论文部分内容阅读
互联网具有便利、开放、全球化的特点,在给我们带来方便的同时,也带来了各种安全隐患。SSL协议是用于解决网上支付领域中的安全问题的一种重要协议,应用极广,几乎支持所有的主流浏览器产品。它能为基于TCP/IP的网络应用程序,提供身份验证、数据完整性、数据机密性等安全服务。论文首先叙述了SSL协议相关信息安全技术的基本原理,对称加密和非对称加密两种体制,数字信封、数字签名、数字日期戳等技术方法和用途。然后,介绍了SSL协议的构架。握手协议和记录协议是SSL的核心部分,握手协议主要解决会话双方的密钥参数协商和身份确认问题,记录协议主要解决传输数据的具体处理问题。论文对SSL协议的运行流程作了详细研究,分析了SSL协议的缺陷。主要有SSL连接速度比TCP连接速度慢;对应用层身份认证方面存在不确定性,应用层没有数字签名功能,SSL证书使用机制不完善;记录头消息和未决的“更改密码规格”消息的明文状态等缺点。分析了密钥交换协议DH不同方案的特点。从算法和流程两方面,吸取和总结前人研究经验,得出改进SSL的途径和对策。1.利用ECC代替RSA算法,选取短密钥的算法,加快运行速度。2.借助DCOM技术和JAVA技术,单独为服务器和客户器设计了数字签名功能模块。3.借鉴第三方KDC密钥分发的方法,并加以简化,实现SSL密钥的协商,回避单一信任链进行认证带来的风险。4.对未决的更改密码规格消息明文状态,提出两种解决方案。对准备丢弃的消息实施加密,对准备继续使用的消息增加验证服务。5.密钥协商中所用的匿名DH算法,存在对重要参数不加密的问题。用验证与加密模式结合的方式保护重要参数。6.防范记录头明文状态所引发的流量攻击。用SSL保护上层数据,VPN保护网络层数据来解决。最后提出了SSL尚需研究的问题。