董曉寧，吳曉平，李洪成

?

基于認(rèn)證授權(quán)的文件安全保險箱技術(shù)研究與實現(xiàn)

董曉寧1，吳曉平2，李洪成2

（1. 海軍駐北京地區(qū)通信軍代室，北京 100000；2. 海軍工程大學(xué)信息安全系，湖北武漢 430033）

針對現(xiàn)有的文件保險箱缺乏文件管理機(jī)制和在線身份認(rèn)證的問題，設(shè)計并實現(xiàn)了基于認(rèn)證授權(quán)的文件安全保險箱系統(tǒng)。系統(tǒng)首先對文件保險箱的用戶進(jìn)行在線身份認(rèn)證，避免非法用戶登錄，并利用服務(wù)器收集客戶端上對機(jī)密文件的敏感操作行為事件，進(jìn)而對用戶操作進(jìn)行細(xì)粒度集中授權(quán)管理，避免了內(nèi)部用戶的非法操作和誤操作。通過測試表明，系統(tǒng)實現(xiàn)了預(yù)定的功能，具有良好的通用性和適用性。

文件保險箱；在線認(rèn)證；授權(quán)管理；遠(yuǎn)程控制

1 引言

近年來，伴隨著全球信息化的大潮流，整個社會的運(yùn)轉(zhuǎn)越來越密切地依賴于信息技術(shù)，然而隨著信息技術(shù)的發(fā)展和越來越廣泛的應(yīng)用，計算機(jī)和網(wǎng)絡(luò)已成為行政部門、軍隊和企業(yè)日常辦公的必備工具和途徑，數(shù)據(jù)存儲安全逐漸成為應(yīng)用計算機(jī)系統(tǒng)的一個首要問題[1~3]。解決這個問題的一種方式就是數(shù)據(jù)加密，文件安全保險箱系統(tǒng)作為其中一種工具應(yīng)運(yùn)而生[4,5]。

文件保險箱的安全性關(guān)系到用戶文件的安全性，如果系統(tǒng)本身存在任何安全漏洞都會給用戶帶來不可估量的損失[6~8]。企業(yè)中與業(yè)務(wù)相關(guān)的內(nèi)部機(jī)密文件分布在各個內(nèi)部局域網(wǎng)計算機(jī)中，常面臨以下安全隱患[9]。

1) 缺乏強(qiáng)制性保護(hù)措施。無法防范工作人員故意或無意的泄密。

2) 缺乏對用戶身份的認(rèn)證。如果沒有對用戶身份的認(rèn)證，任何用戶都可以加載文件保險箱，給系統(tǒng)的安全性帶來了極大的隱患。

3) 缺乏基于角色的用戶權(quán)限管理措施。沒有建立文件使用權(quán)限和用戶角色之間的對應(yīng)關(guān)系，無法實現(xiàn)細(xì)粒度訪問控制。

針對以上不足，本文設(shè)計并實現(xiàn)了一種基于認(rèn)證授權(quán)的文件安全保險箱系統(tǒng)。該系統(tǒng)的優(yōu)勢主要體現(xiàn)在以下方面。

1) 基于角色的用戶權(quán)限管理。通過建立員工、角色、權(quán)限之間互相對應(yīng)的關(guān)系，為不同級別的員工建立各種不同的功能權(quán)限。

2) 文檔應(yīng)用權(quán)限細(xì)分。針對企業(yè)文檔使用級別、使用范圍不同進(jìn)行權(quán)限上的細(xì)分：修改屬性、移出、打印、拷貝、刪除、拷屏、刻錄、權(quán)限傳遞以及可設(shè)置所有可執(zhí)行操作的可打開具體時間、次數(shù)，為用戶提供更加科學(xué)的權(quán)限管理機(jī)制。

3) 全面的日志審計功能。通過記錄終端用戶操作過程的記錄以及對突發(fā)安全事件的詳細(xì)記錄、分析，對企業(yè)數(shù)據(jù)信息進(jìn)行全面審核，為企業(yè)內(nèi)部泄密事件提供強(qiáng)有力的追蹤依據(jù)。

2 文件安全保險箱系統(tǒng)設(shè)計

本文件安全保險箱系統(tǒng)的主要功能應(yīng)包括以下幾個方面。

1) 基本功能：主要實現(xiàn)文件的保密存儲和加解密功能。

2) 安全功能：主要實現(xiàn)文件保險箱系統(tǒng)的使用安全，包括在線身份認(rèn)證、文件及消息的保密傳輸?shù)裙δ堋?/p>

3) 管理功能：主要實現(xiàn)用戶保險箱的集中管理功能，包括密鑰分發(fā)管理、生成審計日志、特殊操作管理、用戶權(quán)限管理、共享文件傳輸?shù)裙δ堋?/p>

為實現(xiàn)以上功能，本系統(tǒng)主要分為2個模塊：在線認(rèn)證模塊和文件操作授權(quán)管理模塊。下面分別對這2個模塊的設(shè)計原理進(jìn)行具體介紹。

2.1 在線認(rèn)證模塊設(shè)計

用戶文件保險箱上密文的解密密鑰存放在服務(wù)器端，該解密密鑰是本系統(tǒng)的重要機(jī)密信息。在線認(rèn)證模塊是保證文件解密密鑰信息機(jī)密性和完整性的基礎(chǔ)，同時為C/S間文件傳輸提供認(rèn)證。

本系統(tǒng)采用基于散列函數(shù)的口令認(rèn)證方式，使用口令和用戶信息經(jīng)過多次執(zhí)行散列運(yùn)算得到認(rèn)證信息。這種認(rèn)證方案的優(yōu)點(diǎn)是：1）利用散列函數(shù)對口令、密鑰等短消息加密簡單高效且安全性較高，有效防止信道上的竊取攻擊；2）用戶的身份信息和登錄憑據(jù)經(jīng)過散列處理后，存儲在服務(wù)器數(shù)據(jù)庫中，避免了機(jī)密信息以明文形式存儲在數(shù)據(jù)庫中所帶來的對安全性的損害。

文件安全保險箱系統(tǒng)在線認(rèn)證流程如圖1所示。

2.2 文件操作授權(quán)管理模塊設(shè)計

文件操作管理模塊是文件保險箱系統(tǒng)安全性的一個關(guān)鍵部分，主要防止非授權(quán)用戶竊取文件以及減少因用戶誤操作而帶來的損失。

文件操作管理主要是針對可能造成信息泄露的某些特殊操作，這些特殊操作會對系統(tǒng)的安全性造成很大的安全隱患。具體操作類型如下。

1) 從保險箱移出文件操作

文件從保險箱移出就不再具有保密性，被移出文件的安全性將無法得到任何保障，可被隨意竊取。

2) 打印文件

非法用戶如果打印文件就能直接竊取到機(jī)密文件，這一操作對系統(tǒng)的安全性造成了極大的威脅。

3) 多次登錄失敗

如果某一用戶連續(xù)登錄失敗，則很可能是非法用戶對系統(tǒng)進(jìn)行口令猜測攻擊。

4) 異常時間登錄

若有用戶在0:00~3:00之間執(zhí)行開啟文件保險箱操作，則極有可能是非法用戶登錄。

5) 長時間無操作

如果用戶長時間沒有進(jìn)行任何操作，很可能用戶有事離開或者用戶忘記關(guān)閉，這會給非法操作者可乘之機(jī)。

針對以上安全隱患，本系統(tǒng)對文件操作進(jìn)行如下控制。

1) 當(dāng)用戶進(jìn)行移出操作時，系統(tǒng)管理員根據(jù)用戶移出的文件和用戶的級別來判斷是否允許其進(jìn)行相應(yīng)的操作，并發(fā)送相應(yīng)操作指令；對于打印、刪除等操作控制策略與移出基本相同。

2) 當(dāng)用戶連續(xù)登錄失敗時，如果次數(shù)達(dá)到5次，系統(tǒng)1 h內(nèi)不允許該用戶進(jìn)行登錄，并且在服務(wù)器端彈出警告，通知管理員該用戶連續(xù)登錄失敗。

3) 當(dāng)用戶成功登錄后，如果5 min沒有對文件進(jìn)行任何操作，系統(tǒng)就強(qiáng)制關(guān)閉文件保險箱，退出到登錄界面，要求用戶輸入口令，防止因用戶離開，其他操作者對文件進(jìn)行非法操作。

4) 當(dāng)服務(wù)器檢測到審計日志文件中接收到的審計消息中用戶登錄時間為0:00~3:00之間時，管理者界面彈出警告窗口，提示該異常操作。

文件操作授權(quán)管理的流程如圖2所示。

3 文件安全保險箱系統(tǒng)實現(xiàn)

3.1 系統(tǒng)環(huán)境與開發(fā)平臺

系統(tǒng)的開發(fā)環(huán)境是Microsoft .NET Framework 4.0，文件保險箱服務(wù)器需要安裝SQL Sever 2008 Express或更高版本。

開發(fā)平臺：Microsoft Visual Studio 2010 旗艦版。本系統(tǒng)采用C#語言編寫，運(yùn)用面向?qū)ο蠹夹g(shù)，基于.NET框架開發(fā)，繼承了自動內(nèi)存管理和垃圾回收的機(jī)制，使程序本身的構(gòu)造與析構(gòu)都更加方便容易，在具體編寫程序時不需要為釋放空間而費(fèi)心[10]。

3.2 在線認(rèn)證模塊實現(xiàn)

在線認(rèn)證模塊中，運(yùn)用了散列運(yùn)算，建立了用戶信息庫。部分代碼如圖3所示。

本用戶信息庫存儲在本項目所用數(shù)據(jù)庫中，本系統(tǒng)設(shè)計過程中使用SQL Server 2008數(shù)據(jù)庫。存儲用戶信息的用戶信息表dbo.user設(shè)計如圖4所示。

用戶信息表中存儲的示例用戶信息，如圖5所示。

3.3 文件操作授權(quán)管理模塊實現(xiàn)

若客戶端對所存儲的機(jī)密文件進(jìn)行了非法操作（如非法拷貝到U盤或其他盤符下等）時，系統(tǒng)將會對此類操作進(jìn)行監(jiān)控管理。若要對客戶端上存放的機(jī)密文件進(jìn)行監(jiān)控，需要設(shè)計一個文件監(jiān)控管理守護(hù)模塊，該模塊與文件保險箱中的所有機(jī)密文件進(jìn)行關(guān)聯(lián)，一旦機(jī)密文件遭到非法操作時，監(jiān)控管理守護(hù)模塊將自動向服務(wù)器端觸發(fā)一條消息，提示服務(wù)器客戶端對機(jī)密文件進(jìn)行非法操作，一些善意的文件操作動作（如合法客戶端需要拷貝某個文件）時，只有得到服務(wù)器端的許可才允許執(zhí)行，否則禁止。

其監(jiān)控管理守護(hù)模塊中的主要函數(shù)為

Void MoniorFile(string strFileName; string strFilePath; UNIT uFileState; string strMessage);其中，strFileName為文件名稱；strFilePath為文件路徑；uFileState為文件狀態(tài)（如是否執(zhí)行拷貝）；strMessage為向服務(wù)器提交的告警消息內(nèi)容。

文件共享傳輸也是文件操作的主要功類型之一。本系統(tǒng)中的文件傳輸利用Socket協(xié)議來實現(xiàn)，其服務(wù)器端示例代碼如圖6所示。

Socket協(xié)議的客戶端示例代碼如圖7所示。

4 系統(tǒng)功能及性能測試

4.1 測試環(huán)境

1) 硬件環(huán)境

聯(lián)想Y450，Intel Core2雙核，CPU T6600主頻2.2 GHz，內(nèi)存2.0 G，Windows7操作系統(tǒng)；宏基4 740 G，Intel Core2雙核，CPU i3主頻2.13 GHz，內(nèi)存2.0 GB，Windows7操作系統(tǒng)。

2) 軟件環(huán)境

Windows 7操作系統(tǒng)，Windows XP操作系統(tǒng)，Microsoft Visual Studio 2010，SQL Server 2008 Express Edition。

4.2 認(rèn)證及授權(quán)功能測試

通過用戶認(rèn)證功能測試發(fā)現(xiàn)，用戶可以及時準(zhǔn)確地通過認(rèn)證并登錄文件保險箱系統(tǒng)，認(rèn)證后在服務(wù)器端的顯示結(jié)果如圖8所示。

通過用戶認(rèn)證功能測試發(fā)現(xiàn)，服務(wù)器可以實現(xiàn)對用戶角色的分類管理，并分配相應(yīng)的權(quán)限，其管理界面如圖9所示。

此外，服務(wù)器可以對用戶已進(jìn)行的各類操作進(jìn)行審計，便于管理員事后查看，文件操作管理審計界面如圖10所示。

4.3 服務(wù)器負(fù)載性能測試

服務(wù)器是整個網(wǎng)絡(luò)系統(tǒng)和計算平臺的核心，許多重要的數(shù)據(jù)都保存在服務(wù)器上，很多網(wǎng)絡(luò)服務(wù)都在服務(wù)器上運(yùn)行，因此服務(wù)器性能的好壞決定了整個應(yīng)用系統(tǒng)的性能。通過模擬多個用戶實施并發(fā)負(fù)載及實時性能監(jiān)測的方式來測試服務(wù)器的負(fù)載性能是必不可少的。對服務(wù)器的測試如下：運(yùn)行服務(wù)器端并開始監(jiān)控網(wǎng)絡(luò)；多個客戶端同時運(yùn)行，當(dāng)聽到口令時進(jìn)行登錄；查看客戶端登錄成功率；多個客戶端同時連續(xù)進(jìn)行多種不同文件操作；查看服務(wù)器端登錄日志記錄是否與客戶端登錄情況和用戶操作匹配。

通過表1的測試結(jié)果可以看出服務(wù)器運(yùn)行良好，沒有出現(xiàn)錯誤，可以較好負(fù)載整個文件保險箱系統(tǒng)的運(yùn)行。

表1 服務(wù)器負(fù)載性能測試結(jié)果

5 結(jié)束語

目前，政府公文失竊、軍事機(jī)密泄露、商業(yè)秘密外泄等一系列問題成為電子文件的一大弊端，如何高效安全地實現(xiàn)電子文件的保密存儲成為眾多部門的一大難題。本文件保險箱系統(tǒng)可以在遠(yuǎn)程認(rèn)證用戶身份，并對用戶的文件操作在線管理。因此，本系統(tǒng)在政府行政機(jī)關(guān)、軍隊保密部門、企事業(yè)單位等需要保密的部門具有良好的應(yīng)用前景。

[1] 李成東, 徐飛. 一種基于USBKEY的文件保險箱系統(tǒng)設(shè)計與實現(xiàn)[J]. 軟件學(xué)報, 2013,10(5): 11-15.

LI C D, XU F. A USBKEY based file system design and implementation of safe[J]. Journal of Software, 2013, 10 (5): 11-15.

[2] 熊厚仁, 陳性元, 費(fèi)曉飛, 等. 基于屬性和RBAC的混合擴(kuò)展訪問控制模型[J]. 計算機(jī)應(yīng)用研究, 2015, 34(9): 29-33.

XIONG H R, CHEN X Y, FEI X F, et al. The mixted extent access control model based on attribute and RBAC [J]. Computer Application Research, 2015, 34 (9) : 29-33.

[3] 葉重陽，莊毅. 一種基于多維信任度的動態(tài)RBAC模型[J]. 計算機(jī)與現(xiàn)代化,2015, 19(8): 20-24.

YE C Y, ZHUANG Y. A dynamic RBAC model based on multi- dimensional trust[J]. Computer and Modern, 2015, 19 (8):20 -24.

[4] 戈泉月, 車力軍. 基于多因素認(rèn)證的網(wǎng)絡(luò)安全支付模式研究[J]. 信息網(wǎng)絡(luò)安全, 2015, (12): 48-59.

GE Q Y, CHE L J. Network secure payment mode study based on multi-factor authentication [J]. Information Network Security, 2015, (12): 48-59.

[5] 戈泉月, 車力軍. 基于SELinux強(qiáng)制訪問控制的進(jìn)程權(quán)限控制技術(shù)研究與實現(xiàn)[J]. 信息網(wǎng)絡(luò)安全, 2015, (12):34-42.

GE Q Y, CHE L J. Research and implementation of the process of access control technology based on SELinux mandatory access control[J]. Information Network Security, 2015, (12):34-42

[6] 白輝. 在線授權(quán)認(rèn)證平臺的設(shè)計與實現(xiàn)[D]. 廣州: 華南理工大學(xué), 2010.

BAI H. The design and implementation of online authorization certification platform [D]. Guangzhou: South China University of Technology, 2010.

[7] 張悅, 鄭東, 張應(yīng)輝. 支持動態(tài)授權(quán)和文件評價的訪問控制機(jī)制[J]. 計算機(jī)應(yīng)用, 2015, 32(4):127-131.

ZHANG Y, ZHENG D, ZHANG Y H. Access control mechanism which support dynamic authorization and file evaluation[J]. Journal of Computer Applications, 2015, 32(4): 127-131.

[8] 沈洋. 安全文件服務(wù)系統(tǒng)的研究與開發(fā)[D]. 武漢：武漢理工大學(xué), 2014.

SHEN Y. The research and development of the security file service system[D]. Wuhan: Wuhan University of Technology, 2014.

[9] 張紅林. 分布式文件系統(tǒng)中集中安全管理服務(wù)器設(shè)計與實現(xiàn)[D]. 武漢：華中科技大學(xué), 2011.

ZHANG H L. Design and implementation of centralized safety management server in distributed file system [D]. Wuhan: Huazhong University of Science and Technology, 2011.

[10] 馬駿,鄭逢斌,沈夏炯. C#網(wǎng)絡(luò)應(yīng)用高級編程[M]. 北京: 人民郵電出版社, 2006: 59-67.

MA J, ZHENG F B, SHEN X J. High-level programming of C# network application [M]. Beijing: People's Posts and Telecommunications Press, 2006:59-67.

Research and implement of file safe deposit box based on authentication and authorization

DONG Xiao-ning1, WU Xiao-ping2, LI Hong-cheng2

(1. Naval Communications Army Generation Room in Beijing, Beijing 100000, China;2. Department of Information Security, Naval University of Engineering, Wuhan 430033, China)

Considering that the existing file safe deposit boxes lack online authentication and server authorization, a file safe deposit box based on authentication and authorization was designed and achieved. This system firstly identified the users of the file box online, thus avoiding the illegal users to login. Moreover, the master collected the operation events exerted on the files in the clients, and the master provided a granular authentication for the operation of users, thus avoiding the illegal operation and incorrect operation. The test of this system proved that it can be able to achieve the preset functions and can be widely used in many conditions.

file safe deposit box, online authentication, authorization management, telnet control

The National Natural Science Foundation of China (No.61100042), The Natural Science Foundation of Hubei Province (No.2015CFC867)

TP309

A

10.11959/j.issn.2096-109x.2016.00054

2016-04-02；

2016-05-05。

董曉寧，ytztyb2b@yahoo.com

國家自然科學(xué)基金資助項目（No.61100042）；湖北省自然科學(xué)基金資助項目（No.2015CFC867）

董曉寧（1964-），男，河北唐山人，海軍駐北京地區(qū)通信軍代室高級工程師，主要研究方向為信息系統(tǒng)安全防護(hù)。

吳曉平（1961-），男，山西新絳人，博士，海軍工程大學(xué)教授、博士生導(dǎo)師，主要研究方向為信息安全、密碼學(xué)。

李洪成（1991-），男，河南商丘人，海軍工程大學(xué)博士生，主要研究方向為信息安全、密碼學(xué)。