校園數(shù)字化安全管理研究

隨著現(xiàn)代信息技術(shù)（尤其是網(wǎng)絡(luò)技術(shù)、現(xiàn)代教育技術(shù)和數(shù)據(jù)庫技術(shù)）的發(fā)展，數(shù)字校園在所有大學(xué)都很受歡迎。數(shù)字化校園是以網(wǎng)絡(luò)為基礎(chǔ),利用先進的計算機技術(shù)、網(wǎng)絡(luò)技術(shù)、通訊技術(shù),實現(xiàn)對學(xué)校與教學(xué)、科研、管理和生活服務(wù)有關(guān)的所有信息資源進行全面的數(shù)字化;并用科學(xué)規(guī)范的管理對這些信息資源進行整合和集成,以構(gòu)成統(tǒng)一的用戶管理、統(tǒng)一的資源管理和統(tǒng)一的權(quán)限控制,提升傳統(tǒng)校園的效率,擴展傳統(tǒng)校園的功能,最終實現(xiàn)教育過程的全面信息化。數(shù)字校園提供對學(xué)校包括行政辦公、教學(xué)管理、學(xué)習(xí)管理及后勤管理在內(nèi)的所有工作的信息化支持。數(shù)字化校園從出現(xiàn)開始,就面臨著各種各樣的安全威脅,包括:非法接入、IP欺騙、拒絕服務(wù)攻擊、中間人攻擊、木馬攻擊、網(wǎng)絡(luò)嗅探、信息垃圾等等。針對這些攻擊,人們已經(jīng)提出了一些切實可行的防范措施,但隨著數(shù)字化校園的發(fā)展,其安全的內(nèi)涵在不斷地延伸,傳統(tǒng)的信息安全技術(shù)致力于提供一個將信息數(shù)據(jù)全面納入安全管理的基礎(chǔ)框架,但在目前信息呈現(xiàn)爆炸性增長的情況下,信息安全技術(shù)應(yīng)該用來保障最具價值、最重要的信息數(shù)據(jù),從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認(rèn)性,進而又發(fā)展為“攻擊、防范、檢測、控制、管理、評估”等多方面的基礎(chǔ)理論和實施技術(shù)。身份認(rèn)證是數(shù)字化校園中防止非法進入的基本安全措施,目前比較流行的是基于Portal的統(tǒng)一身份認(rèn)證系統(tǒng)的實現(xiàn)方法。該方法由用戶登錄和注銷管理、用戶在不同應(yīng)用系統(tǒng)中的操作權(quán)限管理和各個應(yīng)用系統(tǒng)的信息管理三部分組成。用戶只需要進行一次登錄,就可以訪問到所有的授權(quán)服務(wù);所有的應(yīng)用系統(tǒng)可以提供統(tǒng)一的用戶管理。Portal的用戶權(quán)限管理能夠控制到頁面或Portlet具有基于Portal的統(tǒng)一身份認(rèn)證以及統(tǒng)一的信息門戶,這可以保證數(shù)據(jù)的及時性、數(shù)據(jù)信息的一致性、統(tǒng)一的賬號登錄以及使用的便利性。但這種簡單的用戶權(quán)限管理方法不能解決信息的不可偽造性和不可抵賴性,因為當(dāng)多個授權(quán)用戶對某項數(shù)據(jù)都具有修改權(quán)限時,不能有效區(qū)分是哪個用戶對數(shù)據(jù)進行了操作。如,教務(wù)管理系統(tǒng)中,授課老師給出了其所授班級的成績,而教務(wù)處管理員也具備對這些班級成績的修改權(quán),這樣,教務(wù)處管理員具有修改偽、造成績的權(quán)限,而教師也因為教務(wù)處管理員有這種權(quán)限而對其所犯的錯誤進行抵賴,有的學(xué)校甚至出現(xiàn)學(xué)生盜用了教師或管理員的用戶名和密碼后修改學(xué)生成績,許多學(xué)校因此而采取同時交一份紙質(zhì)的帶教師簽字的文檔來對其進行約束。將數(shù)字簽名技術(shù)引入到數(shù)字化校園,能夠確保信息的不可偽造性和不可抵賴性,提高了數(shù)字化校園的數(shù)據(jù)安全性和管理水平。1數(shù)字簽名技術(shù)數(shù)字簽名相對于手書簽名而言的,是對數(shù)據(jù)信息進行密碼變換或者附加一些數(shù)據(jù),并以此來確認(rèn)數(shù)據(jù)信息的來源和數(shù)據(jù)的完整性,并防止被人(例如接收者)偽造。數(shù)字簽名技術(shù)是建立在公開密鑰加密體制基礎(chǔ)上,經(jīng)多次驗證的較為理想的認(rèn)定技術(shù),是一種反事后抵賴的手段?；跀?shù)字簽名技術(shù)的特點,在數(shù)字化校園中有基于以下幾個方面的應(yīng)用需求:1.1驗證成績是否為自身的簽名教務(wù)管理中最重要的是學(xué)籍檔案的管理。教師在錄入學(xué)生成績后,需要對其錄入的成績進行數(shù)字簽名。教師本人若要對先前錄入的成績進行修改,首先需要驗證原始成績是否是其本人的簽名,若是,則可以進行修改,并在修改后重新簽名替代原來的簽名,如果不是,則拒絕修改。對于網(wǎng)絡(luò)管理員,他可以在數(shù)據(jù)庫的層面上對成績直接進行錄入或修改,但此時他無法得到合法的簽名,系統(tǒng)可以在驗證時判斷此成績?yōu)榉欠ㄤ浫牖蛐薷牡某煽儭?.2體內(nèi)簽署方對于學(xué)校一些重大政策、重要決議等,需要校領(lǐng)導(dǎo)集體中多位簽署后方能生效。一般而言,對于有n個人組成的學(xué)校領(lǐng)導(dǎo)集體,需要有其中的t人以上進行簽署,文件方可生效,這就需要一個科學(xué)的團隊簽名方案。1.3室和運用多級簽名目前,高校一般都采取多級管理機制,學(xué)校下面有院(系、處),而院(系、處)下面有科室和教研室。一般而言,行政審批一般要經(jīng)過自下向上多級簽字,多級簽名能適應(yīng)這種需要。這種多級簽名不是簡單地疊加多個簽名,簽名之間是有依賴關(guān)系的,例如校長看到了處長的簽名后才簽名批準(zhǔn),也就是說,校長的簽名依賴于處長的簽名,處長的簽名如果失效或撤出,校長經(jīng)理的簽名也應(yīng)失效。1.4數(shù)字簽名系統(tǒng)能區(qū)分簽名是授權(quán)和被授權(quán)者本人簽名校長由于出差、休假、生病等原因不能履行簽名職責(zé)時,需要指定某人代理他行使審批權(quán)利,因此需要數(shù)字簽名系統(tǒng)能進行簽名授權(quán),并能區(qū)分簽名是授權(quán)的,而不是其本人簽名。2簽名管理模塊圖1為一基于4層B/S模式的電子簽名系統(tǒng)模型,本系統(tǒng)模型中的用戶可以在局域網(wǎng)內(nèi),通過校園網(wǎng)訪問服務(wù)器的管理中心模塊進行用戶注冊和登記后,方可在網(wǎng)絡(luò)上新增和修改信息。Web服務(wù)器接到新增信息后,會調(diào)用應(yīng)用服務(wù)器的簽名模塊對用戶錄入的信息進行簽名,然后存入后臺數(shù)據(jù)庫中;如用戶需要修改信息,首先需要應(yīng)用服務(wù)器來證實信息是否為該用戶所有,如果是,則允許修改并重新簽名,如果不是,則拒絕修改。根據(jù)實際應(yīng)用的不同需求,應(yīng)用服務(wù)器分別調(diào)用單人簽名模塊、門限群簽名模塊、多級簽名模塊和代理簽名模塊等進行簽名模塊,不同的簽名模塊需要相應(yīng)的證實簽名管理模塊進行簽名證實。另外還需要一個用戶管理模塊來管理用戶相關(guān)信息和密鑰信息。簽名過程如圖2所示,用戶錄入的信息一方面送入數(shù)據(jù)庫保存,另一方面用MD5算法對其生成一個報文摘要(MD5函數(shù)值)。然后再用自己的私有密鑰對這個報文摘要進行簽名,并將簽名后的信息存入后臺數(shù)據(jù)庫。MD5算法可以將任意長度的“字節(jié)串”變換成一個定長的大整數(shù)(如128bit),它是一個不可逆的字符串變換算法,也不可能找到二個不同的輸入對應(yīng)同一個輸出,而且輸入的微小變化會導(dǎo)致輸出的強烈變化。因此可以通過檢查MD5函數(shù)值是否相同來檢測輸入字符串是否發(fā)生了改變。但MD5算法是公開的,非法用戶同樣可以將自己錄入或修改的信息進行MD5運算,并產(chǎn)生一個報文摘要,因此需要對報文摘要進行數(shù)字簽名。用戶用自己的私鑰對MD5所產(chǎn)生的報文摘要進行簽名,產(chǎn)生數(shù)字簽名信息,并將其存入后臺數(shù)據(jù)庫。由于私鑰只能為用戶本人所擁有,所以別人無法以其名義得到簽名,因而也就不能以其名義錄入和修改信息。如果需要修改數(shù)據(jù),在修改數(shù)據(jù)之前,需要檢驗以前的數(shù)據(jù)是否為本人所錄入,如果是,則允許修改,如果不是,則拒絕將新的信息存入數(shù)據(jù)庫。如果對數(shù)據(jù)庫中數(shù)據(jù)真實性產(chǎn)生懷疑時,也需要進行這種檢驗。檢驗的過程是將數(shù)據(jù)庫中的信息取出,并進行MD5運算,得到MD5函數(shù)值A(chǔ);再取出數(shù)據(jù)庫中保存的簽名信息,用公鑰進行驗證,得到MD5函數(shù)值B,如果MD5函數(shù)值A(chǔ)和MD5函數(shù)值B相同,則表示信息為該公鑰所有者錄入,否者表示信息不是該公鑰所有者錄入。這個過程如圖3所示。3簽名和驗證算法根據(jù)校園網(wǎng)絡(luò)應(yīng)用的不同需求,圖2和圖3中所采取的簽名和驗證算法也對應(yīng)不同,可采用單人簽名、門限簽名、多級簽名和代理簽名中的一種或某幾種的組合。3.1數(shù)字簽名的可信性單人簽名是最早出現(xiàn)的數(shù)字簽名形式,是數(shù)字簽名的基礎(chǔ),對于教務(wù)管理等只由某一個人對其負(fù)責(zé)的校園信息,可以采用單人數(shù)字簽名的方法來保證其安全。數(shù)字簽名具有以下幾方面特點:(1)簽名的可信性:接收者相信簽名者慎重地簽署了這份文件。(2)簽名不可偽造性:別人不能偽造簽名者簽名。(3)簽名不可重用性:偽造者不可能將簽名者的簽名從一個文件移到另一個文件上,從而模仿一個別人的簽名。(4)簽名的文件不可改變性:在文件簽名后,文件不能改變。(5)簽名的不可抵賴性:簽名者事后不能聲稱他沒有簽過名。單人數(shù)字簽名可采用RSA算法或DSA算法。RSA的安全性依賴于大數(shù)分解,DSA是基于整數(shù)有限域離散對數(shù)難題的,公鑰和私鑰都是兩個大素數(shù)的函數(shù),從一個密鑰和密文推斷出明文的難度等同于分解兩個大素數(shù)的積。3.2團體簽名密鑰將學(xué)校的重要文件或重大決策,由校黨委或校行政進行團隊門限簽名。假設(shè)團隊中共有n個成員,如果有其中任意m(m≥t)人進行了簽名,則簽名成功,在證實簽名時,如果用其中的m(m≥t)人公鑰成功驗證,則簽名有效,否則,簽名無效。這種團隊簽名,團體的簽名密鑰以(t,n)門限方案分散給多人管理有諸多優(yōu)點:(1)攻擊者要想得到數(shù)字簽名密鑰必須得到t個子密鑰,這通常比較困難。(2)即使某個或某些簽名人不合作不愿意出示子密鑰、泄露或篡改子密鑰或子密鑰丟失也不會影響簽名密鑰的恢復(fù)。(3)實現(xiàn)權(quán)力分配、避免濫用職權(quán):某些重大決定可能需要校黨委或校行政共同簽名方可生效。3.3多級簽名的種類對于自下而上的行政審批過程,應(yīng)采取多級簽名。先由申請者對信息進行簽名,再由院(系、處)領(lǐng)導(dǎo)進行簽名,最后由校領(lǐng)導(dǎo)簽名(或代理簽名)。(1)申請人簽名C1=EKRa(M1)(2)醫(yī)院系和部門負(fù)責(zé)人簽名C2=EKRb(M1,M2,C1)(3)申請人申請信息,院系、處領(lǐng)導(dǎo)簽署的意見C3=EKRc(M1,M2,M3,C2)其中,KRa、KRb、KRc分別是申請者、院(系、處)領(lǐng)導(dǎo)、校領(lǐng)導(dǎo)簽名的私鑰。M1、M2、M3分別是申請者的申請信息、院(系、處)領(lǐng)導(dǎo)簽署的意見和校領(lǐng)導(dǎo)簽署的意見。院(系、處)領(lǐng)導(dǎo)可以通過公鑰來驗證消息來自該申請者,并得到申請信息M1,校領(lǐng)導(dǎo)可以通過院(系、處)領(lǐng)導(dǎo)公鑰來驗證消息來自該院(系、處)領(lǐng)導(dǎo),并得到申請信息M1和院(系、處)領(lǐng)導(dǎo)意見M2,院(系、處)領(lǐng)導(dǎo)得到校領(lǐng)導(dǎo)的簽名后,也可以通過校領(lǐng)導(dǎo)公鑰來驗證消息確實來自該領(lǐng)導(dǎo),并查看領(lǐng)導(dǎo)的意見。3.4委托簽名的代理簽名代理簽名是這一問題解決方案。1996年,Mambo,Usuda和Okamoto提出了代理簽名的概念,給出了解決這個問題的一種方法。在一個代理簽名方案中,一個被指定的代理簽名者可以代表原始簽名者生成有效的代理簽名。當(dāng)某校領(lǐng)導(dǎo)由于某些原因不能親自簽名時,他需要委托相關(guān)人員進行簽名,這就是代理簽名。對于代理簽名,用該具備以下幾條性質(zhì):(1)可區(qū)別性:任何人都可區(qū)別這事委托者代理校領(lǐng)導(dǎo)進行了簽名,而不是校領(lǐng)導(dǎo)正常的簽名。(2)不可偽造性:只有該校領(lǐng)導(dǎo)和其指定的代理簽名者能夠產(chǎn)生有效的代理簽名。(3)可驗證性:驗證者能夠相信委托授權(quán)的校領(lǐng)導(dǎo)認(rèn)同了這份代理的簽名消息。(4)可識別性:委托簽名的校領(lǐng)導(dǎo)能夠從代理簽名中識別出這份簽名是他委托的簽名者代理簽名的。(5)不可抵賴性:代理簽名者不能否認(rèn)這個簽名是進行的代理簽名。4設(shè)置數(shù)字簽名密鑰中心不少數(shù)字簽名軟件(系統(tǒng))要求實施數(shù)字簽名的單位從外部的CA中心為每個需要數(shù)字簽名的員工申請數(shù)字證書,這樣做的主要好處是使簽名在超出本單位的范圍也能得到驗證和認(rèn)可。但單位必須為使用外部CA付出很高代價:(1)向CA中心定期交付數(shù)字證書費用;(2)單位內(nèi)實施數(shù)字簽名的計算機相關(guān)的服務(wù)器(如簽章庫)必須通過Internet連接到CA中心,在網(wǎng)絡(luò)傳輸?shù)倪^程中,單位還必須為此付出額外的防護代價;這樣的條件對許多單位并不容易接收。其實很多單位實施數(shù)字簽名只是希望簽名在單位范圍內(nèi)得到認(rèn)可。為了解決這一問題,學(xué)校必須為數(shù)字簽名應(yīng)用設(shè)計專門的密鑰中心。數(shù)字簽名密鑰中心系統(tǒng)的數(shù)據(jù)庫主要包含公鑰狀態(tài)列表(PKSL)、群成員身份信息表(GroupT)、用戶私人信息表(UserInfo)、前導(dǎo)實體表(FT)、代理實體表(PT)等。下面簡單介紹各表的結(jié)構(gòu)。(1)識平臺該表中包含4個字段,分別存放著用戶身份標(biāo)識(UserID),公鑰(Pk),公鑰啟用時間(Start-Time)和公鑰的廢除時間(End-Time)。(2)成員身份信息表集團t該表中包含2個字段,分別存放著用戶身份標(biāo)識(UserID),公鑰(Pk)。(3)添加屬性userid該表中存放著用戶的一些個人信息,包含用戶身份標(biāo)識(UserID),姓名(UserName),出生日期(BirthDay),性別(Sex),