基于SSL技术系统数据传输安全功能实现.docVIP

基于SSL技术系统数据传输安全功能实现 　　摘#8195;要 随着在线应用系统的普及，在线应用系统数据传输安全问题更加突出，有效保证在线应用系统数据传输安全成为系统设计的重要内容。论文在分析SSL安全传输协议原理基础上，将SSL安全传输协议应用于在线应用系统设计，并从基于SSL的系统架构、重点模块实现两个方面设计实现基于SSL技术的系统数据传输安全功能。 　　关键词 SSL协议；数据传输安全；实现 　　中图分类号 TP 文献标识码 A 文章编号 1673-9671-(2010)121-0034-01 　　 　　随着计算机网络技术特别是Internet技术的发展，基于Internet的在线应用持续增加。与传统方式相比，远程办公、远程学习等在线应用更加高效、经济，且不受地域的制约和限制。但Internet是一个完全开放的环境，通过Internet的在线应用，需要考虑如何实现在此应用信息在计算机网络上的安全传输问题，计算机信息的安全传输包括信息的保密性、信息的完整性、通信双方的身份认证等多个方面，论文重点将SSL技术应用于在线应用系统的数据传输中，保障系统数据传输安全。 　　1 SSL安全传输协议原理 　　SSL（Secure Sockets Lays）协议是由Netscape公司设计的网络安全协议，主要目标是使用TCP来提供一种可靠的端到端的安全服务，已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议可分为两层，如图1所示。 　　图1 SSL协议结构 　　SSL记录协议位于可靠的运输层协议之上，如它对各种更高层协议进行封装，为不同的更高层协议提供了基本的安全服务，特别是为Web客户/服务器的交互提供的HTTP协议可以在SSL上面运行。三个更高层的协议被定义为成SSL的一部分：握手协议、修改密文规约协议、告警协议，这些协议用于管理SSL的交换。 　　1）SSL记录协议。SSL记录协议可以为SSL连接提供保密性业务和报文完整性业务。保密性业务是通信双方通过握手协议建立一个共享密钥，完整性业务则是通过用于计算报文鉴别代码MAC的共享密钥。SSL记录协议操作首先是对数据进行分片和压缩，然后在压缩数据上计算报文鉴别代码，最后将压缩数据和MAC进行加密后传送出去。其中，MAC的计算是关键步骤。 　　2）SSL握手协议。SSL中最复杂的部分是握手协议。这个协议使得服务器和客户能够相互鉴别对方的身份、协商加密和MAC算法以及用来保护在SSL记录中发送的加密密钥。在传输任何应用数据之前，必须先使用握手协议。当在进行握手协议或者传输数据时，任意一方有异常状况，都可以用告警协议通行对方；当任意一方想要更换密钥时，可以通过修改密文规约协议来更换密钥。 　　SSL是在Internet基础上提供的一种保证私密性的安全协议，使客户/服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对客户进行认证。SSL协议的优势在于它是与应用层协议独立无关的，高层的应用层协议能透明的建立于SSL协议之上。 　　2 基于SSL的系统架构设计 　　在线应用系统在设计时首先需要考虑信息在Internet传输过程中的安全性，具体体现为信息的机密性和完整性，将SSL应用于系统设计中可以大大提高信息安全性，基于SSL的系统架构设计如图2所示。 　　1）SSL代理服务器的组成部分。SSL代理服务器有三个组成部分：客户代理、服务器代理、访问控制。需要注意的是：与客户代理相连的客户是来自外部网上的主机，与服务器代理相连的是外部主机想访问的内部服务器。因此，只能在客户与客户代理之间增加对SSL协议的支持，即将原来的客户与客户代理之间的请求、应答转发置于SSL协议的保护之下。 　　图2 基于SSL的系统架构设计 　　2）SSL代理服务器的工作原理。采用SSL协议传输数据之前，必须先进行SSL握手，即SSL安全代理服务器与客户之间先进行SSL握手，建立SSL安全连接，然后发送普通的服务请求、接收由代理服务器转发的应答。在结束连接之前，还要断开SSL连接以保证连接的安全。 　　浏览器通过SSL安全代理与服务器建立安全连接，SSL安全代理接管了浏览器的安全功能，可以提供高强度加密算法的支持，数据的安全传输不受浏览器所能提供的安全能力的限制。采用安全代理方式，客户端需要安装代理服务器，浏览器的数据通过代理传送。SSL代理先对传送的数据进行加密，再传送给服务器。Web服务器可以与客户的浏览器之间进行高强度的SSL身份认证、数据通信加密。 　　3 基于SSL技术的系统数据传输安全功能实现 　　基于以上设计架构，主要包括身份认证模块、握手消息处理模块、记录层处理模块，其中握手消息处理、记录层处理两个核心模块具体设计实现如下。