开发学院操作系统 Linux/Unix AIX 6 加密文件系统（Encrypted File System），第... 阅读

AIX 6 加密文件系统（Encrypted File System），第 2 部分：文件级的加密

　2008-09-06 08:20:13　来源：WEB开发网　闂傚倸鍊搁崐鎼佸磹妞嬪孩顐芥慨姗嗗厳缂傛氨鎲稿鍫罕闂備礁婀遍搹搴ㄥ窗閺嶎偆涓嶆い鏍仦閻撱儵鏌ｉ弴鐐测偓鍦偓姘炬嫹

闂傚倸鍊搁崐鎼佸磹妞嬪海鐭嗗〒姘ｅ亾妤犵偛顦甸弫鎾绘偐閹绘帞鈧參姊哄Ч鍥х仼闁诲繑鑹鹃悾鐑藉蓟閵夛妇鍘甸梺瑙勵問閸犳牠銆傛總鍛婄厱閹艰揪绱曟牎闂侀潧娲ょ€氫即鐛幒妤€绠ｆ繝闈涘暙娴滈箖鏌ｉ姀鈶跺湱澹曟繝姘厵闁绘劦鍓氶悘杈ㄤ繆閹绘帞澧涚紒缁樼洴瀹曞崬螖閸愬啠鍓濈换娑樼暆婵犱胶鏁栫紓浣介哺閹瑰洤鐣烽幒鎴僵闁瑰吀鐒﹂悗鎼佹⒒娴ｇ儤鍤€闁搞倖鐗犻獮蹇涙晸閿燂拷

濠电姷鏁告慨鐑藉极閸涘﹥鍙忔い鎾卞灩缁狀垶鏌涢幇闈涙灈鐎瑰憡绻冮妵鍕箻鐎靛摜鐣奸梺纭咁潐濞茬喎顫忕紒妯肩懝闁逞屽墮宀ｈ儻顦查悡銈夋煏閸繃鍋繛宸簻鎯熼梺瀹犳〃閼冲爼宕濋敃鈧—鍐Χ閸℃鐟愰梺鐓庡暱閻栧ジ宕烘繝鍥у嵆闁靛骏绱曢崢顏堟⒑閹肩偛鍔楅柡鍛⊕缁傛帟顦寸紒杈ㄥ笚濞煎繘鍩℃担閿嬵潟闂備浇妗ㄩ悞锕傚箲閸ヮ剙鏋侀柟鍓х帛閺呮悂鏌ㄩ悤鍌涘闂傚倸鍊搁崐鎼佸磹妞嬪孩顐芥慨姗嗗厳缂傛氨鎲稿鍫罕闂備礁婀遍搹搴ㄥ窗閺嶎偆涓嶆い鏍仦閻撱儵鏌ｉ弴鐐测偓鍦偓姘炬嫹　　闂傚倸鍊搁崐鎼佸磹閻戣姤鍤勯柤鍝ユ暩娴犳氨绱撻崒娆掑厡缂侇噮鍨堕妴鍐川閺夋垹鍘洪悗骞垮劚椤︻垶宕￠幎鑺ョ厪闊洦娲栨牎闂佽瀵掗崜鐔奉潖閾忓湱纾兼俊顖氭惈椤矂姊洪崷顓涙嫛闁稿妫濋幆鈧い蹇撴祩濡嫰姊洪崫鍕拱婵炲弶岣块幑銏犫攽婵犲嫮鏉搁梺鍝勬川婵兘鎮伴妷鈺傗拻濞达絽鎼敮璺侯熆閻熷府鏀荤紒鍌氱Т楗即宕煎锝呬壕闁哄啫鐗嗙粈鍐┿亜韫囧海顦﹀ù婊堢畺閺屻劌鈹戦崱娑扁偓妤€顭胯閸犳牠婀侀梺缁樕戦悷銉р偓姘煎枤缁粯銈ｉ崘鈺冨幈濡炪倖鍔戦崐鏇㈠几鎼淬劍鐓熼煫鍥ь儏閸旀粓鏌曢崶褍顏€殿喗娼欒灒闁告繂瀚濠碉紕鍋戦崐鎴﹀垂濞差亝鍋￠柍鍝勬噹缁犳牠鏌嶉埡浣告殲闁稿海鍠栭弻鏇㈠炊瑜嶇花濠氭煙閸戙倖瀚�

核心提示：每个文件都使用 AES 算法进行了加密，AES 使用在创建该文件时随机生成的一个唯一的对称加密密钥，AIX 6 加密文件系统（Encrypted File System），第 2 部分：文件级的加密，AES 所需的其他参数，如模式和密钥长度，因为现在只有 user2 可以访问 file2，所以对该文件的对称加密密钥的唯

每个文件都使用 AES 算法进行了加密。AES 使用在创建该文件时随机生成的一个唯一的对称加密密钥。AES 所需的其他参数，如模式和密钥长度，都是从文件所在的目录或者文件系统继承而来的。

在将文件数据写入到磁盘的时候，对其进行加密；而从磁盘读取这些数据的时候，对其进行解密。

用于文件加密的对称密钥是由创建文件的用户的公共密钥来进行加密的，并且将其存储于文件的扩展属性中。这表示文件加密的元数据。如果为一个用户或者组授予该文件的访问权限，那么将使用这个用户或者组的公共密钥对文件对称密钥进行加密，并将其添加到该文件的扩展属性中。对于可授权访问该文件的用户或者组的数目来说，几乎没有任何限制。

只有拥有与这些公共密钥相匹配的私有密钥的那些用户，才能够获得对数据的访问权限。

创建加密的文件和 umask 命令

当您创建一个加密文件时，将使用该文件属主的公共密钥对文件的对称加密密钥进行加密，并将其写入到该文件的加密元数据中。如果 umask 值允许组访问，那么将使用组的公共密钥对文件的对称加密密钥的另一个副本进行加密，并将其添加到该文件的加密元数据中。

在示例 1 中，显示了缺省文件访问密钥的创建，以及 umask 值对它的影响方式。我们进行下面的操作：

user2 是 group1 的成员。

umask 值是 022。

创建 file1。因为 file1 可以由 user2 和 group1 进行读访问，所以会将该文件的对称加密密钥的两个副本（其中一个副本使用 user2 的公共密钥进行加密，另一个副本使用 group1 的公共密钥进行加密）添加到该文件的加密元数据中。

更改 umask 值，使得 group1 的成员不再具有访问权限。

创建 file2。因为现在只有 user2 可以访问 file2，所以对该文件的对称加密密钥的唯一副本使用 user2 的公共密钥进行加密，并且将其添加到该文件的加密元数据中。

1 2 3 4 5 6 下一页