(xiàn)過(guò)程，首先介紹了在排樣應(yīng)用程序采用阿拉丁HASP SRM外殼加密，以及為滿足更多中小型企業(yè)的需要，采用Java Web Start技術(shù)在實(shí)現(xiàn)Web模式過(guò)程中，其次介紹了JNLP技術(shù)中引用JAR文件的JAVA加密過(guò)程；其次介紹了酒類(lèi)溯源系統(tǒng)中采用的數(shù)字簽名雙向認(rèn)證和HTTPS實(shí)現(xiàn)；接下來(lái)介紹了Linux系統(tǒng)節(jié)點(diǎn)間SSH無(wú)密碼訪問(wèn)的實(shí)現(xiàn)過(guò)程，并以高性能計(jì)算平臺(tái)為例，解決如何限制用戶直接登錄計(jì)算節(jié)點(diǎn)而占用計(jì)算資源，以及管理節(jié)點(diǎn)上對(duì)root進(jìn)行禁止直接登陸，保護(hù)其計(jì)算平臺(tái)，最后對(duì)云安全提出諸多問(wèn)題，信息安全技術(shù)無(wú)處不在，需要進(jìn)一步探討。

關(guān)鍵詞：信息安全；加密；JWS；HTTPS；數(shù)字簽名；SSH；云安全

中圖分類(lèi)號(hào)：TP312 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）15-0043-03

Abstract： The actual needs of information security and implementation process were described through three specific examples， firstly， layout applications using Aladdin HASP SRM shell encryption was introduced， and more to meet the needs of SMEs， Java Web Start technology was used to realize Web mode， In the process， encryption process was introduced in JAVA JAR file referenced in JNLP technology； then two-way digital signature authentication and HTTPS realization were introduced in alcohol traceability； next， the implementation process was introduced that the inter-node without password to access by SSH in Linux systems， and high-performance computing platform as an example， figuring out how to limit users to log compute nodes occupied computing resources， and root user was prohibited to login the management node directly to protect their computing platform， and finally raised many problems for cloud security， information security technology is everywhere， it need to be further explored.

Key words： information security； encryption； JWS； HTTPS； digital signature； SSH； cloud security

1 前言

21世紀(jì)是信息的時(shí)代。一方面，信息技術(shù)和產(chǎn)業(yè)高速發(fā)展，呈現(xiàn)出空前繁榮的景象. 另一方面， 危害信息安全的事件不斷發(fā)生，形勢(shì)是嚴(yán)峻的[1]。信息安全主要的技術(shù)有：加密技術(shù)、認(rèn)證技術(shù)[2]。

數(shù)字證書(shū)就是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一串?dāng)?shù)字，提供了一種在Internet上驗(yàn)證通信實(shí)體身份的方式，它是由權(quán)威機(jī)構(gòu)——CA機(jī)構(gòu)，又稱為證書(shū)授權(quán)（Certificate Authority）中心發(fā)行的。數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)授權(quán)中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件。以數(shù)字證書(shū)為核心的加密技術(shù)（加密傳輸、數(shù)字簽名、數(shù)字信封等安全技術(shù)）可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性及交易的不可抵賴性[3]。

加密技術(shù)是電子商務(wù)采取的主要安全保密措施，是最常用的安全保密手段，利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達(dá)目的地后再用相同或不同的手段還原（解密）[2]。

數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來(lái)源和數(shù)據(jù)單元的完整性并保護(hù)數(shù)據(jù)，防止被人（例如接收者）進(jìn)行偽造。它是對(duì)電子形式的消息進(jìn)行簽名的一種方法，一個(gè)簽名消息能在一個(gè)通信網(wǎng)絡(luò)中傳輸?；诠€密碼體制和私鑰密碼體制都可以獲得數(shù)字簽名[4]。

2 排樣軟件

2.1 排樣軟件應(yīng)用程序的加密過(guò)程

開(kāi)發(fā)的單機(jī)版軟件，除包括任務(wù)管理、原片管理、異形庫(kù)設(shè)計(jì)、優(yōu)化結(jié)果顯示、當(dāng)前任務(wù)顯示、標(biāo)簽設(shè)置、系統(tǒng)設(shè)置等模塊，還包括切割線機(jī)器代碼的生成，以軟件和硬件的組合方式銷(xiāo)售，為了保護(hù)其軟件的產(chǎn)權(quán)，排樣軟件采用外殼加密，配有阿拉丁HASP SRM加密鎖（型號(hào)Basic），其特點(diǎn)是：Aladdin最具性價(jià)比得軟件保護(hù)解決方案，和軟件捆綁成1對(duì)1的關(guān)系，有鎖運(yùn)行，沒(méi)鎖不運(yùn)行，通過(guò)HASP SRM外殼加密技術(shù)，保護(hù)了軟件的產(chǎn)權(quán)。

2.2 排樣軟件應(yīng)用程序向Web模式的轉(zhuǎn)變

如何將單機(jī)版的排樣軟件快速開(kāi)發(fā)實(shí)現(xiàn)Web服務(wù)模式，滿足中小型加工制造企業(yè)對(duì)排樣軟件的需求。對(duì)于排樣軟件非核心部分對(duì)外開(kāi)放，用于用戶體驗(yàn)，例如矩形排樣；對(duì)于核心技術(shù)部分，例如對(duì)于排樣軟件的異形件排樣，以及采用高性能計(jì)算部分，將會(huì)實(shí)現(xiàn)收費(fèi)模式。Java Web Start（簡(jiǎn)稱JWS）主要用來(lái)通過(guò)網(wǎng)絡(luò)部署排樣優(yōu)化軟件應(yīng)用程序，具有安全、穩(wěn)定、易維護(hù)、易使用的特點(diǎn)。它僅在第一次運(yùn)行時(shí)下載程序，以后的事情，就交給JWS，包括版本的自動(dòng)更新和維護(hù)。用戶訪問(wèn)用JWS部署應(yīng)用程序的站點(diǎn)，下載發(fā)布的應(yīng)用程序，既可以在線運(yùn)行，也可以通過(guò)JWS的客戶端離線運(yùn)行已下載的應(yīng)用程序，同時(shí)具有本地應(yīng)用程序所具有接口豐富、響應(yīng)快等特點(diǎn)。其技術(shù)基礎(chǔ)是JNLP（Java Network Launching Protoco1），是JNLP的具體實(shí)現(xiàn)。JNLP提供了通過(guò)網(wǎng)絡(luò)來(lái)訪問(wèn)代碼服務(wù)器，以獲取應(yīng)用程序并執(zhí)行的機(jī)制。在jnlp文件中引用jar文件的代碼如下：

其中vgspackweb.jar文件需要簽名后，此jnlp文件才能使用，對(duì)vgspackweb.jar的簽名過(guò)程如下：

（1）用keytool命令生成.store文件。

cd C：＼Program Files＼Java＼jdk1.6.0_10＼bin

keytool -genkey -keystore XXX.keystore -alias chenshumin -validity 3650

將在當(dāng)前目錄下生成一個(gè)XXX.keystore文件，-alias后接的是別名，-validity后面接的是該證書(shū)有效天數(shù)，這里3650表示10年。（用這個(gè)證書(shū)簽名的程序10年內(nèi)有效）。

（2）用jarsigner程序?qū)ar包進(jìn)行簽名。

jarsigner -keystore XXX.keystore D：＼vgspackweb.jar chenshumin

這樣vgspackweb.jar就被簽名了。

3 酒類(lèi)溯源系統(tǒng)

酒類(lèi)溯源系統(tǒng)的安全性采用了數(shù)字簽名（雙向）和的https技術(shù)。數(shù)字簽名是非對(duì)稱密鑰加密技術(shù)與數(shù)字摘要技術(shù)的應(yīng)用。

3.1 雙向加密——數(shù)字簽名

數(shù)字簽名包含兩個(gè)過(guò)程：使用私有密鑰進(jìn)行加密（稱為簽名過(guò)程），接受方或驗(yàn)證方用公開(kāi)密鑰進(jìn)行解密（稱為驗(yàn)證過(guò)程）。雙向加密過(guò)程，即客戶端和服務(wù)端互不信賴，需要互相驗(yàn)證，基本流程如圖所示。

3.2 https技術(shù)

http不安全，利用的是明文顯示。https安全利用的密文加密傳輸主要是https在應(yīng)用層與傳輸層之間加了一個(gè)ssl安全套接層，當(dāng)客戶機(jī)訪問(wèn)web服務(wù)器是，數(shù)據(jù)包到達(dá)傳輸層之前，先交給ssl安全套接層進(jìn)行加密，然后再交給傳輸層傳輸，到達(dá)服務(wù)器后，先將數(shù)據(jù)包交給ssl安全套接層解密然后傳輸給應(yīng)用層。所以數(shù)據(jù)包在傳輸?shù)倪^(guò)程中都處于加密狀態(tài)[5]。

SSL（Secure Socket Layer） 是一種加密技術(shù)，可以提供對(duì)稱加密和非對(duì)稱加密。由于它在協(xié)議層里正好是在傳輸層與應(yīng)用層之間，這就決定了上層應(yīng)用必須經(jīng)過(guò)它，這就是它廣泛流行和易于實(shí)現(xiàn)的原因。https 實(shí)現(xiàn)加密的過(guò)程：

1）客戶機(jī)訪問(wèn)web服務(wù)器；

2）web服務(wù)器出示自己的證書(shū)，證書(shū)包括web服務(wù)器的公鑰，標(biāo)識(shí)以及簽名機(jī)關(guān)和簽名；

3）客戶機(jī)利用證書(shū)上的公鑰加密隨即產(chǎn)生的k值；

4）傳到服務(wù)器后，服務(wù)器利用自己的私鑰打開(kāi)取出k值；

5）利用k值解開(kāi)數(shù)據(jù)包。

其中clientAuth="want"，如果客戶有key，必須驗(yàn)證客戶端證書(shū)（USEBKEY），如果客戶沒(méi)有key，也不會(huì)強(qiáng)制驗(yàn)證。

4 Linux系統(tǒng)節(jié)點(diǎn)間無(wú)密碼訪問(wèn)

機(jī)群環(huán)境的配置是進(jìn)行并行程序設(shè)計(jì)的基礎(chǔ)，主要由兩方面構(gòu)成：操作系統(tǒng)環(huán)境的配置和并行函數(shù)MPICH的安裝，其中Linux操作在安裝時(shí)需將ssh選為信賴的服務(wù)，并保證各節(jié)點(diǎn)之間能夠通過(guò)ssh相互登錄，同時(shí)，各節(jié)點(diǎn)間ssh無(wú)密碼相互訪問(wèn)，即相互認(rèn)為對(duì)方是可信任的訪問(wèn)對(duì)象，是實(shí)現(xiàn)消息在各節(jié)點(diǎn)間自由傳遞的基礎(chǔ)，也是MPI函數(shù)并行計(jì)算的必備條件。配置用戶ssh公匙認(rèn)證是解決無(wú)密碼訪問(wèn)的有效途徑。ssh無(wú)密碼訪問(wèn)的實(shí)現(xiàn)的步驟如下[6，7]：

1）各節(jié)點(diǎn)上生成私匙id_dsa和公匙id_dsa.pub

2）將各節(jié)點(diǎn)的id_dsa.pub的內(nèi)容拷貝到authorized_keys文件之中：cat id_rsa.pub >> authorized_keys

3）修改authorized_keys的權(quán)限：chmod 600 authorized_keys

SSH登錄是管理高性能計(jì)算平臺(tái)（Linux操作系統(tǒng)）的主要方式（廣東省高性能計(jì)算重點(diǎn)實(shí)驗(yàn)室擁有的高性能計(jì)算平臺(tái)，node1為管理節(jié)點(diǎn)，node2為存儲(chǔ)節(jié)點(diǎn)，node3-node16為計(jì)算節(jié)點(diǎn)）。為防止部分用戶繞過(guò)集群調(diào)度器PBS，從管理節(jié)點(diǎn)node1通過(guò)SSH登陸到計(jì)算節(jié)點(diǎn)，直接運(yùn)行程序，占用系統(tǒng)資源的現(xiàn)象，同時(shí)由于用戶的操作記錄分散在多個(gè)節(jié)點(diǎn)上，很難檢查到非法操作，通過(guò)linux系統(tǒng)自帶的PAM功能，限制用戶通過(guò)某種方式訪問(wèn)本節(jié)點(diǎn)[8]，操作步驟如下：

3）將修改好的access.conf和sshd同步到其它計(jì)算節(jié)點(diǎn)。（如同步到管理節(jié)點(diǎn)，會(huì)造成所有普通用戶無(wú)法登陸的現(xiàn)象。）

以上方法步驟可限制用戶直接登錄計(jì)算節(jié)點(diǎn)（允許某些用戶訪問(wèn)節(jié)點(diǎn)）。為了進(jìn)一步提高服務(wù)器的安全度，需要在管理節(jié)點(diǎn)上對(duì)root進(jìn)行禁止，通過(guò)修改配置文件"/etc/ssh/sshd_config"來(lái)實(shí)現(xiàn)。

1）修改SSHD配置，禁止root直接登錄

#vi /etc/ssh/sshd_config

#PermitRootLogin yes修改為PermitRootLogin no

2）修改完畢后，重啟sshd服務(wù)

#service sshd restart

以后登錄管理節(jié)點(diǎn)，先使普通用戶登錄，然后通過(guò)su - root 來(lái)獲取root權(quán)限。

實(shí)現(xiàn)效果：無(wú)論用戶A在計(jì)算節(jié)點(diǎn)node1上有無(wú)作業(yè)，均不能SSH登陸到node1。

本地

（目前高性能計(jì)算節(jié)點(diǎn)NODE1 已經(jīng)啟動(dòng)了該選項(xiàng)，所以必須先用普通用戶登錄然后在切換到root 用戶。）

5 云安全問(wèn)題

云計(jì)算池化管理后，需要把資源池中的物理資源組織成為與資源池匹配的虛擬化資源集群。所有的物理資源均為對(duì)稱節(jié)點(diǎn)，如何構(gòu)造可行物理資源集群，形成集群內(nèi)的資源的可信關(guān)系以及集群的群（組）密鑰等；云計(jì)算的池化管理模式要求虛擬機(jī)不與底層的物理硬件綁定，如何消除虛擬資源對(duì)物理資源直接信任依賴的問(wèn)題；云計(jì)算池化管理中，虛擬機(jī)需要在不同物理節(jié)點(diǎn)之間進(jìn)行遷移。虛擬機(jī)包含有敏感信息，遷移過(guò)程中容易受到各種安全攻擊和威脅，包括敏感數(shù)據(jù)偷竊、惡意使用服務(wù)、非法復(fù)制等。云安全技術(shù)的實(shí)現(xiàn)過(guò)程，無(wú)可避免考慮信息安全。

6 結(jié)束語(yǔ)

文章通過(guò)三個(gè)具體的實(shí)例介紹了加密技術(shù)的實(shí)際需要以及實(shí)現(xiàn)過(guò)程，從加密的目的分，包括軟件產(chǎn)權(quán)的保護(hù)、用戶信息的保護(hù)；從系統(tǒng)分，包括Windows系統(tǒng)上軟件的加密、Linux系統(tǒng)節(jié)點(diǎn)間的加密。作者主要分析了傳統(tǒng)的加密技術(shù)，最將問(wèn)題引申至云計(jì)算安全領(lǐng)域。信息時(shí)代，信息安全無(wú)處不在，如何更好的保證信息安全，還需要下一步的深入研究。

參考文獻(xiàn)：

[1] 沈昌祥，張煥國(guó)，馮登國(guó)，曹珍富，黃繼武.信息安全綜述[J]. 中國(guó)科學(xué)E輯：信息科學(xué)，2007，37（2）：129-150.

[2] 羅家繁，曹春華.淺談電子商務(wù)安全技術(shù)問(wèn)題[J].現(xiàn)代企業(yè)教育，2012（1）：145-146.

[3] airwalk. 數(shù)字證書(shū)[EB/OL].（2015-06-11）[2015-07-07]http：//baike.baidu.com/link？url=Tbx642VIXlOKBkQG504WDa8g1 JCy89 Bv_WoC_-coVZjLscYHHuxy_k4aJBzWJre5L6f7Go7ulv UFBoCGpvCmda.

[4] shdiao.數(shù)字簽名[EB/OL].（2014-12-14）[2015-07-07]http：//baike.baidu.com/link？url=RVtWRbzmi8L4rS59k3wCPTUOe0A zhlqDkZXc6u9HWjyOeUB9HskCSHG89zEKRUFwKpzIO-4Ek Ihj2zxybej5Jq.

[5] 佚名.https加密訪問(wèn)web站點(diǎn)的實(shí)現(xiàn)[EB/OL].（2012-08-23） [2015-07-07]http：//www.myhack58.com/Article/sort099/sort01 00/2012/34668.htm.

[6] oO寒楓Oo.ssh無(wú)密碼訪問(wèn)的實(shí)現(xiàn)[EB/OL].（2012-12-06）[2015-07-07]http：//blog.csdn.net/lxpbs8851/article/details/826 3438.

[7] 王鵬，呂爽，聶治，謝千河，等.并行計(jì)算應(yīng)用及實(shí)戰(zhàn)[M].北京：機(jī)械工業(yè)出版社，2008.

[8] 張濤，何牧君，高增.通過(guò)PAM限制普通用戶繞過(guò)torque提交任務(wù)到計(jì)算節(jié)點(diǎn)，http：//m.blog.csdn.net/blog/xztjhs/8046114， 2012-10-7.