长春理工大学OA系统安全性及实施方案研究
摘要
要把长春理工大学建设成综合性、研究型、开放式的国内一
流大学,需要具有世界先进水平的办公与管理机制提供强有力的
支持。随着计算机枝术、网络枝术的迅速发展以及系统科学、管
理科学的引进;在现有的校园计算机网络上建立高效、协调、集
成的数字化办公系统已成为可能,这也是能够从根本上变革办公
及管理体制的有效途径。
选用 LOTUS NOTES/DOMINO作为长春理工大学办公自动化系统
的主要开发平台,因为 LOTUSNOTES是目前最出色的群件系统,
在提供企业级INTERNET/INTRANET解决方案、信息系统集成、文
档数据处理方面处于行业领先地位。成为办公自动化系统研究和
建设以及企业信息系统集成的事实工业标准。
长春理工大学办公自动化系统的建设,办公系统的网络安全
性应该是关注的焦点。本系统充分利用了NOTES提供的在网络安
全方面的强大功能,其中包括NOTES数据加密,数字签名和NOTES
的身份认证以及多级访问控制。
NOTES中的数据加密主要体现在以下几个方面
发送安全电子邮件。使用接收者的NOTES公钥对电子邮件文
档进行加密。防止未被授权的用户读取它。我们也可以加密已保
存的邮件和外来邮件。
网络端口级加密。对在NOTES工作站和DOMINO服务器间或在
两台DOMINO服务器间舆的信息实施加密操作,未授权的用户在信
息舆过程中将无法读取数据。
SSL事务。使用SSL对在INTERNET客户机和DOMINO服务器间
或在NOTES工作站和INTERNET服务器间传送的住处进行加密,未
授权的用户在信息舆过程中将无法读取数据。
域、文档和数据库加密。应用程序开发者可以对文档中的域、
整个文档以及本地数据库进行加密。这样,只有指定的用户才能
读取这些信息。
NOTES的数字签名主要用来保证文档数据的原始性以及作者
身份的不可否认性。一个NOTES文档可以包含有多个存取控制区
段,而每一个区段都可以包含一个NOTES数字签名。
NOTES的身份认证包括NOTES工作站与DOMINO服务器之间的
认证以及1叮皿N叮客户端与mM mo服务器之间的认证。NOES L
作站与DOMINO服务器之间的身份认证是双向的;它{[I的信任基
础就是他们共同的验证者m。mu叫盯客户端与mM洲服务器
之间的SSL认证中,客户端对服务器端的认证是必须的;但服务
器不一定要求验证客户机身份,因为有的服务器允许 INTERNET上
的匿名访问。它们认证的信任基础,可以是第三方的以机构,也
可以是企业内独立的 DOMI NO验证字权威服务器。
NOTES提供了可达七级的存取控制权限;它4[〕依次为服务器、
数据库、文件夹、视图、文档、区段和文档域级这七级控制权限
能够有效的保证NOTES文档的安金性。同时NOTES还允许用户通
过建立群组的角色的方式来规划NOTES数据库的访问安全性;给
用户在规划文档安全性时;给用户在规划文档安全性时带来更大
的灵活性。
止匕外,采取了一定手段来进一步改善系统的安全性,概括地
说,主要体现在以下几个方面:
利用双网卡主机枝术实现办公网络安全隔离。为了保证OA系
统网络的安全性;我们采用了双网卡主机枝术实现了办公网络和
现有校园网络的物理隔离,并在内部网卡上使用 rX/SPX协议,
关闭标准的 TCP/IP协议。保证了WB办公站点对 INTERNET用户
的可访问性同时wTBRMT用户不能直接访问DOMINO数据库服务
器,使DOMINO数据库服务器免遭 INTERNET用户的攻击。
引入第三方的公钥基础结构(PK)。通过引入第三方的公钥
基础结构来进一眯改善网络系统的安全性。我们专门为本系统编
写了一个用管理用户私钥和数字证书的管理程序。利用止匕管理程
序为办公用户创建用于数字签名的公私钥对于数据加密的公私钥
对,将这两个私钥导出到用户的软盘,并用口令字进行强加密。
本管理程序还根据每个办公用户的公钥信息和个人身份住处生成
证书请求文件;然后通过访问校内证书颁发机构的,北京晚报将
证书请求提交到CA;由证书管理员负责为每个用户颁发数字证书。
每个办公用户将拥有两个数字证书,其中一个用于数据加密,而
另一个用于验证数字签名。本系统还专j刁建立了一个用来存放办
公用户数字证书的,以方便用户在实施数据力。密和验证数字签名
时访问。
利用数字证书实现双层数字签名。本系统利用数字证书实现
了对NOTES文档的双层数字签名。用户在创建或签发公文时可以
使用自己所拥有的签名公私钥对来创建唯一的签名。而当另一个
用户需要验证该数字签名时,可以使用签名者的数字证书来验证
其签名的有效性。同时本系统还采用了 NOTES的数字签名技术,
6Q
由 NOTES的数字签名技术和基于数字证书的数字签名枝术来共同
保证文档数据的原始性以及文档作者身份的不可否认性。
利用数字证书实现数据的两级力。密,本系统利用数字证书实
现了对文档中高度敏感数据的两级中密操作。在保存或邮寄文档
时,用户可以使用数字证?
流大学,需要具有世界先进水平的办公与管理机制提供强有力的
支持。随着计算机枝术、网络枝术的迅速发展以及系统科学、管
理科学的引进;在现有的校园计算机网络上建立高效、协调、集
成的数字化办公系统已成为可能,这也是能够从根本上变革办公
及管理体制的有效途径。
选用 LOTUS NOTES/DOMINO作为长春理工大学办公自动化系统
的主要开发平台,因为 LOTUSNOTES是目前最出色的群件系统,
在提供企业级INTERNET/INTRANET解决方案、信息系统集成、文
档数据处理方面处于行业领先地位。成为办公自动化系统研究和
建设以及企业信息系统集成的事实工业标准。
长春理工大学办公自动化系统的建设,办公系统的网络安全
性应该是关注的焦点。本系统充分利用了NOTES提供的在网络安
全方面的强大功能,其中包括NOTES数据加密,数字签名和NOTES
的身份认证以及多级访问控制。
NOTES中的数据加密主要体现在以下几个方面
发送安全电子邮件。使用接收者的NOTES公钥对电子邮件文
档进行加密。防止未被授权的用户读取它。我们也可以加密已保
存的邮件和外来邮件。
网络端口级加密。对在NOTES工作站和DOMINO服务器间或在
两台DOMINO服务器间舆的信息实施加密操作,未授权的用户在信
息舆过程中将无法读取数据。
SSL事务。使用SSL对在INTERNET客户机和DOMINO服务器间
或在NOTES工作站和INTERNET服务器间传送的住处进行加密,未
授权的用户在信息舆过程中将无法读取数据。
域、文档和数据库加密。应用程序开发者可以对文档中的域、
整个文档以及本地数据库进行加密。这样,只有指定的用户才能
读取这些信息。
NOTES的数字签名主要用来保证文档数据的原始性以及作者
身份的不可否认性。一个NOTES文档可以包含有多个存取控制区
段,而每一个区段都可以包含一个NOTES数字签名。
NOTES的身份认证包括NOTES工作站与DOMINO服务器之间的
认证以及1叮皿N叮客户端与mM mo服务器之间的认证。NOES L
作站与DOMINO服务器之间的身份认证是双向的;它{[I的信任基
础就是他们共同的验证者m。mu叫盯客户端与mM洲服务器
之间的SSL认证中,客户端对服务器端的认证是必须的;但服务
器不一定要求验证客户机身份,因为有的服务器允许 INTERNET上
的匿名访问。它们认证的信任基础,可以是第三方的以机构,也
可以是企业内独立的 DOMI NO验证字权威服务器。
NOTES提供了可达七级的存取控制权限;它4[〕依次为服务器、
数据库、文件夹、视图、文档、区段和文档域级这七级控制权限
能够有效的保证NOTES文档的安金性。同时NOTES还允许用户通
过建立群组的角色的方式来规划NOTES数据库的访问安全性;给
用户在规划文档安全性时;给用户在规划文档安全性时带来更大
的灵活性。
止匕外,采取了一定手段来进一步改善系统的安全性,概括地
说,主要体现在以下几个方面:
利用双网卡主机枝术实现办公网络安全隔离。为了保证OA系
统网络的安全性;我们采用了双网卡主机枝术实现了办公网络和
现有校园网络的物理隔离,并在内部网卡上使用 rX/SPX协议,
关闭标准的 TCP/IP协议。保证了WB办公站点对 INTERNET用户
的可访问性同时wTBRMT用户不能直接访问DOMINO数据库服务
器,使DOMINO数据库服务器免遭 INTERNET用户的攻击。
引入第三方的公钥基础结构(PK)。通过引入第三方的公钥
基础结构来进一眯改善网络系统的安全性。我们专门为本系统编
写了一个用管理用户私钥和数字证书的管理程序。利用止匕管理程
序为办公用户创建用于数字签名的公私钥对于数据加密的公私钥
对,将这两个私钥导出到用户的软盘,并用口令字进行强加密。
本管理程序还根据每个办公用户的公钥信息和个人身份住处生成
证书请求文件;然后通过访问校内证书颁发机构的,北京晚报将
证书请求提交到CA;由证书管理员负责为每个用户颁发数字证书。
每个办公用户将拥有两个数字证书,其中一个用于数据加密,而
另一个用于验证数字签名。本系统还专j刁建立了一个用来存放办
公用户数字证书的,以方便用户在实施数据力。密和验证数字签名
时访问。
利用数字证书实现双层数字签名。本系统利用数字证书实现
了对NOTES文档的双层数字签名。用户在创建或签发公文时可以
使用自己所拥有的签名公私钥对来创建唯一的签名。而当另一个
用户需要验证该数字签名时,可以使用签名者的数字证书来验证
其签名的有效性。同时本系统还采用了 NOTES的数字签名技术,
6Q
由 NOTES的数字签名技术和基于数字证书的数字签名枝术来共同
保证文档数据的原始性以及文档作者身份的不可否认性。
利用数字证书实现数据的两级力。密,本系统利用数字证书实
现了对文档中高度敏感数据的两级中密操作。在保存或邮寄文档
时,用户可以使用数字证?
引文
1.方美琪.《电子商务概论》,清华大学出版社.1999
2.Derek Atkins.《Internet网络安全专业参考手册》,机械工业出版社.1998
3.姜旭平等.《网络商务处理系统》,人民邮电出版社.1999
4.Bruce Schneier.《应用密码学》,机械工业出版社.2000
5.信息产业部.《电子商务认证机构建设管理规范》.2002
6.Merike Kaeo.“网络安全性设计”,人民邮电出版社.2000
7. Marc Branchaud. "A Survey of Public-Key Infrastructures". 1997
8. Liaquat Khan, Senior Consultant. "Deploying Public Key Infrastructure", Information Security Technical Report, Vol.3, No. 2, 1998, 18-33
9. "SSL3.0Spcecification",http://developer. netscape, com/docs/manuals/security/sslin
10. Shimshon Berkovits, Santosh Chokhani, Judith A. Furlong, Jisoo A. Geiter. "Public Key Infrastructure Study Final Report" ,National Institute of Standards and Technology. 1994
11. Heinz Johner, Seiei Fujiwara. "Deploying a Public Key Infrastructure", IBM International Technical Support Organization, 2000
12.[美]ROLKIRKLAND等著 萧湘工作室译详,DOMINO系统管理,人民邮电出版社,2000年12月第1版。
13.[美]FATE GREGORY著 康博工作室译,VISUAL C++5开发使用手册,机械工业出版社,1999年3月第1版。
14.[美]KYLE BROWN,KENYON BROWN等著 云舟工作译,LOTUS NOTES与DOMINO5实用大全,中国水利电力出版社,2001年1月第1版。
15.莲花软件(中国)有限公司著,LOTUS DOMINO R5安全技术,机械工业出版社,2000年4月第1版。
16.[美]ANDREW S。TANENBAUM著 熊桂喜 王小虎译,计算机网络,清华大学出版社,2000年3月第3版。
17.[美]GREGORY B PEPUS著 前导工作室译,用DOMINO开发WEB站点,机械工业出版社,1998年7月第1版。
18.[美]K CLEMENTS C WUESTEFELD J TRENT J CLEMENS著 朱玉山 王晓冬译,ISAPI衫技术与指南,清华大学出版社,1999年4月第1版。
19.[美]DEREK ATKINS等著 严伟 刘晓丹 王千详等译,INTERNET网络安全专业参考手册,机械工业出版社,2000年7月第1版。
20.[M]陈永剑 沈兰生,任鲲鹏等译,挑战黑客——网络安全的最终解决方案,北京电
子工业出版社,2000年7月第1版。
21.[美]MICHAEL J MARTIN 著归元计算机工作室译,网络精髓实用与量论,机械工业出版社,2000年11月第1版。
22.鲁士言语编著,计算机网络协议与实现技术,清华大学出版社,2000年7月第一版。
23.北京义驰美迪技术开发有限公司编,LOTUS DOMINO4.6应用开发指南,中国水利电力出版社,1998年7月第1版。
24.北京义驰美迪技术开发有限公司编,精通LOTUS NOTES编程技术,中国水利电力出版社,1998年7月第1版。
25.计算机世界,电子商务(EC)的安全要素及其相关技术,http://www.mmit.stc.sh.cn/projects/ecforum/technology/right12.htm.2000年5月。
26.上海国际电子商务论坛,电子商务采用的主要安全技术及其标准规范。http://www.westol.com.cn/dzsw/dzsw9.htm.2000年3月
27.中国网络安全响应中心,数据加密解密技术文档,http://www.cns911.com/docs/encrypt/list.php.2000年10月
27.上海国际电子商务论坛,INTERNET上的安全认证加密与数字签名,http://www.mmit.stc.sh.cn/projects/ecforum/techology/980525-O6.htm.2000年5月。
2.Derek Atkins.《Internet网络安全专业参考手册》,机械工业出版社.1998
3.姜旭平等.《网络商务处理系统》,人民邮电出版社.1999
4.Bruce Schneier.《应用密码学》,机械工业出版社.2000
5.信息产业部.《电子商务认证机构建设管理规范》.2002
6.Merike Kaeo.“网络安全性设计”,人民邮电出版社.2000
7. Marc Branchaud. "A Survey of Public-Key Infrastructures". 1997
8. Liaquat Khan, Senior Consultant. "Deploying Public Key Infrastructure", Information Security Technical Report, Vol.3, No. 2, 1998, 18-33
9. "SSL3.0Spcecification",http://developer. netscape, com/docs/manuals/security/sslin
10. Shimshon Berkovits, Santosh Chokhani, Judith A. Furlong, Jisoo A. Geiter. "Public Key Infrastructure Study Final Report" ,National Institute of Standards and Technology. 1994
11. Heinz Johner, Seiei Fujiwara. "Deploying a Public Key Infrastructure", IBM International Technical Support Organization, 2000
12.[美]ROLKIRKLAND等著 萧湘工作室译详,DOMINO系统管理,人民邮电出版社,2000年12月第1版。
13.[美]FATE GREGORY著 康博工作室译,VISUAL C++5开发使用手册,机械工业出版社,1999年3月第1版。
14.[美]KYLE BROWN,KENYON BROWN等著 云舟工作译,LOTUS NOTES与DOMINO5实用大全,中国水利电力出版社,2001年1月第1版。
15.莲花软件(中国)有限公司著,LOTUS DOMINO R5安全技术,机械工业出版社,2000年4月第1版。
16.[美]ANDREW S。TANENBAUM著 熊桂喜 王小虎译,计算机网络,清华大学出版社,2000年3月第3版。
17.[美]GREGORY B PEPUS著 前导工作室译,用DOMINO开发WEB站点,机械工业出版社,1998年7月第1版。
18.[美]K CLEMENTS C WUESTEFELD J TRENT J CLEMENS著 朱玉山 王晓冬译,ISAPI衫技术与指南,清华大学出版社,1999年4月第1版。
19.[美]DEREK ATKINS等著 严伟 刘晓丹 王千详等译,INTERNET网络安全专业参考手册,机械工业出版社,2000年7月第1版。
20.[M]陈永剑 沈兰生,任鲲鹏等译,挑战黑客——网络安全的最终解决方案,北京电
子工业出版社,2000年7月第1版。
21.[美]MICHAEL J MARTIN 著归元计算机工作室译,网络精髓实用与量论,机械工业出版社,2000年11月第1版。
22.鲁士言语编著,计算机网络协议与实现技术,清华大学出版社,2000年7月第一版。
23.北京义驰美迪技术开发有限公司编,LOTUS DOMINO4.6应用开发指南,中国水利电力出版社,1998年7月第1版。
24.北京义驰美迪技术开发有限公司编,精通LOTUS NOTES编程技术,中国水利电力出版社,1998年7月第1版。
25.计算机世界,电子商务(EC)的安全要素及其相关技术,http://www.mmit.stc.sh.cn/projects/ecforum/technology/right12.htm.2000年5月。
26.上海国际电子商务论坛,电子商务采用的主要安全技术及其标准规范。http://www.westol.com.cn/dzsw/dzsw9.htm.2000年3月
27.中国网络安全响应中心,数据加密解密技术文档,http://www.cns911.com/docs/encrypt/list.php.2000年10月
27.上海国际电子商务论坛,INTERNET上的安全认证加密与数字签名,http://www.mmit.stc.sh.cn/projects/ecforum/techology/980525-O6.htm.2000年5月。
© 2004-2018 中国地质图书馆版权所有 京ICP备05064691号 京公网安备11010802017129号 地址:北京市海淀区学院路29号 邮编:100083 电话:办公室:(+86 10)66554848;文献借阅、咨询服务、科技查新:66554700 |