下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、政府采购购网站中中的安全全策略* 本文承蒙四川省重点项目基金的支持。鲜婷 李涛 伍良良富 甘甘玲 顾婷婷婷* 李涛:教授,研究方向:计算机网络安全,人工智能。伍良富:副教授。鲜婷、甘玲、顾婷婷:硕士研究生。(四川大大学(西西区)计计算机系系 成都都 61100665)摘要:本本文提出出了保证证政府采采购网站站安全的的多种措措施:身身份认证证可以防防范非法法人员访访问该网网站;SSSL传传输加密密可以保保证数据据传输安安全;文文件存储储加密可可以保证证服务器器被攻占占后数据据不被窃窃取;还还通过操操作员管管理和日日志进一一步保证证网站的的安全。关键字:身份认认证 SSSL安安全代理理 存储储加密
2、 政府府采购引言政府作为为信息资资源的最最大拥有有者和使使用者,政府上上网已成成为我国国信息技技术推广广使用的的一个热热点。四四川省政政府采购购网站的的建立使使政府招招标成为为真正意意义上的的“阳光下下的交易易”。其中中包括两两部分:面向大大众的四四川省政政府采购购网站和和面向网网站维护护人员的的四川省省政府采采购管理理系统。前者是是四川省省政府采采购官方方网站,完成四四川省政政府采购购中心的的采购信信息的发发布和提提供与采采购相关关的服务务。政府府采购网网站管理理系统主主要完成成四川政政府采购购网站的的后台数数据库管管理,实现了了在Innterrnett上直接接维护数数据库,可以跨跨地域动动
3、态实时时地更新新数据库库,并通过过身份认认证、SSSL传传输加密密、和文文件存储储加密等等保证了了该网站站的安全全性。本本文重点点讨论其其中有关关的安全全策略。2 安全全网站的的一种实实现模型型2.1四四川省政政府采购购网站的的安全体体系结构构图1为四四川省政政府采购购网站的的体系结结构。该该体系中中涉及到到的网络络安全及及应用软软件有:防火墙墙(带包包过滤、路由、IDSS、VPPN和地地址重定定向)、存储加加密及传传输加密密系统、证书管管理中心心(包括括注册中中心RAA、认证证中心CCA)、安全电电子邮件件帐户管管理系统统,鸡毛毛信(安安全电子子邮件),安全全文件下下载系统统(以上上软件系系
4、本实验验室独立立开发,具自主主知识产产权)。以下介绍绍该安全全网站的的核心技技术。Internets认证中心CA邮件服务器带包过滤、路由、V PN、IDS和地址重定向的防火墙外围网传输加密 带包过滤、路由、VPN、IDS和地址重定向的防火墙存储加密WWW服务器内部网BrowserBrowser数据库服务器其他服务器注册中心RA证书注册客户机图1 安全WEB站体系结构2.2 管理网网站运行行环境四川省政政府采购购网站管管理系统统是一个个基于WWeb的的数据库库应用系系统,系系统的运运行平台台为Liinuxx,使用用带有PPHP模模块的AApacche +SSSL服务务器提供供Webb服务,脚本语
5、语言采用用PHPP,后台台数据库库使用MMySQQL数据据库。管管理网站站运行在在htttps上上,只有有拥有合合法个人人证书和和操作权权限的用用户才能能使用该该网站。2.3 身份认认证技术术 由于于传统TTCP/IP协协议固有有的安全全缺陷,用户无无法确认认自己访访问的WWEB站站点是否否是自己己要访问问的站点点(黑客客可以冒冒用合法法的URRL地址址),而而WEBB服务器器也无法法确认访访问的用用户是否否是其所所声称的的身份。从而使使得网上上安全的的信息传传输无法法得到保保障。利利用身份份认证技技术可以以很好地地解决这这个问题题。当需需要验证证通信对对方身份份时,我我们将他他的身份份标识X
6、.5099证书(X.5509以以公钥密密码术和和数字签签名的使使用为基基础)发送给给权威机机构(CCA)要要求验证证其合法法性。本本课题组组同时实实现了CCA服务务器的功功能,安安全Weeb站点点子系统统使用的的所有证证书都由由该CAA颁发。认证过过程如下下:在服务务器端,当服务务器接受受一个SSSL连连接请求求的时候候,如果果需要对对客户进进行认证证,即调调用认证证模块,与CAA服务器器建立连连接,发发送客户户证书要要求CAA进行认认证,并并等待认认证结果果,如果果证书为为合法的的,SSSL连接接建立成成功,否否则返回回出错信信息,SSSL连连接建立立失败;在客户户端,我我们将动动态认证证功
7、能加加入到安安全代理理中,当当客户第第一次连连接一个个安全服服务器,即创建建一个SSSL会会话的时时候,我我们在接接收到服服务器证证书后,即调用用认证模模块,传传递服务务器证书书给CAA进行认认证,原原理同服服务器端端。2.4客客户端SSSL安安全代理理 由于受受美国政政府出口口管理条条例的限限制,大大多数WWeb浏浏览器如如Intternnet, Expplorrer, Nettscaape Navvigaatorr的国际际版本只只支持556位以以下的弱弱加密算算法,这这对于传传输重要要数据(如金融融数据)是远远远不够的的 ,国国内电子子商务、政府上上网的发发展迫切切需要具具有自主主知识产产
8、权的安安全增强强软件。我们的的客户端端SSLL通讯安安全代理理就是为为满足这这一需求求而开发发的,它它的实现现基于OOpennSSLL0.99.6,利用了了大量由由其提供供的函数数库。SSL通通讯安全全代理(以下简简称“安安全代理理”)以以Webb通讯代代理(WWeb Prooxy)的形式式,为浏浏览器提提供高强强度(1128位位以上)的数据据加密能能力,可可作为安安全应用用系统客客户端的的数据安安全支撑撑平台。安全代代理与WWeb浏浏览器安安装在同同一台计计算机上上,当浏浏览器要要与远端端Webb服务器器建立安安全连接接时,它它向安全全代理发发出请求求,由安安全代理理负责与与远端WWeb服服
9、务器建建立连接接。连接接建立后后,浏览览器与服服务器之之间的数数据传输输是经过过安全代代理转发发完成的的。浏览览器与安安全代理理之间的的数据传传输是用用浏览器器本身支支持的弱弱加密算算法加密密的,而而安全代代理与远远端Weeb服务务器之间间的数据据传输则则是用高高强度的的数据加加密算法法加密的的。如图图2所示示:图2 web浏览器与web服务器之间的握手示意图 2.4.1具体体功能:(1)身身份认证证 在连连接上SSSL安安全代理理服务器器后,接接受服务务器的证证书以核核实服务务器的身身份,代代表客户户端向服服务器发发送客户户证书,并协商商该次传传输采用用的加密密算法及及相关的的对称密密钥.在
10、在此过程程中,任任何可能能的错误误都会导导致连接接取消,以保证证数据安安全。(2)加加密功能能 用户户应用程程序发送送给网络络服务器器的数据据流,在在通过SSSL安安全代客客户端时时被加密密转换成成SSLL协议下下的密文文。(3)解解密功能能 从SSSL安安全代理理服务器器出来的的加密数数据流,首先被被SSLL安全代代理解密密,用户户应用程程序受到到的仍是是明文。(4)证证书管理理 提供供方便、美观的的图形界界面管理理CA和和用户的的证书,能够添添加、删删除、查查看证书书。2.4.2使用用安全代代理访问安全全Webb服务器器需要验验证个人人证书。当初次次登录安安全服务务器,安安全代理理要求用用
11、户提交交自己的的个人证证书,同同时键入入证书的的私钥保保护密码码,安全全代理利利用提交交的个人人证书自自动与要要访问的的Web服务务器建立立SSLL连接。25存存储加密密技术对于WEEB上的的秘密信信息,既既要保证证传输过过程中的的安全性性,又要要保证存存储介质质上的安安全性,有效防防止线路路上的偷偷听、篡篡改以及及黑客侵侵入主机机盗取机机密信息息。采用用存储加加密技术术,将机机密信息息加密后后存储,访问者者只有在在通过身身份认证证后,并并且具有有同等访访问权限限,加密密信息才才能自动动解密后后通过SSSL信信道传输输,否则则用户无无法访问问机密信信息。即即便黑客客侵入系系统,得得到的也也只是
12、一一串毫无无意义的的乱码,无法将将密文还还原。具具体的实实现包括括Webb服务器器私钥的的存储访访问模块块,机密密文件的的加密存存储模块块,机密密文件的的访问控控制、身身份认证证、解密密模块。要实现在在Intternnet上上维护数数据库,该网站站需将浏浏览器端端指定的的文件上上载到服服务器上上,其中中部分文文件是保保密的,所以需需要上载载这些文文件到服服务器加加密后存存储。用用户上载载时需指指定加密密文件在在服务器器上存放放地址,文件上上载后调调用PHHP程序序进行处处理,在在PHPP脚本中中调用eencrryptt加密程程序,根根据用户户的需要要采用不不同的对对称加密密算法和和加密强强度对
13、文文件进行行加密存存储,同同时也能能对加密密文件进进行解密密。文件件密级分分为绝密密级、秘秘密级、机密级级和无密密级。对对文件加加密密钥钥的加密密都采用用RSAA算法,用weeb服务务器的公公钥(110244位)进进行加密密,对文文件加密密密钥的的解密则则用weeb服务务器的私私钥。3其他他安全措措施3.1操操作员管管理管理网站站只容许许持有合合法个人人证书的的用户登登录并且且网站的的内容采采取分级级访问控控制技术术。网站站管理员员分为系系统管理理员和一一般操作作员两个个级别。系统管管理员具具有操作作本管理理网站的的所有权权限,而而一般操操作员只只可以操操作除系系统管理理(操作作员管理理、日志
14、管理理、系统统维护等等)外的的其他功功能。操操作员的的信息都都存于一一个coontrrolller数数据表中中。管理理员权限限验证流流程如图图3所示示:获取个人证书析取证书,提取证书中的email:p(email是证书的唯一标识)在controller表中查询是否存在p否无权限是返回用户级别图3 管理员权限验证流程3.2日日志为保证数数据库的的安全,必须对对管理员员的行为为进行监监督,在在管理网网站中的的日志记记录了谁谁在何时时对何种种数据表表做了何何种修改改。这样样一旦数数据库被被任一个个管理员员做了错错误修改改后可以以跟踪其其证书从从而追查查其责任任,实现现了不可可抵赖性性。 4结束语语 四川川省政府府采购网网站是为为配合被被称为“阳光下下的交易易”的政府府采购制制度的开开展而研研究、开开发的政政府采购购网络系系统。本本文提出出了保证证政府采采购网站站的一种种安全策策略:通通过身份份认证可可以防范范非法人人员访问问该网站站;经过过SSLL传输加加密可以以保证数数据传输输安全;采用文文件存储储加密可可以保证证服务器器
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 航天大数据技术应用知识考试复习题库(附答案)
- 智能家居产品技术规范协议书
- 羽毛球培训课程研发合同
- 2026秋统编版(新)小学道德与法治二年级上册《家乡新变化》同步练习及答案
- 2026年天猫精灵测试题及答案
- 2026年团队合作面试测试题及答案
- 2026年过秦论的课后测试题及答案
- 2026年猴王出世测试题及答案
- 2026年九下英语期末测试题及答案
- 2026年快消ai测试题及答案
- 房地产企业资质申报:质量保证体系情况说明
- 数字人民币运营管理中心有限公司招聘笔试题库2026
- 气切病人脱机训练
- 2026心理危机干预课件
- 内衣采购员管理制度
- 特种设备作业人员资格复审申请表
- 2025年肇庆学院辅导员招聘考试真题汇编附答案
- 国企贸易内控制度
- 小学群文阅读培训课件
- 2025银行合规管理岗位考试真题及答案
- 2026年企业所得税关联交易定价原则应用与转让定价文档准备指南
评论
0/150
提交评论