第八章-安全套接层协议.ppt

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,电子商务安全,主讲：祝凌曦,单位：交通信息管理工程系,联系电话：51688544,电子邮件：,zhulingxi,第八章安全套接层协议,SSL,8.1SSL,协议概述,8.2SSL,记录层协议,8.3SSL,握手协议,8.4SSL,协议的安全性分析,8.5SSL,代理协议,Proxy,8.6SET,协议与,SSL,协议的比较,8.1,SSL,协议概述,8.1.1SSL,协议总述,8.1.2SSL,的工作原理,8.1.1SSL,协议总述,1.SSL,协议的作用,2.SSL,协议的目标,3.SSL,的主要组成协议,1.SSL,协议的作用,SSL,是提供,Internet,上的通信隐私性的安全协议。该协议允许客户端服务器应用之间进行防窃听、防消息篡改及消息伪造的安全的通信。,TCP,IP,是整个,Internet,数据传输和通信所使用的最基本的控制协议，在它之上还有,HTTP(Hypertext Transfer Protocol),LDAP(Lightweight Directory Access Protocol),、,IMAP,（,Internet Messaging Access Protocol,）等应用层传输协议。而,SSL,是位于,TCP/IP,和各种应用层协议之间的一种数据安全协议。,SSL,协议可以有效地避免网上信息的偷听、篡改以及消息的伪造。,1.SSL,协议的作用,TCP/IP Layer,Secure Sockets Layer,网络通信层,应用层,HTTP,LDAP,IMAP,1.SSL,协议的作用,SSL,标准的关键是要解决以下几个问题。,(1),客户对服务器的身份确认：,SSL,服务器允许客户的浏览器使用标准的公钥加密技术和一些可靠的认证中心,(CA),的证书，来确认服务器的合法性,(,检验服务器的证书和,ID,的合法性,),。对于用户服务器身份的确认与否是非常重要的，因为客户可能向服务器发送自己的信用卡密码。,1.SSL,协议的作用,(2),服务器对客户的身份确认：,允许,SSL,服务器确认客户的身份，,SSL,协议允许客户服务器的软件通过公钥技术和可信赖的证书，来确认客户的身份,(,客户的证书,client,s certificate),。对于服务器客户身份的确认与否是非常重要的，因为网上银行可能要向客户发送机密的金融信息。,(3),建立起服务器和客户之间安全的数据通道：,SSL,要求客户和服务器之间的所有的发送数据都被发送端加密，所有的接收数据都被接收端解密，这样才能提供一个高水平的安全保证。同时,SSL,协议会在传输过程中检查数据是否被中途修改。,2,SSL,协议的目标,按它们的优先级，,SSL,协议的目标如下。,(1),在通信双方之间利用加密的,SSL,消息建立安全的连接。,(2),操作性。通信双方的程序是独立的，即一方可以在不知道对方程序编码的情况下利用,SSL,成功地交换加密参数。,注意：并不是所有的,SSL,的实例,(,甚至在同一应用程序内,),都可以成功地连接。例如，如果服务支持一特定的硬件令牌,(token),，而客户端不能访问此令牌，则连接不会成功。,2,SSL,协议的目标,(3),可扩展性。,SSL,寻求提供一种框架结构，在此框架结构中，在不对协议进行大的修改的情况下，新的公钥算法和单钥算法可以在必要时被加入。这样做还可以实现两个子目标：,避免产生新协议的需要，因而进一步避免了产生新的不足的可能性。,避免了实现一完整的安全协议的需要。,相对的有效性加密操作，尤其是公钥加密，对,CPU,来说是一种很耗时的事，因此,SSL,协议引入一可选的对话缓存,(CACHE),来减少从头开始的连接的数目。同时，它还注意减少网络的活动。,3,SSL,的主要组成协议,SSL,协议主要包含握手协议,(handshake protocol),和记录协议,(record protocol),，记录协议确定数据安全传输的模式，握手协议用于客户和服务器建立起安全连接之前交换一系列的安全信息，这些安全信息主要包括以下内容：,(1),客户确定服务器的身份。,(2),允许客户和服务器选择双方共同支持的一系列加密算法。,(3),服务器确定客户的身份,(,可选,),。,(4),通过公钥密码技术产生双方共同的密钥。,(5),建立,SSL,的加密安全通道。,8.1.2,SSL,的工作原理,SSL,的工作原理如下所述。当一个使用者在,Web,上用,Netscape,浏览器漫游时，浏览器利用,HTTP,协议与,Web,服务器沟通。例如，浏览器发出一个,HTTP GET,命令给服务器，想下载一个首页的,HTML,档案，而服务器会以传送档案的内容给浏览器来响应。,GET,这个命令的文字和,HTML,档案的文字会通过会话层,(socket),的连接来传送。,Socket,使两台远程的计算机能利用,Internet,来通话。通过,SSL,，资料在传送出去之前就自动被加密了，它会在接收端被解密。对没有解密钥的人来说，其中的资料是无法阅读的。,8.1.2,SSL,的工作原理,SSL,采用,TCP,作为传输协议提供数据的可靠传送和接收。,SSL,工作在,Socket,层上，因此独立于更高层应用，可为更高层协议，如,Telnet,、,FTP,和,HTTP,提供安全业务。,SSL,提供的安全业务和,TCP,层一样，采用了公开密钥和私人密钥两种加密体制对,Web,服务器和客户机（选项）的通信提供保密性、数据完整性和认证。,在建立连接过程中采用公开密钥，在会话过程中使用私人密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。在所有情况下，服务器通过以下方法向客户机证实自身：给出包含公开密钥的、可验证的证明；演示它能对用此公开密钥加密的报文进行解密。,8.1.2,SSL,的工作原理,为了支持客户机，每个客户机要拥有一对密钥，这要求在,Internet,上通过,Netscape,分配。由于,Internet,中的服务器数远少于客户机数，因此能否处理签字及密钥管理的业务量很重要，且与客户联系比给商家以同样保证更重要,8.1.2,SSL,的工作原理,SSL,协议提供的服务可以归纳为如下：,1,用户和服务器的合法性认证,使得用户和服务器能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都有各自的识别号，由公开密钥编排。为了验证用户，安全套接层协议要求在握手交换数据中做数字认证，以此来确保用户的合法性。,8.1.2,SSL,的工作原理,2,加密数据以隐藏被传送的数据,安全套接层协议采用的加密技术既有对称密钥，也有公开密钥。具体来说，就是客户机与服务器交换数据之前，先交换,SSL,初始握手信息。在,SSL,握手信息中采用了各种加密技术，以保证其机密性和数据的完整性，并且经数字证书鉴别。这样就可以防止非法用户破译。,3,维护数据的完整性,安全套接层协议采用,Hash,函数和机密共享的方法，提供完整信息性的服务，来建立客户机与服务器之间的安全通道，使所有经过安全套接层协议处理的业务在传输过程中都能完整准确无误地到达目的地。,8.2,SSL,记录层协议,SSL,记录层协议限定了所有发送和接收数据的打包，它提供了通信、身份认证功能，它是一个在面向连接的可靠传输协议，如,TCP,IP,上提供安全保护。,在,SSL,中，所有数据被封装在记录中。一个记录由两部分组成：记录头和非零长度的数据。记录头可以是,2,字节或,3,字节,(,当有填充数据时使用,),。,SSL,握手层协议的报文要求必须放在一个,SSL,记录层的记录里，但应用层协议的报文允许占用多个,SSL,记录来传送。,8.2,SSL,记录层协议,记录头类型,记录长度,MAC,数据,记录头类型,Escape,位,填充长度,记录长度,MAC,数据,填充数据,2,字节头记录,3,字节头记录,8.2.1SSL,记录头格式,SSL,的记录头可以是两个或三个字节长的编码。,SSL,记录头包含的信息有记录头的长度、记录数据的长度、记录数据中是否有填充数据。其中填充数据是在使用块加密,(block encryption),算法时，填充实际数据，使其长度恰好是块的整数倍。最高位为,1,时，不含有填充数据，记录头的长度为两个字节，记录数据的最大长度为,32767,个字节；最高位为,0,时，含有填充数据，记录头的长度为三个字节，记录数据的最大长度为,16383,个字节。,8.2.2,SSL,记录数据格式,SSL,记录数据部分有三个分量：,MAC-DATA,、,ACTUAL-DATA,、,PADDING-DATA,。,MAC,数据用于数据完整性检查。计算,MAC,所用的散列函数由握手协议中的,CIPHER-CHOICE,消息确定。若使用,MD2,和,MD5,算法，则,MAC,数据长度是,16,个字节。,MAC,的计算公式：,MAC,数据：,Hash,密钥，实际数据，填充数据，序号,。,8.2.2,SSL,记录数据格式,当会话的客户端发送数据时，密钥是客户的写密钥,(,服务器用读密钥来验证,MAC,数据,),；而当会话的客户端接收数据时，密钥是客户的读密钥,(,服务器用写密钥来产生,MAC,数据,),。序号是一个可以被发送和接收双方递增的计数器。每个通信方向都会建立一对计数器，分别被发送者和接收者拥有。计数器有,32,位，计数值循环使用，每发送一个记录，计数值递增一次，序号的初始值为,0,。,ACTUAL-DATA,是被传送的应用数据，,PADDING-DATA,是当采用分组码时所需要的填充数据，在明文传送下只有第二项。,8.3,SSL,握手协议,SSL,协议主要由握手协议和记录层协议所组成，后者用于,SSL,连接协商安全参数。,8.3.1,握手阶段,8.3.2,握手报文,8.3.1,握手阶段,1,接通阶段,2,密钥交换阶段,3,会话密钥生成阶段,4,服务器证实阶段,5,客户机认证阶段,6,结束阶段,1,接通阶段,该阶段对保密和认证算法达成协议，并发现以前会话中已有的任何,ID,。从客户机向服务器发送,CLIENT-HELLO,消息，其中包括客户机可以处理的加密方案类型、以前会话中断保留下来的会话,ID,以及向服务器提出询问用的用户随机数。,服务器向客户机发出,SERVER-HELLO,，如果服务器识别出以前的会话,ID,，则会话要重新开始；如果是一次新的会话，则服务器向客户机送一个,X.509,证书，证书包括服务器的公钥，并用证书发行机构,(CA),的秘密密钥签署。客户机以,CA,的公钥解密出服务器的公钥，然后用它解读服务器的证书。此阶段交换的消息为,CLIENT-HELLO,和,SERVER-HELLO,。,2,密钥交换阶段,在该阶段，客户机和服务器之间交换建立主密钥。,SSL V3,支持三种密钥交换，即,RSA,、,Diffie-Hellman,和,Fortezza-KEA,，利用服务器的公开密钥来实现。此阶段交换的消息为,CLIENT-MASTER-KEY,和,CLIENT-DH-KEY,。,3,会话密钥生成阶段,该阶段客户机送出,CLIENT,SESSION,KEY,，并和服务器建立一个或两个会话密钥。此阶段交换的消息为,CLIENT-SESSION-KEY,。会话密钥是从客户机选择的数据中推导出来的，该数据用服务器的公开密钥加密。,在每个,SSL,会话,(,其中客户机和服务器都被证实身份,),中，要求服务器完成一次使用服务器专用密钥的操作和一次使用客户机公开密钥的操作。由于实际上目前所有的系统都使用,RSA,加密算法，每次操作都需要完成模数算法下的指数运算，通常，选择的公开指数为小数以减少要做的工作。因此，一次,SSL,会话只要一次硬的加密运算。,4,服务器证实阶段,仅当采用,RSA,密钥交换算法时才执行此步骤，它证实主密钥和相继由服务器得到的会话密钥。一旦收到了主密钥和相继来自客户机的会话密钥，服务器就用其秘密密钥解密出密钥，然后服务器向客户机送出认可信息，以响应客户机在,CLIENT-HELLO,消息中送给它的随机询问。客户机解密对随机询问的响应，如果都符合。则在客户机和服务器之间都建立了可信赖的会话，此阶段交换的消息为,SERVER-VERIFY,。,5,客户机认证阶段,若要求客户机认证，则服务器要求客户机的证书，客户机以,CLIENT-CERTIFICATE,进行响应，早期版本的,SSL,只支持,X.509,证书，此阶段交换的消息为,REQUEST-CERTIFICATE,和,CLIENT,CERTIFICATE,。,6,结束阶段,此阶段客户机服务器交换各自的结束消息，客户机通过送会话,ID,作为加密文本表示完成了认证，服务器送出消息,SERVER-FINISHED,，其中包括以主密钥加密会话,ID,，这样在客户机与服务器之间就建立了可信赖的会话。此阶段交换的消息为,CLIENT-FINISHED,和,SERVER-FINISHED,。,简要说明,Paul,黄裳：你好，你是黄裳么,?,黄裳,Paul,：,Paul,，我是黄裳,信息段,Paul,，我是黄裳,黄裳的私钥 当你使用这个协议，黄裳知道他发送给乙的消息，他不介意在上面签名。他先发送不加密的信息，,Paul,，我是黄裳。,，然后发送信息段加密的消息版本。,Paul,可以非常方便地校验黄裳就是黄裳，同时，黄裳还没有在他不想要的信息上签名。,简要说明,那么，乙怎样以可信的方式提交他的公钥呢？看看认证协议如下所示：,Paul,黄裳：你好 黄裳,Paul,：嗨，我是黄裳，黄裳的公钥,Paul,黄裳：,prove it,黄裳,Paul,：,Paul,，我是黄裳,信息段,Paul,，我是黄裳,黄裳的私钥,简要说明,在这个协议下，任何人都能够成为,乙,。所有你所要的只是公钥和私钥。你发送给甲说你就是乙，这样你的公钥就代替了乙的密码。然后，你发送用你的私钥加密的消息，证明你的身份。甲却不能发觉你并不是乙。为了解决这个问题，标准组织已经发明了证书。一个证书有以下的内容：*证书的发行者姓名*发行证书的组织*标题的公钥*邮戳 证书使用发行者的私钥加密。每一个人都知道证书发行者的公钥（这样，每个证书的发行者拥有一个证书）。证书是一个把公钥与姓名绑定的协议。通过使用证书技术，每一个人都可以检查乙的证书，判断是否被假冒。假设乙控制好他的私钥，并且他确实是得到证书的乙，就万事大吉了。,简要说明,这些是修订后的协议：,Paul,黄裳：你好 黄裳,Paul,：嗨，我是黄裳，黄裳的校验,Paul,黄裳：,prove it,乙,Paul,：,Paul,，我是黄裳,信息段,Paul,，我是黄裳,黄裳的私钥 现在当甲收到黄裳的第一个消息，他能检查证书，签名（如上所述，使用信息段和公钥解密），然后检查标题（黄裳的姓名），确定是黄裳。他就能相信公钥就是黄裳的公钥和要求黄裳证明自己的身份。黄裳通过上面的过程，制作一个信息段，用一个签名版本答复甲。,Paul,可以校验黄裳的信息段通过使用从证书上得到的公钥并检查结果。,简要说明,如果一个黑客，叫白开心,Paul,白开心：你好 白开心,不能建立一个令,Paul,相信的从黄裳的消息,交换密码（,secret,）一旦,Paul,已经验证黄裳后，他可以发送给黄裳一个只有黄裳可以解密、阅读的消息：,Paul,黄裳：,secret,黄裳的公钥,简要说明,唯一找到密码的方法只有使用黄裳的私钥解码上述的信息。交换密码是另一个有效使用密码加密的方法。即使在,Paul,和黄裳之间的通讯被侦听，只有黄裳才能得到密码。使用密码作为另一个,secret-key,增强了网络的安全性，但是这次这是一个对称的加密算法（例如,DES,、,RC4,、,IDE,甲）。因为,Paul,在发送给黄裳之前产生了密码，所以,Paul,知道密码。黄裳知道密码因为黄裳有私钥，能够解密,Paul,的信息。但他们都知道密码，他们都能够初始化一个对称密码算法，而且开始发送加密后的信息。这儿是修定后的协议：,简要说明,Paul,黄裳：你好 黄裳,Paul,：嗨，我是乙，乙的校验,Paul,黄裳：,prove it,黄裳,Paul,：,Paul,，我是黄裳,信息段,Paul,，我是黄裳,黄裳的私钥,Paul,黄裳：,ok,黄裳，,here is a secret secret,黄裳的公钥 黄裳,Paul,：,some messagesecret-key,简要说明,黑客窃听 那么如果有一个恶意的黑客白开心在,Paul,和黄裳中间，虽然不能发现,Paul,和黄裳已经交换的密码，但能干扰他们的交谈。他可以放过大部分信息，选择破坏一定的信息（这是非常简单的，因为他知道,Paul,和黄裳通话采用的协议）。,简要说明,Paul,白开心：你好白开心,黄裳：你好 黄裳,白开心：嗨，我是黄裳，黄裳的校验 白开心,Paul,：嗨，我是黄裳，黄裳的校验,Paul,白开心：,prove it,白开心,黄裳：,prove it,黄裳,白开心：,Paul,，我是黄裳,信息段,Paul,，我是黄裳,黄裳的私钥 白开心,Paul,：,Paul,，我是黄裳,信息段,Paul,，我是黄裳,黄裳的私钥,Paul,白开心：,ok,黄裳，,here is a secret secret,黄裳的公钥 白开心,黄裳：,ok,黄裳，,here is a secret secret,黄裳的公钥 黄裳,白开心：,some messagesecret-key,白开心,Paul,：,Garblesome messagesecret-key,简要说明,白开心忽略一些数据不修改，直到,Paul,和黄裳交换密码。然后白开心干扰黄裳给,Paul,的信息。在这一点上，,Paul,相信黄裳，所以他可能相信已经被干扰的消息并且尽力解密。需要注意的是，白开心不知道密码，他所能做的就是毁坏使用秘钥加密后的数据。基于协议，白开心可能不能产生一个有效的消息。但下一次呢？,简要说明,为了阻止这种破坏，,Paul,和黄裳在他们的协议中产生一个校验码消息（,message authentication code,）。一个校验码消息（,MAC,）是一部分由密码和一些传输消息产生的数据。信息段算法描述的上述特性正是它们抵御白开心的功能：,MAC=Digestsome message,，,secret,因为白开心不知道密码，他不能得出正确的值。即使白开心随机干扰消息，只要数据量大，他成功的机会微乎其微。例如，使用,MD5,（一个,RSA,发明的好的加密算法），,Paul,和黄裳能够发送,128,位,MAC,值和他们的消息。白开心猜测正确的,MAC,的几率将近,1/18,，,446,，,744,，,073,，,709,，,551,，,616,约等于零。,简要说明,Paul,黄裳：你好 黄裳,Paul,：嗨，我是乙，乙的校验,Paul,黄裳：,prove it,黄裳,Paul,：嗨，我是黄裳，黄裳的校验,Paul,，我是黄裳,信息段,Paul,，我是黄裳,黄裳的私钥,Paul,黄裳：,ok,黄裳，,here is a secret secret,黄裳的公钥,some message,，,MACsecret-key,简要说明,现在白开心已经无技可施了。他干扰了得到的所有消息，但,MAC,计算机能够发现他。,Paul,和黄裳能够发现伪造的,MAC,值并且停止交谈。白开心不再能与黄裳通讯。,8.3.2,握手报文,握手层的报文由两部分组成。,(1),一个字节的报文类型代码。,(2),数据，根据报文类型不同，其结构不同。,所有握手层的报文以及以后的数据报文，都是通过记录层传输的。表给出了不需要新密钥、需要新密钥和需要客户认证三种典型情况下的握手协议实例。,其中需要新密钥、不需要客户认证的握手过程解释如下：,8.3.2,握手报文,CLIENT-HELLO,报文：向服务器发送测试数据和客户所能支持的多个加密算法列表。,SERVER-HELLO,报文：返回一个连接标识、一个服务器证明、一个修改后的客户和服务器都能支持的加密算法列表。,8.3.2,握手报文,CLIENT,MASTER,KEY,报文；,以明文返回选定的加密算法和主密钥，主密钥前,40,位不加密，其余位加密,(,该规定是因为美国对加密软件的出口限制,),。,实际的密钥并不是,MASTER-KEY,，而是由,MASTER-KEY,生成的两个密钥,CLINET-WRITE-KEY(SERVER-READ-KEY),、,CLINET-READ-KEY(SERVER-WRITE-KEY),解密。同样，服务器用,SERVER-WRITE-KEY,加密发送报文，客户机利用,CLINET-READ-KEY,解密。,8.3.2,握手报文,CLINET-FINISH,报文：是,CLINET-WRITE-KEY,加密发送之前服务器送来的,CONNECTION-ID,SERVER-VERIFY,报文：是,SERVER-WRITE-KEY,加密发送之前客户机送来的测试数据，使客户验证服务器。,SERVER-FINISH,报文：包含一个用,SERVER-WRITE-KEY,加密的会话标识号，以后当同一个客户机和服务器再次握手时，不必再协商加密算法和主密钥。,8.4,SSL,协议的安全性分析,8.4.1SSL,协议采用的加密算法和认证算法,8.4.2SSL,安全优势,8.4.3SSL,协议存在的问题,8.4.1,SSL,协议采用的加密算法和认证算法,1,加密算法和会话密钥,SSL,协议,V2,和,V3,支持的加密算法包括,RC4,、,RC2,、,IDEA,和,DES,，而加密算法所用的密钥由消息散列函数,MD5,产生。,RC4,、,RC2,是由,RSA,定义的，其中,RC2,适用于块加密，,RC4,适用于流加密：,2,认证算法,认证算法采用,X.509,电子证书标准，是通过,RSA,算法进行数字签名来实现的。,8.4.1,SSL,协议采用的加密算法和认证算法,(1),服务器的认证,在上述的两对密钥中，服务器方的写密钥和客户方的读密钥、客户方的写密钥和服务方的读密钥分别是一对私有、公有密钥。对服务器进行认证时，只有用正确的服务器方写密钥加密，,CLIENT-HELLO,消息形成的数字签名才能被客户正确地解密，从而验证服务器的身份。,若通信双方不需要新的密钥，则它们各自所拥有的密钥已经符合上述条件。若通信双方需要新的密钥，首先服务器方在,SERVER-HELLO,消息中的服务器证书中提供了服务器的公有密钥。服务器用其私有密钥才能正确地解密由客户方使用服务器的公有密钥加密的,MASTER-KEY,，从而获得服务器方的读密钥和写密钥。,8.4.1,SSL,协议采用的加密算法和认证算法,(2),客户的认证,同上，只有用正确的客户方写密钥加密的内容才能被服务器方用其读密钥正确地解开。当客户收到服务器方发出的,REQUEST-CERTIFICATE,消息时，客户首先使用,MD5,消息散列函数获得服务器方信息的摘要，服务器方的信息包括：,KEY,MATERIAL-0,、,KEY-MATERIAL-l,、,KEY-MATERIAL-2,、,CERTIFICATE-CHALLENAGE-DATA(,来自于,REQUEST-CERTIFICATE,消息,),、服务器所赋予的证书,(,来自于,SERVER-HELLO),消息。,其中,KEY-MATERIAL-1,、,KEY-MATERIAL-2,是可选的，与具体的加密算法有关。然后客户使用自己的写密钥加密摘要形成数字签名，从而被服务器认证。,8.4.2,SSL,安全优势,1.,监听和中间人式攻击,2.,流量数据分析式攻击,3.,截取再拼接式攻击,4.,报文重发式攻击,8.4.2,SSL,安全优势,1,监听和中间人式攻击,SSL,使用一个经过通信双方协商确定的加密算法和密钥，对不同的安全级别应用都可找到不同的加密算法，从而用于数据加密。它的密钥管理处理比较好，在每次连接时通过产生一个,Hash,函数生成一个临时使用的会话密钥，除了不同连接使用不同密钥外，在一次连接的两个传输方向上也使用各自的密钥。尽管,SSL,协议为监听者提供了很多明文，但由于采用,RSA,交换密钥具有较好的密钥保护性能，以及频繁更换密钥的特点，因此对监听和中间人式攻击而言，具有较高的防范性。,8.4.2,SSL,安全优势,2,流量数据分析式攻击,流量数据分析式攻击的核心是通过检查数据包的未加密字段或未加保护的数据包属性，试图进行攻击。在一般情况下该攻击是无害的，,SSL,无法阻止这种攻击。,3,截取再拼接式攻击,对需要较强的连接加密，需要考虑这种安全性。,SSL V3.0,基本上可阻止这种攻击。,4,报文重发式攻击,报文重发式攻击比较容易阻止，,SSL,通过在,MAC,数据中包含,“,系列号,”,来防止该攻击。,8.4.3,SSL,协议存在的问题,1.,密钥管理问题,2.,加密强度问题,3.,数字签名问题,4.SSL,的加密漏洞,1.,密钥管理问题,设计一个安全秘密的密钥交换协议是很复杂的，因此,SSL,的握手协议也存在一些密钥管理问题。,SSL,的问题表现在。,(1),客户机和服务器在互相发送自己能够支持的加密算法时，是以明文传送的，存在被攻击修改的可能。,(2)SSL 3.0,为了兼容以前的版本可能降低安全性。,(3),所有的会话密钥中都将生成,MASTER-KEY,，握手协议的安全完全依赖于对,MASTER-KEY,的保护，因此在通信中要尽可能少地使用,MASTER-KEY,。,2.,加密强度问题,Netscape,依照美国内政部的规定，在它的国际版的浏览器及服务器上使用,40,位的密钥。以,SSL,所使用的,RC4,演绎法所命名的,RC4,法规对多于,40,位长的加密密钥产品的出口加以限制。这项规定使,Netscape,的,128,位加密密钥在美国之外的地方变成不合法。最近一个著名的例子是一个法国的研究生和两个美国柏克莱大学的研究生破译了一个,SSL,的密钥，才使人们开始怀疑以,SSL,为基础的系统安全性。,2.,加密强度问题,Microsoft,公司想利用一种称为私人通信技术,(Private Communication Technology,，,PCT),的,SSLsuperset,协议来改进,SSL,的缺点。,PCT,会衍生出第二个专门为身份验证用的密钥。这个身份验证并不属于,RC4,规定的管辖范围。,PCT,加入比目前随机数产生器更安全的产生器，因为它也是,SSL,安全链中的一个弱环节。这个随机数产生器提供了产生加密密钥的种子数目,(Seed Number),。,3,数字签名问题,SSL,协议设有数字签名功能，即没有抗否认服务。若要增加数字签名功能，需要在协议中打补丁。这样做，使用基于加密密钥的同时又用于数字签名，这在安全上存在漏洞。后来的,PKI,体系完善了这种措施，即双密钥机制，将加密和数字签名密钥两者分开，成为双证书机制。这是,PKI,完整的安全服务体系。,4.SSL,的加密漏洞,虽然一个网站可能使用了,SSL,安全技术，但这并不是说在该网站中正在输入和以后输入的数据也是安全的。所有人都应该意识到,SSL,提供的仅仅是电子商务整体安全中的一小部份解决方案。,SSL,在网站上的使用可能会造成管理员对其站点安全性的某些错觉。使用了,SSL,的网站所可能受到的攻击和其它服务器并无任何区别，同样应该留意各方面的安全性。简言之，加密和数字证书，,SSL,的主要组成，从来都无法保护服务器它们仅仅可以保护该服务器所收发的数据。,SSL,常见安全问题下面三种：,1,、攻击证书,2,、窃取证书,3,、安全盲点,1,、攻击证书,类似,Verisign,之类的公共,CA,机构并不总是可靠的，系统管理员经常犯的错误是过于信任,Verisign,等的公共,CA,机构。例如，如果,Verisign,发放一个证书说我是,“,某某某,”,，系统管理员很可能就会相信,“,我是某某某,”,。但是，对于用户的证书，公共,CA,机构可能不象对网站数字证书那样重视和关心其准确性。例如，,Verisign,发放了一个,“,keyman,组织的证书，而我是其中一员,“,JACK,”,。当一个网站要求认证用户身份时，我们提交了,“,JACK,”,的证书。你可能会对其返回的结果大吃一惊的。更为严重的是，由于微软公司的,IIS,服务器提供了,“,客户端证书映射,”,（,Client Certificate Mapping,）功能，用于将客户端提交证书中的名字映射到,NT,系统的用户帐号，在这种情况下我们就能够获得该主机的系统管理员特权！,1,、攻击证书,如果黑客不能利用上面的非法的证书突破服务器，他们可以尝试暴力攻击（,brute-force attack,）。虽然暴力攻击证书比暴力攻击口令更为困难，但仍然是一种攻击方法。要暴力攻击客户端认证，黑客编辑一个可能的用户名字列表，然后为每一个名字向,CA,机构申请证书。每一个证书都用于尝试获取访问权限。用户名的选择越好，其中一个证书被认可的可能性就越高。暴力攻击证书的方便之处在于它仅需要猜测一个有效的用户名，而不是猜测用户名和口令。,2,、窃取证书,除上面的方法外，黑客还可能窃取有效的证书及相应的私有密钥。最简单的方法是利用特洛伊木马。这种攻击几乎可使客户端证书形同虚设。它攻击的是证书的一个根本性弱点：私有密钥整个安全系统的核心经常保存在不安全的地方。对付这些攻击的唯一有效方法或许是将证书保存到智能卡或令牌之类的设备中。,3,、安全盲点,系统管理员没办法使用现有的安全漏洞扫描（,vulnerability scanners,）或网络入侵侦测系统（,intrusion detection systems,，,IDS,），来审查或监控网络上的,SSL,交易。,网络入侵侦测系统是通过监测网络传输来找寻没有经过认证的活动。任何符合已知的攻击模式或者并未经过政策上授权的网络活动都被标起来以供系统管理者检视。而要让,IDS,能够发生作用，,IDS,必须能够检视所有的网络流量信息，但是,SSL,的加密技术却使得通过,http,传输的信息无法让,IDS,辨认。,再者，虽然我们可以用最新的安全扫描软件审查一般的网页服务器来寻找已知的安全盲点，这种扫描软件并不会检查经过,SSL,保护的服务器。受到,SSL,保护的网页服务器的确拥有与一般服务器同样的安全盲点，可是也许是因为建立,SSL,连结所需要的时间以及困难度，安全漏洞扫描软件并不会审查受到,SSL,保护的网页服务器。没有网络监测系统再加上没有安全漏洞审查，使得最重要的服务器反而成为受到最少防护的服务器。,8.5,SSL,代理协议,Proxy,为了增强,SSL,的安全性，目前在国内电子商务或网上银行的,B2B,应用模式普遍采用了,SSL,代理协议,Proxy,。这类代理协议产品繁多功能各异。在此，我们重点介绍加拿大,Entrust,公司的,Direct,Proxy,软件，它功能齐全、技术先进。,对于,TCP,IP,协议的研制者们来说，由于当初的安全保密技术还没有发展到现在的程度，受当时的技术条件所限，他们没能在,IP,层与,TCP,层之间设置网络安全加密机制。同时，又受当初对技术发展的前瞻性认识的限制，没有预料到会由于,TCP,IP,的出现，造就了,Internet,而,Internet,的发明专家们绝对没有料到今天会在,Internet,上做电子商务。,8.5,SSL,代理协议,Proxy,因此，就导致了在传统的浏览器与服务器之间的信息传递，没能提供高强度的加密机制，其安全性满足不了企业级和电子商务对数据处理的安全性要求。现归纳起来有以下几个方面。,(1),一般的浏览器和服务器的,Web,证书与,SSL,证书及其所支持的,SSL,协议，由于美国政府的出口限制，对一些国家只提供,40,位对称加密强度。用现在的技术手段对只有,40,位密钥的,DES,算法，其破译时间只需几秒，交易风险太大，不能满足网上银行、网上购物的,B2B,应用模式的需求。,8.5,SSL,代理协议,Proxy,(2)Web,证书和,SSL,证书及其,SSL,协议，没有提供数字签名的功能，因此，不具备抗否认性。,(3),不能在线进行,CRL,自动查询。这种透明的黑名单自动查询，对,B toB,电子商务应用是不可缺的。能保证网上交易的可靠性及安全性。,(4),不具备完善的证书管理功能，如证书有效期及密钥的管理等功能。,8.6,SET,协议与,SSL,协议的比较,支付系统是电子商务的关键，但支持支付系统的关健技术的未来走向尚未确定。安全套接层协议,(SSL),和安全电子交易协议,(SET),是两种重要的通信协议，每一种都提供了通过,Internet,进行支付的手段。但是，两者之中谁将领导未来潮流呢,?,SSL,提供了两台机器间的安全连接。支付系统经常通过在,SSL,连接上传输信用卡卡号的方式来构建，在线银行和其他金融系统也常常构建在,SSL,之上。虽然基于,SSL,的信用卡支付方式促进了电子商务的发展，但如果想要电子商务得以更成功地广泛开展的话，必须采用更先进的支付系统。,SSL,被广泛应用的原因在于它被大部分,Web,浏览器和,Web,服务器所内置，比较容易投入应用。,事实上，,SET,和,SSL,除了都采用,RSA,公钥算法以外二者在其他技术方面没有任何相似之处，而,RSA,在二者中也被用来实现不同的安全目标。,8.6,SET,协议与,SSL,协议的比较,SET,是一种基于信息流的协议，它主要由,MasterCard,和,Visa,以及其他一些业界主流厂商设计发布，用来保证公共网络上银行卡支付交易的安全性。,SET,已经在国际上被大量实验性地使用并经受住了考验，但大多数在,Internet,上采购的消费者并没有真正使用,SET,。,SET,是一个非常复杂的协议，因为它详尽而准确地反映了卡交易各方之间存在的各种关系。,SET,还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上，,SET,远远不止是一个技术方面的协议，它还说明了每一方所持有的数字证书的合法含义和希望得到数字证书以及响应信息的各方应有的动作，以及与一笔交易紧密相关的责任分担。,8.6,SET,协议与,SSL,协议的比较,6.8.1SET,与,SSL,的特点,6.8.2SSL,和,SET,性能及费用的比较,6.8.1,SET,与,SSL,的特点,我们知道,SET,是一个多方的消息报文协议，它定义了银行、商家、持卡人之间必须符合的报文规范。与此同时，,SSL,只是简单地在两方之间建立了一条安全连接。,SSL,是面向连接的，,SET,允许各方之间的报文交换不是实时的。,SET,报文能够在银行内部网络或者其他网络上传输，而,SSL,之上的支付系统只能与,Web,浏览器捆绑在一起。,6.8.1,SET,与,SSL,的特点,(1),认证机制方面：,SET,的安全需求较高，因此所有参与,SET,交易的成员（持卡人、商家、付款转接站等,),都必须先申请数字证书来识别身份，而在,SSL,中只有商店端的服务器需要认证，客户端认证则是有选择性的。,(2),对消费者而言，,SET,保证了商家的合法性，并且用户的信用卡号不会被窃取。,SET,替消费者保守了更多的秘密，使其在线购物更加轻松。在,SSL,协议中则缺少对商家的认证。,6.8.1,SET,与,SSL,的特点,(3),安全性：一般公认,SET,的安全性较,SSL,高，主要原因是在整个交易过程中，包括持卡人到商店、商店到付款转接站再到银行网络，都受到严密的保护；而,SSL,的安全范围只限于持卡人到商店端的信息交流。,(4)SET,对于参与交易的各方定义了互操作接口一个系统可以由不同厂商的产品构筑。,(5),采用比率：由于,SET,的设置成本较,SSL,高许多，,SET,的操作对用户来说不太方便，且进入国内市场的时间尚短，因此目前是,SSL,的普及率高，约占,80,。