技术报告-政府采购系统安全模型.docVIP

政府采购系统安全模型的研究 项 目 技 术 报 告 华东交通大学 2010年12月26日 目 录 项目概述 1 第一部分 教育局政府采购系统的基本流程和安全需求 3 一、 教育局政府采购系统的基本流程 3 1. 项目申报 5 2. 项目审批 6 3. 项目招标 7 4. 项目投标 8 5. 项目评标 9 二、 角色分析 10 三、 政府采购系统的安全需求 11 四、 安全模型设计原则 13 五、 安全模型总体设计 14 1. 安全模型框架 14 2. 安全模型构建 14 3. 安全模型组成 16 第二部分 技术方法和技术路线 19 一、 平台和工具的选择 19 二、 技术方法和技术路线 19 1. 访问控制管理模块的设计 19 (1) 授权验证机制 19 (2) 用户管理机制 20 (3) 安全策略管理机制 20 (4) 运行控制机制 21 (5) 访问控制信息数据库 21 2. 身份认证模块的设计 21 (1) 基于摘要口令身份认证机制 22 (2) 基于 ECC身份认证机制 22 (3) 椭圆曲线加密子模块 23 3. 电子签章模块的设计 26 (1) 水印图像处理 26 (2) 载体图像处理 26 (3) 水印的嵌入 30 (4) 水印的提取 31 第三部分 政府采购系统安全模型的功能 32 一、 字符串的嵌入 32 二、 字符串的提取 34 三、 二值图片的嵌入 36 四、 二值图片的提取 37 五、 非对称加密 39 第四部分 系统技术特点 40 一、 可扩展性、可移植性和跨平台性 40 二、 安全的访问控制 40 三、 安全高效的身份认证 40 四、 电子图章的安全性和水印数据的不可见性 41 五、 可抵抗JPEG压缩攻击 43 六、 抗篡改性和可证明性 43 项目概述 随着计算机技术和网络技术的发展，信息系统对推动政府采购不断完善的作用越来越明显。政府采购管理工作逐步实现了网络化运营管理，政府采购通过运用现代化信息技术进行业务交易，发布采购信息并完成交易，解决了传统采购方式难以克服的时间和空间问题，提高了政府采购工作效率，也大大增强了政府采购的透明度，真正体现了公开、公平、公正的原则，电子采购也成为我国政府采购的发展趋势。但同时政府采购系统存在着信息被截留、窜改、泄露等安全问题，严重影响网上采购系统的应用。因此，政府采购系统的安全保密成为迫切需要解决的问题。目前，在政府采购系统的开发设计过程中，其安全性被放在首要地位，成为政府采购系统的关键。 2007年初，华东交通大学向江西省科技厅申报名为“政府采购系统安全模型的研究”的课题，拟对信息安全模型进行理论研究，开发一个完善的、通用性好、可扩展性强的安全模型组件，并力争在南昌市教育局政府采购系统中试用。该申请项目被江西省科技厅列为2007年度科技计划项目。本模型主要具有如下功能： （1）访问控制。采购系统涉及的用户多且类型繁杂，因此必须能够有严格的访问控制，采用具有时限的基于角色的访问控制（TRBAC）可以解决这个问题。在RBAC中，权限赋予角色，角色分配给用户，用户通过角色享有权限，它不直接与权限相关联，能够降低访问控制管理的复杂度，已成为当前公认的最有发展潜力的控制策略。为了进一步保障系统的安全，可以采用具有时限的授权，即用户所拥有的权限是具有时限性的。 （2）身份认证。用户的身份认证是实现访问控制的基础，本系统采用基于公钥基础设施（PKI）和MD5加密的混合身份认证方式。MD5是采用单向加密的加密算法，用MD5加密的数据具有很高的安全性，加密后的信息就算被泄漏，也不会泄漏信息本身的真正含义。PKI的原理是基于公钥加密体系中密钥的非对称性，由证书授权机构（CA）签发的数字证书来证明用户的身份和自己公、私钥之间的对应关系。 （3）电子签章。政府采购过程中的许多电子文件需要签字盖章并存档，电子图章是政府采购必须实现的技术，如果没有电子图章就不能保证这些电子文件本身的真实性与严肃性。数字水印是一种近年来得到广泛关注的信息隐藏技术，通过图章所有人将预先定义好的水印数据嵌入到电子图章中，再对被盖章文件进行必要的加密保护，可以有效地解决电子图章的安全性问题。 第一部分 教育局政府采购系统的基本流程和安全需求 教育局政府采购系统的基本流程 政府采购系统的研究与开发是以南昌市教育局的信息化建设的需要为背景，目的是提高办事效率，降低项目管理、采购的成本，推进政府采购系统的信息化建设。 通过对南昌市教育局政府采购流程进行分析，得出如图1-1所示流程图，一个采购开始到结束整个过程主要包括以下步骤： 项目单位向主管单位申请采购立项 项目单位向主管单位提交项目执行报告 主管单位向财政提交采购项目 财政委托招标机构进行招标 招标机构进行招标 供应商进行投标 评委进行评审 定标