政府采購(gòu)網(wǎng)站中的安全策略

政府采購(gòu)網(wǎng)站中的安全策略* 本文承蒙四川省重點(diǎn)項(xiàng)目基金的支持。鮮婷 李濤 伍良富 甘玲 顧婷婷* 李濤：教授，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)安全，人工智能。伍良富：副教授。鮮婷、甘玲、顧婷婷：碩士研究生。（四川大學(xué)(西區(qū))計(jì)算機(jī)系 成都 610065）摘要：本文提出了保證政府采購(gòu)網(wǎng)站安全的多種措施：身份認(rèn)證可以防范非法人員訪(fǎng)問(wèn)該網(wǎng)站；SSL傳輸加密可以保證數(shù)據(jù)傳輸安全；文件存儲(chǔ)加密可以保證服務(wù)器被攻占后數(shù)據(jù)不被竊??；還通過(guò)操作員管理和日志進(jìn)一步保證網(wǎng)站的安全。關(guān)鍵字：身份認(rèn)證 SSL安全代理 存儲(chǔ)加密 政府采購(gòu)1 引言政府作為信息資源的最大擁有者和使用者，政府上網(wǎng)已成為我國(guó)信息技術(shù)推廣使用的一個(gè)熱點(diǎn)。四川省政府采購(gòu)網(wǎng)站的建立使政府招標(biāo)成為真正意義上的“陽(yáng)光下的交易”。其中包括兩部分：面向大眾的四川省政府采購(gòu)網(wǎng)站和面向網(wǎng)站維護(hù)人員的四川省政府采購(gòu)管理系統(tǒng)。前者是四川省政府采購(gòu)官方網(wǎng)站，完成四川省政府采購(gòu)中心的采購(gòu)信息的發(fā)布和提供與采購(gòu)相關(guān)的服務(wù)。政府采購(gòu)網(wǎng)站管理系統(tǒng)主要完成四川政府采購(gòu)網(wǎng)站的后臺(tái)數(shù)據(jù)庫(kù)管理,實(shí)現(xiàn)了在Internet上直接維護(hù)數(shù)據(jù)庫(kù),可以跨地域動(dòng)態(tài)實(shí)時(shí)地更新數(shù)據(jù)庫(kù),并通過(guò)身份認(rèn)證、SSL傳輸加密、和文件存儲(chǔ)加密等保證了該網(wǎng)站的安全性。本文重點(diǎn)討論其中有關(guān)的安全策略。2 安全網(wǎng)站的一種實(shí)現(xiàn)模型2.1四川省政府采購(gòu)網(wǎng)站的安全體系結(jié)構(gòu)圖1為四川省政府采購(gòu)網(wǎng)站的體系結(jié)構(gòu)。該體系中涉及到的網(wǎng)絡(luò)安全及應(yīng)用軟件有：防火墻（帶包過(guò)濾、路由、IDS、VPN和地址重定向）、存儲(chǔ)加密及傳輸加密系統(tǒng)、證書(shū)管理中心（包括注冊(cè)中心RA、認(rèn)證中心CA）、安全電子郵件帳戶(hù)管理系統(tǒng)，雞毛信（安全電子郵件），安全文件下載系統(tǒng)（以上軟件系本實(shí)驗(yàn)室獨(dú)立開(kāi)發(fā)，具自主知識(shí)產(chǎn)權(quán)）。以下介紹該安全網(wǎng)站的核心技術(shù)。Internets認(rèn)證中心CA郵件服務(wù)器帶包過(guò)濾、路由、V PN、IDS和地址重定向的防火墻外圍網(wǎng)傳輸加密 帶包過(guò)濾、路由、VPN、IDS和地址重定向的防火墻存儲(chǔ)加密WWW服務(wù)器內(nèi)部網(wǎng)BrowserBrowser數(shù)據(jù)庫(kù)服務(wù)器其他服務(wù)器注冊(cè)中心RA證書(shū)注冊(cè)客戶(hù)機(jī)圖1 安全WEB站體系結(jié)構(gòu)2.2 管理網(wǎng)站運(yùn)行環(huán)境四川省政府采購(gòu)網(wǎng)站管理系統(tǒng)是一個(gè)基于Web的數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)，系統(tǒng)的運(yùn)行平臺(tái)為L(zhǎng)inux,使用帶有PHP模塊的Apache +SSL服務(wù)器提供Web服務(wù)，腳本語(yǔ)言采用PHP，后臺(tái)數(shù)據(jù)庫(kù)使用MySQL數(shù)據(jù)庫(kù)。管理網(wǎng)站運(yùn)行在https上，只有擁有合法個(gè)人證書(shū)和操作權(quán)限的用戶(hù)才能使用該網(wǎng)站。2.3 身份認(rèn)證技術(shù) 由于傳統(tǒng)TCP/IP協(xié)議固有的安全缺陷，用戶(hù)無(wú)法確認(rèn)自己訪(fǎng)問(wèn)的WEB站點(diǎn)是否是自己要訪(fǎng)問(wèn)的站點(diǎn)（黑客可以冒用合法的URL地址），而WEB服務(wù)器也無(wú)法確認(rèn)訪(fǎng)問(wèn)的用戶(hù)是否是其所聲稱(chēng)的身份。從而使得網(wǎng)上安全的信息傳輸無(wú)法得到保障。利用身份認(rèn)證技術(shù)可以很好地解決這個(gè)問(wèn)題。當(dāng)需要驗(yàn)證通信對(duì)方身份時(shí)，我們將他的身份標(biāo)識(shí)X.509證書(shū)（X.509以公鑰密碼術(shù)和數(shù)字簽名的使用為基礎(chǔ)）發(fā)送給權(quán)威機(jī)構(gòu)（CA）要求驗(yàn)證其合法性。本課題組同時(shí)實(shí)現(xiàn)了CA服務(wù)器的功能，安全Web站點(diǎn)子系統(tǒng)使用的所有證書(shū)都由該CA頒發(fā)。認(rèn)證過(guò)程如下:在服務(wù)器端，當(dāng)服務(wù)器接受一個(gè)SSL連接請(qǐng)求的時(shí)候，如果需要對(duì)客戶(hù)進(jìn)行認(rèn)證，即調(diào)用認(rèn)證模塊，與CA服務(wù)器建立連接，發(fā)送客戶(hù)證書(shū)要求CA進(jìn)行認(rèn)證，并等待認(rèn)證結(jié)果，如果證書(shū)為合法的，SSL連接建立成功，否則返回出錯(cuò)信息，SSL連接建立失??；在客戶(hù)端，我們將動(dòng)態(tài)認(rèn)證功能加入到安全代理中，當(dāng)客戶(hù)第一次連接一個(gè)安全服務(wù)器，即創(chuàng)建一個(gè)SSL會(huì)話(huà)的時(shí)候，我們?cè)诮邮盏椒?wù)器證書(shū)后，即調(diào)用認(rèn)證模塊，傳遞服務(wù)器證書(shū)給CA進(jìn)行認(rèn)證，原理同服務(wù)器端。2.4客戶(hù)端SSL安全代理 由于受美國(guó)政府出口管理?xiàng)l例的限制，大多數(shù)Web瀏覽器如Internet, Explorer, Netscape Navigator的國(guó)際版本只支持56位以下的弱加密算法，這對(duì)于傳輸重要數(shù)據(jù)（如金融數(shù)據(jù)）是遠(yuǎn)遠(yuǎn)不夠的 ，國(guó)內(nèi)電子商務(wù)、政府上網(wǎng)的發(fā)展迫切需要具有自主知識(shí)產(chǎn)權(quán)的安全增強(qiáng)軟件。我們的客戶(hù)端SSL通訊安全代理就是為滿(mǎn)足這一需求而開(kāi)發(fā)的，它的實(shí)現(xiàn)基于OpenSSL0.9.6,利用了大量由其提供的函數(shù)庫(kù)。SSL通訊安全代理（以下簡(jiǎn)稱(chēng)“安全代理”）以Web通訊代理（Web Proxy）的形式，為瀏覽器提供高強(qiáng)度（128位以上）的數(shù)據(jù)加密能力，可作為安全應(yīng)用系統(tǒng)客戶(hù)端的數(shù)據(jù)安全支撐平臺(tái)。安全代理與Web瀏覽器安裝在同一臺(tái)計(jì)算機(jī)上，當(dāng)瀏覽器要與遠(yuǎn)端Web服務(wù)器建立安全連接時(shí)，它向安全代理發(fā)出請(qǐng)求，由安全代理負(fù)責(zé)與遠(yuǎn)端Web服務(wù)器建立連接。連接建立后，瀏覽器與服務(wù)器之間的數(shù)據(jù)傳輸是經(jīng)過(guò)安全代理轉(zhuǎn)發(fā)完成的。瀏覽器與安全代理之間的數(shù)據(jù)傳輸是用瀏覽器本身支持的弱加密算法加密的，而安全代理與遠(yuǎn)端Web服務(wù)器之間的數(shù)據(jù)傳輸則是用高強(qiáng)度的數(shù)據(jù)加密算法加密的。如圖2所示：圖2 web瀏覽器與web服務(wù)器之間的握手示意圖 2.4.1具體功能:(1)身份認(rèn)證 在連接上SSL安全代理服務(wù)器后,接受服務(wù)器的證書(shū)以核實(shí)服務(wù)器的身份,代表客戶(hù)端向服務(wù)器發(fā)送客戶(hù)證書(shū),并協(xié)商該次傳輸采用的加密算法及相關(guān)的對(duì)稱(chēng)密鑰.在此過(guò)程中,任何可能的錯(cuò)誤都會(huì)導(dǎo)致連接取消,以保證數(shù)據(jù)安全。(2)加密功能 用戶(hù)應(yīng)用程序發(fā)送給網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)流，在通過(guò)SSL安全代客戶(hù)端時(shí)被加密轉(zhuǎn)換成SSL協(xié)議下的密文。(3)解密功能 從SSL安全代理服務(wù)器出來(lái)的加密數(shù)據(jù)流，首先被SSL安全代理解密，用戶(hù)應(yīng)用程序受到的仍是明文。(4)證書(shū)管理 提供方便、美觀的圖形界面管理CA和用戶(hù)的證書(shū)，能夠添加、刪除、查看證書(shū)。2.4.2使用安全代理訪(fǎng)問(wèn)安全Web服務(wù)器需要驗(yàn)證個(gè)人證書(shū)。當(dāng)初次登錄安全服務(wù)器，安全代理要求用戶(hù)提交自己的個(gè)人證書(shū)，同時(shí)鍵入證書(shū)的私鑰保護(hù)密碼，安全代理利用提交的個(gè)人證書(shū)自動(dòng)與要訪(fǎng)問(wèn)的Web服務(wù)器建立SSL連接。25存儲(chǔ)加密技術(shù)對(duì)于WEB上的秘密信息，既要保證傳輸過(guò)程中的安全性,又要保證存儲(chǔ)介質(zhì)上的安全性,有效防止線(xiàn)路上的偷聽(tīng)、篡改以及黑客侵入主機(jī)盜取機(jī)密信息。采用存儲(chǔ)加密技術(shù)，將機(jī)密信息加密后存儲(chǔ)，訪(fǎng)問(wèn)者只有在通過(guò)身份認(rèn)證后，并且具有同等訪(fǎng)問(wèn)權(quán)限，加密信息才能自動(dòng)解密后通過(guò)SSL信道傳輸，否則用戶(hù)無(wú)法訪(fǎng)問(wèn)機(jī)密信息。即便黑客侵入系統(tǒng)，得到的也只是一串毫無(wú)意義的亂碼，無(wú)法將密文還原。具體的實(shí)現(xiàn)包括Web服務(wù)器私鑰的存儲(chǔ)訪(fǎng)問(wèn)模塊，機(jī)密文件的加密存儲(chǔ)模塊，機(jī)密文件的訪(fǎng)問(wèn)控制、身份認(rèn)證、解密模塊。要實(shí)現(xiàn)在Internet上維護(hù)數(shù)據(jù)庫(kù)，該網(wǎng)站需將瀏覽器端指定的文件上載到服務(wù)器上，其中部分文件是保密的，所以需要上載這些文件到服務(wù)器加密后存儲(chǔ)。用戶(hù)上載時(shí)需指定加密文件在服務(wù)器上存放地址,文件上載后調(diào)用PHP程序進(jìn)行處理,在PHP腳本中調(diào)用encrypt加密程序,根據(jù)用戶(hù)的需要采用不同的對(duì)稱(chēng)加密算法和加密強(qiáng)度對(duì)文件進(jìn)行加密存儲(chǔ)，同時(shí)也能對(duì)加密文件進(jìn)行解密。文件密級(jí)分為絕密級(jí)、秘密級(jí)、機(jī)密級(jí)和無(wú)密級(jí)。對(duì)文件加密密鑰的加密都采用RSA算法，用web服務(wù)器的公鑰（1024位）進(jìn)行加密，對(duì)文件加密密鑰的解密則用web服務(wù)器的私鑰。3其他安全措施3.1操作員管理管理網(wǎng)站只容許持有合法個(gè)人證書(shū)的用戶(hù)登錄并且網(wǎng)站的內(nèi)容采取分級(jí)訪(fǎng)問(wèn)控制技術(shù)。網(wǎng)站管理員分為系統(tǒng)管理員和一般操作員兩個(gè)級(jí)別。系統(tǒng)管理員具有操作本管理網(wǎng)站的所有權(quán)限，而一般操作員只可以操作除系統(tǒng)管理（操作員管理、日志管理、系統(tǒng)維護(hù)等）外的其他功能。操作員的信息都存于一個(gè)controller數(shù)據(jù)表中。管理員權(quán)限驗(yàn)證流程如圖3所示：獲取個(gè)人證書(shū)析取證書(shū)，提取證書(shū)中的email：p（email是證書(shū)的唯一標(biāo)識(shí)）在controller表中查詢(xún)是否存在p否無(wú)權(quán)限是返回用戶(hù)級(jí)別圖3 管理員權(quán)限驗(yàn)證流程3.2日志為保證數(shù)據(jù)庫(kù)的安全，必須對(duì)管理員的行為進(jìn)行監(jiān)督，在管理網(wǎng)站中的日志記錄了誰(shuí)在何時(shí)對(duì)何種數(shù)據(jù)表做了何種修改。這樣一旦數(shù)據(jù)庫(kù)被任一個(gè)管理員做了錯(cuò)誤修改后可以跟蹤其證書(shū)從而追查其責(zé)任，實(shí)現(xiàn)了不可抵賴(lài)性。 4結(jié)束語(yǔ) 四川省政府采購(gòu)網(wǎng)站是為配合被稱(chēng)為“陽(yáng)光下的交易”的政府采購(gòu)制度的開(kāi)展而研究、開(kāi)發(fā)的政府采購(gòu)網(wǎng)絡(luò)系統(tǒng)。本文提出了保證政府采購(gòu)網(wǎng)站的一種安全策略：通過(guò)身份認(rèn)證可以防范非法人員訪(fǎng)問(wèn)該網(wǎng)站；經(jīng)過(guò)SSL傳輸加密可以保證數(shù)據(jù)傳輸安全；采用文件存儲(chǔ)加密可以保證服務(wù)器被攻占后數(shù)據(jù)不被竊??；并通過(guò)操作員管理和日志進(jìn)一步保證網(wǎng)站的安全。參 考 文 獻(xiàn)1 William Stallings 著 瀟湘工作室譯，網(wǎng)絡(luò)安全要素應(yīng)用與標(biāo)準(zhǔn)， 人民郵電出版社,2000,92 李香敏 主編 徐建峰 郭力戎等 編著，用Linux組建電子商務(wù)網(wǎng)站，北京希望電子出版社,2000.123 冷麗琴。安全Web網(wǎng)站網(wǎng)站的一種實(shí)現(xiàn)模型SWM，碩士論文