若干互聯(lián)網(wǎng)安全協(xié)議的攻防技術(shù)研究.pdf

1、隨著信息技術(shù)的發(fā)展和Internet的普及，Internet已經(jīng)成為信息時代的基礎(chǔ)設(shè)施，WWW、Email、網(wǎng)絡(luò)電話和電子商務(wù)等服務(wù)已經(jīng)深入人們的日常生活。Internet具有的全球性、開放性、共享性等特點，給人們的信息交換帶來了極大的便利。但網(wǎng)絡(luò)協(xié)議本身也有不完善性，越來越多的安全事件讓我們認識到網(wǎng)絡(luò)安全的重要性，特別是正在蓬勃發(fā)展的網(wǎng)上銀行、電子商務(wù)所需要的高安全性，使得如何確保網(wǎng)絡(luò)安全通信越來越成為大家關(guān)注和研究的重點。本文重點研

2、究當前比較流行的幾類網(wǎng)絡(luò)攻擊手段，如協(xié)議攻擊、實現(xiàn)漏洞攻擊以及加密算法攻擊，選擇幾種應(yīng)用最為廣泛或者即將大規(guī)模應(yīng)用的網(wǎng)絡(luò)安全協(xié)議作為模擬攻擊的對象，分析這些攻擊手段的成功率，實施攻擊所需要的條件和環(huán)境，以及所需要的計算能力等，提出相應(yīng)的防御方案，并在這個基礎(chǔ)上對協(xié)議進行一定的改善和提出一些新的方案。 SSL協(xié)議是目前使用最為廣泛的安全協(xié)議之一，提供對應(yīng)用層數(shù)據(jù)的完整性和保密性，以及服務(wù)器認證、客戶認證（可選）。OpenSSL是S

3、SL協(xié)議最典型的實現(xiàn)，本文針對OpenSSL的具體實現(xiàn)采用版本回轉(zhuǎn)攻擊，降低SSL在通信過程中所協(xié)商的版本，再根據(jù)低版本SSL的相關(guān)漏洞進行攻擊，實驗測得此種攻擊方法利用一臺普通電腦32 天可以解密會話密鑰，從而解密通信內(nèi)容；對SSL的另一種比較有效的攻擊手段是證書替換攻擊，通過中間人攻擊的手段，替換在通信過程中的客戶端和服務(wù)器交換的數(shù)字證書，客戶端向服務(wù)器傳送的預主密鑰就完全被“中間人”所竊取，從而可以計算出主密鑰和會話密鑰，經(jīng)實驗證

4、明“中間人”能夠竊取相關(guān)密鑰。對于IPSec協(xié)議也存在同樣的問題，在IKE階段，由于Diffie-Hellman算法無法防止中間人攻擊，需要使用數(shù)字證書進行身份認證，也存在數(shù)字證書替換的攻擊。同時針對每種攻擊手段提出相應(yīng)的防御方法。 DNSSEC的認證基本原理是每級域名系統(tǒng)的公鑰都會經(jīng)過上一級域名系統(tǒng)的私鑰簽名，“父區(qū)”確?！白訁^(qū)”的安全，形成一條從上而下的認證鏈，本文根據(jù)基于身份加密的原理，提出一個基于身份加密的DNSSEC認