SSL技术详细说明【转】

Secure socket layer(SSL)协议最初由Netscape企业发展，现已成为网络用来鉴别网站 和网页浏览者身份，以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准 。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中，因此，仅需安装数字证书，或服务器证书就可以激活服务器功能了 。对于Web信息传输通道的机密性及完整性，SSL是最佳的解决方案，目前所有的浏览器和Web服务器都支持SSL，采用SSL 在技术上已经很成熟，互联网的安全敏感数据几乎都是由SSL通道传输的。

采用SSL技术和数字签名技术保证邮件的安全性，为了满足企业用户保护商业秘密的需求 ，提供了完善邮件加密和认证功能，采用SSL技术对邮件的存储和传输实施加密，保证邮件不被窃取和篡改；并且提供数字签名技术， 以保证邮件的真实性。系统提供了从普通级到绝密级等多种保密等级，以满足不同环境下的保密需求。SSL协议是因特网通信标准，用 来提供两个应用之间通信的保密，可信和身份认证。SSL技术一般采用公开密钥技术，能够提供：信息加密服务，信息完整性服务，相 互认证服务这三项服务。

下面，我们将从通信量分析、主动攻击、重放攻击、密码组回滚攻击以及中间人攻击这五种常见的安全攻击入手，初步分析SSL的抵御 攻击能力。
通信量分析
如果常规的攻击失败，密码破译专家会转向使用更复杂的攻击。通信量分析是另外一种被动攻击，但它经常是恶意攻击，因此值得一提。 通信量分析的目标在于，通过检查包中未加密的域及属性，以获得受保护会话的机密信息。例如，通过检查未加密的源和目标的IP地址 （甚至TCP端口号），或者检查网络通信流，一个通信量分析专家可以确定通信各方的通信内容，使用的服务类型，有时甚至还可以获 得有关商业或个儿关系的信息。实际上，用户大都认为通信量分析的威胁相对来说是无害的，因此SSL不会试图阻止这种攻击。忽略通 信量分析看来是一种可行的设计方案。

然而在SSL体系结构中，通信量分析仍会造成一些巧妙的威胁。Bennet Yee已经指出，检查密文的长度会暴露出有关SSL或被SSL加密的网站通信中用到的URL请求的信息【Yee96】。当一个W eb浏览器通过加密传输（如SSL）连接到一台Web服务器时，包含有URL信息的GET请求会以加密方式进行传输。严格来说， 浏览器要下载哪一个页面，这种信息是保密的——显然，具有URL方面的知识，对于一个想下载整个网站的人来说，这已经足够了—— 而且，通信量分析可以获得Web服务器的身份信息，请求的URL长度，以及从Web服务器所返回的html数据的长度。这个漏洞 往往使得窃听者能够发现用户访问了哪些Web页面。

上述弱点之所以出现，是因为密文长度暴露了明文的长度。SSL在块加密模式中支持随机填充，而在流加密模式中却不支持。我们相信 ，对于所有的加密模式，SSL将会在最小程度上支持任意长度填充的使用，而且会仔细地考虑它在特定应用程序中的需求。

主动攻击
SSL能抵御主动攻击以安全地保护机密数据，这一点非常重要。当然，所使用的加密算法应该在被选择明文∕被选择密文攻击下是安全 的，但这对于加密算法来说还不够。IETF的IPSEC工作组的最近研究表明，即使所使用的密码强度足够，在记录层上精明的主动 攻击仍能打破系统的保密性。SSL 3.0 的记录层能抵御这些强有力的攻击：更进一步，为何这些攻击会被阻止，值得我们讨论。

IPSEC中的一个重要的主动攻击是Bellovin的剪贴攻击。回想起来，要获得保密性，光对链接进行加密是不够的——接收端 也必须防止敏感数据在无意中被泄露出来。剪贴攻击的攻击方式就是谋求接收端的信任，使之对敏感数据进行解密并将这些数据泄露给它 们。
SSL 3.0能够阻止剪贴攻击。阻止这种攻击的一种局部性防御策略是为每一个不同的上下文使用独立的会话密钥，这样便能在不同的连接之 间，以及连接的不同方向之间阻止剪贴操作。SSL已经为每个连接方向使用了独立的密钥。但是，这种机制无法阻止传输中一个方向上 的剪贴操作。应用最广泛的防御策略是在所有加密包上使用强大的认证机制，以阻止敌方对密文数据的修改。SSL记录层确实采用了这 种防御策略，因此剪贴操作被完全阻止住了。
另一种主动攻击是短块攻击，它主要针对IPSEC。这种攻击适用于最后的报文块包含一个一字节长的明文并且报文块剩余部分由随机 数填充的情况。在SSL上并没有明显的短块攻击。SSL记录层格式与以前的IPSEC格式相当类似，这种格式容易遭到攻击，因此 可以想象，修改性攻击会对SSL产生威胁。但是，无论如何，由标准SSL加密的Web服务器基本上不会受到短块攻击的威胁，因为 这些服务器不会经常对短块进行加密。（但要注意，由SSL加密的telnet客户端必须得到特殊的保护，以防止短块攻击，因为每 一次按键在传送时都是一字节长的数据包。）

重放攻击
光靠使用报文鉴别码（MAC）不能防止对方重复发送过时的信息包。SSL通过在生成MAC的数据中加入隐藏的序列号，来防止重放 攻击。这种机制也可以防止被耽搁的，被重新排序的，或者是被删除数据的干扰。