发布时间:2023-03-08 15:28:38
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的信息安全硕士论文样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
关键词:Internet密钥交换协议;IPSec;IKE
中图分类号:TP309 文献标识码:A DOI:10.3969/j.issn.1003-6970.2013.07.038
本文著录格式:[1]马萌,王全成,康乃林.Internet密钥IKE协议安全性分析[J].软件,2013,34(7):112-114
0 引言
在开放性的网络体系中,进行秘密、敏感信息传递时,首先要求通信双方拥有共享密钥,才能够按照安全性需求对数据进行机密性、完整性和身份认证保护。为了应对Internet密钥交换协议面临的复杂多样的网络威胁和攻击手段,本文详细分析了IKE协议的基本思想和主要存在的四个方面的安全缺陷,为采取更加有效的信息安全技术和方法,堵塞可能的安全漏洞和隐患提供帮助,从而满足日益增长的网络安全应用要求。
1 IKE协议的基本思想
IKE协议吸取ISAKMP协议、OAKLEY协议和SKEME协议各自的特点组合而成[1],同时还重新定义了两种密钥交换方式[1]。
一次典型的IKE密钥协商交换可描述如下(第一阶段采用主模式和公钥签名身份验证):
(1)SA载荷交换,协商认证算法、加密算法等,交换Cookies对;(2)KE载荷,Nonce载荷交换,提供计算共享密钥的有关参数信息。(3)通信双方分别计算共享密钥参数。(4)通信双方进行身份验证,构建IKE SA;(5)进行IPSec SA载荷和选择符信息交换,协商IPSec SA的验证算法、加密算法,计算IPSec SA密钥参数,构建IPSec SA。
由上可知,IKE 协议在两个通信实体间之间实现密钥协商的过程实际上分为2个阶段。第一阶段构建IKE SA,第二阶段构建IPSec SA。
在第一阶段,使用主模式或者积极模式,建立IKE SA,为通信实体之间建成安全的通信信道,为第二阶段的密钥协商提供安全保护服务。
第二阶段,使用快速模式,依托第一阶段创建的IKE SA通信信道,构建IPSec SA,为通信双方之间的数据传输提供机密性、完整性和可靠。
两个阶段的IKE协商相对增加了系统的初始开销,但是由于第一阶段协商建立的SA可以为第二阶段建立多个SA提供保护,从而简化了第二阶段的协商过程,结合第二阶段SA协商总体数量较多的实际,仍然是节约了系统的资源。
在第一阶段,当需要对协商双方提供身份保护时使用主模式相对安全一些,而积极模式实现起来简单一些,却无法提供身份保护服务;第二阶段使用的快速模式,在一个IKE SA的保护下可以同时进行多个协商;新组模式允许通信双方根据安全性要求协商私有Oakley组,但新组模式既不属于第一阶段也不属于第二阶段,且必须在第一阶段完成后方可进行。
2 IKE协议的交互流程
第一阶段主模式或积极模式中,都支持数字签名、预共享密钥和公钥加密等身份认证方法。不同的身份认证方式,身份认证的原理不同,传递的密钥协商交换消息也有所不同。其中,数字签名认证是利用公钥加解密原理,由通信双方生成数字签名信息,再由另一方对数字签名信息进行解密、比较,实现对通信双方的身份认证;预共享密钥认证是利用对称密钥加解密原理,由通信双方利用私钥对认证内容计算hash值,再将hash值发送给对方进行解密、比较,完成身份认证;公钥加密认证仍然是利用了公钥加解密原理,与数字签名认证不同的是,由通信双方利用对方的公钥分别加密身份识别负载和当前时间负载的数据部分,然后根据对方返回的结果以确定对方的身份。公钥加密认证方式有两种,区别在于加解密的次数不同。
下面,我们以数字签名为例,说明2个阶段的具体协商流程。
2.1第一阶段密钥生成
3 IKE 协议的安全缺陷
目前针对IKE协议的安全性分析结果非常多,已发现的安全问题和隐患也非常多,归纳起来主要有以下几类。
3.1 拒绝服务(DoS)攻击
拒绝服务(DoS)攻击是一种针对某些服务可用性的攻击,是一种通过耗尽CPU、内存、带宽以及磁盘空间等系统资源,来阻止或削弱对网络、系统或应用程序的授权使用的行为[2]。更加形象直观的解释,是指攻击者产生大量的请求数据包发往目标主机,迫使目标主机陷入对这些请求数据包的无效处理之中,从而消耗目标主机的内存、计算资源和网络带宽等有限资源,使目标主机正常响应速度降低或者彻底处于瘫痪状态。DoS攻击是目前黑客常用的攻击方式之一。在Internet密钥交换协议中,由于响应方要占用CPU和内存等进行大量的密集的模幂等复杂运算,而其存储和计算能力是有限的,鉴于这一瓶颈问题的制约,极易遭到DoS攻击。
虽然Internet密钥交换协议采用了Cookie机制,可在一定程度上防止DoS攻击,但Cookie数据的随机性又极大的制约了其作用的发挥[3]。同时,更有分析认为Internet密钥交换协议的Cookie机制会导致更加严重的DoS攻击。因为协议规定Internet密钥交换的响应方必须对已经验证过的合法Cookie建立SA请求予以响应,攻击者可以利用这一规定,直接复制以前的ISAKMP消息,不更改其Cookie数值并发送给响应方,而响应者需要大量CPU时间的运算后才能判别出发起者是非法的,从而无法从根本上防止DoS攻击。
3.2 中间人攻击
中间人攻击是指通信实体在通信时,第三方攻击者非法介入其中并与通信双方建立会话密钥,作为真实的通信实体间消息通信的中转站,从而共享通信实体双方的秘密信息。中间人攻击的方法主要是对消息进行篡改、窃听,重定向消息以及重放旧消息等[4],是一种攻击性很强的攻击方式,属于主动攻击方式的一种[5]。
图3.1详细描述了中间人攻击[6],当Initiator与Responder进行D-H算法密钥交换时,Initiator计算并发送公钥X,Attacker窃取X,并假冒Responder发送公钥Z给Initiator,从而完成一次D-H密钥交换,双方之间共享了一个密钥。同理,Attacker和Responder之间也可以共享一个密钥。这样,当真正的通信双方进行信息交换时,所有数据都经由Attacker中转,而不会被发觉。
IKE协议的身份验证机制可以有效防止中间人攻击,但仍有一些缺陷。
3.3 身份隐藏保护缺陷
IKE协议第一阶段有两种模式、四种认证方式,其中一个主要目的就是要能够提供发起方和响应方的身份隐藏保护功能,但是在积极模式下的数字签名认证和预共享密钥认证,以及主模式下的数字签名认证都无法提供身份隐藏保护。例如,在第一阶段主模式协商的数字签名认证方式中,一个主动攻击者就可以伪装响应方的地址并与发起方协商D-H公开值,从而获得发起方的身份信息[7]。
一般来说,在无法同时保护通信双方身份的情况下,要优先考虑隐藏发起方的身份。因为绝大多数的响应方在IKE交换中都是作为服务的一方,而服务器的身份信息一般是公共的,所以可以认为保护发起方的身份要比保护响应方的身份要更为重要[8]。
3.4 其它安全缺陷
除了以上的安全缺陷外,IKE机制还存在一些其它的问题,如难以抗重放攻击、新组模式定义多余等。
重放攻击是指攻击者采取网络数据包提取等技术手段,对发起方和接收方之间的通信数据进行窃听或者截取,获得通信双方之间的任意消息,然后将该消息重新发送给接收方,从而消耗网络资源,甚至瘫痪通信网络。在整个Internet密钥交换过程当中,通信双方都需要保存部分交换信息用来记录数据交换情况,同时,当Cookies对建立以后,数据状态信息可以用来表示数据交换状态。此时,第三方攻击者利用网上截获的正常数据包进行重新发送,或者攻击者截获Cookies对后伪造假消息,由于该Cookies对是真实的,通信实体双方仍然会对伪造的假消息进行处理,甚至再次解密消息,或者由于无法正常解密,从而发现消息不真实。这样会使系统被迫处理大量无效的操作,降低处理效率,浪费大量系统计算和存储资源。
4 结论
本文详细分析了IKE协议的基本思想和主要存在的四个方面的安全缺陷,认为必须深入分析Internet密钥交换协议面临的复杂多样的网络威胁和攻击手段,采取更加有效的信息安全技术和方法,不断改进Internet密钥交换协议,堵塞可能的安全漏洞和隐患,从而满足日益增长的网络安全应用要求。
参考文献
[1] D.Harkins,D. Carrel.Internet key exchange. RFC 2409,Nov 1998.
[2] William Stallings,Lawrie Brown.计算机安全原理与实践.北京:机械工业出版社,2008:166~180.
[3] 黄永锋.IKE协议改进及其实现框架[硕士论文].镇江:江苏大学.2005.
[4]张红旗.信息网络安全.北京:清华大学出版社,2002:106~107.
[5]William Stallings著.网络安全要素——应用与标准.北京:人民邮电出版社,2000.
[6]陈文贵.IKE协议分析与实现[硕士论文].成都:西南交通大学.2005.
关键词:人防指挥 计算机网络 信息安全
人民防空是国防的重要组成部分,人防指挥网络的安全性尤为重要。如果不能很好解决存在于人防计算机网络中的安全隐患问题,将会引起人防泄密事件和网络被攻击事件的发生,更会严重影响到作为高科技作战辅助手段的计算机网络技术在人防信息化建设中的推广和应用,甚至会成为人防未来信息化战争中的“死穴”,直接影响人民防空战争行动。分析现阶段人防的网络安全存在的问题,并找出相应的对策,对当前人防计算机网络安全的建设和发展及把握未来战争形态具有十分重要的意义。
1 现阶段人防计算机网络存在的问题
1.计算机网络安全技术问题
(1)长期存在被病毒感染的风险。现代病毒可以借助文件、由文件、网页等诸多力式在网络中进行传播和蔓延,它们具有自启动功能,“常常”潜入系统核心与内存,为所欲为。计算机经常受感染,它们就会利用被控制的计算机为平台,破坏数据信息,毁损硬件设备,阻塞整个网络的正常信息传输,甚至造成整个人防计算机网络数据传输中断和系统瘫痪。
(2)人防信息在网络中传输的安全可靠性低。隐私及人防信息存储在网络系统内,很容易被搜集而造成泄密。这些资料在传输过程中,由于要经过许多外节点,且难以查证,在任何中介节点均可能被读取或恶意修改,包括数据修改、重发和假冒。
(3)存在来自网络外部、内部攻击的潜在威胁。网络无防备的电脑很容易受到局域网外部的入侵,修改硬盘数据,种下木马等。入侵者会有选择地破坏网络信息的有效性和完整性,或伪装为合法用户进入网络并占用人量资源,修改网络数据、窃取、破译机密信息、破坏软件执行,在中间站点拦截和读取绝密信息等。在网络内部,则会有些非法用户冒用合法用户的口令以合法身份登录网站后,查看机密信息,修改信息内容及破坏应用系统的运行。
2.信息安全管理问题
对安全领域的投入和管理远远不能满足安全防范的要求。而且安全上出了问题,又没有行之有效的措施补救,有的甚至是采取关闭网络、禁止使用的消极手段,根本问题依然未得到实质性的解决。
2 网络安全技术对策
(1)建立人防网络的权限控制模块。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。可以根据访问权限将用户分为3种类型:特殊用户(系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。
(2)建立网络服务器安全设置模块。网络服务器的安全控制包括设置口令锁定服务器控制台;设置服务器登录时间限制、非法访问者检测和关闭的时间间隔;安装非法防问设备等。安装非法防问装置最有效的设施是安装防火墙。它是一个用以阻止网络中非法用户访问某个网络的屏障,也是控制进、出两个方向通信的门槛。目前的防火墙有3种类型:一是双重宿主主机体系结构的防火墙;二是被屏蔽主机体系结构的防火墙;三是被屏蔽主机体系结构的防火墙。流行的软件有:金山毒霸、KV3000+、瑞星、KILL等。
(3)建立档案信息加密制度。保密性是计算机系统安全的一个重要方面,主要是利用密码信息对加密数据进行处理,防止数据非法泄漏。利用计算机进行数据处理可大大提高工作效率,但在保密信息的收集、处理、使用、传输同时,也增加了泄密的可能性。因此对要传输的信息和存储在各种介质上的数据按密级进行加密是行之有效的保护措施之一。
(4)建立网络智能型日志系统。日志系统具有综合性数据记录功能和自动分类检索能力。在该系统中,日志将记录自某用户登录时起,到其退出系统时止,这所执行的所有操作,包括登录失败操作,对数据库的操作及系统功能的使用。日志所记录的内容有执行某操作的用户和执行操作的机器IP地址 、操作类型、操作对象及操作执行时间等,以备日后审计核查之用。
(5)建立完善的备份及恢复机制。为了防止存储设备的异常损坏,可采用由热插拔SCSI硬盘所组成的磁盘容错阵列,以RAID5的方式进行系统的实时热备份。同时,建立强大的数据库触发器和恢复重要数据的操作以及更新任务,确保在任何情况下使重要数据均能最大限度地得到恢复。建立安全管理机构,安全管理机构的健全与否,直接关系到一个计算机系统的安全。
3 网络安全管理对策
(1)强化思想教育、加强制度落实是网络安全管理上作的基础。搞好人防网络安全管理上,首要认真学习有关法规文件和安全教材,增强人防指挥网络安全保密观念,增长网络安全保密知识,提高网络保密素质,改善网络安全保密环境。还可以通过举办信息安全技术培训、举办网上信息战知识竞赛等系列活动,使广大职工牢固树立信息安全领域没有“和平期”的观念,在每个人的大脑中筑起人防网络信息安全的“防火墙”。
(2)制定严格的信息安全管理制度。设立专门的信息安全管理机构,人员应包括领导和专业人员。按照不同任务进行确立各自的职责。根据人防的特点制定系列的规章制度。并规定指挥系统计算机不得随意安装来路不明的软件、不得打开陌生邮件,对违反规定的进行处理等等。
(3)重视网络信息安全人才的培养。加强计算机网络指挥人员的培训,使网络指挥人员熟练通过计算机网络实施正确的指挥和对信息进行有效的安全管理,保证人防的网络信息安全性。
总之,只有在技术层上建立完整的网络安全方案,提高人员人防职工的保密观念和责任心,加强业务、技术的培训,提高操作技能;保护己有网络系统安全手段,才能保证人防在未来的信息化战争中占据主动权。
参考文献:
[1]殷伟,计算机安全与病毒防治[M].合肥:安徽科学技术出版社,2004.8(3):34-35.
随着会计电算化和信息化的推广,目前高等学校都实现了会计电算化。会计电算化在带来高效的工作效率的同时,也为财务信息安全带来了新的挑战。文中分析了会计电算化下高校财务信息面临的安全问题,系统研究了产生的原因及应对策略。
关键词:
高等学校;会计电算化;财务信息;信息安全
1高校财务信息安全面临的问题
在会计电算化下,高等学校的会计核算、会计信息的查询、会计数据的决策支持等基本都以电子数据为基础,都要以会计核算系统的正常运行为前提。而在实际的工作中,往往因为人为操作失误、病毒感染、硬件设备故障等造成电子财务数据的部分丢失或错误,严重情况下会造成电子财务数据的完全破坏和丢失。这一方面影响高校正常财务工作的开展;另一方面需要根据纸质的会计档案修正电子财务数据,特别是在电子财务数据的完全破坏和丢失的情况下,需要根据纸质会计档案重新建立电子数据库,在个别严重的情况下无法完全重建电子数据库,造成财务信息的不完整。
2造成高校财务信息安全问题的原因
2.1相关会计电算化规章制度难以落实
规章制度用于规范职工的操作,为业务办理提供规范性的指南与约束。部分高校虽然已采用了会计电算化,也制定了相关的会计电算化规章制度,但并不注重相关制度的落实。首先,部分高等学校只是重视会计电算化制度中规定的会计电算化业务规范,严格要求会计人员按照规定的规范进行会计核算业务,但很少注重会计电算化制度中禁律、维护手段和频率等内容。其次,大部分高等学校都没有切实安排人员监督会计电算化制度的落实,完全取决于会计人员对会计电算化制度的了解和认识以及对自身的约束性。最后,部分高等学校虽然安排了监督会计电算化制度实施的工作人员,但是往往是一名普通的工作人员,在发现同事甚至个别领导存在违反会计电算化制度的情况时,也不方便监督与更正。由于会计电算化制度不能切实实施,给高等学校的财务信息安全带来极大的隐患。
2.2重视力度不够
会计工作是一个高校的基础和保障工作,基本上所有高校的所有者和管理者都很重视会计工作,但是往往重视的是高校的筹资活动、投资活动、收入和成本管理、会计核算的真实完整、会计报表的准确真实等会计业务,往往忽视会计电算化电子档案和数据的管理。在会计电算化环境下,很多高校还是沿用老的管理模式,对纸质凭证及其他会计档案按照相关会计准则规定建档保存,但是对电子数据保存和使用的管理却远远落后。个别高校甚至在日常的工作中根本不理睬会计电算化系统的运行情况和数据的备份及维护,只有在会计电算化软件或硬件系统出现故障时,会计人员才会在软件工程师的指挥下备份会计电算化数据,清洁维护会计核算设备。在这种情况下,会计核算设备很容易出现故障,会计信息很容易被破坏或丢失。
2.3会计电算化设备相对不足
首先高等学校的财务工作是一项专业性很强的特殊领域。财务工作人员虽然具有很强的财务专业知识,但是一般不具备信息安全知识。在构建电算化系统时和后期的电算化系统使用过程中,财务人员从专业的角度出发往往要求以最小的成本实现最大的收益,只注重会计电算化业务功能的实现,而很少切实考虑日后使用过程中系统的稳定运行和财务数据的安全性问题,致使很多高校的电算化设备没有不间断电源、数据备份冗余设备、财务数据异地备份所需要的移动存储设备等。其次,会计电算化设备的相对不足还表现在会计电算化设备的陈旧。很多高校重视电算化系统的初始构建,但是不注重后期电算化设备的维护和更新,特别是会计电算化所用的服务器达到其使用寿命后仍在没有必要辅助设备的情况下继续使用,为会计电算化的财务数据安全性带来极大的威胁。最后,会计电算化设备的相对不足还表现在会计电算化配套设置如存放房间、空调等的不足。
2.4专业人才缺乏
很多高等学校,从事会计电算化业务的人员都是原来从事传统手工会计的会计人员或是现代会计相关专业毕业的会计人员。这些会计人员由于缺乏数据安全的专业知识、不了解电子设备的性能及相关维护知识、会计业务的专业特殊性及忙碌的工作等,只能按照构建电算化系统时软件工程师的指导意见对电算化系统及数据进行简单的维护,甚至在电算化系统正常运行的情况下基本不进行任何维护操作。虽然现在已有很多高校的财务部门开始引进一些计算机专业毕业的工作人员,但是由于在财务部门这种传统的专业技术领域,计算机专业人员很难得到应有的认可,导致很多的计算机专业人员开始慢慢放弃原来的专业而将更多地精力用于会计专业知识和业务的学习。
2.5会计电算化软件及设备的消极被动维护
很多高校都是由专业的会计人员兼职会计电算化系统和数据的维护工作。一方面这些工作人员都有正常的会计业务需要办理,并且这些会计工作基本被认为是其重要的本职工作,甚至是其考核的标准。这无形中导致了工作人员将主要精力用于会计业务而忽视会计电算化系统和数据的维护,同时繁重的会计业务也使这些会计专业人员没有更多地精力去改进会计电算化系统的性能和稳定性,只能简单的保证系统的正常运行。另一方面会计电算化系统和数据的维护是一项即辛苦又看不到成果的工作。很多时候这份工作也就会被慢慢的冷落而变成消极地应付性的简单维护工作,这为财务信息的安全带来了很大的隐患。
3保障财务信息安全的策略
3.1加强会计电算化制度的实施
高等学校应加强会计电算化制度的培训与学习,使会计工作人员熟悉会计电算化制度及其重要性,提高工作人员重视并自觉遵守相关制度的意识。同时,高等学校财务部门应安排直接领导负责会计电算化制度的执行情况,不定期抽查工作人员落实会计电算化制度的情况,及时发现并纠正违规行为。从制度落实方面规范会计工作人员的电算化行为,保证高等学校财务信息安全。
3.2提高重视程度
财务信息安全是会计电算化下高校财务工作的基础,筹资活动、投资活动、收入和成本管理、会计核算的真实完整、会计报表等都必须以准确的财务信息和稳定的会计电算化系统为基础,没有安全准确的财务信息,高等学校的财务工作将寸步难行。高等学校应切实提高对财务信息安全的重视程度,充分认识到财务信息安全的重要性,在人力和物力上保证电算化系统的正常运行,保障财务数据的准确与安全。
3.3加大对会计电算化的投入
一方面高等学校应该根据电子设备的特性,将会计电算化系统的重要设备存放在安全、清洁且恒温的房间,配备不间断电源避免服务器突然断电,配置必要的设备通过冗余技术提高会计电算化系统的稳定性,从而提高财务信息的安全。另一方面电子设备都有一定的使用寿命,当达到其使用寿命后电子设备的稳定性将大幅度下降。高等学校应该在会计电算化所用电子设备接近使用寿命时根据其运行状况及时更换,避免因电子设备的损坏造成电算化系统的瘫痪和财务数据的损坏或丢失。
3.4加强专业人才队伍建设
会计电算化系统的稳定性一方面取决于电子设备和软件系统的性能,另一方面取决于电算化系统的维护情况,而后者起着更重要的作用。为保证会计电算化系统的运行和财务数据的安全,高等学校财务部门应设置专业的会计电算化系统及财务信息的维护岗位,聘用具有会计电算化维护资格的计算机专业人员,从专业技术上为会计电算化下财务信息安全提供保障。在有条件的高等学校,可以像中山大学和华中科技大学一样在财务部门内部设置专业的信息部门并聘用计算机相关专业的工作人员从事会计电算化系统及数据的维护,并进行专用软件的开发。
3.5加强会计电算化系统及数据的维护
高等学校应要求会计电算化维护人员严格遵守学校会计电算化制度中关于会计电算化系统及数据的维护方式、维护频率及财务备份数据的保存方式等的规定,以规范完善的维护业务保证会计电算化系统的稳定和财务信息的安全。同时,现代科技日新月异,新的技术和设备不断涌现,高等学校应鼓励会计电算化维护人员根据单位的特点采用先进的维护技术,及时更新电算化系统所使用的电子设备,不断提高会计电算化系统的性能和稳定性,保证财务信息的安全性。
作者:孟庆书 单位:华南农业大学
参考文献:
[1]樊珊珊.目前我国会计电算化存在的问题及对策[J].会计之友,2011,(6):48.
[2]王中健,张强强,贺志官.对我国会计电算化问题现状分析的思考[J].中国电子商务,2012,(12):187.
[3]谷增军.信息化环境下会计信息安全问题探讨[J].新会计,2011,(4):63.
[4]胡英松.信息化中会计信息安全问题研究[J].哈尔滨商业大学学报(社会科学版),2009,(4):83.
[5]岳志雁.加强高校会计电算化内部控制的对策[J].山西财税,2009,(5):43.
随着Web Services由技术概念到实践应用的不断发展,种种迹象表明,Web Services将是未来应用架构的一个极为重要的模式。
安全中间件是中间件的一种,为我们提供了CA认证、数字证书、数字签名等安全相关的通用编程抽象。应用程序人员不必拥有专业的安全知识,即可通过调用安全中间件的相关API方便地使用所需的安全功能,从而使开发人员能够专注于业务逻辑的开发。
目前,传统的基于PKI(Public Key Infrastructure)的安全中间件已经可以满足我们大部分的安全要求,但是这仍然是不够的,因为传统安全中间件基本上都是采用调用API的方式,从而直接导致了应用程序与安全中间件的紧耦合性、平台相关性与编程语言相关性。
基于Web Services的安全中间件的优势
具有松耦合性与跨平台跨编程语言正是Web Services技术的最大特性,下面将讨论传统安全中间件与基于Web Services的安全中间件的各自运作模式及他们的不同,并总结出基于Web Services的安全中间件的优势。
传统安全中间件产品一般以PKI为基础,建立在X.509等安全标准之上,为开发人员提供了加密、认证、授权、验证等安全接口。下面是传统安全中间件与基于Web Services的安全中间件的运作模式对比图:
由图1左边可以看出,应用程序是采用API调用方式使用安全中间件的,即传统安全中间件是作为函数库与应用程序部署在一起的,这些都使得应用程序与安全中间件之间产生了紧耦合,导致整个系统过于复杂而不好维护,丧失了灵活性。另外,安全算法是需要大规模计算的,对于计算资源宝贵的移动设备来说,以上并不是一个理想的解决方案。
采用Web Services技术的安全中间件,通过SOAP协议实现应用程序与安全中间件之间的通讯。如图1右边所示,在本设计中,应用程序与安全中间件之间的通讯采用了Web Services技术,通过SOAP协议进行通讯。同时,为了保证应用程序与安全中间件之间网络通讯的安全,本系统中采用SSL用于保证传输层上的点对点完整性和机密性,在应用层面上则是采用WS-Security规范保证SOAP消息的安全性。
在以上的对比分析中我们可以得知,在基于Web Services的安全中间件中,不管是J2EE或.Net编程技术,都可以通过标准的SOAP协议与安全中间件进行通信,实现了编程语言无关性。再者,由于Web Services技术是基于网络HTTP协议通过网络进行通信,从而去掉了应用程序与安全中间件需要部署在同一操作系统、服务器上的限制,进而实现了平台无关性。最后,假设日后安全中间件内部模块进行了更新升级,也不会影响到应用程序,无需再编译、再部署,从而实现了应用程序层与安全中间件层之间的松耦合性。
由此可得出基于Web Services的安全中间件的优势有:编程语言无关性,平台无关性与松耦合性。
基于Web Services的安全中间件的总体设计
本文将设计与实现一个基于Web Services的安全中间件,该安全中间件从理论上讲,能够实现传统安全中间件的所有功能,并且是基于SOAP通讯的,实现了松耦合及跨平台跨编程语言性。
本中间件的功能主要分成两大块――证书模块与密码模块。
证书模块:证书申请,即个人通过安全中间件向CA申请证书;查询证书,应用程序可以通过该功能查询自己或已收到的他人证书状态;获取证书,应用程序可通过安全中间件获取自己或他人的证书;撤销证书,在个人丢失私钥时,可以申请撤销证书;验证证书,可用于验证他人证书的有效性。
密码模块:加密解密消息,使用各种算法对消息进行加解密操作;生成会话密钥,为通信的双方生成会话密钥;数字签名,对消息进行数字签名;签名验证,可对已进行数字签名的消息进行验证其完整性和发送方身份。
总体框架:
基于Web Services的安全中间件的设计目标,是为了让所有类型的应用程序都能通过由WS-Security保护的SOAP协议来获取安全服务。本中间件总体框架如下图所示:
如图2所示,本系统采用分层的设计结构。最上层为服务接口,以Web Services的形式给应用程序,而不是传统的采用API或RPC远程调用接口,消除了应用程序层与安全服务层之间的耦合性,也使得应用程序与安全中间件无需部署在一起,大大提高了企业信息系统的整体灵活性。
安全中间件在接收到请求后对其进行解析,然后进行相应的操作并返回。在应用程序接口下面,是两个主要模块接口――证书服务与密码服务接口,设计这两个接口的目的是为了日后系统的扩展。
在两个接口的下面,是两个模块的具体实现,这里的具体实现有两种方式,一是使用各种成熟的组件直接实现服务,如Sun提供的JCE、JAAS及JSSE,微软的CryptAPI或Intel的CDSA等;二是通过统一的PKI接口调用现成的PKI设施,其好处是可以随以后需求的变更而灵活使用不同的PKI产品。PKI统一接口的下方PKI Provider xx是针对某一PKI产品所设计的专用转换接口,实现从特定PKI产品自身接口到本系统PKI统一接口的转换。
实现细节:
下面是本系统的服务接口设计,这里的服务接口是指本安全中间件开发给应用程序的服务接口。本系统的Web Service的实现采用AXIS2开源框架。下面将使用AXIS2的services.xml说明服务接口的设计,并结合使用SOAP消息格式进行详细说明。
如services.xml文件中申请证书的xml配置如下:
urn:applyCert
本文就传统安全中间件与基于Web Services的安全中间件进行探讨比较,进而总结出基于Web Services的安全中间件的优势之处在于松耦合、跨平台与跨编程语言。接着,提出基于Web Services的安全中间件的设计方案,并实现了上述三点优势。当然,本系统目前还存在一些不足之处,在完整性方面,目前仅实现了基本的安全服务功能;在标准性方面,目前采用的Web Services安全规范仍处于草案阶段而不是公认的标准;最后是实用性,本系统目前仍处于测试阶段,最终能否胜任安全强度的要求仍需进一步的考验。
参考文献
[1] JP Morgenthal. Web Services for Enterprise Application Integration. [A] Journal, 2002,2(5 ): 14 ~16
[2] 张志擦. 中间件技术. 北京:中国石化出版社,2002. 122~123
[3] 荆继武. PKI系统研究:[博士学位论文]. 北京:中国科学院研究生院,2002
[4] 张振兴. Web服务安全性的研究与实现:[D]. 华北电力大学硕士论文,2004
[5] 肖军模,刘军. 网络信息安全. 北京:机械工业出版社,2003. 23~24
[6] Markham T. Security at the network edge. Information Survivability Conference, 2001,11. 279~286
文献标识码:A
计算机领域新技术应用使各行业生成、收集和存储了大量数据。大量信息数据给社会带来方便也带来大堆问题:信息过量,难以消化;信息真假难以辨识;信息安全难以保证;信息形式不一致而难以统一处理。一般数据库系统可高效实现数据录入、查询与统计等功能,却无法发现数据存在的关系和规则。如何辨析信息和如何不被信息淹没已经成为现实问题。一、数据挖掘直面数据丰富而知识匮乏的挑战
面对信息社会带来的“数据丰富而知识匮乏”的现实挑战,数据挖掘(Data Mining,DM)和知识发现(Knowledge Discovery,KD)技术应运而生,伴随计算机新技术和新理论的出现而发展,在电信与银行,生物及大型超市等领域运用效果显著。数据挖掘有时又称作数据库知识发现(KDD),此术语出现于1989年,从数据集识别有效与新颖的,潜在有用的,最终可理解的模式过程。KDD过程常指多阶段处理,包括数据准备与模式搜索,知识评价及反复修改求精;该过程要有智能性和自动性。有效性指发现新数据仍保持可信度,新颖性要求模式应是新的,潜在有用性指发现的知识将来有效用,最终可理解性要求发现模式能被用户所理解,几项综合在一起称为数据的科学性豍。
数据挖掘的界定。数据挖掘是从存放在数据库与数据仓库或其它存储信息库中的海量数据挖掘有趣知识过程。一般的定义是:数据挖掘是从大量、不完全、有噪声、模糊、随机的数据中抽取隐含其中,事先不为人所知、潜在、有效、新颖、有用和最终可理解知识的过程。研究人工智能学术人员和计算机技术专家通常所说数据挖掘名称各异但实质一样。自然世界数据以多种多样形式存放,除最常见数字与字符等类型,还有许多复杂数据。复杂类型数据挖掘包括:空间数据挖掘和多媒体数据挖掘,时序数据挖掘和文本数据挖掘,Web数据挖掘与流数据挖掘等。数据挖掘与传统数学统计分析有区别,数据挖掘在没有明确假设前提下自动建立方程,可采用不同类型如文本、声音、图片等的数据挖掘兴趣模式;统计数据分析工具侧重被动分析,需建立方程或模型来与假设吻合,最终面对数字化数据;数据挖掘是主动发现型与预测型数据分析工具,分析重点在于预测未来未知潜在情况并解释原因。二、软件工程的产生与数据实用性
软件工程概念源自软件危机,20世纪60年代末的“软件危机”这个词语频繁出现计算机软件领域,泛指计算机软件开发和维护所遇到的系列严重问题。在软件开发和维护过程中的软件危机表现为软件需求的增长得不到满足,软件开发成本和进度无法控制,软件质量难保证,软件维护程度非常低,软件成本不断提高,软件开发生产率赶不上计算机硬件发展和各种应用需求增长等。软件危机产生的宏观原因是软件日益深入社会生活,软件需求增长速度超过软件生产率提高,具体软件工程任务的许多困难来源于软件工程所面临任务和其他工程之间各种差异以及软件和其他工业产品的差异,即特殊性。软件开发和维护过程存在的问题,与计算机软件本身特点有关,软件开发过程进度很难衡量,软件质量难以评价,管理和控制软件开发过程困难等。计算机软件专家认真研究解决软件危机方法,逐步形成软件工程概念,开辟工程学新领域即软件工程学。软件工程用工程、科学和数学原理与方法研制与维护计算机软件有关技术及管理的方法。
软件工程针对数据的处理具有系统的规范的系列办法。1993年IEEE(电气和电子工程师学会)给软件工程综合定义为:将系统化、规范和可度量的方法应用于软件开发、测试、运行和维护全过程,即将工程化应用于软件数据等设计中。软件工程包括方法、工具和过程三个要素,方法是完成软件工程项目技术手段;工具支持软件开发、管理与文档生成;过程支持软件开发各个环节控制与管理。软件工程的发展伴随计算机与数据等相关技术的发展而进步。三、软件工程的知识库应用数据挖掘技术
蕴含数据的特殊软件的生命周期也是一个极其复杂演变过程,各个阶段都会产生大量软件数据。在设计文档与程序源代码,交流历史与Bug报告,软件运行日志等方面产生的大量数据,必然存在着对软件开发和维护具有重要价值的信息。如能充分利用数据挖掘技术发现这些数据隐藏的知识,可提高开发效率并避免错误,增强软件系统运行稳定性和可信性。利用数据挖掘技术处理软件产生大量数据想法在上世纪70年代就出现,但直到最近软件数据挖掘领域才受到越来越多学者关注豏。软件工程国际会议出现关于软件数据挖掘研究工作组,许多数据挖掘会议与期刊陆续出现多篇高质量与软件工程相关学术论文,软件数据挖掘已成为越来越关注热点的研究领域。
关键词:嵌入式系统; 可信计算机; 计算机安全
计算机的安全涉及从计算机底层硬件一直到应用程序的各个环节。为了增强计算的安全性,从计算机底层到应用程序、从硬件到软件必须有一套完整的安全设计方案。如何从计算机底层硬件体系结构入手,增强计算机的安全性,是研究热点之一。通过对可信技术[122 ]的研究,结合嵌入式技术,设计并实现了一种基于嵌入式方式的可信计算机方案,该方案在通用计算机主板上嵌入一个嵌入式安全模块ESM ( Embedded Security Module) ,从而能够从硬件底层到操作系统、从硬件到软件都做出改进,构成一个较完整的安全体系结构。ESM 模块将计算机的功能进一步地扩大和延伸。基于这一系统,能够开发出一个更加安全可靠,并且适用范围更广的可信计算机。
1 ESM 概述
目前嵌入式系统在计算机的各个领域都有广泛的应用[324 ] 。ESM 也是一个成功应用的嵌入式系统。毕业论文从结构上来说,ESM 主要由一个嵌入式硬件模块和一个微型的嵌入式操作系统JetOS 组成。ESM 是嵌入在主板上的,并从硬件上增加了对主板上南桥芯片的直接控制能力。同时,它还控制着一个智能卡接口,任何用户使用计算机必须插入表明其身份的智能卡以后才能正常加电启动计算机。通过这2 个重要的硬件改进,结合其内部的JetOS ,ESM 能够自如地控制主机上的资源以及使用者的权限。从而使整个系统的安全性得到了很大的增强。ESM 的软件核心是JetOS。JetOS 本身采用了一定的安全策略以达到用户安全使用计算机的目的,JetOS 与主机采用双向通讯的方式。JetOS 通过接收主机OS 的各种命令调用,然后返回处理结果来提供相应的安全功能;同时,JetOS 能够主动控制主机,通过这种主动控制,可以更好地监控用户对通用计算机使用中的不安全因素。图1 显示了软件的层次结构。
前面提到了ESM 还提供了智能卡操作的接口,图2 表示增加了智能卡接口以后的三级结构。当前,智能卡可以提供诸如身份认证,电子签名、权限管理等诸多安全功能。智能卡应用也是嵌入式系统应用的一个发展趋势。ESM 通过提供智能卡结口,使得主机能够很好地利用智能卡开发出各种应用程序,扩展了计算机的应用范围。
通过实验,ESM 对系统的影响非常小,用户在日常使用中根本感觉不到ESM 的存在。总之,ESM 模块将计算机的功能进一步地扩大和延伸。嵌入式的ESM 模块其本身就像一个小型的控制和管理系统,通过把它嵌入在主机主板上控制相关资源,并与主机双向通讯,使得普通计算机能够成为一个更加安全可靠,并且适用范围更广的安全计算机。
2 ESM 的嵌入式硬件设计
ESM 的硬件部分是一个单芯片系统。它主要是采用一个微处理器[5 ]进行主控制及处理工作,外部连接有各种外部设备和I/ O ,这些外部设备用来提供各种接口及I/ O 操作,比如USB 接口、智能卡接口、以及同主板之间的接口。ESM 本身提供了2 个大容量的存储设备用来装载和运行相应的控制程序。同时, ESM和主板也有直接的连接,并且采用了2 种不同的连接方式: GPIO 方式和I2C方式。这2 种方式分别完成2种不同的功能。GPIO 用来进行数据传输, I2C用来控制主板外设。
在ESM 模块内部采用了几种不同的总线方式,采用多总线复合的结构,可以带来2 个明显的好处:不同的应用采用不同的协议传输,使得各种不同的应用能够满足自己的一套标准和速率要求;利用不同速率的总线协议传输可以有效地改善系统的传输效率。通过对传输数据类型的分类,比如慢速量小的命令控制类数据采用自定义的GPIO 协议,而快速量大的数据操作则采用USB 或PCI 方式,这样数据传输之间不需要相互等待,有效弥补慢速设备带来的速度缺陷。
1) 内部总线 微控制器内部提供了内部总线驱动接口,它控制内部的地址、数据和控制总线,如图3 所示。从总线结构图可以看到,几乎所有的外部设备都是通过CPU 的内部总线同CPU 进行交互的,但是通过CPU 内部寄存器的设置,可以调整总线宽度,从而可以实现8 位和16 位外设的同时操作。内部总线是ESM的基本架构,它将承载ESM 内部的绝大多数的数据流和指令流。
2) GPIO 协议通讯 GPIO 协议是ESM 自定义的,留学生论文用来和主机进行通讯的一种特殊的总线形式。它的基本架构如图4 所示。利用CPU 提供的可编程的PIO 引脚引出3 根GPIO 信号线,硕士论文分别用来作为中断信号线、数据信号线和时钟信号线。它的另一端直接连接在主板的南桥引脚上,南桥的引脚同样也是可编程的GPIO 信号线,操作原理一致,从而可以实现双向的数据通讯。GPIO 协议主要一个慢速的数据通讯协议,用来处理低速少量数据流。在ESM 中,GPIO 是主机和ESM 之间的控制命令通道,对于少量的命令数据来说,GPIO 协议已经足够了。
3) I2C协议通讯 I2C总线是用于低速设备互联的一种串行总线协议。它是一种双总线结构,通过定义挂接在总线上的设备的地址,主从关系,可以很容易地实现多设备之间的访问。ESM 中利用一个标准的I2C接口芯片,可以将并行数据输入转换为I2C格式的数据输出,输出数据用来控制一个I2C的从设备,如图5所示。
4) PCI 总线 在总线结构图上可以看到,CPU 并没有提供PCI 的接口控制电路,ESM 是通过一个具有PCI 接口的密码协处理器来使用PCI 总线同主机通讯的,这也是硬件体系结构一个创新的地方。ESM 提供的安全功能中有数据加解密功能,而数据加解密涉及到大量数据的交换,自定义的GPIO 协议通讯方式或低速USB 方式都很难满足速度上的要求,这就必然要引入一个高速总线接口,密码协处理器就是一个很好的切入点。它本身并不是为此而引入的,密码协处理器主要提供对非对称密码运算的支持,通过它可以快速实现电子签名、运行认证算法以及密钥的生成等。使用带PCI 接口的密码协处理器可以很好地解决ESM 的速度瓶颈,可以有效地缓解利用低速GPIO 接口带来的传输方面的限制。
3 ESM 的嵌入式操作系统JetOS 设计
ESM 还包括一个嵌入式操作系统JetOS ,主要负责对嵌入式模块的管理。JetOS 的软件模块主要分为6大部分:主控系统、通讯系统、命令处理系统、智能卡接口模块、文件系统、密钥管理系统。每一个都和其他的模块有一定的联系,但并不是全互联的。图6 表明了其结构。
1) 主控系统 主控系统负责监控通讯通道,同时要控制ESM 自身系统的安全和稳定运行。与它有联系的有3 个子系统:通讯子系统、命令处理子系统和智能卡接口子系统。因此它要控制并管理这3 个子系统的正常运行,他们之间主要是调用和被调用的关系:医学论文主控系统会监控系统异常和正常事件的发生,一旦被激活,它会调用通讯系统与主机通讯,接收命令,转而调用命令处理子系统,对主机的要求做出响应。如果是和智能卡相关的,它会直接调用智能卡接口模块。主控模块并不直接和文件系统以及密钥管理系统关联,它只是通过命令处理系统来调用。主控系统还执行有权限的开关机功能,这也是通过对智能卡接口模块和通讯系统的调用来实现的。
2) 通讯系统 通讯系统是ESM 和主机之间的唯一接口,是控制和主机相互通讯和传送控制命令的通道。它包含一个命令通道、一个辅助的数据通道以及一个控制用通道。命令通道提供了和主机的函数调用接口、辅助的数据通道通过PCI总线方式来传输大容量数据,主要是加解密数据、控制用通道利用I2C总线来传输控制信号控制主机外设。
3) 命令处理子系统 JetOS 提供给主机的命令调用功能都是通过命令处理子系统来实现。命令处理子系统连接了4 个主要的系统模块。由于命令处理模块要执行各种安全功能或操作,它必须能够自主调用所需要的资源。但在超循环结构中,命令处理子系统是不能自主运行的,它属于前台系统,它必须通过主控系统的调用来激活。同时它要受到主控系统的监控,英语论文一旦命令处理模块执行异常或碰到非法操作,主控系统会直接采取相应措施来控制主机,这是通过检测命令处理系统的返回应答码来实现的。
4) 智能卡接口模块 智能卡的硬件接口是用GPIO 实现的,在JetOS 中,需要用纯软件模拟的方式来控制智能卡设备,需要一个专门的智能卡接口模块。它通过控制GPIO 信号来与智能卡通讯,提供了一个标准的智能卡软件接口。它受主控系统的调用,同时也受命令处理系统的调用。主控系统在执行开关机权限检测或身份认证,卡异常监控等功能时,会直接调用智能卡接口来执行卡操作。而碰到通用性智能卡应用比如卡验证,加解密,圈存圈提(银行应用) 时,会由命令处理模块来发出调用命令。
5) 文件系统 在JetOS 管理ESM 并执行各项功能时,需要一个简单的文件系统来存贮各种重要的JetOS 系统文件和应用参数。文件系统同时考虑了密钥管理系统的实现,因为密钥管理系统的一部分需要文件系统的支持,同时文件系统也给ESM 系统本身功能和应用的升级留下了扩充的余地,可以在文件系统中建立多个应用文件或多个功能性文件等等。
6) 密钥管理系统 密钥管理[627 ]是实现整个ESM 系统安全的一个重要组成部分,这里考虑在JetOS 中实现一个简单的密钥管理功能,实现除了能够对自身所提供的加解密和认证签名系统提供支持外,还一定程度上实现整个系统环境下的密钥管理系统的局部功能。
应注意在JetOS 的模块图中并没有内存管理模块,并不是完全没有内存管理,只是内存管理的实现十分简单,而且由于ESM 的资源有限,实现一个完整的内存管理并没有必要,因此考虑了一种很简单的内存管理方式,在设计中采用顺序存储的方式,利用链表域来查找内存区域,内存并没有分配和回收,由于应用的特殊性,职称论文产生的碎片对系统性能的影响并不大。
JetOS 的总体结构设计中采用了超循环结构,那么相应的在实现策略上就应该是一种被动的方式,即ESM 系统处于一个空闲等待状态,除了一些系统自身的例行操作之外,其余时间是等待事件的发生,主要是接收主机OS 的命令,然后进入命令处理系统进行处理,并返回结果给OS ,这是超循环结构所规定的模式。但这样的模式不能实现主动控制主机的功能,所以需要改进,考虑的一种方式就是采用主动和被动相结合,JetOS 可以被动地接收主机发送的命令,也可以主动向主机发送控制信号,但主要是以被动式为主的辅助以主动控制模式,这样ESM 同时扮演主设备和从设备。这种策略的好处主要是灵活,可以很好地满足功能设计上的各种应用需求。主动控制模式可以有效地增强主机的安全性能。可以说主动控制模式才真正体现了硬件一级的安全功能。
4 结 语
ESM 可以将计算机的功能进一步地扩大和延伸,再通过对操作系统Linux 内核的改造,加入嵌入式模块的主机就成为一个真正安全、体系严密的可信计算机。该设计基于对嵌入式系统的深入研究和应用,设计思想承前启后,既继承和保留现有通用计算机的体系和优点,又极大地增强了其安全性,有很强的应用价值。
参考文献
[1 ] TCG Specification Architecture Overview. Specification Revision 1. 2 [ EB/ OL ] . http :/ / trustedcomputinggroup. org/downloads/ TCG- 1 - 0 - Architecture - Overview. pdf , 2004204228.
[ 2 ] Zhang Xiaolan , Jaeger Trent , Doorn Leendert Van. Design and Implementation of a TCG2based Integrity Measurement Architecture[ EB/ OL ] . http :/ / ece. cmu. edu/ ~adrian/ 7312sp04/ readings/ rc23064. pdf ,2007204229.
[3 ] Labrosse Jean J . uC/ OS2II 源码公开的实时嵌入式操作系统[M] . 北京:中国电力出版社,2001.
[4 ] Wolf Wayne. 嵌入式系统设计原理[M] . 北京:机械工业出版社,2002.
[5 ] Barry Barry B. Intel 微处理器全系列:结构、编程、与接口[M] . 5 版. 北京:电子工业出版社,2001.
关键词:Petri网;工作流;电子合同;电子商务
中图分类号:TP311.5
随着互联网的发展,网络已经成为我们日常生活的一部分,在不经意间已经改变了很多人的工作、生活。为此,国家经过广泛的征求意见和修改,在2005年4月1日已颁布实施了《中华人民共和国电子签名法》,其中第十四条明确指出“可靠的电子签名与手写签名或者盖章具有同等的法律效力”。电子商务蓬勃发展,电子签章已然成为是我国印章史上的一场革命。电子签章系统将数字认证技术应用于印章管理中,强化对电子签章的制作和应用各个环节的管理,确保电子签章持有者身份真实、可靠、安全。现有的电子合同平台如[1]中所提到的,并未使用Petri网对工作流建模来保证电子合同平台系统代码本身的安全性以及可靠性,本文提出使用Petri网对工作流建模,从而保证系统流程的安全、可靠。
1 关键技术
1.1 工作流技术
1.1.1 工作流的基本概念
根据工作流管理联盟(WfMC)的定义,工作流的定义是:一类能够完全或部分自动执行的业务过程,在此过程中,文档(Paper)、信息(Information)或其它任务按照事先预定的规则进行流转。业务、工作、办事等人员和应用系统之间相互的协调工作,从而来实现业务流程中所要达到的最终目的。换句话说,工作流就是一些能够自动运行的业务活动,它们是相互关联的、相互衔接的。
1.1.2 基于网的工作流建模方法
这类方法适用于流程的可视化建模。网中的结点用来表示流程中的活动,网中的边用来表示控制流。使用这类方法的主要问题在于对模型的描述是否有形式化的语义。大多数工作流产品的可视化建模方法都缺乏形式化语义。具有形式化语义的基于网的方法可以转换成其它建模方法,如基于规则的、时序逻辑的和脚本语言的方法等。在基于网的工作流建模方法中,使用最多的是Petri网和状态图(state charts), Petri网被广泛用于建立工作流模型,Ellis和Nutt在Petit网的基础上提出了工作流CN模型,它实际上是高级Petri网的一个扩展,在其描述中用库所表示活动,用变迁表示活动间状态的转移。Vander Aalst则在Petri网的基础上定义了WF-Net即工作流网。在工作流网中,变迁被用来表示活动而库所则表示活动的可实施条件。Vander Aalst七还把工作流管理联盟在规范中提出的几种基本的工作流原语映射成相应的Petri模型,由此建立了工作流网的基本组件与触发机制。
因此Petri网作为一种从过程的角度出发描述和分析复杂系统的模型工具,被广泛地应用工作流的系统建模中,用Petri网工作流建模方法研究,始终是一个非常活跃的领域。
1.2 Petri网综述
Petri网理论[2][3]首先是在1961年在Carl Adam Petri的博士论文中提出,他在他的博士论文《用自动机通信》中首先提出将用一种网状结构来模拟了通信系统。
1.2.1 Petri网的引入原因
在分析工作流系统时,我们需要应用数学的分析方法[4]。而Petri网理论正好为我们解决了这些问题。在Petri网理论体系中主要有基于状态方程和代数的分析技术和基于可达树(图)的分析技术的两种建模方法。
1.2.2 Petri网的数学描述
Petri网是一种数学和图形的描述与分析工具,适合于描述并发、异步、分布、并行、不确定性和随机性的信息处理系统,进行系统模型的构造、分析及评价。下面简单介绍本文将使用的与Petri 网有关的基本概念、定义、术语和性质[5]:
定义1(Petri网)
(1)基本Petri网是一个三元组N=(P,T,F),其中,P和T分别为有限非空的库所和变迁集合,P∩T= ;F P×T∪T×P是一个有向弧的集合。
(2)令Σ= (P,T,F)是一个网,对所有x∈P∪T: x ={y∈P∪T|〈y,x〉∈F}是x的前集;x = {y∈P∪T|〈x,y〉∈F}是x的后集。结点集x的前集(或后集)定义为:
。
网中任一库所结点在任何时刻都可能含有0个或多个托肯,称为库所的标记。托肯在网中的分布反映了网的状态,称为网的标识,记为M。标识M实际上反映了网中库所结点向一个整数集合的映射。在M下库所p的标记记为M(p),表示p中含托肯的数量。事实上,M是一个多重集。给定了初始标识M0的网Σ称为Petri网,记为PN =(Σ,M0)。
1.2.3 Petri网的性质
(1)可达性。可达性是任何系统动态特性的基本性质。按照Petri网的转移方法,有效转移的启动将改变标记的分配情况(产生新的状态)。如果存在一个从M0状态到Mn状态的运行序列,那么我们就认为状态M0是可以到达状态Mn的,启动运行顺序表示为:=M0t1M1t2M2…tnMn或简化表示为=t1t2…tn。可用M0 [>Mn表示三者之间的关系,即从M0标识表示经过启动序列到达标识Mn。在网(N,M0)中所有从标识M0可达的标识集合,可表示为S(N,M0)或简化为S(M0),从M0触发的所有可能启动运行顺序的集合可表示为F(N,M0)或简化为F(M0)。这样,Petri网的可达性问题就转化为对于网(N,M0)和给定状态Mn,寻找是否存在Mn∈S(M0)。
(2)有界性。对Petri网(N,M0)若存在一个整数,我们把M0的到任一个可达状态的数设为k,若k申购始终不超过K,即对于每个状态标识M∈S(M0)和每个状态,M(i)≤K均成立,则称Petri网(N,M0)为是以K为界或简称Petri网(N,M0)有界。若Petri网(N,M0)为1有界,即每个系统的状态只有一种时,则称此Petri网是安全的或则说是稳定的。这种网的每一个位置要么只存在一个标记状态,要么没有一个标记状态。
(3)活性。一个Petri网(N,M0)被称为活的,当且仅当从M0可达的任一标识状态出发,都可以通过按照某一种变迁执行的顺序序列而最终启动其它任何一个变迁。这就说明,无论网的开始状态如何,一个活的Petri网都可以保证无死锁发生。
(4)可逆性。一个Petri网(N,M0)被称为可逆的,仅当对S(M0)中的每个状态标识Mi,M0都是可以从Mi达到的。也就是说,一个可逆网是这样一个网,它可以使得状态返回到初始标识或初始状态。在很多应用中,比如在合同流转系统中,当我们要求哪一步合同需要重新审核时,我们只要求合同流转系统回到某个特定状态就可以了,而不必要返回到初始状态。那么我们称这个特定状态当前所返回的状态就为主要状态M′。即对于S(M0)的每个状态标识Mi,主要状态M′都是可达的。
1.3 基于Petri网的工作流建模技术
应用Petri网对工作流进行建模,利用线性结构来研究工作流的流转方式和运行效率。主要方法是先将语义上的工作流进行转换成简单的活动图G=(V,E),再通过活动图进行转换成相应的Petri网模型。采用算法如图1所示[6],对活动图进行转化,首先对该活动图G=(V,E)进行深度优先遍,将每个节点,分成顺序,与分支,与合并,或分支,或合并五类,然后按照不同的策略进行转化。对于结v∈V,分别定义 v和v 为v的前置结点集和后置结点集,图1算法将合同在线签订流程活动图G转化为对应的Petri网,算法的时间复杂度为O(V)。
Input:活动图G=(V,E),其中V为节点的集合,E为有向弧的集合,其中|V|=n。
Output:Petri网N=(P,T,F)
Initialize:P= ,T= ,F=
begin
广度优先方式遍历G,并且从1开始编号。
将图G复制到G’,把图G’中的结点vi转化为ti,那么就形成了工作流网的变迁集合T。
for(i=0 to n) //循环添加
{
if(ti∈T∧(.ti= )) //添加开始库所
{
P=P∪{pk};
F=F∪{pk,ti};
for each (tj∈ti.)
{
P=P∪{pj},F=F∪{(ti,pj),(pj,tj)}
}
}
if(ti∈T∧(ti.= )) //添加结束库所
{
for each (tj∈.ti)
{
if (Pj tj)
{
P=P∪{pj},F=F∪{(ti,pj)}
}
F=F∪{(pj,ti)}
}
if (tj T){T=T∪{tj}}
F=F∪{(ti,pk)}
}
if (ti∈T∧|.ti|=1∧|ti.|=1) //处理顺序结构
{
if (tj∈.ti∧pk )
{
P=P∪{pk},F=F∪{(tj,pk) }
}
F=F∪{( pk ,ti) }
if(!(vj∈vi. ∧pk=∈.tj))
{
P=P∪{pk},F=F∪{( pk ,tj) }
}
F=F∪{(tj,pk) }
}
if (.vi|=1∧(|vi.|>1∧(vi==1)) //处理与分支结点,“1”代表与分支//
{
if (vj∈.vi∧pk∈tj.) { F=F∪{( pk ,ti) }
for each (vj∈vi){ P=P∪{pj},F=F∪{( ti ,pj) }}
}
if (.vi|=1∧(|vi.|>1∧(vi==2)) //处理或分支结点,“2”代表或分支//
{
if (vj∈.vi∧pk∈tj.) { F=F∪{( pk ,ti) }
}
if (.vi|=1∧(|vi.|=1∧(vi==3)) //处理与合并结点,“3”代表与合并//
{
for each (vj∈vi){ if(pj∈tj.){ F=F∪{(pk,ti)}}
P=P∪{pk},F=F∪{(ti,pk)}
}
if (.vi|=1∧(|vi.|=1∧(vi==4)) //处理或合并结点,“4”代表或合并//
{
if (vj∈.vi∧pk∈tj.) { F=F∪{(pk ,ti)}
P=P∪{pk},F=F∪{(ti,pk)}
}
}
}
end
图1 活动图到Petri网的转化算法
2 电子合同系统应用流程
平台采用J2EE架构进行开发,实现登录平台用户的合同洽谈、合同签订、合同查询等功能,应用流程如图2。
图2 电子合同系统流程图
基于电子签章技术的电子合同平台实现了网上可信电子合同的洽谈、签订等功能,为有协议签订需求的用户提供安全合作的办公平台,确保用户合法权益,对用户登录系统后的操作进行处处留证的监控,为有可能发生的合同纠纷等意外事故提供权威的责任认定功能。
3 基于Petri网电子合同系统建模
从整体上讲,电子合同系统可以分为电子合同在线签订和在线合同洽谈两个部分。这两个流程是整个电子合同系统的核心。对其进行研究具有一定的现实意义,下面对电子合同在线签订流程进行Petri网建模以及模型分析。
3.1 电子合同在线签订流程的Petri网模型
电子合同在线签订的第一步骤,一般是由秘书或办公室主任进行拟稿。这一步是这一流程最主要的部分。
电子合同在线签订流程主要包括:合同拟稿,合同核对,合同相关领导会签、不合格合同回退,合同催办,合格合同归档。
(1)合同拟稿:即审批文档的起草过程。在其中要确定合同名称,拟稿的部门,拟稿人员,主送部门或人员,合同的种类,合同的密级,合同打印限制,以及合同的内容,合同所带的附件等。
(2)合同核对:将拟写好的合同进行核对以后送给领导审核。核对内容包括文字的准确性,合同的合理性,以及其他一些合同的必要属性。
(3)合同领导会签:合同会签是指在同一个步骤上允许一个合同可以由一个或者一个以上的公司领导同时进行签章,并进行在线签章验证。
(4)不合格合同回退:在合同核对和会签的过程中,若合同有错误,就要立即进行合同的回退,以重新拟稿。
(5)合同催办:在合同在某一步骤停留时间超过某一时间时应该生成催办信息,通过邮件系统进行提醒。
(6)合格合同归档:合同审批通过以后及时进行合同归档,以便于可以进行合同的在线洽谈和在线签订。相应的合同在线签订流程如图3所示:
图3 电子合同在线签订流程的活动图
将以上活动图通过图1的算法进行建模,得到图4的Petri网顺序模型:
图4 电子合同在线签订流程的Petri网顺序模型
图4的各个变迁以及状态含义如下:
P0:合同未拟稿状态。
T0:主办人员或者单位合同拟稿。
P1:合同拟稿完成,等待审批。
T1:主送单位进行合同核稿。
P2:合同核稿无误,准备进入下一步。
T2:各个单位进行合同会签并进行验证。
P3:合同会签完成状态。
T3:进行合格合同归档。
T4:合同催办,提醒优先处理该合同,以提高流转效率。
P4:合格合同归档;
T5:不合格合同回退到第一步重新开始拟稿。
3.2电子合同在线签订流程的并发Petri网模型
并发模型主要是指合同在线签订过程中,一个合同同时有两个或两个以上的单位代表在同一步骤上进行会签,如此一来,在同一步骤上的会签人员可以同时打开该公文,相对于只能等待前一个单位代表操作完成才能开始审阅、签订的过程来说,大大增加了工作的效率。会签的同时不受到任何约束。对于开发人员来说,在流程的控制上也可以更方便,更简单。一个最常见的并发模型如图5所示,其中虚线框里的是会签时的一种典型的并发模型。
图5 电子合同在线签订流程的Petri网并发模型
图5的各变迁以及状态含意如下。
P0:合同未拟稿状态。
T0:主办人员或者单位合同拟稿。
P1:合同拟稿完成,等待审批。
T1:主送单位进行合同核稿。
P2:合同核稿无误,准备进入下一步。
T2:各个单位进行合同会签并进行验证。
P3:合同会签完成状态。
T3:进行合格合同归档。
T4:合同催办,提醒优先处理该合同,以提高流转效率。
P4:合格合同归档;
T5:不合格合同回退到第一步重新开始拟稿。
虚线框里的含义:
T21:合同进入会签流程。
P21:合同处于会签状态。
T22:会签人员1签订。
T23:会签人员2签订。
P31:会签完成,进入合同自动检验状态。
T24:检验合同是否合格。
3.3电子合同在线签订流程的Petri网模型分析
Petri网的分析方法主要有可达树分析、可达图分析和矩阵方程来分析,这里我们主要采用可达树和可达图来分析在线签订流程模型。根据可达树生成算法,我们可以得到图6 电子合同在线签订流程的Petri网顺序模型相应的可达树模型。
图6 电子合同在线签订流程的可达树模型
我们可以从图6可以得到电子合同在线签订流程Petri网的特性:
(1)该电子合同在线签订流程Petri网是有界的,因为可达树中没有出现 。(2)该电子合同在线签订流程Petri网是安全的,因为只有“0”,“1”出现在可达树标识中。(3)因图6中所有该发生的变迁都出现在该可达树中,说明了该电子合同在线签订流程Petri网是“活的”,也就是说没有多余变迁。
4 结束语
随着电子合同法律地位的确定、数字签名法律效力的认可,在电子商务活动中已经出现了大量的电子合同。本平台设计集成了PKI/CA技术、电子签章技术和数字水印技术等,采用J2EE架构建立起一套具有适用性、安全性的电子合同平台,有效的弥补书面合同的缺陷,减少人力、物力和财力方面的支出,提高工作效率、降低成本,其经济和社会效益显著。在编写代码之前,对系统流程进行Petri网并发模型建模,保证了系统可以支持两个或者以上的合同涉及方进行同时的合同会签。但同时,因为普通Petri网的一些缺陷,比如会产生空间爆炸等,运用普通Petri网对系统流程建模并不是最好的建模方法,运用高级Petri网进行建模将会成为下一步研究方向与目标。
参考文献:
[1]罗清彩.基于电子签章技术的电子合同平台设计与实现[D].华东师范大学硕士论文,2009(11).
[2]Sylvie Troncale,Jean-PaulComet,GillesBernot.Modeling and verification with timed hybrid Petri nets.Pattern Recognition,2009(42):562-566.
[3]H.Ehrig,K.Hoffmann, J.Padberg. Transformations of Petri nets[J].Electronic Notes in Theoretical Computer Science,2006:151-172.
[4]C.Mohan.Tutorial.State of the Art in Workflow Management Systems Research and Applications[DASFAA'97].Australia.1997:544-553.
[5]袁崇义.Petri网原理与应用[M].北京:电子工业出版社,2005.
[6]姜浩.基于Petri网的工作流模型分析与性能评价方法的研究[D].东南大学博士论文,2005.
[7]W.M.P.van der Aalst.Verification of Workflow Nets[C]. Springer-Verlag, Berlin,LNCS 1238.1997:407-426.
[8]W.M.P.van der Aalst. Workflow verification: Finding control-fowl errors using Petri net based techniques[C].Springer-Verlag, Berlin, LNCS 1806,2000:161-183.
[9]E.Badouel,J.Oliver. Reconfigurable nets a class of high level Petri Net Suppotring dynamic Changes within Workflow Systems[EB]. Publication Internet Number 1163,IRISA,France,1998.
[10]D.Moldt, R.volk. Object Oriented Petri nets in business process modeling[C]. Springer,Berlin,LNCS 1806,2000:254-273.
作者简介:谢汉天(1990.07-),男,浙江省金华市,在读硕士研究生,研究方向:信息安全。
关键词:信息时代;档案资源;开发;管理
中图分类号:G271 文献标识码:A 文章编号:1001-828X(2013)07-0-02
一、引言
近年来,随着计算机技术、信息编研技术的发展,为信息时代下的档案资源开发与管理提供了更加便利的条件。作为人类文明活动的记载,档案是社会信息资源的重要内容。在此背景下,如何有效利用新时代的电子政务、档案信息开发、档案编研技术,更好的提升档案资源开发与管理水平,成为档案管理的热点问题。下文将就信息时代档案资源的开发与管理展开讨论。
二、 档案资源开发的重要性
档案是社会信息资源的重要组成部分,是见证、还原、保存历史的重要途径。作为重要的信息资源,档案如果只贮藏不开发利用,处于封闭或静止状态,就只能被视为一堆废纸,失去其保存的价值和意义;若信息受检索和传播不畅等因素的影响,同样会造成信息价值的减损。所以,信息资源重在开发利用,信息只有被利用,它的价值才得以增值,信息资源的价值才能得到有效体现和实现,档案资源的开发与利用至关重要。
在信息时代背景下,档案管理工作应不断改革创新档案信息开发利用的管理模式和服务模式,充分满足社会各阶层对信息的需求。将这些原始信息通过先进的信息处理技术,对其进行合理的开发、整合并及时提供利用。
三、数字环境下对档案资源进行开发与管理
1.数字环境下的数字档案
数字化档案信息与传统档案相比,具有突出的优势。数字化档案具有多维性和共享性、隐蔽性的特点,由于网络环境的无边界无障碍,数字化档案信息的流动和传播途径增多,渠道更为畅通,其效益发挥的多维性和共享性将更加突出。
2.数字环境档案与传统档案对比
(1)档案信息利用效益对比
传统档案的利用效益存在着社会性、隐蔽性、滞后性等特征,在传统的档案管理环境中,一份科技图纸可以作为产品再生产的依据,提供准确的技术参数和标准数据,也可以作为是新产品开发和技术改造的参考信息,同时也可以作为专利技术或知识资本在技术市场上获得技术转让回报或成为技术投资资本。这份科技图纸还可以反映档案形成部门的历史发展,体现其不断传承的科学技术文化精神,作为后人历史研究、学习培训的生动素材,从而实现社会效益。档案信息服务部门并不直接创造价值,但社会各方面创造价值常常需要利用档案信息,“影子收益”的存在导致档案信息利用效益存在隐蔽性。同时,由于档案从收集到开放利用,需要一个时间过程(即开放滞后),档案从始行开放到被利用并取得实际效果,也需要有一个时间过程(即效应滞后)。这就使档案信息利用的效益周期在时间上具有延迟性。
而数字档案环境下将明显改善传统档案信息利用效益的滞后性。尽管从档案信息的产生到提供利用仍然存在一定时间的延迟,以完成档案信息加工处理的工作,但是这种工作时滞将随着文档一体化、电子文件的前端控制和全程管理的逐步实现而大大缩短。同时,除因保密需要的封闭时滞外,开放性、公益性的数字化档案信息因不同信息保管者之间的信息交换、转移而导致的时差将不复存在。网络即时公布和利用目前已成为部分政府档案信息的公开要求,随着社会开放度、政府开放度、档案开放度的不断提高,未来将会有越来越多的数字化档案信息实现从产生到被利用的零时差。
(2)增值性和社会效益对比
数字化档案信息利用效益比传统档案信息利用呈现出更加模糊、增值性更强和社会效益更加突出的特点。
首先,数字化档案信息利用的基础建设是一个庞大的长期的工程,应用技术不断升级、系统维护持续进行,资源开发滚动发展,使得资金投入不可能一步到位,人员培养不能一蹴而就,后期持续投入难以准确估算,从而导致成本支出具有一定的模糊性。
其次,数字化档案信息利用受益面的更加广泛也使得不同利用者利用档案信息的收益相互影响、相互交错,令原本就十分棘手的档案信息利用收益的测算更加困难。
此外,数字化档案信息流动性加快所创造的信息增值现象更加频繁,这类叠加性的利用收益的计算更加难以入手。从档案服务提供者角度来看,由于数字化档案信息服务尚处于初期建设阶段,相比可量化的经济回报,投入的成本比重更大;而且数字信息商品和互联网本身的赢利模式并不成熟,所以对社会效益的期望将在相当长的时间内高于对经济效益的追求,社会效益呈现出更加突出的特点。
(3)与互联网的联系紧密度
从数字化档案信息本身特点以及所带来的正、负效应来看,数字化档案信息比传统档案信息与互联网的联系更加紧密。数字化档案信息利用与网络化档案信息服务是相互联系的一组概念。原生数字化信息—电子文件的产生之初是为了提高业务活动效率和信息流动速度,在网络化条件下,档案信息流动的覆盖面和反应度都提高到一个新的层次,所以应用办公自动化项目的单位和部门如今都建立了局域网或广域网,大部分都连接了互联网,使得电子文件从产生到利用都离不开网络环境。
四、信息时代档案资源开发与利用
1.有效拓展档案资源的编研渠道
有序地开展档案编研工作,全面地、系统地采用真实性与科学性、实用性相结合方法,改变以往编研方法单一的方式,把档案的社会价值与档案的编研紧密联系在一起,有效地进行历史、文化财富的积累、研究,挖掘有关历史记录,服务社会,服务经济建设,使档案编研工作最大限度体现档案价值,展现它的社会有用性。其次是要适应信息化时代的需要,因为依靠传统的信息编研与传播手段已经不能满足信息化时代的要求,电子信息技术对提高信息的收集、处理的速度起着关键作用,随着信息现代化进程在各领域的不断渗透和发展,实现档案信息由封闭型向开放型的转变也将成为档案工作的突破点。
档案工作者应充分利用档案材料,通过收集、分类、加工整理成信息资源,变“死档”为“活档”,供人们最大限度地利用,实现其使用价值,产生社会效益和经济效益。再就是在档案编纂的方法和手段上有所创新,改变那种自立门户,自我封闭的传统方式,要进一步拓宽编研视野,根据社会各界的需求,有针对性地开展专题服务、决策服务、情报服务等编研课题研究,并逐步全面实现运用计算机等现代化技术进行存储、编研、检索档案信息,提高信息查询的快捷、准确与高效水平。
档案资源的开发,档案信息编研成果的有用性影响着档案利用的整个服务活动,能否提供高质量的信息服务,关键取决于档案管理者对信息的洞察力、创造力以及辨别真伪的能力,档案信息编研成果质量保证是档案管理者必须遵循的准则,只有保证所提供信息的质量,才能更好地满足用户的信息需求。同时要加强用户跟踪调研,及时搜集档案利用信息反馈,听取用户意见和要求 ,弥补工作中的不足,进一步开发利用档案信息资源,更好地为用户服务,服务科研、管理的发展。
2.全方位的利用宣传和传播途径
档案管理部门是信息资源中心,也是通过档案资源的收集、整理和提供利用来实现价值目的的一种服务机构。档案作为文化知识传播的媒介,在传播过程中也会像信息资源产生效益增值一样,通过提供利用促使文化增值。由于信息化程度越来越高,依靠传统的传播方法已经不能够满足信息化时代的要求,档案的原始记录性决定了档案具有的法律效力和凭证依据作用。
(1)利用最新的现代信息传播手段
有目的地、全面系统地收藏和积累丰富的信息资源;在进行开发利用时,尽可能满足各行各业读者的需要,开辟多种形式的传播渠道,比如档案史料的汇编出版,一方面克服档案孤本的局限,扩大传播面;另一方面史学家能利用该史料汇编完成新的著作、论文,产生档案信息质的某种增值;通过开办档案阅览室,举行定期或不定期的档案展览,并开展各种档案信息资源服务活动,开辟与社会交流的窗口,扩大档案信息的开放 ,加速档案工作社会化、信息化进程。
(2)提高办公自动化水平
随着办公自动化的进程,开展档案信息网络建设,加快档案现代化管理和档案利用社会化的步伐,拓展档案利用空间是当务之急。档案利用工作还需要从观念转变到加强自我宣传,从丰富内容到提高服务水平,从改善档案利用的环境条件到软硬件的大量投入。档案部门应通过现有计算机网络建立全国性、区域性、地区性档案信息网络系统,并按照各类用户的需求和国内外信息的门类,分类整理、编辑,使信息得到快速传递、有效存储、分类和信息共享的目的。
五、结语
档案信息的开发、利用、管理是一项复杂的系统工程,在办公自动化进程的不断推进下,档案信息既保有自身的传统特色,又在信息技术的推动下,开始使用电子政务、计算机编研等新的方法,本文探讨了信息时代档案信息管理的开发与利用,相信随着信息技术的发展,档案的编研方法将不断创新、方式不断拓展,档案信息工作将发挥越来越重要的作用。
参考文献:
[1]宗文萍,郭莉珠.论信息时代的档案信息安全保障[J].档案学通讯,2004,6.
