计算机网络安全协议研究.docxVIP

计算机网络安全协议研究 一、 电子商务安全的电子交易模式 随着计算机和网络技术的发展，尤其是网络迅速普及，人们在生活、学习和工作中离不开网络。然而，在我们面前，为了确保数据和信息的安全，我们必须履行一些紧迫的任务。在Internet技术的推动下,现在又出现了新的商业形式——电子商务。电子商务引起了人们越来越多的关注,它也被公认为是未来IT业最具潜力的增长点。而电子商务是基于开放的互联网,因此必然面临各种安全风险,如信息泄露或被篡改、欺骗、抵赖等。 电子商务发展的核心问题是交易的安全性问题,要构筑一个安全的电子交易模式,应满足以下五个方面,这也是电子商务安全的五大原则:数据保密性;数据完整性;个体识别性;不可抵赖性;访问控制性。迄今为止,国内外已经出现了多种Internet安全解决方案及在线支付协议,SSL、SET就是其中被广泛采用的比较成熟和实用的安全技术、协议,但也都存在一定的缺陷。 二、 开密钥技术 SSL协议是Netscape公司率先开发、采用的网络安全协议,是在TCP/IP上实现的一种安全协议。SSL协议采用公开密钥技术,可在服务器和客户机同时实现支持。 SSL协议的低层是SSL记录层,用于封装不同的上层协议。其中一个被封装的协议即SSL握手协议,它可以让服务器和客户机在传输应用数据之前,协商加密算法和加密密钥。客户机提出自己能支持的全部算法清单,服务器选择最适合它的算法。SSL独立于应用协议,因而上层应用可以叠加在SSL协议上,SSL协议的体系结构如图1: (一) 记录数据的生成 SSL记录协议用来对应用层提供的信息进行分组和组合、压缩和解压缩、数据认证和加密。利用SSL协议传输的数据都被封装在SSL记录协议定义的SSL记录中,SSL记录包括记录头和记录数据两部分。记录头为2或3个字节的编码,包括记录头的长度、记录数据的长度、记录数据中是否有填充位等信息;记录数据包括MAC数据、实际数据、填充数据,MAC数据用于数据完整性检查,若用MD5算法计算则MAC数据为16字节,计算公式为:MAC数据=HASH[密钥,实际数据,粘贴数据,序号];填充数据用于在块加密算法中使数据长度恰好是块的整数倍。在发送端,SSL记录协议对来自应用层的数据进行分组,对每一分组进行压缩,并计算其MAC数据,然后将他们一起加密经由传输层发送出去;在接收端,SSL记录协议对来自传输层的数据进行解密取出压缩分组,计算其MAC数据,并与解密后的接收数据携带的MAC数据进行比较,如相同则保证了数据的完整性,最后将压缩分组解压缩并重新组合成原来的数据传输给应用层。 (二) 密钥交换模式 该协议允许服务器和客户机相互验证,协商加密和MAC算法以及保密协议,用来保护在SSL记录中发送的数据,握手协议是在任何应用程序的数据传输之前使用的,握手协议的运行主要有以下步骤: 1.建立安全能力:该阶段是用来初始化逻辑连接,并建立与之相关的安全能力。交换在客户机发起,客户机发送Client-hello消息,并包含以下数据(版本、随机参数、会话ID、密码组参数、压缩方法),在发送了Client-hello消息后,客户机将等待包含与Client-hello消息参数一样的Server-hello消息。其中密码组参数的第一个元素是密钥交换模式,支持的密钥交换模式有RAS、Diffie-hell man、Fortezza。 2.服务器身份验证和密码交换:服务器可以发送证书、密钥交换和请求证书,以Hello消息段结束。 3.客户机验证和密钥交换:在这一阶段,客户机可以发送证书,发送交换密钥以及发送证书验证。 4.完成:该阶段完成安全连接的建立,该消息并不被认为是握手协议的一部分,而是改变密码规格协议发送的。此时,客户机和服务器完成了握手协议,可以开始交换应用层的数据了。 (三) 基于网络协议的安全服务功能 1. 钥技术的应用 SSL所采用的加密技术既有对称密钥技术,如DES;也有公开密钥技术,如RSA。具体来讲,客户机与服务器在进行数据交换之前,交换SSL初始握手信息,在SSL握手信息中采用了各种加密技术对其加密,以保证其机密性和数据的完整性,并且用数字凭证进行鉴别。 2. 信息是完整的 SSL提供完整信息服务,以建立客户机与服务器之间的安全通道,使所有经过SSL协议处理的业务能全部准确无误地到达目的地。 3. 确保用户合法性 客户机和服务器都有各自的识别号,这些识别号由公开密钥进行编号。为了验证用户是否合法,SSL协议要求在握手交换数据前进行数字认证,以此来确保用户的合法性。 要说明的是,SSL协议是一个保证计算机通信安全的协议,对通信对话过程进行安全保护。例如,一台客户机与一台主机连接上后,首先是要建立初始化握手协议,然后就建立了一个SSL对话时段,直到对话结束。SSL协议会对