传输层安全协议中数据采集的研究与实现

摘要

随着信息技术的发展与Internet应用的普及，越来越多的场合需要用到网络信息审计系统来对通信内容进行审计，特别是公众场合的信息安全问题亟待解决。与入侵检测系统与防火墙相比，网络信息审计系统主要的优势是能够对网络内容动态实时监控，对应用层的内容进行分析，并对相应行为采取措施。但是当前随着各种加密协议的诞生，特别是SSL协议的普及，大量的网络传输采用SSL协议进行加密通信。SSL加密目的是为了保证数据安全的传输，然而因为SSL内容加密后，安全设备无法检测其内容，所以当SSL数据包中含有攻击、蠕虫以及其他有害内容时，传统安全设备将无能为力。本文主要研究如何对SSL协议进行有效的网络内容信息审计。
　　 在协议研究方面，本文详细分析了SSL协议的基本理论，包括协议层次结构，报文组装方式，握手的通信过程，密钥导出流程等。并针对SSL协议的安全机制进行了讨论，阐述了如何通过安全机制实现网络通信中的保密性，真实性，完整性这些要求。分析和总结了协议实现时可能存在的各种潜在的攻击方式。在此基础上，结合SSL协议在具体部署中的情况，分析并实现了2种针对SSL协议的中间人攻击实验，并对其进行了分析比较。通过对SSL攻击方式的研究，为系统实现SSL检测提供了思路。
　　 在系统的设计与实现方面，本文首先根据需求和特定分析，按分布式网络管理模式设计了系统的总体架构，使前端设备与后台服务器独立部署，一个或者多个后台服务器可以统一对所有的前端设备进行管理。同时前端设备工作于透明模式，在实际部署中不需要改变任何拓扑结构，部署简单方便。针对SSL协议的检测可以根据定制的规则来运行，后台服务器通过网络配置。
　　 在前端数据采集方面，本文根据性能要求基于Netfilter框架改进了内核代码的处理过程，将数据从驱动层开始进入监测处理，监测更彻底，减少了操作系统的参与，操作系统内核处理开销更小，系统运行稳定。SSL信息采集模块只处理握手信息，其他操作采用定制报文发送后台，减小前端系统负载。在后台服务器程序方面，协议分析和定时发送上采用多线程技术，有效提升系统性能。
　　 本文实现的原型系统已经进行了实验环境测试，证明了系统实现的正确性，具有较好的可扩展性。