SSL协议客户端程序设计与实现开题报告

1、信息科学与技术学院 毕业设计开题报告 SSL协议客户端程序的设计与实现 题 目：SSL协议客户端程序的设计与实现 学 院：信息科学与技术学院 专 业： 学 号： 姓 名： 手 机： 指导教师： 教师职称： 填表日期： 2013-05-01 2013 年 3 月 16 日 开题报告的内容应包括 1）本课题的目的、意义。 2）本课题国内外研究现状（国内外文献综述，给出参考文献） 3）本课题设计任务与要求。 4）拟采取的技术路线与试验方案。 5）预期成果（包括预期能够完成的设计或者理论研究成果，拟提交 的软件、硬件、仿真程序等） 。 6）设计进度安排。 注：（1）开题报告工作由毕业设计指导小组组织实

2、施，目的是帮助学生执行选题论证 2）毕业设计指导小组的论证意见以“通过” 、“不通过”结论。通过者按计划开展论文 工作。不通过者，整改后重新提交开题报告，如果仍然不通过则取消毕业设计资格。 开题报告主要内容 1. 本课题的目的、意义 安全套接层协议（Secure Sockets Layer , SSL设计的初衷是为TCP连接提供一个可靠 的端到端安全服务，为两个通讯个体之间提供保密性和完整性。SSL*议最广为人知的应用即 使与HTTP*议结合而成的HTTP协议，这一协议已经成为了事实上的安全In ternet通讯国际标 准。由于SSL具有应用面广、实施成本低、安全高效、操作简单等优点，它已成为

3、电子商务 系统中应用得最为广泛的协议。安全套接层协议作为目前保护Web安全和基于Http的电子商 务交易安全的工业标准，被许多世界知名厂商的In ternet和In ternet网络产品所支持。SSL协 议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此 之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。SSL协议位于TCP/IP协 议与各种应用层协议之间。为数据通讯提供安全支持。SSL协议包含两个层次：其较低的SSL 记录层协议位于某一可靠的传输协议（例如 TCPTCP协议）之上；SSL记录层协议用来对其上 层的协议进行封装。握手协议就在这些被封装的上

4、层协议之中，它允许客户端和服务器彼此 认证对方；并且在应用协议发出或收到第一个数据之前协商加密算法和加密密钥。这样作的 原因是保证了应用协议的独立性，使低级协议对高级协议是透明的。 SSL在TCP上提供一种通用的通道安全机制，任何可以在TCP上承载的协议都能够使用 SSL加以保护。在TCP/IP四层协议族中，SSL协议位于传输层与应用层之间，基于可靠传输 协议TCP，服务于各种应用层协议，如 HTTP、POP TELNET等，它们在SSL协议上运行分 别被称作HTTPS POPS TELNETS协议等，分别对应的端口号为 443、995、992等。当然， SSL协议最广泛的用途是为HTTP提供

5、安全保障，这也是它诞生的最初目的。 由于网络上传输的数据很容易被非法用户窃取， 本课题主要设计SSL协议当中的客户端， 采用在与服务器端之间建立加密通道的方法保证数据传输的机密性。所谓加密通道，是指发 送方在发送数据前，使用加密算法和加密密钥对数据进行加密，然后将数据发送给对方；接 收方接收到数据后，利用解密算法和解密密钥从密文中获取明文。没有解密密钥的第三方， 无法将密文恢复为明文，从而保证数据传输的机密性。 通过本课题设计的程序，能够在客户端与服务器端通信的过程中防止被窃听。对在SSL 加密通道上的数据加解密使用对称密钥算法（DES 3DES AES等）以及公钥算法（RSA。 在客户端与服

6、务器端建立连接的过程中通过双向认证来辨别身份。在设计SSL协议客户端程 序的过程中，通过对加密解密以及传输过程的分析，详细了解SSL协议进行数据传输的时的 每一步，熟练的掌握SSL协议的原理和两个重要的子协议：记录协议和握手协议。 2. 本课题国内外研究现状（国内外文献综述，给出参考文献） 信息在社会中的作用和地位越来越重要，已成为社会发展的重要战略资源。社会信息化 成为当今世界发展的潮流和核心，与此同时信息的安全问题也成为世人关注的社会问题：任 何一种网络应用和增值服务的使用程度将取决于所使用网络的信息有无安全保障，如何保证 传输信息，特别是敏感信息的保密性、完整性1已成为一个重要问题，该问

7、题也是当今网络 安全技术研究的一个热点。网络安全已成为现代计算机网络应用的最大障碍，也是急需解决 的难题之一。1994 年，Netscape 公司（Netscape Communications Corp）为了保护 Web通信协 议HTTP开发了 SSL2-4协议（Secure Socket Layer ，安全套接层协议），该协议的第一个 成熟的版本是SSL2.0，被集成到Netscape公司的In ternet产品中，包括Navigator浏览器 和Web服务器产品等。SSL2.0协议的出现，基本上解决了 Web信协议的安全问题，很快引 起了人们的关注。Microsoft 公司对该协议进行了

8、一些修改，发布了 PCT（Private Com mun icatio n Tech no logy）协议，并应用在 In ternet Explorer 等产品中。SSL 和 PCT协议 颇有相似之处：他们的丰要目标是提供通信间的保密和可靠性，都必须运行在可靠的传输协 议（如TCP）而不能在不可靠的传输协议（如UDP之上，共同的优点为独立于高层的应用协议， 但SSL协议的应用要比PCT协议更广泛。1996年，Netscape公司发布了 SSL3.0,该版本增 加了一些功能和安全特性，并修改了一些安全缺陷。1997年，IETF（Internet Engineering Task Force，互

9、联网工程任务组）基于SSL3 0协议发布了 TLSl.0传输层安全协议草案，Microsoft 公司丢弃了 PCT协议，和Netscape公司一起宣布支持该开放的标准。1999年，正式发布了 RFC2246 我国在系统安全的研究与应用方面与先进国家和地区相比存在很大差距。近几年来，我 国进行了安全操作系统、安全数据库、多级安全机制的研究，但由于我方安全内核受控于人， 难以保证没有漏洞。而且大部分有关的工作都以美国1985年的TCSE（标准为丰要参照系。开 发的防火墙、安全路由器、安全网关、黑客入侵检测系统等产品和技术，丰要集中在系统应 用环境的较高层次上，在完善性、规范性、实用性上还存在许多不

10、足，特别是在多平台的兼 容性、多协议的适应性、多接口的满足性方面存在很大距离，其理论基础和自主的技术手段 也有待于发展和强化。然而，我国的系统安全的研究与应用毕竟已经起步，具备了一定的基 础和条件。1999年10月发布了计算机信息系统安全保护等级划分准则5，该准则的发 布为安全产品的研制提供了技术支持，也为安全系统的建设和管理提供了技术指导。信息安 全与我国的经济安全、社会安全和国家安全紧密相连，是我国信息化进程中具有重大战略意 义的问题。它综合性强，涉及面宽，又是高技术领域中的一个制高点，是一个国家综合实力 的重要体现，因此在国际同行研究的基础上，尽量吸收、掌握国外先进思想和算法，结合我 国

11、自有密码算法，开发拥有自主知识产权的安全标准和网络加密产品是重中之重。目前国内 的一些信息安全厂商也针对上述问题提出了很多解决方案，但很多都是完全基于软件库或者 完全基于硬件设备实现核心的安全模块，因此在对安全模块的选择和替换等问题上不够灵活。 参考文献： 1 杨波现代密码学（第2版）清华大学出版社 2 王志海.OpenSS与网络信息安全？-基础、结构和指令中国OpenSS专业论 坛. 3 张汛涞.Interact的安全套接层协议SSL协议剖析.1999 4 田峰.高强度SSL技术研究及其安全代理的设计与实现：（硕士学位论文）.成都 电子科技大学，2003 5 肖军模.计算机信息系统安全等级划

12、分准则解读解放军理工大学学报：自然科学版 2005年第五期 3. 本课题设计任务与要求 本课题的设计任务如下： 1）详细学习SSL协议的基本原理和两个重要子协议：握手协议、记录协议； 2）学习RFC2246文档，掌握SSL协议（后续版本也称为TLS协议）的细节； 3）学习OpenSS库的配置与使用。 4）基于OpenSSL库，用VC编程实现基于HTTP连接的SSL协议（即HTTPS的客户器端仿真软 件平台。 5）基于所开发的仿真软件平台，实现对知名网站（亚马逊、工商银行、谷歌等）的HTTPS!艮务 器握手过程的分析与测试。 6）撰写毕业设计论文。 本课题的设计要求如下： 1）对SSL协议所需的

13、相关技术进行深入研究和学习； 2）对课题相关的证书格式（X.509V3标准）进行深入了解和掌握； 3）使用多种密钥的加密方式，数据包能对应套件； 4）系统采用一种主流编程语言，开发库采用 Ope nSSL. 4. 拟采取的技术路线与试验方案 本课题设计中所设计的SSL客户端程序主要是基于openSSL库，基于openSSL的程序可 以被分为两个部分：客户机和服务器，使用SSL协议使通信双方可以相互验证对方身份的真 实性，并且能够保证数据的完整性和机密性。建立SSL通信的主要过程：1.生成一个SSL结 构；2.Socket过程；3.Socket和SSL联系起来；4.SSL握手过程；5.实现通信。

14、 本课题主要分为四大板块，分别为： 1）身份认证模块 对于C/S结构，采用基于签名及签名验证的身份认证的方式是非常合适的，要实现这种 设计，要实现客户端/服务端证书解析、基于签名及签名验证的身份认证。证书解析等可以 通过直接调用OpenSSL库中的解析函数实现函数。客户端数据签名：客户端数据签名模块 以控件或接口的方式提供给客户端具体应用，客户端应用调用数据签名模块，实现数字签名 功能。在用户进行系统访问时，应用软件调用数据签名模块，使用用户选择的客户端证书的 私钥对客户端发送的数据进行数字签名，提供服务器端认证用户身份时使用。服务端数据 签名：服务端签名验证模块以接口方式提供，安装在服务器端

15、，实现对客户端数据签名的验 证，对客户端数据签名证书的有效性验证。通过验证签名数据，可以判断客户端签名者的确 拥有签名证书，通过对签名证书的验证，可以判断客户端证书持有者的身份。 2）握手处理模块 当SSL客户端和服务器开始通信时，先协商协议版本,选择密码算法及可选的相互认证，使用公 钥加密产生共享密钥，其过程如下： 客户向服务器发送 ClientHello消息服务器以ServerHello消息应答.这一对消息主要用来 协商以下信息:协议版 本、session ID、加密算法等.此外双方还交换 ClientHello.random和ServerHello.random这两 个新生成的随机数.

16、服务器然后发送自己的证书（Certificate消息），如果它需要验证客户的身份,将发送 CertificateRequest 消息. 服务器发送ServerHelloDone消息,表示握手的第一阶段已完成，服务器将等待客户的应答. （4）如果接收到CertificateRequest消息,客户端将发送Certificate消息（或NoCertificate消息）. 客户创建一个叫做pre_master_secret的随机数，用服务器的公钥加密，发送给服务器 （ClientExchange消息）.如果客户以发送Certificate消息,将用自己的私钥作一数字签名,发送 给服务器（Certif

17、icateVerify消息），以此证明自己是证书的真正拥有者. （5）客户端发送ChangeCipherSpec和Finished消息应答，表示握手过程结束.在握手协议的任意 步骤，如果协商结果不符合自己的要求 ，通信的任一方均可终止握手进程.握手完后，客户端和 服务器可以开始交换数据. 3）数据交换模块 在握手完成后，客户端和服务器就可以交换应用层数据。客户端将得到加密数据解密得 到服务端发来的消息。由于SSL不对应用层的消息进行数字签名，因此不能提供交易的不可否 认性。这就是说，一旦交易双方事后对交易行为提出异议SSL没有能力判断谁是谁非。为了 解决这一问题，分别在SSL握手协议的Clie

18、ntHello和ServerHello数据中增加一位表示是否需要 对方对信息进行数字签名。当有数字签名要求时，对SSL记录协议中的MAC用私钥加密后附加 在原MAC记录的数据后面。如果交易一方对消息提出异议时，另一方可以将已签名的MAd取 出来用对方的公钥进行解密，再与原 MA进行比较，如果相同，则对方无法否认所发信息，达 到了防抵赖的目的。 5. 预期成果（包括预期能够完成的设计或者理论研究成果，拟提交的软件、硬 件、仿真程序等） 1）设计出一可视化界面程序能够实现 SSL*议的客户端功能，通过 OpenSS库完成HTTP 客户端的实现与仿真，实现对知名网站的 HTTPS!手过程测试。程序能对SS啲握手过程能够 进行详细的步骤分析。 2）完成设计任务书上要求的功能，能够实现与服务器端的连接以及数据交换，