基于USB KEY網(wǎng)絡(luò)安全系統(tǒng)的研究*

胡巧玲

(中國艦船研究設(shè)計(jì)中心 武漢 430064)

1 引言

某局域網(wǎng)是一個(gè)信息點(diǎn)較為密集的千兆局域網(wǎng)絡(luò)系統(tǒng),大致可以劃分為三個(gè)主要的區(qū)域:Internet區(qū)域、內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器區(qū)域。內(nèi)部網(wǎng)絡(luò)又可按照所屬的部門、職能、安全的重要程度分為若干子網(wǎng),包括:財(cái)務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、辦公子網(wǎng)、中心服務(wù)器子網(wǎng)等。所聯(lián)接的現(xiàn)有上千個(gè)信息點(diǎn)為在整個(gè)企業(yè)內(nèi)辦公的各部門提供了一個(gè)快速、方便的信息交流平臺(tái)。通過專線與Internet的連接,各個(gè)部門可以直接與互聯(lián)網(wǎng)用戶進(jìn)行交流、查詢資料等。通過公開服務(wù)器,企業(yè)可以直接對(duì)外發(fā)布信息或者發(fā)送電子郵件。高速交換技術(shù)的采用、靈活的網(wǎng)絡(luò)互連方案設(shè)計(jì)為用戶提供快速、方便、靈活通信平臺(tái)的同時(shí),也為網(wǎng)絡(luò)的安全帶來了更大的風(fēng)險(xiǎn)。因此,在原有網(wǎng)絡(luò)上實(shí)施一套完整、可操作的安全解決方案不僅是可行的,而且是必需的。

身份認(rèn)證是網(wǎng)絡(luò)安全技術(shù)的一個(gè)重要方面,身份認(rèn)證[1～4]機(jī)制限制非法用戶訪問網(wǎng)絡(luò)資源,是其他安全機(jī)制的基礎(chǔ)。本文研究的目的是在不影響局域網(wǎng)當(dāng)前業(yè)務(wù)的前提下,實(shí)現(xiàn)對(duì)局域網(wǎng)全面的安全管理。從而保證無論是在本單位的內(nèi)網(wǎng)或是公網(wǎng)的合法用戶在與單位內(nèi)資源服務(wù)器進(jìn)行信息交互時(shí),都能確保系統(tǒng)與數(shù)據(jù)的安全保密,亦即建立所謂的網(wǎng)絡(luò)安全系統(tǒng)。本文所采用的身份認(rèn)證技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全管理的一種重要手段,對(duì)于網(wǎng)絡(luò)應(yīng)用的安全起著非常重要的作用。通過對(duì)身份認(rèn)證技術(shù)的理論分析和系統(tǒng)設(shè)計(jì)等方面的研究,可以增強(qiáng)現(xiàn)有認(rèn)證系統(tǒng)的安全性、可用性和易管理性,提高系統(tǒng)的效率,為網(wǎng)絡(luò)安全系統(tǒng)應(yīng)用提供高效實(shí)用的解決方案。

2 網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)

2.1 系統(tǒng)概述

基于PKI[5～7]的網(wǎng)絡(luò)安全系統(tǒng),可實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)用戶和公共網(wǎng)絡(luò)用戶訪問內(nèi)部網(wǎng)絡(luò)資源服務(wù)器的身份認(rèn)證功能。它主要由四部分組成:認(rèn)證服務(wù)器、認(rèn)證客戶端、資源服務(wù)器及控制服務(wù)器。

圖1是一個(gè)實(shí)際的應(yīng)用環(huán)境中,網(wǎng)絡(luò)安全系統(tǒng)的拓?fù)浣Y(jié)構(gòu)。其中:

控制服務(wù)器主要完成截獲用戶發(fā)向資源服務(wù)器認(rèn)證的請求連接,將其轉(zhuǎn)發(fā)到認(rèn)證服務(wù)器進(jìn)行用戶的身份認(rèn)證,它是實(shí)現(xiàn)客戶端和認(rèn)證服務(wù)器認(rèn)證連接轉(zhuǎn)發(fā)的中間環(huán)節(jié),當(dāng)用戶認(rèn)證成功后為用戶建立訪問資源服務(wù)器的透明代理。認(rèn)證服務(wù)器主要完成與客戶端的認(rèn)證工作,它存放各種用戶的身份認(rèn)證信息和本地的一些安全參數(shù)信息。同時(shí),為保護(hù)用戶與認(rèn)證服務(wù)器之間的通信,以及實(shí)現(xiàn)用戶對(duì)服務(wù)器的身份認(rèn)證,認(rèn)證服務(wù)器擁有RSA公私密鑰對(duì)。認(rèn)證服務(wù)器和控制服務(wù)器在實(shí)際使用環(huán)境中將放置于企事業(yè)單位網(wǎng)絡(luò)的內(nèi)部網(wǎng)絡(luò),受到防火墻的訪問控制保護(hù)。

認(rèn)證客戶端位于內(nèi)部網(wǎng)絡(luò)和公共網(wǎng)絡(luò)任何待認(rèn)證的用戶主機(jī)。認(rèn)證客戶端主要包括一個(gè)USB KEY[8～10]作為用戶資源訪問認(rèn)證的物理設(shè)備,還包括讀取和操作USB KEY的驅(qū)動(dòng)程序。在用戶入網(wǎng)認(rèn)證之前首先在認(rèn)證服務(wù)器端進(jìn)行注冊,管理員在用戶的 USB KEY中寫入標(biāo)識(shí)KEY的唯一ID號(hào)、用戶客戶端認(rèn)證信息,以及認(rèn)證服務(wù)器的公鑰,同時(shí)認(rèn)證服務(wù)器在本地的數(shù)據(jù)庫中為用戶生成注冊信息,這樣用戶就成為了網(wǎng)絡(luò)資源服務(wù)器的合法用戶。

圖1 網(wǎng)絡(luò)安全系統(tǒng)拓?fù)浣Y(jié)構(gòu)

2.2 認(rèn)證客戶端的設(shè)計(jì)

認(rèn)證系統(tǒng)的客戶端主要包括兩部分:一部分是客戶端認(rèn)證服務(wù)程序,除對(duì)USB的驅(qū)動(dòng)程序應(yīng)用接口進(jìn)行訪問,讀取客戶端的用戶認(rèn)證信息外,還提供客戶端上層認(rèn)證代理;另一部分是底層的客戶端網(wǎng)絡(luò)驅(qū)動(dòng)程序的設(shè)計(jì),主要完成根據(jù)規(guī)則定義對(duì)客戶端所發(fā)數(shù)據(jù)包的截獲、分析、記錄和過濾,并把認(rèn)證服務(wù)器發(fā)送過來的隨機(jī)數(shù)認(rèn)證數(shù)據(jù)包轉(zhuǎn)發(fā)到客戶端上層認(rèn)證代理。

客戶端系統(tǒng)認(rèn)證結(jié)構(gòu)模式的設(shè)計(jì)可以采用代理模式和監(jiān)聽模式?？蛻舳说恼J(rèn)證服務(wù)程序主要包括兩部分:一部分是對(duì)USB的驅(qū)動(dòng)程序應(yīng)用接口的訪問,包括USB KEY的打開,用戶數(shù)據(jù)和認(rèn)證信息的讀出和寫入;另一部分是提供客戶應(yīng)用程序的認(rèn)證代理程序。認(rèn)證代理主要負(fù)責(zé)接收客戶端底層網(wǎng)絡(luò)驅(qū)動(dòng)程序轉(zhuǎn)發(fā)上來的認(rèn)證通知包(隨機(jī)數(shù)Random);采用RSA算法對(duì)生成的認(rèn)證消息包(EKUas(ID,M1,N2,Random))進(jìn)行加密和發(fā)送;接收認(rèn)證結(jié)果(N3)并且更新USB KEY的用戶認(rèn)證信息。認(rèn)證代理還包括客戶端認(rèn)證結(jié)果信息界面顯示。客戶端認(rèn)證代理程序是采用并發(fā)若干個(gè)認(rèn)證線程來處理接收到的多個(gè)認(rèn)證服務(wù)連接,這樣可以實(shí)現(xiàn)客戶端并發(fā)訪問多個(gè)資源服務(wù)時(shí)的認(rèn)證需要?？蛻舳苏J(rèn)證代理程序支持常用的Windows系列操作系統(tǒng)。

客戶端網(wǎng)絡(luò)驅(qū)動(dòng)程序主要完成根據(jù)規(guī)則定義對(duì)客戶端所發(fā)送的數(shù)據(jù)包的截獲、分析和過濾,記錄需要認(rèn)證的資源服務(wù)器的請求連接端口地址。這樣當(dāng)認(rèn)證請求返回時(shí),可以查找客戶端的訪問連接請求記錄,防止客戶偽造。為了接收認(rèn)證通知數(shù)據(jù)包,系統(tǒng)底層首先截獲網(wǎng)絡(luò)數(shù)據(jù)包,然后判斷其標(biāo)識(shí)。若為認(rèn)證通知包Random,則將此數(shù)據(jù)包交給上層的認(rèn)證代理進(jìn)程,由認(rèn)證代理進(jìn)程和服務(wù)器進(jìn)行后續(xù)的交互認(rèn)證。因此,這就需要用到現(xiàn)有的一些網(wǎng)絡(luò)數(shù)據(jù)包攔截技術(shù),我們分別針對(duì)Win98和Win2000各設(shè)計(jì)了一套流程。

2.3 認(rèn)證服務(wù)器的設(shè)計(jì)

認(rèn)證服務(wù)器主要包括兩部分:控制服務(wù)器和認(rèn)證服務(wù)器。其中,控制服務(wù)器主要對(duì)客戶的請求進(jìn)行訪問控制和數(shù)據(jù)包的轉(zhuǎn)發(fā);認(rèn)證服務(wù)器主要完成與客戶端認(rèn)證代理的認(rèn)證交互過程。

控制服務(wù)器主要完成對(duì)客戶的請求進(jìn)行訪問控制。接受客戶端的請求,判斷此請求是否需要認(rèn)證。如果需要?jiǎng)t激活該認(rèn)證過程,并且轉(zhuǎn)發(fā)符合要求的數(shù)據(jù)包到目的地,這樣可以減輕認(rèn)證服務(wù)器的認(rèn)證壓力,提高認(rèn)證效率?？刂品?wù)器的功能模塊有:資源定義、接收和轉(zhuǎn)發(fā)數(shù)據(jù)包、激活認(rèn)證過程、獲取認(rèn)證結(jié)果。控制服務(wù)器的轉(zhuǎn)發(fā)機(jī)制采用的是iptables(也可以使用netfilter編程實(shí)現(xiàn))?？刂品?wù)器轉(zhuǎn)發(fā)包括客戶端和認(rèn)證服務(wù)器的消息。其轉(zhuǎn)發(fā)過程如下:

1)客戶端和資源服務(wù)器的所有連接通過控制服務(wù)器轉(zhuǎn)發(fā)。對(duì)于每一資源(RIP:RPORT),控制服務(wù)器通過資源規(guī)則文件取出此定義,使用iptables設(shè)置轉(zhuǎn)發(fā)規(guī)則:(XIP:XPORT)和(RIP:RPORT)之間互相轉(zhuǎn)發(fā),即把客戶端發(fā)向資源服務(wù)器的連接請求都轉(zhuǎn)發(fā)到控制服務(wù)器啟動(dòng)的監(jiān)聽線程,這樣起到控制客戶端資源訪問的作用。同時(shí)設(shè)置當(dāng)客戶端認(rèn)證成功后,把控制服務(wù)器發(fā)向客戶端的資源代理連接的源地址和端口改為資源服務(wù)的地址和端口,以保證客戶端開始發(fā)起的資源請求連接,能夠接受到控制服務(wù)器返回的資源請求。

2)客戶端認(rèn)證代理和認(rèn)證服務(wù)器的連接與上述過程相似。對(duì)于客戶端的認(rèn)證請求,控制服務(wù)器向認(rèn)證服務(wù)器轉(zhuǎn)發(fā)認(rèn)證請求,認(rèn)證服務(wù)器回送自己的外部地址(AS_ADDR:AS_PORT)給客戶端,客戶端向(AS_ADDR:AS_PORT)發(fā)起認(rèn)證過程。網(wǎng)關(guān)把(AS_ADDR:AS_PORT)轉(zhuǎn)換成認(rèn)證服務(wù)器的內(nèi)部地址(XIP:IMPORT),控制服務(wù)器再轉(zhuǎn)換成子網(wǎng)地址(AIP:APORT)。因此控制服務(wù)器在這里也起到了NAT的功能,這樣可以實(shí)現(xiàn)對(duì)外隱藏認(rèn)證服務(wù)器的內(nèi)部網(wǎng)絡(luò)真實(shí)地址,防止攻擊者攻擊,提高認(rèn)證服務(wù)器的安全性。返回的數(shù)據(jù)包進(jìn)行相反的過程。

認(rèn)證服務(wù)器需要實(shí)現(xiàn)的功能包括:接收認(rèn)證請求、認(rèn)證用戶身份、發(fā)送認(rèn)證結(jié)果、存取數(shù)據(jù)庫、生成連接標(biāo)識(shí)、產(chǎn)生隨機(jī)數(shù)、參與初始化客戶端、使用硬件的加密模塊或軟加密算法。認(rèn)證服務(wù)器采用后臺(tái)進(jìn)程方式啟動(dòng)若干認(rèn)證請求服務(wù)線程,等待控制服務(wù)器發(fā)送的待認(rèn)證的數(shù)據(jù)報(bào),經(jīng)過認(rèn)證處理后將認(rèn)證結(jié)果發(fā)送給客戶端。系統(tǒng)管理程序完成的主要功能包括:

1)向用戶分發(fā)USB KEY,完成對(duì)USB KEY的初始化。包括將生成初始化的認(rèn)證信息M1寫入U(xiǎn)SB KEY,并將用戶的初始認(rèn)證信息散列值M2以及用戶輸入的基本信息寫入數(shù)據(jù)庫服務(wù)器的用戶信息列表中。

2)通過對(duì)數(shù)據(jù)庫服務(wù)器的訪問,完成對(duì) USB KEY的管理工作,包括用戶信息的查詢、刪除、注銷。完成對(duì)認(rèn)證服務(wù)器的添加和設(shè)置。

3)完成對(duì)認(rèn)證服務(wù)器和控制服務(wù)器的后臺(tái)程序的啟動(dòng)和關(guān)閉。

4)完成對(duì)服務(wù)器端配置文件的生成和修改。包括認(rèn)證服務(wù)器的IP地址和端口;控制服務(wù)器的IP地址和端口;內(nèi)網(wǎng)網(wǎng)絡(luò)地址和端口(受保護(hù)的資源服務(wù)器網(wǎng)段);外網(wǎng)的網(wǎng)段地址和掩碼(客戶端所在網(wǎng)段);認(rèn)證服務(wù)器的對(duì)外端口和地址;認(rèn)證服務(wù)器啟動(dòng)的最大監(jiān)聽線程數(shù)目;數(shù)據(jù)庫服務(wù)器的端口和地址;資源服務(wù)器的資源服務(wù)定義(包括資源服務(wù)器的IP地址和提供資源服務(wù)的端口)。

5)通過對(duì)數(shù)據(jù)庫服務(wù)器的訪問,完成對(duì)生成認(rèn)證日志的查詢。

3 網(wǎng)絡(luò)安全系統(tǒng)的實(shí)現(xiàn)

3.1 USB協(xié)議的固件實(shí)現(xiàn)

USB KEY的功能之一是使用DES和RSA算法實(shí)現(xiàn)文件加解密[11～15]。加解密的命令、數(shù)據(jù)的傳輸采用USB通道實(shí)現(xiàn)。USB KEY提供了加解密外部命令專供主機(jī)來調(diào)用,借助于USB總線來實(shí)現(xiàn)對(duì)數(shù)據(jù)的加解密操作。如果需要加解密的數(shù)據(jù)量很大,超過64KB,那么主機(jī)需要把該數(shù)據(jù)分塊,每塊大小為64KB,最后一個(gè)塊除外。然后主機(jī)分多次通過USB總線向USB KEY發(fā)起加解密命令的處理,每次加解密一個(gè)數(shù)據(jù)塊,直到最后一個(gè)數(shù)據(jù)塊加解密完畢。加解密每個(gè)數(shù)據(jù)塊的具體過程如下:

1)主機(jī)首先向USB KEY的RX1發(fā)送一個(gè)信息包,該信息包的頭兩個(gè)字節(jié)是需要加解密的這個(gè)數(shù)據(jù)塊的長度(以字節(jié)為單位),緊接著的字節(jié)是實(shí)現(xiàn)加解密的外部命令。RX1接收到這個(gè)信息包后,把兩個(gè)字節(jié)的長度信息和加解密命令轉(zhuǎn)存到約定的一片內(nèi)存區(qū),以備后用。有了這個(gè)長度信息,ESM就能知道什么時(shí)候數(shù)據(jù)全部接收完了。

2)然后主機(jī)把需要加解密的數(shù)據(jù)(一般是文件)發(fā)送到USB KEY的RX3,在中斷處理程序中,接收到的數(shù)據(jù)包將按順序挨個(gè)存放到一片指定緩沖區(qū)內(nèi)。每接收到一個(gè)數(shù)據(jù)包,USB KEY將把保存下來的那兩個(gè)字節(jié)的長度信息減去64,直到長度信息小于64為止,這表明所有的數(shù)據(jù)已經(jīng)接收完了,于是將設(shè)置一個(gè)標(biāo)志,表示數(shù)據(jù)全部接收完。USB KEY在主流程中將反復(fù)檢測這個(gè)標(biāo)志,一旦發(fā)現(xiàn)數(shù)據(jù)全部接收完了,就跳轉(zhuǎn)去執(zhí)行命令分析程序,USB KEY將分析RX1先前接收到的命令,然后調(diào)轉(zhuǎn)到相應(yīng)的命令處理程序。如果發(fā)現(xiàn)RX1先前接收到的是加解密命令,USB KEY將利用內(nèi)部的密碼協(xié)處理器對(duì)該數(shù)據(jù)執(zhí)行相應(yīng)的加解密操作。

3)主機(jī)在發(fā)送完需要加解密的命令和數(shù)據(jù)之后就周期性地讀USB KEY中的TX3,直到有有效的數(shù)據(jù)返回。USB KEY利用密碼協(xié)處理器執(zhí)行加解密完畢之后,將把加解密的結(jié)果分成包依次填入TX3的發(fā)送緩沖區(qū),并且使能發(fā)送,主機(jī)每次從TX3讀取一個(gè)數(shù)據(jù)包,直到加解密的結(jié)果全部返回主機(jī)。

3.2 管理端的實(shí)現(xiàn)

網(wǎng)絡(luò)安全管理系統(tǒng)是由硬件USB KEY和軟件管理程序共同組成的信息保密應(yīng)用系統(tǒng),硬件部分的 USB KEY用于產(chǎn)生和存儲(chǔ)用戶的公/私鑰對(duì),其中私鑰以只讀形式存儲(chǔ),公鑰則保存在符合PKI標(biāo)準(zhǔn)的證書中,USB KEY將作為局域網(wǎng)用戶唯一合法標(biāo)識(shí)的安全載體。

系統(tǒng)管理模塊實(shí)現(xiàn)整個(gè)管理端的配置和運(yùn)行時(shí)管理。具體地說,它通過配置系統(tǒng)參數(shù)指定運(yùn)行時(shí)策略、備份系統(tǒng)數(shù)據(jù)、管理日志、分析各類系統(tǒng)數(shù)據(jù)形成統(tǒng)計(jì)報(bào)表,為證書管理模塊和安全策略設(shè)定模塊提供運(yùn)行支撐。

證書管理模塊負(fù)責(zé)根據(jù)設(shè)計(jì)的證書管理體系管理系統(tǒng)內(nèi)所有的公鑰證書,實(shí)現(xiàn)局域網(wǎng)內(nèi)用戶身份信息、USB KEY和公鑰證書的唯一關(guān)聯(lián),該模塊將作為系統(tǒng)身份鑒別服務(wù)的基礎(chǔ)。

系統(tǒng)數(shù)據(jù)庫負(fù)責(zé)存儲(chǔ)管理端的系統(tǒng)數(shù)據(jù),包括用戶信息、用戶私鑰、配置信息及管理端日志。同時(shí),利用數(shù)據(jù)庫提供的數(shù)據(jù)備份等管理功能可有效地保障網(wǎng)絡(luò)安全管理系統(tǒng)的可用性。

客戶端軟件的功能是結(jié)合USB KEY的使用,完成用戶身份的鑒別和登錄操作系統(tǒng),執(zhí)行管理端制定的保密策略,加密客戶端的機(jī)密信息,控制客戶端主機(jī)上操作系統(tǒng)及各類設(shè)備和接口的使用并記錄日志。軟件管理程序是主要由管理端和客戶端兩部分組成的C/S架構(gòu)的應(yīng)用程序。管理端軟件統(tǒng)一管理的內(nèi)容包括,軟件自身的運(yùn)行時(shí)配置文件,局域網(wǎng)內(nèi)所有的用戶和證書,以及制定局域網(wǎng)安全策略。其主程序流程如圖2所示。

圖2 認(rèn)證服務(wù)器網(wǎng)絡(luò)結(jié)構(gòu)圖

4 結(jié)語

本文將公鑰基礎(chǔ)設(shè)施PKI結(jié)合USB技術(shù)、非對(duì)稱密鑰算法和數(shù)字簽名等密碼學(xué)技術(shù)運(yùn)用于網(wǎng)絡(luò)安全系統(tǒng)的研究中。該系統(tǒng)具有如下的特點(diǎn):

1)建立網(wǎng)內(nèi)可靠的身份標(biāo)識(shí)和鑒別機(jī)制。以硬件USB KEY產(chǎn)生和管理網(wǎng)內(nèi)用戶的公/私鑰對(duì),以符合PKI標(biāo)準(zhǔn)的數(shù)字證書來管理用戶的公鑰及其相關(guān)聯(lián)的身份信息。使非法用戶無法在局域網(wǎng)中立足,同時(shí)為有效地管理合法用戶及他們的行為奠定基礎(chǔ)。

2)提供數(shù)字簽名和身份認(rèn)證。在網(wǎng)絡(luò)中,許多重要文件需要確定其真實(shí)性,用戶可以通過網(wǎng)絡(luò)安全系統(tǒng)提供的功能對(duì)文件進(jìn)行數(shù)字簽名,這樣就可以獲得認(rèn)證,確保了文件的真實(shí)性、完整性和不可否認(rèn)性,同時(shí)也對(duì)文件傳輸者的身份進(jìn)行了確認(rèn)。

3)嚴(yán)格管理登錄到客戶端主機(jī)的用戶。將USB KEY與客戶端軟件相結(jié)合,通過雙因子身份鑒別機(jī)制確保只有合法用戶才能登錄客戶端主機(jī),并以自動(dòng)鎖定操作系統(tǒng)等方法防止客戶端主機(jī)被非法使用。同時(shí)利用其網(wǎng)絡(luò)安全策略,為遠(yuǎn)程通信提供了安全保障,使得合法用戶可以安全的通過Internet網(wǎng)訪問內(nèi)部數(shù)據(jù)。

4)嚴(yán)格管理網(wǎng)絡(luò)中主機(jī)的硬件設(shè)備、接口和軟件程序的使用。上述對(duì)象是局域網(wǎng)內(nèi)信息泄密的直接途徑,系統(tǒng)對(duì)此采取了限制使用、自動(dòng)鎖定及自動(dòng)加密等措施以防止機(jī)密信息從這些途徑泄漏。

[1]張煥國,劉玉珍.密碼學(xué)引論[M].武漢:武漢大學(xué)出版社,2003:1～6

[2]C.E.Shannon.Communication theory of secrecy system[J].Bell System Technical Journal,1949,27(4):656～715

[3]龐麗萍,李勝利.計(jì)算機(jī)操作系統(tǒng)[M].武漢:華中科技大學(xué)出版社,1997:1～20

[4]齊治昌,譚慶平,寧洪.軟件工程[M].北京:高等教育出版社,2001:99～102

[5]黃淼云,李也白,王福成.智能卡應(yīng)用系統(tǒng)[M].北京:清華大學(xué)出版社,2000:5～13

[6]亢保元,王育民.完善保密密碼體制的條件與設(shè)計(jì)[J].通信學(xué)報(bào),2004,25(2):168～173

[7]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].大連:大連理工大學(xué)出版社,2000:315～320

[8]阮利華,王祥.USB2.0接口IP核的開發(fā)與設(shè)計(jì)[J].復(fù)旦學(xué)報(bào),2005,44(1):173～177

[9]吳東艷,張禮勇.基于USB總線的數(shù)據(jù)采集/信號(hào)發(fā)生器的設(shè)計(jì)[J].哈爾濱理工大學(xué)學(xué)報(bào),2005,10(1):125～127

[10]張禮勇,劉思久.虛擬儀器與USB方式的探討和實(shí)踐[J].電子測量與儀器,2004,17(2):70～74

[11]劉木蘭,周展飛,陳小明.密鑰共享體制[J].科學(xué)通報(bào),2000,45(9):897～898

[12]徐秋亮.改進(jìn)門限 RSA數(shù)字簽名體制[J].計(jì)算機(jī)學(xué)報(bào),2000,23(5):450～452

[13]趙波,劉樹波,唐明,等.基于硬件系統(tǒng)的商用密碼可信計(jì)算實(shí)現(xiàn)方法[J].武漢大學(xué)學(xué)報(bào),2004,29(11):1030～1033

[14]陳曉峰,伍前紅,王育民.基于安全雙方計(jì)算的密鑰協(xié)商方案[J].西安電子科技大學(xué)學(xué)報(bào),2003,30(4):477～480

[15]劉怡文,李偉琴.密碼協(xié)議的分層安全需求及驗(yàn)證[J].北京航空航天大學(xué)學(xué)報(bào),2002,28(5):589～592