高校教务管理的数据安全研究
2014-04-08张磊陈美娜薛丹
张磊,陈美娜,薛丹
(佳木斯大学,黑龙江 佳木斯 154007)
高校教务管理的数据安全研究
张磊,陈美娜,薛丹
(佳木斯大学,黑龙江 佳木斯 154007)
随着教务管理系统软件在各高校的广泛使用,数据安全问题越来越引起教务工作者以及数据安全研究人员的广泛关注。在教务管理系统中数据的安全性非常重要,针对教务管理数据面对的安全问题提出使用现代密码技术进行加密的方法,通过软件开发技术、密码学技术等多种手段保证其安全可靠,并在具体的教务管理系统中实现数据安全设置。
教务数据;管理;安全
0 引言
教务管理系统由于具有易用性与便捷性的特点,成为当前国内各高校必不可少的教务管理辅助工具。然而随着教务系统的广泛应用,其产生的大量教务管理数据则面临着各种网络安全威胁,如何保证数据的安全成为当前亟待解决的问题。随着人们对密码学技术的研究,有人提出将密码学技术应用于软件开发当中[1],这为数据安全的研究提供了一个发展方向。本文针对不同性质的教务管理数据,从安全保障的角度出发,研究其对密码学技术的应用。
1 密码学技术
密码学(Cryptology)是集数学、计算机科学、电子通信等诸多学科于一体的交叉学科,其历史极为久远。密码学的起源可以追溯到4 000多年前的古埃及、古巴比伦、古罗马和古希腊,其发展大致经历了两个阶段:传统密码学和现代密码学。我国古代的藏头诗即为古代密码术的一种,称为隐写术,另外,暗示、隐语、隐形墨水、微缩技术也为隐写术的方法。
随着计算机科学的飞速发展,出现了快速电子计算机和现代数学方法,它们一方面为加密技术提供了新的概念和工具,另一方面也给密码破译者提供了有力的武器,二者相互促进,使密码学技术飞速发展。由于受历史的局限,20世纪70年代中期以前的密码学研究基本上是秘密进行的,而且主要应用于政府部门和军事、外交等重要领域。密码学的真正蓬勃发展和广泛应用是从20世纪70年代中期开始的,源于计算机网络的普及和发展。1973年,美国的国家标准局(NBS,National Bureau of Standards)认识到建立数据加密标准的迫切性,开始征集联邦数据加密标准。1977年1月NBS决定使用数据加密标准(DES,DataEncryption Standards)。1997年开始征集AES(高级加密标准),2000年选定比利时人设计的Rijndael算法作为新标准。作为最早且为当时最好的国家密码标准方案,数据加密标准DES完全公开了加密、解密算法。使得密码学得以在商业等民用领域广泛应用,从而给这门学科带来巨大的生命力,使其得到了迅速发展[2]。
当今密码学技术一般应用于通信技术领域[3],在软件上的应用一般是用在软件序列号、软件加密等方面,目前尚未对整个应用软件的各个部分,尤其是软件数据安全方面,根据涉密程度进行整体的、系统的加密研究与加密管理,因此本文拟从教务管理数据安全角度出发,针对教务管理数据中各个部分涉及到的不同安全级别,进行相应的密码学技术应用研究。
2 加密技术的应用方法
2.1 易受攻击的数据
在教务管理数据中易受攻击或较为敏感的数据主要包括:
(1)管理人员权限。指教务管理人员及一般操作人员在教务管理系统中的权限数据。
(2)学生信息。该信息不仅包含学生的家庭信息、联系方式等基本信息,还包括如学生的考试成绩、奖惩情况等信息。
(3)用户密码信息。用户登录系统所使用的密码信息,如该信息泄漏将导致非正常用户登录及操作。
2.2 加密要求
由于管理人员调动比较频繁,且管理人员权限分配相对比较宽松,因此对于管理人员的权限数据,应采用一种运行较快、加密系数相对较低的加密方式。
学生信息数据是教务管理数据的主要攻击目标,主要表现为对成绩以及联系信息的攻击。该数据泄漏后会产生较严重的后果,因此对于学生信息数据应采用较为严格的加密方式,使其在保密期限内无法通过各种攻击手段破译,并且在特殊情况下可以更改密钥以保障数据的安全性。
用户密码信息是用户保障其信息安全的一个基本条件,对此可以使用一种无法破解甚至无法恢复的加密方式进行加密。
2.3 加密算法选择
权限数据基于其数据类型较为单一、安全要求相对较弱等情况,在进行加密时首先考虑加密对软件系统的影响,其次考虑加密情况,使用对称密码的方式进行加密便能满足加密需求。
针对学生数据的易受攻击性,一般使用序列密码的方式进行加密,以保证一次一密,但是在软件应用中采用该方式势必会导致软件运行速度减慢。若采用对称密码如DES、AES等方式,攻击者可能根据获取的数据信息通过数据挖掘的方式计算出学生信息,因此应考虑使用一种类似于一人一密的方式,且加密后的数据应能够被正常解密,同时要减轻加密算法对软件运行造成的负担。出于对权限限制的考虑,此处选定的加密算法还应具备错误权限加密后提交的数据无法正常解密的功能,因此应选择公钥密码的加密方式。
针对登录密码,当前较为常用的是使用MD5算法进行Hash加密。该方法为单向加密方法,加密后无法进行解密。一般使用的方法是通过与存储的散列值对照输入加密后的字段进行登录判断[4]。然而由于其碰撞性使得位数较低的MD5算法存在一定的安全隐患,所以在使用时考虑使用位数相对较高的sha256或sha512算法。
3 数据加密
3.1 权限加密
对于采用对称密码加密的数据,这里主要使用AES进行加密。其分组长度选择128位分组,密钥长度选择128位密钥。这里需要注意的是,若仅仅对权限进行加密,那么当得知权限的真实情况后很容易将权限与加密后的数据相关联,这样势必会造成数据信息的泄漏。因此,我们采用将个人信息与权限信息相关联的方式进行加密。
具体加密过程如下:首先,获取个人信息,如工号、姓名等;其次,将个人信息与权限信息相异,或获取个人信息与权限信息关联数据;最后,将生成的关联数据通过AES方式进行加密。
其解密过程相对于正常的AES多了一步将个人信息与权限信息分离的过程。在生成关联数据时,由于使用的是异或方式进行处理,因此在加密解密过程中不会造成系统负载过高。
3.2 学生信息加密
对于学生信息,其加密数据可能会通过数据挖掘技术进行破解,导致信息泄漏。例如:当已知学生A、B、C的成绩分别是70分、80分、70分,那么若采用对称密码的方式,则可以针对已知或者已公布的学生取得70分成绩信息检索出该部分学生成绩加密后的信息,并通过关联规则方式进行数据挖掘,获取加密后的70分数据的加密信息,并通过加密信息推导出所采用的加密方式进而推导出密钥。
这里使用RSA公钥密码的方式进行加密。其中不同科目的教师使用不同的大素数,一旦将错误科目成绩数据加密提交后学生无法解密,而教师在发现之后可以通过重新录入的方式进行改正,避免在尚未公开成绩时造成信息泄漏。
密钥中包含学生学号或者学生姓名,以保证每个学生都有其自己的密钥,即使在攻击者获取到加密后的数据时也很难分析出加密前的数据信息。
其具体加密过程为:
计算乘积n=p×q,φ(n)=(p-1)(q-1),其中φ(n)为n 的欧拉函数;
随机选取整数e(1<e<φ(n))作为公钥,要求满足gcd(e,φ(n))=1;
计算d以满足d×e1modφ(n),即d≡e-1modφ(n)。其中e和n是公钥,d是私钥。
这里将d通过与学生信息相异或的方式进行信息处理,将处理后的数据进行加密保存,学生查询时首先解密该数据,校验完成并异或后获得私钥并进行数据解密;
这里加密时计算c≡memod n,解密时学生信息计算密文公式为m≡cdmod n。
3.3 登录密码加密
对于登录密码的保密工作正如前面所介绍的Hash加密方式一样,采用在数据库中保存杂凑后的Hash值数据,在用户登录时通过将登录用户输入的登录密码进行Hash计算,将计算后的Hash值与数据库中保存的Hash值进行比较,若一致则登录成功,否则登录失败。
这里使用sha512算法,将任何登录密码数据输出为512bit的消息摘要,输入消息以1024bit的分组为单位进行处理。
3.4 密钥管理
在以上的加密算法中涉及到加密密钥的管理问题,对于使用不同密码算法的加密方式采用不同的密钥管理制度。对于对称密码加密的数据,密钥可采用随机生成的方式,并经过固定时间通过更换随机码来更改密钥。
公钥密码的密钥管理一般较为繁琐,需要特殊存储加密密钥,在系统中可以使用数据字段的方式在数据库中进行加密存储公钥密码的密钥,同时为减少存储空间占用也可使用随时生成密钥的方式。出于安全方面的考虑,在本文中采用增加字段的方式,且该字段使用对称密码进行加密。
4 缺点及对策
4.1 RSA加密私钥过量
使用RSA的方式进行学生成绩的加密,势必会产生大量的成绩加密密钥,对于这些密钥的保存成为一个难点。针对这种情况,采用一种科目保存一种私钥的方式,即将私钥保存在科目数据中相关字段。在读取加密信息时,不是在学生信息中寻找密钥字段,而是在科目信息中获取字段,经过与学生信息异或校验后再进行使用。
4.2 单向加密的恢复
使用Hash方式进行加密时,一旦忘记密码将无法通过解密的方式获取密码,传统的方式是使用密码初始化的方式将密码恢复成系统初始密码,但这样存在一定的安全隐患。因此应采用一种门限的方式,通过密码共享技术,将权限较大的Hash加密数据通过(t,n)门限方案的形式进行恢复。
5 结语
对于教务管理数据的安全设置,目前在笔者所在学校开发的题库管理系统中已得到应用,并取得良好效果。本文仅介绍了密码学技术对数据进行加密处理,为了保障教务管理数据的安全,还需要制定切实可行的管理制度,结合安全技术以及加密算法,最终达到教务管理数据安全的目的。
[1]Tom St Denis,Simon Johnson.Cryptography for Developers[M].Elliptic Semiconductor Inc.and Author of the Lib-Tom Project,2007.
[2]谷利泽,郑世慧,杨义先.现代密码学教程[M].北京:北京邮电大学出版社,2009.
[3]王勇.电子商务中软件的保密性分析[J].信息网络安全,2011(4).
[4]段刚.加密与解密(第三版)[M].北京:电子工业出版社,2008.
Data Security Research of Educational in Universities
ZHANG Lei,CHEN Mei-na,XUEDan
(Jiamusi University,Heilongjiang Jiamusi 154007,China)
Asthe educational administration management systemsoftware widely used intoday's universities and colleges,the datasecurity problemcauses educational workers and datasecurity researchers’attention.The datasecurity is rery important forthe educational administration management.Consideringthe datasecurity issues of educational administration management systemsoftware,through avariety of means,such as software developmenttechnology,cryptographytechnology,modern cryptography’s encryption method is usedtoensurethe safe and reliable of educational administration data,and implemented inthe specific educational administration management system.
educational data;manage;security
TP391.7
A
1673-2022(2014)02-0055-03
2013-12-09
黑龙江省大学生创新创业训练项目(201310222055);佳木斯大学教育科研课题(JKA2013-032)
张磊(1982-),男,黑龙江绥化人,助理研究员,硕士,研究方向为数据挖掘、信息安全;陈美娜(1983-),女,吉林省公主岭人,在读硕士研究生;薛丹(1992-),女,黑龙江省绥化人,会计学专业学生。
