對SSL（Secure Sockets Layer）協(xié)議的相關(guān)理論進(jìn)行研究,立足于校園安全信息網(wǎng)絡(luò)體系構(gòu)建,設(shè)計一種基于PKI身份認(rèn)證體制的SSL虛擬技術(shù)的高校網(wǎng)絡(luò)安全體系模型。為驗證該模型體系的安全性和有效性,構(gòu)建系統(tǒng)仿真環(huán)境。通過仿真分析,表明該系統(tǒng)具有較好的安全性和實用性,各項功能模塊都能夠順利實現(xiàn),能夠保證客戶端及服務(wù)器端的通信數(shù)據(jù)機密性。本文提出的模型對高校網(wǎng)絡(luò)信息體系的構(gòu)建具有一定的參考價值和借鑒意義。 

【文章來源】：計算機與現(xiàn)代化. 2020,(08)

【文章頁數(shù)】：5 頁

【部分圖文】：

SSL協(xié)議分層模型結(jié)構(gòu)

SSL記錄層協(xié)議將收到的數(shù)據(jù)進(jìn)行處理，在加密、壓縮等操作之后交給下一層網(wǎng)絡(luò)傳輸協(xié)議進(jìn)行處理，而對于收到的數(shù)據(jù)信息，則進(jìn)行解密、解壓縮和驗證等，并將處理后的數(shù)據(jù)發(fā)送至更高層用戶[14]。SSL記錄層協(xié)議對數(shù)據(jù)的執(zhí)行過程主要包括了分段、壓縮單元、加密單元以及添加SSL記錄首部等，其具體的執(zhí)行過程如圖2所示。SSL協(xié)議中有2個十分重要的概念，分別是SSL連接和SSL會話[15]。SSL連接指的是點對點的關(guān)系，一般這種連接是短暫的特定類服務(wù)傳輸，每個連接都對應(yīng)著一個會話。握手協(xié)議創(chuàng)建的會話包含了加密算法、初始向量等，可以是多個鏈接的共享，從而避免了單個鏈接安全參數(shù)協(xié)商所浪費的時間[16]�？蛻舳撕头⻊�(wù)器端之間可以由多個安全SSL連接在一起，它們往往共享同一個會話，一旦會話建立了，就會有操作狀態(tài)進(jìn)行信息的接收和發(fā)送。SSL協(xié)議中常用的加密算法包含了密鑰交換、數(shù)據(jù)加密以及散列算法這3種[17]。3種算法的加密套件詳見表1。

將PKI應(yīng)用到校園網(wǎng)絡(luò)通信安全中，可以實現(xiàn)結(jié)構(gòu)精簡、安全可靠的學(xué)校系統(tǒng)，整個系統(tǒng)包含了多個功能模塊，各模塊之間有機結(jié)合在一起，具體如圖3所示。每一個基于PKI技術(shù)的校園數(shù)字證書認(rèn)證系統(tǒng)都需要結(jié)合不同學(xué)校的實際情況，要綜合考慮不同學(xué)校的地理位置、系統(tǒng)使用需求、經(jīng)濟(jì)狀況等。為了能夠滿足校園網(wǎng)的各項功能需求，同時節(jié)約成本，校園網(wǎng)的可信任區(qū)域邊界是確定的，在進(jìn)行校園網(wǎng)數(shù)字證書認(rèn)證系統(tǒng)構(gòu)建的時候，應(yīng)當(dāng)將校園網(wǎng)視作是獨立的主體。在該系統(tǒng)之中，客戶和符合群體的身份授權(quán)都是由權(quán)威中心仲裁決定的，因而容易解決信任關(guān)系的問題。數(shù)字證書的管理具體包含了數(shù)字證書的申請、簽發(fā)、更新、撤銷以及查詢等，是整個系統(tǒng)的核心所在[19]。數(shù)字證書的申請分為在線申請和離線申請，在線申請一般是利用瀏覽器或其他在線應(yīng)用系統(tǒng)來申請證書，離線申請則是線下人工的方式直接在具體的機構(gòu)受理點進(jìn)行申請，審核后就能夠獲得證書。本文的證書申請選擇離線申請方式，由于注冊機構(gòu)都在校內(nèi)，因而便于教職員工和學(xué)生去申請和注冊機構(gòu)審核。數(shù)字證書有著非常復(fù)雜的簽發(fā)過程，當(dāng)認(rèn)證中心管理人員接收相關(guān)申請后，若簽證驗證通過則說明用戶申請證書請求得到同意[20]。給用戶簽發(fā)加密證書時，需要密鑰管理中心獲得加密密鑰對，數(shù)字證書認(rèn)證中心對證書進(jìn)行簽名，所有返回客戶信息都需要經(jīng)過認(rèn)證中心簽名以保證消息的完整性，其具體流程如圖4所示。加密證書簽發(fā)完成后，密鑰管理中心以及數(shù)字證書認(rèn)證中心之間都擁有和信任彼此的證書，二者是基于數(shù)字證書實現(xiàn)SSL的安全網(wǎng)絡(luò)通信。

【參考文獻(xiàn)】：
期刊論文
[1]VPN網(wǎng)絡(luò)中的通信安全隱患論述[J]. 陳春平.  信息通信. 2019(05)
[2]RFCcertDT:SSL/TLS中證書驗證的測試工具[J]. 陳矗.  西安電子科技大學(xué)學(xué)報. 2019(03)
[3]基于SSL安全協(xié)議實現(xiàn)工業(yè)控制通訊協(xié)議加密及認(rèn)證的研究[J]. 高銳強,朱虹,賈立東,孫超.  化工設(shè)計通訊. 2019(01)
[4]HTTPS/TLS協(xié)議設(shè)計和實現(xiàn)中的安全缺陷綜述[J]. 韋俊琳,段海新,萬濤.  信息安全學(xué)報. 2018(02)
[5]一種基于混合加密的數(shù)據(jù)安全傳輸方案的設(shè)計與實現(xiàn)[J]. 宋利民,宋曉銳.  信息網(wǎng)絡(luò)安全. 2017(12)
[6]大型移動網(wǎng)絡(luò)信息傳輸安全性評估方案設(shè)計[J]. 葉衛(wèi),盛紅雷,黃宇騰,韋金良.  電子設(shè)計工程. 2017(23)
[7]云存儲環(huán)境中基于離線密鑰傳遞的加密重復(fù)數(shù)據(jù)刪除方法研究[J]. 張曙光,咸鶴群,劉紅燕,侯瑞濤.  信息網(wǎng)絡(luò)安全. 2017(07)
[8]基于PKI技術(shù)的應(yīng)用及密鑰的管理探討[J]. 何歷懷.  網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2016(07)
[9]基于ECC算法的SSL協(xié)議改進(jìn)[J]. 楊文軍,孫希杰,王春東,莫秀良.  南開大學(xué)學(xué)報(自然科學(xué)版). 2016(02)
[10]高速無線局域網(wǎng)大數(shù)據(jù)傳輸內(nèi)存安全監(jiān)測仿真[J]. 王曉雯,柴大鵬.  計算機仿真. 2016(04)



本文編號：3252712