探讨面向业务应用的安全通信模型

　　人类进入互联网时代之后，网络通信技术被应用到了各个领域。网络通信技术为企业带来了快速的信息传输与交换。很多智能终端采用此技术实现数据传输，这需要工作人员能够实时传送捕捉到的数据并传入到服务器上。但外部数据传入企业、公司的内网，会带来一定的安全风险。不同的企业，业务应用场景各异，数据传输的方式差别很大。因此如何构造一个安全可靠的能够面向业务应用的通信模型已成为业界热点问题。为了满足上述需求，本文提出一种面向业务应用的安全通信模型，应用最新商密算法，并且采用高效通信模型，能够满足大规模数据采集终端并发接入要求，确保数据采集终端接入的安全性与高效性。

　　1　安全通信模型总体介绍

　　在网络通信中，一般是指两个不同主机的进程之间的通信。最为常用的模式是客户端/服务器模式，即c/s模式。本安全通信模型是根据不同的业务需求采用基于tcp或udp的c/s模式。在TCP模式下，由终端进程发出TCP 请求，服务器端进程接收TCP 请求，通过TCP的三步握手协议，在传输层建立一条虚拟连接。根据连接在数据传输过程中是否需要断开，连接属性分为长连接与短连接。本模型分为以下三个部分，连接拓扑图，见图1。

　　1.1　业务终端

　　业务终端主要根据不同的业务需求采集不同的业务数据，通过数据加解密传输模块进行加密后发送至安全接入服务器，最终发送至业务应用服务器。此外业务终端也会通此模块来接收业务应用服务器的一些控制指令。

　　1.2　安全接入服务器

　　安全接入服务器主要负责对业务终端发来的数据解密成明文，并转发到业务应用服务器。具体由两部分组成：数据加密模块和数据转发模块。数据加密模块通过硬件加密卡实现，主要支持与终端对应的商密算法，用以完成数据的加解密。数据传输模块采用基于多线程的Socket通信，支持多个业务终端同时进行业务交互。

　　1.3　业务应用服务器

　　业务应用服务器主要负责接收安全接入服务器发来的数据，也就是业务终端实际采集到的数据，将此数据转存数据库，供给业务人员使用。业务终端与业务应用服务器进行业务通信，在此之间加入安全接入服务器，即终端直接连接安全接入服务器，而安全接入服务器直接连接内网服务器。如图1所示，终端直接与安全接入服务器进行密文通信，这样实现了终端与安全接入服务器之间的密文传输，保障了安全性，安全接入服务器收到数据进行解密处理后发送给内网服务器，实现了透明传输。在实际应用中，由于终端分布较广，与安全接入服务器通信通信线路暴露在外，传输的数据可能会被恶意窃取或篡改，加密传输的安全性尤为重要。

　　2　通信流程

　　2.1　安全接入服务器的两种模式

　　面向不同的业务需求，终端与安全接入服务器之间可配置不同的传输层协议，对应安全接入模型有两种不同的模式，即tcp模式和udp模式。

　　2.1.1　tcp模式

　　tcp模式在传输层采用tcp协议。tcp协议是一种面向连接，可靠的、基于字节流的传输层通信协议。因此主要适用于一些数据传输可靠性要求较高的业务，但是由于tcp协议采用了一些机制来保障通信的可靠性，必然一定程度上牺牲传输的效率，因此不宜用于数据传输量较大且实时性要求较高的业务。通常采用tcp模式的业务主要有：atm缴费业务，电压采集业务等。当安全接入服务器设置为tcp模式时，可以提供两种选项：长连接和短连接。

　　长连接：长连接是指在终端与服务器建立起tcp连接经过成功协商后，连接一直保持，直到正常或非法结束。长连接适用的业务应用场合主要有：业务终端需要采集一些连续变化的信号，而且数据量不宜过大，例如电压采集。

　　短链接：短连接是指完成一次业务交互后断开连接，在下次交互之前要重新建立连接并协商。一次业务交互指的是终端将业务数据发送给业务应用服务器，便等待应用服务器的回复，收到这个确认回复后便完成了此次通信，这个过程被称为一次业务交互。短连接使用的场合：业务应用主要是以业务交互为单位进行的，不存在需要连续传输的数据。例如atm缴费平台，一次缴费对应一次业务交互，而平时大多数时间链接都处于断开状态。

　　2.1.2　udp模式

　　udp模式顾名思义，是指在传输层采用udp协议，udp协议是一种无连接、不可靠、面向报文的传输层通信协议。此模式主要适用于一些对数据传输可靠性要求不高而对实时性要求较高的业务，例如实时温度湿度采集，实时照片采集等业务。

　　2.2　具体通信流程

　　在终端与网关进行连接之后，数据交互之前，终端与安全接入网关首先要进行会话密钥协商，只有协商好会话密钥之后，才能进行后续的数据加密通信，在密钥协商完成之前，不得进行任何其他数据信息的发送。协商分为三步：第一步，终端产生随机数r1并用sm2加密算法进行加密，将加密后的随机数连同终端证书一并填入密钥协商请求报文，发送给安全接入服务器。第二步，安全接入服务器接收到请求报文，取出终端证书和加密的随机数r1，对加密的r1用SM2解密算法进行解密，得到随机数r1的值。此时安全接入服务器产生第二个随机数r2，同样对其应用SM2加密算法加密，填入密钥协商应答报文并发送给终端。第三步，终端接收到应答报文，取出加密后的随机数r2并解密。此时终端与安全接入服务器同时持有随机数r1和r2，两端分别对此二值进行异或合成会话密钥DK，即DK=r1⊕r2，这时终端对DK值运用商密3算法进行摘要，把摘要值填入密钥协商确认报文，并发送给安全接入服务器。服务器接收到报文，提取出该值，与自端持有的同样经过摘要的DK值对比，若相同，则此时双方已经验证的对方身份，并持有会话密钥：DK=r1⊕r2;此时，安全接入服务器向业务终端服务器发起TCP连接请求。若不同，网关给出协商失败告警信息，通知终端，由终端重新发起协商。通信双方得到密钥后便可以通过SM1对称加密算法加解密通信。

　　3　安全通信模型特点

　　对于安全通信而言，安全性和高效性最为重要，下面就从安全和性能两方面来介绍安全通信模型的特点。

　　3.1　安全传输

　　3.1.1　机密性

　　使用对称算法对数据进行加密，然后才在网络上传输数据。本模型对数据加解密应用SM1算法，SM1是对称加密算法，是国家密码管理部门审批的SM1分组密码算法，该算法不公开，仅固化在安全芯片内，以tf卡和pcie卡的形式安装在业务终端和安全接入服务器上。

　　3.1.2　证书认证

　　在密钥协商过程中，客户端会对请求报文用自身证书签名，通过网络发送自己的证书加密后的随机数及报文的数字签名一起发给服务器。服务器收到报文后，需要验证报文的有效性。服务器先要用CA的证书对客户端证书进行验证，如果验证成功则表明Cert证书确实由CA机构所签发，然后服务器可以确信证书Cert中所包含的公钥与证书中描述的实体身份信息是对应的。服务器使用证书Cert对报文进行签名验证，如果通过则说明报文是终端发出的，证书认证通过。在本模型中，数字签名与签名验证采用SM2非对称算法。SM2是非对称加解密算法，是由我国国家密码局自主研发的加密算法。

　　3.1.3　保护数据免受重放攻击(rePlay一attack)

　　本模型在协商阶段使用序列号来保护通讯方免受报文重放攻击。这个序列号被加密后作为协商包的负载。在三步握手中，都有一个唯一的随机数来标记这个握手，这样重放便无机可乘。

　　3.2　性能

　　对于安全接入网关而言，需要接入多个客户端。为保证整个通信过程高效稳定，本安全模型TCP模式采用多线程服务器模型。当安全接入网关，每接受一个连接请求，需新建一个新线程专门处理与这个连接之间的通信。也就是说，有多少个连接，就新建多少个连接处理线程。这样连接会话之间互相不影响。主线程，即监听线程只负责接受连接，而不负责处理连接。每一个连接处理线程只负责处理与某一个连接的正常通信而不需要连接会话。

　　线程创建一个客户端socket，与服务器建立TCP连接;连接处理线程分别与客户端和服务器建立了连接，之后就转入了对连接会话的转发阶段。应用select函数检测两端socket值，如果客户端有数据发来，则网关接收数据，发送给远端服务器。若没有数据，继续检测。如果远端服务器有数据发来，则网关接收数据，发送给客户端，若没有数据，继续检测。

　　4　结　语

　　本文主要介绍一种安全通信模型，详细描述了通信流程和特点，并对其进行了测试。本模型可以面向不同的业务传输模式，已经实际应用在一些企业之中。由于采用多线程服务器模型，提高了终端接入数量上限。通过基于商密算法的通信协议，大大提高了系统的安全性。解决了业务应用数据上传成功率低、数据上传不完整、数据存在安全风险等问题。面向不同的业务，使得本模型适应范围更广。

　　参考文献

　　[1]利业鞑,刘恒.基于移动信息化的安全接入平台建设[J].计算机工程,2012,38(15):128-133.

　　[2]W Diffie, ME Hellman. New directions in cryptography[J].IEEE Transactions on Information Theory,1976,22(6):644-654. [3]游韵,喻占武.基于椭圆曲线公钥算法的SSL协议分析和实现[J].微计算机信息,2006(10):213-215.