应用OpenSSL对SSL协议中间人攻击的实现.pdfVIP

应用 OpenSSL对 SSL协议中间人攻击的实现 陈 昱 ，江兰帆 (福州大学 软件学院，福建 福州 350108) 摘 要：SSL是在互联 网上提供安全通讯的密码学协议。在分析SSL 协议和 中间人攻击原理的基础上，利用OpenSSL开发库实现 了中间人攻击，包括会话劫持、公钥证书的伪造和数据 的转发，为用户安全使用SSL协议提供 了建议和参考。 关键词：SSL协议；中间人攻击；OpenSSL；AgP欺骗 The lmplementation ofSSL Man—in—the—middle Attack Using OpenSSL CHEN Yu．JIANG Lan—fan (SoftwareCollege,FuzhouUniversity,Fu~#n=／uzhoua5olo8,china) Abstract：SSL wasa cryptogr~phicprotocolthatprovidessecurecommunicationson the lnternet．Thispaperfirst analysed the principleofSSL protocolandman--in--the--middle~ttack，then introducedhow to implementeman--in--the-middleAttack using OpenSSL Library，including Session HUaoK．falsificationof×．509digitalcertificateandrelayedmessagesbetweenvictims．Theexperimentprovidedrecommendationsandreferencefor clientsusingSSL protocolin security． Keywords：SSLprotocol；Man一_n—the—mjdde『Attack；OpenSSL；AEP Spoof 1引言 Handshake Protoco1)。SSL记录协议建立在可靠的传输 随着Internet的飞速发展，信息时代的人们对 Web 协议 (如 TCP)之上，为高层协议提供数据封装、压缩、 应用的依赖性越来越大 ，特别是电子商务和电子政务的应 加密等基本功能的支持。SSL握手协议建立在 SSL记录 用越来越广泛。然而，现实中Internet和 Web非常容易 协议之上 ，其功能是在实际的数据传输开始前，通讯双方 受到安全攻击，为保证信息安全，安全Web服务应运而 进行身份认证、协商加密算法 、交换加密密钥等…。 生。安全套接层协议 (SSL)及其后继者传输层安全协议 当SSL客户端和服务器首次开始通讯时，两者就协 (TLS)是在互联网上提供安全保密的通讯协议 ，为诸如 议版本 、加密算法的选择 、是否验证对方及公钥算法进行 Web网站、电子邮件 、网上传真等等数据传输提供安全 协商，以产生共享的密钥，这一处理 由握手协议完成。握 服务。它已被广泛地用于 Web浏览器与服务器之间的身 手过程结束 ，客户端和服务器端的数据被 SSL记录协议 份认证和加密数据传输 。 分成一系列经过保护的记录进行传输。会话过程中，客户 虽然，SSL协议 的设计 已经可 以有效地抵御许多类 端和服务器端之间所传输的数据使用共享的对称密钥进行 型的网络攻击，但是 SSL协议并非无懈可击。本文针对 加密。 SLL理论上存在的中间人攻击威胁 ，利用OpenSSL开发 包实现 了对 HTTPS协议的中间人攻击 。由于SSL协议 3SSL协议中间人攻击的分析 的广泛应用，SSL的攻击研究对在现实网络环境中抵御攻 从第二节的