若干互聯網安全協(xié)議的攻防技術研究.pdf

1、隨著信息技術的發(fā)展和Internet的普及，Internet已經成為信息時代的基礎設施，WWW、Email、網絡電話和電子商務等服務已經深入人們的日常生活。Internet具有的全球性、開放性、共享性等特點，給人們的信息交換帶來了極大的便利。但網絡協(xié)議本身也有不完善性，越來越多的安全事件讓我們認識到網絡安全的重要性，特別是正在蓬勃發(fā)展的網上銀行、電子商務所需要的高安全性，使得如何確保網絡安全通信越來越成為大家關注和研究的重點。本文重點研

2、究當前比較流行的幾類網絡攻擊手段，如協(xié)議攻擊、實現漏洞攻擊以及加密算法攻擊，選擇幾種應用最為廣泛或者即將大規(guī)模應用的網絡安全協(xié)議作為模擬攻擊的對象，分析這些攻擊手段的成功率，實施攻擊所需要的條件和環(huán)境，以及所需要的計算能力等，提出相應的防御方案，并在這個基礎上對協(xié)議進行一定的改善和提出一些新的方案。 SSL協(xié)議是目前使用最為廣泛的安全協(xié)議之一，提供對應用層數據的完整性和保密性，以及服務器認證、客戶認證（可選）。OpenSSL是S

3、SL協(xié)議最典型的實現，本文針對OpenSSL的具體實現采用版本回轉攻擊，降低SSL在通信過程中所協(xié)商的版本，再根據低版本SSL的相關漏洞進行攻擊，實驗測得此種攻擊方法利用一臺普通電腦32 天可以解密會話密鑰，從而解密通信內容；對SSL的另一種比較有效的攻擊手段是證書替換攻擊，通過中間人攻擊的手段，替換在通信過程中的客戶端和服務器交換的數字證書，客戶端向服務器傳送的預主密鑰就完全被“中間人”所竊取，從而可以計算出主密鑰和會話密鑰，經實驗證

4、明“中間人”能夠竊取相關密鑰。對于IPSec協(xié)議也存在同樣的問題，在IKE階段，由于Diffie-Hellman算法無法防止中間人攻擊，需要使用數字證書進行身份認證，也存在數字證書替換的攻擊。同時針對每種攻擊手段提出相應的防御方法。 DNSSEC的認證基本原理是每級域名系統(tǒng)的公鑰都會經過上一級域名系統(tǒng)的私鑰簽名，“父區(qū)”確?！白訁^(qū)”的安全，形成一條從上而下的認證鏈，本文根據基于身份加密的原理，提出一個基于身份加密的DNSSEC認