OpenSSL“心脏出血”安全漏洞分析.docVIP

呼伦贝尔学院 计算机科学与技术学院 本科生毕业论文(设计) 题 目： OpenSSL“心脏出血” 安全漏洞分析 学生姓名： 冯曦 学 号： 2011121102 专业班级： 2011级计算机科学与技术专业 指导教师： 孟祥宏 完成时间： 2015年5月28日 Abstract Heartbleed have great influence to the Internet safe problem. This paper first analysis of the relevant theories of the SSL protocol,it is in order to understand the OpenSSL agreements and supported by the data encryption algorithm. Secondly, It is analyzed the vulnerability. It is that understand the working principle of the heartbleeding. In the end, There are some suggestions for enterprise and individual security holes, holes for defense. Key words: OpenSSL，Heartbleed，Information security ，vulnerability ，Open source packet 目 录 摘要 I Abstract II 第1章 绪论 1 1.1 研究背景 1 1.2 研究现状 1 1.3 研究意义 1 1.4 内容安排 2 第2章 OpenSSL的相关理论 3 2.1 SSL概述 3 2.2 SSL协议结构 3 2.2.1 SSL记录层协议 4 2.2.2 SSL握手协议 5 2.3 漏洞产生的原因 6 2.3.1漏洞分析 6 2.3.2漏洞程序 7 2.3.4“心脏出血”的工作原理 9 第3章 如何防御“心脏出血” 10 3.1 OpenSSL在线测试 10 3.2 防御方法 11 3.3 漏洞修复建议 12 3.3.1修复漏洞建议 12 3.3.2企业建议 12 3.3.3用户建议 12 总结 14 参考文献 15 致谢 16 图目录 图 2- 1 SSL协议与OSI模型的对应关系 3 图 2- 2 SSL协议结构 4 图 2- 3明文传送情况下的SSL记录 4 图 2- 4加密传送情况下的SSL记录 4 图 2- 5 SSL握手协议的过程 5 图 2- 6 “心脏出血”的流程 9 图 3- 1 hearbleed test网站 10 图 3- 2 360安全漏洞检测 10 图 3- 3支付宝网站测试 11 图 3- 4漏洞修补过程 11 第1章 绪论 1.1 研究背景 随着人们的生活方式的改变，越来越多网上交易需要通过互联网进行。同时网络犯罪也在不断上演，2014年4月7日，OpenSSL发布的一则安全公告中提到，在OpenSSL1.0.1版本中存在着很大的安全漏洞，该漏洞会泄露在服务器内存中所保存的数据，这些数据中也涉及很多用户的隐私，例如用户名、密码、银行卡号码等。由于SSL协议作为目前使用最为普遍的网站加密技术，而OpenSSL是开源的SSL套件，在全球成千上万个服务器上使用，而OpenSSL造成的安全漏洞，最终产生严重的信息泄露，这一现象被发现者也称之为“心脏出血”。很多的黑客利用这一安全漏洞盗取网上客户支付的账号和密码，一方面窃取账户中的资金，致使用户在支付的过程中受到损失；另一方面用户的个人信息也被泄露，严重的威胁到了用户的上网安全，由此可见网络安全问题已经严重影响到网上支付的发展。据统计，2014年就有46.3%的网上用户遇到过网络安全问题，并且在这些安全事件中，因为电脑或手机中了网络病毒，严重的致使账号和密码被盗，因此网络安全问题不容忽视。 “心脏出血”导致受影响设备中的内存数据出现溢出，因此黑客就可以利用这个漏洞来窃取所溢出的数据，这些数据中可能包括用户的密码，用于加密的密钥，甚至于网站的Cookie等极为敏感的数据，尽管黑客每次窃取的数据大小是固定的，但是可以保持连接状态，这样就可以不断的窃取新的数据。 网络支付已经成为一种发展的必然趋势，网络安全的维护，需要企业、政府、用户三方共同协作，增强自我保护意识，提高对网络上虚假信息分