基于SSL虛擬技術的高校網絡安全體系模型構建

代銳鋒

(內蒙古電子信息職業技術學院，內蒙古 呼和浩特 010070)

0 引 言

近年來，我國在面臨信息化技術飛速發展的背景形勢下，教育教學工作在不斷進行改革，大部分高校都建立了自己的校園網。作為當前高?；A設施建設十分重要的部分，校園網為提高高校教學管理水平及改進教學質量起到了十分重要的作用[1]。校園網的安全狀況直接影響到學校正常的教學活動，但是現在互聯網安全問題越來越多，網絡攻擊嚴重影響到了校園網絡通信安全。成熟的PKI技術可以應用于學校安全網絡系統之中，通過構建屬于自己校園網絡的數字證書認證系統，確保校園網絡體系的安全運營。PKI可以利用公鑰理論來構建校園安全網絡通信模型，結合SSL協議，構建出一條連接客戶端和服務器端的安全保密通道。SSL協議涉及所有TCP/IP應用程序，能夠保護數據傳輸的機密性、完整性，認證客戶端和服務器端的合法性。

1 國內外研究現狀

1.1 SSL虛擬技術

虛擬專用網(VPN)可以有效解決在計算機公共網絡之中的私有信息數據傳輸中的安全性，安全套接層協議(SSL)是其中一項相對成熟而有效的技術。當前，SSL技術在高校校園網中有著非常多的應用，如張澤[2]在云南師范大學文理學院的校園網構建中，利用SSL及VPN技術來解決校園網在電子資源用戶共享中存在的問題，并取得了較好的效果。在公用網絡之中，利用SSL VPN技術能夠實現點對點的數據發送，保證數據傳輸過程中不會被干擾，具有很好的保密性[3]。如我國國家圖書館就是利用SSL VPN技術進行資源的外購和自建，為讀者用戶提供可靠的遠程訪問技術[4]。由于SSL協議會對服務器造成大量資源的占用，因而需要考慮提供服務器的效率，電子商務系統中，可以利用Kerberos的認證方式來進行SSL的密鑰交換方式的認證[5]。經過多年的發展，SSL當前已經成為Internet中最為常用的協議之一，將SSL應用于數據的處理中，其計算成本大約要增加5～7倍，在工作中受限于CPU的性能，因而可以通過其他體系結構功能來提升SSL的性能[6]。

1.2 高校網絡通信安全體系構建

隨著現代計算機技術的發展和信息化程度的不斷提高，計算機病毒廣泛充斥于網絡之中，網絡信息安全甚至已經威脅到了國家的安全和穩定，因而需要構建計算機信息系統和網絡通信安全體系[7-8]。信息安全是要保證網絡信息在傳輸過程中有著很好的可控性、完整性、機密性，保證每一個信息傳輸環節都能夠安全到達[9]。高校校園網絡的建成，極大便利了師生的教學，可以在線實現成績查詢、在線教學、課件下載、資源共享、考試報名等操作，但是必須要確保校園網絡中的信息傳輸不被篡改。校園網絡通信中常見的安全問題主要有信息破壞、信息篡改、身份竊取以及信息泄露這4方面。龍新征等人[10]構建的校園網絡通信模型，可以通過高性能網絡安全環境來保證信息安全傳輸，使得校園中的各項教學管理工作能夠正常開展。張棟毅[11]認為基于PKI技術及SSL協議，可以很好實現客戶端及服務器端之間的加密通信，只要通信雙方基于數字證書確認了彼此的身份就能夠正常開展通信。利用SSL協議，可以確?？蛻舳思胺掌鞫苏J證的合法性，實現握手交換數據的數字認證。在交換SSL初始握手信息時，信息就會被加密技術加密，并利用數字證書來鑒別，以有效防止數據信息被非法用戶破譯[12]。

2 基于SSL協議的校園網絡通信模型構建

2.1 SSL協議原理及組成

SSL協議是實現Internet上點到點之間安全數據通信的主要協議，位于網絡層協議及應用協議層之間[13]。SSL協議底層位于可靠傳輸協議之上，主要是進行高層協議數據的封裝，包含了警告協議、SSL握手協議以及更改密碼規范協議，其層次結構具體如圖1所示。

圖1 SSL協議分層模型結構

SSL記錄層協議將收到的數據進行處理，在加密、壓縮等操作之后交給下一層網絡傳輸協議進行處理，而對于收到的數據信息，則進行解密、解壓縮和驗證等，并將處理后的數據發送至更高層用戶[14]。SSL記錄層協議對數據的執行過程主要包括了分段、壓縮單元、加密單元以及添加SSL記錄首部等，其具體的執行過程如圖2所示。

圖2 SSL協議分層執行過程

SSL協議中有2個十分重要的概念，分別是SSL連接和SSL會話[15]。SSL連接指的是點對點的關系，一般這種連接是短暫的特定類服務傳輸，每個連接都對應著一個會話。握手協議創建的會話包含了加密算法、初始向量等，可以是多個鏈接的共享，從而避免了單個鏈接安全參數協商所浪費的時間[16]?？蛻舳撕头掌鞫酥g可以由多個安全SSL連接在一起，它們往往共享同一個會話，一旦會話建立了，就會有操作狀態進行信息的接收和發送。SSL協議中常用的加密算法包含了密鑰交換、數據加密以及散列算法這3種[17]。3種算法的加密套件詳見表1。

表1 SSL協議中常用的3種算法加密套件

SSL協議中引入了許多安全機制來提升通信網絡安全，利用數據加密、身份認證等其他方式來提供安全通知功能，這些安全保護都需要系統能夠產生出正確的密鑰資料。Master_secret產生的加密密鑰可以有效保護信息數據，是整個協議的安全核心所在，如果網絡攻擊者能夠成功攻破Master_secret，那么會話就會暴露在攻擊之下。主密鑰的生成一般是經過了多次hash運算后得到的，攻擊者要進行Master_secres的攻擊，可以獲取服務器的私鑰，抑或是客戶端、服務器端產生的隨機數強度較弱。在諸多攻擊中，通信量的分析屬于被動的惡意攻擊，想要達成還需要同時具備諸多前提條件，一般只需要在使用過程中盡可能避免通信業務重要信息流出即可。SSL協議中的諸多加密算法能夠讓攻擊者無法獲取到與密文對應的明文，但是它可以用“中間人”身份和攻擊方式來截取文件，并可能會進行修改和刪除等，采用SSL協議就能夠防止“中間人”或者是“監聽”的攻擊[18]。雖然對于大多數的安全任務來說，SSL協議已經卓有成效，但是在很多情況下SSL協議任務并不適用，例如提供數據不可抵賴性?？傊?，對于SSL協議來說，其核心根本就是Master_secret主密鑰，只要主密鑰被攻破了，那么整個SSL協議也就暴露在攻擊者面前。

2.2 基于PKI技術的校園數字證書認證系統

將PKI應用到校園網絡通信安全中，可以實現結構精簡、安全可靠的學校系統，整個系統包含了多個功能模塊，各模塊之間有機結合在一起，具體如圖3所示。每一個基于PKI技術的校園數字證書認證系統都需要結合不同學校的實際情況，要綜合考慮不同學校的地理位置、系統使用需求、經濟狀況等。

圖3 基于PKI技術的校園數字證書認證系統功能結構圖

為了能夠滿足校園網的各項功能需求，同時節約成本，校園網的可信任區域邊界是確定的，在進行校園網數字證書認證系統構建的時候，應當將校園網視作是獨立的主體。在該系統之中，客戶和符合群體的身份授權都是由權威中心仲裁決定的，因而容易解決信任關系的問題。數字證書的管理具體包含了數字證書的申請、簽發、更新、撤銷以及查詢等，是整個系統的核心所在[19]。數字證書的申請分為在線申請和離線申請，在線申請一般是利用瀏覽器或其他在線應用系統來申請證書，離線申請則是線下人工的方式直接在具體的機構受理點進行申請，審核后就能夠獲得證書。本文的證書申請選擇離線申請方式，由于注冊機構都在校內，因而便于教職員工和學生去申請和注冊機構審核。數字證書有著非常復雜的簽發過程，當認證中心管理人員接收相關申請后，若簽證驗證通過則說明用戶申請證書請求得到同意[20]。給用戶簽發加密證書時，需要密鑰管理中心獲得加密密鑰對，數字證書認證中心對證書進行簽名，所有返回客戶信息都需要經過認證中心簽名以保證消息的完整性，其具體流程如圖4所示。加密證書簽發完成后，密鑰管理中心以及數字證書認證中心之間都擁有和信任彼此的證書，二者是基于數字證書實現SSL的安全網絡通信。

圖4 數字證書簽發流程圖

密鑰管理中心通過國家相關機構授權后，能夠在特定的通信過程中進行密文破譯，它本身是不進行信息加密的密鑰，僅僅只是提供一個能夠進行密鑰恢復的手段[21]。利用密鑰管理中心可以實現密鑰材料的登記、銷毀、認證、注銷等，必要的時候，在征得用戶或法律規定下才能解開并取出托管密鑰。密鑰管理中心系統結構圖如圖5所示，涵蓋了生成密鑰、管理密鑰、認證管理、密碼服務等部分。

圖5 密鑰管理中心系統結構圖

PKI應用中的核心問題之一就是密鑰管理，目前對于同一個PKI實體同時擁有多個密鑰對已經十分常見，本文提出的高校安全通信網絡系統中的數字證書認證系統采用的是不同的密鑰機密性及不可否性2種服務分離開[22]機制?？蛻糇约寒a生簽名證書中的私鑰，禁止其他用戶知道私鑰的相關信息，這保證了信息完整性以及不可抵賴性。加密證書中的私鑰是密鑰管理中心以用戶名義來產生的，且在數據庫中進行了備份，完成客戶解密私鑰的托管。一般情況下，數字證書都會有2～3年左右的有效期，用戶應當及時進行密鑰的更新。每過一段時間，用戶都會形成一個當前正在使用的證書和多個以前使用過的“舊”證書，這就形成了用戶私鑰的歷史檔案。密鑰由于存在有效期，因而必須要采用合適的措施來存儲過期私鑰，避免數據出現恢復的危險。

2.3 基于PKI技術和SSL協議的高校網絡安全通信模型構建

校園網絡通信的構建是基于SSL協議加密的，避免數據被竊聽，客戶端和服務器端之間構建了彼此可以信賴的數字證書庫，以確保雙方身份的合法性以及不可否認性。在校園網絡通信模型中，服務器是系部或學院的數據中心，客戶端是個人用戶的數據中心。該模型的核心部分是SSL協議，模型的處理部分是處于應用層和TCP協議間的，數據的采集整理依賴于應用層模塊，其整個流程圖和各個功能模塊如圖6所示。

圖6 密鑰管理中心系統結構模塊邏輯圖

整個模型的上層是應用層模塊，其他應用模塊都是基于應用模塊連接的。應用層模塊在接收到數據后，會對數據進行處理并得到合適的數據格式，數據經由握手層模塊發送傳輸到記錄層模塊之中，所有應用層模塊數據都是明文數據。整個模型的管理配置是由管理模塊負責的，用戶的信息交流都基于該平臺實現，用戶能夠利用模塊來設置會話參數、私鑰參數以及進行數字證書的管理。整個模型的核心控制部分是核心控制模塊，它利用記錄層模塊和握手層模塊來完成相關的動作，為服務器端以及客戶端提供數字證書。

任何數據在進行傳輸前，都必須要完成握手，隨后進入數據傳輸階段[23]。當客戶端和服務器端在協議版本上達成一致時，就會利用加密算法和身份認證等生成共享密鑰，實現加密安全通信。握手消息處理模塊的關鍵所在是實現消息的同步，在通信之初，雙方必須反復進行信息的交互，當彼此完成了協商并生成加密密鑰后再進行握手操作。網絡信息安全系統在運行過程中，SSL握手模塊接收和發送的信息以及需要處理的消息是非常多的，來自于各方不同類型的消息決定了接收方下一步要進行的操作和連接狀態，此時需要利用“消息類型+狀態→動作”機制來進行消息類型的區分。接收方在接收到消息之后，除了需要根據消息類型進行判斷，消息類型的區分還會和服務器端及客戶端狀態相關。

記錄層采用對稱加密算法進行數據加密，該算法又可以具體分為流加密算法和塊加密算法。由于流加密算法每次進行數據處理都只是單個字節，因而每次進行數據分塊時都需要進行填充。

3 系統整體仿真

3.1 系統仿真環境

系統的仿真環境設定在校園信息網絡中心局域網環境之下，設置A、B這2臺計算機開展系統仿真，2臺計算機的配置詳見表2。

表2 SSL協議中主要的加密算法

校園網絡的通信模型是在軟件Stunnel基礎上的OpenSSL軟件，可以應用于Unix以及Windows平臺，采用的是Client/Server工作模式，進行系統仿真的時候，利用代理軟件Privoxy代理服務器端。

3.2 系統仿真結構分析

基于Stunnel軟件的安全網絡通信，是在局域網環境中構建安全網絡通信模型，其仿真系統的結構功能具體如圖7所示。

3.3 仿真系統運行效果

在仿真環境中運行仿真系統，經由客戶端電腦上面的瀏覽器進行連接，通過服務器端代理軟件Privoxy連接起來后，將所有數據接發過程進行SSL加密處理，客戶端和服務器端的運行效果如圖8所示。

圖7 系統仿真的結構功能圖

圖8 客戶端和服務器端的運行效果

從仿真結果可以看出，客戶端和服務器端各項功能都能夠正常運行，用戶能夠利用安全網絡通信正常訪問。本文的仿真系統結構和系統設計結構是相似的。

4 結束語

校園安全網絡體系的構建是當前高?；A設施建設以及教育改革的重要方向，校園網絡通信模型能夠為學校提供一個行政管理、教學交流、信息傳送的快捷平臺。本文基于PKI技術結合SSL協議構建了校園網絡安全通信模型，基于該模型可以實現客戶端及服務器端的數據安全傳輸。該系統的關鍵核心是構建基于PKI技術的數字認證系統。為了能夠適應高校的環境和安全使用需求，本文具體設計了密鑰管理中心的具體方案。為了驗證此次設計的校園網絡通信體系的有效性和實用性，在Stunnel軟件上構建了網絡通信模型，并利用2臺計算機分別作為服務器和客戶端進行仿真實驗。仿真結果顯示，校園網絡通信系統能夠正常運行，運行過程中可以保證系統的安全性。但是本文提出的系統僅進行了仿真分析，后續擬將其應用于校園中，打造基于PKI及SSL協議的校園網絡安全通信系統。