一種基于分級保護的企業即時通信系統的設計與實現*

唐 偉，劉國山，王亞翔

(1.中國電子科技集團第三十研究所，四川 成都 610041；2.中國兵器工業信息中心，北京 100089)

一種基于分級保護的企業即時通信系統的設計與實現*

唐 偉1，劉國山1，王亞翔2

(1.中國電子科技集團第三十研究所，四川 成都 610041；2.中國兵器工業信息中心，北京 100089)

目前，企業對員工使用即時通信系統的行為難以控制，容易發生泄漏秘密、竊取資料等事故。針對目前企業即時通信系統中存在的問題，在文件分級保護、文件和消息的加密傳輸及集中存儲、三員管理等方面進行研究，設計并實現了一種新的企業安全即時通信系統，并將研究成果融入到企業即時通信系統的設計和實現中。經測試與正式使用驗證，該優化設計系統在信息保護、信息安全和信息可控等方面效果顯著，已成功通過國家安全保密有關部門的檢查。

即時通信；分級保護；信息安全；加密存儲；分權管理

0 引 言

自第一款即時通信軟件ICQ[1]誕生以來，即時通信軟件在企業中得到迅速應用與發展。即時通信系統的存在，使其他企業信息系統如ERP、CRM、PDM和OA等有了主動推送消息到終端的機會，打破了信息系統間的信息藩籬。比較而言，郵件系統雖然也會長時間在線，但其信息渠道單一，缺少互動性，而即時消息發布系統是最合理的選擇[2]。

然而，目前企業（特別是軍工、金融等保密要求較高的企業）應用的即時通信系統仍有許多不足。第一，文件傳輸缺乏分級保護。缺乏分級保護

的文件傳輸，易產生文件的“誤”發和“誤”收，擴大文件的知情范圍，造成重要信息泄露。

第二，文件和消息存儲離散[3-4]。現有企業即時通信系統的文件和消息均離散存儲在客戶端。文件和消息的離散存儲容易引起用戶數據的丟失和泄漏，且不易管理。

第三，文件和消息加密策略簡單，機密性較差。目前已有的企業即時通信系統的文件和消息傳輸、存儲，使用簡單的對稱加密方式。更多的傳輸文件沒有進行加密存儲和傳輸，安全性、機密性較差，難以滿足企業的保密安全要求。

第四，缺乏系統管理員、安全員和審計員的三員分權管理機制，存在超級管理員的安全隱患。

企業即時通信系統中存在的不足和缺陷使攻擊者很容易監聽、竊取重要信息，尤其在國防軍工、金融和證劵等特殊行業，可能會給國家、企業、個人造成不可估量的損失。

針對目前企業即時通信系統中存在的問題，本文在文件分級保護、文件和消息的加密傳輸及集中存儲、三員管理等方面進行了研究，并將研究成果融入到企業即時通信系統的設計和實現中。通過測試與正式使用驗證，該優化設計方案在目前的實際運行中效果良好。

1 軟件架構和信息的集中管理

常見的企業即時通信系統主要有C/S模式和P2P模式，消息或文件信息都存放在客戶端（除了少量離線信息外）[5]。目前，幾乎所有即時通信系統的文件傳輸都是按照P2P模式進行，不利于文件的使用控制、加密集中存儲、使用追蹤和審計等管理要求。

本文介紹的基于分級保護的企業即時通信系統借鑒MSN的設計模式[5-6]，采用多層客戶端/服務器架構，對文件、消息和其他數據進行集中管理。它由客戶端、身份認證服務器、通知服務器、消息服務器、文件服務器和數據庫服務器等組成，網絡架構如圖1所示。

身份認證服務器：主要功能為同即時通信客戶端建立初始連接，包括協議版本的確認、身份認證、初始化用戶信息等。若系統版本、身份認證成功，切斷與該服務器的連接，并向客戶端發送可用的通知服務器的IP及端口等信息。

通知服務器：通過身份認證后，客戶端同通知服務器保持連接。該服務器的主要功能是維護客戶端的在線狀態、管理個人信息，提供接口接收來自企業應用系統（如OA、ERP、PDM等）的提醒消息。

消息服務器：中轉和加密存儲來自客戶端或企業應用系統的消息。客戶端發送或接收文件時，消息服務器向客戶端通知文件服務器地址。

文件服務器：控制文件的上傳和下載，對文件進行加密存儲和管理。特別地，文件服務器維護了文件密級、文件所有者信息、文件使用權限標志和文件安全信息摘要等文件使用權限集的相關內容。這些信息加上人員權限（文件訪問控制集），是實現文件分級保護的核心。

數據庫服務器：持久化通過該即時通信系統流轉的信息，記錄用戶和管理員行為，提供審計信息的存儲管理。數據庫服務器管理的信息和行為日志是系統管理員、安全員和審計員的操作內容，是三員分權管理的基礎。數據庫服務器對有關信息進行加密存儲。

圖1 系統架構拓撲

2 三員的分權管理

在傳統的企業涉密信息系統中，存在所謂的超級管理員問題：超級管理員能夠自主授權，打開數據庫，修改系統運行參數和數據。沒有約束的權利必然帶來管理上的真空和巨大的安全隱患，因此系統中不能有超級用戶的存在[7]。

將管理員劃分為系統管理員、安全員和審計員，進行三員分權控制是解決超級管理員問題的最佳實踐。以系統管理員為例，他只進行系統維護，不能看到涉密信息。

在本系統中，三個角色互斥，不允許用戶擁有兩個以上的角色。系統管理員角色僅可進行其他兩員的賬號初始化、系統運行參數配置等操作，沒有查看系統日志的權利；安全員具有組織機構及用戶信息維護、用戶權限分配、查看用戶行為日志的權利而沒有其他權限；審計員具有審計其他兩員的操作行為的權限而沒有其他權限。

系統管理員的界面如圖2。

圖2 系統管理員界面

3 文件(消息)的分級保護

本文所描述的即時通信系統中的分級保護由文件使用權限定義和文件訪問控制兩種基礎技術實現。在這兩種技術基礎上構建起來的文件管理服務器，對系統中流轉的文件進行統一管理。文件的分級保護分為三個層次：文件訪問控制與文件使用權限的定義；文件使用權限（文件密級）同文件的不可分離；文件的集中加密管理。特別地，本文所描述的即時通信系統中流轉的消息也使用與文件分級保護相同的機制。

3.1 文件分級保護的數學模型

定義1 （文件使用權限集）fa={Ai|i∈Z+}，為非負整數集。集合由用戶定義，其中的每個元素都是互斥且互不包含的，即

定義2 （文件訪問控制集）

Z+為非負整數集，f(x)為非負整數x∈Z+的線性函數，由企業根據實際需求進行定義，且滿足f(i)＜f(j)≤n(fa),i＜j,i,j∈Z+。由以上定義可知，滿足文件分級保護的必要條件為：

1、pa集合中的每個元素都是向下包含的，即Pi?Pj,i＜j,i,j∈Z+；

定義AnalysPerson(person)為獲取用戶person人員權限的方法，返回值是pa中的一個元素；AnalysFile(fi le)為獲取文件fi le使用權限的方法，返回值是fa中的一個元素。于是，用戶具有的對文件進行操作的集合可描述為：ops={op|op∈AnalysPe rson(person)∩AnalysFile(fi le)}。由于文件使用權限是唯一的，即AnalysFile(fi le)為單元素集合，所以對用戶person具有的文件使用權限集合ops為?或

3.2 數據加密算法

系統設計與實現中使用了對稱加密算法（AES）、非對稱加密算法（RSA）[8]、HASH算法（SHA-1）。其中，SHA-1是一種安全性較好的哈希算法。通過它能生成信息的數字“指紋”，用于確保信息沒有被篡改或破壞，以驗證數據的完整性。AES是一種安全性較高的對稱加密算法，加密與解密共享同一個密鑰，與RSA算法一樣，主要用于解決被傳遞信息的機密性問題。RSA算法是唯一被廣泛接受并實現的通用公共密鑰加密方法，幾乎成為公開密鑰密碼學的同義詞。它理論成熟，實現及使用廣泛，安全性高，具有很好的穩定性。

3.3 文件安全屬性聲明及分級保護流程

在發送方，通過計算文件的HASH值和文件名，形成文件的安全信息摘要（文件的唯一性指紋）。將文件密級、所有者信息及權限、使用權限信息、文件安全信息摘要、隨機生成的AES加密密鑰以及文件的其他信息形成文件安全信息頭。然后，使用接收者及發送者的公鑰對該文件信息頭進行RSA加密；使用隨機生成的AES加密密鑰對文件正文進行加密。最后，將兩部份密文合成一個新的文件（即做到了文件的密級要素與正文不可分離）上傳到服務器，由服務器對該加密文件進行轉發。

在接收方，接收者利用私鑰對文件安全信息頭進行解密，得到文件安全信息頭的明文，包括文件密級、所有者信息及權限、使用權限信息、文件安全信息摘要、隨機生成的AES加密密鑰等。依照3.1章節所述，經文件使用權限集和訪問控制集的運算，決定用戶是否能進行文件操作以及操作的類型。若用戶具有文件操作的權限，則使用隨機密鑰對文件密鑰進行解密，獲取文件正文明文；反之亦反。特別地，在對文件進行操作前，需要對文件安全信息摘要進行校驗，以判斷文件的完整性是否被篡改。加密、解密的處理流程分別如圖3、圖4所示。

圖3 文件加密流程

3.4 非對稱加密管理

如上所述，本系統中信息的加密使用了RSA非對稱加密。系統中公私密鑰的生成與管理采用的是“分散生成加密，集中存儲管理”的方式。

公私密鑰的分散生成與加密。用戶初次登錄系統時，客戶端軟件根據用戶設定的口令為該用戶生成一個公私鑰對，并使用該口令對生成的私鑰進行AES加密，形成私鑰的密文。該口令只在客戶端內存中存在。在服務器端存放的是在客戶端利用SHA-1計算后的口令的哈希值。

圖4 文件解密使用流程

公私密鑰的集中存儲管理。客戶端生成公鑰和私鑰密文后，將其值上傳到服務器中進行統一存儲管理。由于用戶口令只有用戶本人知道，因此只有用戶本人才能解密私鑰并利用其進行信息的解密。用戶更換口令時，會在客戶端對私鑰重新進行加密，并在服務器中重新更新私鑰密文，如圖5、圖6所示。

圖5 公私鑰生成流程

圖6 基于RSA的加解密流程

4 結 語

現有企業即時通信系統在文件傳輸、消息傳遞過程中的分級保護、消息和文件的集中加密存儲管理以及系統管理等機制、功能和關鍵技術上存在不足。針對這些不足的研究成果應用于企業即時通信系統的設計和實現中，形成目前企業即時通信系統的信息安全分級保護機制。經過長時間運行，系統很好地滿足了員工間交流協作，也符合信息系統分級安全保密的要求，通過了國家安全保密有關部門的檢查。

然而，消息、文件信息的加密存儲也為消息、文件信息的檢索帶來了困難。它增加了計算資源的消耗；集中式的、頻繁的文件和消息發送給服務器的造成了較大壓力；非對稱密鑰的生成和管理方式在安全性、合理性上仍需要我們進一步研究。

[1] 袁楚.IM聊天進化譜[J].互聯網天地,2007(09):44-45. YUAN Chu.Chat Evolutionary Spectrum of IM[J].Internet World,2007(09):44-45.

[2] 閆冬.IM將成為企業協作界面核心[J].每周電腦報,2008,12(01):22. YAN Dong.IM Will Be The Core Interface of Enterprise Cooperation[J].EWeek,2008,12(01):22.

[3] 深度開源網.IM服務器架構實現/QQ服務器架構剖 析[EB/OL].(2012-08-27)[2016-05-17].http://www. open-open.com/lib/view/open1346029530848.html. Open-open Network.Achievement of Server Architecture of IM and Analysis of Server Architecture of QQ[EB/OL]. (2012-08-27)[2016-05-17].http://www.open-open.com/ lib/view/open1346029530848.html.

[4] 博 客.IM服 務 器 架 構 實 現[EB/OL].(2010-07-17)[2016-05-17].http://www.cnblogs.com/stable/ archive/2010/07/17/1779467.html. Blog.Implement of Server Architecture of IM [EB/OL]. (2010-07-17)[2016-05-17].http://www.cnblogs.com/ stable/archive/2010/07/17/1779467.html.

[5] 劉燕杰,陳大偉.MSN Messenger安全性研究[J].計算機與信息技術,2009(12):44-46. LIU Yan-Jie,CHEN Da-Wei.Security Research of MSN Messenger[J].Computer and Information Technology,2009(12):44-46.

[6] 劉旭國,駱華杰,王萬成.即時通信工具的協議分析與互通研究[J].網絡安全技術與應用,2009(02):53-55. LIU Xu-Guo, LUO Hua-Jie,WANG Wan-Cheng. Analysis and Interworking of Instant Messaging Protocol [J].Network Security Technology and Application,2009(02):53-55.

[7] 王笑言,朱曉暉.涉密應用開發的要點和難點[J].保密科學技術,2010(10):54-57. WANG Xiao-Yan,ZHU Xiao-Hui.Key Points and Difficulties of Secret Application Development [J]. Confidential Science and Technology,2010(10):54-57.

[8] R. L. Rivest,A. Shamir,L. Adleman.A Method for Obtaining Digital Signatures and Public-Key Crytosystems[J]. Commun. ACM,1978,1(02):120-126.

唐 偉（1980—），男，碩士，工程師，主要研究方向為涉密信息系統的設計、實現與運維；

劉國山（1980—），男，學士，助理工程師，主要研究方向為涉密信息系統的設計、實現與運維；

王亞翔（1976—），男，學士，高級工程師，主要研究方向為信息安全。

The Design and Implement Of An Enterprise Instant Messaging System based
on Classification Protection

TANG Wei1, LIU Guo–shan1, WANG Ya-xiang2
（1. NO.30 Institute Of CETC,Chengdu Sichuan 610041,China; 2. China Weapon Industry Information Center, Beijing 100089, China）

Presently, there is difficult to supervise the ways of using enterprise instant messaging system (EIMS) for supervisors of one enterprise.In view of the problems existing in enterprise instant communication system, in terms of document classification protection, file and message encryption transmission and centralized storage, three members of the management study, the design and implementation of the a new security enterprise instant messaging system and research results into the enterprise instant messaging system design and implementation.After a long period running, the new EIMS makes outstanding performances at information protection, security of information and information supervision. Especially, the new EIMS has passed tests and examinations of the security departments of nation many times.

Instant Messaging;Information Classified Protection;Information Security;Encrypted storage;Decentralized management

TP311.52

：A

：1002-0802(2016)-06-0769-05

10.3969/j.issn.1002-0802.2016.06.022

2016-02-14;

：2016-05-09 Received date:2016-02-14;Revised date:2016-05-09