远程分布式测试及故障诊断系统设计的基本思想是：建立远程故障诊断专家系统和维修决策支持中心，并联合装备的设计单位、生产制造单位、部件供应单位、维修单位和相关领域专家组建一个故障诊断与维修的动态联盟，共同为系统提供远程故障诊断和维修服务。
　　 结合远程分布式测试及故障诊断的特点，该系统的安全需求包括：测试现场和远程保障终端入网用户分级管理；基于测试过程的物理数据和实时状态信息等数据流加密应用技术应用；测试数据信息流和远程保障、指控信息流网络传输容错和可靠性技术应用；远程灾难数据信息恢复和数据备份；等等。根据这些需求，本系统的信息安全体系结构包括以下级别：（1）网络级安全，保障测试及控制等信息通信的网络物理设备和内部网的安全；（2）系统级安全，保护系统中主机及入网设备的安全和网络运行的安全；（3）应用级安全，包括测试指控等数据的加密传输、完整性检验和不可抵赖机制；数据库安全；入网用户及单位的访问控制和身份认证以及、审计等。　　一、远程分布式测试及故障诊断系统的信息安全策略
　　 远程分布式测试及故障诊断系统的信息安全策略主要包括：在远程用户端到远程技术支援中心之间的安全数据传输，采用基于PKI/CA的身份认证和数字签名方案；在现场测试端与远程技术支援中心之间的安全数据传输，采用IPSec VPN方案；在网络中采用基于SNMP协议的网络监控系统；其他信息安全策略。
　　 1、基于PKI/CA的身份认证和数字签名方案??????????
　　 该方案主要是通过“通用认证中心组件”的开发来实现的。通用认证中心组件研究的目的是提供一套安全且易于使用的网络信息安全平台，保障基于公网或远程网络的业务系统的安全。PKI/CA（公钥基础设施/认证中心）技术体系是当前安全技术和安全服务的规范。通用认证中心组件使用自主产权的加密算法（RSA算法），实现1024位的公钥密码加解密和数字签名、密钥和X.509证书的管理等功能，并且支持多进程和多线程，采用标准AcitveX组件的形式，可以简洁容易地给现有应用增加国家承认的高强度的安全保障。由于采用组件形式，加密客户端和服务器都不需要手工安装，减少了维护压力。应用该组件后，可以保证远程用户端到远程技术支援中心之间数据传输的保密性（确保除了接收者，无人能解读数据的任何部分，防止和）、数据的完整性（确保在传输的各个环节，数据不被有意或者无意的修改）以及身份认证等问题（确认身份并防止抵赖）。主要包括以下3个组件：
　　 （1）cacenter组件，即CA用户证书发放组件。可以在系统管理的页面中增加一个“产生CA证书”的按钮，根据用户属性生成证书U盘或软盘，并将公钥和证书等返回值提交到数据库。也可以单独制作一套证书申请页面，在审批审核的时候生成证书U盘或软盘，并存放到数据库。主要方法包括：
　　 ·newcert(String rootkey,String userattr);//输入根证书和用户属性，生成用户证书。rootkey为根证书文件名，指明根证书在本机的位置。userattr为用“|”分隔的字符串，分别代表用户证书中的属性，如国家、组织名、部门名、省或州名、通用名称、城市名称、职务、英文名、英文姓、名首字母、地址、邮政地址、邮政编码、邮政信箱、等。
　　 ·caserver组件，即CA服务器加解密及数字签名组件。用于在服务器端解密用户发来的加密消息。程序对消息进行业务处理后，可以再加密反馈给用户。可以进一步扩展为Web Service模式，实现跨平台应用。加解密运算可以分布到多台加密服务器运行，能减少业务服务器的负载。主要方法包括：
　　 ·encryptsign(String Ucert64, String msg,String MYcert64, String MYskey64);//自己的BASE64编码的证书（MYcert64）+数据（msg）+用自己的BASE64编码的私钥（MYskey64）加密数据（msg）摘要值而产生的数字签名，组合起来，用随机对称密钥加密。然后再用对方BASE64编码的证书（Ucert64）加密对称密钥，形成数字信封。
　　 ·decryptsign(String Ucert64, String msg64,String CAcert64, String MYskey64);//用自己的私钥（MYskey64）解密数字信封（msg64），获得对称密钥，用对称密钥解密数据，拆离出对方证书、原文和对方的数字签名。用对方证书解密数字签名，将其还原成信息摘要。然后用同样的算法，产生原文的信息摘要值。然后比较两份信息摘要值是否相同。
　　 （3）caclient组件，即CA用户加解密及数字签名组件。用于加密用户名、口令等信息，发送给服务器或者其他用户,也用来解密服务器或其他用户返回的加密信息。主要方法包括：
　　 ·encryptsign(String Ucert64, String msg);//自己的BASE64编码的证书（从U盘或软盘读入）+数据（msg）+用自己的BASE64编码的私钥（从U盘或软盘读入）加密数据（msg）摘要值而产生的数字签名，组合起来，用随机对称密钥加密。然后再用对方BASE64编码的证书（Ucert64）加密对称密钥，形成数字信封。
　　 ·decryptsign(String Ucert64, String msg64);//用自己的私钥（从U盘或软盘读入）解密数字信封（msg64），获得对称密钥，用对称密钥解密数据，拆离出对方证书、原文和对方的数字签名。用对方证书解密数字签名，将其还原成信息摘要。然后用同样的算法，产生原文的信息摘要值。然后比较两份信息摘要值是否相同。
　　 应用通用认证中心组件后的远程分布式测试及故障诊断系统的身份认证和数字签名的工作流程如图1所示。

 
图1 基于PKI/CA的身份认证和数字签名的工作流程

　　 2、基于IPSec VPN技术的信息加密传输
　　 IPSec VPN适合点到点的VPN应用，因此远程分布式测试及故障诊断系统中，现场测试端与远程技术支援中心之间的数据传输可采用IPSec VPN。如图2所示，“安全管理中心”是整个VPN体系范围内的管理中心，相当于一个基于PKI的CA服务器，用于对证书的管理、VPN设备的远程管理、日志管理等。当现场测试端与远程技术支援中心之间通信时，数据首先经VPN设备加密（隧道的起点），然后再由路由器转发出去。在远程技术支援中心端，路由器将数据转发至内部网络首先达到VPN设备，由VPN设备解密之后（隧道的终点），再转发至内部网络。在这个过程中，只要现场测试端与远程技术支援中心事先设置的安全策略相协调，且密钥协商过程成功，就可在现场测试端与远程技术支援中心之间的两台VPN设备之间建立一条安全的通信隧道，从而利用Intranet成功地构筑自己的虚拟专用网。

 
图2 IPSec VPN系统应用的网络结构图

　　 3、基于SNMP协议的网络监控
　　 网络监控部分的功能在SNMP的基础上实现。网络监控开发过程中，首先要进行网络数据的采集，经过采集模块得到的数据经通信模块传送给分析过滤模块，经过分析和过滤得到相应的统计数据，同时将统计数据保存到数据库，以方便做数据的纵向分析比较，最后用Web数据发布方式将监控结果和统计分析情况发布到网络。网络监控模型如图3所示。

 
图3 基于SNMP的网络监控模型

　　 4、其他信息安全策略
　　 入侵检测策略可采用基于CORBA和Agent（Snort等）技术的分布式入侵检测系统设计方案；安全审计可采用基于Agent技术的安全审计方案；采用第四代分布式防火墙，并且与网络监控系统相结合。其他安全策略还包括：Web服务器的安全措施（通过监视匿名访问来控制访问、用户或组来控制访问等）；操作系统的安全性（Windows操作系统的安全管理等）；数据库的安全性（SQL Server 2000的安全管理等）；灾难数据信息恢复系统和数据备份系统；等等。　　二、关键技术
　　 1、密码技术
　　 密码技术是远程分布式安全系统的核心技术。信息加密过程是由各种加密算法来具体实施的。按收发双方密钥是否相同分类，可将加密算法分为对称密码算法和公钥密码算法。
　　 对称密码算法。对称密码技术通常由分组密码和序列密码来实现。分组密码算法是将定长的明文块转换成等长的密文，序列密码算法是将明文逐位转换成密文。代表算法有：（1）DES：使用一个56位的密钥以及附加的8 位奇偶校验位，产生64 位的分组；（2）IDEA：是在DES 算法的基础上发展出来的，与DES 的不同处在于采用软件实现和采用硬件实现同样快速，比DES 提供了更多的安全性；（3）AES：5个候选算法分别是Mars、RC6、Rijndael、Serpent、Twofish，其中Rijndael算法的原型是Square算法，其设计策略是宽轨迹策略，以针对差分分析和线性分析。在对称密码算法中，DES是应用泛的对称密码算法（由于计算能力的快速进展，DES已不再被认为是安全的）；IDEA在欧洲应用较多；RC系列密码算法的使用也较广（已随着SSL传遍）；AES将是未来最主要、的对称密码算法。
　　 非对称密码算法（公开密钥算法）。公开密钥算法使用两个密钥，并通过用其中一个密钥加密的明文只能用另一个密钥进行解密的方法来使用它们。通常，其中一个密钥由个人秘密持有，第二个密钥即所谓的公钥，需要让尽可能多的人知道。代表算法有：（1）RSA：其数学基础是初等数论中的欧拉定理，并建立在大整数因子的困难性之上，使用很大的质数来构造密钥对；（2）Diffie-Hellman：允许两个用户通过某个不安全的交换机制来共享密钥而不需要首先就某些秘密值达成协议；（3）MD5：用于数字签名应用程序的消息-摘要算法，在数字签名应用程序中将消息压缩成摘要，然后由私钥加密。在公钥密码算法中，RSA是最易实现的，也较安全；Diffie-Hellman是最容易的密钥交换算法；MD5算法已不再安全。
　　 2、信息确认技术
　　 身份认证技术。远程分布式系统中，被控对象需要通过某种形式的身份认证方法来验证主控方的身份；同样，在被控对象返回信息时，主控方也需要识别其身份。身份认证技术是其它安全机制的基础。主要有两类身份认证的识别方案：基于身份的认证方案和零知识证明方案。实体间的身份认证主要是基于某种形式的证据。常见的几种身份认证技术包括基于口令的认证、基于智能卡的认证、基于密码的认证鉴别技术等。其中基于密码的认证的基本原理是：密钥持有者通过密钥这个秘密向验证方证明自己身份的真实性，这种鉴别技术既可以通过对称密码体制实现，也可以通过非对称的密码体制（公开密钥体制PKI）来实现。
　　 数字签名技术。就是信息发送者用其私钥对从所传报文中提取出的特征数据进行RSA 等算法操作，以保证发信人无法抵赖曾发过该信息（即不可抵赖性），同时也确保信息报文在经签名后未被篡改（即完整性）。当信息接收者收到报文后，就可用发送者的公钥对数字签名进行验证。数字签名方案主要包括Hash 签名、用公开密钥算法进行数字签名等。
　　 3、虚拟专用网VPN技术
　　 VPN是指在公共通信基础设施上构建的虚拟专用网，与真实网络的差别在于以隔离方式通过共享公共通信基础设施，提供了不与非VPN通信共享任何相互连接点的排他性通信环境[4]。VPN功能包括加密数据、信息认证和身份认证、访问控制等。主要有两种VPN：（1）SSL VPN。SSL是保障在Internet上基于Web的通信的安全而提供的协议。SSL用公钥加密通过SSL连接传输的数据来工作。SSL VPN使用SSL协议和代理为终端用户提供HTTP、客户机/服务器和共享的文件资源的访问认证和访问安全，适合移动办公人员对总部资源的访问以及合作伙伴、客户对本公司的相应的资源的访问等。SSL VPN的安全性、应用程序的可扩展性不如IPSec VPN，但是在方便程度和可控制性方面要好于后者。（2）IPSec VPN。IPSec 协议是网络层协议，它是为保障IP通信而提供的一系列协议族，针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计了一整套隧道、加密和认证方案。IPSec VPN的使用场合主要为：站点到站点通信、网络管理、C/S结构的系统、VOIP和视频等。
　　 4、网络控制技术
　　 入侵检测技术。就是对计算机网络和计算机系统关键结点的信息进行收集分析，检测其中是否有违反安全策略的事件发生或攻击迹象，并通知系统安全管理员。一般把用于入侵检测的软件、硬件合称为入侵检测系统（IDS）。
　　 安全审计技术。使用某种或几种安全检测工具，采取预先扫描漏洞的方法，检查系统的安全漏洞，得到系统薄弱环节的检查报告，并采用相应的增强系统安全性的措施。安全审计是业界流行的系统安全漏洞检测方法，目前基本上已经成为事实上的工业标准。
　　 访问控制技术。允许用户对其常用的信息库进行适当权利的访问，限制其随意删除、修改或拷贝信息文件，还可以使系统管理员跟踪用户在网络中的活动，及时发现并拒绝“”的入侵。访问控制采用最小特权原则，即在给用户分配权，根据每个用户的任务特点使其获得完成自身任务的权限，不给用户赋予其工作范围之外的任何权力。
　　 防火墙技术。是一种由计算机硬件和软件的组合，使互联网与内部网之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。从实现方式上，防火墙可分为硬件防火墙和软件防火墙两类。在第四代防火墙产品的设计与开发中，关键集中在安全内核、代理系统、多级过滤、安全服务器、鉴别与加密等方面上。　　信息安全是远程分布式系统研究的重要组成部分，涉及到很多领域和技术，如身份认证、防火墙、入侵检测、安全审计等等，各有其特点和适应范围。这些技术共同组成了远程分布式测试及故障诊断系统的信息安方案。在系统设计中，应对现有的信息安全技术的各个方面的内容和特点进行研究，根据系统的具体需求，参照有关标准、规范、规定来对信息安全策略进行设计。