政府采購網(wǎng)站中的安全策略* 本文承蒙四川省重點項目基金的支持。鮮婷 李濤 伍良富 甘玲 顧婷婷* 李濤：教授，研究方向：計算機網(wǎng)絡(luò)安全，人工智能。伍良富：副教授。鮮婷、甘玲、顧婷婷：碩士研究生。（四川大學(xué)(西區(qū))計算機系 成都 610065）摘要：本文提出了保證政府采購網(wǎng)站安全的多種措施：身份認證可以防范非法人員訪問該網(wǎng)站；SSL傳輸加密可以保證數(shù)據(jù)傳輸安全；文件存儲加密可以保證服務(wù)器被攻占后數(shù)據(jù)不被竊取；還通過操作員管理和日志進一步保證網(wǎng)站的安全。關(guān)鍵字：身份認證 SSL安全代理 存儲加密 政府采購1 引言政府作為信息資源的最大擁有者和使用者，政府上網(wǎng)已成為我國信息技術(shù)推廣使用的一個熱點。四川省政府采購網(wǎng)站的建立使政府招標成為真正意義上的“陽光下的交易”。其中包括兩部分：面向大眾的四川省政府采購網(wǎng)站和面向網(wǎng)站維護人員的四川省政府采購管理系統(tǒng)。前者是四川省政府采購官方網(wǎng)站，完成四川省政府采購中心的采購信息的發(fā)布和提供與采購相關(guān)的服務(wù)。政府采購網(wǎng)站管理系統(tǒng)主要完成四川政府采購網(wǎng)站的后臺數(shù)據(jù)庫管理,實現(xiàn)了在Internet上直接維護數(shù)據(jù)庫,可以跨地域動態(tài)實時地更新數(shù)據(jù)庫,并通過身份認證、SSL傳輸加密、和文件存儲加密等保證了該網(wǎng)站的安全性。本文重點討論其中有關(guān)的安全策略。2 安全網(wǎng)站的一種實現(xiàn)模型2.1四川省政府采購網(wǎng)站的安全體系結(jié)構(gòu)圖1為四川省政府采購網(wǎng)站的體系結(jié)構(gòu)。該體系中涉及到的網(wǎng)絡(luò)安全及應(yīng)用軟件有：防火墻（帶包過濾、路由、IDS、VPN和地址重定向）、存儲加密及傳輸加密系統(tǒng)、證書管理中心（包括注冊中心RA、認證中心CA）、安全電子郵件帳戶管理系統(tǒng)，雞毛信（安全電子郵件），安全文件下載系統(tǒng)（以上軟件系本實驗室獨立開發(fā)，具自主知識產(chǎn)權(quán)）。以下介紹該安全網(wǎng)站的核心技術(shù)。Internets認證中心CA郵件服務(wù)器帶包過濾、路由、V PN、IDS和地址重定向的防火墻外圍網(wǎng)傳輸加密 帶包過濾、路由、VPN、IDS和地址重定向的防火墻存儲加密WWW服務(wù)器內(nèi)部網(wǎng)BrowserBrowser數(shù)據(jù)庫服務(wù)器其他服務(wù)器注冊中心RA證書注冊客戶機圖1 安全WEB站體系結(jié)構(gòu)2.2 管理網(wǎng)站運行環(huán)境四川省政府采購網(wǎng)站管理系統(tǒng)是一個基于Web的數(shù)據(jù)庫應(yīng)用系統(tǒng)，系統(tǒng)的運行平臺為Linux,使用帶有PHP模塊的Apache +SSL服務(wù)器提供Web服務(wù)，腳本語言采用PHP，后臺數(shù)據(jù)庫使用MySQL數(shù)據(jù)庫。管理網(wǎng)站運行在https上，只有擁有合法個人證書和操作權(quán)限的用戶才能使用該網(wǎng)站。2.3 身份認證技術(shù) 由于傳統(tǒng)TCP/IP協(xié)議固有的安全缺陷，用戶無法確認自己訪問的WEB站點是否是自己要訪問的站點（黑客可以冒用合法的URL地址），而WEB服務(wù)器也無法確認訪問的用戶是否是其所聲稱的身份。從而使得網(wǎng)上安全的信息傳輸無法得到保障。利用身份認證技術(shù)可以很好地解決這個問題。當需要驗證通信對方身份時，我們將他的身份標識X.509證書（X.509以公鑰密碼術(shù)和數(shù)字簽名的使用為基礎(chǔ)）發(fā)送給權(quán)威機構(gòu)（CA）要求驗證其合法性。本課題組同時實現(xiàn)了CA服務(wù)器的功能，安全Web站點子系統(tǒng)使用的所有證書都由該CA頒發(fā)。認證過程如下:在服務(wù)器端，當服務(wù)器接受一個SSL連接請求的時候，如果需要對客戶進行認證，即調(diào)用認證模塊，與CA服務(wù)器建立連接，發(fā)送客戶證書要求CA進行認證，并等待認證結(jié)果，如果證書為合法的，SSL連接建立成功，否則返回出錯信息，SSL連接建立失?。辉诳蛻舳?，我們將動態(tài)認證功能加入到安全代理中，當客戶第一次連接一個安全服務(wù)器，即創(chuàng)建一個SSL會話的時候，我們在接收到服務(wù)器證書后，即調(diào)用認證模塊，傳遞服務(wù)器證書給CA進行認證，原理同服務(wù)器端。2.4客戶端SSL安全代理 由于受美國政府出口管理條例的限制，大多數(shù)Web瀏覽器如Internet, Explorer, Netscape Navigator的國際版本只支持56位以下的弱加密算法，這對于傳輸重要數(shù)據(jù)（如金融數(shù)據(jù)）是遠遠不夠的 ，國內(nèi)電子商務(wù)、政府上網(wǎng)的發(fā)展迫切需要具有自主知識產(chǎn)權(quán)的安全增強軟件。我們的客戶端SSL通訊安全代理就是為滿足這一需求而開發(fā)的，它的實現(xiàn)基于OpenSSL0.9.6,利用了大量由其提供的函數(shù)庫。SSL通訊安全代理（以下簡稱“安全代理”）以Web通訊代理（Web Proxy）的形式，為瀏覽器提供高強度（128位以上）的數(shù)據(jù)加密能力，可作為安全應(yīng)用系統(tǒng)客戶端的數(shù)據(jù)安全支撐平臺。安全代理與Web瀏覽器安裝在同一臺計算機上，當瀏覽器要與遠端Web服務(wù)器建立安全連接時，它向安全代理發(fā)出請求，由安全代理負責與遠端Web服務(wù)器建立連接。連接建立后，瀏覽器與服務(wù)器之間的數(shù)據(jù)傳輸是經(jīng)過安全代理轉(zhuǎn)發(fā)完成的。瀏覽器與安全代理之間的數(shù)據(jù)傳輸是用瀏覽器本身支持的弱加密算法加密的，而安全代理與遠端Web服務(wù)器之間的數(shù)據(jù)傳輸則是用高強度的數(shù)據(jù)加密算法加密的。如圖2所示：圖2 web瀏覽器與web服務(wù)器之間的握手示意圖 2.4.1具體功能:(1)身份認證 在連接上SSL安全代理服務(wù)器后,接受服務(wù)器的證書以核實服務(wù)器的身份,代表客戶端向服務(wù)器發(fā)送客戶證書,并協(xié)商該次傳輸采用的加密算法及相關(guān)的對稱密鑰.在此過程中,任何可能的錯誤都會導(dǎo)致連接取消,以保證數(shù)據(jù)安全。(2)加密功能 用戶應(yīng)用程序發(fā)送給網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)流，在通過SSL安全代客戶端時被加密轉(zhuǎn)換成SSL協(xié)議下的密文。(3)解密功能 從SSL安全代理服務(wù)器出來的加密數(shù)據(jù)流，首先被SSL安全代理解密，用戶應(yīng)用程序受到的仍是明文。(4)證書管理 提供方便、美觀的圖形界面管理CA和用戶的證書，能夠添加、刪除、查看證書。2.4.2使用安全代理訪問安全Web服務(wù)器需要驗證個人證書。當初次登錄安全服務(wù)器，安全代理要求用戶提交自己的個人證書，同時鍵入證書的私鑰保護密碼，安全代理利用提交的個人證書自動與要訪問的Web服務(wù)器建立SSL連接。25存儲加密技術(shù)對于WEB上的秘密信息，既要保證傳輸過程中的安全性,又要保證存儲介質(zhì)上的安全性,有效防止線路上的偷聽、篡改以及黑客侵入主機盜取機密信息。采用存儲加密技術(shù)，將機密信息加密后存儲，訪問者只有在通過身份認證后，并且具有同等訪問權(quán)限，加密信息才能自動解密后通過SSL信道傳輸，否則用戶無法訪問機密信息。即便黑客侵入系統(tǒng)，得到的也只是一串毫無意義的亂碼，無法將密文還原。具體的實現(xiàn)包括Web服務(wù)器私鑰的存儲訪問模塊，機密文件的加密存儲模塊，機密文件的訪問控制、身份認證、解密模塊。要實現(xiàn)在Internet上維護數(shù)據(jù)庫，該網(wǎng)站需將瀏覽器端指定的文件上載到服務(wù)器上，其中部分文件是保密的，所以需要上載這些文件到服務(wù)器加密后存儲。用戶上載時需指定加密文件在服務(wù)器上存放地址,文件上載后調(diào)用PHP程序進行處理,在PHP腳本中調(diào)用encrypt加密程序,根據(jù)用戶的需要采用不同的對稱加密算法和加密強度對文件進行加密存儲，同時也能對加密文件進行解密。文件密級分為絕密級、秘密級、機密級和無密級。對文件加密密鑰的加密都采用RSA算法，用web服務(wù)器的公鑰（1024位）進行加密，對文件加密密鑰的解密則用web服務(wù)器的私鑰。3其他安全措施3.1操作員管理管理網(wǎng)站只容許持有合法個人證書的用戶登錄并且網(wǎng)站的內(nèi)容采取分級訪問控制技術(shù)。網(wǎng)站管理員分為系統(tǒng)管理員和一般操作員兩個級別。系統(tǒng)管理員具有操作本管理網(wǎng)站的所有權(quán)限，而一般操作員只可以操作除系統(tǒng)管理（操作員管理、日志管理、系統(tǒng)維護等）外的其他功能。操作員的信息都存于一個controller數(shù)據(jù)表中。管理員權(quán)限驗證流程如圖3所示：獲取個人證書析取證書，提取證書中的email：p（email是證書的唯一標識）在controller表中查詢是否存在p否無權(quán)限是返回用戶級別圖3 管理員權(quán)限驗證流程3.2日志為保證數(shù)據(jù)庫的安全，必須對管理員的行為進行監(jiān)督，在管理網(wǎng)站中的日志記錄了誰在何時對何種數(shù)據(jù)表做了何種修改。這樣一旦數(shù)據(jù)庫被任一個管理員做了錯誤修改后可以跟蹤其證書從而追查其責任，實現(xiàn)了不可抵賴性。 4結(jié)束語 四川省政府采購網(wǎng)站是為配合被稱為“陽光下的交易”的政府采購制度的開展而研究、開發(fā)的政府采購網(wǎng)絡(luò)系統(tǒng)。本文提出了保證政府采購網(wǎng)站的一種安全策略：通過身份認證可以防范非法人員訪問該網(wǎng)站；經(jīng)過SSL傳輸加密可以保證數(shù)據(jù)傳輸安全；采用文件存儲加密可以保證服務(wù)器被攻占后數(shù)據(jù)不被竊取；并通過操作員管理和日志進一步保證網(wǎng)站的安全。參 考 文 獻1 William Stallings 著 瀟湘工作室譯，網(wǎng)絡(luò)安全要素應(yīng)用與標準， 人民郵電出版社,2000,92 李香敏 主編 徐建峰 郭力戎等 編著，用Linux組建電子商務(wù)網(wǎng)站，北京希望電子出版社,2000.123 冷麗琴。安全Web網(wǎng)站網(wǎng)站的一種實現(xiàn)模型SWM，碩士論文