政府采購網(wǎng)站中的安全策略

上傳人:xins****2008 文檔編號:44854460 上傳時間:2021-12-06 格式:DOCX 頁數(shù):4 大小:102.66KB
收藏 版權申訴 舉報 下載
政府采購網(wǎng)站中的安全策略_第1頁
第1頁 / 共4頁
政府采購網(wǎng)站中的安全策略_第2頁
第2頁 / 共4頁
政府采購網(wǎng)站中的安全策略_第3頁
第3頁 / 共4頁

下載文檔到電腦,查找使用更方便

5 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《政府采購網(wǎng)站中的安全策略》由會員分享,可在線閱讀,更多相關《政府采購網(wǎng)站中的安全策略(4頁珍藏版)》請在裝配圖網(wǎng)上搜索。

1、政府采購網(wǎng)站中的安全策略* 本文承蒙四川省重點項目基金的支持。鮮婷 李濤 伍良富 甘玲 顧婷婷* 李濤:教授,研究方向:計算機網(wǎng)絡安全,人工智能。伍良富:副教授。鮮婷、甘玲、顧婷婷:碩士研究生。(四川大學(西區(qū))計算機系 成都 610065)摘要:本文提出了保證政府采購網(wǎng)站安全的多種措施:身份認證可以防范非法人員訪問該網(wǎng)站;SSL傳輸加密可以保證數(shù)據(jù)傳輸安全;文件存儲加密可以保證服務器被攻占后數(shù)據(jù)不被竊?。贿€通過操作員管理和日志進一步保證網(wǎng)站的安全。關鍵字:身份認證 SSL安全代理 存儲加密 政府采購1 引言政府作為信息資源的最大擁有者和使用者,政府上網(wǎng)已成為我國信息技術推廣使用的一個熱點。四

2、川省政府采購網(wǎng)站的建立使政府招標成為真正意義上的“陽光下的交易”。其中包括兩部分:面向大眾的四川省政府采購網(wǎng)站和面向網(wǎng)站維護人員的四川省政府采購管理系統(tǒng)。前者是四川省政府采購官方網(wǎng)站,完成四川省政府采購中心的采購信息的發(fā)布和提供與采購相關的服務。政府采購網(wǎng)站管理系統(tǒng)主要完成四川政府采購網(wǎng)站的后臺數(shù)據(jù)庫管理,實現(xiàn)了在Internet上直接維護數(shù)據(jù)庫,可以跨地域動態(tài)實時地更新數(shù)據(jù)庫,并通過身份認證、SSL傳輸加密、和文件存儲加密等保證了該網(wǎng)站的安全性。本文重點討論其中有關的安全策略。2 安全網(wǎng)站的一種實現(xiàn)模型2.1四川省政府采購網(wǎng)站的安全體系結構圖1為四川省政府采購網(wǎng)站的體系結構。該體系中涉及到的

3、網(wǎng)絡安全及應用軟件有:防火墻(帶包過濾、路由、IDS、VPN和地址重定向)、存儲加密及傳輸加密系統(tǒng)、證書管理中心(包括注冊中心RA、認證中心CA)、安全電子郵件帳戶管理系統(tǒng),雞毛信(安全電子郵件),安全文件下載系統(tǒng)(以上軟件系本實驗室獨立開發(fā),具自主知識產權)。以下介紹該安全網(wǎng)站的核心技術。Internets認證中心CA郵件服務器帶包過濾、路由、V PN、IDS和地址重定向的防火墻外圍網(wǎng)傳輸加密 帶包過濾、路由、VPN、IDS和地址重定向的防火墻存儲加密WWW服務器內部網(wǎng)BrowserBrowser數(shù)據(jù)庫服務器其他服務器注冊中心RA證書注冊客戶機圖1 安全WEB站體系結構2.2 管理網(wǎng)站運行環(huán)

4、境四川省政府采購網(wǎng)站管理系統(tǒng)是一個基于Web的數(shù)據(jù)庫應用系統(tǒng),系統(tǒng)的運行平臺為Linux,使用帶有PHP模塊的Apache +SSL服務器提供Web服務,腳本語言采用PHP,后臺數(shù)據(jù)庫使用MySQL數(shù)據(jù)庫。管理網(wǎng)站運行在https上,只有擁有合法個人證書和操作權限的用戶才能使用該網(wǎng)站。2.3 身份認證技術 由于傳統(tǒng)TCP/IP協(xié)議固有的安全缺陷,用戶無法確認自己訪問的WEB站點是否是自己要訪問的站點(黑客可以冒用合法的URL地址),而WEB服務器也無法確認訪問的用戶是否是其所聲稱的身份。從而使得網(wǎng)上安全的信息傳輸無法得到保障。利用身份認證技術可以很好地解決這個問題。當需要驗證通信對方身份時,我

5、們將他的身份標識X.509證書(X.509以公鑰密碼術和數(shù)字簽名的使用為基礎)發(fā)送給權威機構(CA)要求驗證其合法性。本課題組同時實現(xiàn)了CA服務器的功能,安全Web站點子系統(tǒng)使用的所有證書都由該CA頒發(fā)。認證過程如下:在服務器端,當服務器接受一個SSL連接請求的時候,如果需要對客戶進行認證,即調用認證模塊,與CA服務器建立連接,發(fā)送客戶證書要求CA進行認證,并等待認證結果,如果證書為合法的,SSL連接建立成功,否則返回出錯信息,SSL連接建立失?。辉诳蛻舳?,我們將動態(tài)認證功能加入到安全代理中,當客戶第一次連接一個安全服務器,即創(chuàng)建一個SSL會話的時候,我們在接收到服務器證書后,即調用認證模塊,

6、傳遞服務器證書給CA進行認證,原理同服務器端。2.4客戶端SSL安全代理 由于受美國政府出口管理條例的限制,大多數(shù)Web瀏覽器如Internet, Explorer, Netscape Navigator的國際版本只支持56位以下的弱加密算法,這對于傳輸重要數(shù)據(jù)(如金融數(shù)據(jù))是遠遠不夠的 ,國內電子商務、政府上網(wǎng)的發(fā)展迫切需要具有自主知識產權的安全增強軟件。我們的客戶端SSL通訊安全代理就是為滿足這一需求而開發(fā)的,它的實現(xiàn)基于OpenSSL0.9.6,利用了大量由其提供的函數(shù)庫。SSL通訊安全代理(以下簡稱“安全代理”)以Web通訊代理(Web Proxy)的形式,為瀏覽器提供高強度(128位

7、以上)的數(shù)據(jù)加密能力,可作為安全應用系統(tǒng)客戶端的數(shù)據(jù)安全支撐平臺。安全代理與Web瀏覽器安裝在同一臺計算機上,當瀏覽器要與遠端Web服務器建立安全連接時,它向安全代理發(fā)出請求,由安全代理負責與遠端Web服務器建立連接。連接建立后,瀏覽器與服務器之間的數(shù)據(jù)傳輸是經過安全代理轉發(fā)完成的。瀏覽器與安全代理之間的數(shù)據(jù)傳輸是用瀏覽器本身支持的弱加密算法加密的,而安全代理與遠端Web服務器之間的數(shù)據(jù)傳輸則是用高強度的數(shù)據(jù)加密算法加密的。如圖2所示:圖2 web瀏覽器與web服務器之間的握手示意圖 2.4.1具體功能:(1)身份認證 在連接上SSL安全代理服務器后,接受服務器的證書以核實服務器的身份,代表客

8、戶端向服務器發(fā)送客戶證書,并協(xié)商該次傳輸采用的加密算法及相關的對稱密鑰.在此過程中,任何可能的錯誤都會導致連接取消,以保證數(shù)據(jù)安全。(2)加密功能 用戶應用程序發(fā)送給網(wǎng)絡服務器的數(shù)據(jù)流,在通過SSL安全代客戶端時被加密轉換成SSL協(xié)議下的密文。(3)解密功能 從SSL安全代理服務器出來的加密數(shù)據(jù)流,首先被SSL安全代理解密,用戶應用程序受到的仍是明文。(4)證書管理 提供方便、美觀的圖形界面管理CA和用戶的證書,能夠添加、刪除、查看證書。2.4.2使用安全代理訪問安全Web服務器需要驗證個人證書。當初次登錄安全服務器,安全代理要求用戶提交自己的個人證書,同時鍵入證書的私鑰保護密碼,安全代理利用

9、提交的個人證書自動與要訪問的Web服務器建立SSL連接。25存儲加密技術對于WEB上的秘密信息,既要保證傳輸過程中的安全性,又要保證存儲介質上的安全性,有效防止線路上的偷聽、篡改以及黑客侵入主機盜取機密信息。采用存儲加密技術,將機密信息加密后存儲,訪問者只有在通過身份認證后,并且具有同等訪問權限,加密信息才能自動解密后通過SSL信道傳輸,否則用戶無法訪問機密信息。即便黑客侵入系統(tǒng),得到的也只是一串毫無意義的亂碼,無法將密文還原。具體的實現(xiàn)包括Web服務器私鑰的存儲訪問模塊,機密文件的加密存儲模塊,機密文件的訪問控制、身份認證、解密模塊。要實現(xiàn)在Internet上維護數(shù)據(jù)庫,該網(wǎng)站需將瀏覽器端指

10、定的文件上載到服務器上,其中部分文件是保密的,所以需要上載這些文件到服務器加密后存儲。用戶上載時需指定加密文件在服務器上存放地址,文件上載后調用PHP程序進行處理,在PHP腳本中調用encrypt加密程序,根據(jù)用戶的需要采用不同的對稱加密算法和加密強度對文件進行加密存儲,同時也能對加密文件進行解密。文件密級分為絕密級、秘密級、機密級和無密級。對文件加密密鑰的加密都采用RSA算法,用web服務器的公鑰(1024位)進行加密,對文件加密密鑰的解密則用web服務器的私鑰。3其他安全措施3.1操作員管理管理網(wǎng)站只容許持有合法個人證書的用戶登錄并且網(wǎng)站的內容采取分級訪問控制技術。網(wǎng)站管理員分為系統(tǒng)管理員

11、和一般操作員兩個級別。系統(tǒng)管理員具有操作本管理網(wǎng)站的所有權限,而一般操作員只可以操作除系統(tǒng)管理(操作員管理、日志管理、系統(tǒng)維護等)外的其他功能。操作員的信息都存于一個controller數(shù)據(jù)表中。管理員權限驗證流程如圖3所示:獲取個人證書析取證書,提取證書中的email:p(email是證書的唯一標識)在controller表中查詢是否存在p否無權限是返回用戶級別圖3 管理員權限驗證流程3.2日志為保證數(shù)據(jù)庫的安全,必須對管理員的行為進行監(jiān)督,在管理網(wǎng)站中的日志記錄了誰在何時對何種數(shù)據(jù)表做了何種修改。這樣一旦數(shù)據(jù)庫被任一個管理員做了錯誤修改后可以跟蹤其證書從而追查其責任,實現(xiàn)了不可抵賴性。 4

12、結束語 四川省政府采購網(wǎng)站是為配合被稱為“陽光下的交易”的政府采購制度的開展而研究、開發(fā)的政府采購網(wǎng)絡系統(tǒng)。本文提出了保證政府采購網(wǎng)站的一種安全策略:通過身份認證可以防范非法人員訪問該網(wǎng)站;經過SSL傳輸加密可以保證數(shù)據(jù)傳輸安全;采用文件存儲加密可以保證服務器被攻占后數(shù)據(jù)不被竊?。徊⑼ㄟ^操作員管理和日志進一步保證網(wǎng)站的安全。參 考 文 獻1 William Stallings 著 瀟湘工作室譯,網(wǎng)絡安全要素應用與標準, 人民郵電出版社,2000,92 李香敏 主編 徐建峰 郭力戎等 編著,用Linux組建電子商務網(wǎng)站,北京希望電子出版社,2000.123 冷麗琴。安全Web網(wǎng)站網(wǎng)站的一種實現(xiàn)模型SWM,碩士論文

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

相關資源

更多
正為您匹配相似的精品文檔
關于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網(wǎng)安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對上載內容本身不做任何修改或編輯。若文檔所含內容侵犯了您的版權或隱私,請立即通知裝配圖網(wǎng),我們立即給予刪除!