SSL协议安全缺陷分析.docVIP

. . SSL协议安全缺陷分析 摘 要：近年来，随着对Int ernet上传输数据保密性的需要，安伞套接字层(SSL1被J“泛地使用o SSL协议基于公开密钥技 术，提供了一种保护客户端，服务器通信安全的机制。但是，SSL协议仍存在一些安全缺隅，对使用SSL协议的通儒带来蔓 争隐患。文中简要介绍了SSL 3．O协议的内容，重点讨论了SSL 3.0协议的安争缺陷并针对缺陷提出了相应的改进方法 为协议的灾现提供了参考。 关键词：安全套接字层；安全；缺陷 中图分类号：TP393.08 文献标识码：A 又章编号：1673 - 629X(2006) 12 - 0224 - 03 Analysis of the Vulnera bilities of SSL Protocol LI Wei , HOU 2heng2feng (Dept. of Computer , Hefei University of Technology , Hefei 230009 +China) Abstract :The use of secure socket s layer ( SSL ) o n the Internet has grown significantly in recent years as mo re applicatio ns LISe the Inter: nct to dclivcr data which rcquirc t raftic to bc co nfidcntial . The SSL p rotocol which is bascd o n t hc p ublic kcy tcchniquc is intcndcd to p ro: vide a mechanism fo r Internet client/ server co mrminicatio ns securit y. However , SSL p rotocol gtill has so me vulnerabilities . which brint so me dangers to Internet co rnrnunications. Int ro duce t he co ntent of t he SSL 3 . o p rotocol and discuss chiefly several securit y vulnerabilitie: and attackR on t he p rotocol. Accordi ng to these vulne ra bijities . also p re sent some i mprove ment sugge clions , whic h give so me references to t hc implcmc ntatio n of the p rotocol. Key ords :SSL ; recuritv ; vulnerabilitv 0剖 言 随着电子商务的广泛应用，在开放的网络上进行安至’口』靠的数据通信已经成为安夸交易的重要内容。其中安全套接字层(SSL)协议是目前使刚最广泛的川于Web浏览器的安全协议。该协议向基于TCP／IP的客户端，服务器应用程序提供了客户机和服务器的鉴别数据完整性以及机密件等安全措施，为网络上的客户机／服务器提供了一个实际的应用层的面向连接的安伞通信机制。 1996年，Net scape公司发布了SSL 3.0，该版本增力c了对除了RSA算法以外的其他算法的支持和一些新的苤全特性，并且修改了前一个版本中存在的安全缺陷。lSSL 3.0结构 SSL 3．O是一种分层胁议，它是由记录层以及记录层上承载的不同消息类型组成，而记录层叉由某种可靠的传输协议TCP承载。下面简要分析一下协议的结构1 。 1.1记录协议 记录协议位于SSL协议的底层，用于定义传输数据的格式加密／解密压缩／解压缩MAC计算等操作。记录由记录头和记录数据组成。记录头包括的信息有：记录失的长度记录数据的长度记录数据中是否有填充数据。其中填充数据是在使用块加密算法时填充实际数据使其长度恰好是块的整数倍。记录数据由三部分组成：消息认证码实际数据和填充数据。 1.2握于协议 握手协议处于记录协议之上，它产生会话的压缩、MAC加密的计算参数。当客户端发起SSL会话后，通过握手协议，双方协商随后通信中使用的协议版本密码算法，彼此互相鉴别验证，使用公开密钥密码技术协商产生共享密钥。典型的握手过程如下： (1)客户端发