网络安全毕业设计 1

北京市西城经济科学大学。

毕业设计。题目：ssl协议的分析实现及应用。

姓名李军学号： k009271012

学院：北京市西城经济科学大学

专业：计算机网络与安全管理

指导教师万缨。

2023年 5 月 30 日。

本人声明。声明内容如下：我声明，本设计及其研究工作是由本人在导师指导下独立完成的，在完成设计时所利用的一切资料均已在参考文献中列出。

摘要。目前，随着internet的快速发展，互联网上的信息安全越来越引起人们的关注。特别是近年来网上银行、电子商务和电子政务的发展，如何保证传输信息，特别是交易信息的保密性、完整性已成为继续解决的问题。

安全套接层协议(security socket layer protocol , 简称ssl)是internet上进行保密通信的一个安全协议。

关键词：加密算法，数据传输，ssl协议，ssl实现，ssl缺陷。

目录：1 .引言 1

1.1 ssl协议概述 1

1.2 ssl协议的体系结构 1

2 .ssl协议工作原理 2

3 .ssl记录协议 3

4. ssl握手协议 4

5. ssl协议的实现 6

5.1 openssl初始化 6

5.2选择会话协议 6

5.3创建会话环境 6

5.4 建立ssl套接字 7

5.5 完成ssl握手 7

5.6 进行数据传输 7

5.7 结束ssl通信 7

6. ssl协议的缺陷 8

6.1密钥管理问题 8

6.2加密强度问题 8

6.3数字签名问题 8

6.4必须建立在可靠连接基础上 8

6.5多方通信表现欠佳 8

7.结束语 9

参考文献 10

ssl是一种在客户端和服务器端之间建立安全通道的协议。ssl一经提出，就在internet上得到广泛的应用。ssl最常用来保护web的安全。

为了保护存有敏感信息web的服务器的安全，消除用户在internet上数据传输的安全顾虑。

openssl是一个支持ssl认证的服务器．它是一个源码开放的自由软件，支持多种操作系统。openssl软件的目的是实现一个完整的、健壮的、商业级的开放源码工具，通过强大的加密算法来实现建立在传输层之上的安全性。openssl包含一套ssl协议的完整接口，应用程序应用它们可以很方便的建立起安全套接层，进而能够通过网络进行安全的数据传输。

ssl 是secure socket layer英文缩写，它的中文意思是安全套接层协议，指使用公钥和私钥技术组合的安全网络通讯协议。ssl协议是网景公司(netscape)推出的基于 web应用的安全协议，ssl协议指定了一种在应用程序协议(如http、telenet、nmtp和ftp等)和tcp/ip协议之间提供数据安全性分层的机制，它为tcp/ip连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证，主要用于提高应用程序之间数据的安全性，对传送的数据进行加密和隐藏，确保数据在传送中不被改变，即确保数据的完整性。

ssl 以对称密码技术和公开密码技术相结合，可以实现如下三个通信目标：

1.(秘密性： ssl客户机和服务器之间传送的数据都经过了加密处理，网络中的非法窃听者所获取的信息都将是无意义的密文信息。

2.完整性： ssl利用密码算法和散列(hash)函数，通过对传输信息特征值的提取来保证信息的完整性，确保要传输的信息全部到达目的地，可以避免服务器和客户机之间的信息受到破坏。

3.认证性：利用证书技术和可信的第三方认证，可以让客户机和服务器相互识别对方的身份。

为了验证证书持有者是其合法用户(而不是冒名用户), ssl要求证书持有者在握手时相互交换数字证书，通过验证来保证对方身份的合法性。

ssl协议位于tcp/ip协议模型的网络层和应用层之间，使用tcp来提供一种可靠的端到端的安全服务，它是客户/服务器应用之间的通信不被攻击窃听，并且始终对服务器进行认证，还可以选择对客户进行认证。ssl协议在应用层通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作，在此之后，应用层协议所传送的数据都被加密。ssl实际上是共同工作的两层协议组成，如表1.

1所示。从体系结构图可以看出ssl安全协议实际是ssl握手协议、ssl修改密文协议、ssl警告协议和ssl记录协议组成的一个协议族。

表1.1 ssl体系结构。

ssl记录协议为ssl连接提供了两种服务：一是机密性，二是消息完整性。为了实现这两种服务， ssl记录协议对接收的数据和被接收的数据工作过程是如何实现的呢？

ssl记录协议接收传输的应用报文，将数据分片成可管理的块，进行数据压缩(可选),应用mac,接着利用idea、des、3des或其他加密算法进行数据加密，最后增加由内容类型、主要版本、次要版本和压缩长度组成的首部。被接收的数据刚好与接收数据工作过程相反，依次被解密、验证、解压缩和重新装配，然后交给更高级用户。

ssl修改密文协议是使用ssl记录协议服务的ssl高层协议的3个特定协议之一，也是其中最简单的一个。协议由单个消息组成，该消息只包含一个值为1的单个字节。该消息的唯一作用就是使未决状态拷贝为当前状态，更新用于当前连接的密码组。

为了保障ssl传输过程的安全性，双方应该每隔一段时间改变加密规范。

ssl告警协议是用来为对等实体传递ssl的相关警告。如果在通信过程中某一方发现任何异常，就需要给对方发送一条警示消息通告。警示消息有两种：

一种是 fatal错误，如传递数据过程中，发现错误的mac,双方就需要立即中断会话，同时消除自己缓冲区相应的会话记录；第二种是warning消息，这种情况，通信双方通常都只是记录日志，而对通信过程不造成任何影响。ssl握手协议可以使得服务器和客户能够相互鉴别对方，协商具体的加密算法和mac算法以及保密密钥，用来保护在ssl记录中发送的数据。

ssl握手协议允许通信实体在交换应用数据之前协商密钥的算法、加密密钥和对客户端进行认证（可选）的协议，为下一步记录协议要使用的密钥信息进行协商，使客户端和服务器建立并保持安全通信的状态信息。ssl握手协议是在任何应用程序数据传输之前使用的。ssl握手协议包含四个阶段：

第一个阶段建立安全能力；第二个阶段服务器鉴别和密钥交换；第三个阶段客户鉴别和密钥交换；第四个阶段完成握手协议。

ssl协议处于互联网多层协议集的传输层上，运行在tcp/ip协议之上而在其他高层协议（如http、telnet、ftp和imap等）之下，如表2.1所示。在建立一次ssl连接之前，首先建立tcp/ip连接。

ssl协议可以让应用层协议透明地加以应用。运行时，支持ssl协议的服务器可以同一个支持ssl协议的客户机彼此认证自己，还允许这两个机器之间建立安全的加密连接，同时保证信息在传输过程中的完整性。

ssl协议可以分为4个子协议：ssl握手协议、ssl更改密码规程协议、ssl报警协议和ssl记录协议，其中最重要的两个协议是握手协议和记录协议。ssl记录协议定义了数据传送的格式，它位于一些可靠的传输层协议之上（如tcp），用于各种更高层协议的封装。

ssl握手协议位于ssl记录协议之上，并被ssl记录协议所封装。它描述建立安全连接的过程，在客户和服务器传送应用层数据之前，该协议允许服务器与客户机之间协商加密算法和会话密钥，完成通信双方的身份验证等功能。

表2.1 ssl协议的分层结构。

ssl记录协议（record protocol）定义了传输的格式，包括记录头和记录数据格式的规定。发送方记录层的工作过程如图3.1所示：

图3.1 记录层的工作过程。

1．记录层从上层接收到任意大小的应用层数据块，把数据快分成不超过节的分片。

2．记录层用当前的会话状态中给出的压缩算法静分片压缩成一个压缩快，压缩操作是可选的。

3．每个会话都有相应“加密规格”指定了对称加密算法和mac算法。记录层用指定的mac算法对压缩块计算mac，用指定的对称加密算法加密压缩块和mac，形成密文块。

4．对密文块添加ssl记录头，然后送到传输层，传输层受到这个ssl记录层数据单元后，记上tcp报头，得到tcp数据包。

图3.2 ssl记录协议中数据项的格式。

图4.1 ssl建立新会话时的握手过程。

建立新会话时的握手过程。

握手协议用于数据传输之前。它可以进行服务器与客户之间的身份鉴别，同时通过服务器和客户协商，决定采用的协议版本、加密算法，并确定加密数据所需的对称密钥，随后采用公钥加密技术产生共享机密信息（例如对称密钥）。每次连接，握手协议都要建立一个会话。

会话中包含了一套可在多次会话中使用的加密安全参数，从而减轻了每次建立会话的负担。然而，必须指出的是，ssl中的每次连接时，在握手协议中产生的对称密钥都是独特的，这种每次更换密钥的方法显然在更大程度上确保了系统的不易攻破性。

网络安全毕业设计 1

网络安全设计

网络安全设计

网络安全设计

其他用户还读了