基于SSL協(xié)議的訪問(wèn)控制機(jī)制研究與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)應(yīng)用已經(jīng)滲透到我們生活的方方面面，但網(wǎng)絡(luò)給人們帶來(lái)巨大便利的同時(shí)也帶來(lái)了一些潛伏的不安全因素。網(wǎng)絡(luò)的發(fā)展帶動(dòng)了電子商務(wù)的廣泛應(yīng)用，它的安全性問(wèn)題逐步得到了人們的重視。 SSL安全套接層協(xié)議是基于C/S結(jié)構(gòu)的保護(hù)應(yīng)用層數(shù)據(jù)的協(xié)議，已經(jīng)在網(wǎng)絡(luò)環(huán)境中得到了廣泛的應(yīng)用，是一種優(yōu)秀的安全協(xié)議。它作為一種廣泛應(yīng)用的電子商務(wù)安全協(xié)議，通過(guò)在握手協(xié)議中使用密鑰協(xié)商來(lái)加密通信數(shù)據(jù)。盡管SSL已經(jīng)有十多年的歷史，但它仍然

2、在握手部分存在訪問(wèn)控制應(yīng)用缺陷。 針對(duì)SSL訪問(wèn)控制應(yīng)用中的缺陷，傳統(tǒng)的基于SSL協(xié)議的訪問(wèn)控制機(jī)制在權(quán)限認(rèn)證方面都有不足之處。針對(duì)這個(gè)問(wèn)題，本文主要的工作有： 首先，本文設(shè)計(jì)了一個(gè)基于PMI屬性證書(shū)的SSL協(xié)議。PMI是由PKI發(fā)展而來(lái)，PKI提供強(qiáng)認(rèn)證服務(wù)，而PMI提供靈活的權(quán)限認(rèn)證。PMI中的屬性證書(shū)與身份證書(shū)相似，把屬性、群組、角色信息包含在證書(shū)中。在分析屬性證書(shū)和身份證書(shū)的綁定方式的基礎(chǔ)上，本文采用了自由綁定方

3、式進(jìn)行協(xié)議的改進(jìn)設(shè)計(jì)。該改進(jìn)協(xié)議主要針對(duì)握手協(xié)議部分，在服務(wù)器向客戶端請(qǐng)求證書(shū)時(shí)加入了一個(gè)對(duì)客戶端屬性證書(shū)的請(qǐng)求。與此同時(shí)，服務(wù)器驗(yàn)證客戶端身份證書(shū)后，對(duì)屬性證書(shū)進(jìn)行驗(yàn)證，驗(yàn)證不通過(guò)則無(wú)法進(jìn)行訪問(wèn)。這使服務(wù)器信息得到了更好的保護(hù)，增強(qiáng)了原SSL協(xié)議的安全性。屬性證書(shū)的管理則交給PMI授權(quán)管理基礎(chǔ)設(shè)施，同時(shí)授權(quán)管理也更為靈活。 其次，本文使用BAN邏輯對(duì)該改進(jìn)協(xié)議進(jìn)行了形式化分析。BAN邏輯是一種最為簡(jiǎn)單、實(shí)用的形式化分析方法，使