高校數(shù)字化校園網(wǎng)絡(luò)安全中數(shù)字簽名的應(yīng)用研究

張雁翔

摘 要：隨著互聯(lián)網(wǎng)信息技術(shù)的快速發(fā)展與普及，校園網(wǎng)也成社會信息化發(fā)展的必然產(chǎn)物，是構(gòu)建數(shù)字校園的中堅力量，承擔(dān)著教學(xué)、科研、管理和對外交流的重要任務(wù)，因此在高校網(wǎng)絡(luò)建設(shè)中加強(qiáng)校園網(wǎng)絡(luò)的安全管理非常重要。該文對當(dāng)前各種數(shù)字簽名技術(shù)進(jìn)行了比較分析之后，選擇最適于高校數(shù)字化校園網(wǎng)絡(luò)安全的RSA算法進(jìn)行研究，并對其在校園網(wǎng)絡(luò)安全中的應(yīng)用進(jìn)行了分析。

關(guān)鍵詞：數(shù)字校園 校園網(wǎng) 安全技術(shù) 數(shù)字簽名

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2017）06（b）-0006-02

1 一般高校校園網(wǎng)概述

1.1 校園網(wǎng)絡(luò)概況

隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展與普及，數(shù)字化校園已經(jīng)成為高校數(shù)字化建設(shè)的重點，其中校園網(wǎng)絡(luò)作為數(shù)字化校園的重要形式，在高校教學(xué)、科研、管理、對外交流等環(huán)節(jié)發(fā)揮著重要的作用。對于一般高校而言，校園網(wǎng)能夠?qū)崿F(xiàn)教師層面的“線上教學(xué)”，也能夠?qū)崿F(xiàn)學(xué)生層面的“線上學(xué)習(xí)”。此外，學(xué)校也可以通過校園網(wǎng)開展教學(xué)管理、學(xué)籍管理、以及遠(yuǎn)程家長交流溝通。校園網(wǎng)的建立能夠使高校實現(xiàn)網(wǎng)絡(luò)與現(xiàn)實的協(xié)同工作，使高校管理更具規(guī)范性和及時性，從根本上實現(xiàn)了高校管理的變革。

從高校校園網(wǎng)的功能需求和目前高校校園網(wǎng)運行現(xiàn)狀來看，一般校園網(wǎng)配置的構(gòu)成為以下幾種：（1）軟硬件環(huán)境，包括服務(wù)器、網(wǎng)絡(luò)寬帶、網(wǎng)絡(luò)節(jié)點數(shù)、網(wǎng)絡(luò)軟件等；（2）遠(yuǎn)程連接，連接方式為寬帶或DDN專線接入，校內(nèi)、校外具有主頁，實現(xiàn)遠(yuǎn)程教育；（3）網(wǎng)絡(luò)應(yīng)用，包括學(xué)校管理、教學(xué)應(yīng)用、教育科研信息管理、圖書館應(yīng)用、校園IC卡應(yīng)用等；（4）安全管理，包括組織機(jī)構(gòu)、校園網(wǎng)絡(luò)中心管理人員配備、管理制度、校園網(wǎng)管理中心配套設(shè)施等。

1.2 校園網(wǎng)信息劃分

對于一般高校校園網(wǎng)而言，為滿足其各種需求，必須提供必要的功能，而這些功能則需要數(shù)據(jù)庫作為支撐。高校校園網(wǎng)數(shù)據(jù)庫系統(tǒng)通常由以下幾個部分組成：（1）人事檔案庫，即學(xué)生檔案、教師檔案以及職工檔案，其中學(xué)生檔案包括成績、獎懲、評語等內(nèi)容，教師檔案則包括基本資料、職務(wù)、考核資料等；（2）財務(wù)檔案庫，其內(nèi)容主要包括收支檔案、工資檔案、校產(chǎn)檔案等；（3）文件檔案庫，一般需要包括學(xué)校各種計劃和總結(jié)文件、政府下發(fā)文件、學(xué)校下發(fā)文件、學(xué)校各種獲獎文獻(xiàn)等內(nèi)容；（4）教學(xué)信息庫，通常包括高校教學(xué)中所需要的各學(xué)科教案、教學(xué)研究信息、教學(xué)改革信息等；（5）教育信息庫，通常包括教育活動檔案、學(xué)生基本檔案、教育信息檔案、師生談話記錄檔案、后進(jìn)生改變檔案等內(nèi)容；（6）多媒體信息庫，包括各類圖像、聲音素材、影視素材以及多媒體教學(xué)信息

2 高校校園網(wǎng)絡(luò)安全分析

2.1 常用校園網(wǎng)絡(luò)安全技術(shù)

高校校園網(wǎng)從防護(hù)的視角進(jìn)行劃分，可分為網(wǎng)絡(luò)和系統(tǒng)內(nèi)部兩個部分，網(wǎng)絡(luò)通常包含用戶請求訪問、外部資源反饋等，系統(tǒng)內(nèi)部則包含用戶認(rèn)證、內(nèi)部訪問控制、系統(tǒng)資源控制、外部資源訪問控制等。由此可見校園網(wǎng)是一個復(fù)雜的系統(tǒng)，其與外部通過互聯(lián)網(wǎng)互聯(lián)互通，而且計算機(jī)系統(tǒng)具有一定的脆弱性，這就導(dǎo)致其自身存在一定的安全隱患，比如計算機(jī)犯罪，包括修改程序和數(shù)據(jù)、擴(kuò)大授權(quán)、釋放有害程序、釋放有害數(shù)據(jù)等，此外黑客攻擊、有害程序、后門等都是現(xiàn)實存在的安全隱患，這就需要校園網(wǎng)建設(shè)中加強(qiáng)安全防護(hù)。高校校園網(wǎng)常用安全技術(shù)主要包括以下幾個方面，即防火墻技術(shù)、安全策略技術(shù)、密碼技術(shù)等。

2.2 校園網(wǎng)絡(luò)系統(tǒng)的安全及策略

校園網(wǎng)絡(luò)安全技術(shù)的選擇與設(shè)計需要依據(jù)高校校園網(wǎng)系統(tǒng)面臨的主要安全問題進(jìn)行決策，因此在選擇安全策略時，需對高校校園網(wǎng)絡(luò)安全的主要威脅進(jìn)行統(tǒng)計分析。通常高校校園網(wǎng)絡(luò)安全的主要威脅包括人為失誤、網(wǎng)絡(luò)管理上的漏洞、病毒感染、系統(tǒng)的漏洞、隱私及機(jī)密資料的存儲及傳輸、網(wǎng)絡(luò)竊聽、重放、假冒、拒絕服務(wù)攻擊等。針對這些問題，高校校園網(wǎng)絡(luò)安全的對策措施可采取以下幾個方面：一是定期對校園網(wǎng)進(jìn)行漏洞掃描與審計跟蹤；二是在校園網(wǎng)絡(luò)服務(wù)器和各個工作站點安裝相應(yīng)的防病毒軟件或殺毒軟件；三是通過入侵檢測實現(xiàn)實時安全監(jiān)控；四是管理員快速重組被破壞的文件或應(yīng)用；五是由安全策略與軟硬件構(gòu)建防御系統(tǒng)；六是部署防火墻；七是制定完善的管理制度；八是分層控制；九是建立賬號和密碼管理機(jī)制。

3 校園網(wǎng)下數(shù)字簽名的設(shè)計與分析

數(shù)字簽名是當(dāng)前最常用、也是技術(shù)最為成熟、可操作性最強(qiáng)的電子簽名方法，是一種通過向公正的第三方證明的方式提供消息來源和內(nèi)容認(rèn)證的方法。數(shù)字簽名的方法主要有基于對稱密碼的數(shù)字簽名、基于公鑰的數(shù)字簽名、ELGamal數(shù)字簽名、DSS數(shù)字簽名、基于ECDH的數(shù)字簽名等。

3.1 校園網(wǎng)絡(luò)環(huán)境下數(shù)字簽名方案設(shè)計

從高校校園網(wǎng)系統(tǒng)各個物理組成部分及其相互之間的邏輯關(guān)系進(jìn)行系統(tǒng)流程設(shè)計，整個系統(tǒng)基于B/S模式，以用戶ID與口令驗證真實性。數(shù)字簽名的設(shè)計則采用MD5算法計算消息摘要，并用RSA算法對消息加密、解密、數(shù)字簽名與驗證。通信消息簽名過程如下：（1）發(fā)送發(fā)A用DM5算法對消息編碼而產(chǎn)生固定長度的消息摘要；（2）A用自己的秘鑰對消息摘要加密，形成數(shù)字簽名；（3）A用B的公鑰加密消息摘要，并傳送給校園網(wǎng)服務(wù)器；（4）接收方B用自己的私鑰解密消息摘要，得到數(shù)字簽名與消息；（5）B用A的公鑰對數(shù)字簽名解密，并用MD5算法編碼消息得到另一消息摘要；（6）B將兩只摘要比較，確定消息是否一致。

3.2 相關(guān)技術(shù)與算法

對高校校園網(wǎng)進(jìn)行分析可發(fā)現(xiàn)，校園網(wǎng)是一個復(fù)雜的系統(tǒng)，其涉及到高校管理的各個環(huán)節(jié)，其用戶群體不僅包含學(xué)生、教師，而且對外也開放，因此在此基礎(chǔ)上采用一些技術(shù)和算法。

一是驗證碼技術(shù)，主要形式包括GIF格式的隨機(jī)數(shù)字圖片驗證碼、PDG格式的隨機(jī)數(shù)字+隨機(jī)大寫英文字母組合、BMP格式的隨機(jī)數(shù)字+隨機(jī)大寫英文字母+隨機(jī)干擾像素+隨機(jī)位置、JPG格式的隨機(jī)英文字母+隨機(jī)顏色+隨機(jī)位置+隨機(jī)長度組合、XBM格式的隨機(jī)內(nèi)容。驗證碼技術(shù)能夠有效的拒絕機(jī)器惡意登錄攻擊，分辨登陸者是機(jī)器或者人。

二是MD5算法，即信息-摘要算法，其廣泛應(yīng)用于加密、解密技術(shù)上。MD5算法的實現(xiàn)包括以下幾個步驟：（1）對輸入數(shù)據(jù)進(jìn)行補(bǔ)位，補(bǔ)一個1，然后補(bǔ)一個0，直至滿足字節(jié)，其中K是整數(shù)；（2）用一個64位的數(shù)字表示原始長度B，然后將B分別用兩個32位數(shù)表示，使其成為512位的倍數(shù)；（3）使用十六進(jìn)制表示的數(shù)字對四個32位整數(shù)計算信息摘要，實現(xiàn)初始化MD5參數(shù)；（4）處理位操作函數(shù)計算；（5）對數(shù)據(jù)組進(jìn)行整數(shù)數(shù)組變換；（6）輸出結(jié)果。

3.3 RSA算法

在高校校園網(wǎng)絡(luò)安全的數(shù)字簽名技術(shù)應(yīng)用中，RSA是一種利用指數(shù)運算的密碼，其理論基礎(chǔ)是素數(shù)的無窮性。校園網(wǎng)絡(luò)安全管理中，數(shù)字簽名技術(shù)中應(yīng)用RSA算法具有較高的安全性，當(dāng)模數(shù)n選擇的更大一些時，其安全性更強(qiáng)一些。對RSA算法的攻擊常見的有窮舉攻擊、數(shù)學(xué)攻擊、計時攻擊，在實際實踐中，需要通過使用較好的公鑰協(xié)議來保證工作過程的安全性，此外應(yīng)絕不對陌生人送來的隨機(jī)文檔簽名，這能夠有效的確保數(shù)字簽名的安全性。

參考文獻(xiàn)

[1] 王小珂.高校數(shù)字化校園建設(shè)的安全性研究及應(yīng)用[D].鄭州大學(xué)，2014.

[2] 卜祥濤，劉艷芝.基于未確知測度理論的高校校園網(wǎng)安全風(fēng)險分析[J].價值工程，2013（3）：166-167.

[3] 杜宇.高校校園網(wǎng)安全防御體系的構(gòu)建與實施[J].通訊世界，2015（5）：38-39.

[4] 朱徐飛.數(shù)字化校園數(shù)據(jù)平臺建設(shè)關(guān)鍵技術(shù)研究[D].華北電力大學(xué)（北京），2016.

[5] 馬錦輝.淺議當(dāng)前高校校園網(wǎng)網(wǎng)絡(luò)安全的設(shè)計與分析[J].電子制作，2013（16）：144.