基于OpenSSL的安全协议SSL的应用
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
析 。 用 A ah e 务 器和 开 源 软 件 O e SL在 Ln x环境 下 为通 信 双 方 建 立 证 书 、 使 p ce b服 W pnS iu 协 商 密钥 , 实现 安 全 通信 。
关键词 : S S L安 全 协 议 : e S L; 全 传 送 Op n S 安
0 引
~
—
—
—
Fi i he — n s d
鏊
的长度 、 录数据 的长度等信息 ,S 记 S L记 录数据部分有 三个分量 : A — A A、 C U L D T M C D T A T A — A A和 P D I G A DN — D T A A。MA C数 据 用 于 数 据 完 整 性 检 查 . C U L ATA — D T A A是被传 送 的应 用数据 .A D N — A A是 当采 P D IG D T
和压 缩 方 法
作后发在 通信对方 之间传送 S L记录协议 为每一个 S
SL连接提供保 密性 和完 整性两种服务 : S () 1 保密性 : S SL记 录协议会协助双方产生一把共
有 的 密 钥 .利 用 这 把 密 钥 来 对 S L 传 送 的 数 据 进 行 S所
加密 , 防止数据在传输 过程中的泄露 , 实现数据 的保密
/
用 于保护正常运行于 T P之上的任何应用协议 .例如 C Hr P F P、MT 、 T S P等协议 , r 并且这些应用 协议均能够透
明 的建 立 于 S L协 议 之 上 S
接受 , 如果都没有 问题的话 . 发送一个或多个消息给服 务器。 如果服务器请求证书 的话 , 则客户 首先发送一个 C rf a e ict t i e消息 . 客户 没有证 书 。 若 则发送 一个 N C r o e -
( ) 成 握 手 协 议 4完
首先 . 户 端 发 送 一 个 C agCp eS e 息 , 客 hne i rpc消 h 并
—
一
鬻 薯
且 把协商得 到的 CpeS i i rut h e拷贝到 当前连接的状态之 中; 然后 , 客户端用 新 的算 法 、 密钥 参数发送 一个 Fn i.
送 的 安 全性 【 1 1
传送 SL安全协议在 网络协 议层 中的位 置如 图 1 S 所
示 :
针对 网络应用不断扩大 的需求和数据在 网络 中传 送的不安全性 问题 .本文分析 了使用 S L安全协议保 S 护数据 基本原理 .并使 用开源 软件 O esS pnS L实现 了
着 We b应 用 的 发 展 。S L安 全 协 议 可 以 在 浏 览 器 和 S
( ) 户 鉴 别 和 密 钥 交 换 3客 客 户 收 到 S r r e 消 息 后 .它 根 据 需 要 检 查 服 ev H l e l
We b服务器之 间建立一 条安全 通道 .保证数据在传输
过 程 中 的安 全 性 。O eS L开 源 工 具 包 是 最 常 用 的一 pn S
站. 例如使用 ht :17 . 1 t sU 2 . 0 进行测试 。 p 0 .
个 S L实现软件 .它提供 S L算法的 函数库和标准接 S S
口供 其 他程 序调 用
3 S L协议 的安 全 性 分 析 S
S L协 议 是 一 个 独 立 于 平 台 并 独 立 于 应 用 的 协 S
应 用层 协议
| r r
F≥ S 一 ● r i … P l T P ●
s S密钥曩 ¨ s ̄W ¨ L s
一悔议
≤ 录 赞 囊 滔S 一
S L 协议 S层
S L安全协议 . s 在通信双 方之间建立安全通道 。 保证数 据在传送 过程 中的安全性 。
 ̄ : _
一
s 。- e r p d hn e ih ag Cp — Fil sh d l n s ed i e
一
图 2 S L握 手 协 议 流 程 S
用 分 组 码 时 所 需 要 的填 充 数 据
( ) 立 连 接 1建 首先 . 户 端 向服 务 器 发 送 一 个 Ci t e o 息 . 客 l nH l 消 e l
S L记录 协议根 据 S L握手 协议协 商 的参数 . S S 对 应用层 送来 的数据进行 加密 、 压缩 、 计算 MA C值等操
发送的 内容主要包括协 议版本 、 随机数 、 会话 I 客户 D、 支持 的密码算法列表 、客户支持的压缩方法 列表等参
数 。 然 后 . 务 器 收 到 Ci t l 服 l n l 息 后 。 客 户 端 发 e Heo消 向 送 S reH l 消 息 .发 送 的 内容 主要 包 括 选 用 的协 议 evr e o l 版 本 、 务 器 产 生 的 随机 数 、 话 I 选 用 的 密 码 算 法 服 会 D、
性:
( ) ̄ 2 J 务器鉴别 和密钥交换 J
首 先 . 务 器 向客 户 端 发 送 自 己 的证 书 C rf a 服 et et i e i 和 SreK y xhne消 息 : 后 , 务 器 发 送 C rf e re E ca g v 然 服 et — i i
( ) 整性 : S 2完 S L记 录协 议 会 协 助 双 方 产 生 另 一 把
协 议 包 含 如 图 2所 示 的 五个 阶段 :
 ̄ C i n H 1 ——— 1 e t el o
最后 , 客户发送一个 C rf a V ry e ict e f 消息 . 中包含一 t i e i 其
个 签 名 . 从 第 一 条 消 息 以来 的 所 有 握 手 消 息 的 MA 对 C 值 进行签名
的同时也带来 了巨大 的安全 隐患 人们通过 网络进行
操作 、 交易 的命令 、 验证信息等数据需要通过 网络进 行 传送 . 很容易被攻击者截获和篡改 0因此 . 保证数据 在
传送 过程中的安全性是进行 网络应用的必要条件 S L S 安全套接层协 议(eueSc e L yr在数 据的收发双 S cr okt ae) 方之间建立 了一个安全通道 .保证 了数据在 网络 中传
收稿 日期 :0 2 0 —1 修 稿 日期 :0 2 0 — 1 21— 1 6 2 1 - 2 0
S L安 全 协 议 是 位 于 应 用 层 协 议 之 下 、传 送 层 协 S
源自文库
议之上 的中间层 协议。S L安全协议本身 也是一个 两 S 层协议族 .低层位于可靠传送协议 T P之上 ;高层是 C
S L的 主 要 配置 过 程 如 下 : S ( ) 装 oe s - .. 1安 pnd 0 8 9 a
# a x f p n s- . .at r z t r v e sl O9 8 . . z o ag # d o e sl098 c p n s . .a -
#. o fg / n c i
据 两 部 分 组 成 。 中 . 录头 一 般 包 含 的信 息 有 记 录 头 其 记
~ — —
c e t e  ̄ rh= H n K… Y v … … c r l i at V e tf c e — …
“
er
i ; ~
“
— —
—
—
— —
C ag Cp e S d h n e i h r pe
共有的密钥 , 利用这把 密钥来 计算 出消息认 证码 . 实现 数据的完整性
ct eu s消息 向客户请求 一个证书 : a R q et e 最后 。 服务器发
送 S reHelD n 。 ev r l o e o
2 基 于 Op n S e S L安 全协 议 的应 用
数据安 全是 We b应用 的一个重要 问题 . 直接影 响
用 均 是 通 过 网 络进 行 。 然而 . 网络 发 展 给 人 们 带来 方便
S L安全协议是一个两层 的协议族 . S 高层是以 S L S 握手 协议 为代表的协议族 . 低层是 S L记录协议 。S L S S 握 手协 议组族 由 S L握手 协议 、S S S L密钥交 换协议 和 S L警 告协议等组成 .主要 负责在客户端 和服务器 之 S 间建立安全连接 .协商加 密算 法和加密密钥 以及完 成 通 信双方身份验证 等功能。SL记录协议 的作用是将 S 上层 协议组和数据封装为记录 .在通信双方之 间进行
传送 层 协议
_ _ ; l I l 一 =
1 S SL安 全 协 议
S L安全套接字层协议 是由 N t ae 司于 19 S e cp 公 s 96
图1 S SL安 全协 议 在 网络 协 议 层 中的 位 置
年推 出的安全协议 .它是使用公钥和私钥技术组合 的 安全 网络通信协议 。 为通信双方提供数据 的数据加 密 、 数据完整性以及可认证性等安全服务[ 使用 S L保证 2 1 。 S
作 者 简介 : 吕翠 萍 (97 , , 东济 宁 人 , 师 , 士 , 究 方 向 为计 算机 网络 17 一)女 山 讲 硕 研
国 硐
管加 o 1 n n9 9
嚼
S L握 手 协 议 族 . 于 S L记 录 协 议 之 上 S L协 议 可 S 位 S S 务 器 提 供 的 证 书 .并 判 断 SreH l evr e o的参 数 是 否 可 以 l
言
数据 安全性 的基本原理是在网络环境中为两个通信实 体建 立一个 安全通 道 , 数据在通道 内传送 . 使 避免攻击
者 的非 法 获 取 和 篡 改
随 着计 算 机 技 术 和 It t ne me 的发 展 . 网络 平 台 的 开
放性和便捷 性正逐渐 改变着人们 的工作 和生活 方式 . 越来越 多的应用活动正逐渐从现实世界转移到虚拟 的 网络 中进 行 。 例如远 程操作 、 电子商务 、 视频会 议等应
t ct 警 告 , 后 客 户 发 送 Ci t eE c ag 息 。 i a i f e 然 l nK y xhne消 e
11 S 握 手 协 议 . S L
S L握手协议是 用来在通 信双方传 送数据 之前建 S 立安全通 道 通信双方经过 多次握手协商加密 算法和 加 密密钥 以及 完成对通信 双方身份 的认证 S L握手 S
本文在 Lnx环境下 实现基 于开源软 件 O eS L iu pnS 的安全协议 . b服务器选 用支持 SL协议 的 A ah We S pc e 服 务器 。 安装 开源 软件 O esl09 a 进 行相 应 的配 pns .8 , 一 . 置。 创建证书 和其他相关文件用 以实现 S L安全传输 。 S
\
实 践 与 经验
基 于 Op n S e S L的安全协议 S L的应 用 S
吕翠萍 , 王 磊 , 王 师琪
( 宁职 业 技 术 学 院 , 宁 2 2 0 ) 济 济 7 10
摘 要 : 绍 S L安 全 协 议 的组 成部 分 以及 实现 原理 , 析 S L的 握 手 过 程 , 对 其 安 全 性 进 行 分 介 S 分 S 并
i e 息 服 务 器 同样 发 送 C ag Cp eS e 消 息 和 s d消 h h ne i rpc h i s d消 f i e 息 完 成 握 手 过 程 nh
J f————一 S r e H l o ev re l-
器
,
_ _ _ - - - - - - - -
Ce rt1t1 ca
然蒜 髫
— — — — — — 一
r ̄ l
; t D三  ̄O二 Ot二  ̄
一
蠢 登 甍
& ∞ : :
当握手过程完成时 . 通信双方即可交换 数据 12 S 记 录协 议 . S L 在使用 S L安全协议进行传送时 .所有 的数据 被 S 封装在 SL记录 中 一个 S L记 录由和非零长度 的数 S S