一种基于公开密钥的网络安全接层协议.docxVIP

一种基于公开密钥的网络安全接层协议 0 常用网络技术 随着信息技术的快速发展，计算机网络技术在多个领域得到了广泛应用。Internet是以TCP/IP协议为基础的广域网络。由于TCP/IP协议是一种包交换网络,数据包在网络上的传输是透明的,并且可能经过不同的网络,才能到达目的计算机。而TCP/IP协议本身没有考虑数据包在传输过程中的安全因素,很多应用程序,如:Telnet、FTP等,仍使用明文传输非常敏感的口令数据。因此,人们通过Internet进行各种交流,在网上传输大量信息的同时,如何在传输过程中保障这些敏感数据的安全,制约着网络技术在商业、金融及国防等领域应用的进一步发展。网络与信息安全的重要性和紧迫性日益突出。鉴于TCP/IP协议在安全方面的脆弱性,Netscape公司1994年提出了安全套接层协议——SSL1.0,SSL目前已经推出了2.0、3.0版本。 SSL采用公开密钥技术,其目标是保证两个实体间通信的保密性和可靠性,可在服务器和客户机两端同时实现支持。目前,利用公开密钥技术的SSL协议,已成为Internet上保密通信的工业标准。当前流行的客户端软件(Netscape Navigator、Microsoft Internet Explorer),绝大多数的服务器(Microsoft、Apache和Oracle等)以及证书授权(CA)等都支持SSL。在C/S(C1ient/Server)和B/S(Browser/Server)的构架下也有广泛的应用。 1 rsa认证 SSL(安全套接层)协议为基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。SSL协议使用x.509认证,RSA作为公钥算法,可选用RC4-128、RC-128、DES或IDES作为数据加密算法。SSL可运行在任何可靠的通信协议之上、并可运行在HTTP、FTP、TELNET等应用层协议之下,关系图如图1所示。 SSL协议又可以分为两层:记录层、握手层,每层使用下层服务,并为上层提供服务,介于ISO模型的应用层和传输层之间。 1.1 tcp和株记录 SSL记录层协议提供通信、认证功能,并且在一个面向连接的可传输协议(如TCP)之上提供保护。在SSL中,所有数据被封装在记录中,一个记录由两部分组成:记录头和非零长度的数据。所有的SSL通信包括握手消息、安全空白记录和应用数据都使用SSL记录层。SSL记录协议包括了记录头和记录数据格式的规定。 (1) 记录数据的安装 SSL的记录头可以是2个或3个字节长的编码。其信息包括:记录头的长度、记录数据的长度、记录数据中是否有粘贴数据。其中粘贴数据是在使用块加密算法时,填充实际数据,使其长度恰好是块的整数倍。当数据头长度是3个字节时,次高位有特殊的含义:为1时表示标识所传输的记录是普通的数据记录;为0时表示标识所传输的记录是安全空白记录(被保留用于将来协议的扩展)。 (2) 密钥、实际数据、布局 SSL的记录数据包含3个部分:MAC数据、实际数据和粘贴数据。MAC数据用于数据完整性检查,MAC的计算公式,MAC数据=HASH[密钥、实际数据、粘贴数据及序号],当会话的客户端发送数据时,密钥是客户的写密钥(服务器用读密钥来验证MAC数据);而当会话的客户端接收数据时,密钥是客户的读密钥(服务器用写密钥来产生MAC数据)。序号是一个可以被发送和接收双方递增的计数器。每个通信方向都会建立一对计数器,分别被发送者和接收者拥有。计数值循环使用,每发送一个记录计数值递增一次,序号的初始值为0。 1.2 客户机发送采用rsa密钥交换算法 握手层的作用是客户方和服务器通过数次交互、协商加密算法及确定会话密钥,同时完成客户方对服务器的身份认证。SSL握手协议包含以下两个阶段: (1) 建立私密性通信信道阶段。整个过程包括:① HELLO阶段:即客户机向服务器发送CLIENT-HELLO消息,服务器向客户机发送SERVER-HELLO消息。② 密钥交换阶段:客户机和服务器之间建立主密钥。③ 回话密钥生成阶段:客户机送出CLIENT-MASTER-KEY并和服务器建立回话密钥。④ 服务器证实阶段:采用RSA密钥交换算法时执行此步骤。此阶段交换的消息为SERVER-CERTIFICATE,该阶段流程如图2所示。 (2) 客户认证阶段。该阶段的主要任务是服务器对客户进行认证,此时服务器已经被认证了它要求客户机的证书,客户机以CLIENT-CERTIFICATE进行响应。此阶段交换的信息为REQUEST-CERTIFICATE和CLIENT-CERTIFICATE.。当客户机通过送回话ID作为加密文本表示完成了认证,客户机和服务器各自交换消息CLIENT-FINISHED和SERVER-FI