论文部分内容阅读
信息技术快速发展的同时,网络安全面对着更加严峻的问题和挑战。保障网络安全不止在于防范外来入侵,防范内部人员对于网络的损害也是非常重要的一方面。网络安全审计系统用以监督人员对于网络的使用,对用户行为进行识别、记录、存储和分析,对于保障内网安全具有重要的意义。数据采集作为审计系统数据来源,对系统起着至关重要的作用。 传输层安全协议(TLS,Transport Layer Security)是网络上用于保障通信安全的一种安全协议,已成为传输层安全的事实标准。TLS协议在客户端和服务器之间建立起一个安全的通道,提供身份认证、数据机密性及完整性验证等特性。TLS协议应用广泛,各种应用层协议可独立地运行于TLS协议层之上。 由于TLS数据传输涉及到证书、密钥交换、数据加密等安全处理,带来了较大的计算代价。此外,与明文协议的数据采集相比,TLS协议的复杂性、会话重用等特性也给数据采集带来了挑战。针对于此,本文开展了TLS协议数据采集、服务加速以及身份认证等方面的研究,主要研究成果和贡献如下: 1.TLS协议数据采集 由于TLS协议的复杂性及多种扩展项的存在,导致客户端和服务器实现的协议状态机实现多种多样。在基于中间人方式和旁路部署的数据采集系统中,TLS连接的建立和维护主要由客户端和服务器完成,数据采集器的目的在于获取明文信息,因此在实现时可以不维护复杂的状态机。本文提出了一种基于消息的状态机无关的数据采集方法,仅针对消息本身进行处理以获取密钥解密数据,可兼容客户端与服务器的TLS协议状态机实现方式,并支持协议的灵活变化和扩展。 另一方面,数据采集系统工作于旁路方式时,数据处理时需要对私钥进行查找并转换成特定的封装结构后使用。为提高私钥处理的效率,提出了一种结构化私钥信息缓存算法,通过缓存减少私钥转换的开销,同时仅在当前流进行私钥处理的核上触发缓存,减少缓存数量。实验表明当配置1024位和2048位RSA证书时,与不使用缓存算法时相比,系统CPS性能分别提升了130%和50%。 2.会话重用数据采集 网络中存在大量基于会话重用特性建立的TLS连接,为保障效率与采集数据的完整性,数据采集系统需要支持会话重用特性。针对Session ID和Session Ticket两种会话重用方式,提出一种基于哈希的会话重用采集方法,基于链表实现会话信息的缓存管理,并通过哈希表实现会话信息的查询。在基于Session ID的会话重用方式下,直接对会话信息进行缓存;在Session Ticket方式下,仅将Ticket作为标识对会话信息进行缓存,以减少解密Ticket的开销与解析不同Ticket格式的复杂性。该方法在实际应用中可有效采集两种会话重用方式下的数据。 3.服务加速 基于TLS协议的传输系统中,不同用户对于数据安全性与响应时间的需求并不一样。提出了一种适应目标的密钥套件选择算法,根据用户需求选择密钥套件。在此基础上,采用基于周期的优先级调度策略。在该策略下,服务器优先处理对响应时间需求高的请求,同时设置周期保障低优先级请求在周期内得到处理。实验证明算法有效减少了系统平均响应时间,当系统负载较大时,请求等待时间较长,算法的优势更加明显。 4.身份认证问题 TLS协议用以保护端到端的通信安全,在进行串联数据采集时,数据采集器是作为第三方设备,无法提供有效的服务器证书,而不能被客户端所认证。本文提出了一种基于授权凭证的第三方身份认证方法。在该方法中,服务器可通过签署授权凭证相对独立地对第三方进行授权。第三方在获取授权凭证后可独立完成与客户端的TLS连接建立过程。客户端通过对授权凭证的验证实现对第三方的身份认证,且可以通过对身份信息进行缓存,减少每次验证授权凭证带来的时间开销。实验结果证明了所提出方法对于第三方身份认证的有效性。启用客户端缓存时,方法所需要的连接时间降低了15.63%,有效提高了方法的性能。