一种服务标识解析系统的安全模块设计与实现

摘要

本文的工作是国家“973”项目“一体化可信网络与普适服务体系基础研究”原型系统实现的一部分。在一体化可信网络与普适服务体系中，所有的网络资源和服务都用服务标识统一描述，并利用服务标识解析映射将服务标识解析成接入标识，实现服务的统一查找。基于Chord算法的服务标识解析系统是一种用来实现上述标识映射关系的解决方案。 然而，该方案并没有过多的考虑网络安全方面的问题，所以可能存在关键数据被篡改，拒绝服务（Denial of Service，DoS）攻击和非法用户恶意注册等安全隐患。 本文的主要工作，是在他人设计的基于Chord算法的服务标识解析系统的基础上，对该系统添加相关安全机制，提高该系统的安全性和可靠性。解析系统安全方面的需求，主要体现在数据保密性、数据完整性、不可否认性和认证几个方面，其中认证又包含对系统中通信节点之间的认证以及对用户的认证和访问控制。针对这些需求，本文首先以资源注册过程为例，详细分析了解析系统的通信过程以明确原有代码需要修改之处，然后利用OpenSSL库提供的对称加密算法接口以及公钥加密和私钥签名算法接口编写代码，保障解析系统关键数据的保密性、完整性和不可否认性。对于通信节点之间的认证，本文利用一个可信的第三方认证机构，给解析系统各节点发放包含公钥的证书，在通信时通过交换并验证证书使通信双方彼此信任。另外，本文在解析系统中部署PAM（Pluggable Authentication Modules，可插拔认证模块）用户认证机制，依据用户认证需求编写相关配置文件和认证代码，对用户进行认证、授权和审计，并且实现了用户的分布式认证，消除了传统网络集中认证方式单点失效的弊端。 本文按照以下结构进行描述： 1、对一体化网络，基于Chord算法的服务标识解析系统以及论文相关安全协议和工具进行介绍。 2、分析解析系统的安全需求，介绍各方面需求的设计思路，并对关键需求进行进一步细分。 3、针对安全需求及其设计思路，介绍各个安全模块的实现方法和流程。 4、介绍本文相关的试验环境，并在此环境下完成对解析系统安全模块的编码和测试。

目录

文摘

英文文摘

声明

致谢

1 研究背景

1.1 一体化网络介绍

1.2 服务标识解析系统介绍

1.2.1 Chord算法简介

1.2.2 系统模型结构

1.3 相关安全协议及工具介绍

1.3.1 PAM用户认证机制

1.3.2 SSL协议、TLS协议及DTLS协议简介

1.3.3 PKI及OpenSSL简介

1.4 论文主要工作及结构

2 解析系统安全需求分析与设计

2.1 一体化网络对传统网络安全问题的解决

2.2 解析系统安全需求分析

2.3 解析系统安全机制的设计思路

2.3.1 数据的保密性

2.3.2 数据的完整性

2.3.3 不可否认性

2.3.4 节点的认证

2.3.5 用户认证需求的进一步细分

3 解析系统安全模块的实现

3.1 用OpenSSL库保障解析系统安全

3.1.1 服务标识解析系统通信过程分析

3.1.2 OpenSSL主要结构体介绍

3.1.3 DTLS协议握手过程的实现

3.1.4 数据加解密过程

3.2 用PAM机制认证用户

3.2.1 解析系统用户注册与登录流程

3.2.2 编写PAM配置文件

3.2.3 编写PAM认证代码

4 试验环境搭建与测试

4.1 搭建实验环境

4.1.1 网络拓扑示意图

4.1.2 安装Sun xVM VirtualBox 2.1.4

4.1.3 调试网络

4.1.4 生成证书

4.2 DTLS握手及证书认证过程测试

4.3 加解密及验证数据完整性测试

4.3.1 加解密测试

4.3.2 数据完整性测试

4.4 用户认证测试

5 结论

参考文献

作者简历