企业即时通信系统的安全问题研究

企业即时通信系统的安全问题研究

1eim稳定性安全问题实时通信系统（im）是基于internet的网络应用系统，提供各种实时通信的文本、声音、视频和视频。这是继电话和电子邮件之后迅速普及的下一代通信工具。企业即时通信系统(EnterpriseInstantMessenger,EIM)是即时通信技术在企业中的一种应用。这种应用与电话和电子邮件等应用相比,具有使企业员工沟通更简单,业务协同性更容易,工作效率更高,企业运行成本更低的优点。随着企业即时通信系统的广泛应用,也给企业带来了很多安全隐患。EIM系统安全面临以下几个主要问题:(1)、计算机病毒传播的新途径。许多即时通信软件可以将文件通过点对点隧道直接传送,不经过中继服务器,绕过网络周边安全防御设备,因此依赖于IM技术的新型网络病毒大量滋生。EIM系统和其他IM系统一样成为各种病毒如蠕虫,特洛伊木码等传播的新途径。(2)、用户账号和密码的盗用。目前的EIM软件一般采用帐号和密码验证用户身份,用户身份验证成功后即可获取相应服务。攻击者很容易通过暴力破解、木马欺骗等破解方法窃取密码,登录后冒充合法用户和其他用户进行通信,查阅企业服务器的信息,进而窃取企业的重要信息。(3)、信息、文件交换的未加密。目前的EIM软件在交换信息或传输文件时仅仅采用了弱加密甚至明文的方式,非授权的第三方可以利用此缺陷监听、篡改或者窃取企业的重要数据,给企业造成重大损失。(4)、文件流转未提供完整性和不可抵赖性验证。使用EIM系统能够使企业文件在员工之间流转更加容易和快捷,而要使EIM系统能够真正实现企业公文流转,数据真实性、完整性和不可否认性这一点必须得到保证。目前很多EIM软件并不提供这项功能。因此,目前迫切需要一种安全高效的机制来解决EIM系统面临的安全问题。对于以上第一个安全问题,我们可以利用现有的病毒查杀软件加以解决,而第(2)~(4)问题,本文采用基于PKI的解决方案。公开密钥基础设施(PKI)是在公开密钥理论和技术的基础上发展起来的一种综合性安全平台,能透明地为网络应用提供加密和数字签名等密码服务所必须的密钥和证书管理,从而保证网上传递信息的机密、真实、完整性和不可抵赖性。利用PKI可以方便的建立和维护一个可信的网络环境,为企业即时通信系统提供可靠的安全保障。2pki平台建设利用PKI平台为企业即时通信系统提供可靠的安全保障,首先要建立一个完整的PKI平台。本文设计在企业即时通信系统结构之上架构PKI平台。2.1服务器管理型结构企业即时通信系统一般采用混合式P2P结构,该结构是纯分布式模式和集中式P2P模式的结合。在该结构中服务器扮演了搜索和辅助建立连接的角色而并不直接提供服务,整个P2P网络由服务器进行管理。这种结构的系统与纯分布式和集中式P2P模式相比,兼顾了自由性和安全性,更加易于管理。在混合式P2P结构模型下,EIM用户之间的通信方式如图1所示。2.2pki服务器完整的PKI系统包括认证中心CA、注册中心RA、数字证书库、证书撤消系统和证书应用管理系统五大部分,其体系结构是庞大复杂的。为了便于使用和管理,本文设计了一个简化的PKI企业即时通信系统安全架构(如图2所示),系统主要有PKI服务器、EIM服务器和EIM客户三个组成部分,PKI功能由PKI服务器集中完成。PKI服务器由CA、RA、LDAP数据库和控制模块四个部分组成,各组成部分的功能如下:(1)认证中心CA:负责发布自身证书,产生和发布EIM用户(包括客户和服务器)证书;接收和认证它所签发的证书;接受证书撤消申请,发布证书废除列表(CRL)。(2)注册中心RA:负责接受EIM用户的认证请求。通过对证书申请者的信用度、申请证书的目的、身份的真实可靠性等问题进行审查,验证和鉴别用户身份,但不实际签发证书。RA一旦确认用户身份就将其转交给CA。(3)LDAP数据库:用于存放EIM用户证书和证书撤消列表(CRL)并提供相应的查询服务。(4)控制模块:负责EIM用户和RA、CA、LDAP数据库的连接并管理整个PKI服务器。3基于pgi的企业通信信息系统解决方案企业即时通信系统的PKI架构可以方便地解决EIM系统中数字证书的发放,身份认证,数据的机密性、真实性、完整性和不可抵赖性等问题。3.1ki服务器对eim用户的身份认证EIM用户(包括客户和服务器)在与EIM系统的其他用户进行安全交互之前,首先要生成数字证书,其向PKI服务器申请证书的主要步骤如下:(1)EIM用户向PKI服务器发出证书申请请求,并提供用户个人身份信息。(2)PKI服务器对EIM用户身份进行验证和鉴别,若确认其身份真实,则向用户发送同意申请的应答,并将自己所采用的公开密码算法(本方案中采用ECC)及算法相关参数(曲线定义域、参数的长度、具体的参数)一起发送。(3)EIM用户随机生成自己的公私钥对,将自己的私钥秘密保存,将公钥和个人身份信息一起发送给PKI服务器。(4)PKI服务器为用户生成数字证书,将证书加入到LDAP数据库中,并将证书发给EIM用户。3.2eim服务的使用EIM用户在登录系统时需要通过身份验证来证实真实身份,通过后才能使用EIM提供的各种服务。身份认证的方法是验证方要求被验证的EIM用户提供数字证书,在得到其证书后,验证方用PKI服务器的公钥对证书的合法性进行验证。3.3公钥密码加密保证EIM消息传输的安全性,通过对消息进行加密实现。若直接采用公钥密码来进行加密,其速度和效率是很低的,而采用对称密码进行加密的效率相对较高。本方案采用的方法是采用IDEA对称加密算法加密所要传输的消息,用高效的ECC公钥加密算法交换对称密钥。3.4文件加密生成EIM用户之间实现文件流转的要求是具备机密性、真实性、完整性和不可否认性。本方案保证文件流转机密性的方法是采用与消息加密相同的方法对文件进行加密,而保证文件的真实性、完整性和不可否认性则是采用基于ECC的数字签名来实现。文件安全流转过程如图3所示,其具体步骤如下:(1)发送方A采用SHA-1算法产生文件数字摘要,并用自己的私钥对数字摘要进行加密生成自己的对文件数字签名。(2)发送方A获取并验证接收方B的数字证书,确认接收方B的合法身份;(3)发送方A随机产生IDEA对称密钥并用其对要文件进行加密,从B的数字证书提取公钥对IDEA对称密钥进行加密;(4)发送方A将文件密文、对称密钥密文和对文件的数字签名一起发送给接收方B。(5)接收方B用自己的私钥解密IDEA对称密钥密文得到对称密钥,并用对称密钥解密文件密文得到接收文件;(6)接收方B采用SHA-1算法重新产生接收文件数字摘要(新数字摘要),用发送方A的公钥解密原文件的数字签名得到原文件数字摘要,比较文件新数字摘要和原数字摘要,若一致,说明文件发送者确实是A,并且在传输过程中没有被破坏或篡改,否则丢弃该文档。4基于pki的企业即时通信安全性架构随着EIM系统的广泛应用,EIM系统安全倍受关注。本文提出了一种基于PKI的企业即时通信系统安全架构,主要解决了EIM系统的用户身份认证、数据加密和数字签名等安全性问题。但EIM系统安全是多方面的,为了增强安全性,其他网络安全工具如反病毒软件,防火墙,入侵检测系统,访问控制系统等也同样需要。创新点:通过对企业即时通信系统安全性分析,提出了一种基于PKI的企业