一种面向中小企业的轻量级文件安全管理方案
2016-02-26王国旗
解 晖,王国旗,雷 婉,郑 涛
(1.陕西煤业化工技术研究院有限责任公司,陕西 西安 710077;2.西安电子科技大学 通信工程学院,陕西 西安 710071)
一种面向中小企业的轻量级文件安全管理方案
解晖1,王国旗1,雷婉2,郑涛1
(1.陕西煤业化工技术研究院有限责任公司,陕西 西安710077;2.西安电子科技大学 通信工程学院,陕西 西安710071)
摘要企业信息化的发展给文件的安全管理带来了新的挑战,然而传统的文件安全管理方案只注重文件本身的安全,而忽略了使用文件人员身份认证问题。文中提出一种基于身份认证与文件加密技术的轻量级文件安全管理方案,该方案用以满足中小型企业对文件安全存储及使用的需求。通过对安全性及性能的分析,证明该方案可实现对文件安全、有效地存储及使用。
关键词文件安全;身份认证;文件加密;文件共享
随着企业信息化的不断发展,大量敏感信息以电子文档形式存在,而电子文档易操作、易复制以及可重复使用等特点使得电子文档容易扩散,电子文档的丢失成为企业数据安全的主要隐患。为保障企业敏感信息的安全,除了采用在网络出入口部署防火墙、敏感区域进行入侵检测等网络安全的手段以外,还有一些必要手段保障数据本身的安全,如基于物理隔离和规章制度的机制[1-3]、基于私有云的信息集中存储处理机制[4-6]以及基于加密技术和密钥管理的数据信息管理机制[7-9]。
基于物理隔离和规章制度的方案保证了涉密信息的安全存储,也为企业内部网络划定了明确的安全边界。但该方案部署成本高,对涉密信息的输出管控严格,复杂的审批流程使得企业办公极不灵活。对于基于私有云的信息集中存储处理方案,大幅减少了企业维护人员的工作量,且安全性更高。但该方案由于必须保证私有云自身的可靠性,需要部署大量的容灾设备,基础成本过高。基于加密技术和密钥管理的数据信息管理方案可通过软件的形式来满足数据存储和传输的保密性需求,易于部署;即使员工计算机被动感染木马等工具,也无法解密加密文件。但该方案无法防止攻击删除敏感数据。
综上所述,现有数据安全保障机制并不能满足中小企业人员少、安全成本低的现状以及对数据安全存储、访问以及传输等[10-11]安全需求。为解决上述问题,本文提出一个统一、完善的文件安全管理体系方案,在不增加硬件设备的基础上,为企业提供一个安全、有效的文件保护系统,来保障企业内部数据的保密性、完整性,并能防止企业员工的身份仿冒及抵赖。
1预备知识
1.1公钥基础设施
公钥基础设施(Public Key Infrastructure,PKI)[12],是一组由硬件、软件、参与者、管理政策与流程组成的基础架构,其目的在于创造、管理、分配、使用、存储以及撤销数字证书。
一个简单的PKI系统包括证书机构(Certificate Authority,CA)、注册机构(Register Authority,RA)和相应的PKI存储库。CA是PKI的核心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
1.2Ukey
UKey是一种具有密码验证功能、可靠高速的小型存储设备,通过USB直接与计算机相连,基于可信计算机及智能卡技术把易用性、便携性和最高级别的安全性带给了在线交易、表单签名、文件数字签名等操作的用户,保证用户在Ukey下的操作不可篡改、抵赖。
2文件安全管理体系方案
针对中小企业数据安全的现状和需求,提出了一体化的文件安全管理体系方案,该方案依托PKI在用户身份认证、保密通信方面的优势,并基于企业信息系统的使用现状,采用CA构造的一个适合企业具体使用环境的方案,实现企业对用户身份认证、安全文件存储、共享及传输等方面的安全需求。并通过Ukey来进一步加强本方案的安全性,提供安全高效的数据加解密功能。
2.1系统初始化
本方案的初始化包括部署整个网络的软硬件环境以及方案中使用到的密钥的生成算法。
2.1.1网络软硬件部署
本方案的安全管理体系包括文件安全管理平台和员工客户端。平台的网络部署如图1所示。
图1 平台网络部署图
(1)统一认证及管理服务器由信息中心的管理员对整个平台进行管理和监控;(2)证书服务器CA负责审核员工的身份认证请求,决定是否为其提供数字证书以及数字证书的签发、查询、注销以及更新等服务;(3)密钥管理服务器集中管理系统中的所有密钥,包括生成、撤销或更新文件的对称加密密钥、员工数字证书的公私钥对和员工通信时的临时会话密钥等;(4)文件共享服务器存储系统中所有员工用于共享的文件。
客户端是安装在每个部门员工计算机上的软件系统,为每个员工分配对应的Ukey,存储着员工的数字证书、公私钥对、文件加密密钥,用来对员工进行身份认证、文件加解密、数字签名等。
2.1.2密钥生成
整个文件安全管理体系在多项服务中都涉及密钥的生成与保存,如所有员工U={u1,…,un}的公私钥对{(sku1,pku1),…,(skun,pkun)}、加密密钥{K1,…,Kn}以及共享密钥{K’1,…,K’n}等。这些密钥都存储在员工的Ukey中,在使用时可以进行透明加解密。其中,(1)公私钥对(skut,pkut)是CA审核员工ut身份后为ut分发的数字证书,用于对ut身份的验证;(2)加密密钥Kt是员工ut进行文件加密时的对称加密密钥库,针对不同的文件Fi使用不同的密钥kti;(3)共享密钥K’t是员工ut进行文件共享时的共享密钥库,针对不同的文件Fi使用不同的密钥k’ti。
2.2注册与登陆
为防止企业系统内部造成的安全事件,部门员工在注册系统时,系统必须对员工身份进行认证。
2.2.1员工注册
当员工ut进行注册时,其流程如下:(1)首先,ut将自身的个人信息提交给CA;(2)申请信息存储在CA服务器的RA模块数据库中,RA管理员审查ut的申请请求,若ut是合法的,则RA管理员将通过审核的申请信息发送到CA模块;(3)CA将ut的个人信息发送给密钥管理服务器申请为ut生成数字证书(skut,pkut)和个人密钥Kt;(4)密钥管理服务器调用相关算法为ut生成密钥后,将(skut,pkut)添加到CA的目录服务器中,并将加密的(skut,pkut)和Kt返回给CA,由CA分发给ut,存储在ut的Ukey中。
2.2.2员工登陆
(1)当ut注册成功后登陆信息系统时,输入自身的用户名和密码,并用自身存储在Ukey内的skut对用户名和密码进行签名,生成签名数据Cs=Encskut(用户名,密码)再发送给CA;(2)CA收到登陆请求时,用ut的pkut验证身份,即得到Decpkut(Cs)=(用户名,密码)后,通知ut系统登录成功。
2.3文件加密与共享
2.3.1本地文件加密
为减小客户端的计算压力和资源浪费,针对企业各部门对不同数据的重视程度,本文设计了一个自定义的文件密级分级方案。自定义的文件密级分级方案要求各部门将本部门重要的、需要保密的文件进行加密存储,而对于一般可公开的文件,则直接明文存储在本地。
当ut需要对本地文件Fi进行处理时,流程如下:(1)首先按照自己部门的工作性质将Fi进行分类:保密文件还是可公开文件;(2)若是可公开文件,ut直接将Fi存放在本地计算机上;而若是需要保密的文件,ut在本地加密存储Fi;(3)当进行本地加密存储时,用Ukey中存储的个人文件密钥kti加密Fi得到密文C=Ekti(Fi)并存储在本地计算机。
2.3.2文件共享
当ut需要将Fi共享给领导或其他员工时,流程如下:(1)ut首先向密钥管理服务器提出共享申请,服务器会根据企业制定的安全策略审核共享申请,如ut是否有相应的安全权限;(2)一旦共享申请通过,ut会用密钥管理服务器返回的共享密钥k’ti加密Fi得到密文C’=Ek’ti(Fi),并将需要共享的员工列表上传到文件共享服务器,再由服务器加密存储来实现文件共享。
每次加密文件使用新的个人文件密钥和共享密钥,Ukey和密钥管理服务器同时更新员工的密钥库。
2.4文件访问
2.4.1本地文件访问
当ut需要访问自身存储在本地的加密文件C=Ekti(Fi)时,插上Ukey,打开自身计算机上的安全文件管理客户端软件。然后打开需要访问的文件Fi,客户端会自动将员工Ukey中的kti与C进行匹配;匹配成功,则可计算得到Ekti(C)=Fi,ut将可看到文件明文Fi,而无kti的员工不能看到正确的Fi。
2.4.2共享文件访问
(1)当ut需要访问自身的共享文件C’=Ek’ti(Fi)时,在登陆安全文件管理客户端后通过查询共享列表即可看到自己的所有共享文件;(2)ut用自身Ukey中已有的共享密钥K’t去解密C’,若无法解密,则提取文档之间的共享密钥哈希值,并将其发送给密钥管理服务器申请共享密钥k’ti;(3)密钥管理服务器根据接收到的哈希值匹配ut密钥列表K’t中的每一个密钥k’ti的哈希值,匹配成功后,将k’ti以密文形式发送到ut的Ukey中;(4)Ukey会在后台透明解密C’,得到Ek’ti(C’)=Fi,ut即可看到共享文件Fi。
3安全性分析
3.1身份认证的安全性
该文件安全管理方案采用基于CA的认证机制来保证企业员工在进入系统时的身份认证,CA的安全性保证了每个员工的数字证书不可被随意伪造,只有信息中心才能生成可被系统验证的数字证书。其次,数字证书的私钥可用于进行数字签名,其他人或机构可通过公开的公钥对员工身份进行认证,保证了员工在通信中的不可否认性。
3.2文件加密的安全性
文件在本地加密存储或共享给其他员工时,需要对文件进行对称加密。安全的对称加密算法保证了加密文件只能被拥有相应密钥的员工解密,保证了文件的安全性。
4性能分析
本小节将对所提方案在员工注册与登陆、文件加密、共享与访问操作的计算开销进行性能评估,利用Openssl工具来对各个操作进行基本的计算开销测试。测试环境为一台2.4 GHz双核处理器和4 GB内存的计算机,安全文件管理服务器和客户端安装在一台计算机上,测试链接通过后,安装一款Ukey驱动程序,每个员工配备唯一的Ukey来存储数字证书、个人密钥及共享密钥等。
用一个1 kB的文件进行测试,期间产生的通信开销可忽略不计,只计算文件进行对称加解密(AES)的开销。具体的计算开销如表1所示。
表1 各项操作的计算开销
随着员工需要处理的文件数目增多,文件加密和共享的开销也会增大,选取每个文件大小为1 kB进行测试,结果如图2所示。
图2 文件加密和共享开销
图3 文件访问开销
而相应的,对加密文件和共享文件的访问时间也会增大,选取同样大小的文件进行测试,结果如图3所示。可见本方案在处理文件加密、共享及访问操作的计算开销较小、效率较高,完全能满足中小型企业的需要。
5结束语
本文提出的基于CA的文件安全管理体系有效地解决了中小型企业文件安全系统中用户身份认证、文件保密、共享以及安全通信等问题,分析了方案的安全性,并对系统进行了相应的性能测试。结果证明,该文件安全体系能可防范内部攻击和泄密的威胁,满足了企业网络内部安全使用的需求,且相较于同类文件安全管理方案具有更贴近实际环境、更灵活安全的优势[13-14]。
参考文献
[1]李玮.涉密信息系统物理隔离防护的设计与实现[D].杭州:浙江工业大学,2013.
[2]王朝阳.内部网安全解决方案[J].计算机安全,2008(7):66-67.
[3]林朝爱,傅鹂.网络物理隔离体系结构的研究[J].现代计算机,2007(7):105-107.
[4]鲍爱华,袁晓萍,陈锋,等.一种基于虚拟隔离机制的安全私有云存储系统[J].计算机科学,2014,41(1):202-207,216.
[5]钱进进.私有云安全存储技术的研究与实现[D].广州:广东工业大学,2013.
[6]胡海飞.“私有云”架构下终端安防体系的变革[J].信息安全与通信保密,2013(11):111-114.
[7]范秋生.数据加密技术在计算机安全中的应用[J].煤炭技术,2013,32(7):171-172.
[8]顾欣.文件透明加密保护系统的设计与实现[D].西安:西安电子科技大学,2012.
[9]李世富.基于透明加密的文件保密技术研究[D].武汉:武汉理工大学,2012.
[10]赵宇波.陕西煤业化工集团公司信息化管理体系研究[D].西安:西安科技大学,2013.
[11]孙学军.信息化对资源型企业经营绩效影响评价研究[J].资源与产业,2013,15(6):125-129.
[12]王健.基于PKI的数字证书统一管理平台[D].太原:太原理工大学,2013.
[13]赵泰,于文文,王新茹.企业交互中的数据安全管理方案分析[J].计算机安全,2010(9):83-84.
[14]张健.电子文件信息安全技术体系研究[J].档案与建设,2013(2):4-7.
A Lightweight File Secure Management Scheme for Small and Middle Enterprise
XIE Hui1,WANG Guoqi1,LEI Wan2,ZHENG Tao1
(1.Shaanxi Coal and Chemical Technology Institute Co.,Ltd.,Xi’an 710077,China;
2.School of Communications Engineering,Xidian University,Xi’an 710071,China)
AbstractThe development of enterprise informatization brings new challenges to the secure files management,but traditional file security management schemes only pay attention to the file security and ignore the identity authentication for the person who uses the file.Based on identity authentication and file encryption technology,a lightweight file secure management scheme is proposed to meet the demands of file storage protection for small and middle enterprise.The scheme has been proved to be able to offer secure,efficient storage and usage through detailed analyses of security and performance.
Keywordsfile security;identity authentication;file encryption;file sharing
中图分类号TN918.4;TP309
文献标识码A
文章编号1007-7820(2016)02-169-04
doi:10.16180/j.cnki.issn1007-7820.2016.02.046
作者简介:解晖(1983—),男,硕士,工程师。研究方向:信息技术管理。王国旗(1964—),男,硕士研究生,高级工程师。研究方向:安全技术及工程。
基金项目:国家自然科学基金资助项目(61303218)
收稿日期:2015- 07- 02
