摘
文研究思路通国民航单位实际调查结合国民航值机信息安全现状查找民航值机系统网络信息安全存问题找解决应问题思路提出适合国民航值机系统现行体制网络信息安全保障体系
(1)首先城市民航民航值机系统信息网络安全现状安全需求进行分析根民航企业民航值机系统信息网络安全现状安全需求寻找原民航值机系统信息网络安全保障系统进行优化升级改造解决办法
(2)鉴前先进民航值机系统信息网络安全理安全技术提出该民航企业原民航值机系统信息网络安全理系统进行优化升级改造成设计成种适目前该民航企业需统理高效安全保障体系民航值机系统信息网络安全控系统设计解决方案
(3)根信息网络安全控系统框架设计解决方案该民航企业民航值机系统网络安全资源进行合理整合调整安全技术架构安全控制架构原信息网络安全系统进行优化升级改造安全技术设备进行重新部署建立健全安全组织机构安全员责制系统备份策略完成新民航值机系统部署设计
文研究成果提高整信息系统运行稳定性促进保障机场快速发展提高航空公司机场服务水旅客满意度民航值机系统安全运行现实意义
关键词:民航值机信息安全安全策略
ABSTRACT
The idea of this study is combined with the current situation of civil aviation in information security through the investigation of the civil aviation units found the civil aviation checkin system of network and information security problems find ways to solve the problems and put forward the network and information security system for China's civil aviation system in the current system
(1) First carries on the analysis of civil aviation checkin system information network security status and security requirements of the civil aviation city according to the civil aviation checkin system information network security status and security requirements of civil aviation enterprises for optimization upgrading and transformation of the original system in civil aviation information network security system solutions
(2) From the civil aviation checkin system information network security theory and the current advanced security technology put forward to the original value of the system of civil aviation civil aviation enterprise information network security management system optimization upgrading and transformation designed as a suitable for the civil aviation enterprises need and solutions of security system design unified management efficient aviation checkin system information network security management system
(3)In accordance with the solution framework design of information network security management system reasonable integration of the civil aviation enterprises of civil aviation checkin system network and security resources adjust the security architecture and security control architecture optimization upgrading and transformation of the original information network security system re deploy security technology and equipment Establish and improve the security organization security personnel responsibility system and the system backup strategy the completion of the deployment of the new civil aviation checkin system design
The results of this study to improve the stability of the whole information system but also to promote the rapid development of the airport security improve the airline and airport service level and passenger satisfaction operation of civil aviation security checkin system is of great significance
Keywords Civil Aviation checkin information security security policy
目 录
1 绪 1
11 研究背景意义 1
12 国外研究现状 2
121 国外研究现状 2
122 国研究现状 2
13 文研究方案 3
131 研究目标 3
132 研究容 3
133 创新处 4
2 安全策略理研究 5
21 密码学概述 5
211 密码学发展 5
212 密码学相关概念分类 7
22 称密码体制 8
221 称加密概述 8
222 DES算法 9
223 称密码算法 11
23 非称密钥加密体制 13
231 非称密钥加密体制简介 13
232 算法 13
24 身份认证访问控制策略 16
241 基户名密码单素认证技术 16
242 基动态验证双素认证技术 16
243 基生物特征识认证方式 17
244 第三方认证服务 18
3 前民航值机系统信息安全存问题挑战 20
31前民航值机系统信息安全尚存问题 20
311民航值机系统信息安全意识淡薄安全漏洞频出 20
312民航值机系统信息安全基础薄弱国外赖性强 20
313 反动势力民航值机系统信息利 20
32 民航值机系统信息安全面挑战 21
321 容易病毒木马入侵 21
322 户控制中心容易入侵 21
323 信息容易窃取 21
4 民航城市值机系统信息安全策略研究 23
41 系统数通信加密 23
411 RSA算法改进 23
412 云计算中混合加密 23
413 民航值机系统加密安全策略 26
42 基角色身份验证访问控制策略 28
421 实现前提 28
422 系统联动 29
423 实现方式 29
424 实现效果 30
43 基防火墙技术控制策略 32
431 民航值机系统防火墙默认选项设置 32
432 VLAN设置 32
433 安全域配置 33
434 防火墙界面功设计安装 33
5 民航值机系统信息安全解决方案 36
51 素方面 36
511 强化安全防范理 36
522 健全信息安全理制度机制 36
523 确保民航值机相关员教育培训 36
52 系统安全设计方面 37
521 提升民航值机系统信息安全技术层次 37
522 民航值机设备安全 37
523 民航值机数传输安全 37
524 民航值机软件系统设计安全 38
结 39
参 考 文 献 40
致 谢 41
1 绪
11 研究背景意义
着年国助值机系统断发展国机场均架设安装隶属航空公司应机场代理方助值机设备方面简化旅客出行手续方面降低值机柜台工作压力时旅客满意度航空公司机场服务水准提高够更加快捷方便完成原机场完成值机操作考虑扩助值机系统应场景助值机系统应范围扩型写字楼旅客居住酒店饭店等目前机场助值机设备统民航专网络安全性相较差酒店等非传统民航业务区域部署民航专网络系统安全性成开销效保证正基述考虑提出基民航值机系统安全民航城市值机系统
相传统网络助值机网络更易受包括节点俘获数篡改重发动窃听伪造身份等安全威胁攻击研究成果般直接应助值机网络
便安全攻击威胁进行分析时针性采取相应措施角度攻击威胁进行分类根值机系统协议层次攻击分物理层攻击链路层攻击网络层攻击传输层攻击应层攻击等根攻击发生形式分基机攻击基网络攻击攻击发生范围分部攻击外部攻击中部攻击更难监测防范根攻击手段总防御机制纳类:密钥理认证访问控制安全路技术数融合安全入侵检测等加密技术网络包括值机系统网络安全方案中项技术基础通加密满足网络项安全需求节点认证保密性完整性等针安全问题信息安全理技术解决问题关键满足值机系统网络数安全需求需设计出更适值机系统网络安全理方案
通设计研究完善民航企业信息网络安全保障体系提升民航企业安全级提高企业安全理水控效率实现该民航企业值机系统信息网络安全防护系统升级换代达值机系统信息网络安全分级安全保护集中统控目
12 国外研究现状
121 国外研究现状
着网络技术发展普享数文件解决数致性资源浪费问题系统集成雏形数享成系统集成基初目着独立数库系统引入系统集成概念明确提出系统集成进入第二发展时期国际基智助服务技术国外许公关服务场广泛应二十年美国航空公司均已先建立基础数库保证敏感信息非授权访问篡改破坏保证核心数安全性机密性着网络应断深入防火墙防病毒入侵检测等安全设备软件逐步应信息网络安全保护相继出现安全理类安全产品信息安全角度讲户进行城市值机操作切信息确保机密性完整性时性性鉴性抵赖性巨考验挑战
现关注实密码技术PKI技术国外PKI应已开始开发PKI厂商家许厂家推出应PKI产品公司VerySign等已开始提供PKI服务网络许应正PKI技术保证网络认证否认加解密密钥理等总说PKI技术发展中
122 国研究现状
国信息安全研究历通信保密计算机数保护两发展阶段正进入网络信息安全研究阶段安全体系构建评估程中学吸收消化原进行安全操作级安全研究方方面取成果成果某方面存定足需通实践进步改进发展理基础技术手段需发展强化李海民航空网络信息安全理体系构建研究中深圳空网络研究象分析深圳空网络存问题根整体深防御思想(Defense in Depth)提出加强网络信息安全策建议
吴冠男民航信息系统安全分析文中针民航系统现信息安全理体系足提出建立安全评估发现漏洞解决漏洞制定科学理措施预防事新安全模式思路建议通层次分析法动态风险评估法等新安全评估方法前民航网络信息安全系统进行评估
刘金花等研究设计种新型监控理系统数采集数分析策略定制实现网络部机设备性数信息分析监视控制
需处理移动系统终端病毒隐私信息窃取恶意干扰户操作防止入侵银行数库网络系统攻击等安全行助值机简便易行旅客快获登机牌解决客户助服务问题旦值机系统发生数丢失短时间法恢复会造成业务长时间中断防止出现业务中断情况冗余强信息系统必少信息安全成目前助服务面挑战
值机系统远离信息安全风险必须断进行技术提高完善信息安全建起道性技术屏障时需制定遇重灾难时性技术应急方案保证值机系统操作端运营商端安全性
13 文研究方案
131 研究目标
城市值机系统详细记录户调时间行便理通常定时段日志存文件固定时间点进行日志文件切换通审计分析程序分析系统中潜侵害攻击等威胁事件时快速定位系统障便系统维护
系统中采RSA加密算法传统应场景通讯双方拥私钥公钥发送方方公钥加密发送数接收方私钥解密数通访问控制数加密安全审计等方面研究设计实现确保城市值机系统民航值机系统应环境中安全
132 研究容
(1)文作者通国外信息安全技术研究相关文献资料查阅搜集国外相关课题研究进行系统整理纳中较典型信息安全技术研究进行深入学探讨较分析研究阶段研究特点
(2)系统信息网络安全方面研究进展讨攻击防御策略加密算法密钥理安全架构等方面典型安全解决方案进行述较分析
(3)重点梳理值机系统信息安全理涵信息系统安全理程信息系统安全技术信息系统安全技术策略制定程影响素等文研究题密切相关概念旨文研究提供理支撑时理框架角度剖析文研究行性理价值通信息系统安全理象目标容措施等梳理剖析信息系统安全理涵仅展示值机系统信息安全理务更突出值机系统信息安全理活动重点核新信息系统安全技术策略制定
133 创新处
文根民航值机系统安全协议针安全算法提出实现种安全评估方法身份验证访问控制系统数通信加密系统安全审计三层面中密钥理安全认证技术保证民航值机系统网络安全通信重技术手段密钥理技术体现出通信密钥理行安全认证技术体现出通信双方身份信息合法性进行鉴文着重三方面进行研究探讨分提出种设计方案
2 安全策略理研究
21 密码学概述
211 密码学发展
(1)古典密码
计算机出现前密码学算法通字符间代易位实现称密码体制古典密码古典密码学指20世纪40年代前密码编码密码分析技术特1935年1940年期间民航值机数学通讯等相关技术发展特两次世界战中民航值机信息保密传递破获敌方信息需求密码学空前发展广泛民航值机情报部门决策中包括:易位密码代密码(单表代密码表代密码等)密码算法十分简单现已少实际应中密码学涉数学通讯计算机等相关学科知识现知识水言初步研究古典密码学基原理方法进行古典密码学研究理解构造分析现代实密码帮助
密码通信双方约定法进行信息特殊变换种重保密手段法变明文密文称加密变换变密文明文称脱密变换密码早期仅文字数码进行加脱密变换着通信技术发展语言图数等实现施加脱密变换
密码学编码破译斗争实践中逐步发展起着先进科学技术应已成门综合性尖端技术科学语言学数学电子学声学信息计算机科学等着广泛密切联系现实研究成果特国政府现密码编制破译手段具高度机密性
例希特勒台时德国试验种命名谜型机产生220亿种密钥组合假日夜停工作分钟测试种密钥话需约42万年密钥组合试完希特勒完全相信种秘密机安全性然英国获知谜型机密码原理完成部针谜型机绰号炸弹密码破译机秒钟处理掉2000字符破译截获德国情报研制出种秒钟处理5000字符巨型密码破译机投入盟国掌握德国纳粹绝数民航值机秘密机密德国军方知太洋战争中敌方读懂日舰队司令官山五六十发指挥官命令中途岛彻底击溃日海军击毙山五六十导致太洋战争决定性转折
说密码学战争胜利立功密码学仅国家民航值机安全已重点更集中实际应生活中密码例防止查阅文件文件加密防止窃取钱物银行账户设置密码等等着科技发展信息保密需求密码学应融入日常生活
(2)代密码(计算机阶段)
密码形成门新学科20世纪70年代受计算机科学蓬勃发展刺激推动结果快速电子计算机现代数学方法方面加密技术提供新概念工具方面破译者提供力武器计算机电子学时代密码设计者带前未总利电子计算机设计出更复杂密码体系
古典密码体制受时历史条件限制没涉非常高深者复杂理漫长发展演化程中已充分表现出现代密码学两基思想代换位数学方法引入密码分析研究中密码学成系统学科相关学科发展奠定坚实基础计算机科学复杂性理等等
(3)现代密码学
现代密码学研究信息发端收端安全传输安全存储研究知知彼门学科核心密码编码学密码分析学前者致力建立难敌方手攻破安全密码体制知者力图破译敌方手已密码体制知彼类记载通信密码始公元前400年古希腊置换密码发明者1881年世界第电话保密专利出现电报线电发明密码学成通信领域中回避研究课题
着信息化数字化社会发展信息安全保密重性认识断提高1977年美国国家标准局公布实施美国数加密标准(DES)民航值机部门垄断密码局面破民加密产品市场已量出售采加密算法DESIDEARSA等
1976年DiffieHellman密码新方中提出著名DH密钥交换协议标志着公钥密码体制出现
PKI(Public Key Infrastructure)公钥概念技术实施提供安全服务具普适性安全基础设施PKI公钥基础设施务开放环境中开放性业务提供数字签名服务1978年RivestShamirAldleman设计出第实践中公开密钥加密签名方案RSA拉开现代密码学序幕
212 密码学相关概念分类
(1)密码编码学
密码编码学研究编制密码破译密码技术科学研究密码变化客观规律应编制密码保守通信秘密学科
(2)密码分析学
密码分析学密码学重分支研究掌握密钥情况利密码体制弱点恢复明文门科学般说试图发现明文X者密钥K两者程密码破译者策略取决加密方案性质供密码破译者信息加密系统采取截获密文信息攻击类型称动攻击非法入侵加密系统系统进行扰乱删更改增添重放伪造等手段系统中插入假消息种攻击类型称动攻击
根密码分析者破译密码时已掌握前提条件通常密码攻击分种类型(通常假定手知道加密算法):
1)唯密文攻击:密码分析者仅拥消息密文消息相加密算法加密密码分析者利掌握干密文恢复明文推算出密钥
2)已知明文攻击:密码分析者仅掌握干密文知道应明文身密码分析者利推算出密钥者导出加密算法已知明文攻击相密文攻击说具更强攻击力
3)选择明文攻击:密码分析者仅获干密文相应明文掌握明文加挑选明文选择提供更供破译信息攻击力更强
4)选择密文攻击:密码分析者选择加密密文已知密文相应明文密码分析者目试图推导出密钥
种攻击类型中仅密文攻击容易防护攻击手少量信息利选择密文攻击强种攻击手知道利信息种攻击类型强度次递增
提供密文信息少果加密方案产生密文中包含信息足唯决定应密文称该加密方案条件安全说手少时间破译出密文里面没需信息
(3)密码学分类
根加密密钥解密密钥性质差异密码体制分称密码加密公钥密码加密两类称密码:种加密密钥解密密钥相数加密方法称单密钥密码者分组密码加密算法加密密钥够解密密钥中推算出反成立数称加密算法中加解密密钥相算法秘密密钥算法单密钥算法求发送者接受者安全通信前先商定密钥称加密算法安全性赖密钥安全性泄漏密钥意味着消息进行加解密保密通信程中密钥必须保密目前常见称加密算法包括DESIDEA等公钥密码:称非称密码基思想加密密钥Ke解密密钥Kd相中难推断出密钥户密钥公布出称公钥密钥保存称私钥目前常见公钥密码算法体制:RSA体制概率体制(PEC)背包体制基离散数PKC等
根明文加密方式单密钥密码体制分两类:类流密码类体制中先短密钥生成周期较长密钥流然明文进行异产生密文类分组密码类体制中先明文分组然逐组进行加密公钥密码体制中般分组密码(单密钥加密体制中)方式进行分类
22 称密码体制
221 称加密概述
称加密算法相说较成熟应较早加密算法技术称常规加密20世纪70年代期公钥加密体制出现前唯种加密体制原理需发送出明文密钥进行特殊加密算法处理变成法识密文传送出接收方想获想明文必须相密钥加密算法逆运算分进行密文处理该算法加解密操作中通信双方相密钥
称加密算法特点计算量较加密速度快极提高加密效率称加密算法安全性取决密钥保密性非算法保密性求通信双方维护知道密钥旦第三方知道该通信密文读需强加密算法维护密钥安全显非常重通信密钥数量快速增加形势引起密钥安全性维护带巨负担缺点
222 DES算法
(1)DES历史
数加密标准DES(Data Encrytion Standard)IBM公司研制种称加密算法1977年美国联邦政府国家标准局采
国家标准技术协会NBS(National Institute of Standards and Technology)1973年5月15日第次加密算法标准进行征集第二年8月27日进行第二次征集直第三年DES征集联邦公报发布1976年8月举行DES第次研讨会第二次研讨会9月份展开数学基础进行讨11月确认标准1977年1月15日发布FIPS PUB 46级FIPS标准1983年进行第次标准期限延长1988年第二次延长期限取代FIPS PUB 46改FIPS4611993年第三次延长期限更改FIP4621999年FIP463作第四次延长标准1994年试验第实验性DES密码分析线性分析1997年DES加密信息第次DES CHAL计划公开破解1998年DES密钥EFFDES破解器Deep Crack56时破解年1月22时15分钟破解2002年5月份AES标准开始生效
DES算法30年时间里未做改动情况效期延长3次着加密领域断探索电脑技术断发展DES算法已保证网络安全性第四次延期时受威胁期间AES算法作DES算法代品第四次延期中优先
(2)DES算法原理
DES算法加密时01组成长度64位明文密钥长度样01组成长度64位中56位效密钥组成数学表述
设明文m密钥k
mm1m2m3m64
Kk1k2k3k64 (mk01i12364)
加密程:DES(m)IP^1t(16)t(15)t(1)IP(m)
解密程:DES^1IPt(1)t(2)t(15)t(16)IP^1(IP互逆置换t(1)t(2) t(16)16种逆变换)
(3)DES加密程
DES长度64特明文长度样64特密钥组成密钥言分成八8特字节中7特56字节加密算法第8特8字节奇偶校验
DES算法程图21示:
图21 DES算法程
图中出明文处理中首先64位明文通初始置换IP产生位进行置换输入接着相函数进行16轮迭代形成程第16次迭代输出64位构成输入明文密钥函数该运算结束结果输出运算部分调换形成预输出通IP^1置换初始置换函数进行逆运算产生64位密文
右半部分首先64位密钥进行置换1位长度变56位然轮进行循环左移置换选择2产生48位子密钥
加密程中首先输入64位明文64位密钥基础进行初始变换16层加密交换基础通逆运算64特密文
DES种积密码综合置换代数 代等种密码运算结构算法迭代显十分紧凑条理清楚易实现时采16次迭代方法保密性提升
223 称密码算法
(1)IDEA算法
国际数加密算法IDEA(International Data Encryption Algorithm)PFS(Proposed Encryption Standard)建议加密标准基础进行改进1990年LaiMassay欧密会提出1991年轮函数进行修订修订算法称IPES1992改名IDEA
IDEA128b密钥64b 分组单位加密数分组密码应64b分组56b密钥DES算法IDEA明文密文块64b密钥长度128b特点加解密相密钥运算速度快
IDEA算法数加密程:明文中64b数块分成四子块分记X1X2X3X4子块16b4子块作第轮迭代输入总进行8轮轮进行4子块间16b子密钥间分进行异mod2^16加法mod(2^16+1)法运算进行次迭代第三第四子块互换次416bit子密钥进行输出变换输出Y1Y4四16bit密文数IDEA算法结构图示:
图22 IDEA算法结构流程图
IDEA算法总需5216bit子密钥块轮需6子密钥总进行8轮迭代轮需4子密钥首先输入128bit密钥kk1k2k128分成8子密钥子密钥16bitz1^(1)k1k2k16z2^(1)k17k18k32z6^(1)k81k82k96z1^(2)k97k98k112z2^(2)k113k114k128zi^(n)代表第n轮迭代中第i子密钥z1^(1)~z6^(1)作第轮中6子密钥剩z1^(2)z2^(2)作第二轮子密钥密钥k左旋25bit接着分成8子密钥前面4作第二轮子密钥4第三轮子密钥接着密钥左旋转移位25bit形成面8子密钥类推直52子密钥全部生成算法结束
算法解密程解密子密钥加密子密钥加法法进行逆运算程两者彼应
IDEA算法软件硬件容易实现计算功没高求密钥长度128bit采穷举法进行攻击需相长时间保证安全性时实现速度DES快认分组密码算法
(2)三重DES
DES算法参数分keydatamode中key密钥data64bit加解密数块modeDES算法方式加密解密算法程简单概括:首先果mode加密密钥数块进行加密操作接着生成数块64位密码作DES算法输出结果输出果时mode指解密密钥数块密码形式进行解密数块原成明文形式时输出该明文
着计算机发展1997年破译DES算法时间已缩短6时1999年短21mints密码破译DES算法已越越保证信息安全性1985年3重DES算法首先提出作美国商加密标准3DES加密方式加密解密加密两种密钥k1k2果k1加密k2进行解密k1解密输出结果次进行加密时输出结果发送密文两密钥该算法原基础复杂度扩2^56倍
(3)Blowfish算法
Blowfish算法具加密快速紧凑key长度变免费等特点加密速度超DES引起重视Bruce Schneier1993年提出该算法Blowfish算法核心加密函数BFEn()种函数计算原理首先64bit明文输入函数处理输出64bit密文加密信息需(1)预处理:pai16进制字符串P数组S盒进行初始化P1密钥第32bit异p2第二32bit异次类推第二步产生子密钥加密全0串输出p1p2子密钥修改加密输出p1p2输出换p3p4重复程直p数组完全换连续变换输出结果次换S盒
Blowfish安全快速简单特点应加密软件中国外ShelfishSplashID国Linux软件核心加密部分该种算法目前止已150种产品基该算法
23 非称密钥加密体制
231 非称密钥加密体制简介
非称密钥加密算法需公开密钥私密钥奠定公开密钥密码体制基础WDiffieMEHellman1976年发表杰出文密码学新方区称密钥密码体制公开密钥密码体制双密码体制加密密钥公开公开密钥进行加密相应脱密密钥秘密第三方知道公开密钥没掌握相应脱密密钥想解开密文困难
种算法特点:算法复杂强度高安全性赖算法密钥该算法复杂导致加解密速度没称加密算法快速算法包括:RSAElgamal背包算法RabinDH椭圆曲线加密算法ECC等
232 算法
(1)RSA算法
RSA简介:着公信息系统商业性应加快尤电子商务快速发展RSA公钥加密算法1978年Ron RivestAdi Shamir Leonard Adelman提出第时数加密数字签名算法第理成功公开密钥密码体制易操作理解广泛应网络加密连接网银身份验证信卡数字证书电话存储卡等种技术
RSA种幂模运算加密体制该算法安全性取决Euler定理计算复杂性理公私钥素数函数两素数进行积计算较容易子素数中分解出相困难公布未攻破
数学原理
设p明文c密文
明文加密密文计算公式cp^e mod n
密文解密明文计算公式pc^d mod n
密钥产生流程图23:
图23 密钥产生流程图
(2)ECC(椭圆曲线加密算法)
ECC(CurveCryptography)算法点加运算运算速度RSADES模幕运算快密钥尺度系统参数占存储空间带宽求较低ECCVictorMillerNKoblitz1985年提出应ElGamal体制中种公钥密码算法提出引起密码学界士广泛关注具高安全性低消耗运算快硬件求较低等优点安全性赖椭圆曲线离散数难解性相密钥长度安全性远远胜RSA算法已列入IEEE1363标准
目前已组织ECC制定相关文档:ISOIEC1488ANSIX962等等ECC系统标准制定出ECCRSA样广泛采
(3)Elgamal算法
ElGamal公钥密码体制1984年father ElGamal提出基离散数算法公钥体制采DiffieHellman密钥分配体制思想利ElGamal公钥密码体制设计数字签名相较般公钥密码体制签名优势高安全性实性
ElGamal加密程生成密钥首先选择素数p两机数gx(gxELGAMAL签名加密需新k时k必须机选取表列出ELGAMAL长度模数运算速度:
表21 ELGAMAL长度模数运算速度
512位
768位
1024位
加密
033秒
080秒
109秒
解密
024秒
058秒
077秒
签名
025秒
047秒
063秒
验证
137秒
512秒
930秒
c.ElGamal签名
体制参数:p素数Z(p)中解出离散数成件困难事情g数群(Z^x)(p)生成原者原元X户密码xͼ(Z^x)(p)S签名空间(Z^x)(p)*(Z^x)(p1)代入公式yg^x mod p计算出公开密钥pgy私钥x
签名:定消息m发信户进行面工作:
发送端户选择秘密机数kͼ(Z^x)(p)
计算H(m)H杂凑函数
rg^k mod ps(H(m)xr)k^(1) mod (p1)
SIG(k)(mk)s(r||s)作签字m(r||s)送方
验证:接受方收m(r||s)计算出H(m)然公式Ver(k)(H(m)rs)1 y^r *r^sg^H(m) mod py^r *r^sg^(xr+ks)g^H(m) mod p方案中相消息m机数k签字值s(r||s)体制安全性基解出离散数困难性
ELGAMAL算法较适合数字签名该算法数字签名简洁容易实现 ELGAMAL数字签名中密钥k公钥没发生变化提高安全性基椭圆曲线签名受ELGAMAL启发
24 身份认证访问控制策略
241 基户名密码单素认证技术
基户名密码认证方式较传统认证技术简单说 户访问网络者系统资源时候系统求规定方输入户名密码系统明文暗文方式接收户户名密码认证数库进行匹配果匹配正确该户成功进入访问系统反访问该系统
难出种方式利弊:操作简单种方式优点缺点系统户安全性难保障系统否完全完决户单方面果户安全意识较强户名密码会复杂定程度提高安全性数户安全意识弱难记复杂密码会选择简单易记时容易猜出者暴力破解密码威胁系统安全严重时甚会导致系统崩溃
242 基动态验证双素认证技术
双素认证系统中户拥密码外拥支持系统发布信息令牌访问设备户系统登录时户输入密码外输入令牌访问设备显示数字提高系统安全性RADIUS 采种认证方式
RADIUS(Remote Authentication Dial In User Service) 种 CS 结构协议客户端初 NAS(Net Access Server)服务器现运行 RADIUS 客户端软件计算机成 RADIUS 客户端RADIUS 协议认证机制灵活采 PAP CHAP 者 Unix 登录认证等种方式[9]
户接入NASNAS RADIUS 服务器AccessRequire 数包提交户信息包括户名密码等相关信息中户密码MD5 加密双方享密钥密钥网络传播RADIUS服务器户名密码合法性进行检验必时提出Challenge求进步户认证 NAS 进行类似认证果合法 NAS 返回 AccessAccept 数包允许户进行步工作否返回 AccessReject 数包拒绝户访问
243 基生物特征识认证方式
公复杂环境中网络结构设计方面求提高等级终端数般千台运行着OA事财务类业务相关信息系统样复杂网络环境中尤考虑存储机密级绝密级数安全问题更容半点疏忽
访问控制点手册中分访问控制强制访问控制涉密信息系统应采取强制访问控制策略包括涉密信息资源直接相关体客体间操作目前部分军工单位采硬件数字证书载体(USB KEY)作身份认证技术该技术广泛运金融业银行医疗机构等信息安全求较高领域时完全符合手册中涉密计算机信息系统访问控制身份识求综合国家相关部门批准硬件数字证书载体保障军工单位涉密网络环境安全户身份认证首选生物特征识技术身份认证中应着独特视角完美解决文开篇提确认户身数字身份拥者问题100保证户数字身份应特点迅速电子支付领域独树帜加生理特征需户记忆理会遗失特点结合原安全体系特定点特定系统甚特定数进行针性精确生物特征认证确保关键数绝安全
外生物特征样字眼觉似种懈击策略点会忽略计算机世界里传输永远01法物理复制生理特征转换数字具复制性数字化特征更难分析提取文提静态密码质样存着黑客程序截取攻击风险
244 第三方认证服务
Kerberos 种网络认证协议设计目标通密钥系统客户机服务器应程序提供强认证服务该认证程实现赖机操作系统认证需基机址信求网络机物理安全假定网络传送数包意读取修改插入数[12] Kerberos 协议计算机网络身份鉴(Authentication) 特点户需输入次身份验证信息验证获票(ticketgranting ticket)访问服务SSO(Single Sign On) Client Service 间建立享密钥该协议具相安全性
Kerberos 协议分两部分:
1ClientKDC(Key Distribution Center)发送身份信息KDCTicket Granting Service TGT(ticketgranting ticket)协议开始前ClientKDC 间密钥TGT加密回复Client时真正 Client利KDC 间密钥加密TGT解密获TGT(程避免Client 直接KDC发送密码求通验证安全方式)
2Client 利前获TGTKDC请求Service Ticket通 Service 身份鉴
Kerberos 协议重点第二部分简介:
(1) Client 前获 TGT 请求服务信息(服务名等)发送KDCKDC中Ticket Granting Service ClientService间生成Session KeyServiceClient 身份鉴然KDCSession Key 户名户址(IP)服务名效期 时间段起包装成Ticket(信息终ServiceClient 身份鉴)发送 ServiceKerberos协议没直接Ticket发送Service通 Client 转发 Service第二步
(2) 时KDC刚Ticket 转发ClientTicket ServiceClient KDC 协议开始前KDC Service 间密钥 Ticket 加密发送Client时ClientService间享秘密(KDC第步创建Session Key)KDCClient 间密钥Session Key 加密加密Ticket 起返回 Client
(3) 完成Ticket 传递Client刚收Ticket 转发ServiceClient知道KDC Service 间密钥法篡改Ticket 中信息时Client收Session Key 解密出然户名户址(IP)包成 Authenticator Session Key加密发送Service
(4) Service 收Ticket 利KDC 间密钥Ticket 中信息解密出获 Session Key 户名户址(IP)服务名效期然Session Key Authenticator 解密获户名户址(IP)前Ticket中解密出户名户址(IP)做较验证Client 身份
(5) 果 Service 返回结果返回 Client
3 前民航值机系统信息安全存问题挑战
31前民航值机系统信息安全尚存问题
311民航值机系统信息安全意识淡薄安全漏洞频出
全国范围民航值机系统信息安全重视程度尚足部门员没民航值机系统信息安全引起强注意国信息化发展中企业政府机关等建立相关网站网站安全理保障没引起足够重视网站存非常严重系统漏洞安全隐患根中国计算机报发布项统计中国已网工业中55企业没防火墙469企业没安全审计系统672企业没入侵监视系统723企业没网站动恢复功民航值机系统信息具传播迅速途径隐蔽等特点正具特点监呈现监困难特点着信息技术发展信息安全理手段逐渐拓展改善
312民航值机系统信息安全基础薄弱国外赖性强
起步较晚国外信息产业严格限制硬件设备国目前行业包括国民济许重部门计算机中央处理器绝部分需进口超级计算机研究中然整体性说国研发型计算机已处世界领先位核心处理器法摆脱进口位时企业信息化建设理软件 90进口国外软件巨头仅获取高额利润时国信息理安全带威胁中国工程院院士信息专家沈昌祥种情况形象美元买绞索见信息产业赖国外国济发展国家整体安全带极严重现实威胁
313 反动势力民航值机系统信息利
进入信息时代世界国信息战已愈演愈烈国现实国境网窃密活动十分猖獗民航值机系统间谍国活动愈加频繁民航值机系统信息情报已成国外情报机构获取情报重源隐蔽斗争工作带利素助特殊仪器设备清晰计算机正处理信息窃取相关信息情报民航值机系统信息安全已成关国家安全重方面已正国家济政治社会安全带巨影响民航值机系统信息台已成意识形态文化领域斗争战场然战场没硝烟影响亚场普通战争甚具普通战争更加巨破坏性严重性
32 民航值机系统信息安全面挑战
321 容易病毒木马入侵
计算机病毒种特程序代码服务器端通种种欺骗(伪装)方法进入入侵机寄生程序代码进行传播种侵害威胁性非常病毒特殊程序代码编制成增加进程隐藏技术系统更加难发现木马存入侵连接远程控制外会恶意传播病毒利病毒木马技术传播垃圾邮件进行民航值机系统攻击破坏事件呈升趋势病毒特殊程序代码找合适时机发起民航值机系统数文件破坏旦运行会盗刷流量导致电脑变慢网卡慢木马会云端载执行更类型病毒木马时刻威胁着户电脑安全民航值机系统病毒入侵盗取户敏感信息特涉帐号密码等重济信息成民航值机系统非法入侵目标
322 户控制中心容易入侵
线民航值机系统类社会进步做出巨贡献着特网广泛时量民航值机系统入侵行时出现黑客会意释放病毒攻击民航值机系统户控制中心移动终端身份验证信息传输程中法分子截获入侵病毒会台计算机民航值机系统传播台快会造成全部民航值机系统户感染盗取户信息甚更进步入侵终端控制中心果服务器安装窃听软件(sniffer)远程户帐号口令
323 信息容易窃取
线传输特殊性导致线信号容易法分子截获种手段侵入种动攻击种方式选择破坏信息效性完整性类动攻击影响民航值机系统正常工作情况进行截获窃取破译获重机密信息时数库理系统安全操作系统安全配套法分子攻击导致数库安全性素存远程工作远程访问信息员日益增现漏洞威胁等级断提升出现新漏洞特政府机关者涉密部门工作员信息泄露甚会影响国家安全继震网棱镜门事件网络基础设施遇全球性高危漏洞侵扰心脏流血漏洞威胁国境约33万网站服务器Bash漏洞影响范围遍全球约5亿台服务器网络设备基础通信网络金融工控等重信息系统安全面严峻挑战
4 民航城市值机系统信息安全策略研究
41 系统数通信加密
411 RSA算法改进
数分解否会RSA安全性造成影响未理证明分解模数成攻击RSA途径提高安全性选择10100模数显然降低计算公钥密钥算法事件复杂度提出改进RSA算法想法应运生具体思路:
(1)机选取N素数p1p2
(2)计算n(x)p1*p2
(3)机选取整数e(x)满足(e(x)Φ(n(x))1
(4)利欧里算法计算d(x)满足e(x)*d(x)1modΦ(n(x))
(5)公开e(x)n(x)作Ex记Ex{e(x)}n(x)}保密p1p2n(x))作Dx记Dx{p1p2n(x)}
加密算法:cEx(m)mex(mod n(x)))解密算法:mDxcd(x)(mod n(x))RSA算法中包含两密钥:加密密钥PK解密密钥SK加密密钥公开
通证明程序二进制情况计算8*8速度明显2*2*2*2*2*2速度证明RSA算法先进性RSA算法变种原算法应费尔马定理出加密算法数学纳法证明该算法成立根没违背RSA算法安全性保证RSA算法改进安全性
412 云计算中混合加密
(1)称加密算法
称密码加密系统中整加解密程中密钥k加密程中解密程中称加密算法工作程图41示
图41 称加密算法工作程
称加密算法中加密程解密程算法身公开获具体密钥k破译密文常见称加密算法DES加密算法三重DES加密算法AESIDEARC5等DES算法体运算初始置换FEISTEL网络组成DES算法运算速度成熟加密算法更快时56特密钥较短常见攻击方法针特点
(2)公钥加密算法
公钥密码学思想寻找样种系统加密函数e计算解密d计算行样系统公布加密密钥ek数进行加密私钥dk持密文进行脱密称加密算法中密钥K作加密脱密公钥加密算法中加密程公钥ek脱密程私钥矗定关联完全样图42示
图42 公钥加密算法程
公钥加密算法身基NP难单陷门函数进行设计例RSA算法整数素子分解问题ELGamal基限域离散数问题等DES算法相RSA加密算法强度更高加密中素数整加密程耗时相较长限制推广
(3)密钥加密法
密钥加密法指密钥愚进行次加密密钥身易破解整加密系统安全性会折扣果密钥进步加强保护防止密钥身破解定程度达保护密钥目密钥加密法便应运生图43示
图43 密钥加密法流程
密钥加密系统含元素传统称加密算法公钥加密算法样原密钥k明文m加密密钥密钥加密法中明文密钥加密系统中加密程传统加密方法加密强度赖加密算法原强度密钥次加密仅利密钥保存外方面加强算法身安全性
(4)二次加密法
二次加密算法中加密脱密程复杂程次序进行加密图44示
图44 二次加密法
首先RSA算法中私钥终密文c脱密生成中间密文C1DES算法中密钥脱密成终明文m密文安全性两结构组成加密算法作基础基NP难计算问题单加密算法安全性更时加密程中两套密钥系统入侵者破解密钥时入侵者破解中组密钥然外组密钥密文进行保护入侵者法获取整密文身相应明文容二次加密算法加密强度耗时相较高外量中间密文需存储计算会占量存储空间计算资源云计算中计算集群存储集群力较强特点支撑云计算完成二次加密算法特加密程
(5)分组混合加密法
传统加密方法分流密码分组密码两种方式样加密算法非常优点够证明唯密文攻击情况安全根分组加密方法思想时结合云计算中计算处理器众特点明文11长度重新进行分组中部分利DES算法进行加密时部分利公钥加密算法中RSA算法进行加密具体加密程图45示
图 45 分组混合加密法
加密程中脱密程加密程逆程密文clDES算法中私钥ki进行脱密脱密形成中间明文mi时密文C2RSA算法中私钥k3进行脱密脱密形成中间明文m1整合中间明文m1m2终形成明文m
413 民航值机系统加密安全策略
系统中采 RSA 加密算法传统应场景通讯双方拥私钥公钥发送方方公钥加密发送数接收方私钥解密数
非称加密数字签名传统应流程场景:
1)甲方构建密钥公钥公布乙方私钥保留图46 示
图46 构建公布保留密钥标程
2)甲方私钥加密数然私钥加密数签名发送乙方签名加密数乙方公钥签名验证解密数否效果效公钥数解密图47示
图47 加密解密数字签名程(甲方乙方)
3)乙方公钥加密数甲方发送加密数甲方获加密数通私钥解密图48示
图48 加密解密数字签名程(乙方甲方)
42 基角色身份验证访问控制策略
基角色访问控制模型套较强制访问控制选定访问控制更中性更具灵活性访问控制技术目前公认解决型企业统资源访问控制效方法
421 实现前提
身份认证提高网络安全措施目证实认证象否属实常通信双方相互确认身份保证通信安全常网络身份认证技术 静态密码USB Key 动态口令智卡牌等中常见户名加静态密码方式方案中采USB Key方式
图 49 民航值机系统户身份认证系统模型
基USB Key 身份认证方式采软硬件相结合解决安全性易性间矛盾利USB Key 置密码算法实现户身份认证USB Key 身份认证系统2 种应模式 基击响应认证模式 二基PKI 体系认证模式果仅仅单身份认证信息时法实现定点登录必须结合网络安全系统吸取身份认证方法优点取长补短形成种身份认证防御体系间联动保证网络安全性限制特定户特定计算机通特定交换机端口登录民航值机系统涉密网络中
422 系统联动
实现定点登录程中根民航值机系统实际情况结合现网络安全系统完成文中结合身份认证系统域控系统端点准入防御系统作例子阐述具体定点登录实现程
身份认证系统功完成民航值机系统网络中户身份进行认证里采双素认证方式域控系统完成民航值机系统涉密网络中户通身份认证进入计算机中端点准入防御系统实现户计算机相应交换机端口间绑定功
423 实现方式
实现程中民航值机系统相关技术部门网络部门首先需制定相应密钥通PKI生成户私钥然生成私钥存储USB Key中程中需收回户相关登录密码联网密码相关民航值机系统技术员客户端中相关户登录密码联网密码存储户USB Key中然生成私钥通定加密算法存储硬盘特定位置
图410 民航值机系统身份认证程
次户需登录计算机时需首先插入USB Key输入pin码必须两者正确进行步操作果正确PKI系统客户端会硬盘加密联网密码登录密码传入USB Key中进行相应解密解密完成解密联网密码传递端点准入防御系统果输入密码正确端点准入防御系统会开启交换机相关端口通道网络物理链路时户登录密码传递域控服务器进行户信息计算机信息匹配果正确户正常开机网果中意信息误户法开机
民航值机系统涉密网络进行登录验证程中实现户身份指定计算机间匹配具体匹配流程图411示
图411 定点登录相关实现程图
424 实现效果
通利述相关身份认证方法定点登录效果技术应民航值机系统涉密网络中实际应效果:
图412 验证登录程
(1)统户身份认证理户登录密码户私钥加密存储底计算机硬盘中户登录计算机中计算机够效保护户计算机硬盘数非法户进行操作
(2)户生成联网密码够保存方保存户计算机该户通计算机连接民航值机系统涉密网络中样方便接入民航值机系统涉密网络中户监控理便网络资源理
(3)够效避免民航值机系统网络技术部门防范外非法计算机接入保证民航值机系统网络安全性防止涉密数没审批意进出民航值机系统涉密网络
明显采改进方案数已轻易分析出户认证安全性加强整系统运行更加安全稳定改进认证系统算法时间相前稍增加仅认证程中应服务器通信程中存问题户应服务器通信采称密钥加密认证通信速度受影响
43 基防火墙技术控制策略
431 民航值机系统防火墙默认选项设置
防火墙默认选项设置:未明确允许禁止转发先关闭服务端口然根需开放相应服务端口现需进行审核滤应服务类型表41示:
表41 防火墙需审核滤应服务类型表
服务类型
端口范围协议
说明
DNS
53TCPUDP
域名服务
WWW
80TCP
WEB服务
SMTPPOP3
25110TCP
电子邮件
TELNET
23TCP
远程登录
FTP
2120
文件传输服务
民航值机系统部网络资源严禁外网访问提供外部特定访问服务便民航值机系统网计算机进行理维护网计算机实施MAC址IP址绑定外NAT方式隐藏部网络结构防火墙提供网络址转换功仅隐藏部网络址信息外界法直接访问部网络设备时帮助网络超越址限制合理安排网络中公Iniemet址私IP址通NAT功防火墙系统帮助采私址部网户利访问Iniemet信息资源会造成网络应阻碍时量节省网络址资源[2]
432 VLAN设置
核防火墙DCFW1800关VLAN理原理:假设防火墙ifl接口收包发现tag包会查找否定义vlan接口ifl定义两vlan接口分vlan0 (tag 10)vlanl (tag 20)防火墙会找vlan0处理tag 10接口会带tag数包部原成普通太包通普通路查找算法找出目路例子中假设目接口vlanlvlanl定义ifltag20接口防火墙会数包重新tag 20包头ifl接口发回交换机交换机收掉tag头发目机B次通信样完成
图413 防火墙VLAN设置
433 安全域配置
端口防火墙中网络简单Trusted Untrusted DMZ区域基础允许户建立安全区域安全区域网络访问流量进行监控基安全域访问控制
pptptunnel域外域支持混合模式界面标明(LAYER2LAYER3)类型接口时加入pptptunnel域某安全域(层次)中untrusttrustdmz域户行编辑直删删建立untrusttrustdmz域时标系统缺省
安全域中配置物理接口VLAN子接口配置安全域数量物理接口VLAN接口总域网络象访问控制
434 防火墙界面功设计安装
Firewall程序初始化时加载DrvFltIp驱动户单击开始钮驱动发送START_IP_HOOK控制代码安装滤钩子单击停止钮发送STOP_IP_HOOK控制代码清滤钩子户单击添加钮弹出添加滤条件话框允许户输入滤规单击删钮删户选定滤规户单击安装卸载钮firewall程序DrvFltIp驱动发送ADD_FILTERCLEAR_FILTR控制代码安装者卸载滤规
界面图414示:
图414 防火墙程序界面
CMainFrameCMainFrame()
{
确保IP滤驱动启动(否样安装钩子?)
m_pIPFltDrv new CDriver(IpFltDrvsys IpFltDrv)
m_pIPFltDrv>StartDriver()
启动IP滤钩子驱动
char szPath[256]
char* p
GetFullPathName(DrvFltIpsys 256 szPath &p)
m_pFilterDrv new CDriver(szPath DrvFltIp)
if(m_pFilterDrv>StartDriver() || m_pFilterDrv>OpenDevice())
{
MessageBox(创建服务失败)
exit(1)
}
m_bStarted FALSE
}
CMainFrame~CMainFrame()
{
if(m_bStarted)
m_pFilterDrv>IoControl(STOP_IP_HOOK NULL 0 NULL 0)
if(m_pFilterDrv NULL)
delete m_pFilterDrv
if(m_pIPFltDrv NULL)
delete m_pIPFltDrv
}
防火墙程序初始化时加载FwHookDrv驱动单击开始钮驱动程序发送START_IP_HOOK控制代码安装滤钩子单击停止钮发送STOP_IP_HOOK控制代码清滤钩子单击添加规钮弹出添加滤规话框图62示允许户输入滤规防火墙程序IP滤协议驱动发送ADD_FILTER发送控制代码安装滤规单击删钮户删选定滤规防火墙IP滤驱动发送CLEAR_FIILTER控制代码卸载滤驱动
5 民航值机系统信息安全解决方案
51 素方面
511 强化安全防范理
保证民航值机信息理系统安全系统正常运行必须强化民航值机信息系统安全防范理安装防火墙世界公认直接效加强安全防范控制方法防火墙建立安全屏障效阻止法户访问民航值机信息理系统保护系统资源非法户访问时采取效控制措施控制民航值机信息理系统信息数接收传输保证民航值机信息理系统安全外切实加强民航值机信息理系统安全防范控制应建立健全民航值机信息理系统访问控制权限控制属性特征安全保障技术支持等控制模块
522 健全信息安全理制度机制
健全民航值机信息理系统理制度强化信息理系统安全法规制度落实确保民航值机信息理系统安全正常运行重手段采取定期定期方式系统运行环境运行条件运行状态进行常规监控检测维护全力保障民航值机信息理系统实体设备民航值机系统线路正常运行系统创造良运行环境理员断提高改善控制防范电磁泄漏力外做民航值机信息理系统安全防范工作必须加强数保密理工作善利先进民航值机加密解密技术保障信息收集处理传输程中安全效防范重机密数泄漏时提高工作效率民航值机信息理系统安全保密工作必须切实抓抓实抓出成效
523 确保民航值机相关员教育培训
实现民航值机信息安全风险持续性控制离开民航值机网络相关员参信息安全风险理控制程中素关重果组织实施技术性控制措施忽略民航值机网络相关操作员理员户安全意识提升安全技掌握安全控制措施稳定持续发挥效力组织必须加强民航值机网络操作员理员广户进行深入教育培训增强需保护系统资源断进行风险控制意识发展相关知识技具备安全操作感知风险处理风险基力素质组织成员控制风险力技培训发展通邀请信息安全专家讲座组织关键部位成员进行案例研讨验丰富专业员民航值机网络操作员理员户进行实践验交流送院校系统培训等方式进行总通安全教育培训达受训者够掌握足够技效应控制风险确保系统安全目
52 系统安全设计方面
521 提升民航值机系统信息安全技术层次
确保民航值机信息理系统安全必须保证民航值机信息理系统结构设计具科学性合理性保证民航值机信息理系统民航值机系统运行质量民航值机系统安全通制定符合身实际资源优化配置优设计方案保证系统设计科学合理外局域网具定局限性实现民航值机信息理系统安全防范防止数资料局域网中传播时非法侦听截取盗采中心交换机核心传输模式路器边界传输数辅基核心交换机访问控制列表功实现物理分段逻辑分段形式保证民航值机民航值机系统安全畅通
522 民航值机设备安全
考虑信息值机程中完整性效性真实性防止身份信息伪造信息进行非法修改非法中心数库服务器存储全部身份信息交易信息值机系统中枢安全性整值机系统安全决定性影响保证中心数库服务器安全稳定高效运行防范网络攻击病毒黑客入侵数库非法访问篡改删需硬件配置操作系统数库等三层次采取措施安装操作系统时采较高安全级关闭网络访问服务设置科学合理密码理机制外建议采专业扫描软件整系统进行安全扫描找安全隐患漏洞进行排
523 民航值机数传输安全
保证助机中心数库服务器应系统服务器间数通信安全助机系统中进行注册未注册助机法助机中采集值机流程防止传输程中数篡改应值机流程加校验果系统发现值机流程篡改重新采集数中滤正常数系统中心数库分布数库中办理记录回显反馈汇总流水等重数均采数校验方式增加日期戳校验字段确保数库中种重数信息篡改复制等恶意操作保证数真实完整准确
524 民航值机软件系统设计安全
登陆控制基础采操作员进行权限控制方式控制操作员校园卡系统访问操作员权限范围系统进行操作防止发生数库合法户非法修改数库中重数情况数库重数表加校验系统定期表格进行扫描发现校验异常时报警相应数记录设置非法出异常登记报表外系统操作保存详细记录便发生问题进行追查已校园卡系统相关数字校园应系统通提供整套应编程接口应系统范围改造接入整校园卡系统应系统接入校园卡系统时指定接口完成许范围操作样消非法访问校园卡系统中心数库
结
述通设计实现基民航值机系统民航城市值机系统特通行业相关应重点分析非传统民航网络条件保证城市值机系统安全性问题通访问控制数加密安全审计等方面研究设计实现确保城市值机系统民航值机系统应环境中安全
文阐述网络安全重性国外加密技术研究现状作简分析密码学发展史称密钥非称密钥中典型加密算法特点计算思想作相关述算法改进相关应作描述必须根民航值机信息系统特点高度重视民航值机信息安全问题民航值机信息系统安全风险理工作作项艰巨长期工作求单位结合实际情况全方位角度考察系统安全风险采取合理济风险控制措施保证庞民航值机信息系统安全健康稳定高效运行
总说国网络信息安全然发展国外技术先进国家相差距赶国外先进技术项艰巨务需懈努力
参 考 文 献
[1] 王麒黄建军民航网络信息安全监工作浅谈[J]中国民航空201646(5)1215
[2] 蒋中华 舟 汪虹宇 基二元Logit助值机选择行模型构建[J]航空计算技术2016(11) 122125
[3] 民航值机系统时代数安全[J]重庆科技学院学报(社会科学版)201624(03)4546
[4] 李煜刘景森直接匿名证言方案实现机制改进思路[J]河南学学报(然科学版)201755(4)5658
[5] 邓星铁路信息化理中信息安全探究[J]理学探索201646(3)123125
[6] 王欣荣贾培凌传荣金融网络安全体系设计实现[J]情报杂志2015(11) 23(6)4245
[7] 杨明DDE技术机场BAS系统中应[J]动化应201212(4)8789
[8] 田洪健基SID数字电视值机监台方案研究[J]线电视技术2011(06) 41(9)6568
[9] 吴冠男民航信息系统安全分析[J]信息电脑(理版)201112(15)7679
[10] 李柯贾贵娟施炎林汪洪蛟空安全风险理信息系统分析设计[J]中国安全科学学报201642(16)4954
[11] 张越胡华清新形势枢纽机场总体规划发展趋势[J]综合运输201622(14)6364
[12] 李煜玲民航公信息享台体系结构研究[J]现代情报201616(26)8285
[13] 王红梅浅谈民航信息网络安全建设措施[J]信息网络安全200726(15)7779
[14] 韦群民航机场信息系统发展[J]指挥技术学院学报201144(11)8687
[15] Clark WeissmanSecurity Controls in the ADEPT50 Time Sharing System Proceedings of the 1969 AFIPS Fall Joint Computer Conference 201512(7)8889
[16] Michael A HarrisonWalter L RuzzoJeffrey D UllmanProtection in operating systems Communications of the ACM 20172(4)114145
[17] O OrganickThe Multics System An Examination of its Structure 201744(9)162165
[18] America Department of DefenseDepartment of Defence Trusted Computer System Evaluation Criteria Technical Report CSCSTD00183 201674(5)2326
[19] Millen Jonathan20 years of covert channel modeling and analysis 1999 IEEE Symposium on Security and Privacy 201714(2)112115
[20] Richard A KemmererShared resource matrix methodology An approach to identifying storage and timing channels ACM Transactions on Computer Systems 2016 52(6)136135
[21] Anderson JPComputer security technology planning study Air Force Electronic Systems Division ESDTR7351 201644(7)142145
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
摘
文研究思路通国民航单位实际调查结合国民航值机信息安全现状查找民航值机系统网络信息安全存问题找解决应问题思路提出适合国民航值机系统现行体制网络信息安全保障体系
(1)首先城市民航民航值机系统信息网络安全现状安全需求进行分析根民航企业民航值机系统信息网络安全现状安全需求寻找原民航值机系统信息网络安全保障系统进行优化升级改造解决办法
(2)鉴前先进民航值机系统信息网络安全理安全技术提出该民航企业原民航值机系统信息网络安全理系统进行优化升级改造成设计成种适目前该民航企业需统理高效安全保障体系民航值机系统信息网络安全控系统设计解决方案
(3)根信息网络安全控系统框架设计解决方案该民航企业民航值机系统网络安全资源进行合理整合调整安全技术架构安全控制架构原信息网络安全系统进行优化升级改造安全技术设备进行重新部署建立健全安全组织机构安全员责制系统备份策略完成新民航值机系统部署设计
文研究成果提高整信息系统运行稳定性促进保障机场快速发展提高航空公司机场服务水旅客满意度民航值机系统安全运行现实意义
关键词:民航值机信息安全安全策略
ABSTRACT
The idea of this study is combined with the current situation of civil aviation in information security through the investigation of the civil aviation units found the civil aviation checkin system of network and information security problems find ways to solve the problems and put forward the network and information security system for China's civil aviation system in the current system
(1) First carries on the analysis of civil aviation checkin system information network security status and security requirements of the civil aviation city according to the civil aviation checkin system information network security status and security requirements of civil aviation enterprises for optimization upgrading and transformation of the original system in civil aviation information network security system solutions
(2) From the civil aviation checkin system information network security theory and the current advanced security technology put forward to the original value of the system of civil aviation civil aviation enterprise information network security management system optimization upgrading and transformation designed as a suitable for the civil aviation enterprises need and solutions of security system design unified management efficient aviation checkin system information network security management system
(3)In accordance with the solution framework design of information network security management system reasonable integration of the civil aviation enterprises of civil aviation checkin system network and security resources adjust the security architecture and security control architecture optimization upgrading and transformation of the original information network security system re deploy security technology and equipment Establish and improve the security organization security personnel responsibility system and the system backup strategy the completion of the deployment of the new civil aviation checkin system design
The results of this study to improve the stability of the whole information system but also to promote the rapid development of the airport security improve the airline and airport service level and passenger satisfaction operation of civil aviation security checkin system is of great significance
Keywords Civil Aviation checkin information security security policy
目 录
1 绪 1
11 研究背景意义 1
12 国外研究现状 2
121 国外研究现状 2
122 国研究现状 2
13 文研究方案 3
131 研究目标 3
132 研究容 3
133 创新处 4
2 安全策略理研究 5
21 密码学概述 5
211 密码学发展 5
212 密码学相关概念分类 7
22 称密码体制 8
221 称加密概述 8
222 DES算法 9
223 称密码算法 11
23 非称密钥加密体制 13
231 非称密钥加密体制简介 13
232 算法 13
24 身份认证访问控制策略 16
241 基户名密码单素认证技术 16
242 基动态验证双素认证技术 16
243 基生物特征识认证方式 17
244 第三方认证服务 18
3 前民航值机系统信息安全存问题挑战 20
31前民航值机系统信息安全尚存问题 20
311民航值机系统信息安全意识淡薄安全漏洞频出 20
312民航值机系统信息安全基础薄弱国外赖性强 20
313 反动势力民航值机系统信息利 20
32 民航值机系统信息安全面挑战 21
321 容易病毒木马入侵 21
322 户控制中心容易入侵 21
323 信息容易窃取 21
4 民航城市值机系统信息安全策略研究 23
41 系统数通信加密 23
411 RSA算法改进 23
412 云计算中混合加密 23
413 民航值机系统加密安全策略 26
42 基角色身份验证访问控制策略 28
421 实现前提 28
422 系统联动 29
423 实现方式 29
424 实现效果 30
43 基防火墙技术控制策略 32
431 民航值机系统防火墙默认选项设置 32
432 VLAN设置 32
433 安全域配置 33
434 防火墙界面功设计安装 33
5 民航值机系统信息安全解决方案 36
51 素方面 36
511 强化安全防范理 36
522 健全信息安全理制度机制 36
523 确保民航值机相关员教育培训 36
52 系统安全设计方面 37
521 提升民航值机系统信息安全技术层次 37
522 民航值机设备安全 37
523 民航值机数传输安全 37
524 民航值机软件系统设计安全 38
结 39
参 考 文 献 40
致 谢 41
1 绪
11 研究背景意义
着年国助值机系统断发展国机场均架设安装隶属航空公司应机场代理方助值机设备方面简化旅客出行手续方面降低值机柜台工作压力时旅客满意度航空公司机场服务水准提高够更加快捷方便完成原机场完成值机操作考虑扩助值机系统应场景助值机系统应范围扩型写字楼旅客居住酒店饭店等目前机场助值机设备统民航专网络安全性相较差酒店等非传统民航业务区域部署民航专网络系统安全性成开销效保证正基述考虑提出基民航值机系统安全民航城市值机系统
相传统网络助值机网络更易受包括节点俘获数篡改重发动窃听伪造身份等安全威胁攻击研究成果般直接应助值机网络
便安全攻击威胁进行分析时针性采取相应措施角度攻击威胁进行分类根值机系统协议层次攻击分物理层攻击链路层攻击网络层攻击传输层攻击应层攻击等根攻击发生形式分基机攻击基网络攻击攻击发生范围分部攻击外部攻击中部攻击更难监测防范根攻击手段总防御机制纳类:密钥理认证访问控制安全路技术数融合安全入侵检测等加密技术网络包括值机系统网络安全方案中项技术基础通加密满足网络项安全需求节点认证保密性完整性等针安全问题信息安全理技术解决问题关键满足值机系统网络数安全需求需设计出更适值机系统网络安全理方案
通设计研究完善民航企业信息网络安全保障体系提升民航企业安全级提高企业安全理水控效率实现该民航企业值机系统信息网络安全防护系统升级换代达值机系统信息网络安全分级安全保护集中统控目
12 国外研究现状
121 国外研究现状
着网络技术发展普享数文件解决数致性资源浪费问题系统集成雏形数享成系统集成基初目着独立数库系统引入系统集成概念明确提出系统集成进入第二发展时期国际基智助服务技术国外许公关服务场广泛应二十年美国航空公司均已先建立基础数库保证敏感信息非授权访问篡改破坏保证核心数安全性机密性着网络应断深入防火墙防病毒入侵检测等安全设备软件逐步应信息网络安全保护相继出现安全理类安全产品信息安全角度讲户进行城市值机操作切信息确保机密性完整性时性性鉴性抵赖性巨考验挑战
现关注实密码技术PKI技术国外PKI应已开始开发PKI厂商家许厂家推出应PKI产品公司VerySign等已开始提供PKI服务网络许应正PKI技术保证网络认证否认加解密密钥理等总说PKI技术发展中
122 国研究现状
国信息安全研究历通信保密计算机数保护两发展阶段正进入网络信息安全研究阶段安全体系构建评估程中学吸收消化原进行安全操作级安全研究方方面取成果成果某方面存定足需通实践进步改进发展理基础技术手段需发展强化李海民航空网络信息安全理体系构建研究中深圳空网络研究象分析深圳空网络存问题根整体深防御思想(Defense in Depth)提出加强网络信息安全策建议
吴冠男民航信息系统安全分析文中针民航系统现信息安全理体系足提出建立安全评估发现漏洞解决漏洞制定科学理措施预防事新安全模式思路建议通层次分析法动态风险评估法等新安全评估方法前民航网络信息安全系统进行评估
刘金花等研究设计种新型监控理系统数采集数分析策略定制实现网络部机设备性数信息分析监视控制
需处理移动系统终端病毒隐私信息窃取恶意干扰户操作防止入侵银行数库网络系统攻击等安全行助值机简便易行旅客快获登机牌解决客户助服务问题旦值机系统发生数丢失短时间法恢复会造成业务长时间中断防止出现业务中断情况冗余强信息系统必少信息安全成目前助服务面挑战
值机系统远离信息安全风险必须断进行技术提高完善信息安全建起道性技术屏障时需制定遇重灾难时性技术应急方案保证值机系统操作端运营商端安全性
13 文研究方案
131 研究目标
城市值机系统详细记录户调时间行便理通常定时段日志存文件固定时间点进行日志文件切换通审计分析程序分析系统中潜侵害攻击等威胁事件时快速定位系统障便系统维护
系统中采RSA加密算法传统应场景通讯双方拥私钥公钥发送方方公钥加密发送数接收方私钥解密数通访问控制数加密安全审计等方面研究设计实现确保城市值机系统民航值机系统应环境中安全
132 研究容
(1)文作者通国外信息安全技术研究相关文献资料查阅搜集国外相关课题研究进行系统整理纳中较典型信息安全技术研究进行深入学探讨较分析研究阶段研究特点
(2)系统信息网络安全方面研究进展讨攻击防御策略加密算法密钥理安全架构等方面典型安全解决方案进行述较分析
(3)重点梳理值机系统信息安全理涵信息系统安全理程信息系统安全技术信息系统安全技术策略制定程影响素等文研究题密切相关概念旨文研究提供理支撑时理框架角度剖析文研究行性理价值通信息系统安全理象目标容措施等梳理剖析信息系统安全理涵仅展示值机系统信息安全理务更突出值机系统信息安全理活动重点核新信息系统安全技术策略制定
133 创新处
文根民航值机系统安全协议针安全算法提出实现种安全评估方法身份验证访问控制系统数通信加密系统安全审计三层面中密钥理安全认证技术保证民航值机系统网络安全通信重技术手段密钥理技术体现出通信密钥理行安全认证技术体现出通信双方身份信息合法性进行鉴文着重三方面进行研究探讨分提出种设计方案
2 安全策略理研究
21 密码学概述
211 密码学发展
(1)古典密码
计算机出现前密码学算法通字符间代易位实现称密码体制古典密码古典密码学指20世纪40年代前密码编码密码分析技术特1935年1940年期间民航值机数学通讯等相关技术发展特两次世界战中民航值机信息保密传递破获敌方信息需求密码学空前发展广泛民航值机情报部门决策中包括:易位密码代密码(单表代密码表代密码等)密码算法十分简单现已少实际应中密码学涉数学通讯计算机等相关学科知识现知识水言初步研究古典密码学基原理方法进行古典密码学研究理解构造分析现代实密码帮助
密码通信双方约定法进行信息特殊变换种重保密手段法变明文密文称加密变换变密文明文称脱密变换密码早期仅文字数码进行加脱密变换着通信技术发展语言图数等实现施加脱密变换
密码学编码破译斗争实践中逐步发展起着先进科学技术应已成门综合性尖端技术科学语言学数学电子学声学信息计算机科学等着广泛密切联系现实研究成果特国政府现密码编制破译手段具高度机密性
例希特勒台时德国试验种命名谜型机产生220亿种密钥组合假日夜停工作分钟测试种密钥话需约42万年密钥组合试完希特勒完全相信种秘密机安全性然英国获知谜型机密码原理完成部针谜型机绰号炸弹密码破译机秒钟处理掉2000字符破译截获德国情报研制出种秒钟处理5000字符巨型密码破译机投入盟国掌握德国纳粹绝数民航值机秘密机密德国军方知太洋战争中敌方读懂日舰队司令官山五六十发指挥官命令中途岛彻底击溃日海军击毙山五六十导致太洋战争决定性转折
说密码学战争胜利立功密码学仅国家民航值机安全已重点更集中实际应生活中密码例防止查阅文件文件加密防止窃取钱物银行账户设置密码等等着科技发展信息保密需求密码学应融入日常生活
(2)代密码(计算机阶段)
密码形成门新学科20世纪70年代受计算机科学蓬勃发展刺激推动结果快速电子计算机现代数学方法方面加密技术提供新概念工具方面破译者提供力武器计算机电子学时代密码设计者带前未总利电子计算机设计出更复杂密码体系
古典密码体制受时历史条件限制没涉非常高深者复杂理漫长发展演化程中已充分表现出现代密码学两基思想代换位数学方法引入密码分析研究中密码学成系统学科相关学科发展奠定坚实基础计算机科学复杂性理等等
(3)现代密码学
现代密码学研究信息发端收端安全传输安全存储研究知知彼门学科核心密码编码学密码分析学前者致力建立难敌方手攻破安全密码体制知者力图破译敌方手已密码体制知彼类记载通信密码始公元前400年古希腊置换密码发明者1881年世界第电话保密专利出现电报线电发明密码学成通信领域中回避研究课题
着信息化数字化社会发展信息安全保密重性认识断提高1977年美国国家标准局公布实施美国数加密标准(DES)民航值机部门垄断密码局面破民加密产品市场已量出售采加密算法DESIDEARSA等
1976年DiffieHellman密码新方中提出著名DH密钥交换协议标志着公钥密码体制出现
PKI(Public Key Infrastructure)公钥概念技术实施提供安全服务具普适性安全基础设施PKI公钥基础设施务开放环境中开放性业务提供数字签名服务1978年RivestShamirAldleman设计出第实践中公开密钥加密签名方案RSA拉开现代密码学序幕
212 密码学相关概念分类
(1)密码编码学
密码编码学研究编制密码破译密码技术科学研究密码变化客观规律应编制密码保守通信秘密学科
(2)密码分析学
密码分析学密码学重分支研究掌握密钥情况利密码体制弱点恢复明文门科学般说试图发现明文X者密钥K两者程密码破译者策略取决加密方案性质供密码破译者信息加密系统采取截获密文信息攻击类型称动攻击非法入侵加密系统系统进行扰乱删更改增添重放伪造等手段系统中插入假消息种攻击类型称动攻击
根密码分析者破译密码时已掌握前提条件通常密码攻击分种类型(通常假定手知道加密算法):
1)唯密文攻击:密码分析者仅拥消息密文消息相加密算法加密密码分析者利掌握干密文恢复明文推算出密钥
2)已知明文攻击:密码分析者仅掌握干密文知道应明文身密码分析者利推算出密钥者导出加密算法已知明文攻击相密文攻击说具更强攻击力
3)选择明文攻击:密码分析者仅获干密文相应明文掌握明文加挑选明文选择提供更供破译信息攻击力更强
4)选择密文攻击:密码分析者选择加密密文已知密文相应明文密码分析者目试图推导出密钥
种攻击类型中仅密文攻击容易防护攻击手少量信息利选择密文攻击强种攻击手知道利信息种攻击类型强度次递增
提供密文信息少果加密方案产生密文中包含信息足唯决定应密文称该加密方案条件安全说手少时间破译出密文里面没需信息
(3)密码学分类
根加密密钥解密密钥性质差异密码体制分称密码加密公钥密码加密两类称密码:种加密密钥解密密钥相数加密方法称单密钥密码者分组密码加密算法加密密钥够解密密钥中推算出反成立数称加密算法中加解密密钥相算法秘密密钥算法单密钥算法求发送者接受者安全通信前先商定密钥称加密算法安全性赖密钥安全性泄漏密钥意味着消息进行加解密保密通信程中密钥必须保密目前常见称加密算法包括DESIDEA等公钥密码:称非称密码基思想加密密钥Ke解密密钥Kd相中难推断出密钥户密钥公布出称公钥密钥保存称私钥目前常见公钥密码算法体制:RSA体制概率体制(PEC)背包体制基离散数PKC等
根明文加密方式单密钥密码体制分两类:类流密码类体制中先短密钥生成周期较长密钥流然明文进行异产生密文类分组密码类体制中先明文分组然逐组进行加密公钥密码体制中般分组密码(单密钥加密体制中)方式进行分类
22 称密码体制
221 称加密概述
称加密算法相说较成熟应较早加密算法技术称常规加密20世纪70年代期公钥加密体制出现前唯种加密体制原理需发送出明文密钥进行特殊加密算法处理变成法识密文传送出接收方想获想明文必须相密钥加密算法逆运算分进行密文处理该算法加解密操作中通信双方相密钥
称加密算法特点计算量较加密速度快极提高加密效率称加密算法安全性取决密钥保密性非算法保密性求通信双方维护知道密钥旦第三方知道该通信密文读需强加密算法维护密钥安全显非常重通信密钥数量快速增加形势引起密钥安全性维护带巨负担缺点
222 DES算法
(1)DES历史
数加密标准DES(Data Encrytion Standard)IBM公司研制种称加密算法1977年美国联邦政府国家标准局采
国家标准技术协会NBS(National Institute of Standards and Technology)1973年5月15日第次加密算法标准进行征集第二年8月27日进行第二次征集直第三年DES征集联邦公报发布1976年8月举行DES第次研讨会第二次研讨会9月份展开数学基础进行讨11月确认标准1977年1月15日发布FIPS PUB 46级FIPS标准1983年进行第次标准期限延长1988年第二次延长期限取代FIPS PUB 46改FIPS4611993年第三次延长期限更改FIP4621999年FIP463作第四次延长标准1994年试验第实验性DES密码分析线性分析1997年DES加密信息第次DES CHAL计划公开破解1998年DES密钥EFFDES破解器Deep Crack56时破解年1月22时15分钟破解2002年5月份AES标准开始生效
DES算法30年时间里未做改动情况效期延长3次着加密领域断探索电脑技术断发展DES算法已保证网络安全性第四次延期时受威胁期间AES算法作DES算法代品第四次延期中优先
(2)DES算法原理
DES算法加密时01组成长度64位明文密钥长度样01组成长度64位中56位效密钥组成数学表述
设明文m密钥k
mm1m2m3m64
Kk1k2k3k64 (mk01i12364)
加密程:DES(m)IP^1t(16)t(15)t(1)IP(m)
解密程:DES^1IPt(1)t(2)t(15)t(16)IP^1(IP互逆置换t(1)t(2) t(16)16种逆变换)
(3)DES加密程
DES长度64特明文长度样64特密钥组成密钥言分成八8特字节中7特56字节加密算法第8特8字节奇偶校验
DES算法程图21示:
图21 DES算法程
图中出明文处理中首先64位明文通初始置换IP产生位进行置换输入接着相函数进行16轮迭代形成程第16次迭代输出64位构成输入明文密钥函数该运算结束结果输出运算部分调换形成预输出通IP^1置换初始置换函数进行逆运算产生64位密文
右半部分首先64位密钥进行置换1位长度变56位然轮进行循环左移置换选择2产生48位子密钥
加密程中首先输入64位明文64位密钥基础进行初始变换16层加密交换基础通逆运算64特密文
DES种积密码综合置换代数 代等种密码运算结构算法迭代显十分紧凑条理清楚易实现时采16次迭代方法保密性提升
223 称密码算法
(1)IDEA算法
国际数加密算法IDEA(International Data Encryption Algorithm)PFS(Proposed Encryption Standard)建议加密标准基础进行改进1990年LaiMassay欧密会提出1991年轮函数进行修订修订算法称IPES1992改名IDEA
IDEA128b密钥64b 分组单位加密数分组密码应64b分组56b密钥DES算法IDEA明文密文块64b密钥长度128b特点加解密相密钥运算速度快
IDEA算法数加密程:明文中64b数块分成四子块分记X1X2X3X4子块16b4子块作第轮迭代输入总进行8轮轮进行4子块间16b子密钥间分进行异mod2^16加法mod(2^16+1)法运算进行次迭代第三第四子块互换次416bit子密钥进行输出变换输出Y1Y4四16bit密文数IDEA算法结构图示:
图22 IDEA算法结构流程图
IDEA算法总需5216bit子密钥块轮需6子密钥总进行8轮迭代轮需4子密钥首先输入128bit密钥kk1k2k128分成8子密钥子密钥16bitz1^(1)k1k2k16z2^(1)k17k18k32z6^(1)k81k82k96z1^(2)k97k98k112z2^(2)k113k114k128zi^(n)代表第n轮迭代中第i子密钥z1^(1)~z6^(1)作第轮中6子密钥剩z1^(2)z2^(2)作第二轮子密钥密钥k左旋25bit接着分成8子密钥前面4作第二轮子密钥4第三轮子密钥接着密钥左旋转移位25bit形成面8子密钥类推直52子密钥全部生成算法结束
算法解密程解密子密钥加密子密钥加法法进行逆运算程两者彼应
IDEA算法软件硬件容易实现计算功没高求密钥长度128bit采穷举法进行攻击需相长时间保证安全性时实现速度DES快认分组密码算法
(2)三重DES
DES算法参数分keydatamode中key密钥data64bit加解密数块modeDES算法方式加密解密算法程简单概括:首先果mode加密密钥数块进行加密操作接着生成数块64位密码作DES算法输出结果输出果时mode指解密密钥数块密码形式进行解密数块原成明文形式时输出该明文
着计算机发展1997年破译DES算法时间已缩短6时1999年短21mints密码破译DES算法已越越保证信息安全性1985年3重DES算法首先提出作美国商加密标准3DES加密方式加密解密加密两种密钥k1k2果k1加密k2进行解密k1解密输出结果次进行加密时输出结果发送密文两密钥该算法原基础复杂度扩2^56倍
(3)Blowfish算法
Blowfish算法具加密快速紧凑key长度变免费等特点加密速度超DES引起重视Bruce Schneier1993年提出该算法Blowfish算法核心加密函数BFEn()种函数计算原理首先64bit明文输入函数处理输出64bit密文加密信息需(1)预处理:pai16进制字符串P数组S盒进行初始化P1密钥第32bit异p2第二32bit异次类推第二步产生子密钥加密全0串输出p1p2子密钥修改加密输出p1p2输出换p3p4重复程直p数组完全换连续变换输出结果次换S盒
Blowfish安全快速简单特点应加密软件中国外ShelfishSplashID国Linux软件核心加密部分该种算法目前止已150种产品基该算法
23 非称密钥加密体制
231 非称密钥加密体制简介
非称密钥加密算法需公开密钥私密钥奠定公开密钥密码体制基础WDiffieMEHellman1976年发表杰出文密码学新方区称密钥密码体制公开密钥密码体制双密码体制加密密钥公开公开密钥进行加密相应脱密密钥秘密第三方知道公开密钥没掌握相应脱密密钥想解开密文困难
种算法特点:算法复杂强度高安全性赖算法密钥该算法复杂导致加解密速度没称加密算法快速算法包括:RSAElgamal背包算法RabinDH椭圆曲线加密算法ECC等
232 算法
(1)RSA算法
RSA简介:着公信息系统商业性应加快尤电子商务快速发展RSA公钥加密算法1978年Ron RivestAdi Shamir Leonard Adelman提出第时数加密数字签名算法第理成功公开密钥密码体制易操作理解广泛应网络加密连接网银身份验证信卡数字证书电话存储卡等种技术
RSA种幂模运算加密体制该算法安全性取决Euler定理计算复杂性理公私钥素数函数两素数进行积计算较容易子素数中分解出相困难公布未攻破
数学原理
设p明文c密文
明文加密密文计算公式cp^e mod n
密文解密明文计算公式pc^d mod n
密钥产生流程图23:
图23 密钥产生流程图
(2)ECC(椭圆曲线加密算法)
ECC(CurveCryptography)算法点加运算运算速度RSADES模幕运算快密钥尺度系统参数占存储空间带宽求较低ECCVictorMillerNKoblitz1985年提出应ElGamal体制中种公钥密码算法提出引起密码学界士广泛关注具高安全性低消耗运算快硬件求较低等优点安全性赖椭圆曲线离散数难解性相密钥长度安全性远远胜RSA算法已列入IEEE1363标准
目前已组织ECC制定相关文档:ISOIEC1488ANSIX962等等ECC系统标准制定出ECCRSA样广泛采
(3)Elgamal算法
ElGamal公钥密码体制1984年father ElGamal提出基离散数算法公钥体制采DiffieHellman密钥分配体制思想利ElGamal公钥密码体制设计数字签名相较般公钥密码体制签名优势高安全性实性
ElGamal加密程生成密钥首先选择素数p两机数gx(gx
表21 ELGAMAL长度模数运算速度
512位
768位
1024位
加密
033秒
080秒
109秒
解密
024秒
058秒
077秒
签名
025秒
047秒
063秒
验证
137秒
512秒
930秒
c.ElGamal签名
体制参数:p素数Z(p)中解出离散数成件困难事情g数群(Z^x)(p)生成原者原元X户密码xͼ(Z^x)(p)S签名空间(Z^x)(p)*(Z^x)(p1)代入公式yg^x mod p计算出公开密钥pgy私钥x
签名:定消息m发信户进行面工作:
发送端户选择秘密机数kͼ(Z^x)(p)
计算H(m)H杂凑函数
rg^k mod ps(H(m)xr)k^(1) mod (p1)
SIG(k)(mk)s(r||s)作签字m(r||s)送方
验证:接受方收m(r||s)计算出H(m)然公式Ver(k)(H(m)rs)1 y^r *r^sg^H(m) mod py^r *r^sg^(xr+ks)g^H(m) mod p方案中相消息m机数k签字值s(r||s)体制安全性基解出离散数困难性
ELGAMAL算法较适合数字签名该算法数字签名简洁容易实现 ELGAMAL数字签名中密钥k公钥没发生变化提高安全性基椭圆曲线签名受ELGAMAL启发
24 身份认证访问控制策略
241 基户名密码单素认证技术
基户名密码认证方式较传统认证技术简单说 户访问网络者系统资源时候系统求规定方输入户名密码系统明文暗文方式接收户户名密码认证数库进行匹配果匹配正确该户成功进入访问系统反访问该系统
难出种方式利弊:操作简单种方式优点缺点系统户安全性难保障系统否完全完决户单方面果户安全意识较强户名密码会复杂定程度提高安全性数户安全意识弱难记复杂密码会选择简单易记时容易猜出者暴力破解密码威胁系统安全严重时甚会导致系统崩溃
242 基动态验证双素认证技术
双素认证系统中户拥密码外拥支持系统发布信息令牌访问设备户系统登录时户输入密码外输入令牌访问设备显示数字提高系统安全性RADIUS 采种认证方式
RADIUS(Remote Authentication Dial In User Service) 种 CS 结构协议客户端初 NAS(Net Access Server)服务器现运行 RADIUS 客户端软件计算机成 RADIUS 客户端RADIUS 协议认证机制灵活采 PAP CHAP 者 Unix 登录认证等种方式[9]
户接入NASNAS RADIUS 服务器AccessRequire 数包提交户信息包括户名密码等相关信息中户密码MD5 加密双方享密钥密钥网络传播RADIUS服务器户名密码合法性进行检验必时提出Challenge求进步户认证 NAS 进行类似认证果合法 NAS 返回 AccessAccept 数包允许户进行步工作否返回 AccessReject 数包拒绝户访问
243 基生物特征识认证方式
公复杂环境中网络结构设计方面求提高等级终端数般千台运行着OA事财务类业务相关信息系统样复杂网络环境中尤考虑存储机密级绝密级数安全问题更容半点疏忽
访问控制点手册中分访问控制强制访问控制涉密信息系统应采取强制访问控制策略包括涉密信息资源直接相关体客体间操作目前部分军工单位采硬件数字证书载体(USB KEY)作身份认证技术该技术广泛运金融业银行医疗机构等信息安全求较高领域时完全符合手册中涉密计算机信息系统访问控制身份识求综合国家相关部门批准硬件数字证书载体保障军工单位涉密网络环境安全户身份认证首选生物特征识技术身份认证中应着独特视角完美解决文开篇提确认户身数字身份拥者问题100保证户数字身份应特点迅速电子支付领域独树帜加生理特征需户记忆理会遗失特点结合原安全体系特定点特定系统甚特定数进行针性精确生物特征认证确保关键数绝安全
外生物特征样字眼觉似种懈击策略点会忽略计算机世界里传输永远01法物理复制生理特征转换数字具复制性数字化特征更难分析提取文提静态密码质样存着黑客程序截取攻击风险
244 第三方认证服务
Kerberos 种网络认证协议设计目标通密钥系统客户机服务器应程序提供强认证服务该认证程实现赖机操作系统认证需基机址信求网络机物理安全假定网络传送数包意读取修改插入数[12] Kerberos 协议计算机网络身份鉴(Authentication) 特点户需输入次身份验证信息验证获票(ticketgranting ticket)访问服务SSO(Single Sign On) Client Service 间建立享密钥该协议具相安全性
Kerberos 协议分两部分:
1ClientKDC(Key Distribution Center)发送身份信息KDCTicket Granting Service TGT(ticketgranting ticket)协议开始前ClientKDC 间密钥TGT加密回复Client时真正 Client利KDC 间密钥加密TGT解密获TGT(程避免Client 直接KDC发送密码求通验证安全方式)
2Client 利前获TGTKDC请求Service Ticket通 Service 身份鉴
Kerberos 协议重点第二部分简介:
(1) Client 前获 TGT 请求服务信息(服务名等)发送KDCKDC中Ticket Granting Service ClientService间生成Session KeyServiceClient 身份鉴然KDCSession Key 户名户址(IP)服务名效期 时间段起包装成Ticket(信息终ServiceClient 身份鉴)发送 ServiceKerberos协议没直接Ticket发送Service通 Client 转发 Service第二步
(2) 时KDC刚Ticket 转发ClientTicket ServiceClient KDC 协议开始前KDC Service 间密钥 Ticket 加密发送Client时ClientService间享秘密(KDC第步创建Session Key)KDCClient 间密钥Session Key 加密加密Ticket 起返回 Client
(3) 完成Ticket 传递Client刚收Ticket 转发ServiceClient知道KDC Service 间密钥法篡改Ticket 中信息时Client收Session Key 解密出然户名户址(IP)包成 Authenticator Session Key加密发送Service
(4) Service 收Ticket 利KDC 间密钥Ticket 中信息解密出获 Session Key 户名户址(IP)服务名效期然Session Key Authenticator 解密获户名户址(IP)前Ticket中解密出户名户址(IP)做较验证Client 身份
(5) 果 Service 返回结果返回 Client
3 前民航值机系统信息安全存问题挑战
31前民航值机系统信息安全尚存问题
311民航值机系统信息安全意识淡薄安全漏洞频出
全国范围民航值机系统信息安全重视程度尚足部门员没民航值机系统信息安全引起强注意国信息化发展中企业政府机关等建立相关网站网站安全理保障没引起足够重视网站存非常严重系统漏洞安全隐患根中国计算机报发布项统计中国已网工业中55企业没防火墙469企业没安全审计系统672企业没入侵监视系统723企业没网站动恢复功民航值机系统信息具传播迅速途径隐蔽等特点正具特点监呈现监困难特点着信息技术发展信息安全理手段逐渐拓展改善
312民航值机系统信息安全基础薄弱国外赖性强
起步较晚国外信息产业严格限制硬件设备国目前行业包括国民济许重部门计算机中央处理器绝部分需进口超级计算机研究中然整体性说国研发型计算机已处世界领先位核心处理器法摆脱进口位时企业信息化建设理软件 90进口国外软件巨头仅获取高额利润时国信息理安全带威胁中国工程院院士信息专家沈昌祥种情况形象美元买绞索见信息产业赖国外国济发展国家整体安全带极严重现实威胁
313 反动势力民航值机系统信息利
进入信息时代世界国信息战已愈演愈烈国现实国境网窃密活动十分猖獗民航值机系统间谍国活动愈加频繁民航值机系统信息情报已成国外情报机构获取情报重源隐蔽斗争工作带利素助特殊仪器设备清晰计算机正处理信息窃取相关信息情报民航值机系统信息安全已成关国家安全重方面已正国家济政治社会安全带巨影响民航值机系统信息台已成意识形态文化领域斗争战场然战场没硝烟影响亚场普通战争甚具普通战争更加巨破坏性严重性
32 民航值机系统信息安全面挑战
321 容易病毒木马入侵
计算机病毒种特程序代码服务器端通种种欺骗(伪装)方法进入入侵机寄生程序代码进行传播种侵害威胁性非常病毒特殊程序代码编制成增加进程隐藏技术系统更加难发现木马存入侵连接远程控制外会恶意传播病毒利病毒木马技术传播垃圾邮件进行民航值机系统攻击破坏事件呈升趋势病毒特殊程序代码找合适时机发起民航值机系统数文件破坏旦运行会盗刷流量导致电脑变慢网卡慢木马会云端载执行更类型病毒木马时刻威胁着户电脑安全民航值机系统病毒入侵盗取户敏感信息特涉帐号密码等重济信息成民航值机系统非法入侵目标
322 户控制中心容易入侵
线民航值机系统类社会进步做出巨贡献着特网广泛时量民航值机系统入侵行时出现黑客会意释放病毒攻击民航值机系统户控制中心移动终端身份验证信息传输程中法分子截获入侵病毒会台计算机民航值机系统传播台快会造成全部民航值机系统户感染盗取户信息甚更进步入侵终端控制中心果服务器安装窃听软件(sniffer)远程户帐号口令
323 信息容易窃取
线传输特殊性导致线信号容易法分子截获种手段侵入种动攻击种方式选择破坏信息效性完整性类动攻击影响民航值机系统正常工作情况进行截获窃取破译获重机密信息时数库理系统安全操作系统安全配套法分子攻击导致数库安全性素存远程工作远程访问信息员日益增现漏洞威胁等级断提升出现新漏洞特政府机关者涉密部门工作员信息泄露甚会影响国家安全继震网棱镜门事件网络基础设施遇全球性高危漏洞侵扰心脏流血漏洞威胁国境约33万网站服务器Bash漏洞影响范围遍全球约5亿台服务器网络设备基础通信网络金融工控等重信息系统安全面严峻挑战
4 民航城市值机系统信息安全策略研究
41 系统数通信加密
411 RSA算法改进
数分解否会RSA安全性造成影响未理证明分解模数成攻击RSA途径提高安全性选择10100模数显然降低计算公钥密钥算法事件复杂度提出改进RSA算法想法应运生具体思路:
(1)机选取N素数p1p2
(2)计算n(x)p1*p2
(3)机选取整数e(x)满足(e(x)Φ(n(x))1
(4)利欧里算法计算d(x)满足e(x)*d(x)1modΦ(n(x))
(5)公开e(x)n(x)作Ex记Ex{e(x)}n(x)}保密p1p2n(x))作Dx记Dx{p1p2n(x)}
加密算法:cEx(m)mex(mod n(x)))解密算法:mDxcd(x)(mod n(x))RSA算法中包含两密钥:加密密钥PK解密密钥SK加密密钥公开
通证明程序二进制情况计算8*8速度明显2*2*2*2*2*2速度证明RSA算法先进性RSA算法变种原算法应费尔马定理出加密算法数学纳法证明该算法成立根没违背RSA算法安全性保证RSA算法改进安全性
412 云计算中混合加密
(1)称加密算法
称密码加密系统中整加解密程中密钥k加密程中解密程中称加密算法工作程图41示
图41 称加密算法工作程
称加密算法中加密程解密程算法身公开获具体密钥k破译密文常见称加密算法DES加密算法三重DES加密算法AESIDEARC5等DES算法体运算初始置换FEISTEL网络组成DES算法运算速度成熟加密算法更快时56特密钥较短常见攻击方法针特点
(2)公钥加密算法
公钥密码学思想寻找样种系统加密函数e计算解密d计算行样系统公布加密密钥ek数进行加密私钥dk持密文进行脱密称加密算法中密钥K作加密脱密公钥加密算法中加密程公钥ek脱密程私钥矗定关联完全样图42示
图42 公钥加密算法程
公钥加密算法身基NP难单陷门函数进行设计例RSA算法整数素子分解问题ELGamal基限域离散数问题等DES算法相RSA加密算法强度更高加密中素数整加密程耗时相较长限制推广
(3)密钥加密法
密钥加密法指密钥愚进行次加密密钥身易破解整加密系统安全性会折扣果密钥进步加强保护防止密钥身破解定程度达保护密钥目密钥加密法便应运生图43示
图43 密钥加密法流程
密钥加密系统含元素传统称加密算法公钥加密算法样原密钥k明文m加密密钥密钥加密法中明文密钥加密系统中加密程传统加密方法加密强度赖加密算法原强度密钥次加密仅利密钥保存外方面加强算法身安全性
(4)二次加密法
二次加密算法中加密脱密程复杂程次序进行加密图44示
图44 二次加密法
首先RSA算法中私钥终密文c脱密生成中间密文C1DES算法中密钥脱密成终明文m密文安全性两结构组成加密算法作基础基NP难计算问题单加密算法安全性更时加密程中两套密钥系统入侵者破解密钥时入侵者破解中组密钥然外组密钥密文进行保护入侵者法获取整密文身相应明文容二次加密算法加密强度耗时相较高外量中间密文需存储计算会占量存储空间计算资源云计算中计算集群存储集群力较强特点支撑云计算完成二次加密算法特加密程
(5)分组混合加密法
传统加密方法分流密码分组密码两种方式样加密算法非常优点够证明唯密文攻击情况安全根分组加密方法思想时结合云计算中计算处理器众特点明文11长度重新进行分组中部分利DES算法进行加密时部分利公钥加密算法中RSA算法进行加密具体加密程图45示
图 45 分组混合加密法
加密程中脱密程加密程逆程密文clDES算法中私钥ki进行脱密脱密形成中间明文mi时密文C2RSA算法中私钥k3进行脱密脱密形成中间明文m1整合中间明文m1m2终形成明文m
413 民航值机系统加密安全策略
系统中采 RSA 加密算法传统应场景通讯双方拥私钥公钥发送方方公钥加密发送数接收方私钥解密数
非称加密数字签名传统应流程场景:
1)甲方构建密钥公钥公布乙方私钥保留图46 示
图46 构建公布保留密钥标程
2)甲方私钥加密数然私钥加密数签名发送乙方签名加密数乙方公钥签名验证解密数否效果效公钥数解密图47示
图47 加密解密数字签名程(甲方乙方)
3)乙方公钥加密数甲方发送加密数甲方获加密数通私钥解密图48示
图48 加密解密数字签名程(乙方甲方)
42 基角色身份验证访问控制策略
基角色访问控制模型套较强制访问控制选定访问控制更中性更具灵活性访问控制技术目前公认解决型企业统资源访问控制效方法
421 实现前提
身份认证提高网络安全措施目证实认证象否属实常通信双方相互确认身份保证通信安全常网络身份认证技术 静态密码USB Key 动态口令智卡牌等中常见户名加静态密码方式方案中采USB Key方式
图 49 民航值机系统户身份认证系统模型
基USB Key 身份认证方式采软硬件相结合解决安全性易性间矛盾利USB Key 置密码算法实现户身份认证USB Key 身份认证系统2 种应模式 基击响应认证模式 二基PKI 体系认证模式果仅仅单身份认证信息时法实现定点登录必须结合网络安全系统吸取身份认证方法优点取长补短形成种身份认证防御体系间联动保证网络安全性限制特定户特定计算机通特定交换机端口登录民航值机系统涉密网络中
422 系统联动
实现定点登录程中根民航值机系统实际情况结合现网络安全系统完成文中结合身份认证系统域控系统端点准入防御系统作例子阐述具体定点登录实现程
身份认证系统功完成民航值机系统网络中户身份进行认证里采双素认证方式域控系统完成民航值机系统涉密网络中户通身份认证进入计算机中端点准入防御系统实现户计算机相应交换机端口间绑定功
423 实现方式
实现程中民航值机系统相关技术部门网络部门首先需制定相应密钥通PKI生成户私钥然生成私钥存储USB Key中程中需收回户相关登录密码联网密码相关民航值机系统技术员客户端中相关户登录密码联网密码存储户USB Key中然生成私钥通定加密算法存储硬盘特定位置
图410 民航值机系统身份认证程
次户需登录计算机时需首先插入USB Key输入pin码必须两者正确进行步操作果正确PKI系统客户端会硬盘加密联网密码登录密码传入USB Key中进行相应解密解密完成解密联网密码传递端点准入防御系统果输入密码正确端点准入防御系统会开启交换机相关端口通道网络物理链路时户登录密码传递域控服务器进行户信息计算机信息匹配果正确户正常开机网果中意信息误户法开机
民航值机系统涉密网络进行登录验证程中实现户身份指定计算机间匹配具体匹配流程图411示
图411 定点登录相关实现程图
424 实现效果
通利述相关身份认证方法定点登录效果技术应民航值机系统涉密网络中实际应效果:
图412 验证登录程
(1)统户身份认证理户登录密码户私钥加密存储底计算机硬盘中户登录计算机中计算机够效保护户计算机硬盘数非法户进行操作
(2)户生成联网密码够保存方保存户计算机该户通计算机连接民航值机系统涉密网络中样方便接入民航值机系统涉密网络中户监控理便网络资源理
(3)够效避免民航值机系统网络技术部门防范外非法计算机接入保证民航值机系统网络安全性防止涉密数没审批意进出民航值机系统涉密网络
明显采改进方案数已轻易分析出户认证安全性加强整系统运行更加安全稳定改进认证系统算法时间相前稍增加仅认证程中应服务器通信程中存问题户应服务器通信采称密钥加密认证通信速度受影响
43 基防火墙技术控制策略
431 民航值机系统防火墙默认选项设置
防火墙默认选项设置:未明确允许禁止转发先关闭服务端口然根需开放相应服务端口现需进行审核滤应服务类型表41示:
表41 防火墙需审核滤应服务类型表
服务类型
端口范围协议
说明
DNS
53TCPUDP
域名服务
WWW
80TCP
WEB服务
SMTPPOP3
25110TCP
电子邮件
TELNET
23TCP
远程登录
FTP
2120
文件传输服务
民航值机系统部网络资源严禁外网访问提供外部特定访问服务便民航值机系统网计算机进行理维护网计算机实施MAC址IP址绑定外NAT方式隐藏部网络结构防火墙提供网络址转换功仅隐藏部网络址信息外界法直接访问部网络设备时帮助网络超越址限制合理安排网络中公Iniemet址私IP址通NAT功防火墙系统帮助采私址部网户利访问Iniemet信息资源会造成网络应阻碍时量节省网络址资源[2]
432 VLAN设置
核防火墙DCFW1800关VLAN理原理:假设防火墙ifl接口收包发现tag包会查找否定义vlan接口ifl定义两vlan接口分vlan0 (tag 10)vlanl (tag 20)防火墙会找vlan0处理tag 10接口会带tag数包部原成普通太包通普通路查找算法找出目路例子中假设目接口vlanlvlanl定义ifltag20接口防火墙会数包重新tag 20包头ifl接口发回交换机交换机收掉tag头发目机B次通信样完成
图413 防火墙VLAN设置
433 安全域配置
端口防火墙中网络简单Trusted Untrusted DMZ区域基础允许户建立安全区域安全区域网络访问流量进行监控基安全域访问控制
pptptunnel域外域支持混合模式界面标明(LAYER2LAYER3)类型接口时加入pptptunnel域某安全域(层次)中untrusttrustdmz域户行编辑直删删建立untrusttrustdmz域时标系统缺省
安全域中配置物理接口VLAN子接口配置安全域数量物理接口VLAN接口总域网络象访问控制
434 防火墙界面功设计安装
Firewall程序初始化时加载DrvFltIp驱动户单击开始钮驱动发送START_IP_HOOK控制代码安装滤钩子单击停止钮发送STOP_IP_HOOK控制代码清滤钩子户单击添加钮弹出添加滤条件话框允许户输入滤规单击删钮删户选定滤规户单击安装卸载钮firewall程序DrvFltIp驱动发送ADD_FILTERCLEAR_FILTR控制代码安装者卸载滤规
界面图414示:
图414 防火墙程序界面
CMainFrameCMainFrame()
{
确保IP滤驱动启动(否样安装钩子?)
m_pIPFltDrv new CDriver(IpFltDrvsys IpFltDrv)
m_pIPFltDrv>StartDriver()
启动IP滤钩子驱动
char szPath[256]
char* p
GetFullPathName(DrvFltIpsys 256 szPath &p)
m_pFilterDrv new CDriver(szPath DrvFltIp)
if(m_pFilterDrv>StartDriver() || m_pFilterDrv>OpenDevice())
{
MessageBox(创建服务失败)
exit(1)
}
m_bStarted FALSE
}
CMainFrame~CMainFrame()
{
if(m_bStarted)
m_pFilterDrv>IoControl(STOP_IP_HOOK NULL 0 NULL 0)
if(m_pFilterDrv NULL)
delete m_pFilterDrv
if(m_pIPFltDrv NULL)
delete m_pIPFltDrv
}
防火墙程序初始化时加载FwHookDrv驱动单击开始钮驱动程序发送START_IP_HOOK控制代码安装滤钩子单击停止钮发送STOP_IP_HOOK控制代码清滤钩子单击添加规钮弹出添加滤规话框图62示允许户输入滤规防火墙程序IP滤协议驱动发送ADD_FILTER发送控制代码安装滤规单击删钮户删选定滤规防火墙IP滤驱动发送CLEAR_FIILTER控制代码卸载滤驱动
5 民航值机系统信息安全解决方案
51 素方面
511 强化安全防范理
保证民航值机信息理系统安全系统正常运行必须强化民航值机信息系统安全防范理安装防火墙世界公认直接效加强安全防范控制方法防火墙建立安全屏障效阻止法户访问民航值机信息理系统保护系统资源非法户访问时采取效控制措施控制民航值机信息理系统信息数接收传输保证民航值机信息理系统安全外切实加强民航值机信息理系统安全防范控制应建立健全民航值机信息理系统访问控制权限控制属性特征安全保障技术支持等控制模块
522 健全信息安全理制度机制
健全民航值机信息理系统理制度强化信息理系统安全法规制度落实确保民航值机信息理系统安全正常运行重手段采取定期定期方式系统运行环境运行条件运行状态进行常规监控检测维护全力保障民航值机信息理系统实体设备民航值机系统线路正常运行系统创造良运行环境理员断提高改善控制防范电磁泄漏力外做民航值机信息理系统安全防范工作必须加强数保密理工作善利先进民航值机加密解密技术保障信息收集处理传输程中安全效防范重机密数泄漏时提高工作效率民航值机信息理系统安全保密工作必须切实抓抓实抓出成效
523 确保民航值机相关员教育培训
实现民航值机信息安全风险持续性控制离开民航值机网络相关员参信息安全风险理控制程中素关重果组织实施技术性控制措施忽略民航值机网络相关操作员理员户安全意识提升安全技掌握安全控制措施稳定持续发挥效力组织必须加强民航值机网络操作员理员广户进行深入教育培训增强需保护系统资源断进行风险控制意识发展相关知识技具备安全操作感知风险处理风险基力素质组织成员控制风险力技培训发展通邀请信息安全专家讲座组织关键部位成员进行案例研讨验丰富专业员民航值机网络操作员理员户进行实践验交流送院校系统培训等方式进行总通安全教育培训达受训者够掌握足够技效应控制风险确保系统安全目
52 系统安全设计方面
521 提升民航值机系统信息安全技术层次
确保民航值机信息理系统安全必须保证民航值机信息理系统结构设计具科学性合理性保证民航值机信息理系统民航值机系统运行质量民航值机系统安全通制定符合身实际资源优化配置优设计方案保证系统设计科学合理外局域网具定局限性实现民航值机信息理系统安全防范防止数资料局域网中传播时非法侦听截取盗采中心交换机核心传输模式路器边界传输数辅基核心交换机访问控制列表功实现物理分段逻辑分段形式保证民航值机民航值机系统安全畅通
522 民航值机设备安全
考虑信息值机程中完整性效性真实性防止身份信息伪造信息进行非法修改非法中心数库服务器存储全部身份信息交易信息值机系统中枢安全性整值机系统安全决定性影响保证中心数库服务器安全稳定高效运行防范网络攻击病毒黑客入侵数库非法访问篡改删需硬件配置操作系统数库等三层次采取措施安装操作系统时采较高安全级关闭网络访问服务设置科学合理密码理机制外建议采专业扫描软件整系统进行安全扫描找安全隐患漏洞进行排
523 民航值机数传输安全
保证助机中心数库服务器应系统服务器间数通信安全助机系统中进行注册未注册助机法助机中采集值机流程防止传输程中数篡改应值机流程加校验果系统发现值机流程篡改重新采集数中滤正常数系统中心数库分布数库中办理记录回显反馈汇总流水等重数均采数校验方式增加日期戳校验字段确保数库中种重数信息篡改复制等恶意操作保证数真实完整准确
524 民航值机软件系统设计安全
登陆控制基础采操作员进行权限控制方式控制操作员校园卡系统访问操作员权限范围系统进行操作防止发生数库合法户非法修改数库中重数情况数库重数表加校验系统定期表格进行扫描发现校验异常时报警相应数记录设置非法出异常登记报表外系统操作保存详细记录便发生问题进行追查已校园卡系统相关数字校园应系统通提供整套应编程接口应系统范围改造接入整校园卡系统应系统接入校园卡系统时指定接口完成许范围操作样消非法访问校园卡系统中心数库
结
述通设计实现基民航值机系统民航城市值机系统特通行业相关应重点分析非传统民航网络条件保证城市值机系统安全性问题通访问控制数加密安全审计等方面研究设计实现确保城市值机系统民航值机系统应环境中安全
文阐述网络安全重性国外加密技术研究现状作简分析密码学发展史称密钥非称密钥中典型加密算法特点计算思想作相关述算法改进相关应作描述必须根民航值机信息系统特点高度重视民航值机信息安全问题民航值机信息系统安全风险理工作作项艰巨长期工作求单位结合实际情况全方位角度考察系统安全风险采取合理济风险控制措施保证庞民航值机信息系统安全健康稳定高效运行
总说国网络信息安全然发展国外技术先进国家相差距赶国外先进技术项艰巨务需懈努力
参 考 文 献
[1] 王麒黄建军民航网络信息安全监工作浅谈[J]中国民航空201646(5)1215
[2] 蒋中华 舟 汪虹宇 基二元Logit助值机选择行模型构建[J]航空计算技术2016(11) 122125
[3] 民航值机系统时代数安全[J]重庆科技学院学报(社会科学版)201624(03)4546
[4] 李煜刘景森直接匿名证言方案实现机制改进思路[J]河南学学报(然科学版)201755(4)5658
[5] 邓星铁路信息化理中信息安全探究[J]理学探索201646(3)123125
[6] 王欣荣贾培凌传荣金融网络安全体系设计实现[J]情报杂志2015(11) 23(6)4245
[7] 杨明DDE技术机场BAS系统中应[J]动化应201212(4)8789
[8] 田洪健基SID数字电视值机监台方案研究[J]线电视技术2011(06) 41(9)6568
[9] 吴冠男民航信息系统安全分析[J]信息电脑(理版)201112(15)7679
[10] 李柯贾贵娟施炎林汪洪蛟空安全风险理信息系统分析设计[J]中国安全科学学报201642(16)4954
[11] 张越胡华清新形势枢纽机场总体规划发展趋势[J]综合运输201622(14)6364
[12] 李煜玲民航公信息享台体系结构研究[J]现代情报201616(26)8285
[13] 王红梅浅谈民航信息网络安全建设措施[J]信息网络安全200726(15)7779
[14] 韦群民航机场信息系统发展[J]指挥技术学院学报201144(11)8687
[15] Clark WeissmanSecurity Controls in the ADEPT50 Time Sharing System Proceedings of the 1969 AFIPS Fall Joint Computer Conference 201512(7)8889
[16] Michael A HarrisonWalter L RuzzoJeffrey D UllmanProtection in operating systems Communications of the ACM 20172(4)114145
[17] O OrganickThe Multics System An Examination of its Structure 201744(9)162165
[18] America Department of DefenseDepartment of Defence Trusted Computer System Evaluation Criteria Technical Report CSCSTD00183 201674(5)2326
[19] Millen Jonathan20 years of covert channel modeling and analysis 1999 IEEE Symposium on Security and Privacy 201714(2)112115
[20] Richard A KemmererShared resource matrix methodology An approach to identifying storage and timing channels ACM Transactions on Computer Systems 2016 52(6)136135
[21] Anderson JPComputer security technology planning study Air Force Electronic Systems Division ESDTR7351 201644(7)142145
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
