圈 F 一 . 0 ;E j 数据通信2013.4
U—API"统 一密码算法接口的设计与实现
胡骁强胡波(总装司令部北京1 00720) 摘要:用户可以使用不同密码算法库实现密码运算。然而,这些密码算法库往往由不同单位设计和实 现,所支持的密码算法不同,系统接口也不同,用户使用不方便。为此,我们设计和实现了统一密码算法接口, 我们称之为U-API。U-AP1的优点在于:用户可以采用统一的密码算法接口访问各种不同的密码算法库。此 外,U-API ̄,够容易的将新的密码算法库纳入管理范畴,从而保证其可扩展性。基 ̄openssl的性能测试表明: U—API对数据加解密的性能影响很小。 关键词:密码算法;接口;U—API 1简介 密码运算是现有信息安全重要的内容,各个厂 商或研究机构均纷纷推出自己独有的密码算法库。 这意味着用户在选择密码运算时有多种选择,但是 这又迫使用户需要了解不同的密码算法库的内容, 掌握其访问接口的使用,这使得用户花费大量的时 间来了解这些不同的密码算法库的用法。是否有一 种简单的方法将这些密码算法库统一起来,方便用 户的使用?为此,我们设计和实现了统一的密码算法 接口,我们称之为U—API。 U—API定义了一组固定的接口供用户使用。当用 户通过U~API访问具体的密码算法库时(如:openss1), U—API要求用户通过固定的接口提供密码服务请求 的具体的内容,并将这些内容进行重新组织,与目的 密码算法库进行交互以获得最终的密码服务响应。 U—API所提供的这些接口是相对不变的。这是因为我 们高度抽象了现有密码算法的接口形式,并充分考 虑到新密码算法扩展的情况,将接口参数分为基本 参数和扩展参数,在保证适应一般应用的前提下,也 考虑到某些特殊应用。 我们已经实现U—API。U—AP1分为密码服务和服 务管理两个部分。密码服务以动态链接库的形式存 在,用户通过它来访问具体的密码算法库。服务管理 24收稿日 ̄J:2013—05-21 是U—API的管理成分,它允许用户通过描述密码算法 库的基本信息,来扩展U—API所支持的密码算法库。 我们以叩e sf里的RSA算法和DES算法为例,考查其 对数据加解密性能的影响。实验表明:U—API对数据 加解密性能的影响很小。 2 U—API 2.1系统架构 图1描述了U—API的系统架构。U—AP1分为密码 服务和服务管理两个部分(图中阴影部分)。密码服 务向用户提供统一的访问接口,它接收用户的密码 运算请求,并与具体的密码算法库进行交互,最终响 应用户的请求。服务管理则向用户提供描述密码算 法信息的人机接口,用户可以在此描述某个密码算 法库包括哪些密码算法;其接口的形式是什么样的; 应该如何调用这些接口;这些接口的参数与U—API提 供的接口参数有什么样的联系。这些信息是确保密 码算法库能够被应用的关键。 U—API将用户分为一般用户和管理用户。对于一 般用户而言,服务管理是不需要了解的,它直接使用 密码服务就可以。管理用户是少量熟悉该密码算法 库的用户,它负责对其熟悉的某个密码算法库进行
描述,将描述结果存为配置文档,并向一般用户发 t一0 i 、|蠢 搿0 摄i 黾 2013 4 这些信息以*.dot文件形式将存储在密码服务所 在目录。密码服务开启时会默认读取该目录下所有 dot文件,从而了解当前需要处理的密码算法库,以及 它们的基本信息。这些信息将支持一般用户对具体 密码算法库的使用。由管理用户所编写的 .dot文件 可以通过网络发布,从而使一般用户可以获取,避免 重复描述。当然,借助服务管理的向导,编写这些配 置文件的过程并不复杂。 3实验 为了了解U—API对加解密性能的影响,我们以 openssl所提供的DES密码算法和RSA密码算法为例, 通过实验来获得具体数据,分析U—API的性能开销。 我们实验的过程是这样的,直接访问openssl所提供 的DES密码算法和RSA密码算法,并/JH/解密某段随 机数据,记录其时问开销;然后再通过U—API访问 DES密码算法和RSA密码算法,再次加密/解密随机 数据,记录时间其开销;然后对比两次时间开销,形 成实验结果。实验结果如图2所示。 l O.99 0.98 0.97 0.96 0.95 0.94 1M l0M 100M IO00M 图2实验结果 图2显示四次实验的结果,其待加/解密数据的大 小分别为1M、10M、100M和1000M。图2所示的直接访 问是指直接访[h ̄openssl的密码算法,间接访问是指 通过U—API访问openssl的密码算法。实验结果表明: 当待加解密数据块较小时,U—API存在大约4%的性 能开销;当待加解密数据块逐步增大时,U—AH的性 能开销也逐步下降,最终接近原始速度。对加解密速 度基本没有影响。分析可以发现:U—API所导致的性 能开销主要集中在密码算法开始前对参数的处理, 以及返回处理结果这两个阶段,当加解密内容很大 时,这两个阶段的时间开销占整个加解密过程的时 间开销比重下降,U—API的性能开销也下降。 26 4小结 本文描述了U—API的设计与实现。U—API旨在将 各类密码算法库纳入管理范畴,并对外提供统一的 密码算法接口,从而使用户可以方便快捷的使用各 种密码算法。实验表明:U—API的性能代价并不高昂, 当加解密数据较大时,性能代价会进一步下降。 参考文献 [1]李中献,詹榜华,杨邑先.认证理论与技术的发展电子学报, 2003 【2]2向玲.《动态口令系统的设计和实现》中国科技大学,2001 [3]A.K.Jain,R.M.Bolle and S.Pankanti,Bimetrics:Personal Iden— fificmion in a Networded Society,Kluwer Academic Pub— lishers.1999 【4]Andrew G.Morgan,The Linux-PAM Module Writers’Guide [5]J.Linn,"Genetic Security Service Application Program In— terface”IETFRFC 2078 [6]沈昌祥.可信计算平台和安全操作系统《网络安全技术与 应有用》第52期中国公安大学 【7】http://www.zte.COB.cn/cndata/magazine/zte—communications/20 07/5/magazine/200709/t20070929—150700.htm现代密码算法 研究 作者简介:胡骁强:北京市5130 ̄ ̄箱119分箱.Y-程师,研究方 向信息安全;胡波:北京市北三环路4号,工程师,研究方向信 息安全。 ■
(上接第15页) Fallback Function for Combined LTE and 3G Circuit Swished Services 【JJ.NTT DOCOMO Technical Journal Vo1.11 No.3.13—19 作者简介:贾玉玮(1989一),北京邮电大学泛网无线通信教 育部重点实验室硕士生在读.主要研究方向为LTE覆盖增强
纽网技术、多天线模式切换技术。■
