基于组合公钥的IP安全通信系统设计研究
2022-03-18肖智飞
◆肖智飞
基于组合公钥的IP安全通信系统设计研究
◆肖智飞
(广东省电信规划设计院有限公司 广东 510630)
本文分析基于组合公钥的IP安全通信系统的设计目标,并结合践行经验,对系统内的五大模块,即:用户交互模块、日志模块、处理模块、过滤模块以及数据库模块进行概要设计,促进数据传输之前通信双方进行了身份认证、完成了密钥协商,通过“身份认证”与“密钥协商”更好地确保了数据的机密性与完整性,使系统的安全性得到提高。
组合公钥;局域网;系统设计
“互联网+”时代下,计算机网络已经悄无声息地沁入社会各领域,且发挥的作用日渐显著,而计算机网络安全是当代信息安全的重要组成,更受到了广泛的关注。近几年,局域网犹如雨后春笋地现身,却因TCP/IP协议本身安全机制的“空”与“虚”,致使不少企事业单位所见的内部网络存在着不容忽视的安全隐患,如用户密码被篡改、财务报表被修改等等。如若未能正确面对、解决局域网存在的安全隐患,必定会影响企事业单位的生产效率与经济收益,所以开展“局域网安全性”的专题研究是必要的、重要的。鉴于此,笔者立足于TCP/IP协议的不足——安全机制的“空”与“虚”,分析了基于组合公钥的IP安全通信系统的设计目标,并结合文献资料与践行经验,对IP安全通信系统的五大模块进行概要设计。
1 基于组合公钥的IP安全通信系统的设计目标
将组合公钥应用于IP安全通信系统的根本目标就是提升系统的信息安全性,具体来讲就是,保护系统数据的完整性、机密性,因此笔者围绕实现保护数据完成性与机密性的需求,阐述了基于组合公钥的IP安全通信系统的设计目标,详情如下:
(1)终端之间的通信务必在通信之前建立安全网络连接,这里提到的“连接”不包含广播包;
(2)所发数据包无一例外附有签名或者消息认证码;
(3)采用“对称”或者“非对称”加密算法进行加密,实现对数据的保密,但无论选用何种加密算法都务必在安全网络连接建立时进行协商;
(4)任何一个数据包都被附有一个无独有偶的编码,防止接收方重复接受;
(5)用户可以对网络地址、端口以及协议进行访问控制,通过配置界面进行策略设定;
(6)日志记录功能便于用户按需查阅。
2 IP安全通信系统五大模块的概要设计
2.1 用户交互模块的概要设计
用户交互模块设计到三大子模块,分别为:登录模块、策略配置模块以及外观模块(也被称之为“信息显示模块”),其在IP安全通信系统内常与“数据库”、“日志”以及“处理”三大模块相连接。其中,无论是“策略配置模块”的概要设计要求还是“信息显示模块”的概要设计要求都关注于“友好”与“便捷”二词,这里提到的“友好”就是界面友好,“便捷”则是便于广大用户进行配置与管理;“登录模块”设计则需要关注“提示”、“判断”以及“显示”三词,这里提到的“提示”主要是指提示用户输入用户名称与密码;“判断”则主要涉及两发面,分别为:判断用户名与密码是否匹配、判断是否为管理员账号;“显示”则是按照用户身份显示界面。系统运作过程中,“登录模块”的流程见图1。
图1 用户交互模块内登录模块的处理流程图
2.2 日志模块的概要设计
就“日志”二字来看,日志模块必定会涉及“查询”与“写入”,而结合其他系统的设计来看,定然也会包括一个数据库,这里提到的数据库可以简单地理解为“日志文件”,因此基于组合公钥的IP安全通信系统的日志模块以“日志”二字为核心,包括了文件(数据库)、查询以及写入三个子模块。其中,日志文件(数据库)的设计要点就是“时间”、“来源”、“名称”、“概要”以及“大小”;查询模块就是根据输入条件对日志文件(数据库)内的相应记录进行查找,并返回给调用模块(如若未能查阅到相应记录,则返回为空),这里值得关注的就是,查询并非单一地查找。日志写入模块则需要兼有“创建”、“查看”以及“写入”三个功能,相对于其他两个子模块来讲较为复杂,处理流程详情如下:
一是创建一个用于跨模块(进程)的通信方式,如管道;
二是查看是否已有其他模块写入信息,如若已经写入,则将相应信息写入日志文件或者数据库。
2.3 处理模块的概要设计
处理模块与系统内的其他四大模块皆连接,其涉及三个子模块,分别为通信模块与发送/接受数据处理模块,具体的连接见图2。
图2 处理模块与其他四模块的连接
通信模块与用户交互模块、日志模块以及过滤模块相连接,起到“桥梁”的作用,通常采用“接口”的方式实现,换言之通信模块的设计较为简单,这里不再赘述。
发送数据处理模块与过滤模块、数据库模块相连接,其设计过程中需要关注“取数据包”、“判断类型”、“找安全连接”、“处理数据”、“传递给过滤模块”的实现,尤其需要特别关注“处理数据”的三个关键点,即:编号、加密、签名(认证码),真切地提升数据传输过程中的安全性与保密性。发送数据包的处理流程详情见图3。接收数据处理模块的设计与发送数据处理模块的设计基本类同,这里不做赘述。
图3 发送数据包的处理流程图
2.4 过滤模块的概要设计
过滤模块的主要功能就在于“处理”二字,具体来讲就是,对接收而来的数据进行规则匹配,这里值得关注的就是,“匹配”的结果无外乎“丢弃数据包,并记录”或者“发回再次进行处理”,因此设计过滤模块时,必须要考虑“稳定性”与“实效性”。具体的设计过程中,理应关注“过滤模块”与“算法”匹配的速度,很大程度上强化通信网络的运行速度。
2.5 数据库模块的概要设计
这里提到的数据库模块主要是指连接数据库模块,其仅仅是指内存中记录各个安全网络连接状态的一张表。每当与通信对方建立安全网络连接后,连接数据库便会形成一条新纪录,该记录会涉及“地址”、“标识”、“序列号”、“密钥”、“状态”以及“时间”等各方面的内容,这里值得关注的就是,“地址”并非单一指出本机机器与目的机器(下面简称“通信双方的机器”)所在的地理位置,还会一目了然地告知通信双方机器的IP地址。建立安全网络连接的任务通常由单独的子模块完成,这里称之为“建立安全网络连接模块”,该模块的处理流程图,如图4所示。
图4 建立安全网络连接模块的处理流程图
3 结语
就理论来讲,基于组合公钥的IP安全通信系统确能够有效地解决当前局域网应用与发展所面临的困境,提高系统内数据的机密性与完整性,真切地强化局域网安全性的提升。上述系统达到了以下两个标准,分别为:网内的任何一个结点仅能够接收发给它的数据包,且仅能接收一次;网内的任何一个结点都能精准地认证数据包内任何一个数据的来源,且能够快速地验证数据包内所含数据是否完整。
[1]聂红伟.基于组合公钥的邮件密钥安全系统的设计[J].自动化技术与应用,2019(08):31-34.
[2]洪慧.局域网环境下的计算机网络安全技术应用性研究[J].电脑编程技巧与维护,2021(02):168-170.
[3]黄展鹏,蒙炜龙,吴俊璋,等.TCP/IP协议安全分析仿真平台设计[J].科技视界,2019(32):121-122.