采用非对称加密方法、使用 RSA 算法，为每一个用户生成并发放一对密钥 (由 一个私有密钥与一个公开密钥构成),其中公开密钥连同用户基本信息以数字 证 书形式面向所有应用服务公开；为每一项应用服务生成并发放一对密钥(由一 个 私有密钥与一个公开密钥构成),其中公开密钥连同应用服务基本信息以数字 证 书形式面向所有用户公开。 2、使用动态秘密密钥实现数据网上传输的加密与解密 对于每一项应用服务的每一次访问，采用对称加密方法、使用 动态地为用户生成一个一次性的秘密密钥，用于数据网上传输的加密与解 密。 3、安全、可靠的统一身份认证 对访问者通过客户端提交的帐号与密码使用 HASH 函数获得数据摘要、使 用访问者私有密钥对数据摘要进行数字签名、使用本次访问的秘密密钥对帐号、 密码及数字签名进行加密，使用单点登录系统数字证书的公开密钥对秘密密钥进 行加密；由服务器端使用单点登录系统的私有密钥进行解密获得秘密密钥，使用 秘密 秘密密钥还原出帐号、密码及数字签名，依据帐号与密码使用相应用户数字证书 29 的公开密钥将数字签名还原出数据摘要，同由帐号与密码使用 HASH 函数获得 的数据摘要进行比对，如果完全一致，认定接收到的帐号与密码真实、不可否 认， 在网络传输过程中没有被伪造、篡改或冒充；依据用户基本信息库对访问者 提交 的帐号与密码进行验证，确认访问者作为用户身份的合法性。 4、安全、可靠的网上数据传输

技术可采用时隙隔离的方式进行隔离（不同等级的业 务采用不同的时隙）；也可采用波长隔离的方式进行隔离（不同等级的业务采用 不同的波长）。F5G 全光网还在光纤线路上进行了数据加密处理，不同的 ONU 单 独采用不同的加密密钥且支持分钟级的密钥更新，增强了光纤线路上的安全性。 图 1-11 F5G 全光网支持多网合一 ONA绿色全光网络技术委员会 22 22 1.4.3 高能效且绿色低碳 F5G 采用 AES128 加密算 法，采用 128 位的密钥，破解难度大，远超出了 10G EPON 技术所采用的加密算 ONA绿色全光网络技术委员会 29 29 法（采用 72 位的密钥）。如果采用超级计算机破解 10G EPON 的密钥破解需要 1 秒时间，那么同等计算算力的前提下，破解 XGS-PON/GPON 的密钥需要上亿年 的时间。 图 1-17 各种

信息安全保障 加密传输与存储 全方位的主动安全防御 保障业务连续性 数据存储使用 AES-256 算法加密，数据通过 SSL/TLS 协议加 密传输， 2048 位 RSA 密钥，使用 KMS 管理密钥，密钥定 期轮换，一次一密高安全保证，账户登录多因素身份认证，客 户端数据安全策略管理，数据高可用、多副本冗余存储与定时 全量备份，保证数据可用性、完整性与数据安全等 专业安全团队提供产品全生命周期的安全保护，

可用于加密密钥交换和敏感信息的传输。建议在存储用户信息时， 通过以下步骤实现安全加密： 1. 选择强加密算法：应选择至少 256 位密钥长度的 AES 算法， 确保抗破解能力。 2. 密钥管理：采用专门的密钥管理系统（KMS）来生成、存储 和管理加密密钥，确保密钥不与数据存储在同一环境中。 3. 定期更换密钥：为了增强安全性，需定期更换加密密钥并实施 密钥轮换策略，防止由于密钥长期不变而引发的风险。

接，实现一张卡片、两校通用的建设目标。 系统 概述 校园一卡通系统 校园一卡通系统 此次校园一卡通建设内容： 1 、公共核心平台建设 一卡通金融数据中心 一卡通身份数据中心 2 、一卡通应用子系统 密钥管理系统、卡务管理系统、 一卡通扫码支付、网上服务与办公大厅、 商务消费系统、银行圈存转账系统、 批量发卡系统、自助补卡系统、 自助洗衣管理系统、补贴发放系 门禁管理系统、通道管理系 电控管理系统、水控管理系统

安全性； c)交易数据实现对校园卡资金归集和清算，具有一定容错机制，保证脱机流水的完整性。 5.21.6 校园一卡通系统的安全 a)系统安全：交易数据采用硬件加密传输；系统密钥由学校产生，专人保管，通讯时须校验密钥； b)数据安全：采用完备的数据备份策略，充分保证一卡通系统数据的安全性； 54 Interconnection） 互联网安全保护技术措施规定（公安部令第82号） 中国教育集成电路（IC）卡规范 7.2 术语与缩略语 7.2.1 一卡一密 通过加密因子和 M1 卡的全球唯一序列号计算得出的密钥。 7.2.2 终端 如无特殊说明，本规范中提及的终端均指最终用户使用的能够接入网络的各种电子设备。 7.2.3 802.11a/b/g/n 是由国际电机电子工程学会 IEEE 所定义的无线网络通信的

Web 界面上， 输入 SQL、Scala 等查询语句，即可实时得到报表。 第 1 1 5 页 第 1 1 5 页 Kerberos Kerberos 是一种网络认证协议，其设计目标是通过密钥系统为 C/S 应用程序提供强 大的 认证服务。在 Hadoop 中，使用 Kerberos 来安全访问各个服务。 HUE HUE 是一个与 HDP 组件进行交互的 Web 用户界面。 Ranger HDFS、HBase 等 HDP 服务进行权限权限。管理员登录 Ranger 界面，为 用户授予某组件资源的权限(如 HDFS 某文件的读写权限)。 Ranger KMS 为 HDP 管理密钥，提供新建密钥，删除密钥等功能。 HBase Indexer HBase Indexer 是针对 HBase 开发的索引插件，有了 Indexer,HBase 就可以支持 二级索 引 。 PXF PXF

采用密码技术建立一条安全的信息传输通道，对网络中的安全设备或安全组件进行集中管 理； 采用符合 GM/T0028 的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品 实现密码运算和密钥管理。 6、VPN 远程安全访问 本次方案设计云平台的通信安全应部署 VPN 服务，以便和远程接入设备建立安全连接，建 立加密通道保障通信过程中的数据安全，并建立身份验证机制，实现接入认证。 在算力平台用户可创建云服务器、裸金属服务器、容器实例，创建时可选择实例规格、操 作系统、系统盘、数据盘、专有网络 VPC、安全组、弹性公网 IP、IPv6 带宽以及设置云服 务器的登录方式，登录方式支持密码、密钥对。支持对创建的云服务器 ECS 进行查看、管理、 搜索及刷新，以及开机、关机、重启、重置密码、规格变更、销毁等全生命周期的管理操作。 第 34 页 共 157 页 对象存储服务，是弹性、高可用、低成本的云存储服务，满足 在网络和安全配置页选择专有网络 VPC、安全组、弹性公网 IP，点击下一步，进入系 统配置页。 4) 在系统配置页填写实例名称；选择登录方式，若选择密码登录则需要填写登录密码和 确认密码文本框，若选择密钥对登录则需要选择密钥对；支持开启反亲和性；支持选择加入的 资源组；支持将该云服务器创建在专属宿主机上；填写购买数量，点击下一步，进入确认配置 页。确认配置页核对信息，在订单成功页面点击管理控制台，进入云服务器实例列表页，可以

数据安全与伦理隐私治理 6.2.1 实施安全监测与防范，确保教育数据的安全性 实施数据加密技术，筑牢教育数据的安全壁垒。数据加密是保障教育数据安全的核心技术。通过加密算法将明文 转化为密文，只有授权用户凭借相应密钥才能解密读取，有效防止数据在传输与存储过程中被窃取或篡改 107。例如， 在线教育平台在传输学生的学习记录、考试成绩等敏感信息时，采用高级加密标准（AES）等算法进行加密。 当学生在平台上完成

（二）深耕四核心基础业务数字化转型 1. 卡码同行，实体校园卡与逸仙码互为补充 中山大学实体校园卡已成熟应用数十年，随着移动支付时代的来临，大学服 务中心顺势建设虚拟校园卡（逸仙码）。逸仙码应用生物识别与密钥等技术，联 通一卡通平台，构建线上线下开放融合的校园支付体系，支持刷卡、扫码、掌纹 无感等支付方式，引入钱包卡、微信、支付宝、银联等移动支付渠道，有机融合 集成校园码、水电控、门禁、场馆、医疗、自助借还书、自助打印等第三方服务，