SSL协议探析(精选).docVIP

SSL协议探析 朱 轼 ■武汉 摘要：本文根据SSL协议的层次结构特点，分析了SSL协议在确保信息安全传输上的优势，并对SSL协议存在的隐患，提出了防范措施。 关键词：SSL协议，SSL，IPSec，SET 安全套接字层协议（Secure Sockets Layer Protocol，简称SSL），是Netscape公司设计开发的一个典型的基于PKI体系的、用于实现Web安全的解决方案。SSL协议指定了一种在应用程序协议和TCP／IP协议之间提供数据安全性分层的机制，为TCP／IP连接提供数据加密、服务器认证、消息完整性及可选的客户机认证，主要用于提高应用程序之间数据的安全性，对传送的数据进行加密和隐藏，确保数据的完整性。 一、SSL协议的层次结构 SSL协议具有两层结构，低层是SSL记录协议层，高层是SSL握手协议层。在OSI七层参考模型中，这两层介于应用层与传输层之间，低层的记录协议层为高层握手协议层提供服务。 1．握手协议层。它是在客户和服务器之间使用的协议，用来建立一种可靠的端到端的安全加密模式，主要完成验证实体身份，协商密钥交换算法、压缩算法和加密算法，实现密钥加密算法和生成密钥等功能。其整个工作过程包含两个阶段：①客户和服务器之间协商连接信息。客户和服务器在传输数据之前，先要初始化一个连接，客户向服务器发送请求“同步”的消息，表示要建立连接。该同步消息中包含了用户要求的安全功能、密码算法及压缩算法等一系列参数。服务器接收到同步信息后，检验自身是否满足客户的要求，不满足时要表示连接失败；满足时就要向用户发送服务器证书（这种在可信任机构申请的证书，包含了服务器提供的安全功能、密码算法和压缩算法等信息）和客户产生密钥所要求的信息。客户端根据服务器证书上的信息，确认证书是否有效（这里的有效是指证书处于有效日期之内，并且没有被修改过）。服务器发送出“确认连接”的信息后，双方连接协商完毕。②客户和服务器之间确认加密密钥。客户根据服务器发送来的信息、产生密钥，并用服务器证书中的公钥加密新密钥传送给服务器。服务器用自己的私钥解密后得到建立传送所需的新密钥。客户和服务器改变传送通道的密码规范，使用新的密钥对在通道中传送的信息进行加密。双方发送确认新密钥的信息后，握手过程结束。 2．记录协议层。记录层协议封装了高层的握手协议、警告协议和应用层协议，将得到的上层数据信息分段后，根据当前会话状态指定的压缩和加密算法、密钥长度、散列长度等信息，对当前连接中要传送的高层数据，实施压缩或解压缩、加密或解密计算及校验等操作，最后增加由内容类型、主要版本和压缩长度组成的记录头。SSL协议在握手过程中用非对称密钥算法RSA交换信息加密密钥，用消息摘要的散列函数来验证证书的有效性。在目前的加密体制中，对称密钥算法的加密体制被认为是安全的、速度快的加密方法，适用于加密数据量大的明文。对称密钥加密体制的最大隐患是密钥的管理问题，一旦泄漏，整个加密体制都将颠覆。而非对称加密算法虽然解决了密钥管理问题，但因加密速度较慢而不适宜于加密大容量的信息数据。SSL协议充分吸取了两者的优点，即使用非对称加密算法来传递小容量的密钥信息；根据双方协商好的加密密钥，采用对称加密体制加密传送明文信息，并在其间使用消息摘要的散列函数，确保携带非对称密钥的证书在传输过程中不被改动。 二、SSL协议的优势比较 1．SSL与IPSec。IPSec（ Internet Protocol Security）提供所有网络层上的数据保护和透明的安全通信。由于IPSec提供了太多的安全选项，在提高灵活性的同时却增加了复杂性。而SSL协议不需要配置，只要进行简单的安装（即客户端进行简单的内嵌SSL协议通道后）就可以使用浏览器了。另外，当涉及到网络应用层中间节点时，IPSec只能提供链路上的安全，而应用SSL协议是在传输层，因而它可以提供完全的端到端的安全通信。 2．SSL与 SET。 SET协议（Secuer ElectronicTransaction，安全电子交易）主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，用以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份及可操作性。SET和 SSL虽然都采用 RSA公钥算法，但却被用来实现不同的安全目标。SET协议是工作在ATM传输模式下的，SSL协议则工作在IP传输模式下。由于当今Internet网络采用的是TCP／IP的网络传输协议，所以SET协议不能被广大的电子商务所应用。此外，SET协议要求在银行网络、商家服务器、顾客的PC L安装相应的软件，也增加了协议推广的难度。相对于SET协议，虽然SSL协议的安全性相对较差，但其应用实现却更简单和经济。 三、SSL协议存在的隐患及防范 1．拒绝服务攻击。拒绝服务攻击是