PKI在網(wǎng)絡(luò)辦公安全中的應(yīng)用_第1頁
PKI在網(wǎng)絡(luò)辦公安全中的應(yīng)用_第2頁
PKI在網(wǎng)絡(luò)辦公安全中的應(yīng)用_第3頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、PKI 在網(wǎng)絡(luò)辦公安全中的應(yīng)用摘要 :隨著互聯(lián)網(wǎng)的迅猛發(fā)展, 在各種上網(wǎng)工程的推動下,許多公司、企事業(yè)單位和政府機關(guān)紛紛籌建各自的辦公網(wǎng)絡(luò)系統(tǒng)。各單位通過自建的辦公網(wǎng)絡(luò)系統(tǒng),利用互連網(wǎng)的開放性,加快了與外界的溝通、增強了內(nèi)部管理,也提高了工作效率,但同時互聯(lián)網(wǎng)上存在的各種安全隱患使的辦公網(wǎng)絡(luò)安全受到嚴重的威脅, 為此本文特提出基于 PKI 的網(wǎng)絡(luò)辦公系統(tǒng),使得辦公網(wǎng)絡(luò)安全得以保障。關(guān)鍵詞 :PKI ;辦公系統(tǒng);網(wǎng)絡(luò)安全數(shù)據(jù)加密一、引言(一)現(xiàn)狀分析對于辦公網(wǎng)絡(luò)的安全問題,目前很多單位的解決方式是采用防火墻等設(shè)備為網(wǎng)絡(luò)構(gòu)筑一個安全屏障,采用用戶名 + 口令方式實現(xiàn)身份驗證,通過各種設(shè)備自身的權(quán)限

2、控制功能實現(xiàn)權(quán)限控制,內(nèi)部網(wǎng)絡(luò)之間的信息傳輸都是明文。對于網(wǎng)上辦公應(yīng)用的延伸,如異地分支機構(gòu)網(wǎng)上辦公、移動辦公以及客戶合作伙伴的交互問題等,很多單位是采用在內(nèi)部辦公網(wǎng)上安裝撥號服務(wù)器的方法來解決的。通過申請的電話線路,異地分支機構(gòu)、 外出員工或合作伙伴使用計算機、Modem和撥號服務(wù)器相連接,實現(xiàn)對內(nèi)部辦公網(wǎng)的訪問,對于身份認證和權(quán)限控制與內(nèi)網(wǎng)方式相同,內(nèi)外網(wǎng)間的信息通信也多是明文。上述方式雖然能在很大程度上解決異地、移動辦公和交互問題及常見的安全問題,但是仍然存在很多的安全隱患:1、用戶名口令的傳統(tǒng)認證方式安全性較弱,用戶口令易被竊取而導(dǎo)致?lián)p失用戶為了便于記憶,設(shè)置的口令往往過于簡單,易被猜

3、測、易泄露2、設(shè)備自身的權(quán)限控制功能不精確防火墻的權(quán)限控制無法精確到個人用戶,僅僅針對機器,服務(wù)器權(quán)限控制僅僅針對自身應(yīng)用系統(tǒng),無法擴展。3、撥號服務(wù)器為內(nèi)網(wǎng)增加了不安全通道和額外負擔(dān)在內(nèi)部網(wǎng)絡(luò)防火墻后面架設(shè)撥號服務(wù)器相當于在防火墻上開了一條通道,而這條通道的防護很少,將成為系統(tǒng)安全最薄弱的環(huán)節(jié)。撥號訪問的方式將增加日常辦公開支,包括使用國內(nèi)甚至國際長途電話的費用、電話線和中繼線路的租用費用和撥號服務(wù)器的費用??蓴U展性、靈活性較差,管理和使用都不方便4、各種信息在內(nèi)網(wǎng)和外網(wǎng)上的明文傳輸使得信息很容易被竊聽、篡改和偽造(二)辦公網(wǎng)絡(luò)的安全需求:網(wǎng)上辦公系統(tǒng)的安全需求可以劃分為以下幾個方面:1、現(xiàn)

4、可以防假冒和抵賴的身份認證功能。2、據(jù)用戶身份實現(xiàn)精確的用戶權(quán)限控制功能。3、網(wǎng)絡(luò)信息加密傳輸保證信息安全性。4、通過身份認證、權(quán)限控制和加密傳輸安全實現(xiàn)異地、移動辦公以及交互問題的解決。針對辦公網(wǎng)絡(luò)系統(tǒng)的身份認證、權(quán)限控制、加密傳輸和異地辦公的安全問題, 本文特提出基于 PKI 體系的解決辦公網(wǎng)絡(luò)安全問題。二、 PKI 簡介所謂 PKI ( Public Key Infrastructure 的縮寫)即“公開密鑰體系”,是一種新的安全技術(shù),它由公開密鑰密碼技術(shù)、數(shù)字證書、 證書發(fā)放機構(gòu) ( CA )和關(guān)于公開密鑰的安全策略等基本成分共同組成的。 PKI 是利用公鑰技術(shù)實現(xiàn)電子商務(wù)、電子政務(wù)等

5、安全的一種體系,是一種基礎(chǔ)設(shè)施,網(wǎng)絡(luò)通訊、網(wǎng)上交易、網(wǎng)上辦公是利用它來保證安全的。而PKI 最主要的安全技術(shù)包括兩個方面:(一 )公鑰加密技術(shù)由于數(shù)據(jù)在傳輸過程中有可能遭到侵犯者的竊聽而失去保密信息,加密技術(shù)是主要的也是最常用保密安全措施。CA 的一個重要應(yīng)用就是給文件加密解密,用某種算法將普通的文件和密鑰相結(jié)合,生成不可理解得密文,保證數(shù)據(jù)在傳輸過程中的安全性,即使數(shù)據(jù)在傳送過程中泄漏,得到也只是加密后無法識別的密文。數(shù)字證書采用公鑰體制,即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰(私鑰),用它進行解密和簽名;同時設(shè)定一把公開密鑰(公鑰),為一組

6、用戶所共享,用于加密和驗證簽名。當發(fā)送一份保密文件時,發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密,而接收方則使用自己的私鑰解密,這樣信息就可以安全無誤地到達目的地了。通過數(shù)字的手段保證加密過程是一個不可逆過程,即只有用私有密鑰才能解密。如果用戶需要發(fā)送加密數(shù)據(jù),發(fā)送方需要使用接收方的數(shù)字證書(公開密鑰)對數(shù)據(jù)進行加密,而接收方則使用自己的私有密鑰進行解密,從而保證數(shù)據(jù)的安全保密性。當一位員工 A 想與另一位員工 B 進行通信時, 他的第一步就是獲得它需要與之通信人的電子證書, 然后要檢查 CRL 列表,確實該證書是否有效,如果證書仍然有效,在檢查頒發(fā)證書的簽名,確認證書。如圖 1 所示:(二)數(shù)字簽名技

7、術(shù)數(shù)字簽名技術(shù)則提供了在網(wǎng)絡(luò)通信之前相互認證的有效方法、在通信過程中保證信息完整性的可靠手段、以及在通信結(jié)束之后防止雙方相互抵賴的有效機制。數(shù)字簽名用于網(wǎng)絡(luò)辦公系統(tǒng)中,可以用來簽發(fā)文件。當文件需要簽名時,可以直接在計算機上用簽名人的私鑰簽名。數(shù)字簽名與書面文件簽名有相同之處,采用數(shù)字簽名,能確認以下兩點:第一,信息是由簽名者發(fā)送的;第二,信息自簽發(fā)后到收到為止未曾作過任何修改。這樣數(shù)字簽名就可用來防止電子信息因易被修改而有人作偽,或冒用別人名義發(fā)送信息?;虬l(fā)出(收到)信件后又加以否認等情況發(fā)生。完整的PKI 辦公網(wǎng)絡(luò)系統(tǒng)如下圖2 示如上圖示 CA 服務(wù)器作為辦公網(wǎng)絡(luò)自己建立的 CA 中心,安放

8、在 DMZ 區(qū),用戶可以通過 443 端口以 HTTPS 方式訪問服務(wù)器。它完成的功能是根據(jù)辦公人員提交的個人信息,經(jīng)過審核以后在線為用戶簽發(fā)數(shù)字證書。辦公人員訪問服務(wù)器以及獲得證書的整個過程中的信息傳輸都是經(jīng)過SSL 加密的安全通道完成的,保證安全性。辦公人員需要將獲得的用戶證書存放到電子鑰匙中,隨身攜帶,以保證證書和私鑰的安全性,作為辦公人員不用記得和證書有關(guān)的任何信息,在使用方便的同時保證了安全性。SRAC 服務(wù)器作為直接連接辦公應(yīng)用服務(wù)器的機器,安放在內(nèi)部網(wǎng)絡(luò)的DMZ 區(qū),配置兩個IP 地址,一個為內(nèi)部地址,一個為外部地址。它完成的功能是根據(jù)SRAC 服務(wù)器作為直接連接辦公應(yīng)用服務(wù)器的

9、機器, 安放在內(nèi)部網(wǎng)絡(luò)的DMZ區(qū),配置兩個 IP 地址,一個為內(nèi)部地址,一個為外部地址。它完成的功能是根據(jù) SRAC 服務(wù)器作為直接連接辦公應(yīng)用服務(wù)器的機器, 安放在內(nèi)部網(wǎng)絡(luò)的 DMZ 區(qū),配置兩個 IP 地址,一個為內(nèi)部地址,一個為外部地址。它完成的功能是根據(jù)辦公人員提交的用戶證書確定辦公人員的身份和使用權(quán)限,然后為辦公人員建立符合用戶身份可以訪問的服務(wù)器之間的安全通道。在 SRAC 服務(wù)器和用戶之間的通信都是經(jīng)過SSL加密的安全通道進行傳輸?shù)?,保證信息傳輸?shù)陌踩浴?同時,所有對服務(wù)器的訪問必須通過SRAC 服務(wù)器, 這樣即使系統(tǒng)受到攻擊也是對 SRAC 服務(wù)器的攻擊, 從而增強了對各應(yīng)用

10、服務(wù)器的保護。提交的用戶證書確定用戶的身份和使用權(quán)限,然后為用戶建立符合用戶身份可以訪問的服務(wù)器之間的安全通道。在 SRAC 服務(wù)器和用戶之間的通信都是經(jīng)過SSL加密的安全通道進行傳輸?shù)?,保證信息傳輸?shù)陌踩浴?同時,所有對服務(wù)器的訪問必須通過SRAC 服務(wù)器, 這樣即使系統(tǒng)受到攻擊也是對 SRAC 服務(wù)器的攻擊, 從而增強了對各應(yīng)用服務(wù)器的保護。提交的辦公人員證書確定用戶的身份和使用權(quán)限,然后為用戶建立符合用戶身份可以訪問的服務(wù)器之間的安全通道。在 SRAC 服務(wù)器和用戶之間的通信都是經(jīng)過 SSL 加密的安全通道進行傳輸?shù)?,保證信息傳輸?shù)陌踩?。同時,所有對服務(wù)器的訪問必須通過SRAC 服務(wù)器,這樣即使系統(tǒng)受到攻擊也是對SRAC 服務(wù)器的攻擊, 從而增強了對各應(yīng)用服務(wù)器的保護。結(jié)束語:通過運用PKI 技術(shù)構(gòu)筑的安全體系,使得網(wǎng)上政務(wù)辦公安全得以保障。參考

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論