返回
SSL协议安全缺陷分析

SSL协议安全缺陷分析

ID:37090538

大小:28.33 KB

页数:6页

时间:2019-05-17

SSL协议安全缺陷分析_第1页
SSL协议安全缺陷分析_第2页
SSL协议安全缺陷分析_第3页
SSL协议安全缺陷分析_第4页
SSL协议安全缺陷分析_第5页
资源描述:

《SSL协议安全缺陷分析》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、.SSL协议安全缺陷分析摘要:近年来,随着对Internet上传输数据保密性的需要,安伞套接字层(SSL1被J“泛地使用oSSL协议基于公开密钥技术,提供了一种保护客户端,服务器通信安全的机制。但是,SSL协议仍存在一些安全缺隅,对使用SSL协议的通儒带来蔓争隐患。文中简要介绍了SSL3.O协议的内容,重点讨论了SSL3.0协议的安争缺陷并针对缺陷提出了相应的改进方法为协议的灾现提供了参考。关键词:安全套接字层;安全;缺陷中图分类号:TP393.08文献标识码:A又章编号:1673-629X(2006)12-0224-03AnalysisoftheVu

2、lnerabilitiesofSSLProtocolLIWei,HOU2heng2feng(Dept.ofComputer,HefeiUniversityofTechnology,Hefei230009+China)Abstract:Theuseofsecuresocketslayer(SSL)ontheInternethasgrownsignificantlyinrecentyearsasmoreapplicationsLISetheInter:ncttodclivcrdatawhichrcquirctraftictobcconfidcntial.T

3、heSSLprotocolwhichisbascdonthcpublickcytcchniqucisintcndcdtopro:videamechanismforInternetclient/servercomrminicationssecurity.However,SSLprotocolgtillhassomevulnerabilities.whichbrintsomedangerstoInternetcornrnunications.IntroducethecontentoftheSSL3.oprotocolanddiscusschieflysev

4、eralsecurityvulnerabilitie:andattackRontheprotocol.Accordingtothesevulnerabijities.alsopresentsomeimprovementsuggeclions,whichgivesomereferencestothcimplcmcntationoftheprotocol.Key"ords:SSL;recuritv;vulnerabilitv0剖言随着电子商务的广泛应用,在开放的网络上进行安至’口』靠的数据通信已经成为安夸交易的重要内容。其中安全套接字层(SSL)协议是目前

5、使刚最广泛的川于Web浏览器的安全协议。该协议向基于TCP/IP的客户端,服务器应用程序提供了客户机和服务器的鉴别数据完整性以及机密件等安全措施,为网络上的客户机/服务器提供了一个实际的应用层的面向连接的安伞通信机制。1996年,Netscape公司发布了SSL3.0,该版本增力c了对除了RSA算法以外的其他算法的支持和一些新的苤全特性,并且修改了前一个版本中存在的安全缺陷。lSSL3.0结构SSL3.O是一种分层胁议,它是由记录层以及记录层上承载的不同消息类型组成,而记录层叉由某种可靠的传输协议TCP承载。下面简要分析一下协议的结构1。1.1记录协议

6、记录协议位于SSL协议的底层,用于定义传输数据的格式加密/解密压缩/解压缩MAC计算等操作。记录由记录头和记录数据组成。记录头包括的信息有:记录失的长度记录数据的长度记录数据中是否有填充数据。其中填充数据是在使用块加密算法时填充实际数据使其长度恰好是块的整数倍。记录数据由三部分组成:消息认证码实际数据和填充数据。1.2握于协议..握手协议处于记录协议之上,它产生会话的压缩、MAC加密的计算参数。当客户端发起SSL会话后,通过握手协议,双方协商随后通信中使用的协议版本密码算法,彼此互相鉴别验证,使用公开密钥密码技术协商产生共享密钥。典型的握手过程如下:(

7、1)客户端发途第一条消息client.hello,其中包含了客户端所推荐的加密参数,包括它准备使用的加密算法。此外,还包括一个在密钥产生过程中使用的随机值。(2)服务器以三条消息进行响应:首先发途选择加密与压缩算法的server-hello,这条消息包含一个从服务器过来的随机值。然后,服务器发途certificate消息,其中包含服务器的公用密钥。服务器可选地发送certifcate-re2quest消息,要求客户端的证书。最后,服务器发送表示握手阶段不再有任何消息的server-hello-done。(3)如果服务器要求客户端证T,客户端应发送一条收

8、稿日期:20060322作者简介:李玮(1983-),男,安徽台肥人,硕士研究牛,研究方向为网

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。