基于SSL虚拟技术的高校网络安全体系模型构建

代锐锋

(内蒙古电子信息职业技术学院，内蒙古 呼和浩特 010070)

0 引 言

近年来，我国在面临信息化技术飞速发展的背景形势下，教育教学工作在不断进行改革，大部分高校都建立了自己的校园网。作为当前高校基础设施建设十分重要的部分，校园网为提高高校教学管理水平及改进教学质量起到了十分重要的作用[1]。校园网的安全状况直接影响到学校正常的教学活动，但是现在互联网安全问题越来越多，网络攻击严重影响到了校园网络通信安全。成熟的PKI技术可以应用于学校安全网络系统之中，通过构建属于自己校园网络的数字证书认证系统，确保校园网络体系的安全运营。PKI可以利用公钥理论来构建校园安全网络通信模型，结合SSL协议，构建出一条连接客户端和服务器端的安全保密通道。SSL协议涉及所有TCP/IP应用程序，能够保护数据传输的机密性、完整性，认证客户端和服务器端的合法性。

1 国内外研究现状

1.1 SSL虚拟技术

虚拟专用网(VPN)可以有效解决在计算机公共网络之中的私有信息数据传输中的安全性，安全套接层协议(SSL)是其中一项相对成熟而有效的技术。当前，SSL技术在高校校园网中有着非常多的应用，如张泽[2]在云南师范大学文理学院的校园网构建中，利用SSL及VPN技术来解决校园网在电子资源用户共享中存在的问题，并取得了较好的效果。在公用网络之中，利用SSL VPN技术能够实现点对点的数据发送，保证数据传输过程中不会被干扰，具有很好的保密性[3]。如我国国家图书馆就是利用SSL VPN技术进行资源的外购和自建，为读者用户提供可靠的远程访问技术[4]。由于SSL协议会对服务器造成大量资源的占用，因而需要考虑提供服务器的效率，电子商务系统中，可以利用Kerberos的认证方式来进行SSL的密钥交换方式的认证[5]。经过多年的发展，SSL当前已经成为Internet中最为常用的协议之一，将SSL应用于数据的处理中，其计算成本大约要增加5～7倍，在工作中受限于CPU的性能，因而可以通过其他体系结构功能来提升SSL的性能[6]。

1.2 高校网络通信安全体系构建

随着现代计算机技术的发展和信息化程度的不断提高，计算机病毒广泛充斥于网络之中，网络信息安全甚至已经威胁到了国家的安全和稳定，因而需要构建计算机信息系统和网络通信安全体系[7-8]。信息安全是要保证网络信息在传输过程中有着很好的可控性、完整性、机密性，保证每一个信息传输环节都能够安全到达[9]。高校校园网络的建成，极大便利了师生的教学，可以在线实现成绩查询、在线教学、课件下载、资源共享、考试报名等操作，但是必须要确保校园网络中的信息传输不被篡改。校园网络通信中常见的安全问题主要有信息破坏、信息篡改、身份窃取以及信息泄露这4方面。龙新征等人[10]构建的校园网络通信模型，可以通过高性能网络安全环境来保证信息安全传输，使得校园中的各项教学管理工作能够正常开展。张栋毅[11]认为基于PKI技术及SSL协议，可以很好实现客户端及服务器端之间的加密通信，只要通信双方基于数字证书确认了彼此的身份就能够正常开展通信。利用SSL协议，可以确保客户端及服务器端认证的合法性，实现握手交换数据的数字认证。在交换SSL初始握手信息时，信息就会被加密技术加密，并利用数字证书来鉴别，以有效防止数据信息被非法用户破译[12]。

2 基于SSL协议的校园网络通信模型构建

2.1 SSL协议原理及组成

SSL协议是实现Internet上点到点之间安全数据通信的主要协议，位于网络层协议及应用协议层之间[13]。SSL协议底层位于可靠传输协议之上，主要是进行高层协议数据的封装，包含了警告协议、SSL握手协议以及更改密码规范协议，其层次结构具体如图1所示。

图1 SSL协议分层模型结构

SSL记录层协议将收到的数据进行处理，在加密、压缩等操作之后交给下一层网络传输协议进行处理，而对于收到的数据信息，则进行解密、解压缩和验证等，并将处理后的数据发送至更高层用户[14]。SSL记录层协议对数据的执行过程主要包括了分段、压缩单元、加密单元以及添加SSL记录首部等，其具体的执行过程如图2所示。

图2 SSL协议分层执行过程

SSL协议中有2个十分重要的概念，分别是SSL连接和SSL会话[15]。SSL连接指的是点对点的关系，一般这种连接是短暂的特定类服务传输，每个连接都对应着一个会话。握手协议创建的会话包含了加密算法、初始向量等，可以是多个链接的共享，从而避免了单个链接安全参数协商所浪费的时间[16]。客户端和服务器端之间可以由多个安全SSL连接在一起，它们往往共享同一个会话，一旦会话建立了，就会有操作状态进行信息的接收和发送。SSL协议中常用的加密算法包含了密钥交换、数据加密以及散列算法这3种[17]。3种算法的加密套件详见表1。

表1 SSL协议中常用的3种算法加密套件

SSL协议中引入了许多安全机制来提升通信网络安全，利用数据加密、身份认证等其他方式来提供安全通知功能，这些安全保护都需要系统能够产生出正确的密钥资料。Master_secret产生的加密密钥可以有效保护信息数据，是整个协议的安全核心所在，如果网络攻击者能够成功攻破Master_secret，那么会话就会暴露在攻击之下。主密钥的生成一般是经过了多次hash运算后得到的，攻击者要进行Master_secres的攻击，可以获取服务器的私钥，抑或是客户端、服务器端产生的随机数强度较弱。在诸多攻击中，通信量的分析属于被动的恶意攻击，想要达成还需要同时具备诸多前提条件，一般只需要在使用过程中尽可能避免通信业务重要信息流出即可。SSL协议中的诸多加密算法能够让攻击者无法获取到与密文对应的明文，但是它可以用“中间人”身份和攻击方式来截取文件，并可能会进行修改和删除等，采用SSL协议就能够防止“中间人”或者是“监听”的攻击[18]。虽然对于大多数的安全任务来说，SSL协议已经卓有成效，但是在很多情况下SSL协议任务并不适用，例如提供数据不可抵赖性。总之，对于SSL协议来说，其核心根本就是Master_secret主密钥，只要主密钥被攻破了，那么整个SSL协议也就暴露在攻击者面前。

2.2 基于PKI技术的校园数字证书认证系统

将PKI应用到校园网络通信安全中，可以实现结构精简、安全可靠的学校系统，整个系统包含了多个功能模块，各模块之间有机结合在一起，具体如图3所示。每一个基于PKI技术的校园数字证书认证系统都需要结合不同学校的实际情况，要综合考虑不同学校的地理位置、系统使用需求、经济状况等。

图3 基于PKI技术的校园数字证书认证系统功能结构图

为了能够满足校园网的各项功能需求，同时节约成本，校园网的可信任区域边界是确定的，在进行校园网数字证书认证系统构建的时候，应当将校园网视作是独立的主体。在该系统之中，客户和符合群体的身份授权都是由权威中心仲裁决定的，因而容易解决信任关系的问题。数字证书的管理具体包含了数字证书的申请、签发、更新、撤销以及查询等，是整个系统的核心所在[19]。数字证书的申请分为在线申请和离线申请，在线申请一般是利用浏览器或其他在线应用系统来申请证书，离线申请则是线下人工的方式直接在具体的机构受理点进行申请，审核后就能够获得证书。本文的证书申请选择离线申请方式，由于注册机构都在校内，因而便于教职员工和学生去申请和注册机构审核。数字证书有着非常复杂的签发过程，当认证中心管理人员接收相关申请后，若签证验证通过则说明用户申请证书请求得到同意[20]。给用户签发加密证书时，需要密钥管理中心获得加密密钥对，数字证书认证中心对证书进行签名，所有返回客户信息都需要经过认证中心签名以保证消息的完整性，其具体流程如图4所示。加密证书签发完成后，密钥管理中心以及数字证书认证中心之间都拥有和信任彼此的证书，二者是基于数字证书实现SSL的安全网络通信。

图4 数字证书签发流程图

密钥管理中心通过国家相关机构授权后，能够在特定的通信过程中进行密文破译，它本身是不进行信息加密的密钥，仅仅只是提供一个能够进行密钥恢复的手段[21]。利用密钥管理中心可以实现密钥材料的登记、销毁、认证、注销等，必要的时候，在征得用户或法律规定下才能解开并取出托管密钥。密钥管理中心系统结构图如图5所示，涵盖了生成密钥、管理密钥、认证管理、密码服务等部分。

图5 密钥管理中心系统结构图

PKI应用中的核心问题之一就是密钥管理，目前对于同一个PKI实体同时拥有多个密钥对已经十分常见，本文提出的高校安全通信网络系统中的数字证书认证系统采用的是不同的密钥机密性及不可否性2种服务分离开[22]机制。客户自己产生签名证书中的私钥，禁止其他用户知道私钥的相关信息，这保证了信息完整性以及不可抵赖性。加密证书中的私钥是密钥管理中心以用户名义来产生的，且在数据库中进行了备份，完成客户解密私钥的托管。一般情况下，数字证书都会有2～3年左右的有效期，用户应当及时进行密钥的更新。每过一段时间，用户都会形成一个当前正在使用的证书和多个以前使用过的“旧”证书，这就形成了用户私钥的历史档案。密钥由于存在有效期，因而必须要采用合适的措施来存储过期私钥，避免数据出现恢复的危险。

2.3 基于PKI技术和SSL协议的高校网络安全通信模型构建

校园网络通信的构建是基于SSL协议加密的，避免数据被窃听，客户端和服务器端之间构建了彼此可以信赖的数字证书库，以确保双方身份的合法性以及不可否认性。在校园网络通信模型中，服务器是系部或学院的数据中心，客户端是个人用户的数据中心。该模型的核心部分是SSL协议，模型的处理部分是处于应用层和TCP协议间的，数据的采集整理依赖于应用层模块，其整个流程图和各个功能模块如图6所示。

图6 密钥管理中心系统结构模块逻辑图

整个模型的上层是应用层模块，其他应用模块都是基于应用模块连接的。应用层模块在接收到数据后，会对数据进行处理并得到合适的数据格式，数据经由握手层模块发送传输到记录层模块之中，所有应用层模块数据都是明文数据。整个模型的管理配置是由管理模块负责的，用户的信息交流都基于该平台实现，用户能够利用模块来设置会话参数、私钥参数以及进行数字证书的管理。整个模型的核心控制部分是核心控制模块，它利用记录层模块和握手层模块来完成相关的动作，为服务器端以及客户端提供数字证书。

任何数据在进行传输前，都必须要完成握手，随后进入数据传输阶段[23]。当客户端和服务器端在协议版本上达成一致时，就会利用加密算法和身份认证等生成共享密钥，实现加密安全通信。握手消息处理模块的关键所在是实现消息的同步，在通信之初，双方必须反复进行信息的交互，当彼此完成了协商并生成加密密钥后再进行握手操作。网络信息安全系统在运行过程中，SSL握手模块接收和发送的信息以及需要处理的消息是非常多的，来自于各方不同类型的消息决定了接收方下一步要进行的操作和连接状态，此时需要利用“消息类型+状态→动作”机制来进行消息类型的区分。接收方在接收到消息之后，除了需要根据消息类型进行判断，消息类型的区分还会和服务器端及客户端状态相关。

记录层采用对称加密算法进行数据加密，该算法又可以具体分为流加密算法和块加密算法。由于流加密算法每次进行数据处理都只是单个字节，因而每次进行数据分块时都需要进行填充。

3 系统整体仿真

3.1 系统仿真环境

系统的仿真环境设定在校园信息网络中心局域网环境之下，设置A、B这2台计算机开展系统仿真，2台计算机的配置详见表2。

表2 SSL协议中主要的加密算法

校园网络的通信模型是在软件Stunnel基础上的OpenSSL软件，可以应用于Unix以及Windows平台，采用的是Client/Server工作模式，进行系统仿真的时候，利用代理软件Privoxy代理服务器端。

3.2 系统仿真结构分析

基于Stunnel软件的安全网络通信，是在局域网环境中构建安全网络通信模型，其仿真系统的结构功能具体如图7所示。

3.3 仿真系统运行效果

在仿真环境中运行仿真系统，经由客户端电脑上面的浏览器进行连接，通过服务器端代理软件Privoxy连接起来后，将所有数据接发过程进行SSL加密处理，客户端和服务器端的运行效果如图8所示。

图7 系统仿真的结构功能图

图8 客户端和服务器端的运行效果

从仿真结果可以看出，客户端和服务器端各项功能都能够正常运行，用户能够利用安全网络通信正常访问。本文的仿真系统结构和系统设计结构是相似的。

4 结束语

校园安全网络体系的构建是当前高校基础设施建设以及教育改革的重要方向，校园网络通信模型能够为学校提供一个行政管理、教学交流、信息传送的快捷平台。本文基于PKI技术结合SSL协议构建了校园网络安全通信模型，基于该模型可以实现客户端及服务器端的数据安全传输。该系统的关键核心是构建基于PKI技术的数字认证系统。为了能够适应高校的环境和安全使用需求，本文具体设计了密钥管理中心的具体方案。为了验证此次设计的校园网络通信体系的有效性和实用性，在Stunnel软件上构建了网络通信模型，并利用2台计算机分别作为服务器和客户端进行仿真实验。仿真结果显示，校园网络通信系统能够正常运行，运行过程中可以保证系统的安全性。但是本文提出的系统仅进行了仿真分析，后续拟将其应用于校园中，打造基于PKI及SSL协议的校园网络安全通信系统。