談組合公鑰的IP安全通信系統設計

前言：尋找寫作靈感？中文期刊網用心挑選的談組合公鑰的IP安全通信系統設計，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：本文分析基于組合公鑰的ip安全通信系統的設計目標，并結合踐行經驗，對系統內的五大模塊，即：用戶交互模塊、日志模塊、處理模塊、過濾模塊以及數據庫模塊進行概要設計，促進數據傳輸之前通信雙方進行了身份認證、完成了密鑰協商，通過―身份認證‖與―密鑰協商‖更好地確保了數據的機密性與完整性，使系統的安全性得到提高。

關鍵詞：組合公鑰；局域網；系統設計

“互聯網+”時代下，計算機網絡已經悄無聲息地沁入社會各領域，且發揮的作用日漸顯著，而計算機網絡安全是當代信息安全的重要組成，更受到了廣泛的關注。近幾年，局域網猶如雨后春筍地現身，卻因TCP/IP協議本身安全機制的“空”與“虛”，致使不少企事業單位所見的內部網絡存在著不容忽視的安全隱患，如用戶密碼被篡改、財務報表被修改等等。如若未能正確面對、解決局域網存在的安全隱患，必定會影響企事業單位的生產效率與經濟收益，所以開展“局域網安全性”的專題研究是必要的、重要的。鑒于此，筆者立足于TCP/IP協議的不足——安全機制的“空”與“虛”，分析了基于組合公鑰的IP安全通信系統的設計目標，并結合文獻資料與踐行經驗，對IP安全通信系統的五大模塊進行概要設計。

1基于組合公鑰的IP安全通信系統的設計目標

將組合公鑰應用于IP安全通信系統的根本目標就是提升系統的信息安全性，具體來講就是，保護系統數據的完整性、機密性，因此筆者圍繞實現保護數據完成性與機密性的需求，闡述了基于組合公鑰的IP安全通信系統的設計目標，詳情如下：（1）終端之間的通信務必在通信之前建立安全網絡連接，這里提到的“連接”不包含廣播包；（2）所發數據包無一例外附有簽名或者消息認證碼；（3）采用“對稱”或者“非對稱”加密算法進行加密，實現對數據的保密，但無論選用何種加密算法都務必在安全網絡連接建立時進行協商；（4）任何一個數據包都被附有一個無獨有偶的編碼，防止接收方重復接受；（5）用戶可以對網絡地址、端口以及協議進行訪問控制，通過配置界面進行策略設定；（6）日志記錄功能便于用戶按需查閱。

2IP安全通信系統五大模塊的概要設計

2.1用戶交互模塊的概要設計

用戶交互模塊設計到三大子模塊，分別為：登錄模塊、策略配置模塊以及外觀模塊（也被稱之為“信息顯示模塊”），其在IP安全通信系統內常與“數據庫”、“日志”以及“處理”三大模塊相連接。其中，無論是“策略配置模塊”的概要設計要求還是“信息顯示模塊”的概要設計要求都關注于“友好”與“便捷”二詞，這里提到的“友好”就是界面友好，“便捷”則是便于廣大用戶進行配置與管理；“登錄模塊”設計則需要關注“提示”、“判斷”以及“顯示”三詞，這里提到的“提示”主要是指提示用戶輸入用戶名稱與密碼；“判斷”則主要涉及兩發面，分別為：判斷用戶名與密碼是否匹配、判斷是否為管理員賬號；“顯示”則是按照用戶身份顯示界面。系統運作過程中，“登錄模塊”的流程見圖1。

2.2日志模塊的概要設計

就“日志”二字來看，日志模塊必定會涉及“查詢”與“寫入”，而結合其他系統的設計來看，定然也會包括一個數據庫，這里提到的數據庫可以簡單地理解為“日志文件”，因此基于組合公鑰的IP安全通信系統的日志模塊以“日志”二字為核心，包括了文件（數據庫）、查詢以及寫入三個子模塊。其中，日志文件（數據庫）的設計要點就是“時間”、“來源”、“名稱”、“概要”以及“大小”；查詢模塊就是根據輸入條件對日志文件（數據庫）內的相應記錄進行查找，并返回給調用模塊（如若未能查閱到相應記錄，則返回為空），這里值得關注的就是，查詢并非單一地查找。日志寫入模塊則需要兼有“創建”、“查看”以及“寫入”三個功能，相對于其他兩個子模塊來講較為復雜，處理流程詳情如下：一是創建一個用于跨模塊（進程）的通信方式，如管道；二是查看是否已有其他模塊寫入信息，如若已經寫入，則將相應信息寫入日志文件或者數據庫。

2.3處理模塊的概要設計

處理模塊與系統內的其他四大模塊皆連接，其涉及三個子模塊，分別為通信模塊與發送/接受數據處理模塊，具體的連接見圖2。通信模塊與用戶交互模塊、日志模塊以及過濾模塊相連接，起到“橋梁”的作用，通常采用“接口”的方式實現，換言之通信模塊的設計較為簡單，這里不再贅述。發送數據處理模塊與過濾模塊、數據庫模塊相連接，其設計過程中需要關注“取數據包”、“判斷類型”、“找安全連接”、“處理數據”、“傳遞給過濾模塊”的實現，尤其需要特別關注“處理數據”的三個關鍵點，即：編號、加密、簽名（認證碼），真切地提升數據傳輸過程中的安全性與保密性。發送數據包的處理流程詳情見圖3。接收數據處理模塊的設計與發送數據處理模塊的設計基本類同，這里不做贅述。

2.4過濾模塊的概要設計

過濾模塊的主要功能就在于“處理”二字，具體來講就是，對接收而來的數據進行規則匹配，這里值得關注的就是，“匹配”的結果無外乎“丟棄數據包，并記錄”或者“發回再次進行處理”，因此設計過濾模塊時，必須要考慮“穩定性”與“實效性”。具體的設計過程中，理應關注“過濾模塊”與“算法”匹配的速度，很大程度上強化通信網絡的運行速度。

2.5數據庫模塊的概要設計

這里提到的數據庫模塊主要是指連接數據庫模塊，其僅僅是指內存中記錄各個安全網絡連接狀態的一張表。每當與通信對方建立安全網絡連接后，連接數據庫便會形成一條新紀錄，該記錄會涉及“地址”、“標識”、“序列號”、“密鑰”、“狀態”以及“時間”等各方面的內容，這里值得關注的就是，“地址”并非單一指出本機機器與目的機器（下面簡稱“通信雙方的機器”）所在的地理位置，還會一目了然地告知通信雙方機器的IP地址。建立安全網絡連接的任務通常由單獨的子模塊完成，這里稱之為“建立安全網絡連接模塊”，該模塊的處理流程圖，如圖4所示。

3結語

就理論來講，基于組合公鑰的IP安全通信系統確能夠有效地解決當前局域網應用與發展所面臨的困境，提高系統內數據的機密性與完整性，真切地強化局域網安全性的提升。上述系統達到了以下兩個標準，分別為：網內的任何一個結點僅能夠接收發給它的數據包，且僅能接收一次；網內的任何一個結點都能精準地認證數據包內任何一個數據的來源，且能夠快速地驗證數據包內所含數據是否完整。

作者：肖智飛 單位：廣東省電信規劃設計院有限公司