網(wǎng)絡(luò)技術(shù)是一把“雙刃劍”。網(wǎng)絡(luò)的精妙在于互聯(lián)，網(wǎng)絡(luò)的問題也在于互聯(lián)。信息網(wǎng)絡(luò)國際化、社會(huì)化、開放化和個(gè)人化的特點(diǎn)，給人們提供“信息共享”，帶來了工作的高效率和生活的高質(zhì)量，同時(shí)，也投下了不安全的陰影。網(wǎng)絡(luò)技術(shù)帶來的負(fù)面影響值得我們警惕和重視，但也不能因噎廢食。世界上一切事物正是在斗爭中發(fā)展的。依靠人類智慧建立起來網(wǎng)絡(luò)，它所帶來的網(wǎng)絡(luò)風(fēng)險(xiǎn)，也一定可以依靠人類智慧化解風(fēng)險(xiǎn)，趨利避害解決網(wǎng)絡(luò)安全問題。

現(xiàn)在許多企業(yè)、公司都組建了自己的企業(yè)局域網(wǎng)。盡管企業(yè)局域網(wǎng)與Internet之間有防火墻?？梢员容^好的防患外部的侵害，但僅僅這樣還不夠，因?yàn)槠髽I(yè)局域網(wǎng)內(nèi)有企業(yè)的特殊要求，例如電子文件的保密等，因此企業(yè)局域網(wǎng)中對(duì)數(shù)據(jù)的傳輸進(jìn)行加密傳輸、加密存儲(chǔ)和建立與企業(yè)結(jié)構(gòu)相適應(yīng)的信息安全系統(tǒng)是非常重要的。本文以局域網(wǎng)中一個(gè)安全的辦公系統(tǒng)為背景，探討加密技術(shù)在局域網(wǎng)中的應(yīng)用。

一、系統(tǒng)設(shè)計(jì)

首先系統(tǒng)將用戶分為四種類型，即企業(yè)領(lǐng)導(dǎo)、系統(tǒng)管理人員、中層部門辦公室人員和普通職工。這些用戶都處于系統(tǒng)的客戶端，當(dāng)然這些用戶的權(quán)限并不一樣，但客戶端的基本功能卻大致相同，如完成編輯文檔，對(duì)機(jī)密文件進(jìn)行數(shù)據(jù)簽名、加密傳輸，具有接收和發(fā)送功能，對(duì)接收的加密文件具有解密功能。

文件管理中心是系統(tǒng)的服務(wù)器端，服務(wù)器端除了客戶端具有的功能外，還設(shè)有數(shù)據(jù)庫，存儲(chǔ)用戶信息，歸檔文檔等信息?？梢愿鶕?jù)群組和用戶分配對(duì)每個(gè)模塊的訪問權(quán)限。系統(tǒng)根據(jù)用戶注冊(cè)的名字自動(dòng)的區(qū)分所在單位及權(quán)限級(jí)別；不同級(jí)別的用戶能查到不同級(jí)別的信息：未授權(quán)的用戶不能與么統(tǒng)進(jìn)行交互操作；每個(gè)用戶只能看到與其相關(guān)的信息。其數(shù)數(shù)據(jù)庫體系結(jié)構(gòu)如圖1所示。

在企業(yè)內(nèi)部網(wǎng)中，有很多文件都需要加密，例如財(cái)務(wù)數(shù)據(jù)、人事提交、領(lǐng)導(dǎo)批示、秘密表決等。以秘密表決為例來介紹文件的加密流程。例如企業(yè)領(lǐng)導(dǎo)需要對(duì)某一個(gè)問題進(jìn)行表決后做出最后決定，但是參加表決的人不希望被人知道表決的結(jié)果。所以對(duì)結(jié)果要在網(wǎng)上加密傳輸，由于本系統(tǒng)的客戶端與客戶端不能直接傳輸。即企業(yè)領(lǐng)導(dǎo)和要表決的人之間不能直接通信，必須通過服務(wù)器中轉(zhuǎn)。首先，企業(yè)領(lǐng)導(dǎo)向文件管理中心發(fā)一加密公文，表明表決內(nèi)容、表決人和對(duì)應(yīng)每個(gè)表決人的表決編號(hào)。文件管理中心對(duì)該文件解密閱讀后，向每個(gè)表決人加密表決內(nèi)容和表決編號(hào)。表決人收到該加密文件后。先對(duì)文件解密，然后將表決結(jié)果和表決編號(hào)加密送到文件管理中心，文件管理中心收到該文件后，文件管理中心收到該文件后，加密發(fā)送到企業(yè)領(lǐng)導(dǎo)。對(duì)文件批示“已提交”的信息。并對(duì)該文件的提交者和企業(yè)領(lǐng)導(dǎo)設(shè)置可閱覽的權(quán)限，提交者可根據(jù)自己的編號(hào)查看提交結(jié)果，防止文件管理中心更改表決結(jié)果，企業(yè)領(lǐng)導(dǎo)可以根據(jù)編號(hào)查證提交者的表決結(jié)果是否與文件管理中心提交的表決結(jié)果一致。這樣就防止了中轉(zhuǎn)機(jī)構(gòu)作弊的行為。

系統(tǒng)的加密，解密發(fā)送模塊的實(shí)現(xiàn)采用類似PGP密鑰系統(tǒng)的實(shí)現(xiàn)技術(shù)，即RSA算法與傳統(tǒng)加密算法相結(jié)合的方法。因?yàn)镽SA算法計(jì)算置極大在速度上不適合加密大量數(shù)據(jù)，所以在加密大信息量時(shí)，不是采用RSA。而是采用了一種叫IDEA的傳統(tǒng)加密的傳輸加密算法。它的主要缺點(diǎn)就是密鑰的傳遞渠道解決不了安全性問題，不適合網(wǎng)絡(luò)環(huán)境郵件加密需要。IDEA的加密、解密速度比RSA快得多，所以在實(shí)際上是以一個(gè)隨機(jī)生成密鑰（注：每次加密均不同）采用IDEA算法對(duì)明文加密，然后用RSA算法對(duì)該密鑰加密。這樣收件人同樣是用RAS解密出這個(gè)隨機(jī)密鑰，再用IDEA解密郵件本身。這樣的鏈?zhǔn)郊用芫妥龅搅思扔蠷SA體系的保密性，又有IDEA算法的快捷性；既保證了保密性，又保證了加密的速度。

二、系統(tǒng)的傳輸實(shí)現(xiàn)

本系統(tǒng)網(wǎng)絡(luò)中的信息傳輸是一個(gè)GS模型的系統(tǒng)。服務(wù)器端與客戶端之間的傳輸是通過socket傳輸。Socket是兩個(gè)程序之間進(jìn)行雙向數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)通訊端點(diǎn)，由一個(gè)地址和一個(gè)端口號(hào)來標(biāo)識(shí)。每個(gè)服務(wù)程序在提供服務(wù)時(shí)都要在一個(gè)指定的端口進(jìn)行，而想使用該服務(wù)的客戶機(jī)則必須連接該端口。

在C/S方式下，系統(tǒng)傳輸?shù)哪Ｊ饺鐖D2所示。

服務(wù)器端和客戶端的工作步驟如下：

服務(wù)器端：

1、打開一通信通道并告知本地主機(jī)，它愿意在某一公認(rèn)地址端口上（周知端口，如http為80)接受客戶請(qǐng)求。

2、等待客戶請(qǐng)求到達(dá)該端口。

3、接收到重復(fù)服務(wù)請(qǐng)求。處理該請(qǐng)求并發(fā)送應(yīng)答信號(hào)。接收并發(fā)服務(wù)請(qǐng)求，要激活一新進(jìn)程來處理這個(gè)客戶請(qǐng)求。新進(jìn)程處理此客戶請(qǐng)求，并不需要對(duì)其他請(qǐng)求做出應(yīng)答。

服務(wù)完成后，關(guān)閉此新進(jìn)程與客戶的通信鏈路，并終止。

4、返回第二步，等待另外的客戶請(qǐng)求。

5、關(guān)閉服務(wù)器。

客戶端：

1、打開一通信通道，并連接到服務(wù)器所在主機(jī)的特定端口。

2、向服務(wù)器發(fā)出服務(wù)請(qǐng)求報(bào)文，等待并接收應(yīng)答；繼續(xù)提出請(qǐng)求。

3、請(qǐng)求結(jié)束后關(guān)閉通信通道并終止。

從上面的描述過程可知：

1、客戶與服務(wù)器進(jìn)程的作用是非對(duì)稱的。因此編碼不同。

2、服務(wù)進(jìn)程一般是先于客戶請(qǐng)求啟動(dòng)的。只要系統(tǒng)運(yùn)行，該進(jìn)程一直存在，直到正常終止或者強(qiáng)迫終止。

客戶端與服務(wù)器之間的通信采用socket傳輸，傳輸?shù)幕究蚣苋鐖D3所示。

應(yīng)用的執(zhí)行過程如下：

服務(wù)器程序首先進(jìn)行初始化操作：調(diào)用函數(shù)socket()創(chuàng)建套接字，函數(shù)bind()將套接字與服務(wù)器的知名地址綁定，函數(shù)listen()將此套接宇轉(zhuǎn)換成偵聽套接字。然后調(diào)用acccpt0等待客戶機(jī)的連接請(qǐng)求?？蛻魴C(jī)程序相對(duì)要簡單。調(diào)用函數(shù)socket()創(chuàng)建一個(gè)套接字，一般不需要綁定。調(diào)用函數(shù)connecL()建立與服務(wù)器的連接，連接建立后，雙方通過write()、read()函數(shù)讀寫套接字實(shí)現(xiàn)數(shù)據(jù)通信。通信結(jié)束后，雙方調(diào)用close()函數(shù)斷開TCP連接，釋放系統(tǒng)資源。

admin

收藏 海報(bào)分享