摘 要:信息安全问题越来越突出。就信息安全中常见的问题做了简单的探讨,提出了一种基于椭圆曲线的代理盲多重签名方式,并应用到信息安全系统中。
关键词:椭圆曲线;签名;信息安全
引言
电子数据交换已成为信息交换的主要形式,信息安全面临越来越严峻的挑战。信息安全的核心是密码技术,而基于椭圆曲线的密码技术由于可以用一些较小的数来达到使用更大的有限域所获得的安全性等优点,因此受到了越来越多的关注。
1 基于椭圆曲线的代理盲多重签名技术的信息安全系统模型
在基于椭圆曲线的代理盲多重签名技术的基础上,构建一种理论模型,基于椭圆曲线的代理盲多重签名技术的信息安全系统模型,如图1所示。
图1基于椭圆曲线的代理盲多重签名技术的信息安全系统模型
该模型的核心控件是基于椭圆曲线的代理盲多重签名技术的密匙认证WEB服务器。
当信息由外网经由Internet传入内网时,不可信任信息源经过包过滤路由器,将恶意攻击信息阻挡在校园以外;信息到达该模型的核心控件时,服务器对加密信息进行解密;整个网络分割成N个子网,解密后的信息进入相应的子网,不同的子网间通讯采用总线机构;每个子网与通讯总线之间都接有一个应用层防火墙,以避免交叉感染;在通讯总线上接有安全检测工具,当发现安全问题和薄弱环节则通知核心控件,以便于修补安全漏洞,提高信息安全性能。
当信息由网内向外传输时,首先经过核心控件,服务器根据信息的重要程度决定是否加密,即是否要进行数字签名;经过处理后的信息传入包过滤路由器,阻挡网内的恶意信息;信息经由Internet传到相应的主机。
2 包过滤路由器
包过滤技术是在网络层对流经它的信息包按源地址、目标地址、服务端口号、协议状态、等进行检查;根据事先系统内设置的过滤逻辑进行筛选、过滤和屏蔽,以决定丢弃该信息包还是将其转发,通常将包过滤软件安装在路由器上,构成包过滤路由器。
过滤路由器应同时对源端口和目的端口进行过滤。许多过滤路由器仅能对目的端口进行过滤,这会带来不安全因素。
3 身份认证
身份认证可以通过服务器CA证书实现,CA证书用来认证服务器的身份,用户一般可采用ID号和密码口令的身份确认机制。
身份认证加上基于椭圆曲线的代理盲多重签名技术以及必须的WEB资源访问控制就构成了基于椭圆曲线的代理盲多重签名技术的密匙认证WEB服务器。
4 应用层防火墙
应用层防火墙能对通讯的环境给予严格的控制,以防有价值的信息被窃取。在确认连接前,先要求用户输入口令,以进行严格的用户认证,一旦知道了所连接的对方的身份,就能控制用户的访问,如限制连接的时间、连接的主机、使用的服务等。
5 安全检测工具
目前,市场上有许多的安全检测工具出售,如网威公司的Netpower产品,它采用了扫描策略,发现安全问题和薄弱环节,给出相关的安全建议和修补措施,及时进行修补防护,通过提高网络和系统自身的安全性能来防止攻击。
系统可以购买这样的产品作为加强内部网络与系统的安全防护性能和抗破坏能力的工具。
6 性能分析
(1)安全模型的优点。
①防交叉感染。由于网络被分割成若干部分(一般一个系部一个子网),不同的子网间接有应用层防火墙。若子网A被攻破或感染,则不会牵连到其他子网,如B;当子网A被修复后也就不存在由B传来的攻击或感染。
②速度快。由于网内与网外信息源只隔着一个最简单的防火墙,所以网络内外的信息交流速度是比较快的。
③安全。核心部件采用椭圆曲线加密使向外传输的信息更安全。另外采用网络层防火墙(即包过滤路由器)和应用层防火墙相结合的方式进一步提高了校内信息的安全性。
④动态防护。安全检测工具能够及时将发现的问题和漏洞通知服务器,管理人员能够适时修补薄弱环节,提高防护性能。
(2)安全模型的不足。
①抵挡外部进攻能力不足。由于信息由网外进入网内只经过了一道最简单的防火墙,因此面对外部攻击源比较脆弱。
②子网间通讯速度慢。由于每个子网向通讯总线传输信息时都要经过一道应用层防火墙,反之接受信息时还要经过一次,因此子网间通讯速度受到了一定的影响。
结束语
信息安全问题的严峻性和重要性已不言而喻,解决信息安全问题刻不容缓。目前安全系统开发尚未成熟,其功能、需求、体系结构、实现技术都有待进一步的研究和实践。
参考文献:
[1] 韩锦荣,吕继强,王新梅 基于椭圆曲线的可验证门限签名方案 西安电子科技大学学报(自然科学版) 2003.2
[2] 王洪涛,李大兴,周大水 一种新的基于椭圆曲线的代理盲多重签名 微电子学与计算机 2007年第24 卷第2 期
[3] 肖力 RSA密码系统实现数字签名 长春工程学院学报(自然科学版) 2002.5
[4] 李欣妍 芦殿军 基于椭圆曲线密码体制的代理多重盲签名 计算机工程与科学 2010年第11期
