版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)
文檔簡介
1、<p> 中圖分類號:0415密級:公開</p><p> UDC:530學(xué)校代碼:10082</p><p> 河北科技大學(xué)學(xué)位論文原創(chuàng)性聲明</p><p> 本人鄭重聲明:所呈交的學(xué)位論文,是本人在導(dǎo)師的指導(dǎo)下,獨立進行研究工作所取得的成果。對本文的研究做出重要貢獻的個人和集體,均已在文中以明確方式標(biāo)明。除文中已經(jīng)注明引用的內(nèi)容外,本論文不包含任
2、何其他個人或集體已經(jīng)發(fā)表或撰寫過的作品或成果。本人完全意識到本聲明的法律結(jié)果由本人承擔(dān)。</p><p> 學(xué)位論文作者簽名: 指導(dǎo)教師簽名:</p><p> 年 月 日 年 月 日</p><p> ----------------------------------
3、-------------------------------------------------------------------------</p><p> 河北科技大學(xué)學(xué)位論文版權(quán)使用授權(quán)書</p><p> 本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定,同意學(xué)校保留并向國家有關(guān)部門或機構(gòu)送交論文的復(fù)印件和電子版,允許論文被查閱和借閱。本人授權(quán)河北科技大學(xué)可以將本學(xué)
4、位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進行檢索,可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。</p><p> □保密,在 年解密后適用本授權(quán)書。</p><p><b> 本學(xué)位論文屬于</b></p><p><b> □不保密。</b></p><p> ?。ㄕ堅谝陨戏娇騼?nèi)
5、打“√”)</p><p> 學(xué)位論文作者簽名: 指導(dǎo)教師簽名:</p><p> 年 月 日 年 月 日</p><p><b> 摘 要</b></p><p> 本文針對某市新建化工區(qū)與其配套的工業(yè)污水處理廠進行研究
6、,在分析某市化工區(qū)產(chǎn)生的廢水水質(zhì)和水量的基礎(chǔ)上,調(diào)查研究了針對石化廢水中高濃度有機污染物,氨氮和高COD的現(xiàn)行各種處理工藝和方法,并經(jīng)過對選定的兩種工業(yè)廢水處理方案的優(yōu)化比選,對兩方案進行了技術(shù)、經(jīng)濟分析比對,最終確定了某市化工區(qū)工業(yè)污水處理廠工藝采用污水處理工藝為“勻質(zhì)調(diào)節(jié)—混凝沉淀—水解酸化— 一級A/O— 二級A/O—監(jiān)測消毒”,本工藝主要針對化工區(qū)新建石油化工項目產(chǎn)生的廢水進行處理,具有投資成本低,處理效果顯著、易于維護管理,運
7、行成本較低的特點,能經(jīng)濟,有效的去除廢水中的高濃度有機污染物,氨氮和CODCr等,使出水水質(zhì)達到國家《污水綜合排放標(biāo)準(zhǔn)》(GB8978—1996)中的二級標(biāo)準(zhǔn),解決了石化廢水中有機污染物難降解 的技術(shù)難題,并完成了化工區(qū)污水處理廠總體設(shè)計。本工程建設(shè)規(guī)模為3萬m3/d,占地面積為60200m2,項目建設(shè)總投資概算為15022.18萬元,單位處理成本為2.61元/m3污水,單位運營成本1.94元/m3污水。并且通過工程效益評估,本工程具有
8、良好的環(huán)境效益和社會效益,在確保收費的前提下,可產(chǎn)生良好的、間接的</p><p> 關(guān)鍵詞 化工;工業(yè)廢水;生物處理;污水處理工藝;污水處理廠設(shè)計 </p><p><b> Abstract</b></p><p> In view of research that a newly built chemical industrial
9、 zone and Supporting wastewater treatment equipments.On the basis of quantity and quality of the water in one chemical industrial zone,this paper investigates and studies current process of high concentrated Organic Poll
10、utants,NH3-N and COD in petrochmical wastewater,and compares two options and selects the optimum plan that adjustment—sedimentation--1</p><p> -class A/O--2-class A/O--monitor-sanitizeing.This research subj
11、ect is treated Petrochemical project wastewater,which is good in stable discharging water,easy maintenance and management and good reliability and practical,which removal efficiency of BOD,COD and SS.This paper has desgi
12、ned overall sewage treatment plant in chemical industrial zone,and the water quality meets 2-class criteria specified in the Integrated Wastewater Discharge Standard (GB 8978-1996). The selected treatment methods solv<
13、;/p><p> Key words Chemical industry;Industrial wastewater;Biological treatment;Wastewater treatment technology;Design of sewage treatment plant</p><p><b> 目 錄</b></p><p&
14、gt;<b> 摘 要I</b></p><p> AbstractII</p><p> 第1章 緒 論1</p><p> 1.1 論文的研究背景1</p><p> 1.1.1 研究背景1</p><p> 1.1.2 選題意義1</p>&
15、lt;p> 1.2 國內(nèi)外研究現(xiàn)狀及發(fā)展趨勢1</p><p> 1.2.1 物理方法1</p><p> 1.2.2 化學(xué)方法2</p><p> 1.2.3 生物處理法2</p><p> 1.2.4 超聲法3</p><p> 1.3 研究內(nèi)容3</p>&
16、lt;p> 第2章 SSL協(xié)議內(nèi)容及研究4</p><p> 2.1 SSL協(xié)議的概述4</p><p> 2.1.1 SSL的協(xié)議堆棧4</p><p> 2.1.2 數(shù)據(jù)的傳輸流程5</p><p> 2.2 SSL連接及會話5</p><p> 2.3 記錄協(xié)議層6<
17、;/p><p> 2.3.1 記錄協(xié)議的操作過程6</p><p> 2.3.2 SSL記錄格式7</p><p> 2.4 SSL改變加密約定協(xié)議8</p><p> 2.5 本章小結(jié)8</p><p> 第3章 信息安全機制9</p><p> 3.1 加密機制
18、9</p><p> 3.1.1 密碼學(xué)基礎(chǔ)知識9</p><p> 3.1.2 對稱加密算法10</p><p> 3.1.3 公開密鑰密碼10</p><p> 3.2 數(shù)據(jù)完整性機制10</p><p> 3.2.1 數(shù)據(jù)完整性驗證10</p><p>
19、3.2.2 數(shù)字摘要11</p><p> 3.3 數(shù)字簽名機制11</p><p> 3.3.1 數(shù)字摘要11</p><p> 3.3.2 數(shù)字摘要的實現(xiàn)方11</p><p> 3.4 訪問數(shù)字簽名機制12</p><p> 3.5 本章小結(jié)12</p><p
20、> 第4章 安全代理的設(shè)計與分析13</p><p> 4.1 計算機代理技術(shù)13</p><p> 4.2 設(shè)計安全代理的必要性13</p><p> 4.3 安全代理的工作原理14</p><p> 4.3.1 安全代理的客戶端原理14</p><p> 4.3.2 安全代理
21、的服務(wù)端原理15</p><p> 4.4 本論文設(shè)計的主要工作16</p><p> 4.5 安全代理的設(shè)計思想16</p><p> 4.5.1 安全代理的客戶端設(shè)計16</p><p> 4.5.2 安全代理的服務(wù)端設(shè)計17</p><p> 4.6 本章小結(jié)18</p>
22、;<p> 第5章 安全代理的實現(xiàn)19</p><p> 5.1 安全代理的實現(xiàn)技術(shù)19</p><p> 5.1.1 密碼技術(shù)19</p><p> 5.1.2 套接字編程技術(shù)19</p><p> 5.2 本章小結(jié)20</p><p><b> 結(jié) 論21
23、</b></p><p><b> 附 錄23</b></p><p><b> 附錄A23</b></p><p><b> 附錄B23</b></p><p><b> 參考文獻24</b></p><
24、p> 攻讀碩士學(xué)位期間所發(fā)表的論文25</p><p><b> 致 謝26</b></p><p><b> 個人簡歷27</b></p><p><b> 第1章 緒 論</b></p><p> 1.1 論文的研究背景</p>
25、<p> 1.1.1 研究背景</p><p> 21世紀(jì)全球可持續(xù)發(fā)展面臨著“人口、資源、環(huán)境”三大問題,這些問題無不與水息息相關(guān)。我國不僅水資源貧缺,而且隨著我國城市化和工業(yè)化程度的提高,水環(huán)境污染問題日益嚴(yán)重[1,2]。公共環(huán)境安全成為社會關(guān)注的焦點,加大水污染治理、確保水環(huán)境質(zhì)量成為各級政府和全社會的熱門話題[3]。</p><p> 1.1.2 選題意義<
26、;/p><p> 根據(jù)《某市環(huán)境保護“十一五”規(guī)劃》,化工區(qū)水環(huán)境保護目標(biāo)為,地表水環(huán)境:規(guī)劃范圍內(nèi)的現(xiàn)有河網(wǎng),2010年達到四類水域功能要求,2015年達到三類水域功能要求;海域水環(huán)境:2015年近海水域達到三類標(biāo)準(zhǔn)(GB3097—1997)。為實現(xiàn)上述目標(biāo),需要加強水污染綜合治理:鞏固和深化工業(yè)廢水達標(biāo)排放成果,抓好重點領(lǐng)域、重點行業(yè)的污染綜合整治,規(guī)劃建設(shè)一批污水處理工程,包括某市化工區(qū)污水處理廠等污水處理項
27、目。本課題的研究需選用有效的石化廢水處理技術(shù)和方法,主要技術(shù)難點在于高有機污染物,氨氮和高COD的降解,因此對工藝方案的選擇需通過比選的方式確定最佳工藝技術(shù)路線。</p><p> 1.2 國內(nèi)外研究現(xiàn)狀及發(fā)展趨勢</p><p> 現(xiàn)代污水處理的基本方法是采用各種技術(shù),將污水中所含的污染物質(zhì)分離除去,或回收利用,或?qū)⑵滢D(zhuǎn)化為無公害物質(zhì),使水體得到凈化。</p><
28、;p> 石油化工是以石油為原料,以裂解、精煉、分餾、重整和合成等工藝為主的一系列有機物加工過程,生產(chǎn)中產(chǎn)生的廢水成分復(fù)雜、水質(zhì)水量波動大、污染物濃度高且難降解,污染物多為生物難降解有毒有害的有機物,對環(huán)境污染嚴(yán)重。隨著水資源的日益緊張和人們環(huán)境保護意識的加強,石油化工廢水的處理技術(shù)逐漸成為研究的熱點,新的處理技術(shù)和工藝不斷涌現(xiàn),主要分為以下幾類。</p><p> 1.2.1 物理方法</p&g
29、t;<p> 傳統(tǒng)物理方法是指通過物理的作用,分離和去除廢水中不溶解的懸浮固體的方法[4]。大致可分為:均質(zhì)調(diào)節(jié)、機械過濾、沉淀、蒸發(fā)、離心分離、物理吸附、膜處理技術(shù)等。</p><p> 化工生產(chǎn)過程中產(chǎn)生的廢水量及水質(zhì)是隨時間變化的,其污染物的含量有很大波動,因此采用調(diào)節(jié)池的方法使廢水水質(zhì)均化,不僅使廢水的色度、堿度、生化需氧量、pH值、濁度等變得均勻,更重要的是可以把排放集中的高濃度廢水水
30、質(zhì)調(diào)平,并且由于廢水在調(diào)節(jié)池內(nèi)停留,會發(fā)生物理的、化學(xué)的和生物反應(yīng)作用,一定程度上降低污染物濃度,減輕處理負(fù)荷。</p><p> 1.2.2 化學(xué)方法</p><p> 化學(xué)方法是利用化學(xué)反應(yīng)的作用,分離回收污水中處于各種形態(tài)的污染物質(zhì),如中和、氧化還原、化學(xué)沉淀、電解等[31]。</p><p> 中和法是利用酸堿中和來調(diào)整廢水中的pH值,使廢水達到中性
31、。中和的方法有用酸性廢水和堿性廢水互相中和,或利用酸、堿性廢物來分別中和堿、酸性廢水。當(dāng)廢水中含有的酸或堿的濃度很高時,在5%以上,可以考慮回用和綜合利用;當(dāng)濃度不高,低于3%時,回收或綜合利用的經(jīng)濟意義不大,才考慮酸堿中和處理。</p><p> 1.2.3 生物處理法</p><p> 生物處理法是利用微生物來降解廢水中污染物的方法和手段。主要優(yōu)點是處理成本低、效率高,出水水質(zhì)一
32、般可達標(biāo)排放。主要有活性污泥法、生物膜法、生物穩(wěn)定法、厭氧生物技術(shù)等?;钚晕勰喾ㄊ菍U水和活性污泥的混合物進行曝氣,活性污泥中的好氧微生物,在與廢水接觸的同時,將廢水中的污染物降解。生物膜法是土壤自凈的人工強化,是使微生物群體以膜狀附著在機械物體的表面上,與廢水接觸,通過降解廢水中的污染物使廢水得以凈化。生物穩(wěn)定法降解有機污染物的原理與活性污泥法和生物膜法不同,它利用細(xì)菌和原生動物降解有機物,氧的補給除隨廢水進水補給和大氣供氧外,主要靠
33、植物性浮游生物和藻類的光合作用供氧。厭氧生物技術(shù)常用來處理高濃度有機廢水和污泥,但厭氧處理后的出水需進一步處理才能達標(biāo)排放。在處理工業(yè)廢水時,常常是先通過物理和化學(xué)的方法對廢水進行預(yù)處理,再用生物方法對廢水進行進一步的處理。現(xiàn)代工業(yè)的發(fā)展使含有高濃度難降解有機污染物的廢水日益增多,這些物質(zhì)的共同特點是成分復(fù)雜、生物毒性大、化學(xué)耗氧量高,一般微生物對其幾乎沒有降解效果。對于難降解有機廢水的治理,是水處理領(lǐng)域的一個熱點問題。在這一方面,發(fā)展
34、了許多處理手段,取得了不少</p><p> 1.2.4 超聲法</p><p> 超聲技術(shù)是利用聲空化能量加速并控制化學(xué)反應(yīng),提高反應(yīng)效率的一種新技術(shù)。超聲波能加快反應(yīng)進程,主要作用機理有空化效應(yīng)、機械剪切效應(yīng)、超聲絮凝效應(yīng)和自由基效應(yīng),超聲能夠破壞顆粒物的雙電層的球形對稱,使顆粒易凝聚。Hotspot使進入空化泡中的水蒸氣發(fā)生了分裂及鏈?zhǔn)椒磻?yīng),形成H-OH自由基,強大的剪切力可使
35、大分子主鏈上的碳鏈斷裂,從而起到降解高分子的作用,并促使上述產(chǎn)生的自由基進入溶液,促使物質(zhì)進行氧化分解[33,34]。</p><p><b> 1.3 研究內(nèi)容</b></p><p> 本課題以某市化工區(qū)工業(yè)污水處理廠新建工程為研究對象。根據(jù)《某市化工區(qū)總體規(guī)劃》新建化工區(qū)工業(yè)污水處理廠將處理化工區(qū)所產(chǎn)生的工業(yè)污水。具體研究內(nèi)容如下:</p>
36、<p> 1) 通過對某市化工區(qū)企業(yè)近期和遠(yuǎn)期規(guī)劃以及現(xiàn)狀進行系統(tǒng)科學(xué)的調(diào)查研究運用正確的方法預(yù)測各區(qū)域內(nèi)給排水量和水環(huán)境污染的發(fā)展趨勢和程度確定化工區(qū)內(nèi)工業(yè)污水污染物的排放總量,以及污水水質(zhì)分析。</p><p> 2) 根據(jù)某市水環(huán)境質(zhì)量控制目標(biāo)及環(huán)境容量的要求,通過優(yōu)化比選對某市化工區(qū)工業(yè)污水處理的工程技術(shù)方案,確定最佳某市化工區(qū)工業(yè)污水處理廠工程工藝方案和技術(shù)路線。</p>&
37、lt;p> 第2章 SSL協(xié)議內(nèi)容及研究</p><p> 2.1 SSL協(xié)議的概述</p><p> SSL協(xié)議是基于對稱密鑰算法和公鑰加密算法的加密傳輸信道的協(xié)議,位于應(yīng)用層與傳輸層之間,獨立于應(yīng)用層協(xié)議,在SSL協(xié)議上可加載任何高層應(yīng)用協(xié)議,應(yīng)用程序可使用SSL應(yīng)用接口為各類客戶端/服務(wù)器產(chǎn)品提供安全傳輸服務(wù),現(xiàn)已成為保密通信的標(biāo)準(zhǔn)。SSL協(xié)議采用RSA,DES等加密
38、技術(shù)來實現(xiàn)數(shù)據(jù)的保密性,采用MD5信息摘要算法等來實現(xiàn)數(shù)據(jù)的完整性,使用數(shù)字證書進行身份認(rèn)證。SSL現(xiàn)在主要是SSLv2,SSLv3版本,本文主要是探討SSLv3為主。SSL協(xié)議的作用如表2-1所示[6]:</p><p> 表2-1 SSL協(xié)議的應(yīng)用</p><p> (1) 信息保密性 通過使用公開密鑰和對稱密鑰技術(shù)達到信息保密。SSL客戶端和服務(wù)器之間的所有業(yè)務(wù)都使用在SS
39、L握手過程中建立的密鑰和算法進行加密。這樣就防止某人利用網(wǎng)絡(luò)工具竊聽。盡管利用Pack Sniffer仍能捕捉到網(wǎng)絡(luò)中所傳信息,但由于沒有密鑰,仍不能破解。</p><p> (2) 信息完整性 確保SSL業(yè)務(wù)全部達到目的。應(yīng)確保服務(wù)器和客戶端之間的信息內(nèi)容免受破壞。SSL利用消息認(rèn)證碼提供信息完整性服務(wù)。</p><p> 2.1.1 SSL的協(xié)議堆棧</p>&
40、lt;p> SSL協(xié)議是一個分層協(xié)議,共分為兩層。位于底層的是記錄層協(xié)議(SSL Record Protocol),它位于可靠的傳輸層協(xié)議(如TCP/IP)之上,用于上層數(shù)據(jù)的封裝[7]。高層協(xié)議主要包括SSL握手協(xié)議(SSL Handshake Protocol)、改變加密約定協(xié)議(Change Cipher Spec Protocol)、報警協(xié)議(Alert Protocol)等。其中SSL握手協(xié)議允許服務(wù)方和客戶方相互認(rèn)證
41、,并在應(yīng)用層協(xié)議傳送數(shù)據(jù)之前協(xié)商出一個加密算法和會話密鑰,是SSL協(xié)議的核心。SSL協(xié)議的層次結(jié)構(gòu)[8]見圖2-1所示。 </p><p> 圖2-1 SSL協(xié)議的層次結(jié)構(gòu)圖</p><p><b> 1)SSL握手協(xié)議</b></p><p> SSL握手有三個目的。第一,客戶端與服務(wù)器協(xié)商保護數(shù)據(jù)的一組算法;第二,確立一組這些算法所
42、使用的密鑰;第三,客戶端驗證服務(wù)器的證書的合法性,服務(wù)器也可以可選地對客戶端進行驗證,如果驗證失敗則斷開連接。握手消息被傳給SSL記錄層。</p><p> 2)SSL改變加密約定協(xié)議(Change_Cipher_Spec)</p><p> 它表示記錄加密及認(rèn)證的改變。一旦握手協(xié)議商定了一組新的密鑰,就發(fā)送Change_Cipher_Spec來指示此刻將啟用新的密鑰。</p&g
43、t;<p> 2.1.2 數(shù)據(jù)的傳輸流程</p><p> 1) 應(yīng)用程序把應(yīng)用數(shù)據(jù)提交給本地的SSL;</p><p> 2) 發(fā)送端的SSL根據(jù)需要:</p><p> 使用指定的壓縮算法,壓縮應(yīng)用數(shù)據(jù);</p><p> 使用散列算法對壓縮后的數(shù)據(jù)計算散列值;</p><p> 把散列
44、值和壓縮數(shù)據(jù)一起用加密算法加密。</p><p> 2.2 SSL連接及會話</p><p> 會話(session)是指客戶和服務(wù)器之間的聯(lián)系[9]。會話由握手協(xié)議創(chuàng)建,定義了一套安全加密參數(shù),為多個連接所共享。SSL握手協(xié)議的職責(zé)是協(xié)調(diào)客戶端和服務(wù)器的狀態(tài),使得雙方在不能精確地并行的情況下,也能工作一致。會話狀態(tài)分為兩種,一種是“當(dāng)前操作狀態(tài)”(current operating
45、 state),另一個在握手協(xié)議期間,稱為“預(yù)備狀態(tài)”(pending state)。另外,每種又分為讀狀態(tài)和寫狀態(tài)。</p><p> 1)預(yù)備狀態(tài)和當(dāng)前操作狀態(tài)</p><p> 預(yù)備狀態(tài)包含本次握手過程中協(xié)商成功的壓縮算法、加密算法、MAC計算算法(不含密鑰交換算法)、密鑰等。</p><p> 當(dāng)前操作狀態(tài)包含記錄層正在使用的壓縮算法、加密算法、MAC
46、計算算法(不含密鑰交換算法)、密鑰等。</p><p><b> 2)讀狀態(tài)和寫狀態(tài)</b></p><p> 客戶和服務(wù)器都有各自獨立的讀狀態(tài)和寫狀態(tài)。</p><p> 讀狀態(tài)中包含解壓縮算法、解密算法、MAC驗證算法和解密密鑰等。</p><p> 寫狀態(tài)中包含壓縮算法、加密算法、MAC計算算法和加密密鑰等
47、。</p><p> 當(dāng)客戶端或服務(wù)器收到一個“change cipher spec”的信息,它把“預(yù)備讀狀態(tài)”,拷貝到“當(dāng)前讀狀態(tài)”并清空預(yù)備讀狀態(tài);當(dāng)客戶或服務(wù)器發(fā)送一個“change cipher spec”的信息,它把“預(yù)備寫狀態(tài)”拷貝到“當(dāng)前寫狀態(tài)”并清空預(yù)備寫狀態(tài)。當(dāng)握手協(xié)議結(jié)束后,客戶端和服務(wù)器交換“change cipher spec”消息,然后采用新達成的密碼規(guī)范進行通信。</p>
48、<p> 2.3 記錄協(xié)議層</p><p> 記錄協(xié)議是一種相當(dāng)簡單的封裝協(xié)議,定義了數(shù)據(jù)傳輸?shù)母袷?。記錄協(xié)議主要完成分組和組合,壓縮和解壓縮,以及消息認(rèn)證和加密等功能。它為SSL提供兩種服務(wù):保密性和消息完整性。保密性由協(xié)議協(xié)商出的會話密鑰來實現(xiàn),它主要是加密SSL負(fù)載的數(shù)據(jù)。消息完整性主要由計算數(shù)據(jù)的MAC來實現(xiàn)的。</p><p> 2.3.1 記錄協(xié)議的操
49、作過程</p><p> SSL數(shù)據(jù)被分割成一系列的片斷,數(shù)據(jù)片斷的最大長度為214字節(jié)。數(shù)據(jù)在分段之后要進行壓縮,由于沒有定義壓縮方法,所以只是一個空過程,也就是不作處理。然后計算數(shù)據(jù)片斷的MAC(消息驗證碼)值。該MAC值涵蓋了數(shù)據(jù)頭信息,還包括一個用以阻止重放與再排序攻擊的序號。序號是一個可以被發(fā)送和接收雙方遞增的計數(shù)器。計數(shù)器有32位,計數(shù)值循環(huán)使用,每發(fā)送一個記錄計數(shù)值遞增一次,序號的初始值為0。
50、 </p><p> SSL的記錄包含三個部分:MAC數(shù)據(jù)、實際數(shù)據(jù)和粘貼數(shù)據(jù)。記錄協(xié)議的操作過程如下圖2-2所示。</p><p> SSL紀(jì)錄層操作的具體步驟如下:</p><p> (1) 分片 將消息分割成不超過成214字節(jié)的明文記錄。</p><p> (2) 壓縮(可選) 所有記錄采用在“當(dāng)前會話狀態(tài)”中定義的壓
51、縮算法進行壓縮,壓縮算法將SSL明文結(jié)構(gòu)翻譯成SSL壓縮結(jié)構(gòu)。壓縮不能引起信息丟失,也不能使內(nèi)容增加超過1024字節(jié)。如果解壓功能使解壓后長度超過214字節(jié),則會產(chǎn)生一個錯誤壓縮失敗報警(a fatal decompression_failure alert)。SSLv3中沒有指定壓縮算法。</p><p> 圖2-2 記錄協(xié)議的操作過程</p><p> (3) MAC計算
52、SSLv3 MAC=hash (MAC_write_ secret+pad_2+</p><p> hash(MAC_write_secret+pad_1+seq_num+</p><p> SSL compressed.type+SSL compressed.length+</p><p> SSL compressed.fragment))<
53、/p><p> (4) 加密 用對稱加密算法給添加了MAC的壓縮消息加密。而且加密不能增加1024字節(jié)以上的內(nèi)容長度。</p><p> (5) 添加記錄頭信息 記錄頭信息的工作就是為接收實現(xiàn)提供對記錄進行解釋所必須的信息。在實際應(yīng)用中,它是指三種信息:內(nèi)容類型、壓縮長度和SSL版本。SSL版本又包括主版本號和次版本號。</p><p> 2.3.2 S
54、SL記錄格式</p><p> SSL紀(jì)錄主要有內(nèi)容類型、主版本號、次版本號、壓縮長度以及密文數(shù)據(jù)組成其格式可用圖2-3進行說明:</p><p> 圖2-3 SSL協(xié)議記錄格式</p><p> 1) Content Type(內(nèi)容類型):長8位,表示封裝數(shù)據(jù)的上一層協(xié)議,如握手協(xié)議、報警協(xié)議、更改密碼說明協(xié)議或應(yīng)用數(shù)據(jù)。</p><p
55、> 2) Major version(主版本號):8位,SSLv3.0版為3。</p><p> 3) Minor version(主次版本):8位,SSLv3.0版為0。</p><p> 4) CompressedLength壓縮長度:16位,加密后數(shù)據(jù)的長度,不超過214+2048字節(jié)。</p><p> 5)EncryptedData frag
56、ment:密文數(shù)據(jù)。</p><p> 2.4 SSL改變加密約定協(xié)議</p><p> 修改密碼規(guī)范信息(Change Cipher Spec)由客戶和服務(wù)器雙方發(fā)出,以通知接收方下面的記錄將收到剛達成的密碼規(guī)范(Cipher Spec)和密鑰的保護。當(dāng)客戶端或服務(wù)器收到一個change cipher spec信息時,它將預(yù)備讀狀態(tài)(pending read state)拷貝到當(dāng)前
57、讀狀態(tài)(current read state);當(dāng)客戶或服務(wù)器寫一個change cipher spec信息時,它將預(yù)備寫狀態(tài)(pending write state)拷貝到當(dāng)前寫狀態(tài)(current write state)??蛻舳嗽谖帐置荑€交換和驗證信息后發(fā)送change cipher spec信息,服務(wù)器在成功處理了握手密鑰交換信息后發(fā)送該信息。一個意外的change cipher spec將產(chǎn)生一個unexpected_mess
58、age警報。將恢復(fù)以前的會話時,則change cipher spec信息在hello消息后發(fā)出。否則就無法確定還有更多的數(shù)據(jù)要來[12]。如表6-2所示SSL協(xié)議定義的各種警示消息。</p><p><b> 2.5 本章小結(jié)</b></p><p> 本章首先介紹了SSL的體系結(jié)構(gòu),分析了SSL中的兩個重要概念:SSL連接和SSL會話,并對兩者的不同和聯(lián)系做
59、了分析。然后對SSL協(xié)議中的幾個具體協(xié)議進行分析,詳細(xì)分析了握手協(xié)議的整個握手過程以及對握手過程中所使用的消息也進行了具體說明,闡明了這些消息在握手過程所起的作用,與此同時,還分析了握手過程中密鑰的生成過程。對警告消息,闡明了具體的報警消息及其具體的含義。</p><p> 第3章 信息安全機制</p><p> 加密機制,數(shù)據(jù)完整性機制,數(shù)字簽名機制,訪問控制機制,交換鑒別機制,公
60、正機制,流量填充機制和路由控制機制,本章根據(jù)課題研究需要主要介紹加密機制,數(shù)據(jù)完整性機制,數(shù)字簽名機制和訪問控制機制這4種機制。</p><p><b> 3.1 加密機制</b></p><p> 加密技術(shù)是適應(yīng)了網(wǎng)絡(luò)安全的需要而應(yīng)運產(chǎn)生的,由于數(shù)據(jù)在傳輸過程中有可能遭到侵犯者的竊聽而失去保密信息,加密技術(shù)是電子商務(wù)采取的主要保密安全措施[13]。如在網(wǎng)絡(luò)中進
61、行文件傳輸、電子郵件往來和進行合同文本的簽署等。加密技術(shù)的起源要追溯到公元前2000年。當(dāng)時埃及人是最先使用特別的象形文字作為信息編碼的,隨著時間推移,巴比倫、美索不達米亞和希臘文明都開始使用一些方法來保護他們的書面信息。其實加密技術(shù)不是什么新生事物,只不過應(yīng)用在當(dāng)今電子商務(wù)、電腦網(wǎng)絡(luò)中還是近幾年的歷史。</p><p> 3.1.1 密碼學(xué)基礎(chǔ)知識</p><p> 密碼學(xué)是以認(rèn)識
62、密碼變化的本質(zhì),研究密碼保密與破譯的基本規(guī)律為對象的學(xué)科。在密碼學(xué)中,待加密的消息被稱為“明文”。用某種方法偽裝明文以隱藏它的內(nèi)容的過程稱為加密[14],被加密的消息稱為“密文”。而把密文轉(zhuǎn)變?yōu)槊魑牡倪^程稱為解密。密碼算法是用于加密和解密的數(shù)學(xué)函數(shù),通常情況下,有兩個相關(guān)的函數(shù),一個用于加密,另一個用于解密。確保這兩次轉(zhuǎn)換過程能夠順利進行的共享秘密信息被稱為密鑰,密鑰一般用K表示。所有基于密鑰的算法的安全性都基于密鑰的安全性,而不是基于
63、算法細(xì)節(jié)的安全性。密碼系統(tǒng)由算法以及所有可能的明文、密文和密鑰組成。加密和解密的過程如圖3-1所示,M表示明文,C表示密文,KE是加密密鑰,KD是解密密鑰。</p><p> 圖3-1 加密和解密</p><p> 基于密鑰的密碼算法通常有兩類:對稱加密算法和非對稱加密算法[15]。</p><p> 3.1.2 對稱加密算法</p><
64、;p> 對稱加密算法,也稱為傳統(tǒng)密碼算法,其加密密鑰與解密密鑰相同或很容易推算出來。這種算法要求通訊雙方在進行安全通訊前,協(xié)商一個密鑰,用該密鑰加密和解密數(shù)據(jù)。整個通訊的安全性依賴于密鑰的保密。對稱加密算法的加密和解密的過程可以用式子表示如下:</p><p> 其中公式(3-1)是加密,E表示加密運算,D表示解密運算,M表示明文,C表示密文,k表示加解密所用的密鑰。</p><p&
65、gt; 3.1.3 公開密鑰密碼</p><p> 公開密鑰密碼體系是密碼學(xué)上的一個重要里程碑。其主要特點是加密和解密不使用用同一個密鑰。在公鑰密碼體系中,密鑰論“對”,一個稱為“公鑰”,另一個稱為“私鑰”。公鑰與私鑰互為“逆運算”,即用公鑰加密的信息只有用它對應(yīng)的私鑰才能解密,而用私鑰加密的信息也只有用它對應(yīng)的公鑰才能正確解密。公鑰要廣為傳播,越廣泛越好;私鑰為個人所有,越秘密越好。而且,公鑰的廣泛傳播并
66、不會影響私鑰的秘密性,即公鑰和私鑰之間幾乎沒有什么相關(guān)性,由公鑰推出私鑰的可能性幾乎為零。公開密鑰算法表示為:</p><p> 其中k1和k2為一對密鑰中的私有密鑰和公開密鑰,公式(3-2)為加密,公式(3-3)為解密。</p><p> 公開密鑰體制最大的優(yōu)點是不需要對密鑰通訊進行保密,所傳輸?shù)闹挥泄_密鑰。公開密鑰體制的缺陷在于其加密和解密的運算時間比較長,這在一定程度上限制了它
67、的應(yīng)用范圍,但是密鑰管理簡單,它在用戶身份認(rèn)證、密鑰傳輸和管理、CA中心建設(shè)等方面有廣泛的應(yīng)用[18]。公開密碼加密的相對低效率被限制在最低限度;同時由于在每次傳送中使用不同的對稱密鑰,為系統(tǒng)提供了額外的安全保證。</p><p> 3.2 數(shù)據(jù)完整性機制</p><p> 3.2.1 數(shù)據(jù)完整性驗證</p><p> 實現(xiàn)信息的安全傳輸,僅用加密方法是不
68、夠的。攻擊者雖然無法破譯加密信息,但攻擊者如果篡改或破壞了信息,會使接受者仍無法收到正確的消息,因此。需要有一種機制來保證接收者能夠辨別收到的消息是否是發(fā)送者發(fā)送的原始數(shù)據(jù),這種機制稱為數(shù)據(jù)完整性機制。數(shù)據(jù)完整性驗證也稱為消息認(rèn)證。消息認(rèn)證是一種過程,它使得通信的接收方能夠驗證所收到的報文(發(fā)送者和報文內(nèi)容、發(fā)送時間、序列等)在傳輸?shù)倪^程中沒有被假冒、偽造和篡改,以及是否感染上病毒等,能保證信息的完整性和有效性[19]。</p&g
69、t;<p> 數(shù)據(jù)完整性的驗證可通過下述方法來實現(xiàn):消息的發(fā)送者把要發(fā)送的消息按一定的算法生成一個附件,并將消息與附件一起發(fā)送出去;消息的接收者收到消息和附件后,用同樣的算法把接收到的消息生成一個新的附件,把新的附件與接收到的附件相比較,如果相同,則說明收到的消息是正確的,否則說明消息在傳送中出現(xiàn)了錯誤。</p><p> 3.2.2 數(shù)字摘要</p><p> 數(shù)字
70、摘要也稱為“數(shù)字指紋”,其基本原理是利用單向Hash函數(shù)對發(fā)送信息進行運算,生成一串固定長度的信息摘要。數(shù)字摘要并不是一種加密機制,但可以用來判斷數(shù)據(jù)有沒有被修改,從而保證了信息的完整性不被破壞。</p><p> 3.3 數(shù)字簽名機制</p><p> 3.3.1 數(shù)字摘要</p><p> 傳統(tǒng)的簽名在商業(yè)和生活中被廣泛的使用,它主要被用來作為身份的證
71、明。傳統(tǒng)的簽名有下列5個特點:</p><p> 1) 簽名可信。文件的接收者相信簽名者是慎重地在文件上簽字的。</p><p> 2) 簽名不可偽造。簽名證明是簽字者而不是其他人在文件上簽字。</p><p> 3) 簽名不可重用。簽名是文件的一部分,不可能將簽名移到不同的文件上。</p><p> 4) 簽名的文件不可改變。文件被
72、簽名后不能被改變</p><p> 5) 簽名不可否認(rèn)。簽名和文件是物理的東西,因此簽名者事后不能說他沒有簽過名。</p><p> 3.3.2 數(shù)字摘要的實現(xiàn)方</p><p> 數(shù)字簽名的實現(xiàn)采用非對稱密鑰體系[26]。與使用公開密鑰加密方法相似,使用公開密鑰進行簽名的過程是這樣的。</p><p> 1) A用他的私人密鑰加密
73、消息,從而對文件簽名。</p><p> 2) A將簽名的消息發(fā)送給B。</p><p> 3) B用A的公開密鑰解密消息,從而驗證簽名。</p><p> 利用單向散列函數(shù),產(chǎn)生消息指紋,用公開密鑰算法對消息指紋加密,形成數(shù)字簽名。過程如下:</p><p> 1) A使消息M通過單向散列函數(shù)H,產(chǎn)生散列值,即消息的摘要或稱消息驗證
74、碼。</p><p> 2) A使用私人密鑰對散列值進行加密,形成數(shù)字簽名S。</p><p> 3) A把消息與數(shù)字簽名一起發(fā)送給B。</p><p> 3.4 訪問數(shù)字簽名機制</p><p> 資源(信息、計算機和通信資源)不被未經(jīng)授權(quán)人或以未授權(quán)方式接入、使用、修改、毀壞和發(fā)出指令等。訪問控制是對認(rèn)證的強化。這種服務(wù)不僅可以
75、提供給單個用戶,也可以提供給用戶組的所有用戶。</p><p> 當(dāng)一個主體試圖非法使用一個未經(jīng)授權(quán)使用的客體時,該機制將拒絕這一企圖,并附帶向?qū)徲嫺櫹到y(tǒng)報告這一事件。審計跟蹤系統(tǒng)將產(chǎn)生報警信號或形成部分追蹤審計信息。</p><p> 用TCP進行連接,那么SSL就能工作的很好。</p><p><b> 3.5 本章小結(jié)</b>&
76、lt;/p><p> 本章主要結(jié)合網(wǎng)絡(luò)安全的實際情況,重點介紹了更好實現(xiàn)網(wǎng)絡(luò)安全所涉及的幾種信息安全機制,包括加密機制,數(shù)據(jù)完整性機制,數(shù)字簽名機制和訪問控制機制。并結(jié)合第二章SSL協(xié)議的內(nèi)容對SSL進行了詳細(xì)的分析,分為安全性和性能兩個方面分別分析優(yōu)缺點,給實際應(yīng)用中如何使用SSL提出了一些建議。SSL的效率與其提供的安全性是一個矛盾的統(tǒng)一,合理設(shè)置SSL,在滿足要求的前提下盡量提高SSL工作的效率。</p
77、><p> 第4章 安全代理的設(shè)計與分析</p><p> 4.1 計算機代理技術(shù)</p><p> 代理技術(shù)離我們并不遙遠(yuǎn)。微軟Office中那個曲別針?biāo)频腛ffice助手,它在屏幕上跳來跳去,有時還眨眨眼睛。從某種意義上說,這個Office助手就是一個軟件代理。由于研究的領(lǐng)域和關(guān)注的重點不同,學(xué)術(shù)界對代理的研究基本上可以劃分為四個學(xué)派,各學(xué)派的研究人員心中
78、有不同的代理形象:</p><p> 智能代理學(xué)派:來源于人工智能(AI)/分布式人工智能(DAI)領(lǐng)域,其主要關(guān)注的問題是如何解決那些可以天然地對應(yīng)到多自治代理交互的分布式問題。該學(xué)派歷史最悠久,人數(shù)也最為眾多,是目前代理研究的主流。</p><p> 用戶接口學(xué)派:主要關(guān)注的問題是將代理應(yīng)用于用戶接口設(shè)計。其研究目標(biāo)是改變目前用戶接口設(shè)計中占統(tǒng)治地位的直接操縱模式,而采用主動行為,
79、并采取更為協(xié)作性的輔助行為的應(yīng)用來協(xié)助完成用戶的任務(wù)。我們熟悉的Office助手就是這種研究的一個成果。</p><p> 移動代理學(xué)派:來源于面向?qū)ο蟮木幊棠J降陌l(fā)展,主要關(guān)注于移動代理,也就是說,編寫那種能執(zhí)行移動指令的代碼,能在網(wǎng)絡(luò)中移動程序本身和它的狀態(tài)。像隱私和安全性等問題就是這種代理現(xiàn)在考慮的重點。</p><p> 機器人研究學(xué)派:把注意力集中在自治性的、能進行決策的機器
80、人系統(tǒng)上,將其作為機器人研究的一個發(fā)展方向。</p><p> 從另一方面看,計算機軟件設(shè)計模式的發(fā)展從其誕生之日起,局域化(localization)和封裝化(encapsulation)就一直是其努力的目標(biāo)。</p><p> 4.2 設(shè)計安全代理的必要性</p><p> 代理服務(wù)器英文全稱是Proxy Server,其功能就是代理網(wǎng)絡(luò)用戶去取得網(wǎng)絡(luò)信
81、息。形象的說:它是網(wǎng)絡(luò)信息的中轉(zhuǎn)站。在一般情況下,我們使用網(wǎng)絡(luò)瀏覽器直接去連接其他Internet站點取得網(wǎng)絡(luò)信息時,須送出Request信號來得到回答,然后對方再把信息大的存儲空間,它不斷將新取得數(shù)據(jù)儲存到它本機的存儲器上,如果你的瀏覽器所請求的數(shù)據(jù)就在它本機的存儲器上而且是最新的,那么它就不重新從Web服務(wù)器取數(shù)據(jù),而直接將存儲器上的數(shù)據(jù)傳送給用戶的瀏覽器。</p><p> 常用代理的類型可以按所采用協(xié)議
82、類型分為HTTP代理、Socks4代理和Socks5代理。不論采用哪種代理,都需要知道代理服務(wù)器的一些基本信息:</p><p> 1)代理服務(wù)器的IP地址;</p><p> 2)代理服務(wù)所在的端口;</p><p> 4.3 安全代理的工作原理</p><p> 在Internet的應(yīng)用中,代理就是一種中間件(middlewar
83、e),對于客戶程序來說,它是服務(wù)器,在服務(wù)器看來,它是一個客戶,代理為客戶和服務(wù)器中轉(zhuǎn)數(shù)據(jù),安全代理的邏輯結(jié)構(gòu)如圖4-1所示:</p><p> 圖4-1 代理模型</p><p> 安全代理完成客戶端代理與服務(wù)端代理的SSL連接請求,建立一條安全的數(shù)據(jù)傳輸通道,完成數(shù)據(jù)的轉(zhuǎn)發(fā)。安全通道是從多種網(wǎng)絡(luò)應(yīng)用中抽象出來的,設(shè)計安全通道的主要目標(biāo)是滿足多種網(wǎng)絡(luò)應(yīng)用對網(wǎng)絡(luò)通信提出的安全需求,即
84、保證通信數(shù)據(jù)的機密性、完整性、數(shù)據(jù)源的身份驗證以及抵抗重放攻擊等;另外,安全通道要為網(wǎng)絡(luò)應(yīng)用提供方便的接口,以便網(wǎng)絡(luò)應(yīng)用系統(tǒng)可以非常簡便的將設(shè)計的安全通道集成進去[33]。本文的研究是省教育廳課題“基于SSL/TLS的信息安全通道研究”的子課題,圍繞建立安全通道的目標(biāo),安全代理作為建立安全通道的一種手段,可以具體到圖4-2所示:</p><p> 圖4-2 基于安全代理建立安全通道</p>&l
85、t;p> 客戶端與服務(wù)端運行流程見下文說明。</p><p> 4.3.1 安全代理的客戶端原理</p><p> 安全代理客戶端與Web瀏覽器安裝在同一臺計算機上。當(dāng)瀏覽器要與Web服務(wù)器建立連接時,首先與代理連接,說明要連接的主機名和端口號,然后安全代理負(fù)責(zé)與遠(yuǎn)端Web服務(wù)器建立連接;建立連接后,經(jīng)過身份認(rèn)證,瀏覽器與服務(wù)器之間的數(shù)據(jù)傳輸由安全代理轉(zhuǎn)發(fā)完成,如圖4-3所示
86、,在這個過程中,瀏覽器與安全代理之間的數(shù)據(jù)傳輸使用瀏覽器本身支持的弱加密算法,安全代理與遠(yuǎn)端Web服務(wù)器之間的數(shù)據(jù)傳輸則使用高強度的數(shù)據(jù)加密算法。</p><p> 客戶端安全代理的工作流程:</p><p> 1) 等待客戶端發(fā)出訪問請求。SSL客戶端代理在接收到客戶端的訪問請求前,一直處于偵聽狀態(tài)。</p><p> 2) 客戶端先向客戶端代理發(fā)出一個數(shù)據(jù)
87、請求,客戶端代理根據(jù)這個請求向服務(wù)端代理發(fā)出一個連接請求在該連接中,客戶端是連接的發(fā)起者,SSL客戶端代理是連接的被動響應(yīng)者。</p><p> 圖4-3 通過安全代理實現(xiàn)安全</p><p> 4) 客戶端代理在CA那里驗證了證書真實性之后,會回應(yīng)服務(wù)器代理一條信息,里面含有客戶端的證書。SSL客戶端代理等待服務(wù)端的響應(yīng)。</p><p> 4.3.2
88、安全代理的服務(wù)端原理</p><p> SSL服務(wù)端代理置于Web服務(wù)器的前端,它可以和Web服務(wù)器安裝在同一臺主機上,但是我們有時出于安全性考慮,可能想對外屏蔽Web服務(wù)器,也可以將它單獨安裝在一臺主機上。同時,我們將SSL服務(wù)端單獨安裝在一臺主機上也出于這樣一種需求,有時用戶可能會擁有多臺Web服務(wù)器,這些Web服務(wù)器上的信息在網(wǎng)上傳輸都需要安全保護,如果我們的SSL安全代理只對應(yīng)于一臺Web服務(wù)器,那么可
89、能要為每臺Web服務(wù)器配置一臺主機安裝SSL代理,那樣會增加消耗,因此我們必須在SSL服務(wù)端代理中實現(xiàn)虛擬服務(wù)器的功能[35],使得一個SSL代理可通過地址映射對應(yīng)到不同的Web服務(wù)器上。在此模式下SSL服務(wù)端代理工作流程如下:</p><p> 1)等待SSL客戶端代理連接請求。在沒有與客戶端代理連接時,服務(wù)端安全代理處于偵聽狀態(tài),只有接收到SSL客戶端代理的連接請求后,才處于激活狀態(tài)。由于SSL服務(wù)端代理可
90、能為多個Web服務(wù)器提供安全服務(wù),因此它可以同時在偵聽多個端口的連接請求。</p><p> 4.4 本論文設(shè)計的主要工作</p><p> 本系統(tǒng)在已有安全代理系統(tǒng)的基礎(chǔ)上進行了改進,主要工作如下:</p><p> 1) 對安全代理的實現(xiàn)思想做了完整性的設(shè)計。以往的安全代理只局限于客戶端的代理系統(tǒng)的設(shè)計,缺乏服務(wù)端代理系統(tǒng)的分析、研究與設(shè)計實現(xiàn)。本課題研
91、究分別從客戶端和服務(wù)端來完善安全代理系統(tǒng)的設(shè)計。</p><p> 2) 解決了信息的明文傳送問題,基于對SSL協(xié)議的深入研究與分析,使用SSL協(xié)議對有高安全性要求的信息進行加密來解決,本課題實現(xiàn)采用的是OpenSSL軟件開發(fā)包技術(shù)。</p><p> 4.5 安全代理的設(shè)計思想</p><p> SSL安全代理為實現(xiàn)網(wǎng)絡(luò)通信安全通道的建立,在客戶端和服務(wù)端
92、分別以各自的工作方式運行??蛻舳撕头?wù)端運行環(huán)境不同,工作流程也不同,雖然是為了一個共同的目標(biāo)——安全的通信,但是在設(shè)計的過程中,我們還是要分開考慮,即分為安全代理的客戶端設(shè)計和服務(wù)端設(shè)計。</p><p> 4.5.1 安全代理的客戶端設(shè)計</p><p> 4.5.1.1 客戶端安全代理的功能 </p><p> 安全代理的客戶端主要面向單個用戶,這要
93、考慮的是如何使得客戶端與服務(wù)器(有可能是安全代理的服務(wù)端)的信息交互得到安全保障。客戶端系統(tǒng)要實現(xiàn)的功能包括:身份認(rèn)證,傳輸加密和證書管理。</p><p> (1) 身份認(rèn)證功能 在連接上SSL安全代理服務(wù)器后,接受服務(wù)器的證書以核實服務(wù)器的身份,代表客戶端向服務(wù)器發(fā)送客戶證書,并協(xié)商該次傳輸采用的加密算法及相關(guān)的對稱密鑰。在此過程中,任何可能的錯誤都會導(dǎo)致連接取消,以保證數(shù)據(jù)安全。</p>
94、<p> (2) 加密解密功能 用戶應(yīng)用程序發(fā)送給網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)流,在通過SSL安全代理客戶端時被加密轉(zhuǎn)換成SSL協(xié)議下的密文。從SSL安全代理服務(wù)器出來的加密數(shù)據(jù)流,首先被SSL安全代理解密,用戶應(yīng)用程序收到的仍是明文。</p><p> 此外,證書管理模塊不僅僅只是管理用戶證書,它還提供認(rèn)證證書,CRL管理等功能。</p><p> 4.5.1.2 客戶端安全
95、代理的模塊化設(shè)計 </p><p> 安全代理的客戶端系統(tǒng)采用模塊化設(shè)計,其結(jié)構(gòu)如圖4-4所示:</p><p> 圖4-4 SSL安全代理的客戶端結(jié)構(gòu)</p><p> 客戶端安全代理采用模塊化設(shè)計,模塊化帶來的一個好處是可擴展性,每一個模塊相對于其他模塊是獨立的[37]。這樣方便安全代理的維護和升級。SSL連接模塊,一次連接一個安全服務(wù)器,即創(chuàng)建一個SS
96、L會話的時候,我們在接收到服務(wù)器證書后,即調(diào)用認(rèn)證模塊,傳遞服務(wù)器證書給CA進行認(rèn)證,原理同服務(wù)器端。</p><p> 4.5.2 安全代理的服務(wù)端設(shè)計</p><p> 一個完整的安全代理系統(tǒng)要具備客戶端和服務(wù)端兩個子系統(tǒng)??蛻舳撕头?wù)端</p><p> 共同協(xié)作才能形成向用戶透明的安全通道的建立。</p><p> 考慮到要
97、更好的解決安全代理在服務(wù)器端的性能瓶頸問題,在設(shè)計的時候要在保證安全性的同時側(cè)重性能發(fā)面的兼顧,基于SSL協(xié)議安全代理的服務(wù)器端設(shè)計如圖4-5所示:</p><p> 圖4-5 SSL安全代理的服務(wù)端結(jié)構(gòu)</p><p> SSL代理服務(wù)端設(shè)計由兩部分組成:SSL代理控制器和若干個SSL代理模塊。SSL代理控制器是個網(wǎng)關(guān),將外網(wǎng)(客戶端部分)和內(nèi)網(wǎng)(SSL代理模塊部分)分離開來。SS
98、L代理控制器還起到負(fù)載平衡器的作用,將客戶端過來的SSL任務(wù)請求分配到SSL代理模塊中去。SSL代理模塊是真正處理SSL代理任務(wù)的部分,它與客戶端建立SSL安全通道,在客戶端和安全信息服務(wù)器之間提供信息轉(zhuǎn)發(fā)服務(wù),同時進行加解密操作。</p><p><b> 4.6 本章小結(jié)</b></p><p> 本章是SSL安全代理系統(tǒng)的設(shè)計與分析部分。首先由網(wǎng)絡(luò)安全在I
99、nternet高速發(fā)展時期的特殊需求引出本設(shè)計的必要性,分析總結(jié)了安全代理的工作原理。接著根據(jù)安全代理系統(tǒng)涉及的客戶端和服務(wù)端不同的運行需求以及實際工作中要考慮的不同側(cè)重,進行了分別設(shè)計。客戶端采用模塊化設(shè)計,每個模塊在形式上獨立有利于以后系統(tǒng)的擴展。在服務(wù)端主要側(cè)重提高處理SSL任務(wù)的速度,即保證安全性的同時提高服務(wù)端的性能。在本章的最后,對基于SSL協(xié)議的安全代理系統(tǒng)從網(wǎng)絡(luò)安全和性能兩個方面做了分析。</p><
100、p> 第5章 安全代理的實現(xiàn)</p><p> 安全問題是電子商務(wù)的核心問題,針對安全問題人們提出了種種解決方案,其中SSL協(xié)</p><p> 5.1 安全代理的實現(xiàn)技術(shù)</p><p> 基于SSL協(xié)議的安全代理系統(tǒng)是指客戶端與服務(wù)器之間通過SSL協(xié)議通信的一個代理系統(tǒng),在系統(tǒng)的實現(xiàn)過程中針對系統(tǒng)需求與該領(lǐng)域內(nèi)現(xiàn)有技術(shù),采用一些具體的實現(xiàn)技術(shù)在
101、實現(xiàn)系統(tǒng)基本功能的基礎(chǔ)上更加優(yōu)化系統(tǒng)開發(fā)。</p><p> 5.1.1 密碼技術(shù)</p><p> 本系統(tǒng)涉及的密碼技術(shù)主要是公開密鑰體制中的一些常見的技術(shù),首先要熟悉常用的公開密鑰密碼學(xué)的基本概念(例如數(shù)字簽名,數(shù)字證書,驗證簽名等);再就是熟悉一些流行的密碼算法(如RSA,DSA,DES等)的基本原理。雖然在安全代理系統(tǒng)的設(shè)計過程中一般不會直接牽扯到加密算法的設(shè)計,但是在做與密
102、碼程序之間的接口程序時需要搞清楚所用的密碼算法是如何實現(xiàn)的。</p><p> 5.1.2 套接字編程技術(shù)</p><p> 套接字(Socket)是一種網(wǎng)絡(luò)編程接口,它是對通信端點的一種抽象,提供了一種發(fā)送和接收數(shù)據(jù)的機制。Socket實際上代表的是網(wǎng)絡(luò)通信的一個端點,通過Socket,用戶所開發(fā)的應(yīng)用程序可以通過網(wǎng)絡(luò)與其他Socket應(yīng)用程序通信[44]。Socket隱藏了網(wǎng)絡(luò)底
103、層的復(fù)雜結(jié)構(gòu)和協(xié)議,使得編程人員可以簡單的對網(wǎng)絡(luò)進行編程。</p><p> 套接字有3種類型:流式套接字、數(shù)據(jù)報套接字和原始套接字。流式套接字(Stream Socket)提供了雙向的、有序的、無重復(fù)并且無記錄邊界的數(shù)據(jù)流服務(wù),它提供了一種可靠的面向連接的數(shù)據(jù)傳輸方法,流式套接字使用傳輸控制協(xié)議(TCP);數(shù)據(jù)報套接字(Datagram Socket)支持雙向的數(shù)據(jù)流,但并不保證是可靠、有序、無重復(fù)的,數(shù)據(jù)報
104、套接字使用用戶數(shù)據(jù)報協(xié)議(UDP);原始套接字允許對底層協(xié)議如IP或ICMP直接訪問,主要用于新的網(wǎng)絡(luò)協(xié)議實現(xiàn)的測試等。</p><p><b> 屬性:</b></p><p> Protocol:TCP或UDP協(xié)議;</p><p> SendData:發(fā)送數(shù)據(jù);</p><p> GetData:取得接收到
105、的數(shù)據(jù);</p><p> ConnectionRequest:對方請求連接時接受連接請求;</p><p> Error:后臺處理中出現(xiàn)錯誤。</p><p><b> 套接字的工作流程</b></p><p> (1) 服務(wù)器偵聽連接 服務(wù)器Socket不會去定位客戶端,它開始時只是傾聽來自客戶端的請求。
106、服務(wù)器Socket形成一個隊列,用來存放它聽到的連接請求。當(dāng)服務(wù)器Socket同意客戶連接請求時,它形成一個新的Socket去連接客戶端。</p><p> (2) 客戶端連接 客戶端連接是一個本地系統(tǒng)的客戶端Socket與一個遠(yuǎn)程系統(tǒng)上的服務(wù)端Socket的連接??蛻舳诉B接由客戶端Socket開始。首先,客戶端Socket必須描述它想連接到的服務(wù)端Socket。接著客戶端Socket查找服務(wù)端Socket
107、,當(dāng)找到服務(wù)器時,就要求連接。服務(wù)端Socket可能不能完成正確的連接。服務(wù)器Socket維持一個客戶端請求隊列,在它有時間時完成連接時,服務(wù)端Socket接受客戶端連接,并向想連接的客戶Socket發(fā)送一個完整的描述,客戶端的連接完成。</p><p><b> 5.2 本章小結(jié)</b></p><p> 本章介紹了基于SSL安全代理系統(tǒng)實現(xiàn)的關(guān)鍵技術(shù),即密碼
108、技術(shù),套接字技術(shù),以及系統(tǒng)實現(xiàn)的軟件支持OpenSSL軟件包。對開發(fā)環(huán)境的選擇以及實現(xiàn)方案的最終確定做了說明。并且詳細(xì)介紹本課題研究系統(tǒng)的實現(xiàn),同時對系統(tǒng)各頁面的功能做了必要的說明。最后對系統(tǒng)實現(xiàn)作了總結(jié),得出實驗結(jié)論。</p><p><b> 結(jié) 論</b></p><p> 安全問題是電子商務(wù)的核心問題,針對安全問題人們提出了種種解決方案,其中SSL協(xié)議以
109、其簡單可靠的特點成為應(yīng)用最為廣泛的協(xié)議。目前己經(jīng)有若干國外廠商推出了基于SSL的安全產(chǎn)品,但是由于加密技術(shù)出口政策的限制,這些產(chǎn)品大多采用一些低安全強度的算法,難以滿足我國信息安全的需要,對電子商務(wù)中安全問題的研究必要而且迫切。</p><p> 如何建立一種基于SSL協(xié)議的網(wǎng)絡(luò)通信安全通道是本課題研究的重點。通過對SSL協(xié)議的分析研究以及對網(wǎng)絡(luò)安全常用機制的探討,本文設(shè)計并實現(xiàn)了基于SSL協(xié)議的安全代理系統(tǒng)。
110、</p><p> 本文主要做了以下具體工作</p><p> 1) 全面分析了SSL協(xié)議的結(jié)構(gòu)與運作規(guī)范,重點分析了SSL協(xié)議握手層與記錄層數(shù)據(jù)處理流程。結(jié)合網(wǎng)絡(luò)安全研究常用的信息安全機制的探討與研究,分析了SSL協(xié)議的安全性并指出了其中的安全缺陷,提出分軟件和硬件兩方面解決SSL協(xié)議的安全性隱患的改進思想。對可能危及SSL協(xié)議安全性的關(guān)節(jié)點,采用加強master_secret的保密
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 混沌系統(tǒng)全裝填混合填混合投影同步研究-畢業(yè)論文
- 畢業(yè)論文 - 混沌系統(tǒng)全裝填混合填混合投影同步研究1
- 混沌系統(tǒng)全狀態(tài)混合投影同步研究.pdf
- 一類混沌金融系統(tǒng)的混合投影同步.pdf
- 【畢業(yè)學(xué)位論文】(word原稿)jsp,java學(xué)生學(xué)籍管理系統(tǒng)畢業(yè)論文
- 超混沌(混沌)系統(tǒng)的修正投影同步與廣義函數(shù)投影同步.pdf
- 統(tǒng)一混沌系統(tǒng)的混合同步.pdf
- 混沌系統(tǒng)的廣義投影同步研究.pdf
- 【畢業(yè)學(xué)位論文】(word原稿)我國意定監(jiān)護制度研究
- 分?jǐn)?shù)階混沌系統(tǒng)的投影同步
- 電光混合系統(tǒng)超混沌控制、同步與應(yīng)用研究.pdf
- 典型混沌系統(tǒng)脈沖自適應(yīng)混合同步控制研究.pdf
- 分?jǐn)?shù)階混沌系統(tǒng)的投影同步.pdf
- 時滯混沌系統(tǒng)的投影同步.pdf
- 基于微分幾何理論研究混沌系統(tǒng)間混合同步.pdf
- 混沌投影同步研究及其應(yīng)用.pdf
- 幾類分?jǐn)?shù)階混沌系統(tǒng)的投影同步.pdf
- 幾類修正的混沌投影同步
- 混沌系統(tǒng)函數(shù)投影同步保密通信方法研究.pdf
- 受擾混沌系統(tǒng)函數(shù)投影同步理論研究.pdf
評論
0/150
提交評論