PDM图文档安全管理的方案与实现

作者：高强文 门岩

欢迎访问e展厅 展厅 3 PDM/PLM/CAPP展厅 图文档管理系统, CAPP... 1、问题的提出 图文档管理是PDM系统的重要组成部分，用以取代人工方式管理电子文档，使用户能够更方便、快捷、安全地存取、维护和处理各种产品的文档。从设计阶段产生的AutoCAD图纸的数据文件、3D实体造型的数据文件、工艺流程卡、CAE的分析报告，到制造阶段可能产生的变更单等，都是图文档管理的对象。 实施PDM的图文档管理可以解决信息共享程度低、信息重用性差、查询不方便、产品设计知识的积累等问题，但由于提高了共享度和数据集中存储，又会带来其安全性的问题。任何一种不合适、不严谨的安全策略都会造成PDM系统的安全漏洞，使图文档流失。所以，在开发PDM图文档管理系统时，首先要考虑和解决数据安全问题，然后再考虑如何解决共享策略、提升系统性能和方便查询等应用问题。 2、图文档安全管理方案 PDM系统中的数据安全不仅体现在安全保存大量的电子文档数据上，同时管理系统自身的安全性也是一个很重要的问题。所以，在制订系统安全方案时，笔者考虑采取如下技术方案，实施综合加密、保密措施来达到图文档安全性的目的。 2.1文件的数据库存放及加密 PDM系统一般都需要大型数据库支持，即图文档资料可以使用BLOB字段方式存贮到数据库表中，而不是以文件方式存放到服务器共享目录下。文件方式存贮的安全性控制是通过操作系统身份认证、共享目录安全等方式来保证的。随着移动存贮设备（比如U盘）技术的日趋成熟和便捷，采用文件系统保证安全的办法显得十分脆弱，而将图文资料压缩加密存入数据库是一个较好的解决办法。考虑到70%～80%的图文档文件是小文件，工程图纸文件的大小一般也不超过1M，比音乐文件、影像文件等小得多，而且存入数据库之前经过压缩处理，所以不会对存取性能有太大影响。 2.1.1加密方案选择 在PDM系统中主要是针对文件进行加解密。对文件加密可以用硬件和软件两种方法实现。硬件加密强度较高，但需要设备（如加密卡）支持，且加密卡费用较高。对于PDM系统，软加密的强度已经足够，一般用户很难破解。 2.1.2加密算法的选择 加密算法必须能够保证PDM系统文件的安全，至少对于一般用户应很难破解。DES算法具有较高的安全性，到目前为止，除了用穷举搜索法对DES算法进行攻击外，还没有发现更有效的办法。而56位长的密钥的穷举空间为256，这意味着如果一台计算机的速度是每一秒种检测一百万个密钥，则它搜索完全部密钥就需要将近2285年的时间，可见，这是难以实现的。加解密效率也是一个需要考虑的因素，即加解密的速度用户应能接受。DES算法效率较高，而且文件加密前进行了压缩，所以效率基本可以接受。基于以上考虑，笔者决定在PDM系统采用DES算法实现文件的加解密。 2.1.3加解密流程 ⑴保存文件流程：①压缩明文文件，即压缩过的文件较小，可以显著提高加密的效率；②使用DES算法加密压缩过的文件，即密钥采用文件导入数据库时的时间+文件ID号后打乱字节顺序；③将加密后的压缩文件导入数据库大字段。 ⑵打开文件流程：①从数据库导出加密后的文件；②使用DES算法解密压缩过的文件——密钥采用文件的导入数据库时的时间+文件ID后打乱字节顺序；③解压缩生成明文文件。 2.2用户权限控制 传统的用户授权方式是由系统管理员来统一授权，这样一来，系统员便具有至高无上的权力。为了避免权力过于集中，该方案采取项目组长授权制，即图文档文件只允许项目组内用户访问，不是该项目的用户，即使是系统管理员，也无法访问其他项目组的文档；项目组内用户之间文档的查看、检入、检出、导入、导出、删除等操作也需要有项目组长的授权才可进行。 2.3数据库口令安全 为了防止非法入侵者通过反编译，从二进制代码中找到数据库口令(字符串在可执行文件中一般以资源方式存放，很容易找到)，笔者采取系统再运行时自动计算生成口令的办法，使入侵者无法静态或动态分析获取数据库口令。另外，用户可随时更改数据库口令，而不会影响系统的正常运行。 2.4系统用户口令安全 数据库口令与用户口令相互独立。不采用数据库用户的口令作为系统用户的口令，反之亦然。系统用户的口令在数据库表中以加密方式存放，即使获得数据库口令后打开数据库，找到系统用户的记录，也无法找到指定用户的口令。 2.5临时文件的处理 正常查看文件时，系统需要将文件从数据库中解压缩、解密后取出，对于较小的文件可采用内存文件，文件只在内存中存放，退出程序后会立即释放；对于较大的文件可采用随机命名的临时文件，用完后写入其他不相关的信息后删除，以确保安全性。 2.6日志跟踪 项目用户对系统的敏感操作都会被系统记录，用户的操作行为都可跟踪、追溯。 3、安全方案的可行性 破解者要想得到文件，一般有两种途径：①直接打开数据库，找到数据后解压缩、解密；②以PDM系统用户进入系统得到合适的文件访问权限，访问文件。 ⑴如果采用第一种办法获取文件，必须完成以下五步，且必须完成前一步，才能进行下一步操作。针对这五步，笔者采取的对策是：①通过数据库口令加密和动态获取措施，防止入侵者找到数据库口令进入数据库；②使用大型数据库，建立复杂的系统表结构，采用数据先压缩后加密的办法，防止入侵者导出数据库；③不设置专门的密钥数据表，使入侵者无法找到密钥存放地；④密钥不采取显式存放，而是以某种规则计算得到，使入侵者难以分析组合出密钥；⑤需要对DES算法有较深入的了解，才能用解密算法对文件解密。 ⑵如果采用第二种办法获取文件，必须完成以下两步，且必须完成前一步，才能进行下一步操作规程。针对这两步，笔者采取的对策是：①采用加密的用户的口令，严格进行系统用户名和口令验证，确保即使获取系统管理员身份，也得不到项目组成员的口令，使非项目组成员无法登录PDM系统；②图文档数据按项目组严格分开，项目组成员得到授权后，只能在确定的范围内访问文件；非项目组成员要想加入该项目组，必须通过项目组长的授权；在项目组内访问其他成员的文件时，也需要项目组长进行适当的授权后才可行。通过以上的防范措施，给入侵者设置了层层壁垒，达到使他们在短时间内无法获得资料的目的。 4、结语 本文介绍了PDM图文档安全管理的方案与实现，分析了图文档管理可能存在的漏洞，并给出相应的解决方法，可确保PDM图文档安全可靠。用该方法开发的软件已在某液压件厂得到应用，并取得较好的效果。(end)

文章内容仅供参考 (投稿) (如果您是本文作者，请点击此处) (10/12/2007)