前言：本站為你精心整理了教務(wù)體系網(wǎng)絡(luò)安全技術(shù)的應(yīng)用范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

本文作者：王川作者單位：長沙學(xué)院教務(wù)處

文件過濾驅(qū)動技術(shù)對系統(tǒng)的保護

利用文件過濾驅(qū)動技術(shù)，可以開發(fā)專門用于教務(wù)系統(tǒng)的文件過濾驅(qū)動模塊，對教務(wù)系統(tǒng)服務(wù)器和重要的教務(wù)系統(tǒng)客戶端安裝該模塊增強安全性。在基于NT內(nèi)核的Windows操作系統(tǒng)中，文件系統(tǒng)驅(qū)動程序是I/O子系統(tǒng)的一個重要的組件，它為用戶提供在磁盤等存儲介質(zhì)上存取數(shù)據(jù)的服務(wù)。如圖1，NT的I/O管理器支持分層的內(nèi)核模式驅(qū)動，I/O管理器根據(jù)應(yīng)用程序的I/O請求生成一個IRP（I/O請求包），依次按照驅(qū)動創(chuàng)建的設(shè)備對象往下層設(shè)備對象傳遞，每一層設(shè)備對象對應(yīng)的驅(qū)動程序一次處理該IRP，處理完畢后一次返回至應(yīng)用程序。根據(jù)該模型，文件過濾驅(qū)動程序可以在應(yīng)用程序讀寫數(shù)據(jù)的過程中先于文件系統(tǒng)驅(qū)動截獲所有數(shù)據(jù)處理相關(guān)的IRP，利用IRP就可以實現(xiàn)對文件進行加/解密操作，也可以對需要被保護的文件實施實時的訪問控制。在Web服務(wù)器端，文件過濾驅(qū)動技術(shù)可以對教務(wù)系統(tǒng)網(wǎng)站的各類網(wǎng)頁提供防篡改保護，可以是靜態(tài)文件，也可以是動態(tài)網(wǎng)頁，執(zhí)行準(zhǔn)確率和效率都非常高?；谖募^濾驅(qū)動的網(wǎng)頁防篡改技術(shù)的工作流程如圖2。在文件過濾驅(qū)動模塊中加入web服務(wù)器防篡改核心程序，對于服務(wù)器上的所有文件內(nèi)容，防篡改核心程序經(jīng)過內(nèi)置單向散列函數(shù)快速生成文件屬性。防篡改核心程序然后通過事件觸發(fā)方式對網(wǎng)頁文件變動情況開始自動監(jiān)測，收到一個網(wǎng)頁的訪問請求，先對比網(wǎng)頁文件屬性簽名的變化，如果簽名發(fā)生異常變化，立即刪除被篡改的網(wǎng)頁，停止Web服務(wù)，同時通過文件安全拷貝將備份服務(wù)器中備份網(wǎng)頁文件復(fù)制到檢測文件夾中，替換掉被篡改的文件。防篡改程序通過底層文件過濾驅(qū)動技術(shù)進行文件恢復(fù)的復(fù)制速度為毫秒級，使得網(wǎng)站用戶無法看到并使用被篡改的頁面，其運行性能和監(jiān)測保護的實時性強、對防止網(wǎng)頁被惡意篡改十分有效。

數(shù)字認(rèn)證技術(shù)對數(shù)據(jù)的保護

在教務(wù)管理系統(tǒng)的安全保護最終是要保護教務(wù)系統(tǒng)的數(shù)據(jù)安全。數(shù)據(jù)安全是教務(wù)系統(tǒng)的保護的重點，系統(tǒng)中的數(shù)據(jù)安全需求表現(xiàn)在下面幾個方向：信息的保密性、信息的完整性、信息的可重用性、信息的真實性、信息的不可否認(rèn)性。PKI是一個遵循既定標(biāo)準(zhǔn)的密鑰管理平臺，為網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等服務(wù)及服務(wù)所需的密鑰和證書管理功能，其通過第三方可信機構(gòu)CA認(rèn)證系統(tǒng)，把用戶公鑰和其它標(biāo)識信息綁定在一起，在Internet上實現(xiàn)用戶身份的認(rèn)證，并且該體系把公鑰密碼和對稱密碼相結(jié)合，實現(xiàn)密鑰的自動管理，保證數(shù)據(jù)傳輸和存儲的真實性、機密性、完整性和不可否認(rèn)性。PKI是一個技術(shù)框架，其應(yīng)用實現(xiàn)是CA認(rèn)證系統(tǒng)。通過建立學(xué)校自己內(nèi)部的CA認(rèn)證系統(tǒng)，就可以在教務(wù)系統(tǒng)中使用數(shù)字簽名和加密服務(wù)，由此解決了公鑰在不安全網(wǎng)絡(luò)環(huán)境中的信任問題。校園CA認(rèn)證的結(jié)構(gòu)設(shè)計如圖3所示。根CA是學(xué)校的根認(rèn)證中心，負(fù)責(zé)簽發(fā)和管理二級CA的證書、制定和審批總體策略，采用物理隔離的方法實現(xiàn)。二級CA是二級單位用來管轄范圍之內(nèi)的證書生成、撤銷、更新、核發(fā)，根CA和二級CA通過SSL通道、端實體來進行互操作。注冊RA作為CA的注冊審核機構(gòu)，完成證書注冊申請的審核、將二級CA生成的證書和密鑰以安全的方式發(fā)送給證書用戶。使用數(shù)字簽名技術(shù)后，在教務(wù)管理系統(tǒng)中，過去很多使用手寫簽字的地方都要改用數(shù)字簽名。根據(jù)簽名的信息是否能公開傳輸，可以有兩種簽名類型，一種是不需要機密的信息，先用單向散列函數(shù)（如MD5算法或SHA算法）生成消息摘要，為提高安全性引入時間戳，把生成的消息摘要和時間戳一起簽名，可以抵抗重放攻擊和代換攻擊；另一種是對信息加密后再按第一種方式后續(xù)步驟進行簽名，那么只有擁有密鑰的授權(quán)用戶才可以查看該信息。數(shù)字簽名和加密算法有很多種，比較典型的有RSA、DSA、ECC等。除了需要基本的數(shù)字簽名和加密外，教務(wù)系統(tǒng)中還會有大量的教學(xué)工作管理流程。對于這些教學(xué)工作管理流程，需要使用多重數(shù)字簽名或群簽名來對數(shù)據(jù)進行數(shù)字簽名。教務(wù)管理系統(tǒng)主要使用以下幾種代表性的數(shù)字簽名流程：1）成績管理：一般流程為：老師評定成績→院系教學(xué)秘書核對→教研室主任簽字→主管教學(xué)的院系領(lǐng)導(dǎo)簽字→教務(wù)處簽字。在這個流程環(huán)節(jié)中，強調(diào)簽名的順序和對簽名內(nèi)容的控制，這樣的流程需要要使用有序多重數(shù)字簽名。2）公文簽收：在公文簽收中，統(tǒng)一部門的不同工作人員可以代表其所在部門完成諸如公文簽收類的事務(wù)性工作，系統(tǒng)只需要判斷部門內(nèi)是否有人收到公文即可，不用管具體接收人員，如果出現(xiàn)爭議時，可以檢查出當(dāng)時的簽收人。這樣的流程要使用群簽名，群簽名可以并行執(zhí)行。管理中心判斷其簽名類型為群簽名時，系統(tǒng)將根據(jù)簽名要求確定參與簽名的群組成員，然后向群組成員發(fā)出簽名要求，在收到若干群組成員的簽名回復(fù)后，對這些簽名進行驗證，當(dāng)確定至少有一個簽名有效時，管理中心將告訴簽名發(fā)起者成功信號，如果沒有一個簽名有效，則簽名失敗。3）學(xué)籍異動管理：以學(xué)生辦理休學(xué)手續(xù)為例，學(xué)生提出休學(xué)申請，教務(wù)處學(xué)籍科審批合格后，向?qū)W生發(fā)出通知單，學(xué)生按通知單上的所列項目，前往相關(guān)部門蓋章認(rèn)可，學(xué)籍異動管理是一種無序多重簽名的例子。這樣的流程是一種無序多重簽名的實例，無序多重簽名是有序多重簽名的一種特例，由系統(tǒng)初始化時將無序多重簽名指定一個順序，從而轉(zhuǎn)成有序多重簽名進行處理。