为更好地利用近年来全国气象历史档案数字化成果,方便用户快速检索查询其档案数据信息,拟搭建气象宽带网内基于.NET的气象数字档案检索平台,并采用MD5算法对登录用户密码以及数字档案文件名进行加密。
一、平台框架与数据资源环境
1、平台建设框架
所建平台采用基于Asp.NET技术的Visualstudi0 2010为开发平台的B/S模式架构,通过B/S模式,使用户可以在气象局域网内以Web方式根据自身需求主动获取档案资料,极大提高资料利用率和服务效率。
2、气象数字档案归档整理
气象数字档案是珍贵的历史资料,需要在特定的安全网路区域内设置服务器,为此,笔者前期准备了8T磁盘数据容量大小的NTFS格式磁盘阵列,后期准备设置虚拟化的双机热备大容量数据存储专用集群,防止数据缺失损坏的同时达到高速率的I/O读写。
编写dos程序脚本对对数字档案图片按照一定的存储策略进行归档,便于后期快速定位和提取数字档案。以文件央的形式按照“站点/气表类型/年份/月份(可选)"的目录结构对数字档案进行归类存储,处理之后的最终文件夹的数字档案文件数最多为90个左右(以气表1为例,一个月有7~8张,按一年12个月计算),所以无需建立“月份”文件夹。
二、平台关键技术
1、平台信息数据加密
从涉密和安全角度出发,采用MD5技术对平台的登陆认证和气象数字档案临时文件名称进行加密,在.NET框架中的System.Security. Cryptogra-phy命名空间提供加密服务,包括安全的数据编码和解码,以及其他操作,例如散列法、随机数字生成和消息身份验证等。此平台的数据信息加密可以使用此命名空间下的HashAlgorithm类,此类是包含了所有加密哈希算法实现的基类,因此,通过封装好的类调用现成的加密方法,可以轻松简单的实现字符串数据的MD5加密。
2、平台图像特效展示
采用基于AdobeFlash的开源显示控件并充分利用Macromedia Flash所具有的流畅功能来创建简洁的、交互式(可随意放大、缩小、拖动)的动态图像,极大增强了数字档案的可视效果。图1为平台运行流程框图。
三、平台主要功能设计与实现
1、用户登录
目前大部分的信息网络系统都会进行用户登录身份权限验证,对于用户登录后输入的密码,有些系统直接把输入的信息以明文方式传递到服务器端来校验,有的数据库中也以明文形式存储密码,这都存在极大的安全隐患,数据库一旦遭受黑客入侵,窃取了其中的用户密码信息,就会造成不可弥补的损失。为了保证系统数据的安全,有效防止信息泄露,数据库中密码信息要以MD5算法加密后的形式来存储,不可用明文或可逆算法来加密,在验证用户登录过程中,系统将输入的密码转换成相应的MD5离散序列,再与数据库中经过MD5加密后的密码进行对比,如果两数值完全一致,则登陆用户为合法用户。这种校验方式的优势在于,假使黑客人侵窃取了密码,不会造成大的损失,因为密码是经过MD5加密的,具有不可逆性,一般黑客能够获取实际的密码值几乎不可能。
为了更好地管理此平台电子档案的使用,目前平台只建立15个登陆用户,分别为管理员用户以及广西14各地市局用户,只允许相关的人员检索相关电子档案,能够有效的保护数字档案数据。登录时密码需要进行MD5加密,其加密过程利用哈希函数在特定算法下生成一个128位的固定长度的哈希值,用生成的哈希值与存储在数据库中的哈希值进行比对,完全一致则密码输入正确,这就保证了即使数据遭受黑客人侵,窃取了密码哈希值,也很难通过破解获取真实的密码,这样可很好地保护用户的密码信息。此外,用户登录时除了输入密码还需要提交验证码,它是一种区分用户是计算机还是人的公共全自动程序,目前很多的网站通用的方式为计算机特定程序产生的一串随机数字符号,一般为4~6位加了干扰的字母和数字图片,需要用户自己识别其中的验证码信息,输入相应的信息提交验证,验证成功后才能登录,验证码可以有效防止非法用户恶意破解密码、刷票等非法行为,特别是防止入侵黑客对某一个特定登录用户用特定程序用穷举法破解方式不断进行登陆尝试,从而获取登录密码。下面列出在.NET环境下的MD5加密过程步骤,图2为MD5加密后的密码信息数据库截图。
步骤1:将输入的密码字符串转换成二进制字节位。
步骤2:计算转换后的字节数据的哈希值。
步骤3:将此哈希值与数据库的Password进行比对,判断一致性从而判断是否为合法用户:
2、气象数字档案检索与显示
采用基于Adobe的Flash控件以及JavaScript脚本对被检索的数字档案进行显示,基于安全考虑,对被检索的数字档案名称同样采用了MD5进行文件名加密,以屏蔽数字档案命名规律。关键步骤如下:
步骤l:根据检索条件在服务器目录中逐级找到目的数字档案图片组,例如1960年1月,站点信息为5 7859的气表QBI图片组,共8张。
步骤2:按目的数字档案图片组的图片顺序编号逐张对其图片名称进行MD5加密。图3为数字档案图片组加密后在内存查看到的数组信息。
步骤3:将加密后的图片组拷贝至网站服务器临时图片存放目录Tmplmage。
步骤4:客户端通过参数传递形式提交至服务器端,服务器端获取参数,拼接实际物理路径,调用js代码,进行Flash显示控件参数填充,如显示标题,图片顺序排列等。
步骤5:用户查阅图片,可缩放、拖动浏览。
经过上述几个步骤,客户端用户不可能通过文件名规律改动网页传递参数去浏览获取其他数字档案,黑客即使进入了服务器显示目录,那也只是临时目录,实际的物理目录进行了防火墙物理隔离,很难进入也很难非法获取其中的档案图片。图4为平台用户操作步骤示意图;图5为数字档案显示界面效果图。
小知识之MD5
MD5的全称是Message-Digest Algorithm 5(信息-摘要算法),在90年代初由MIT Laboratory for Computer Science和RSA Data Security Inc的Ronald L. Rivest开发出来,经MD2、MD3和MD4发展而来。