基于SSL协议的Web信息安全通道的设计与实现
|
摘要
随着计算机网络技术特别是Internet技术的发展,网络安全日益受到人们的重视。Internet构建在TCP/IP协议上,而TCP/IP协议并未提供任何安全措施,针对Internet存在的安全问题,人们提出了多种解决方案。其中,网络环境中的数据安全传输协议,对于应用的安全性起着非常重要的作用,已经成为影响网络进一步发展的重要因素。SSL协议便是Internet上应用最为广泛的网络数据安全传输协议。
SSL协议隶属于会话层,处于有连接的会话层之上,它一经产生就在Internet领域发挥了巨大作用。目前,国外著名的商用浏览器和Web服务器都支持SSL协议,SSL已成为最流行的WWW安全协议。
目前已经有若干国外厂商推出了基于SSL的安全产品,但是协议在核心密码算法上都有出口限制,大多采用一些低安全强度(56位以下)的弱加密算法,而且协议代码不公开,根本无法满足我国实际应用中的安全需求。针对电子商务、电子政务和其他事务管理系统的安全发展需要,本文作者在研究SSL的基础上,参考当前较为成功的SSL实现技术方案,论述了能够充分保证Web通信安全的客户端SSL安全代理的设计与实现。
本论文主要由两部分构成,第一部分结合保密性、数据完整性和身份认证等安全性对SSL协议进行详细的分析,着重分析了SSL握手协议,并针对目前存在的对SSL的攻击提出了相关的应对措施。第二部分在对SSL协议分析研究的基础上,介绍了SSL客户端安全代理的设计与实现。最后指出了需要进一步完善的工作。
With the development of computer network especially the Internet, the security of network receives more and more attention. The Internet is based on TCP/IP protocols, but TCP/IP protocols can't guarantee the security. To solve these problems, various solutions have been brought up. The secure transport of data has become the emphasis of network environment and one of important factors of network development. SSL protocol is one of the most famous secure protocols.
SSL protocol belongs to the session layer, and plays an important role in the Internet. Presently, many of the famous commercial products of browsers and web servers support SSL. SSL has become the most prevailing WWW secure protocol.
Many develops have released secure products based on SSL, but, most of the secure protocols are subject to the limitation of export regulations. Most of them adopt weak cryptography algorithms (with key of 56bit downwards) and its source code isn't published. To satisfy the demands of the e-governmental affair, e-commerce and other affairs, we developed a SSL proxy on client side.
This thesis consists of two parts. The first one analyses SSL based on confidentiality, integrity and authentication, SSL handshake protocol are described in detail. Provides some measures against current attacks on SSL protocol. The second one presents the design and implement of SSL secure proxy on client side. In the end, the author points out the work should be improved in the future.
SSL协议隶属于会话层,处于有连接的会话层之上,它一经产生就在Internet领域发挥了巨大作用。目前,国外著名的商用浏览器和Web服务器都支持SSL协议,SSL已成为最流行的WWW安全协议。
目前已经有若干国外厂商推出了基于SSL的安全产品,但是协议在核心密码算法上都有出口限制,大多采用一些低安全强度(56位以下)的弱加密算法,而且协议代码不公开,根本无法满足我国实际应用中的安全需求。针对电子商务、电子政务和其他事务管理系统的安全发展需要,本文作者在研究SSL的基础上,参考当前较为成功的SSL实现技术方案,论述了能够充分保证Web通信安全的客户端SSL安全代理的设计与实现。
本论文主要由两部分构成,第一部分结合保密性、数据完整性和身份认证等安全性对SSL协议进行详细的分析,着重分析了SSL握手协议,并针对目前存在的对SSL的攻击提出了相关的应对措施。第二部分在对SSL协议分析研究的基础上,介绍了SSL客户端安全代理的设计与实现。最后指出了需要进一步完善的工作。
With the development of computer network especially the Internet, the security of network receives more and more attention. The Internet is based on TCP/IP protocols, but TCP/IP protocols can't guarantee the security. To solve these problems, various solutions have been brought up. The secure transport of data has become the emphasis of network environment and one of important factors of network development. SSL protocol is one of the most famous secure protocols.
SSL protocol belongs to the session layer, and plays an important role in the Internet. Presently, many of the famous commercial products of browsers and web servers support SSL. SSL has become the most prevailing WWW secure protocol.
Many develops have released secure products based on SSL, but, most of the secure protocols are subject to the limitation of export regulations. Most of them adopt weak cryptography algorithms (with key of 56bit downwards) and its source code isn't published. To satisfy the demands of the e-governmental affair, e-commerce and other affairs, we developed a SSL proxy on client side.
This thesis consists of two parts. The first one analyses SSL based on confidentiality, integrity and authentication, SSL handshake protocol are described in detail. Provides some measures against current attacks on SSL protocol. The second one presents the design and implement of SSL secure proxy on client side. In the end, the author points out the work should be improved in the future.
引文
1 Transport Layer Security Working Group.The SSL Protocol,Version3.0,1996-11-15
2 David Wagner, Bruce Schneler. Analysis of the SSL 3.0 protocol.
3 R .Housley, W. Ford, W Polk, et al. Intenret X .509 Public Key Infrastructure Certificate and CRL Profile:[RFC2459] . 1999
4 RSA Data Security Inc Public-key cryptography standards 1993
5 Bleichenbacher, D .. Chosen Ciphertext AtackS against Protocols Based on RSA Encryption Standard PKCS#1, Advances in Cryptology-CRYPTO 98 , 1998
6 Kaliski,b., Staddon, J ., PKCS#1; RSA Cryptography Specifications Version2 .0,[ RFC2437] , 1998
7 Moeller, B., Export-PKC attacks on SSL 3.0/TLS1.0, Message to IETF-TLS mailing list, 1998
8 RSA Laboratories, RSA Encryption Standard, PKCS#1 , 1993
9 Frier P K arlton, P Kocher, The SSL3.0 Protocol, Netscape Communication CorP,1996
10 David Wagner BruceS chneier, Analysis of The SSL 3.0 Protocol,http://www.counterpane.com /ssl.html, 1997
11 S .Kent, R .Atkinson, Security Architecture for the Internet Protocol, RFC 2401 ,November 1998
12 E .G erck, overview of Certification Systems: X .509, CA, PGP and SKIP, 1998
13 R..Housley, W.Ford, W.Polk, D.5010, Intenret X .509 Public Key Infrastructure Certificate and CRL Profile, RFC2459, January 1999
14 C.Adams, S.Farrell, Intenret X .509 Public Key Infrastructure Certificate Management Protocols.RFC2510, March 1999
15 Shawn Abbott, StePhen Keung on the Performance of Microsoft ⅡS4.0 SERVERS, http://isglabs.rainbow.com/isglabs .
16 李明柱、王冰编著,Windows2000中的网络和信息安全基础,第一版,[2004/7], 西安电子科技大学出版社
17 卿斯汉著,密码学与计算机网络安全,第1版,[2001/7],清华大学出版社
18 贾晶,陈元,王丽娜著,信息系统的安全与保密,第1版,[1999/1],清华大学出版社
19 杨波 著,网络安全理论与应用,第1版,(2002/1),电子工业出版社
20 谢冬青 冷健 编著,第1版,[2004/6],清华大学出版社
21 Steve Kalman著,冯大辉 姚湘怡 译,Web Security Field Guide,第1版,[2003/12],人民邮电出版社
22 胡道元 闵京华 编著,网络安全,第1版,[2004/11],清华大学出版社
23 Michael A.Gallo,William M.Hancock著,王玉峰 邹仕洪等 译,计算机通信和网络技术,第1版,[200317],人民邮电出版社
24 杨义先 钮心忻 编著,应用密码学,第1版,[2006/2],北京邮电大学出版社
25 徐爱国 著,网络安全,第1版,[2004/5],北京邮电大学出版社
26 周海刚 主编,网络安全技术基础,第1版,[2004/9],清华大学出版社
27 杨义先 钮心忻 编著,网络安全理论与技术,第1版,[200/10],人民邮电出版社
28 Atul Kahate著,邱仲潘等译,密码学与网络安全,第1版,[2006/6],清华大学出版社
29 魏兴国,HTTP和HTTPS协议安全性分析,程序员,2007(7):53-55
30 付沙、何诚、刘祝生,基于SSL协议的客户端安全代理的研究与实现,计算机与现代化,2007(7):99-105
31 佚名.SSL通讯安全代理简介,http://www.pcdog.com/network/security/2005/11/o045296.html,2005-11-15.
32 王志海,OpenSSL与网络信息安全-基础、结构和命令,[2005/7],清华大学出版社3334陈如刚、杨小虎著,电子商务安全协议,第1版,[2000/7],浙江大学出版社
35 宋玲、吕立坚、蒋华,基于PKI实现网络通信安全性的研究,计算机工程与应用,2002,Vol38(13)
36 孟桂娥、董玮文、杨宇航,公钥基础设施PKI的设计,计算机工程,2001,Vol27(6)
37 莫鸿强、侯小梅、毛宗源,基于SSL协议的电子商务解决方案,计算机工程与应用,2001,Vol37(8)
38 韦卫、王德杰、张英、王行刚,基于SSL的安全WWW系统的研究与实现,计算机研究与发展,1998,Vol36(5)
39 王秀琴,马文革,基于CA的安全通信系统的设计,计算机应用,2001.
40 范恒英、何大可,用OpenSSL进行TLS/SSL编程,通信技术,2002(6):82-85
41 董云耀、杨望书,基于PKI的安全套接层通信模型的设计与实现,杭州电子科技大学学报,2006(6):14-17
42 李海刚、吴启迪,基于软件代理的应用系统安全性设计与实现,计算机工程与应用,2002(16):15-17
43 杨亚平、李伟琴,基于SSL的数据安全传输系统的设计与实现,北京航空航天大学学报,2001(4):469-473
44 W.Richard Stevens著,TCP/IP详解——卷1:协议,范建华、青光辉、张涛等译,第1版,[2000/4],机械工业出版社
45 Bruce Schneier著,应用密码学——协议、算法与C源程序,吴世忠译,第1版,[2000/01],机械工业出版社
46 Wenbo Mao著,王继林、伍前红 等译,现代密码学理论与实践,第1版,[2004/7],电子工业出版社
2 David Wagner, Bruce Schneler. Analysis of the SSL 3.0 protocol.
3 R .Housley, W. Ford, W Polk, et al. Intenret X .509 Public Key Infrastructure Certificate and CRL Profile:[RFC2459] . 1999
4 RSA Data Security Inc Public-key cryptography standards 1993
5 Bleichenbacher, D .. Chosen Ciphertext AtackS against Protocols Based on RSA Encryption Standard PKCS#1, Advances in Cryptology-CRYPTO 98 , 1998
6 Kaliski,b., Staddon, J ., PKCS#1; RSA Cryptography Specifications Version2 .0,[ RFC2437] , 1998
7 Moeller, B., Export-PKC attacks on SSL 3.0/TLS1.0, Message to IETF-TLS mailing list, 1998
8 RSA Laboratories, RSA Encryption Standard, PKCS#1 , 1993
9 Frier P K arlton, P Kocher, The SSL3.0 Protocol, Netscape Communication CorP,1996
10 David Wagner BruceS chneier, Analysis of The SSL 3.0 Protocol,http://www.counterpane.com /ssl.html, 1997
11 S .Kent, R .Atkinson, Security Architecture for the Internet Protocol, RFC 2401 ,November 1998
12 E .G erck, overview of Certification Systems: X .509, CA, PGP and SKIP, 1998
13 R..Housley, W.Ford, W.Polk, D.5010, Intenret X .509 Public Key Infrastructure Certificate and CRL Profile, RFC2459, January 1999
14 C.Adams, S.Farrell, Intenret X .509 Public Key Infrastructure Certificate Management Protocols.RFC2510, March 1999
15 Shawn Abbott, StePhen Keung on the Performance of Microsoft ⅡS4.0 SERVERS, http://isglabs.rainbow.com/isglabs .
16 李明柱、王冰编著,Windows2000中的网络和信息安全基础,第一版,[2004/7], 西安电子科技大学出版社
17 卿斯汉著,密码学与计算机网络安全,第1版,[2001/7],清华大学出版社
18 贾晶,陈元,王丽娜著,信息系统的安全与保密,第1版,[1999/1],清华大学出版社
19 杨波 著,网络安全理论与应用,第1版,(2002/1),电子工业出版社
20 谢冬青 冷健 编著,第1版,[2004/6],清华大学出版社
21 Steve Kalman著,冯大辉 姚湘怡 译,Web Security Field Guide,第1版,[2003/12],人民邮电出版社
22 胡道元 闵京华 编著,网络安全,第1版,[2004/11],清华大学出版社
23 Michael A.Gallo,William M.Hancock著,王玉峰 邹仕洪等 译,计算机通信和网络技术,第1版,[200317],人民邮电出版社
24 杨义先 钮心忻 编著,应用密码学,第1版,[2006/2],北京邮电大学出版社
25 徐爱国 著,网络安全,第1版,[2004/5],北京邮电大学出版社
26 周海刚 主编,网络安全技术基础,第1版,[2004/9],清华大学出版社
27 杨义先 钮心忻 编著,网络安全理论与技术,第1版,[200/10],人民邮电出版社
28 Atul Kahate著,邱仲潘等译,密码学与网络安全,第1版,[2006/6],清华大学出版社
29 魏兴国,HTTP和HTTPS协议安全性分析,程序员,2007(7):53-55
30 付沙、何诚、刘祝生,基于SSL协议的客户端安全代理的研究与实现,计算机与现代化,2007(7):99-105
31 佚名.SSL通讯安全代理简介,http://www.pcdog.com/network/security/2005/11/o045296.html,2005-11-15.
32 王志海,OpenSSL与网络信息安全-基础、结构和命令,[2005/7],清华大学出版社3334陈如刚、杨小虎著,电子商务安全协议,第1版,[2000/7],浙江大学出版社
35 宋玲、吕立坚、蒋华,基于PKI实现网络通信安全性的研究,计算机工程与应用,2002,Vol38(13)
36 孟桂娥、董玮文、杨宇航,公钥基础设施PKI的设计,计算机工程,2001,Vol27(6)
37 莫鸿强、侯小梅、毛宗源,基于SSL协议的电子商务解决方案,计算机工程与应用,2001,Vol37(8)
38 韦卫、王德杰、张英、王行刚,基于SSL的安全WWW系统的研究与实现,计算机研究与发展,1998,Vol36(5)
39 王秀琴,马文革,基于CA的安全通信系统的设计,计算机应用,2001.
40 范恒英、何大可,用OpenSSL进行TLS/SSL编程,通信技术,2002(6):82-85
41 董云耀、杨望书,基于PKI的安全套接层通信模型的设计与实现,杭州电子科技大学学报,2006(6):14-17
42 李海刚、吴启迪,基于软件代理的应用系统安全性设计与实现,计算机工程与应用,2002(16):15-17
43 杨亚平、李伟琴,基于SSL的数据安全传输系统的设计与实现,北京航空航天大学学报,2001(4):469-473
44 W.Richard Stevens著,TCP/IP详解——卷1:协议,范建华、青光辉、张涛等译,第1版,[2000/4],机械工业出版社
45 Bruce Schneier著,应用密码学——协议、算法与C源程序,吴世忠译,第1版,[2000/01],机械工业出版社
46 Wenbo Mao著,王继林、伍前红 等译,现代密码学理论与实践,第1版,[2004/7],电子工业出版社