專利名稱:基于公鑰基礎(chǔ)設(shè)施的網(wǎng)絡(luò)信息內(nèi)容分級(jí)管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種互聯(lián)網(wǎng)信息內(nèi)容安全監(jiān)管方法,具體地說,是關(guān)于基于PKI(公鑰基礎(chǔ)設(shè)施)的網(wǎng)絡(luò)信息內(nèi)容分級(jí)管理方法。
這種分級(jí)管理技術(shù)缺點(diǎn)在于很大程度上依賴于網(wǎng)絡(luò)使用者的自覺自律。這種機(jī)制從根本上無法保證防止網(wǎng)頁內(nèi)容被篡改,無法對(duì)不實(shí)甚至假冒標(biāo)簽追究標(biāo)簽偽造者或標(biāo)簽發(fā)放者責(zé)任。傳統(tǒng)分級(jí)管理技術(shù)本身存在的安全上的問題使得不可能據(jù)此對(duì)網(wǎng)絡(luò)媒體內(nèi)容進(jìn)行有效的管理。
公鑰基礎(chǔ)設(shè)施PKI(Public Key Infrastructure)是基于互聯(lián)網(wǎng)的電子商務(wù)和其它信息系統(tǒng)的安全基礎(chǔ)設(shè)施,負(fù)責(zé)通信系統(tǒng)的安全可靠性。本質(zhì)上來說,PKI是一個(gè)數(shù)字證書管理體系,對(duì)數(shù)字證書進(jìn)行各種操作,同時(shí)還提供包括密鑰托管、數(shù)字公證、時(shí)間戳等在內(nèi)的許多服務(wù)。
分級(jí)管理的目的在于通過科技手段與配套措施,使互聯(lián)網(wǎng)在確保有言論自由及不侵犯互聯(lián)網(wǎng)使用者隱私權(quán)的前提下,讓互聯(lián)網(wǎng)使用者能容易的擷取其適合的信息,健全互聯(lián)網(wǎng)的發(fā)展。
本發(fā)明要解決的技術(shù)問題是研究基于PKI技術(shù)體系的網(wǎng)絡(luò)信息內(nèi)容分級(jí)管理技術(shù),通過PKI技術(shù)與內(nèi)容分級(jí)標(biāo)記技術(shù)的有機(jī)結(jié)合,來實(shí)現(xiàn)大范圍的網(wǎng)絡(luò)信息內(nèi)容監(jiān)管,確保我國互聯(lián)網(wǎng)絡(luò)空間的信息內(nèi)容安全。
本發(fā)明的技術(shù)方案是基于PKI的分級(jí)管理主要可以從以下幾方面體現(xiàn)1.簽發(fā)標(biāo)簽機(jī)構(gòu)的模型架構(gòu)即在現(xiàn)有的CA體系架構(gòu)的基礎(chǔ)上研究簽發(fā)標(biāo)簽機(jī)構(gòu)的層級(jí)化結(jié)構(gòu)組織模型,完成簽發(fā)標(biāo)簽機(jī)構(gòu)的全局定位與識(shí)別功能。
互聯(lián)網(wǎng)內(nèi)容分級(jí)管理體系主要組成實(shí)體有分級(jí)中心RA(Rating Agent)、內(nèi)容監(jiān)管中心CCA(Content Control Agent)、客戶端過濾插件以及獨(dú)立的或由RA維護(hù)的目錄服務(wù)器Label Bureau組成?;赑KI的分級(jí)管理體系主要體現(xiàn)應(yīng)用在分級(jí)中心RA上。RA由分級(jí)標(biāo)準(zhǔn)中心RSA(Rating StandardAgent)、標(biāo)簽管理中心LMA(Label Management Agent)以及標(biāo)簽添加中心LAA(Label Added Agent)共同構(gòu)成,采取一種基于X.509標(biāo)準(zhǔn)所推薦的信任等級(jí)結(jié)構(gòu)的管理方式。
整個(gè)結(jié)構(gòu)為一種樹狀結(jié)構(gòu),分級(jí)標(biāo)準(zhǔn)中心RSA(根RA)是第一層;下面是幾個(gè)一級(jí)RA——標(biāo)簽管理中心LMA,構(gòu)成中間層;其一級(jí)RA下面可有若干個(gè)二級(jí)RA,二級(jí)RA下面可能還有三級(jí)RA,依次類推。每個(gè)父節(jié)點(diǎn)通過向其子節(jié)點(diǎn)發(fā)放數(shù)字證書(即作為CA行使功能)并將其納入信任鏈(授權(quán)),來提供對(duì)分級(jí)服務(wù)應(yīng)用的信任保證。最高點(diǎn)——分級(jí)標(biāo)準(zhǔn)中心RSA,負(fù)責(zé)制定整個(gè)分級(jí)系統(tǒng)的總策略,也是整個(gè)系統(tǒng)唯一的信任源點(diǎn),是全部服務(wù)的信任基準(zhǔn)。根據(jù)信任的傳遞特性,上下級(jí)信任服務(wù)機(jī)構(gòu)構(gòu)成單元信任服務(wù)鏈,即RSA←→LMA←→LAA←→分級(jí)標(biāo)簽。由于信任源點(diǎn)的唯一性,因而整個(gè)體系可構(gòu)成立體交叉的網(wǎng)狀信任鏈。
分級(jí)體系根證書(分級(jí)標(biāo)準(zhǔn)中心RSA)的建立步驟包括1)提出申請(qǐng)分級(jí)體系的根服務(wù)節(jié)點(diǎn)向國家主管單位提出證書申請(qǐng)并提交有關(guān)主管部門的業(yè)務(wù)許可文件。
2)證書受理申請(qǐng)方攜帶必要的證明文件(包括申請(qǐng)方的身份證明材料及其他所需的證明文件和許可文件)并填寫相應(yīng)的證書申請(qǐng)表格。
3)證書審核對(duì)申請(qǐng)方的證明材料、經(jīng)濟(jì)狀況和信譽(yù)度等資質(zhì)情況進(jìn)行驗(yàn)證。
4)證書發(fā)放審核通過后,主管單位保留其填寫的原始表格并為其發(fā)放證書,并將證書制作到移動(dòng)介質(zhì)上交給申請(qǐng)方,5)證書導(dǎo)入申請(qǐng)方將移動(dòng)介質(zhì)中的證書和加密私鑰加載到本地系統(tǒng)的運(yùn)行環(huán)境中,開始使用。
下屬各級(jí)分級(jí)中心(標(biāo)簽管理中心LMA以及標(biāo)簽添加中心LAA)的設(shè)立步驟包括1)向上級(jí)分級(jí)中心填寫證書申請(qǐng)表格;2)上級(jí)RA驗(yàn)證(通過相關(guān)機(jī)構(gòu)的證明文件)該申請(qǐng)方的身份、民事責(zé)任能力和信譽(yù)等資質(zhì)要素;3)驗(yàn)證通過后,上級(jí)RA保留申請(qǐng)方填寫的信息,并為之發(fā)放數(shù)字證書;4)申請(qǐng)方將上級(jí)RA發(fā)放的數(shù)字證書及相關(guān)的密鑰對(duì)復(fù)制到移動(dòng)介質(zhì)中,并將其帶回;5)申請(qǐng)方從上級(jí)RA申請(qǐng)到的證書提供各類服務(wù)。
2.內(nèi)容分級(jí)標(biāo)簽的安全防護(hù)機(jī)制利用PKI安全平臺(tái)所提供的基本安全服務(wù)來完成對(duì)文件(網(wǎng)頁或者網(wǎng)站)的內(nèi)容標(biāo)記以及帶標(biāo)記文件自身的安全保護(hù),同時(shí)研究對(duì)無效標(biāo)簽和錯(cuò)誤標(biāo)簽的責(zé)任追查機(jī)制,以及標(biāo)記使用過程中的動(dòng)態(tài)檢測(cè)和驗(yàn)證機(jī)制,確保標(biāo)記不會(huì)被篡改且真實(shí)有效。
在此分級(jí)體系中只有標(biāo)簽添加中心LAA負(fù)責(zé)給網(wǎng)站或者頁面發(fā)放以及添加標(biāo)簽,其余各級(jí)分級(jí)中心無此功能。添加標(biāo)簽的過程如下(見附圖二)LAA為網(wǎng)頁或網(wǎng)站添加標(biāo)簽時(shí),需要包含幾個(gè)參量LAA本身私鑰和系統(tǒng)時(shí)間。還可以酌情對(duì)網(wǎng)卡物理地址等這樣的硬件設(shè)施也予以綁定。先用哈希算法對(duì)頁面內(nèi)容進(jìn)行摘要以防止對(duì)頁面內(nèi)容的篡改。然后同時(shí)對(duì)摘要和以上參量,以及網(wǎng)頁的等級(jí)用LAA的私鑰進(jìn)行加密以防止對(duì)標(biāo)簽的篡改。
分級(jí)體系在PKI一實(shí)體一證機(jī)制的基礎(chǔ)上對(duì)各實(shí)體進(jìn)行控制,確保只有授權(quán)的實(shí)體才能進(jìn)行操作。這樣就可以明確知道標(biāo)簽是哪個(gè)LAA在什么時(shí)間發(fā)出的,基本可以實(shí)現(xiàn)日后對(duì)責(zé)任的追究。
3.分級(jí)內(nèi)容服務(wù)結(jié)合CA體系實(shí)現(xiàn)面向最終用戶的分級(jí)內(nèi)容信息服務(wù),利用PKI安全平臺(tái)的基礎(chǔ)服務(wù)完成分級(jí)標(biāo)記的檢測(cè)、識(shí)別與過濾等處理。
在驗(yàn)證時(shí),是根據(jù)網(wǎng)頁上的明文的LAA的名稱,查得其對(duì)應(yīng)的公鑰,然后驗(yàn)證此標(biāo)簽的有效性。監(jiān)管中心可以據(jù)此來檢驗(yàn)標(biāo)簽是否合法有效,客戶端過濾可以依此判定網(wǎng)頁等級(jí)。顯著效果因?yàn)橐话憬M織機(jī)構(gòu)的管理體系(如政府部門)等都是層次結(jié)構(gòu),分級(jí)管理體系若采用基于PKI的等級(jí)層次模型,可在很大程度上參照現(xiàn)有行政體系劃分標(biāo)準(zhǔn)。同時(shí)整個(gè)體系結(jié)構(gòu)清晰,便于進(jìn)行全局管理。
分級(jí)管理中對(duì)于任何密鑰證書或簽名(即授權(quán))的驗(yàn)證,可以交由PKI進(jìn)程完成,合理利用現(xiàn)有資源,大大減少了重復(fù)建設(shè),簡化了系統(tǒng)結(jié)構(gòu)及實(shí)現(xiàn)。
對(duì)于擴(kuò)大范圍的內(nèi)容安全分級(jí)管理,雖然不可能設(shè)立一個(gè)通用的根RA,但是可以盡量在格式和標(biāo)準(zhǔn)方面兼容?;蛘呖梢岳媒徊骝?yàn)證,在小范圍的根RA之間相互驗(yàn)證,發(fā)放交叉證書對(duì)實(shí)現(xiàn)。這一過程同樣可以依賴PKI基礎(chǔ)設(shè)施的實(shí)現(xiàn)。
基于這種結(jié)構(gòu)的內(nèi)容分級(jí)管理技術(shù)具有良好的安全保密性,不僅可以達(dá)到傳統(tǒng)分級(jí)管理技術(shù)所要求的標(biāo)準(zhǔn),同時(shí)還具有審查、追蹤和防抵賴的功能,有效追究責(zé)任。不僅可以應(yīng)用于互聯(lián)網(wǎng),也可以作為內(nèi)部網(wǎng)、專用網(wǎng)等內(nèi)部信息分級(jí)共享和安全保障的一種有效手段。如對(duì)于政府機(jī)要部門,可以通過添加標(biāo)簽的方式對(duì)敏感信息內(nèi)容進(jìn)行標(biāo)識(shí),通過身份驗(yàn)證的方法確認(rèn)用戶的權(quán)限,從而達(dá)到信息安全共享的目的。
圖2是本發(fā)明中的添加標(biāo)簽示意圖。
請(qǐng)參閱
圖1,如圖所示建立了一個(gè)基于PKI的分級(jí)管理中心體系,其中各部分組成的RA結(jié)構(gòu)說明如下圖中所示標(biāo)號(hào)為1分級(jí)標(biāo)準(zhǔn)中心RSA 2(一級(jí))標(biāo)簽管理中心LMA3(下級(jí))標(biāo)簽管理中心LMA4;標(biāo)簽添加中心LAA5待分級(jí)網(wǎng)站 6待分級(jí)網(wǎng)頁7授權(quán) 8分發(fā)添加標(biāo)簽從圖中可看出本實(shí)施例的體系為一種樹狀結(jié)構(gòu),根節(jié)點(diǎn)為分級(jí)標(biāo)準(zhǔn)中心(RSA)1,是最高點(diǎn),也是負(fù)責(zé)制定整個(gè)分級(jí)系統(tǒng)的總策略的機(jī)構(gòu),其下面是第一級(jí)的標(biāo)簽管理中心(LMA)2,該(LMA)2之下可以有其下級(jí)(LMA)3(這樣的結(jié)構(gòu)可以有多層),也可以直接是標(biāo)簽添加中心(LAA)4。該(RSA)1和(LMA)2都只給其下級(jí)RA授權(quán)7,確定發(fā)放標(biāo)簽的資格以及管理已發(fā)放的標(biāo)簽,而不直接為網(wǎng)站或者頁面發(fā)放以及添加標(biāo)簽。LAA為結(jié)構(gòu)的最低層,直接為網(wǎng)站5或網(wǎng)頁6分發(fā)、添加標(biāo)簽8。
請(qǐng)參閱圖2,本實(shí)施例中,它說明本發(fā)明的網(wǎng)頁內(nèi)容分級(jí)標(biāo)簽的安全防護(hù)機(jī)制,即在分級(jí)體系中只在標(biāo)簽添加中心(LAA)4負(fù)責(zé)給網(wǎng)站5或網(wǎng)頁6發(fā)放以及添加標(biāo)簽,其余各級(jí)分級(jí)中心均無此功能。如圖所示,具體的進(jìn)程如下1)分級(jí)機(jī)器即標(biāo)簽添加中心(LAA)4獲取網(wǎng)頁6的內(nèi)容;2)該標(biāo)簽添加中心4根據(jù)網(wǎng)頁6內(nèi)容使用哈希算法生成網(wǎng)頁內(nèi)容摘要數(shù)據(jù)41;3)該標(biāo)簽添加中心4根據(jù)對(duì)網(wǎng)頁6內(nèi)容所分的等級(jí)信息42,加上時(shí)間信息44,加上分級(jí)機(jī)器的物理地址45,摘要數(shù)據(jù)41使用代表分級(jí)設(shè)備的私有密鑰加密,而形成META(元)標(biāo)簽46;4)再將以上信息添加至網(wǎng)頁內(nèi)容中,形成最終的標(biāo)簽網(wǎng)頁,即分級(jí)后網(wǎng)頁60;從上述的進(jìn)程可以看出,本發(fā)明的分級(jí)體系在PKI——實(shí)體一驗(yàn)證機(jī)制的基礎(chǔ)上對(duì)各實(shí)體進(jìn)行控制,確保只有授權(quán)的實(shí)體才能進(jìn)行操作,而且可以明確知道標(biāo)簽是哪一標(biāo)簽添加中心4在什么時(shí)間發(fā)的,便于日后對(duì)責(zé)任的追究。
權(quán)利要求
1.一種基于公鑰基礎(chǔ)設(shè)施的網(wǎng)絡(luò)信息內(nèi)容分級(jí)管理方法,其步驟包括(1)建立層級(jí)化的簽發(fā)標(biāo)簽體系結(jié)構(gòu)完成簽發(fā)標(biāo)簽機(jī)構(gòu)的全局定位與識(shí)別功能,(2)建立網(wǎng)絡(luò)信息內(nèi)容分級(jí)標(biāo)簽的安全防護(hù)機(jī)制,(3)建立分級(jí)內(nèi)容服務(wù)機(jī)制。
2.根據(jù)權(quán)利要求1所述的基于公鑰基礎(chǔ)設(shè)施的網(wǎng)絡(luò)信息內(nèi)容分級(jí)管理方法,其特征在于,所說的層級(jí)化的簽發(fā)標(biāo)簽體系結(jié)構(gòu),是一種樹狀結(jié)構(gòu),第一層是分級(jí)標(biāo)準(zhǔn)中心RSA,其下面是若干個(gè)標(biāo)簽管理中心LHA,構(gòu)成中間層,中間層下面是若干個(gè)標(biāo)簽添加中心LAA,構(gòu)成直接為網(wǎng)站或網(wǎng)頁分發(fā)添加標(biāo)簽的最低層;整個(gè)樹狀結(jié)構(gòu)的最高點(diǎn)是分級(jí)標(biāo)準(zhǔn)中心RSA,負(fù)責(zé)制定整個(gè)分級(jí)系統(tǒng)的總策略,也是整個(gè)系統(tǒng)唯一的信任源點(diǎn)上下級(jí)信任服務(wù)機(jī)構(gòu)構(gòu)成單元信任服務(wù)鏈,即RSA←→LMA←→LAA←→分級(jí)標(biāo)簽。
3.根據(jù)權(quán)利要求2所述的基于公鑰基礎(chǔ)設(shè)施的網(wǎng)絡(luò)信息內(nèi)容分級(jí)管理方法,其特征在于,該分級(jí)標(biāo)準(zhǔn)中心RSA的設(shè)立步驟依次為1)提出申請(qǐng)分級(jí)體系的根服務(wù)節(jié)點(diǎn)向國家主管單位提出證書申請(qǐng)并提交有關(guān)主管部門的業(yè)務(wù)許可文件。2)證書受理申請(qǐng)方攜帶必要的證明文件(包括申請(qǐng)方的身份證明材料及其他所需的證明文件和許可文件)并填寫相應(yīng)的證書申請(qǐng)表格。3)證書審核對(duì)申請(qǐng)方的證明材料、經(jīng)濟(jì)狀況和信譽(yù)度等資質(zhì)情況進(jìn)行驗(yàn)證。4)證書發(fā)放審核通過后,主管單位保留其填寫的原始表格并為其發(fā)放證書,并將證書制作到移動(dòng)介質(zhì)上交給申請(qǐng)方,5)證書導(dǎo)入申請(qǐng)方將移動(dòng)介質(zhì)中的證書和加密私鑰加載到本地系統(tǒng)的運(yùn)行環(huán)境中,開始使用。
4.根據(jù)權(quán)利要求2所述的基于公鑰基礎(chǔ)設(shè)施的網(wǎng)絡(luò)信息內(nèi)容分級(jí)管理方法,其特征在于,所說的中間層LAM,其可以是僅含由分級(jí)標(biāo)準(zhǔn)中心RSA直接授權(quán)的一層標(biāo)簽管理中心LMA,或該直接由分級(jí)標(biāo)準(zhǔn)中心RSA授權(quán)的標(biāo)簽管理中心LMA還有自己的下級(jí)LMA,而形成多級(jí)LMA結(jié)層,且它們依次授權(quán)而具上下級(jí)關(guān)系。
5.根據(jù)權(quán)利要求2所述的基于公鑰基礎(chǔ)設(shè)施的網(wǎng)絡(luò)信息內(nèi)容分級(jí)管理方法,其特征在于,標(biāo)簽管理中心LMA以及標(biāo)簽添加中心LAA的設(shè)立步驟包括1)向上級(jí)分級(jí)中心填寫證書申請(qǐng)表格;2)上級(jí)RA驗(yàn)證(通過相關(guān)機(jī)構(gòu)的證明文件)該申請(qǐng)方的身份、民事責(zé)任能力和信譽(yù)等資質(zhì)要素;3)驗(yàn)證通過后,上級(jí)RA保留申請(qǐng)方填寫的信息,并為之發(fā)放數(shù)字證書;4)申請(qǐng)方將上級(jí)RA發(fā)放的數(shù)字證書及相關(guān)的密鑰對(duì)復(fù)制到移動(dòng)介質(zhì)中,并將其帶回;
6.根據(jù)權(quán)利要求1所述的基于公鑰基礎(chǔ)設(shè)施的網(wǎng)絡(luò)信息內(nèi)容分級(jí)管理方法,其特征在于,所說的建立網(wǎng)絡(luò)信息內(nèi)容分級(jí)標(biāo)準(zhǔn)的安全防護(hù)機(jī)制,是指在標(biāo)簽體系中,僅標(biāo)簽添加中心具有給網(wǎng)站或網(wǎng)頁發(fā)放以及添加標(biāo)簽的功能,而且該標(biāo)簽用哈希算法對(duì)接收頁面內(nèi)容進(jìn)行摘要,之后,對(duì)形成的摘要和該標(biāo)簽添加中心本身的私鑰、系統(tǒng)時(shí)間一起加密形成標(biāo)簽添加于網(wǎng)頁而形成最終的標(biāo)簽網(wǎng)頁。
7.根據(jù)權(quán)利要求1所述的基于公鑰基礎(chǔ)設(shè)施的網(wǎng)絡(luò)信息內(nèi)容分級(jí)管理方法,其特征在于,所說的分級(jí)內(nèi)容服務(wù)機(jī)制是指結(jié)合CA體系實(shí)現(xiàn)面向最終用戶的分級(jí)內(nèi)容信息服務(wù),利用職權(quán)PKI安全平臺(tái)的基礎(chǔ)服務(wù)完成分級(jí)標(biāo)記的檢測(cè),識(shí)別與過濾處理。
全文摘要
一種基于公鑰基礎(chǔ)設(shè)施的網(wǎng)絡(luò)信息內(nèi)容分級(jí)管理方法,其步驟包括:(1)建立層級(jí)化的簽發(fā)標(biāo)簽體系結(jié)構(gòu)完成簽發(fā)標(biāo)簽機(jī)構(gòu)的全局定位與識(shí)別功能,(2)建立網(wǎng)絡(luò)信息內(nèi)容分級(jí)標(biāo)簽的安全防護(hù)機(jī)制,(3)建立分級(jí)內(nèi)容服務(wù)機(jī)制。本發(fā)明具有良好的安全保密性,不僅可以達(dá)到傳統(tǒng)分級(jí)管理技術(shù)所要求的標(biāo)準(zhǔn),同時(shí)還具有審查、追蹤和防抵賴的功能,有效追究責(zé)任,本發(fā)明可應(yīng)用于互聯(lián)網(wǎng),也可以作為內(nèi)部網(wǎng)、專用網(wǎng)等內(nèi)部信息分級(jí)共享和安全保障的一種有效手段。如對(duì)于政府機(jī)要部門,可以通過添加標(biāo)簽的方式對(duì)敏感信息內(nèi)容進(jìn)行標(biāo)識(shí),通過身份驗(yàn)證的方法確認(rèn)用戶的權(quán)限,從而達(dá)到信息安全共享的目的。
文檔編號(hào)H04L9/00GK1349327SQ0113901
公開日2002年5月15日 申請(qǐng)日期2001年12月3日 優(yōu)先權(quán)日2001年12月3日
發(fā)明者李建華, 王明政, 施建俊 申請(qǐng)人:上海交通大學(xué)