局域網(wǎng)系統(tǒng)信息安全支撐組件的設計與實現(xiàn).pdf

1、隨著計算機技術(shù)和網(wǎng)絡技術(shù)的迅猛發(fā)展，企業(yè)和機構(gòu)內(nèi)部建立了大量的業(yè)務系統(tǒng)，從而使企業(yè)和機構(gòu)內(nèi)部的文件數(shù)量急劇增長。在這些文件當中有相當一部分文件屬于涉密文件，需要保護，然而這些文件一般都分散地存放在企業(yè)和機構(gòu)的各個技術(shù)或者業(yè)務骨干員工的計算機上。有一些員工缺乏安全意識或者防范能力較弱，就會讓這些涉密文件受到內(nèi)部惡意員工的安全威脅。
　　本文首先對當前的一些文件安全管理技術(shù)進行了簡要分析，并針對具體需求提出了基于局域網(wǎng)內(nèi)CA證書認證登

2、錄和數(shù)據(jù)加密的文件安全管理模型，局域網(wǎng)系統(tǒng)信息安全支撐組件包括認證服務器和客戶端。認證服務器與客戶端協(xié)商安全通道參數(shù)建立安全通道，對客戶端的設備證書和用戶身份證書進行正確性和有效性驗證，定期給在線用戶發(fā)送心跳包，維護在線用戶列表，會話密鑰的維護和更新。組件實現(xiàn)了局域網(wǎng)內(nèi)設備認證和用戶認證，保證了每臺設備只能登錄一個客戶端，且只有合法的用戶才能通過認證登錄。認證登錄是在PKI認證模型的基礎(chǔ)上實現(xiàn)的一種基于X.509證書的雙向認證協(xié)議。采用

3、多級證書、建立安全通道時的共享密鑰協(xié)商和基于安全通道的設備認證身份認證等機制，來保證只有合法的用戶才能登錄進入系統(tǒng)。用戶要在客戶端進行文件的安全管理操作，首先必須通過認證登錄進入系統(tǒng)，然后用戶在客戶端可以使用系統(tǒng)為用戶提供的管理文件的操作，但這些操作要受到訪問控制的限制，即通過訪問控制來檢驗用戶是否擁有相應的操作文件的權(quán)限。文件安全管理在認證登錄的基礎(chǔ)上，使用加解密技術(shù)實現(xiàn)了文件的安全保密性，訪問控制為局域網(wǎng)內(nèi)組件提供授權(quán)操作。訪問控制