SSL協(xié)議安全缺陷分析摘要：近年來，隨著對Internet上傳輸數(shù)據(jù)保密性的需要，安傘套接字層(SSL1被J“泛地使用oSSL協(xié)議基于公開密鑰技術(shù)，提供了一種保護客戶端，服務(wù)器通信安全的機制。但是，SSL協(xié)議仍存在一些安全缺隅，對使用SSL協(xié)議的通儒帶來蔓爭隱患。文中簡要介紹了SSL3．O協(xié)議的內(nèi)容，重點討論了SSL3.0協(xié)議的安爭缺陷并針對缺陷提出了相應(yīng)的改善方法為協(xié)議的災(zāi)現(xiàn)提供了參考。關(guān)鍵詞：安全套接字層；安全；缺陷中圖分類號：TP393.08文獻標記碼：A又章編號：1673-629X(2023)12-0224-03AnalysisoftheVulnerabilitiesofSSLProtocolLIWei,HOU2heng2feng(Dept.ofComputer,HefeiUniversityofTechnology,Hefei230009+China)Abstract:Theuseofsecuresocketslayer(SSL)ontheInternethasgrownsignificantlyinrecentyearsasmoreapplicationsLISetheInter:ncttodclivcrdatawhichrcquirctraftictobcconfidcntial.TheSSLprotocolwhichisbascdonthcpublickcytcchniqucisintcndcdtopro:videamechanismforInternetclient/servercomrminicationssecurity.However,SSLprotocolgtillhassomevulnerabilities.whichbrintsomedangerstoInternetcornrnunications.IntroducethecontentoftheSSL3.oprotocolanddiscusschieflyseveralsecurityvulnerabilitie:andattackRontheprotocol.Accordingtothesevulnerabijities.alsopresentsomeimprovementsuggeclions,whichgivesomereferencestothcimplcmcntationoftheprotocol.Key"ords:SSL;recuritv;vulnerabilitv0剖言隨著電子商務(wù)的廣泛應(yīng)用，在開放的網(wǎng)絡(luò)上進行安至’口』靠的數(shù)據(jù)通信已經(jīng)成為安夸交易的重要內(nèi)容。其中安全套接字層(SSL)協(xié)議是目前使剛最廣泛的川于Web瀏覽器的安全協(xié)議。該協(xié)議向基于TCP／IP的客戶端，服務(wù)器應(yīng)用程序提供了客戶機和服務(wù)器的鑒別數(shù)據(jù)完整性以及機密件等安全措施，為網(wǎng)絡(luò)上的客戶機／服務(wù)器提供了一個實際的應(yīng)用層的面向連接的安傘通信機制。1996年，Netscape公司發(fā)布了SSL3.0，該版本增力c了對除了RSA算法以外的其他算法的支持和一些新的苤全特性，并且修改了前一個版本中存在的安全缺陷。lSSL3.0結(jié)構(gòu)SSL3．O是一種分層脅議，它是由記錄層以及記錄層上承載的不同消息類型組成，而記錄層叉由某種可靠的傳輸協(xié)議TCP承載。下面簡要分析一下協(xié)議的結(jié)構(gòu)1。1.1記錄協(xié)議記錄協(xié)議位于SSL協(xié)議的底層，用于定義傳輸數(shù)據(jù)的格式加密／解密壓縮／解壓縮MAC計算等操作。記錄由記錄頭和記錄數(shù)據(jù)組成。記錄頭涉及的信息有：記錄失的長度記錄數(shù)據(jù)的長度記錄數(shù)據(jù)中是否有填充數(shù)據(jù)。其中填充數(shù)據(jù)是在使用塊加密算法時填充實際數(shù)據(jù)使其長度恰好是塊的整數(shù)倍。記錄數(shù)據(jù)由三部分組成：消息認證碼實際數(shù)據(jù)和填充數(shù)據(jù)。1.2握于協(xié)議握手協(xié)議處在記錄協(xié)議之上，它產(chǎn)生會話的壓縮、MAC加密的計算參數(shù)。當客戶端發(fā)起SSL會話后，通過握手協(xié)議，雙方協(xié)商隨后通信中使用的協(xié)議版本密碼算法，彼此互相鑒別驗證，使用公開密鑰密碼技術(shù)協(xié)商產(chǎn)生共享密鑰。典型的握手過程如下：(1)客戶端發(fā)途第一條消息client．hello，其中包含了客戶端所推薦的加密參數(shù)，涉及它準備使用的加密算法。此外，還涉及一個在密鑰產(chǎn)生過程中使用的隨機值。(2)服務(wù)器以三條消息進行響應(yīng)：一方面發(fā)途選擇加密與壓縮算法的server-hello，這條消息包含一個從服務(wù)器過來的隨機值。然后，服務(wù)器發(fā)途certificate消息，其中包含服務(wù)器的公用密鑰。服務(wù)器可選地發(fā)送certifcate-re2quest消息，規(guī)定客戶端的證書。最后，服務(wù)器發(fā)送表達握手階段不再有任何消息的server-hello-done。(3)假如服務(wù)器規(guī)定客戶端證T，客戶端應(yīng)發(fā)送一條收稿日期：20230322作者簡介：李瑋(1983-)，男，安徽臺肥人，碩士研究牛，研究方向為網(wǎng)絡(luò)安全；侯整風，專家，研究方向為計算機剛絡(luò)與信息安全。第12期李瑋等：SSI-協(xié)議安全缺陷分析certificate消息給服務(wù)器。然后客戶端發(fā)送一條client．key—exchange消息，其巾包含了一個隨機產(chǎn)生的用服務(wù)器的RSA密鑰加密的pre．master．secret。假如客戶端證書具有署名功能的話，客戶端還應(yīng)發(fā)送certificate—verify消息。這條消息后面跟著一條指示客戶端在此之后發(fā)送的所有消息都將使用剛剛商定的密碼進行加密的change-ciper．spec消息。finished消息包含了對整個連接過程的校驗，這樣服務(wù)器就可以判斷要使用的加密算法是否是安全商定的。(4)-旦服務(wù)器接受到了客戶端的finished消息，它就會發(fā)送自己的change-cipher-cpec和fnished消息，于是連接就準備好進行應(yīng)用數(shù)據(jù)的傳輸了。1.3警示消息警示土要用于報告各種類型的錯誤。大多數(shù)警示斥于報告握手中出現(xiàn)的問題，但是也有一些指示在對記錄試圖進行解密或認證時發(fā)送的錯誤。1.4ChangeCipherSpec消息change．cipher．spec表達記錄加密及認證的改變。一旦握手茼定J-組新的密鑰，就發(fā)送change-cipher-spec采指示此刻捋啟刷新的密鑰。2SSL3.0安全缺陷和改善2.1通信業(yè)務(wù)流分析襲擊SSL協(xié)議提供了通信消息的機密性和完整性，在選擇恰當?shù)拿艽a算法的基礎(chǔ)上，所有在習(xí)絡(luò)中傳輸?shù)南⒍急患用?，并且使用MAC對消息的完整性進行保護。因此，對通信信道的竊聽是不能獲得機密信息的。于是襲擊者就口J甫巨采用另一種被動襲擊手段——通信業(yè)務(wù)流分析2。通信業(yè)務(wù)流分析目的通過度析IP包未經(jīng)加密的字段和未受保護的屬性，恢復(fù)受保護會話的機密信息。如通過檢查未經(jīng)加密的IP源和目的地址或觀祭網(wǎng)絡(luò)的流量狀況，可擬定會話雙方的身份正在使用何種服務(wù)甚至猜測IL[J,商務(wù)或個人關(guān)系的信息。在用戶使用HTTP協(xié)議進行www瀏覽的時候，襲擊者使用通信業(yè)務(wù)流的分析方法，對瀏覽器和www服務(wù)器之間的SSL通信進行襲擊，可以發(fā)現(xiàn)非常有效的襲擊方法。通過檢查密文信息的長度等綜合的業(yè)務(wù)流分析，可以得到雙方的IP地址端標語URL請求的長度Web頁面的長度等。結(jié)合現(xiàn)在高效的Web搜索引擎技術(shù)，以上信息使襲擊省發(fā)現(xiàn)用戶調(diào)用的Web頁面。這種襲擊的關(guān)鍵是得到密文的長度，而由小在SSL中，無論是分組密碼算法還是流密碼算法，密文的長度都足近似準確的。SSL協(xié)議對這種襲擊的脆弱是由于其所處的網(wǎng)絡(luò)協(xié)議的層次決定的。要想從主線上防f卜．這種襲擊必須從網(wǎng)絡(luò)層甚至數(shù)據(jù)鏈路層著手，分層解決。用戶也應(yīng)當注旨在通信過程rf1，盡量避免機密信息的暴露。2。2ChangeCipherSpec消息的丟棄襲擊在SSL3.0協(xié)議rf1，一個小的漏洞是在finished消息rf1沒有對change．cipher．spec消息的認證3。這一缺陷將會導(dǎo)致一種潛在的襲擊方法：丟棄change—cipher一spec消息襲擊。在正常的情況下，雙方的通信流程如下：C—S:change.cipher.specC—S：finished：{a}kS—÷C:change-cipher-specs_c：finished：{a}kC—S：{111}k其中{3}指對數(shù)據(jù)進行加密保護：m代表密鑰互換完畢后傳輸?shù)臄?shù)據(jù)，a代表消息認證碼，是蚶所有握手消息進行MAC計算的結(jié)果。在接受到change-cipher．spec消息之前，當前的cipher—suite-般不加密和不作MAC保護，而此時待決的cipher．suiteLL『包含了茼定的加密算法等參數(shù)。通信艾體在接受到change-cipher-spec浦息之后，就把待決的cipher—suite復(fù)制成當前的cipher—sulte，記錄層開始對通信數(shù)據(jù)進行加密和完整性保護。假設(shè)一種特殊情形：茼定的ciphersuiteH蚶消息進行認證，不作加密保護。在這種情形下襲擊者就可以發(fā)起中間人襲擊。雙方的通信流程如下：C{M:change—cipher一specC÷M：finished：{a}kM—}S：finished：aS—M:change.cipher.specS÷M：finished：{a}kM—}C：finished：aC-*M：{lll}kM—}S：m襲擊者M截取并刪除了change—cipher-spec消息捌么通信雙方捋不再更新當前的cipher-suite，也就不再難發(fā)途的數(shù)據(jù)作MAC認證了。由于商定的ciphersuite彳使用加密，則很容易從{111）t得到數(shù)據(jù)mo這樣，協(xié)議對遁信數(shù)據(jù)失去了認證能力，襲擊者在通信雙方不知道的情飭下獲得了對數(shù)據(jù)進行任意竄改的能力。假如通信雙方藺定的cipher—suite使用加密，該襲擊就不容易實現(xiàn)了。但是，假如系統(tǒng)使用的是弱的密碼算法，例如當密鑰長度為40此特的DES算法時，那么在現(xiàn)有的計算能力下進行密鑰的窮舉襲擊還是可以成功的。避覓上進襲擊的方法是捋chanoe一cipher一spec加入到finished消息的消息認證計算中。該安全缺陷也可j≥在協(xié)議實現(xiàn)中使用某種手段避免而不需要修改協(xié)議的妻本框架。強調(diào)在通信實體發(fā)送finished消息之前必然接受到change-cipher一spec消息，否則必然引起協(xié)議的致命錯誤。但是胰用這種方法改善協(xié)議的安全缺陷需要依莉協(xié)議實現(xiàn)者的謹慎。2.3密釧互換算法欺騙襲擊一方面描遺一下SSL3．O中server．key．exchange消息的數(shù)據(jù)結(jié)構(gòu)4。計算機技術(shù)與發(fā)展第16卷struct{select{KeyExchangeAlorithm}{casediffie-hellman:ServerDHParamsparams;Signaturesigned-params;caAersa:ServerRSAParamsparams;Signaturesigned~params;}ServerKeyExchange;structi*opaqueRSA_modulus:opaqueRSAexponent:}ServerRSAParams;struct{opaqueDH_p;opaqueDH.g;opaqueDH_Ys;}ServerDHParams;enum{rsa,diffie_hellman}KeyExchangeAlgorithm;服務(wù)器使用server．key．exchange消息來發(fā)送用服務(wù)器私鑰署名的臨時公開參數(shù)，客戶端使用這些公開參數(shù)和服務(wù)器互換密鑰，獲得共享的pre-maste:r-secret。協(xié)議規(guī)定可以使用多種密鑰互換算法，例如RSA算法和DiffieHellman算法。由：]：服務(wù)器對公開參數(shù)的署名內(nèi)容沒有包含KeyExchangeAlgorithm蜮，因此給襲擊者提供__r可乘之機3。襲擊者使用cipher．sⅢte回轉(zhuǎn)襲擊使服務(wù)器使用臨時DH密鑰互換，而客戶端使用臨時RSA密銅互換。這樣，服務(wù)器的DH素數(shù)模p和生成因子g被客戶端理解為臨時RSA的模p和指數(shù)go客戶端使用偽造的參數(shù)加密pre．master．secret。襲擊者截獲用RSA加密的值kgmodp，由于p是素數(shù)，所以容易恢復(fù)出premastersecret的PKCS編碼k。這樣pre-master-secret就泄露給襲擊者了。以后所有的握手消息都可以被偽造，涉及finished消息。此后，襲擊者可以在SSL連接上解密傳輸過程中所有機密應(yīng)用數(shù)據(jù)利偽造任何數(shù)據(jù)。下面描述J，這種襲擊的通信流：client_hello:C-M:SSLRSA_MS:SSL.DHE.RSA_server-hello:S-*M:SSL~DHERSA_MC:SSL-RSA_server-key-exchange:SM:{p,g,y}ks,diffie_hellrnanMC:{pgg,y}ks,rsaclient-key-exchange:CM:kgniodpM->S:曠modp其中客戶端的pre-master-secret倩是k，而服務(wù)器端通過計算gxymodp得到pre-master—secret，這里x是襲擊者M選擇的。該安全缺陷也可以通過協(xié)議實現(xiàn)者的特殊解決加』≥避免。協(xié)議實現(xiàn)者需要在客戶端接受到server-key-ex：change消息時檢查公開參數(shù)域的長度，這樣就可以區(qū)分序使用的密鑰互換算法從而避覓這種襲擊。2.4密鑰互換巾的重放襲擊密鑰互換算法中在server-key-exchange消息中綁定了公開參數(shù)和服務(wù)器和客戶端的隨機值的署名，但是在匿名的密鑰互換算法中沒有綁定署名3。隨機值用來阻止在新握手過程中重放前一次的serverkeyexchange消息。下面描逋了Signature消息的數(shù)據(jù)結(jié)構(gòu)4。select(SignatureAJgorithm){caseanonymous：struct{}；casersa：digitally．signedstruct{opaquemd5hash16；opaqucsha．hash20：)；casedsa：digjtally.signcdstruct{opaquesha—hash20;}}Signature；md5.hash=MD5fclient.random+server.random+Server2Paramsl：假如襲擊者知道服務(wù)器使用了匿名的密鑰互換，則襲擊者可以重放服務(wù)器的server—key-exchange?？蛻舳嗽谀涿拿荑€互換中容易被欺騙。為避免這種襲擊，服務(wù)器應(yīng)選擇對公開參數(shù)和隨機值的署名算法。2.5密碼分析方法襲擊在加密應(yīng)川數(shù)據(jù)時，數(shù)據(jù)長度可以很大，如傳輸多嫦體信息。在SSL協(xié)議中，基于同一密鑰傳輸大量數(shù)據(jù)是不安傘的，它提供大量的南文信息和其他附加信息，襲擊者可以運用籌分分析方法和線性分析方法破解密碼，獲得密鑰5。改善的出發(fā)點是定義加密的粒度，即同一密鑰能加密的最大長度的明文數(shù)捌，當長度超過粒度時，密鑰必須更新，粒度大小應(yīng)在握手中協(xié)商。下面是對client-hellc消息的擴展：structfProtocaIVersioncLient—versaon:Randomrandom：SessionIDsession．id：CipherSuitecipher—sulte;CompressionMethodcompression_method;Uint8key_refresh;}client_hello;(T轉(zhuǎn)第229Di)第12期游強華等：基于Struts框架的Web系統(tǒng)的角色權(quán)限驗證2兩種方法的比較(1)兩種方法都實現(xiàn)了用戶角色權(quán)限的驗證，保證了系統(tǒng)儒息的安全性。(2)第一種方法沒有將模式和視圖分開，隨著系統(tǒng)能增大，將會導(dǎo)致系統(tǒng)更新的復(fù)雜化，以及系統(tǒng)的町擴展性較差。(3)第一種方法將邏輯和視圖分開。通過對Action的覆寫，事實上實現(xiàn)了對JSP頁面的定義，將單個的JSI頁面映射稱為一個權(quán)限，從而通過相應(yīng)的權(quán)限實現(xiàn)了對柞應(yīng)頁面的訪問。這樣提高了系統(tǒng)的可擴展性。對于新堆的JSP頁面只要新增相應(yīng)的Action以及系統(tǒng)權(quán)限，即可伢證系統(tǒng)權(quán)限驗證的完整性。(4)第二種方法通過嚴禁對“3．jsp”頁面的直接謔求，隱藏了系統(tǒng)的文獻信息，即隱藏了系統(tǒng)的文獻結(jié)構(gòu)，無形中也提高了系統(tǒng)安全性。3結(jié)論在B／S結(jié)構(gòu)中，系統(tǒng)的權(quán)限驗證比as中更顯重要，dS結(jié)構(gòu)由于具有特定的客戶端，因此用戶的權(quán)限驗證可以通過客戶端實現(xiàn)或通過客戶端+服務(wù)器檢測實現(xiàn)，而BlS結(jié)構(gòu)中，用戶通過瀏覽器進行系統(tǒng)信息的訪問，假如沒有一個傘面的權(quán)艱驗證，那么‘芎}法用戶”很也許通過祛覽器訪問到BlS結(jié)構(gòu)系統(tǒng)中非授權(quán)功能。因此BlS結(jié)棰中用戶角色的權(quán)限驗證將是倮證系統(tǒng)信息安全性的-葉核心部分。文rf1構(gòu)建的基于Struts框架的Web系統(tǒng)從名方面對用戶提交的請求進行驗證，防止了用戶提交不合汪的參數(shù)而獲取非法信息的也許性，并隱藏丫系統(tǒng)的文獻耀構(gòu)，最大限度上保證了系統(tǒng)信息的安全性。參考文獻：1張梓元，賈燕楓+Struts開發(fā)入門與項H實踐M.北京：人民郵電出版社，2023：2-8．暴志Ⅲ，胡艷軍，顧新建．基于Web的系統(tǒng)權(quán)限管理實現(xiàn)方法J．計算機工程，2023，32(1)：169-170．張租平，干磊．基于多種模式的權(quán)限摔制技術(shù)研究J．計算機工程，2023，32{1)：177-178．劇杰．對Struts應(yīng)用開發(fā)框架的研究和改善J．計算機d工程，2023，30(增甲j)：144-145．孫衛(wèi)琴，基于MVC的JavaWeb設(shè)計與開發(fā)M．北京：電子工業(yè)出版社，2023：5-10．(上接第219iTi)程序的編寫，有這方面編程經(jīng)驗者可參考/uc/GUI用戶手nf)API部分。3總結(jié)以卜l具體論述了S3C44BOX微解決器的GUl硬件設(shè)計及LCD模塊的驅(qū)動機理，在,uc/GUI的基礎(chǔ)上，著重介紹了GUI工作機理，具體論遺了基于ARM的GUl的移植萬法。其廣_很多部分僅是提崩了概要的描述，實際工作rf1尚有很多細節(jié)工作需要完善。參考文獻：1王田苗，嵌入式系統(tǒng)設(shè)計與實例開發(fā)M北京：清華大學(xué)出版社，2023：123-126．．Samsung公司．S3C44BOXdatesheetSamsung公刊技術(shù)資。料M．韓國：Samsung，2023Micrium公刊。LtciGUIusermanual，Micrium公刊用戶手冊3M.s.1.:Micrium,2023:325-347.陳冰峰，姜卓，王劍鋼基于ARM7S：3C44BOX嵌入式系4統(tǒng)GUI設(shè)