多级安全即时消息教学实验系统的设计.docVIP

多级安全即时消息教学实验系统的设计 　　摘要：本文基于可信计算平台，设计了一种多级安全即时消息实验系统，该系统采用多级安全模型，提出并实现适合即时消息系统的新安全策略，对于不同保密级别的即时消息，提供多级安全保障技术。不同于一般的操作性实验系统，本系统结合操作性与编程性实验于一体。 　　关键词：可信计算 多级安全 即时消息 　　中图分类号：G64 文献标识码：A 文章编号：1007-9416(2011)10-0219-02 　　 　　1、引言 　　在主流即时通信（Instant Messaging，IM）产品中，进行文件传输、音频/视频传输时主要采取P2P的通信方式，而即时消息主要还是通过IM服务器进行转发。对于当前的IM网络来说，一个很大的安全隐患在于它们开放的和不安全的通信连接。缺乏认证、机密性和完整性保护，这使得攻击者可以进行会话劫持和假扮等攻击，给用户发送虚假的消息甚至耗尽客户端或服务器的资源而使它们崩溃[1]。本实验系统，是在可信计算技术的基础上，寻求一种能够实现多级安全即时消息系统的新方案，对于不同保密级别的即时消息，提供多级安全保障技术，有利于学生对于可信计算、安全模型和安全策略的学习与应用，也可以进一步开发作为实际应用系统，无论从理论上还是从实践上都具有很强的研究意义。 　　2、多级安全即时消息系统的设计 　　2.1 系统基本架构 　　本IM系统采用点对点工作模式，信息交换不经过服务器而在客户端之间直接进行。假设客户端1要发送消息给客户端2，工作过程如下：①客户端1向服务器询问客户端2的地址；②服务器检查数据库，返回客户端2的地址作为应答；③客户端1根据得到的地址，通过多级安全模块，在可信计算平台上使用本文提出的安全策略来保护不同保密级别的消息，然后将加密后的消息发送给客户端2。系统主要模块的关系框图如图1所示。 　　2.2 系统流程图 　　本教学系统的实验流程图如图2所示。下面详细介绍下实验流程中的几个主要步骤： 　　(1)首先是用户登录，用户在登录界面中选择初始角色。本系统提供administrator, super, teacher和student这四种角色供用户选择，每种登录角色间对应于不同的通信安全策略。 　　(2)用户登录成功后，显示用户主界面。在此界面上，用户可以查询目前登录所选择的角色、所处于的安全等级，并且可以开始进行即时消息的通信。 　　(3)选择一对一通信后，用户选择要进行即时消息通信的对方用户开始通信，教学系统会根据本机登录角色与对方登录角色读取初始安全通信策略开始通信。用户在通信结束后，系统会提示用户对通信进行评价，根据评价打分结果来动态调整通信策略，使当前的通信策略符合用户的安全需求。 　　(4)选择广播通信后，用户可以选择多个通信目标同时进行即时消息的通信，与一对一通信的不同之处在于系统根据发送方的角色来决定初始安全通信策略。 　　(5)进入编程模块，本系统提供所有功能让学生进行操作，包括即时消息通信功能、角色选择功能、安全等级、安全策略、通信等级以及通信评价等功能，但是不提供关键部分源代码，这部分代码要求学生自己编程完成，通过编译之后再次进入用户界面，学生可以完成设定安全策略、改变通信等级的设定方式等功能。 　　2.3 核心技术的实现 　　可信计算平台将加密、解密、认证等基本的安全功能写入硬件芯片，并确保芯片中的信息不能在外部通过软件随意获取。在这种情况下除非将硬件芯片从系统中移除，否则理论上是无法突破这层防护的。以下的核心技术都是在可信计算平台基础上完成的。 　　2.3.1 多级安全模型的选择 　　BLP 模型（无上读无下写）只保障信息的保密性，Biba模型（无下读无上写）只保障数据的完整性[2]，都具有一定的局限性。而RBAC模型的基本思想是将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权，这样便可以比较灵活地分配给角色一定的访问权限。因此，本系统主要借助RBAC模型[3]来搭建多级安全实验平台。 　　2.3.2 安全策略的提出 　　(1)一对一即时消息系统的安全策略。点对点即时消息系统的安全策略图如图3所示，U1、U2、…、UN代表登录的用户，R1、R2、…、RM代表登录用户所分别对应的角色，P1、P2、…、PL代表各角色之间所必须满足的权限规则和约束条件。由于同一用户可以有不同角色，不同用户也可以有同一角色，所以用户数N和角色数M不一定相等。点对点即时消息系统的安全策略就是对于两个角色之间的权限规则和约束条件做初始的规定，用户使用其选择的角色登录之后按照初始规定的安全策略进行通信。 　　(2)广播（Broadcast）即时消息系统的安全策略。与一对一即时消息系统的安全策略不同之处在于，广播即时消