崔善童，李曼珍

（東華大學(xué) 信息科學(xué)與技術(shù)學(xué)院，上海201600）

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，利用網(wǎng)絡(luò)實(shí)現(xiàn)文件的共享和傳輸，給人們帶來(lái)了極大的便利。然而安全問(wèn)題卻日益突出，尤其在局域網(wǎng)范圍內(nèi)，由于共享和傳輸十分頻繁，可能導(dǎo)致單位或企業(yè)的機(jī)密信息泄露。此外，通過(guò)傳輸病毒或木馬，可能導(dǎo)致整個(gè)局域網(wǎng)的癱瘓，因此局域網(wǎng)的安全文件共享和傳輸技術(shù)至關(guān)重要。

本文針對(duì)現(xiàn)有技術(shù)的安全隱患，設(shè)計(jì)了一套基于安全機(jī)制的文件共享和傳輸系統(tǒng)。在文件共享部分，對(duì)局域網(wǎng)只公布本機(jī)的共享信息，而不直接共享文件，以防止設(shè)置共享路徑而產(chǎn)生的安全漏洞；在文件傳輸部分，引入多重安全機(jī)制，保證了文件傳輸?shù)陌踩?/p>

1 文件共享和傳輸

1.1 現(xiàn)有技術(shù)分析

NFS網(wǎng)絡(luò)文件系統(tǒng)[1]實(shí)現(xiàn)了Linux之間的文件共享，具有良好的安全性。但是NFS服務(wù)器管理復(fù)雜且維護(hù)成本高。

Windows的網(wǎng)上鄰居存在共享信息更新緩慢，且設(shè)置共享路徑容易成為網(wǎng)絡(luò)病毒或木馬的突破口，使得本機(jī)甚至局域網(wǎng)受到非法攻擊。

Samba文件系統(tǒng)[2-3]以及FTP文件傳輸協(xié)議[4-5]的身份認(rèn)證過(guò)于單一，存在著中間人攻擊、密碼嗅探等固有缺陷。

PKI和SSL傳輸協(xié)議依賴(lài)第三方認(rèn)證機(jī)構(gòu) CA[6]，需要定期對(duì)過(guò)期證書(shū)重新認(rèn)證和更新，管理復(fù)雜，極大地影響文件傳輸?shù)乃俣群陀脩?hù)體驗(yàn)。

此外，對(duì)共享文件授權(quán)都只分為“用戶(hù)本身”、“組”、“其他”三種身份，權(quán)限開(kāi)放容易造成過(guò)大或者過(guò)小。例如，A文件只共享給所在“組”的部分人，卻只能選擇分組共享，使得小組其他成員也能獲取共享文件，不能指定到具體共享人，缺乏共享文件和傳輸?shù)尼槍?duì)性。

1.2 設(shè)計(jì)要求

本設(shè)計(jì)在局域網(wǎng)環(huán)境下，解決上述技術(shù)存在的不足或安全隱患。優(yōu)化設(shè)計(jì)的要求如下：

(1)避免設(shè)置特定共享路徑，不直接掛載共享文件；

(2)實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)文件傳輸，不設(shè)置專(zhuān)用服務(wù)器進(jìn)行集中式管理；

(3)采用多重安全機(jī)制；

(4)保證共享信息及時(shí)更新；

(5)不依賴(lài)于第三方證書(shū)認(rèn)證機(jī)構(gòu)CA；

(6)對(duì)文件共享人的權(quán)限精確化。

2 系統(tǒng)軟件設(shè)計(jì)

本系統(tǒng)設(shè)計(jì)包含文件共享和傳輸兩個(gè)子系統(tǒng)。共享子系統(tǒng)中包括共享信息的配置、共享信息查詢(xún)與響應(yīng)兩個(gè)功能模塊；傳輸子系統(tǒng)中包含共享方和請(qǐng)求方兩個(gè)功能模塊。

根據(jù)設(shè)計(jì)要求，采用以下方法來(lái)實(shí)現(xiàn)：

(1)只顯示共享信息，采用間接共享方式，防止共享路徑的掛載點(diǎn)被攻擊。

(2)文件共享時(shí)，不設(shè)置專(zhuān)門(mén)服務(wù)器管理共享文件，采用點(diǎn)對(duì)點(diǎn)進(jìn)行共享信息交互。

(3)在文件傳輸過(guò)程中，引入差別身份認(rèn)證、可信IP認(rèn)證、文件加密傳輸、加密密鑰TPM保護(hù)、文件完整性校驗(yàn)和審計(jì)等多重安全機(jī)制，保證文件共享和傳輸?shù)陌踩浴?/p>

(4)在共享信息查詢(xún)中，利用 UDP廣播，對(duì)在線(xiàn) PC的共享信息進(jìn)行更新，保證共享信息的實(shí)時(shí)性。

(5)采用差別身份認(rèn)證方式，對(duì)非敏感共享文件基于靜態(tài)口令認(rèn)證；敏感共享文件基于口令和證書(shū)雙重認(rèn)證。差別認(rèn)證保證了易用性和安全性的統(tǒng)一。

(6)對(duì)共享文件指定文件共享人，將共享人與對(duì)應(yīng)的IP進(jìn)行綁定，實(shí)現(xiàn)對(duì)共享人的精確指定。

2.1 文件共享設(shè)計(jì)

文件共享主要包含共享信息配置、共享信息的查詢(xún)與應(yīng)答兩個(gè)功能模塊。

2.1.1 共享信息配置

共享信息配置是對(duì)共享文件的絕對(duì)路徑、文件名、共享人（IP）、文件夾屬性等信息進(jìn)行配置，構(gòu)建本機(jī)共享信息。 利用 XML（eXtensible Markup Language）技術(shù)[7]將共享信息寫(xiě)入到XML文件中。

共享信息XML文件格式如圖1所示。

圖1 共享信息XML文件

其中第一行為XML版本和格式，共享信息以＜sharelist＞為開(kāi)始，以＜/sharelist＞結(jié)束。每個(gè)共享文件以＜list＞父結(jié)點(diǎn)為開(kāi)始，再以＜/list＞結(jié)束。List結(jié)點(diǎn)中包含＜fullname＞、＜Ip＞、＜Name＞和＜Node＞子結(jié)點(diǎn)，分別代表共享文件的路徑、共享人IP、文件名和文件夾。

利用XML實(shí)現(xiàn)共享信息配置的流程如圖2所示。

圖2 共享信息配置流程圖

共享信息配置的流程如下：

(1)查看本地共享信息。若有，則顯示本地共享信息；若沒(méi)有，則創(chuàng)建XML文件。

(2)選擇共享文件配置的功能選項(xiàng)：添加還是刪除。選擇添加轉(zhuǎn)步驟(3)；選擇刪除轉(zhuǎn)步驟(7)。

(3)是否添加共享路徑。若是，添加共享文件，并添加共享路徑＜fullname＞主結(jié)點(diǎn)；若否，則結(jié)束配置。

(4)是否有添加共享人。若有，在該共享文件下的＜Ip＞結(jié)點(diǎn)添加共享人IP；若沒(méi)有，直接下一步。

(5)是否有添加的文件名。若有，在＜Name＞結(jié)點(diǎn)添加文件名；若沒(méi)有，直接下一步。

(6)若共享為文件夾，則設(shè)置＜Node＞結(jié)點(diǎn)為 Y；若共享為文件，則直接結(jié)束。

(7)是否刪除本文件共享。若是，則刪除本條共享信息下的所有結(jié)點(diǎn)信息；若否，則直接下一步。

(8)是否只刪除本文件共享人。若是，則刪除本條共享信息的＜Ip＞結(jié)點(diǎn)信息；若否，則結(jié)束配置。

2.1.2 共享信息查詢(xún)和應(yīng)答

共享信息查詢(xún)和應(yīng)答采用UDP協(xié)議[8]。程序都設(shè)置為多線(xiàn)程，以滿(mǎn)足多請(qǐng)求和多響應(yīng)的情況，即：

(1)請(qǐng)求方利用廣播機(jī)制，向在線(xiàn)PC發(fā)出請(qǐng)求；

(2)共享方監(jiān)聽(tīng)固定的端口號(hào)，如果在固定端口監(jiān)聽(tīng)到有請(qǐng)求信息，則發(fā)出應(yīng)答信息；

(3)請(qǐng)求者驗(yàn)證應(yīng)答信息后，接收來(lái)自共享方的共享信息。

2.2 文件傳輸設(shè)計(jì)

2.2.1 文件傳輸流程

文件傳輸采用TCP協(xié)議[9]，請(qǐng)求方請(qǐng)求文件共享，得到共享方的響應(yīng)后，接受共享方的安全認(rèn)證和共享文件；共享方負(fù)責(zé)對(duì)文件共享請(qǐng)求的響應(yīng)，在傳輸前對(duì)客戶(hù)端進(jìn)行安全認(rèn)證，在認(rèn)證通過(guò)后，傳輸共享文件。具體流程如圖3所示。

圖3 文件傳輸流程圖

文件傳輸?shù)牧鞒倘缦拢?/p>

(1)請(qǐng)求者查詢(xún)共享信息列表，選擇共享信息，進(jìn)行共享請(qǐng)求。

(2)共享者對(duì)請(qǐng)求者進(jìn)行身份認(rèn)證。若身份認(rèn)證失敗，結(jié)束響應(yīng)；若身份認(rèn)證成功，進(jìn)入下一步。

(3)請(qǐng)求者發(fā)送所需共享文件名，共享者獲取該共享文件的共享人IP列表。

(4)對(duì)請(qǐng)求者進(jìn)行IP認(rèn)證。如果IP列表中不存在請(qǐng)求者IP，則IP認(rèn)證不通過(guò)，結(jié)束響應(yīng)；反之，進(jìn)入下一步。

(5)共享方獲取該共享文件路徑，得到共享文件的Hash摘要值。

(6)利用隨機(jī)生成的密鑰加密共享文件，同時(shí)加密密鑰，發(fā)送加密后的密鑰和摘要值給請(qǐng)求者。

(7)發(fā)送共享密文給請(qǐng)求者。

(8)請(qǐng)求者解密密鑰，利用密鑰解密共享密文，得到共享文件。

(9)對(duì)接收的共享文件進(jìn)行 Hash，對(duì)比文件傳輸前后的摘要值，校驗(yàn)文件的完整性。

(10)在文件傳輸過(guò)程中，對(duì)整個(gè)傳輸過(guò)程進(jìn)行審計(jì)，記錄主要操作信息。

2.2.2 安全機(jī)制

(1)差別身份認(rèn)證

身份認(rèn)證包含靜態(tài)口令認(rèn)證和證書(shū)認(rèn)證。對(duì)共享文件敏感標(biāo)記，非敏感文件采用用戶(hù)名、口令身份認(rèn)證；敏感文件還需要基于證書(shū)的重認(rèn)證。

(2)共享人 IP認(rèn)證

解析請(qǐng)求者IP號(hào)，與共享信息的共享人IP列表進(jìn)行對(duì)比，如果為共享人中的IP，則IP認(rèn)證成功，請(qǐng)求者可以共享；否則認(rèn)證失敗，拒絕請(qǐng)求者共享。

(3)密鑰產(chǎn)生和保護(hù)

隨機(jī)產(chǎn)生一組2 048 bit密鑰，并把該密鑰存儲(chǔ)于TPM的NV空間內(nèi)進(jìn)行保存。

TPM（可信計(jì)算模塊），是安全存儲(chǔ)的芯片，TPM的NV空間是TPM的獨(dú)立內(nèi)存空間[10]，存儲(chǔ)敏感信息。密鑰存儲(chǔ)于NV空間，保證了密鑰的安全性。

(4)文件加解密

文件加密是讀取共享文件，利用隨機(jī)產(chǎn)生的加密算法進(jìn)行加密，記錄算法ID生成密文頭文件，并依次存儲(chǔ)加密內(nèi)容；文件解密利用密鑰作為解密口令，讀取密文頭文件算法ID，完成對(duì)應(yīng)算法解密。

(5)完整性校驗(yàn)

客戶(hù)端獲取解密文件摘要值，與接收的原摘要值進(jìn)行對(duì)比。如果相同，則共享文件完整；反之，則文件在傳輸過(guò)程中遭到了破壞或篡改。

3 性能及安全性分析

3.1 性能分析

由于文件傳輸過(guò)程中，加入了安全機(jī)制保證傳輸?shù)陌踩?，因此還要對(duì)其性能影響進(jìn)行分析，利用與未加入安全機(jī)制的文件傳輸協(xié)議進(jìn)行對(duì)比分析。

為保證性能分析的適用范圍，測(cè)試文件大小從4 KB一直到100 MB不等。對(duì)每個(gè)文件測(cè)試10次，差分取平均值，避免偶然誤差。測(cè)試結(jié)果如表1所示。

表1 傳輸時(shí)間比較

通過(guò)表1可以得出：

(1)未加入安全機(jī)制的傳輸時(shí)間都小于加入安全機(jī)制的傳輸時(shí)間。

(2)采用安全機(jī)制的共享傳輸，隨著文件大小的增加，時(shí)間消耗率逐漸降低。(時(shí)間消耗率=（安全機(jī)制下傳輸時(shí)間-非安全機(jī)制下傳輸時(shí)間）/安全機(jī)制下傳輸時(shí)間×100%)。如圖 4所示。

圖4 安全機(jī)制時(shí)間消耗率變化

通過(guò)以上分析，可以得出，隨著文件的增大，因安全機(jī)制消耗的時(shí)間百分比越來(lái)越小，即對(duì)傳輸?shù)挠绊懺诮档汀Ｍ瑫r(shí)，小文件傳輸雖然時(shí)間消耗率大，但是傳輸時(shí)間基數(shù)小。因此，加入安全機(jī)制的共享傳輸對(duì)傳輸效率的影響很小。本設(shè)計(jì)不影響共享文件傳輸?shù)膫鬏斝省?/p>

3.2 安全性分析

本文提出的文件共享和傳輸?shù)木唧w安全性比較如表2所示。

表2 方案比較

由表可知，本設(shè)計(jì)具有以下安全特性：

(1)差別身份認(rèn)證

基于用戶(hù)名、口令的認(rèn)證較單一，但快速易用；基于證書(shū)的認(rèn)證安全性高，但認(rèn)證復(fù)雜；采用差別身份認(rèn)證，根據(jù)文件敏感度不同差別認(rèn)證，保證了易用性和安全性的雙重要求。

(2)去除設(shè)置共享路徑的安全漏洞

通過(guò)間接文件共享方式共享請(qǐng)求時(shí)，只對(duì)請(qǐng)求者公布共享信息，而不直接共享。必須通過(guò)共享方的多重安全認(rèn)證后，請(qǐng)求方被動(dòng)接收共享文件。解決了因直接掛載共享文件而產(chǎn)生的共享路徑安全漏洞。

(3)共享授權(quán)具體化

通過(guò)設(shè)置共享人，指定共享人的個(gè)數(shù)和對(duì)應(yīng)IP，保證了共享授權(quán)的具體化。

(4)共享文件保密性

在文件傳輸前，隨機(jī)產(chǎn)生加密算法，增大了破解難度。實(shí)現(xiàn)密文傳輸，防止文件在傳輸中被截取。

(5)抗重放攻擊

每個(gè)文件在不同時(shí)期加密密鑰不相同，可以防止利用過(guò)期的隨機(jī)值進(jìn)行重復(fù)請(qǐng)求，即防止重放攻擊。

(6)文件完整性

對(duì)比文件傳輸前后的摘要值，防止文件在傳輸過(guò)程中被篡改或者破壞，保證了文件的完整性。

本文主要針對(duì)現(xiàn)有的安全共享和傳輸技術(shù)在局域網(wǎng)內(nèi)應(yīng)用方面可能存在的安全隱患，采用基于XML文件的間接文件共享，并加入了多重安全機(jī)制，在不影響共享文件傳輸效率的基礎(chǔ)上增強(qiáng)了文件共享和傳輸?shù)陌踩浴?/p>

[1]RUSSEL S，DAVID G，STEVE K.Design and implementation of the sun network filesystem[C].Proc of the Summer 1985 USENIX Conf.El Cerrito，CA：USENIX Association，1985：119-130.

[2]MOSKOWITZ J，BOUTELL T.Windows and Linux integration：hands-on solutions for a mixed environment[M].New Jersey：Wiley Publishing Inc.2007.

[3]TERPSTRA J H，VERNOOIJ J R.The official samba-3HOWTO and reference guide(2nd ed)[M].NJ：Prentice Hall PTR，2005.

[4]POSTEL J，REYNOLDS J.File transfer protocol，RFC 959[C].Menlo Park，CA：SRI International，Network Information Center，1985.

[5]許君，王朝坤，李瑞.基于內(nèi)容的分布式 FTP搜索引擎的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)研究與發(fā)展，2011，48(S3)：430-435.

[6]顏海龍，閆巧，馮紀(jì)強(qiáng).基于PKI/CA互信互認(rèn)體系的電子政務(wù)[J].深圳大學(xué)學(xué)報(bào)(理工版)，2012，29（2）：113-117.

[7]郭艷艷，吳揚(yáng)揚(yáng).一種基于 XML Schema的XML索引[J].華僑大學(xué)學(xué)報(bào)(自然科學(xué)版)，2011，32(1)：43-47.

[8]孫瑞錦，徐博，周玉明.一種實(shí)時(shí)監(jiān)測(cè)基于 UDP的Skype語(yǔ)音流的算法[J].解放軍理工大學(xué)學(xué)報(bào)(自然科學(xué)版)，2008，9(5)：507-511.

[9]王雷.TCP/IP網(wǎng)絡(luò)編程技術(shù)基礎(chǔ)[M].北京：清華大學(xué)出版社，2012.

[10]Trusted Computing Group.TPM main specification version2.0

[EB/OL].http://www.trustedcomputinggroup.org.[2013-03].