面向SSL流量檢測(cè)網(wǎng)關(guān)的數(shù)字證書(shū)技術(shù)研究.pdf

1、隨著基于SSL協(xié)議的應(yīng)用在Internet和企業(yè)內(nèi)部網(wǎng)絡(luò)上的迅速增長(zhǎng)，傳輸流量中SSL流量所占比例也越來(lái)越高。由于大多數(shù)網(wǎng)絡(luò)安全設(shè)備無(wú)法實(shí)現(xiàn)SSL流量的可視性和精確控制，SSL加密流量成為病毒、間諜軟件、欺詐應(yīng)用和其他網(wǎng)絡(luò)威脅進(jìn)入企業(yè)網(wǎng)絡(luò)的新渠道，企業(yè)內(nèi)部機(jī)密信息也面臨泄漏、偷竊等可能性。為此，當(dāng)前業(yè)界積極研究如何對(duì)SSL流量實(shí)施檢測(cè)，通過(guò)解密SSL流量，提供對(duì)通信內(nèi)容的明文檢查，過(guò)濾和阻止惡意的SSL流量，實(shí)現(xiàn)全面的網(wǎng)絡(luò)安全防護(hù)。本文

2、圍繞SSL流量檢測(cè)網(wǎng)關(guān)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，特別是SSL流量加解密過(guò)程中涉及的與數(shù)字證書(shū)處理相關(guān)的關(guān)鍵技術(shù)展開(kāi)研究，提出了網(wǎng)關(guān)數(shù)字證書(shū)處理子系統(tǒng)設(shè)計(jì)方案，然后在深入分析了各項(xiàng)技術(shù)的實(shí)現(xiàn)機(jī)制的基礎(chǔ)上，完成了具體實(shí)現(xiàn)。為了確保網(wǎng)關(guān)與客戶端之間的SSL應(yīng)用數(shù)據(jù)的安全交換，本文還設(shè)計(jì)和實(shí)現(xiàn)了在被保護(hù)網(wǎng)絡(luò)中提供統(tǒng)一信任機(jī)制的小型CA系統(tǒng)。
　　本研究主要內(nèi)容包括：⑴從SSL流量檢測(cè)網(wǎng)關(guān)的部署環(huán)境、功能需求出發(fā)，提出了基于透明攔截模式的系統(tǒng)設(shè)計(jì)方

3、案，解決了系統(tǒng)平臺(tái)網(wǎng)絡(luò)處理性能、安全策略控制、安全性三者之間的平衡問(wèn)題。⑵針對(duì)網(wǎng)關(guān)與客戶端之間建立SSL會(huì)話時(shí)產(chǎn)生的信任關(guān)系問(wèn)題，設(shè)計(jì)了支持網(wǎng)關(guān)運(yùn)作的小型CA系統(tǒng)，該系統(tǒng)同時(shí)提供了網(wǎng)關(guān)加解密數(shù)據(jù)所需的密鑰對(duì)。CA系統(tǒng)采用二級(jí)嚴(yán)格層次結(jié)構(gòu)信任模型設(shè)計(jì)，網(wǎng)關(guān)與被保護(hù)網(wǎng)絡(luò)的客戶端共同信任一個(gè)根CA，從而使客戶端接受來(lái)自網(wǎng)關(guān)的SSL會(huì)話。采用開(kāi)源軟件包OpenSSL完成CA系統(tǒng)的功能實(shí)現(xiàn)。⑶基于網(wǎng)關(guān)工作原理，提出了網(wǎng)關(guān)中數(shù)字證書(shū)處理子系統(tǒng)設(shè)計(jì)方