1 引言
随着企业改革的深入,分层递阶式的管理结构正在向扁平化方向发展,统一信息管理平台的建成,为有使用价值的信息从更高层次发挥效 益提供了可能性,但要把可能取得的效益变成现实的效益,还有许多工作要做。高层管理决策是企业群体行为,是各方利益平衡的结果,因此决策行为是众多部门协同完成的,在协同办公过程中如何保证数据的安全可靠是必须考虑的。近年来,协同软件技术促进了互联网及相关技术的发展,基于浏览器/服务器(b/s)结构 的软件系统、即时通讯(im)、p2p通信成了协同软件系统应用的主流。新的协同软件供应商,例如eroom(被documentum收购)、 groove网络(被微软收购)、webex和placeware(该企业也被微软收购)已成为基于互联网相关技术的协同软件厂商的代表。
协同软 件可靠性和安全性一直是人们研究的关键课题,国际上众多软件公司投入了大量的人力、物力和财力进行研究。在传统办公自动化中,没有对安全性给予足够的重视,部分机构或企业领导在进行oa建设的时候甚至将安全问题列入到改造的计划之中。随着企业发展及市场竞争的加剧,迫使更多的企业越来越关注在协同办公过程中的安全问题。协同软件在国内、外市场规模相当大,但国内应用中基于p2p技术的协同软件安全性不够完善,导致产品差异的关键在于安全算法不同。目前我国协同软件相关厂商超过500家,但相对成熟稳定的协同软件产品不多,不利于促进整个市场的发展。针对目前国内部分协同软件安全性不够完善,缺乏支持安全性方面的规范分析和指导安全软件设计的技术,文中对groove协同软件的安全算法进行了剖析与深入研究。
2 p2p技术与协同软件
2.1 p2p技术
p2pwg(peer-to-peer工作组)将p2p技术定义为“通过系统间的 直接交换达成计算机资源与信息的共享”,这些资源与服务包括信息交换、处理器时钟、缓存和磁盘空间等。协同软件(collaboration software)是指那些以团队协作为目标的沟通协作软件工具,主要有三种类型:协同工具软件、协同平台软件、协同应用软件。“协同商务之父”jim hepplemann在1996年提出:以人为本的协同工作将成为今后衡量企业是否真正具有竞争力的核心。目前,p2p技术应用在数据共享及搜索上,主要解决协同工作、对等计算、搜索引擎和文件交换等方面的问题。
2.2 协同软件存在的安全问题
要保证协同软件的信息安全必须使用加密技 术。对于数据的保护,无论政府部门还是其它机构都应引起高度重视,各部门在使用身份验证时应对机密的数据进行加密,在数据交换时也需确定用户身份。各部门应建立严密划分的防火墙私有网络,阻止外部用户从防火墙内访问数据。但是,由于防火墙保护过于严密,会造成“信息孤岛”,使合法用户的数据共享变得复杂。 随着各部门的相互联系和相互依赖的加强,信息交流需要超越部门间的防火墙。严密的数据保护,成了各用户间协同工作的障碍,工作效率降低。因此,如何满足对特殊数据的保密性,同时又保证数据共享是值得认真研究的课题。以下就groove协同软件如何解决安全策略并保证数据共享问题作些探讨。
3 协同工作中数据的安全性问题
groove协同软件是基于p2p技术的协同软件工具,应用该协同软件可以建立一个安全的企业级协同工作平台,提供各方面的互动信息沟通,如货品目录、库存及发货清单,帮助使用者进行经销渠道维护、客户服务和支持,实现网上实时信息共享,数据收发等。
3.1 协同工作的安全特性
groove协同软件在保证数据安全的同时又保证用户穿过防火墙访问数据,从而达到协同工作的目的。
(1) 通过建立一个vpn(虚拟个人网络),用户被授权通过防火墙,安全地与其他部门协同工作。
(2) 对用户透明的安全特性,有效的安全技术可以保证对终端用户的安全透明性。
(3) 加密硬盘和网络上的所有文件。groove使用192位的加密技术可自动加密所有用户的帐号、共享空间和用户的本地文件。此外,在共享空间的所有文件在通过网络发送时也已加密。
(4) 用户驱动共享空间存取控制。groove将用户移到单独的存取控制列表,即初始设置的大部分存取控制列表是静态的,由groove的共享空间管理器决定其 成员访问许可级别,以实现基于角色的存取控制,如图1所示:
图1 基于角色的存取控制
3.2 groove安全算法剖析
(1) 私用密钥加密技术
信息采用发送方和接收方保 存的私有密钥进行加密,这种系统假定双方已经通过一些人工方法交换了密钥,采用的密钥交换方式并不危及安全性。私用密钥加密比公共密钥加密更快,在技术上它是以aes和des之类的标准加密算法为基础的。
(2) 公共密钥加密技术
使用不同的加密密钥和解密密钥,钥匙对中加密密钥是公开的, 解密密钥是保密的。发送的消息用公钥加密,收到后用私钥将信息解密。公钥技术标记数据的附加能力很强,因此,标记者使用私钥来产生数据加密块,即用户的签名,任何接收者能通过使用标记者的公钥来核实这个签名。加密签名不能伪造,签名支持保证了数据和消息的来源鉴定。
(3) 散列法
数据散列 法对初始数据进行缩写,其缩写形式是唯一的,是数据的可靠散列。散列法是一种单向的函数,意味着原始数据不能从散列形式导出,改变输入数据的任意部分,甚至一个二进制位,都将产生一种辐射状的不同输出。加密散列函数没有冲突,即不同数据集合不会产生相同的散列。groove内部大量使用安全散列算法 (sha-1),包括口令管理(口令被散列为密钥)、完整性保护(与数据一起被安全存储为一个数据散列)、产生签名(在应用开销大的公钥算法之前通过散列 数据来进行标记)。
(4) 信息鉴定码(mac)
为了保证数据完整性,当要保护本地存储的数据或当发送者和接收者共享同一密钥时,mac 将取代数字签名,钥匙的持有者可建立和校验mac。groove使用标准的键控散列信息鉴定码算法。
4 安全保证
groove协同软件中,用户有权建立和加入共享空间,该共享空间包含数据和工具。用户可以存取若干空间,每个空间允许有不 同的用户;可以有多个身份,管理者或参与者;共享空间是动态的,用户可以随时加入或退出;数据可以增加和删除;共享空间的生存期可长可短。在复杂的动态环 境中,随着关系的改变,该协同软件在多个pc间保持着从用户到数据的协同。groove在数据传输时,既保证工作的协同性又保证数据的机密性和完整性。它提供了鉴定、身份绑定、数据保密和数据完整性的功能。
4.1 鉴定
groove的安全模型主要基于groove的鉴定机制,把特定的行 为和一个用户的身份绑定在一起,在系统里鉴定用户。这意味着将电子身份和用户联系起来,完成这步后,再将电子身份与行为(如一个文件、一个聊天信息、一次 按键的修改)联系起来,其示意图如2所示。
图2 groove的钥匙层次示意图
4.2 用户和用户的电子身份绑定
用户第一次配置该软件时,已建立起与计算机身份的 联系。配置的第一步是建立一个帐户(一个加密的xml对象存储),定义该用户属性。在xml表格中列出帐户属性,账户可以包含多个身份,每个身份的参数包括关键字集和相关信息。
account
{identities}
identity_1
{sPACes}
private sigNIng key (for identity 1)
private encryption key (for identity 1)
storage master key
contact information (for identity 1)
id-url
public key algorithms
public signing key
public encryption key
devices
relay server
identity_2
{known contacts}
配置过程要求用户建立一个口令。管理服务器鉴定口令的合法性和生存周期,该阶段控制是通过输入一个基于解密导出功能密码—“pbkdf2” (rfc2898)以及产生一个帐户加密关键字以保护用户口令,主关键字用以为个人共享空间解密,帐户加密关键字不保存,每一次为用户交谈产生一个新关键字。groove防御系统通过“pbkdf2”输入生成一个随机值用以防御对用户登录阶段的攻击,只要密码改变,这个随机值就跟着改变。该功能的附加作用是建立一个1/10秒的延迟,因为延时极短,因此在注册时系统不易被攻击。
由于每个用户建立一个电子身份,其他用户要验证其电子身份的真实性,可 防止捏造这类攻击,这是鉴定的关键。该协同软件给出了几种方法以便用户鉴定共享空间中其他用户的电子身份。
方法一,对于受管用户,该协同软件支持 人工鉴定,用户可检查其他用户的数字指纹。数字指纹是动态生成的十六进制字符串,该字符串使用美国联邦信息处理标准(fips)核准的安全散列算法 (sha-1)来散列产生用户的公钥,数字指纹比公钥更易接受,而且安全。基于指纹的鉴定机制包括用非常规方法与某人联系,比如通过电话确定指纹值的正确性。
方法二,在管理环境中,该协同软件支持自动鉴定。该自动鉴定依赖于企业管理服务器的单机公钥基础设施(public key infrastructure,pki)的特性,该协同软件呈现给用户的是被groove企业管理服务器鉴定的电子<
