企业即时通信系统的安全问题研究.docxVIP

企业即时通信系统的安全问题研究 1 eim稳定性安全问题 实时通信系统（im）是基于internet的网络应用系统，提供各种实时通信的文本、声音、视频和视频。这是继电话和电子邮件之后迅速普及的下一代通信工具。企业即时通信系统(Enterprise Instant Messenger,EIM)是即时通信技术在企业中的一种应用。这种应用与电话和电子邮件等应用相比,具有使企业员工沟通更简单,业务协同性更容易,工作效率更高,企业运行成本更低的优点。 随着企业即时通信系统的广泛应用,也给企业带来了很多安全隐患。EIM系统安全面临以下几个主要问题: (1)、计算机病毒传播的新途径。许多即时通信软件可以将文件通过点对点隧道直接传送,不经过中继服务器,绕过网络周边安全防御设备,因此依赖于IM技术的新型网络病毒大量滋生。EIM系统和其他IM系统一样成为各种病毒如蠕虫,特洛伊木码等传播的新途径。 (2)、用户账号和密码的盗用。目前的EIM软件一般采用帐号和密码验证用户身份,用户身份验证成功后即可获取相应服务。攻击者很容易通过暴力破解、木马欺骗等破解方法窃取密码,登录后冒充合法用户和其他用户进行通信,查阅企业服务器的信息,进而窃取企业的重要信息。 (3)、信息、文件交换的未加密。目前的EIM软件在交换信息或传输文件时仅仅采用了弱加密甚至明文的方式,非授权的第三方可以利用此缺陷监听、篡改或者窃取企业的重要数据,给企业造成重大损失。 (4)、文件流转未提供完整性和不可抵赖性验证。使用EIM系统能够使企业文件在员工之间流转更加容易和快捷,而要使EIM系统能够真正实现企业公文流转,数据真实性、完整性和不可否认性这一点必须得到保证。目前很多EIM软件并不提供这项功能。 因此,目前迫切需要一种安全高效的机制来解决EIM系统面临的安全问题。对于以上第一个安全问题,我们可以利用现有的病毒查杀软件加以解决,而第(2)~(4)问题,本文采用基于PKI的解决方案。公开密钥基础设施(PKI)是在公开密钥理论和技术的基础上发展起来的一种综合性安全平台,能透明地为网络应用提供加密和数字签名等密码服务所必须的密钥和证书管理,从而保证网上传递信息的机密、真实、完整性和不可抵赖性。利用PKI可以方便的建立和维护一个可信的网络环境,为企业即时通信系统提供可靠的安全保障。 2 pki平台建设 利用PKI平台为企业即时通信系统提供可靠的安全保障,首先要建立一个完整的PKI平台。本文设计在企业即时通信系统结构之上架构PKI平台。 2.1 服务器管理型结构 企业即时通信系统一般采用混合式P2P结构,该结构是纯分布式模式和集中式P2P模式的结合。在该结构中服务器扮演了搜索和辅助建立连接的角色而并不直接提供服务,整个P2P网络由服务器进行管理。这种结构的系统与纯分布式和集中式P2P模式相比,兼顾了自由性和安全性,更加易于管理。在混合式P2P结构模型下,EIM用户之间的通信方式如图1所示。 2.2 pki服务器 完整的PKI系统包括认证中心CA、注册中心RA、数字证书库、证书撤消系统和证书应用管理系统五大部分,其体系结构是庞大复杂的。为了便于使用和管理,本文设计了一个简化的PKI企业即时通信系统安全架构(如图2所示),系统主要有PKI服务器、EIM服务器和EIM客户三个组成部分,PKI功能由PKI服务器集中完成。PKI服务器由CA、RA、LDAP数据库和控制模块四个部分组成,各组成部分的功能如下: (1)认证中心CA:负责发布自身证书,产生和发布EIM用户(包括客户和服务器)证书;接收和认证它所签发的证书;接受证书撤消申请,发布证书废除列表(CRL)。 (2)注册中心RA:负责接受EIM用户的认证请求。通过对证书申请者的信用度、申请证书的目的、身份的真实可靠性等问题进行审查,验证和鉴别用户身份,但不实际签发证书。RA一旦确认用户身份就将其转交给CA。 (3)LDAP数据库:用于存放EIM用户证书和证书撤消列表(CRL)并提供相应的查询服务。 (4)控制模块:负责EIM用户和RA、CA、LDAP数据库的连接并管理整个PKI服务器。 3 基于pgi的企业通信信息系统解决方案 企业即时通信系统的PKI架构可以方便地解决EIM系统中数字证书的发放,身份认证,数据的机密性、真实性、完整性和不可抵赖性等问题。 3.1 ki服务器对eim用户的身份认证 EIM用户(包括客户和服务器)在与EIM系统的其他用户进行安全交互之前,首先要生成数字证书,其向PKI服务器申请证书的主要步骤如下: (1)EIM用户向PKI服务器发出证书申请请求,并提供用户个人身份信息。 (2)PKI服务器对EIM用户身份进行验证和鉴别,若确认其身份真实,则向用户发送同意申请的应答,并将自己所采用的公开密码算法(本方案中采用ECC)及算法相