第一章 绪论
1.1 研究背景和意义
政府部门的信息化建设是国家信息建设的重要组成部分,也是我国行政管理能力水平的重要体现。政府部门的信息化建设程度的高低对国民经济的发展有着直接的影响。政府部门信息化建设的不断开展必定需要修订原有的管理规章制度,改进原有业务流程。随着国际互联网的出现和迅速发展,一个全新的网络化、信息化和自动化社会正在形成[1]。随着社会的不断开放和发展,政府部门也正在经历从管理型向管理服务型的转变过程。正是由于这种转变的必然性,政府部门信息化对于如何更好地为人民服务,如何更好地提高政府机关运行效率、提高政策透明度等方面有着及其重要的作用。但是有一部分保密要求较高的政府部门的信息化建设相对滞后,甚至从某种意义上在说,是信息化所提倡的信息共享与其传统保密要求相互冲突[2]。这类单位和部门的信息化进程与其他单位或部门截然不同,效率和便捷在这里不再是首要考虑目标,安全保密才是信息化建设的首要保障,这不仅仅体现在对信息化建设内容的要求,也体现在对信息化建设过程的要求。如何充分利用信息技术,既能符合安全保密要求,又能提高实际工作效率是摆在各具有保密需求的单位面前的一道难题。本文是基于具有迫切的机密文件资料集中安全存储需求,同时由于当前市场上没有使用方便、满足某政府机关办公安全需求的相关产品的情况下,提出了一个具有高技术含量、安全可靠、可大面积推广使用的系统建设方案,并予以实施。
……………
1.2 国内外研究现状
1.2.1 国内外 PKI 系统建设情况
随着网络技术的发展,网络安全越来越受到大家的关注,PKI (Public KeyInfrastructure 公钥基础设施)技术是目前唯一能够全面解决网络安全问题的可行方案[3]。网络许多应用已经在使用 PKI 技术以保证网络的认证、非否认、加解密和密钥管理等[4]。网络,特别是 Internet 网络的安全应用已经离不开 PKI 技术的支持。网络应用中的认证、加解密的密钥管理、非否认等服务仅有 PKI 技术才能够提供[5]。美联邦 PKI 筹委会成立于 1996 年[6],它由政府信息技术服务部、国家航空航天总署、国家标准技术研究所、国家安全部、国防部、交通部、财政部、农业部、劳动统计局和联邦网络委员会等 20 多个部、署共同组建而成[7]。美国联邦 PKI 是自下而上建立的一个非常庞大的 PKI 体系。联邦政府首先成功地在各联邦机构中分别使用了不同的 PKI 产品,PKI 产品的多样性有效提高了政府机构的工作效率,但同时也造成了各机构彼此之间难以互相操作的问题。为了增强彼此间合作,联邦政府计划联合各联邦机构中独立的 PKI/CA(Certificate Authority)共同组建美国联邦 PKI 体系[8]。加拿大政府的 PKI 体系结构是由政策管理机构(PMA)、中央认证机构(CCF)、一级 CA 和当地注册机构(LRA)组成的[9]。加拿大政府 PKI 体系是由若干个 CA组成,这些 CA 形成了树状结构,每个用户的公钥和身份验证的信息全部存放在证书中,证书签发的 CA 在每个证书上签名,包含的公钥证书对外公开。任何用户都能够方便地得到其他用户的公钥,通过公钥来验证该用户的签名,辨别真伪[10]。加拿大政府 PKI 体系是一个完全政府行为的公开密钥体系结构,它充分考虑了交易的私有性和安全性,并把保护交易的私有性和安全性列为信息高速公路上的首要问题[11]。
……………
第二章 数字证书与公钥基础设施
2.1 密码学基础
对称密钥加密算法也称秘密密钥加密算法(Secret Key Cryptography)或私钥加密算法(Private Key Cryptography)[33],只使用一个密钥,加密和解密使用相同密钥。显然,双方要先协商确定密钥之后才能开始传输,别人不应该知道这个密钥。图 2-1 显示了对称密钥加密算法的工作原理。简单说,发送方(A)用密钥将明文消息变成密文,接收方(B)用相同密钥将密文消息变成明文,从而得到原消息。数据加密标准(Data Encryption Standing,DES)[34]是近 20 年来使用的加密算法。后来随着计算机能力的不断发展,人们发现 DES 在安全性越来越脆弱,使得DES 的应用有所下降。DES 是个块加密算法,按 64 位块长加密数据,即把 64 位明文作为 DES 输入,产生 64 位密文输出。加密和解密使用相同的算法和密钥,只是稍作改变。密钥长度为 56 位。尽管 DES 的抗攻击不错,但随着计算机硬件的飞速进步,DES 也可以被破解。但由于 DES 已经被证明是相当好的加密算法,因此利用 DES 进行改进产生了两种主要变种,双重 DES 和三重 DES[35]。双重 DES 就是把 DES 通常要做的工作重复一遍。使用两个密钥 K1 和 K2.首先用 K1 对原明文进行 DES 加密,得到加密密文,然后用 K2 对加密密文再进行一次 DES,得到最终密文。
………
2.2 PKI/CA
PKI/CA 身份认证技术是以 PKI 公钥基础设施的建立为应用基础的[43]。PKI 从技术上解决了网络通信安全的种种障碍,是一种遵循标准的利用公钥进行加密的技术,它为信息安全技术的应用,特别是电子商务、安全访问控制等应用提供了一套安全基础平台的技术和规范,同时也提供了公钥加密和数字签名服务的系统或平台,从而保证网上数据的机密性、完整性、有效性、不可否认性。PKI 主要包括 X.509 格式的证书(X.509V3)和证书废止列表 CRL(X.509V2),CA/RA(registration authority)操作协议,CA 管理协议以及 CA 政策制定四个方面的内容[44]。CA 从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。从总体构架来看, PKI/CA 主要由最终用户、认证中心和注册机构来组成。其中安全认证系统----CA/RA 系统是 PKI 的核心。
…………
第三章 电子文档安全存储需求与总体设计.........19
3.1 电子文档安全存储系统组成 .........19
3.2 系统功能需求....21
3.3 框架设计 .....23
3.3.1 加密文件的多人共用技术设计 .......25
3.3.2 保险箱技术设计 ......28
3.4 系统安全性设计 .....29
3.5 本章小结 .....34
第四章 数据库的设计与实现.........35
4.1 表结构设计 .......35
4.2 表之间的关系 .........40
4.3 本章小结......40
第五章 服务器端的设计与实现.....41
5.1 服务器功能体系架构....41
5.2 服务器端的实现 .....42
5.3 服务器控制流程实现 .........43
5.4 技术要点 .....47
5.5 本章小结......50
第七章 系统测试
7.1 硬件环境
本章从功能和安全性两个方面对系统进行了测试,验证系统的可靠性和功能完备性。功能测试的内容包括服务器端和客户端两个方面,其中,服务器端的有用户注册、新增部门、审计信息查询、空间统计、版本升级,客户端的有目录逐级加载、网络保险箱接受参数、自动解锁、文件夹授权,这些项目测试均全部通过。安全测试主要考验系统对存储其中的文件的保护能力。测试结果表明,系统实现了对文件的存储保护和审计监控保护的功能,达到了设计要求。
…………
结论
本系统在特定部门应用成效明显,尤其是保密需求较高的政府部门。其一,政府部门传统意义上文档审批修改都是采用纸质文档进行的;其二,涉密电子文档的管理虽然有很多严格的管理规定,但是历来缺乏强制性的技术解决办法。本系统可从以下几个方面加强文档的管控,首先,在安全保密这个大前提下,该系统初步实现了无纸化办公,改变了原有工作模式,提高了工作效率。特别是本系统实现用户文件资料的网络集中安全存储和安全交换的功能,解决了个人文件在服务端存储的保密性问题。本系统主要适合有更高数据安全存储需求的用户,系统将安全的身份认证机制、灵活的授权方式与网络文件系统等技术完美结合在一起,不仅有效地加强了对文档的管控,更能够实现文档的集中管理,同时通过统一有效的备份机制使涉密文档可以更加放心的存储在文件服务器中,从而最终达到数据网络集中安全存储的目标。
……………
参考文献(略)