SSL协议安全缺陷分析.pdfVIP

计算机系统应用 2006年第8期 SSL协议安全缺陷分析 The Of VuInerabi¨tiesOfSSLPrOtOcOl AnaIysisSecurity 胡国华 袁树杰 (安徽理工大学安全技术与工程教研室安徽淮南232001) 摘要：本文介绍了SsL协议的工作原理，对SSL协议存在的几个安全缺陷和攻击方法进行了分析，并提出了可行的 解决策略。 关键词：ssL协议安全缺陷解决策略 1 引言 随着计算机网络技术的飞速发展，信息时代的人 3 SSL协议安全漏洞 们对Intemet的依赖性越来越大。当今时代，电子商务 SsL协议在服务器与客户之间建立了一条安全通 和电子政务的应用越来越广泛，然而网络安全问题严 道，保证了在互联网上通信的保密性，但它也不是绝对 重束缚了计算机网络的进一步应用。 安全的，SSL协议存在一定的缺陷和漏洞。 3．1通信业务流攻击 安全套接层SSL(Secu伦S0cI(efsLayer)协议是由 3．1．1攻击原理 NefsCape公司设计开发的安全协议，主要用于加强应 用程序之间的数据的安全性。SSL协议是基于Web应 通信业务流攻击试图通过检查未保护的包的某些 域或会话属性，发现有价值的信息。例如，通过检查没 用的安全协议，它采用了RSA算法、RC4—128、RC一 有经过加密的IP包的源地址、目标地址、TCP端口等内 128、三重DES算法和MD5等加密技术实现两个应用 容，能够获得有关通信双方的IP地址、正在使用的网 层之间的机密性、可靠性和数据完整性，并采用X．509 络服务等信息，在某些特定情况下，甚至可以获得有关 数字证书实现鉴别，其加密的目的是建立一个安全的 商业或个人关系方面的信息，当然这些信息是有价值 通讯通道，而且该通道可在服务器和客户机两端同时 的。而在SSL协议中记录头中如记录长度等信息没有 实现支持。本文章主要讨论SSL协议的工作原理及其 被保护，这是潜在的隐患。攻击者通过检查通信业务 存在的安全漏洞和实际解决方案。 流中密文信息的长度，有可能发现Web通信中URL请 求的相关信息，当浏览器连接到Web服务器时，浏览 2 SSL基本工作原理 器发送的包含URL的G盯请求数据包是加密的，Web SSL协议用来建立一个在客户和服务器之间安全 服务器返回的Web页也是加密的，但是通信业务流攻 的TCP连接，尤其可被用来认证服务器，可选地认证 客户，执行密钥交换，提供消息认证，而且还可以完 的长度和返回的Web页面长度等信息，这些信息足以 成在TCP协议之上的任意应用协议数据的完整性和 使攻击者发现用户访问的是什么Web页面。因为，目 隐蔽性服务。SSL为在Intemet上安全地传送数据提 前高级的Web搜索引擎技术能够在可以公开访问的 供了一介加密通道，建立一个安全连接，主要实现以 下工作：加密网络上客户端和服务器相互发送的信