您好, 访客   登录/注册

陕西林业电子公文传输系统建设的加密安全性设计思考

来源:用户上传      作者:

  【摘 要】近年来贸易保护主义抬头趋势明显,尤其是最近的贸易摩擦使得信息技术、网络安全及保密技术受到极大关注,电子公文传输是政府信息化之基础,如何保障网络传输文件的安全性、可靠性成为我们不得不重新审视的重要问题,安全可靠的国产化技术及产品将成为我们开展信息化建设的首选。本文分析了国产密码算法在电子公文传输系统中的运用,希望构建面向陕西林业各单位的非涉密普发级公文交换传输服务,进一步推动协同办公和信息共享。
  【关键词】电子公文传输;陕西林业;国密算法
  中图分类号: TP311.52 文献标识码: A 文章编号: 2095-2457(2019)28-0207-002
  DOI:10.19694/j.cnki.issn2095-2457.2019.28.095
  电子公文传输系统就是使用已有的计算机通讯网络与信息安全防护技术,实现单位、组织各部门之间、不同单位之间、上下级单位之间公文的草拟、签章、分发、收取等功能,并以电子化的数字公文传输通讯方式完全取代传统的纸质公文发送方式。公文使用计算机制作并生成板式,最终成为含有红头和公章的电子数字公文板式(OFD)文件,经过加密,使用计算机通讯网络直接传送给收取方,收取方经过电子数字文件解密算法处理,还原出原始文件内容和板式(OFD)并与传送方完全一致的电子数字签章公文文件,收取方只需要使用彩色打印机对电子文档打印,就能得到含有红头和公章的纸质公文。全部过程都是使用计算机通讯并监控在专用网络环境中开展的,从而极大的提升了公文传输的时限,同时有效地确保了公文传输的安全性。
  陕西林业普发级非涉密电子公文传输系统建设基于全省电子政务外网总体框架,依托省政府协同办公系统基础设施,充分利用现有的计算机网络技术、传输技术、安全技术、版式文件、电子印章及数字认证技术等,最大限度优化系统间的协作,升级原有的协同办公系统,开发全省林业公文传输功能,使系统具备易用、统一、规范、安全等特点。最终实现面向全省林业各单位、各部门和各市林业局间的非涉密普发级公文交换传输服务,进一步推动相互间的协同办公和信息共享。
  陕西林业普发级非涉密电子公文传输系统首先要考虑的就是安全性。电子公文文件必须具有保密性、严肃性和不可抵赖性的特性,在建设陕西林业电子公文传输系统时,应采用国密SM不对称加密方法,借助IC硬件加密设备,对电子数字公文文本进行加密算法操作。具体的说,电子数字公文的产生首先使用加密算法进行数字加密算法加密,再经过用户的IC硬件私钥密码,用时间戳的办法对电子数字公文做电子数字签名,确保该数字文件的合法性、可识别校验性及严肃完整性。在文件的傳输发送过程中,依据收取方,取得相应收取方单位的公钥,用公钥对电子数字公文文件进行国密算法加密,传输给收取单位。收取方单位获得电子数字文件后,使用私钥对获得的数字文件进行SM解密,然后对进过解密算法还原后的收文,用发文单位的公钥校验收文的电子数字签名真伪和完整性验证,确定收取的文件的合法性。上述流程简单的概括就是:公文草件-(电子签名)-电子公文-(SM加密)传输-(SM解密)-收文-(电子签名验证)。
  国密算法是指国家密码局确定的国产密码算法。通常包括SM1,SM2,SM3,SM4等国密密码算法。密钥长度与分组长度均为128位。
  SM1 对称加密算法,其加密强度和AES相当。此算法不公开,调用该算法时,需要通过加密IC芯片的接口进行加密算法调用。
  SM2 非对称加密算法,基于ECC,此算法已公开。因为此算法基于ECC,所以其签名速度和秘钥生成速度远远快于RSA商密算法。ECC 256位(SM2使用的是ECC 256位的一种)其安全强度比RSA 2048位算法高,同时运算速度远远快于快于RSA商密算法。
  SM3 消息摘要,可以用MD5对比理解校验,此算法已公开,校验结果是256位。
  SM4 无线局域网标准的分组数据加密算法,对称加密,密钥长度与分组长度都是128位。
  陕西林业电子公文传输系统加密采取SM2算法,就SM2算法来说,通过数字信封实现数据的安全保护,采用对称加密算法SMS4加密数据,采用椭圆曲线算法SM2加密之前SMS4加密时用到的密钥。国家密码管理局发布《SM2密码算法使用规范》若GIS项目中日后使用到SM2接口,需符合该规范。
  SM2算法推荐使用256位素域GF(P)上的椭圆曲线:参数h=1。密钥长度为256比特,采用ECB电码本模式,私钥key需满足,公钥是椭圆曲线上的一个点,SM2有规定好的密钥分配协议page33,SM2算法使用到的HASH值均由SM3算法计算得到。具体的模块设计如下所示:
  1)加密
  SM2算法基于ECC椭圆曲线密码加密算法机制,区别在于签名、密钥交换方式与ECDSA、ECDH等国际算法标准不同,使用和采取了更为安全的加密算法机制。同时,SM2使用了一条256位的ECC曲线作为标准曲线。SM2国密算法标准包括总则法、密钥交换协议、数字签名算法、公钥加密算法四个部分组成。
  2)解密
  (1)从密文比特串C=C1‖C2‖C3中取出C1,将C1转换成椭圆曲线上的点。
  (2)验证C1,计算S=[h]C1,如果S是无穷远点,出错退出。
  (3)计算(x2,y2)=[dB]C1。
  (4)计算t=KDF(x2‖y2, klen), KDF是密钥派生函数,如果t是全0比特串,出错退出。
  (5)从C=C1‖C2‖C3中取出C2,计算M'=C2+t。
  (6)计算u=Hash(x2‖M'‖y2),比较u是否与C3相等,不相等则退出。
  (7)输出明文M'。
  3)验证完整性
  MD5散列用于验证收到的文件的完整(下转第155页)(上接第208页)性。服务期计算md5哈希的解密和截断文件并与MD5哈希用户发送的附加到文件。Python的hashlib库中使用这个程序来计算MD5哈希文件。如果两个散列值相等,则表示文件完整。
  通过陕西林业电子公文传输系统的设计思考,由理论分析可以得出,安全性算法功能可以很好地实现在专网范围内的非涉密普发级公文传输功能,具备了加密和校验能力,能够保证公文在生成和传输过程中的安全性和完整性,提高了公文收发的效率,最大限度的利用现有资源实现了全省林业系统的文件传输目标。
转载注明来源:https://www.xzbu.com/8/view-15031195.htm