章功干

（淮南師范學(xué)院 計(jì)算機(jī)學(xué)院，安徽 淮南 232038）

1 引言

近年來(lái)，隨著網(wǎng)絡(luò)環(huán)境的完善、硬件設(shè)備的性能提升及以“云”架構(gòu)的軟件系統(tǒng)的發(fā)展，敏感信息的遠(yuǎn)端化管理和防護(hù)正成為一種趨勢(shì)， 核心數(shù)據(jù)、敏感數(shù)據(jù)均存儲(chǔ)在云端，結(jié)合身份驗(yàn)證、訪問(wèn)控制等手段，有效的提高了敏感信息的數(shù)據(jù)安全性。 然而，對(duì)于圖書(shū)館、會(huì)場(chǎng)展廳、銀行、機(jī)場(chǎng)等一些特殊應(yīng)用場(chǎng)景中，仍需要多臺(tái)客戶機(jī)滿足用戶的訪問(wèn)需求， 尤其對(duì)于一些采用C/S 架構(gòu)的分布式業(yè)務(wù)系統(tǒng)，要求在客戶機(jī)上安裝客戶端軟件，這些軟件的配置文件、注冊(cè)文件等都可能涉及敏感信息，而應(yīng)用程序本身也可以看作是一種重要的業(yè)務(wù)系統(tǒng)資源，因此這些存儲(chǔ)在客戶機(jī)上的暴露在開(kāi)放環(huán)境下的信息也需要進(jìn)行安全防護(hù)。

2 研究背景及現(xiàn)狀

敏感信息的安全性直接關(guān)系著上至國(guó)家利益，下到個(gè)人隱私的安全。 尤其在近些年，學(xué)術(shù)界和業(yè)界針對(duì)大數(shù)據(jù)敏感信息保護(hù)關(guān)鍵技術(shù)展開(kāi)了廣泛研究，不斷在方法和算法方面進(jìn)行優(yōu)化改進(jìn)，力求達(dá)到數(shù)據(jù)保密性和可用性之間更好的平衡。依據(jù)技術(shù)方法原理和適用場(chǎng)景的差異，敏感信息保護(hù)技術(shù)主要可以分為3 類(lèi)［1］：數(shù)據(jù)失真技術(shù)，使敏感數(shù)據(jù)失真但同時(shí)保持某些數(shù)據(jù)或數(shù)據(jù)屬性不變的方法，包括隨機(jī)化、凝聚、阻塞等技術(shù)；數(shù)據(jù)加密技術(shù)，將一個(gè)信息（或稱(chēng)明文）經(jīng)過(guò)加密鑰匙及加密函數(shù)轉(zhuǎn)換，變成無(wú)意義的密文，而接收方則將此密文經(jīng)過(guò)解密函數(shù)、解密鑰匙還原成明文；匿名化限制發(fā)布技術(shù)，限制發(fā)布即有選擇地發(fā)布、不發(fā)布，或者發(fā)布精度較低的敏感數(shù)據(jù)， 以實(shí)現(xiàn)對(duì)敏感信息的保護(hù)。有兩類(lèi)不同級(jí)別的數(shù)據(jù)匿名化處理， 一是抑制，即不發(fā)布某個(gè)敏感數(shù)據(jù)項(xiàng)；二是泛化，即對(duì)敏感數(shù)據(jù)進(jìn)行更概括、抽象的描述。

上述這些技術(shù)主要是通過(guò)對(duì)敏感信息內(nèi)容、屬性進(jìn)行加密、失真等處理，使敏感信息不可讀，從而實(shí)現(xiàn)數(shù)據(jù)的保護(hù)。 類(lèi)似的研究有，文獻(xiàn)［2］基于屬性基加密機(jī)制設(shè)計(jì)和實(shí)現(xiàn)了一個(gè)適用于發(fā)布/訂閱系統(tǒng)的密文訪問(wèn)控制解決方案。 文獻(xiàn)［2］針對(duì)大數(shù)據(jù)集采用屬性基加密方法提出一種隱私和匿名處理方案。文獻(xiàn)［3］(P2117-2118)針對(duì)云存儲(chǔ)中敏感數(shù)據(jù)的機(jī)密性保護(hù)問(wèn)題，在基于屬性的加密基礎(chǔ)上提出了一種高效的密文訪問(wèn)控制方法。

另外，基于密碼學(xué)的訪問(wèn)控制也是一種有效的保護(hù)手段，Crampton 提出基于層次密鑰生成與分配策略實(shí)施訪問(wèn)控制的方法［4］。Malek 和Miri 在用戶密鑰或密文中嵌入訪問(wèn)控制樹(shù)的方法［5］(P5-7)。 文獻(xiàn)［6］(P305-312)提出一種融合訪問(wèn)控制機(jī)制實(shí)現(xiàn)對(duì)敏感信息的安全保護(hù)。 文獻(xiàn)［7-9］則是針對(duì)基于云環(huán)境下的敏感信息提出的保護(hù)手段進(jìn)行的研究。

本系統(tǒng)支持一對(duì)多的監(jiān)控方式，系統(tǒng)的一個(gè)服務(wù)器端可以在線實(shí)時(shí)監(jiān)控多個(gè)客戶端用戶的操作狀態(tài)，用戶在客戶機(jī)上的訪問(wèn)操作數(shù)據(jù)會(huì)實(shí)時(shí)傳遞到服務(wù)器端，服務(wù)器端能夠以數(shù)據(jù)可視化方式更新用戶的操作狀態(tài)，因此管理員能夠非常方便的對(duì)各客戶機(jī)上的敏感信息進(jìn)行在線實(shí)時(shí)監(jiān)控。 同時(shí)，通過(guò)日志審計(jì)能夠?qū)崿F(xiàn)事后的追溯，包括對(duì)用戶的敏感信息訪問(wèn)行為， 記錄下完整的數(shù)據(jù)訪問(wèn)操作信息，可以在事后對(duì)責(zé)任追究提供依據(jù)。因此，本系統(tǒng)的主要?jiǎng)?chuàng)新點(diǎn)有：1.系統(tǒng)采用C/S 架構(gòu)設(shè)計(jì)，能夠?qū)崿F(xiàn)一對(duì)多的在線實(shí)時(shí)監(jiān)控；2. 采用RC4 和AES相結(jié)合的數(shù)據(jù)加密方式，極大的提高了敏感信息的安全性；3.輕量靈活的文件操作監(jiān)控流程，保證系統(tǒng)的運(yùn)行效率；4.引入實(shí)時(shí)監(jiān)控與日志審計(jì)相結(jié)合為監(jiān)控機(jī)制，優(yōu)化監(jiān)控流程。

3 系統(tǒng)設(shè)計(jì)

系統(tǒng)采用C/S 架構(gòu)進(jìn)行設(shè)計(jì)， 支持單服務(wù)器端——多客戶端操作模式，服務(wù)器可以同時(shí)對(duì)多個(gè)客戶端進(jìn)行實(shí)時(shí)監(jiān)控。服務(wù)器端結(jié)構(gòu)分為業(yè)務(wù)邏輯層和數(shù)據(jù)傳輸層，業(yè)務(wù)邏輯層主要負(fù)責(zé)對(duì)在線用戶操作狀態(tài)監(jiān)控的可視化顯示、用戶操作信息的日志記錄以及對(duì)接收數(shù)據(jù)的處理； 數(shù)據(jù)傳輸層負(fù)責(zé)用戶身份的認(rèn)證、網(wǎng)絡(luò)連接管理以及數(shù)據(jù)傳輸管理；客戶端結(jié)構(gòu)同樣分為業(yè)務(wù)邏輯層和數(shù)據(jù)傳輸層，業(yè)務(wù)邏輯層主要負(fù)責(zé)對(duì)文件的加/解密管理、文件狀態(tài)的監(jiān)控管理，數(shù)據(jù)傳輸層功能與服務(wù)器端類(lèi)似，負(fù)責(zé)將監(jiān)控?cái)?shù)據(jù)傳輸至服務(wù)器端。 系統(tǒng)的功能結(jié)構(gòu)圖如圖1 所示：

圖1 系統(tǒng)總體架構(gòu)圖

下面將分別從客戶端和服務(wù)器端分別對(duì)系統(tǒng)功能模塊展開(kāi)介紹。

3.1 客戶端模塊設(shè)計(jì)

系統(tǒng)的客戶端用戶分為管理員和普通用戶兩類(lèi)。 其中，管理員主要負(fù)責(zé)對(duì)客戶端所在環(huán)境的敏感信息進(jìn)行管理， 通過(guò)增/刪包含敏感信息的文件來(lái)配置敏感信息監(jiān)控管理表，具體操作流程如圖2所示。

包含敏感信息的文件在客戶機(jī)是以加密的形式保存的，用戶在登錄系統(tǒng)前無(wú)法進(jìn)行訪問(wèn)。 用戶在成功通過(guò)身份驗(yàn)證后，系統(tǒng)會(huì)自動(dòng)對(duì)加密的文件進(jìn)行解密，并對(duì)解密后的文件設(shè)置監(jiān)控器，用戶可以正常訪問(wèn)這些敏感文件，但其一些違規(guī)操作，例如，重命名、修改內(nèi)容、刪除等敏感操作會(huì)以信息的形式實(shí)時(shí)反饋到服務(wù)器端以提示管理員， 并做日志記錄。用戶在退出系統(tǒng)時(shí)，系統(tǒng)會(huì)再次根據(jù)配置文件對(duì)敏感信息文件進(jìn)行加密操作， 從而保證其安全性。

圖2 管理員操作流程圖

3.2 服務(wù)器端模塊設(shè)計(jì)

服務(wù)器端主要負(fù)責(zé)客戶端的網(wǎng)絡(luò)接入管理、客戶端用戶操作監(jiān)控狀態(tài)可視化顯示、客戶端用戶操作信息日志記錄等功能。系統(tǒng)啟動(dòng)后首先要設(shè)定系統(tǒng)的通信端口，并點(diǎn)擊監(jiān)聽(tīng)按鈕后客戶端才能正常登錄。

服務(wù)器端具體包括的功能模塊有狀態(tài)顯示模塊、日志管理模塊、用戶身份認(rèn)證模塊及數(shù)據(jù)傳輸管理模塊。 其中，狀態(tài)顯示模塊主要負(fù)責(zé)對(duì)用戶的操作狀態(tài)信息進(jìn)行可視化的顯示，通過(guò)不同顏色來(lái)標(biāo)識(shí)用戶的對(duì)應(yīng)操作，從而實(shí)現(xiàn)對(duì)用戶操作的實(shí)時(shí)在線監(jiān)測(cè)； 日志管理模塊主要負(fù)責(zé)系統(tǒng)的日志管理， 日志記錄內(nèi)容包括用戶的訪問(wèn)及操作狀態(tài)信息，可以用來(lái)對(duì)用戶的操作行為進(jìn)行審計(jì)；用戶身份認(rèn)證模塊主要負(fù)責(zé)對(duì)用戶進(jìn)行身份驗(yàn)證；數(shù)據(jù)傳輸管理模塊主要負(fù)責(zé)通過(guò)封包、拆包、校驗(yàn)等操作保證數(shù)據(jù)傳輸?shù)耐暾院头€(wěn)定性， 具體功能包括：一是負(fù)責(zé)接收客戶端發(fā)送來(lái)的數(shù)據(jù)，并對(duì)其進(jìn)行數(shù)據(jù)的拆包、提取等處理，獲得控制信息和數(shù)據(jù)信息。二是接收業(yè)務(wù)處理模塊返回的數(shù)據(jù)結(jié)果并進(jìn)行封包處理，再發(fā)送至客戶端。

4 系統(tǒng)測(cè)試

4.1 測(cè)試環(huán)境

1.硬件配置：

服務(wù)器端：2GB 內(nèi)存，IntelCorei3 處理器；

客戶端：至少1G 內(nèi)存，IntelCore 系列。

2.操作系統(tǒng)：

服務(wù)器端：WindowsServer2008；

客戶端：Windows10、Windows7、WinsowsXP 等。

3.開(kāi)發(fā)環(huán)境：

VS2013Ultimate、Qt5.5.1-32 位、OpenSSL、Zlib。

4.數(shù)據(jù)庫(kù)：Access2007。

4.2 測(cè)試方案

本文將從系統(tǒng)監(jiān)測(cè)準(zhǔn)確性、系統(tǒng)并發(fā)性能以及用戶交互友好性三個(gè)方面對(duì)系統(tǒng)進(jìn)行綜合測(cè)試。下面將分別進(jìn)行方案介紹及結(jié)果展示。

4.2.1 系統(tǒng)監(jiān)測(cè)準(zhǔn)確性測(cè)試

系統(tǒng)測(cè)試方案：模擬5 個(gè)用戶（用戶1、用戶2、用戶3、用戶4，用戶5）在不同客戶機(jī)進(jìn)行操作，管理員預(yù)先在每臺(tái)客戶機(jī)上將敏感信息監(jiān)控管理表配置好， 各客戶機(jī)所監(jiān)控的敏感信息內(nèi)容相同，用戶則根據(jù)自己的意愿進(jìn)行操作，管理員在服務(wù)器端通過(guò)系統(tǒng)對(duì)用戶的操作狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控。一段時(shí)間后，管理員根據(jù)用戶操作狀態(tài)顯示及查詢(xún)?nèi)罩九c用戶進(jìn)行操作行為核對(duì)，得出系統(tǒng)的監(jiān)控準(zhǔn)確性。

表1 系統(tǒng)監(jiān)測(cè)和用戶反饋表

如表1 所示，根據(jù)系統(tǒng)監(jiān)測(cè)和用戶反饋結(jié)果可以看出，系統(tǒng)能夠準(zhǔn)確的實(shí)時(shí)監(jiān)測(cè)到各用戶的操作情況，因此系統(tǒng)具有較好的檢測(cè)準(zhǔn)確性。

4.2.2 系統(tǒng)并發(fā)壓力測(cè)試

系統(tǒng)測(cè)試方案：主要測(cè)試系統(tǒng)服務(wù)器端分別在1、2、3、4、5、8、10、15、25 個(gè)用戶操作情況下的監(jiān)測(cè)相應(yīng)速度。

圖3 系統(tǒng)壓力測(cè)試效果圖

如圖3 所示， 當(dāng)并發(fā)用戶人數(shù)小于5 人時(shí)，系統(tǒng)響應(yīng)時(shí)間變化不大， 系統(tǒng)響應(yīng)速度普遍較快；當(dāng)超過(guò)10 人時(shí)，系統(tǒng)響應(yīng)時(shí)間增長(zhǎng)較快，系統(tǒng)響應(yīng)速度相對(duì)較慢。因此，就目前情況而言，本文設(shè)計(jì)的敏感信息在線監(jiān)測(cè)系統(tǒng)能夠滿足一定的業(yè)務(wù)需求，但對(duì)于大量用戶并發(fā)操作的支持還有待進(jìn)一步優(yōu)化。

4.2.3 用戶交互友好性測(cè)試

系統(tǒng)用戶交互友好性測(cè)試內(nèi)容主要針對(duì)客戶端用戶操作部分。由于用戶僅需在客戶端登錄時(shí)進(jìn)行身份信息錄入操作，后續(xù)客戶端程序?qū)⒆詣?dòng)轉(zhuǎn)入后臺(tái)運(yùn)行，使用戶在無(wú)感知下進(jìn)行正常操作。因此，用戶交互友好性較好。

綜上所述，本文設(shè)計(jì)的開(kāi)放環(huán)境下敏感信息的在線監(jiān)測(cè)系統(tǒng)能夠在一定程度上滿足對(duì)敏感信息的數(shù)據(jù)保護(hù)需求，且經(jīng)過(guò)系統(tǒng)測(cè)試，系統(tǒng)在監(jiān)測(cè)準(zhǔn)確性、并發(fā)壓力、交互友好性等方面均反應(yīng)出一定的穩(wěn)定性和可靠性，但系統(tǒng)在并發(fā)負(fù)載方面存在的問(wèn)題也是非常明顯的，因此還需要進(jìn)一步完善。

5 總結(jié)

敏感信息保護(hù)是數(shù)據(jù)安全領(lǐng)域一塊重要的組成部分，針對(duì)開(kāi)放環(huán)境下的敏感信息保護(hù)和訪問(wèn)控制的研究一直是這個(gè)領(lǐng)域的研究熱點(diǎn)。本系統(tǒng)結(jié)合現(xiàn)有的主流敏感信息保護(hù)技術(shù)，采用以身份認(rèn)證為基礎(chǔ)，文件加/解密為主要訪問(wèn)控制手段，以實(shí)時(shí)監(jiān)控與日志審計(jì)相結(jié)合為監(jiān)控機(jī)制設(shè)計(jì)一套C/S 架構(gòu)的開(kāi)放環(huán)境下敏感信息監(jiān)控系統(tǒng)。系統(tǒng)通過(guò)對(duì)客戶端用戶的操作行為的監(jiān)測(cè)，能夠及時(shí)獲取其對(duì)敏感信息的訪問(wèn)狀態(tài)，從而在一定程度上實(shí)現(xiàn)對(duì)敏感信息的保護(hù)。后期，我們將在繼續(xù)完善系統(tǒng)基礎(chǔ)上，優(yōu)化數(shù)據(jù)加解密算法的效率，并提供多種方式的監(jiān)測(cè)方法，從而提高系統(tǒng)的整體監(jiān)控能力。