面向SSL流量检测网关的数字证书技术研究

【摘要】：随着基于SSL协议的应用在Internet和企业内部网络上的迅速增长,传输流量中SSL流量所占比例也越来越高。由于大多数网络安全设备无法实现SSL流量的可视性和精确控制,SSL加密流量成为病毒、间谍软件、欺诈应用和其他网络威胁进入企业网络的新渠道,企业内部机密信息也面临泄漏、偷窃等可能性。为此,当前业界积极研究如何对SSL流量实施检测,通过解密SSL流量,提供对通信内容的明文检查,过滤和阻止恶意的SSL流量,实现全面的网络安全防护。本文围绕SSL流量检测网关系统的设计与实现,特别是SSL流量加解密过程中涉及的与数字证书处理相关的关键技术展开研究,提出了网关数字证书处理子系统设计方案,然后在深入分析了各项技术的实现机制的基础上,完成了具体实现。为了确保网关与客户端之间的SSL应用数据的安全交换,本文还设计和实现了在被保护网络中提供统一信任机制的小型CA系统。主要工作包括:第一,从SSL流量检测网关的部署环境、功能需求出发,提出了基于透明拦截模式的系统设计方案,解决了系统平台网络处理性能、安全策略控制、安全性三者之间的平衡问题。第二,针对网关与客户端之间建立SSL会话时产生的信任关系问题,设计了支持网关运作的小型CA系统,该系统同时提供了网关加解密数据所需的密钥对。CA系统采用二级严格层次结构信任模型设计,网关与被保护网络的客户端共同信任一个根CA,从而使客户端接受来自网关的SSL会话。采用开源软件包Open SSL完成CA系统的功能实现。第三,基于网关工作原理,提出了网关中数字证书处理子系统设计方案。按照网关内部数字证书处理流程,从四个方面分析了证书处理关键技术:服务器证书数据的提取;服务器证书信息解析;网关自签证书的生成;SSL会话中使用网关证书替换服务器证书。阐述了各项关键技术处理流程和算法实现,逐一实现了子系统中各模块功能。最后,搭建了系统功能测试平台,给出测试结果,验证了证书处理整体设计方案的合理性以及系统功能的正确性。本文采用的数字证书处理以及小型CA系统的设计方案,也为各类SSL流量检测平台提供了有参考价值的分析和实现方法。
【关键词】：SSL 流量检测 数字证书 Open SSL
【学位级别】：硕士
【学位授予年份】：2013
【分类号】：TP393.06