LAXCUS集群作業系統金鑰令牌分配方案

2021-10-19 21:41:38 字數 3068 閱讀 8657

從laxcus集群作業系統 5.2版本開始,強制要求集群所有節點的網路通訊必須是可驗證和經過加密處理的。laxcus加密通訊是一種強隨機性質的一次一密的通訊方式,加密處理依次使用了非對稱金鑰、資料簽名、對稱金鑰技術。其中對稱金鑰是由系統執行過程中,根據當時執行環境隨機產生,經過非對稱金鑰加密後分發。而做為整個安全體系和網路加密通訊源頭的非對稱金鑰,它的產生可以有很多種,包括從指令碼中生成、系統自動隨機生成、管理員設定、從金鑰機獲得,甚至laxcus集群作業系統接入量子通訊網路,遠端獲取量子金鑰。每組非對稱金鑰配屬乙個金鑰令牌,金鑰令牌是包含多種引數的集合,其中包括適配的ip位址。只有在這個白名單上的ip位址才允許與伺服器通訊。通過限制ip位址訪問,laxcus集群作業系統實現保護伺服器安全,防止各類非法接入,以及網路攻擊行為的目的。每台laxcus伺服器上,允許部署任意數量的金鑰令牌,來實現有區別的加密通訊。下面就來介紹一下金鑰令牌中使用的引數。

name:金鑰令牌的名稱。系統規定金鑰令牌名稱是唯一的,如果出現重複現象,後來的金鑰令牌替換前面的金鑰令牌。

address: ip位址白名單。客戶機只有在與名單ip位址匹配時,才是伺服器接受的。

check: ip位址檢查方式。包括「none、address、cipher、duplex」四種,none是最低要求的安全檢查,只需要請求**位址與白名單ip位址一致即可。address增加了客戶機混淆簽名的要求,然後與白名單ip位址進行一致性判斷。cipher要求客戶端採用加密安全通訊,在加密通訊前,會進行非對稱金鑰和對稱金鑰的交換,過程類似ssh。duplex是結合了address和cipher的複合型檢查,安全等級最高。由於「none、address」不需要使用加密演算法,在公共網路環境中使用,安全性和可靠性無法保證,所以從laxcus 5.2版本開始,已經不再採用。目前推薦使用「 cipher、duplex」檢查。

mode:應用模式,分為special和common兩種。special模式的金鑰令牌必須適配一段ip位址,在執行環境中允許有任意多個。common模式的金鑰令牌適配除special之外的所有ip位址,在執行環境中有且只能有乙個存在。

現在來模擬一下laxcus集群作業系統使用金鑰令牌的處理流程。假如乙個「137.26.71.82」ip的客戶機訪問laxcus伺服器,那麼系統首先用呼叫金鑰令牌,判斷這個ip是不是在金鑰令牌的白名單ip位址集裡面。它首先檢索「special」模式的金鑰令牌,再檢索「common」模式的金鑰令牌。任何乙個答案是肯定的,訪問工作進入下一步。如果不是,系統將拒絕ip。在這一層,laxcus集群作業系統通過限制ip位址,會過濾掉各種非法訪問和網路攻擊行為。

進入下一步,系統將檢查請求資料塊中攜帶的資料指紋(包含數字簽名的驗正模組)。如果資料指紋校驗正確,推送進下一步處理。如果校驗錯誤,那麼可以肯定這塊資料在網路傳輸過程中已經被非法篡改,系統不再做任何處理,直接丟棄。

如果資料指紋要求進行網路安全通訊協商,那麼系統將根據請求配屬的金鑰資訊,協商出乙個雙方可以接受的安全通訊協議,然後通訊雙方進入安全通訊狀態,這個過程類似ssh。

跟著就是進入資料加密/解密的處理流程,根據之前的安全協商結果,客戶端在傳送資料前會進行加密,伺服器收到資料後,取出金鑰令牌和這個ip對應的金鑰,進行資料解密。解密後的資料將推送給系統的業務流程來處理。業務流程處理結束,結果資料將再次被伺服器加密,返回給客戶機,客戶機收到後完成解密,形成一次安全通訊閉環。

laxcus金鑰令牌採用一次一密的處理方式。通訊雙方的安全通訊協商結果會在客戶機結束後,被客戶機和伺服器一起丟棄。下次通訊時,需要客戶機重新申請。

通過指令碼檔案生成非對稱金鑰,這是一種較老的金鑰生成方案,laxcus 5.2版本已經不採用了。

由系統管理員在集群執行過程中遠端增加/刪除/顯示金鑰令牌,全程加密通訊,這種方案是系統推薦使用的,具有靈活性高、保密性好、零成本等優點

系統呼叫底層的動態鏈結庫,產生金鑰令牌。由於金鑰令牌的產生和執行處理過程完全在一台計算機上發生,這也是一種安全可靠、零成本的方案。

使用「crypto」加密協議,從crypto金鑰機獲得金鑰。crypto金鑰機本質就是一台伺服器,需要部署在安全的網路環境中,為有加密需求的裝置,產生各種對稱金鑰和非對稱金鑰。金鑰機使用專屬的加密協議,全程採用加密通訊,相比第三方提供的金鑰機,這是一種安全可靠低成本的方案

接入量子通訊網路,從量子金鑰機獲得非對稱金鑰。這個真沒啥說的,地表最強安全通訊,沒有之一絕對的安全可靠!缺點就是現在的裝置採購成本太高,網路成本太高。laxcus集群作業系統量子通訊版本,目前只提供給國內需要保密通訊的企業單位使用,暫時不對外發售。

LAXCUS集群作業系統全家桶

提供乙份laxcus集群作業系統全家桶清單。這個版本採用寄居架構,支援目前所有軟硬體平台。軟體os平台 windows linux 硬體cpu平台 x86 intel amd 兆芯 龍芯 mips arm 飛騰 鯤鵬 申威 alpha laxcus集群作業系統產品介紹 1 面向計算機集群和雲環境的分...

作業系統 作業系統介面

介面表現為函式呼叫,由作業系統提供,連線作業系統和應用軟體。出於安全性考慮,應用程式不能直接在記憶體中任意訪問 將核心程式和使用者程式隔離 通過比較訪問資料段cpl和rpl的特權級和當前段dpl的特權級之間的關係 應用程式呼叫庫函式printf printf呼叫庫中的write函式 write將函式...

作業系統(作業系統引論)

方便性 方便使用者進行操作計算機 有效性提高系統資源的利用率 提高系統的吞吐量,加速程式的執行 可擴充性 方便地增添新的模組和功能,以及對原有的功能模組進行修改 開放性能夠遵循世界標準規範 os作為使用者和計算機硬體系統之間的介面 使用者能夠通過作業系統來使用計算機系統 os作為計算機資源的管理者 ...