（计算机应用技术专业论文）ssl+vpn系统中身份鉴别的安全研究.pdf

中文摘要 摘要 v p n ( v i r t u a lp r i v a t en e t w o r k ，虚拟专用网) 能够让企业为移动用户、分支机构 以及合作伙伴提供安全方便访问企业内部资源。现在市场上主要有两种形式的 v p n 系统：i p s e cv p n 和s s lv p n 。但是i p s e cv p n 的客户端安装非常复杂而且 需要专业的维护人员维护系统，不适合中小型企业及学校等单位。而基于 s s l ( s e c u f i t ys o c k e tl a y e r ，安全套接层) 协议构建的v p n 系统能给中小企业和学 校带来诸多便利，比如客户端安装简便，成本低，维护操作简单等等。目前企业 普遍采用数字证书的方式来对客户端进行鉴别。虽然数字证书鉴别在信息机密性、 完整性和不可抵赖性等方面能提供比较完备的技术手段，但是国内p k i ( p u b l i ck e y i n f r a s t r u c t u r e ，公钥基础设施) 却受制于诸多因素，而且建设一套完备的p k i 体系 对企业在人力物力财力上都有很高的要求，所以这种鉴别方式并不适合于一些中 小型企业和校园构建s s l v p n 系统。 综合上述原因，本文提出了一种新型的s s lv p n 系统，即利用一次性口令机 制对客户端进行身份鉴别，在现有的一次性口令基础上提出基于口令序列的改进 方案，使口令之间不存在相关性，并且口令都不依赖于用户的秘密通信短语。一 次性口令具有很多优点，一方面客户端不需要进行任何运算，减轻了客户端的工 作负荷，做到了真正的瘦客户端；另一方面服务器并不保存用户的口令，防止系 统管理员获知用户口令而造成内部泄密。 本文首先对比了i p s e cv p n 与s s lv p n 系统的优缺点，阐述了今后的发展趋 势，并针对当前广泛流行的采用数字证书承载鉴别信息来鉴别客户端身份的方式 在中小型企业中的不适用性，提出了作者自己的改进观点，即利用基于口令序列 的一次性口令机制的身份鉴别方式，在最后详细说明其理论可行性，实现的性能 以及改进后系统针对哪些网络攻击提高了安全性。 关键词：虚拟专用网；身份鉴别；口令序列 英文摘要 s e c u r i t yr e s e a r c ho f a u t h e n t i c a t i o no ns s l v p n s y s t e m a b s t r a c t v p n ( v i r t u a lp r i v a t en e t w o r k ) c a n l e te n t e r p r i s eo f f e rt om o b i l es u b s c r i b e r , b r a n c h a n dc o o p e r a t i v ep a r t n e ra c c e s st oh e a do f f i c es a f e l ya n dc o n v e n i e n t l y n o w a d a y st h e r e a r et w ok i n d so fv p ns y s t e m ：i p s e cv p na n ds s lv p n v p ns y s t e mb a s e do ni p s e c c l i e n ti n s t a l l a t i o ni sv e r yc o m p l e xa n dn e e d e dm a i n t a i n e db ye m p l o y e e s ，t h u si td o s e n t s u i tf o rs m a l la n dm e d i u me n t e r p r i s e sa n ds c h o o l s a n dv p ns y s t e mb a s e do n s s l ( s e c u r i t ys o c k e tl a y e r ) p r o t o c o lc a nn o tm e r e l y l e te n t e r p r i s e se n j o yt h e s e a d v a n t a g e s ，a l s ob r i n gag r e a td e a lo fc o n v e n i e n tp l a c e st oe n t e r p r i s e ，s u c h a s c o n v e n i e n ti n s t a l l a t i o na n dl o wc o s te r e n o wt h ee n t e r p r i s e sa l w a y sa d o p td i g i t a l c e r t i f i c a t et oa u t h e n t i c a t eo nc l i e n t a l t h o u g hd i g i t a lc e r t i f i c a t ea u t h e n t i c a t i o nc a n p r o v i d ec o m p l e t et e c h n i c a lm e t h o d so ni n f o r m a t i o nc o n f i d e n t i a l i t y , i n t e g r i t ya n d n o n - r e p u d i a t i o n ，d o m e s t i cp k i ( p u b l i ck e yi n f r a s t r u c t u r e ) t e c h n o l o g y i sl i m i t e db y m a n yf a c e t s i na d d i t i o n , i t sh i g hd e m a n do ne l i t e s ，m a t e r i a la n df i n a n c ew h e n i m p l e m e n taw h o l es u i t eo fc as y s t e m s ot h i sk i n do fa u t h e n t i c a t i o nm e t h o dd o e s n t s u i tf o rs o m es m a l la n dm e d i u me n t e r p r i s e st ob u i l ds s lv p n s y s t e m a c c o r d i n gt os u c hp r e s e n tc o n d i t i o n , t h i st h e s i sa d v a n c e so n es s lv p ns y s t e m w h i c ha d o p t so n e - t i m ep a s s w o r dm e c h a n i s m ，a n dt h e r ei sn or e l a t i o n s h i pb e t w e e na n y t w op a s s w o r d sa n da l lp a s s w o r d sa r ei n d e p e n d e n tt ot h es e c r e tp h r a s e o t ph a sm a n y a d v a n t a g e s f o rc l i e n t ，i tn e e d sn o n ec a l c u l a t i o na n dr e d u c e so p e r a t i n gl o a d ，w h i c hi s t h er e a lt h i nc l i e n t f o rs e r v e r , a d m i n i s t r a t o r sc a n to b t a i nt h e s ep a s s w o r d sb e c a u s eo f n o n ep a s s w o r ds t o r e di ns e r v e r , w h i c hp r e v e n t sl e a k i n gi n f o r m a t i o ni n s i d e t h i st h e s i sf i r s ta n a l y s e st h ea d v a n t a g e sa n dd i s a d v a n t a g e sw h i c hi p s e cv p na n d s s lv p ns y s t e me x i s t s a n de x p a t i a t et h ed e v e l o p m e n tt r e n do fv p ns y s t e m b e c a u s e t h ec u r r e n tc l i e n ta u t h e n t i c a t i o nm e t h o d ，d i g i t a lc e r t i f i c a t ep r o v i d i n ga u t h e n t i c a t i o n i n f o r m a t i o n , d o e s n ts u i tf o rs m a l la n dm e d i u me n t e r p r i s e s a c c o r d i n gt ot h i s ，t h ea u t h o r p r o p o s e s h i so w ni m p r o v e m e n tv i e w , w h i c h u s i n gb a s e ds e q u e n c ek e yo t p m e c h a n i s m f i n a l l yd e s c r i b e st h ef e a s i b i l i t y i nt h e o r y , p e r f o r m a n c e ，a n ds e c u r i t ya f t e r i m p r o v e d k e yw o r d s ：v i r t u a lp r i v a t en e t w o r k ；a u t h e n t i c a t i o n ：s e q u e n c ek e y 大连海事大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：本论文是在导师的指导下，独立进行研究工作所取得的成果， 撰写成博士硕士学位论文：竖l ! 丛丕筮虫身俭鉴别煎窒全班宜：。除论文中已 经注明引用的内容外，对论文的研究做出重要贡献的个人和集体，均已在文中以 明确方式标明。本论文中不包含任何未加明确注明的其他个人或集体已经公丌发 表或未公刀：发表的成果。 本声明的法律责任由本人承担文作者签名乏弱 年月只论文作者签名：4 状年月只 学位论文版权使用授权书 本学位论文作者及指导教师完全了解“大连海事大学研究尘学位论文提交、 版权使用管理办法”，同意大连海事大学保留并向国家有关部门或机构送交学位 论文的复印件和电子版，允许论文被查阅和借阅。本人授权大连海事大学可以将 本学位论文的全部或部分内容编入有关数掘库进行检索，也可采用影印、缩印或 扫描等复制手段保存和汇编学位论文。 不保密回；在以上方框内打“”)， 一：量签旌名簪 同期：年佣同 i s s lv p n 系统中身份鉴别的安全研究 1 1 立题的意义及现状 第1 章绪论 1 1 1 问题和发展 在全球化的商业环境下，分布在世界各地的企业各分支机构员工、合作伙伴和 客户之日j 的联系更加紧密，如何安全、快速、方便的远程访问企业内部资源成为i t 部门首先要解决的当务之急。通过专线方式实现点到点之间的远程连接无疑是一 种迅速、安全且可靠的通信手段，但其成本过高，并不适合大多数企业应用。 目前大多数远程访问解决方案是利用基于i p s e e “1 安全协议的v p n “3 网络，通 过i p s e cv p n 技术实现大量数据的远程访问为人们提供了一种低运行成本、高生 产效率的远程访问方式。但是i p s e cv p n 也有不足，它使用起来非常复杂，必须 安装和维护客户端软件。另外，从远程通过i p s e c 通道连接到企业内部网络可能会 增加局域网受到攻击或被病毒感染的可能。最新的研究表明近乎9 0 的企业利用 v p n 进行的内部网和外部网的连接都只用来进行因特网访问和电子邮件通信，另 外1 0 的用户是用诸如n o t e s 客户端、聊天协议和其他私有客户端应用，属于非因 特网应用。而这些9 0 的应用都可以利用一种更加简单的v p n 技术一s s l v p n 来 提供更加有效的解决方案。 s s lv p n 远程访问方案更加容易配詈和管理，网络配置成本比目f j i 主流的 i p s e cv p n 要低很多，是目前解决远程用户访问公司敏感数据最简单最安全的技 术，所以许多企业己经丌始转而利用基于s s l 协议的远程访问技术来实现v p n 通 信。嘲 所谓s s lv p n ，是指利用s s l 协议来实现v p n 系统，保证信息在传输过程 中的机密性( c o n f i d e n t i a l i t y ) 、完整性( m e s s a g ei n t e g r i t y ) ，并提供端到端的身份鉴 别( a u t h e n t i c a t i o n ) 。s s lv p n 能更有效的实施访问控制，因为系统对用户实施集 中化管理，所有的远程访问都通过s s l v p n 管理机平台控管，有效地监控用户的 使用权限；能针对不同的应用制定不同的解决方案，因为s s l 协议工作在传输层 与应用层之间，所有访问被限制在应用层，同时访问权限也能细分到一个u r l 或 一个文件。 第1 章绪论 根据客户端的访问方式以及组网方式的不同，可以将s s lv p n 系统分为三种 模式：基于w e b 模式、基于客户端模式、局域网到局域网模式。 基于w e b 模式的s s lv p n 系统，客户端使用浏览器通过s s lv p n 服务器来 访问企业局域网的内部资源。s s lv p n 服务器相当于一个数掘中转站，w e b 浏览 器对w w w 服务器的访问经过s s lv p n 服务器的处理( 解密、身份鉴别、访问控 制) 后转发给w w w 服务器，从w w w 服务器发往w e b 浏览器的数掘经过s s l v p n 服务器处理( 过滤、加密) 后送到w e b 浏览器。从而在w e b 浏览器和s s lv p n 服 务器之间，由s s l 协议构建了一条安全通道。基于w e b 模式适合于远程移动用户， 客户端不需要安装任何特殊程序，这种模式在企业应用中占有很大的比重。如图 1 1 所示。 客户端 s s lv p n j 艮务器w e b 服务器 图1 1w e b 模式的s s lv p n 系统 f i g 1 1s s lv p ns y s t e mb a s e do nw e bm o d e 基于客户端模式的s s lv p n 系统，支持多种应用层协议，如s m t p ， t e l n e t ，f t p 等。使用这种模式，用户需在客户端安装一个s s l v p n 客户端程序， 并做一些简单的配置，不需要对原系统做改动。当客户端访问企业内部的应用服 务器时，需要经过s s lv p n 客户端程序和s s lv p n 服务器之间的保密传输后j 。 能到达。从而在s s lv p n 客户端和s s lv p n 服务器之间，由s s l 协议构建一条 安全通道，保护客户端与s s lv p n 服务器之间的数掘传输。此时，s s l v p n 服务 器充当服务器代理的角色，s s lv p n 客户端充当客户端代理的角色。基于客户端 模式适合于分支机构与企业总部之f 1 日j 构建v p n 系统，分支机构网络边缘不需要安 装s s l v p n 服务器，节省成本。如图1 2 所示。 s s lv p n 系统中身份鉴别的安全研究 艄妙观髓毋撇叼 客户端 s s lv p n 客户端s s lv p n 服务器 应用服务器 幽1 2 客户端模式的s s lv p n 系统 f i g 1 2s s lv p ns y s t e mb a s e do nc l i e n tm o d e 局域网到局域网模式的s s lv p n 系统，在网络边缘都安装和配置了s s lv p n 服务器。当一个局域网内的终端要访问远程网络内的应用服务器时，需要经过两 个s s lv p n 服务器之问的保密传输后j4 能到达。从而在两个s s lv p n 服务器之 问，由s s l 协议构建一条安全通道，保护局域网之问的数掘传输。此时，s s l v p n 服务器充当安全网关的角色。局域网到局域网模式适合于企业与合作伙伴之i 目j 构 建v p n 系统，局域网内原有的网络设备比较完备，所有的处理都是在s s l v p n 服 务器进行，终端上不需要安装任何程序。如图1 _ 3 所示。 + 霎誓叼s 挚9 雾耋叼 客户端s s lv p n 服务器 s s lv p n 服务器应用服务器 第1 章绪论 但是s s lv p n 的部署成本却很低。只要安装了s s l v p n ，基本上就不需要i t 部 门的支持了，所以维护成本可以忽略不计。对于那些只需进入企业内部网站或者 进行e m a i l 通信的远程用户柬晚，s s l v p n 显然是一个价廉物美的选择。此外， s s l v p n 连接要比i p s e cv p n 更稳定，这是因为i p s e cv p n 是网络层连接，所以 容易中断。除此之外，s s l v p n 还具有以下优势”1 。 适用大多数设备：基于w e b 访问的丌放体系可以被任何运行标准浏览器的系 统所访问，包括非传统设备，如可以上网的手机和p d a 通信产品。 适用于大多数操作系统：不管是w i n d o w s 、m a c i n t o s h 、u n i x 还是l i n u x ，只 要运行标准的浏览器，都可以支持s s l v p n 对企业内部网站和w e b 站点的访问。 良好的安全性：s s l v p n 访问的并不是网络的真实节点，而是被代理的内部 资源，这种方法较为安全。 较强的资源控制能力：s s l v p n 为远程访问用户提供较细粒度的资源访问控 制。 绕过防火墙和代理服务器：基于s s lv p n 的远程访问方案可以绕过防火墙和 代理服务器访问企业网资源，这是基于i p s e cv p n 的远程访问很难做到的。 上面介绍了s s lv p n 技术的优势，不过s s lv p n 并非完美无缺。 依靠i n t e r a c t 进行访问：远程用户的w e b 浏览器依靠企业的服务器访问所有进 程。如果i n t e m e t 没有连通，远程用户就不能与总部网络进行连接，只能单独工作。 有限支持w i n d o w s 应用及其他非w e b 系统：大多数s s l v p n 都是基于w e b 浏览器工作的。虽然有些s s l 提供商已经丌始合并终端服务来支持非w e b 应用， 但是目自口大多数s s l v p n 方案还未正式提出全面支持。 有限的安全保障：s s lv p n 只对通信双方的某个应用通道进行加密，而不是对 在通信双方的主机之间的整个通道进行加密。在通信时，很难保证其他文件不被 暴露，因此存在一定的安全隐患。 1 1 2s s lv p n 的发展前景 s s lv p n 的出现，使得原束基于i p 安全的i p s e cv p n 厂商不得不重新思考它 们的产品方略。掘有关网络安全专家认为目前的s s l v p n 应用非常有限，仅适用 于基于w e b 的应用。当企业工作人员需要远程访问w e b 应用如电子邮件或者接入 s s lv p n 系统中身份鉴别的安全研究 企业内网的时( 因为s s l 可以绕过防火墙和代理服务器) 才应用，s s l 只不过是 一种更低廉而且更容易部署的选择而己。况且目前传统的i p s e ev p n 厂商为了满 足这部分用户的需求，于在为其产品增加s s l 性能，这样只能单独提供s s l 性能 的v p n 产品就可能大受冷落了。 市场研究家们预计在今后几年中，s s lv p n 设备的全球销售将会出现持续增 长，但同时也表明i p s e cv p n 设备不会因s s l v p n 设备的增长而受到大的影响， 相反技术也会快速增长。随着基于w e b 的应用越来越多，以及远程接入需求的增 长，s s l 可能会成为一个热门市场，成为传统i p s e cv p n 设备厂商需要考虑的一 个发展方向。 有些企业客户认为需要同时拥有s s l 和i p s e c v p n 。他们想为部分数量有限的 员工提供i p s e cv p n 连接( 如采用c i s c o 的v p n 设备) ，因为他们需要访问企业的 生产系统和其他非w e b 应用。但同时。也为大多数员工提供s s lv p n ( 如使用 w h a l e 的e g a p 远程接入产品) 的远程接入，可供其接入i n t r a n e t 和电子邮箱。 因为s s l 只能用于w e b 瘦用，让一些用户有所退避。芝加哥的一家个人服务 公司d i v i n e 就主要采用了n e t s c r e e n 公司的i p s e cv p n ，因为它的很多远程工作人 员都是咨询师，需要访问企业众多的应用程序，不可能只限定在w e b 应用上。 d i v i n e 的网络服务部经理c h u c kh o r v a t 说，他们还没有发现需要使用s s l v p n 的 理由。不过，该公司也有一个w e b 应用前端和内胃的s s l 加密。远程工作人员通 过身份认证和口令可获得访问公司邮箱和目录的权限。 所以，虽然目f i i 有很多人都认为s s lv p n 将会取代i p s e ev p n ，但大多数工 业观察家却认为这两种v p n 将会共存，因为两者的市场空间都不小，丽且可以相 互补充。目前处于竞争的i p s e cv p n 与s s l v p n 将很快走向结合。因为它们都有 各自的优点，而且各自的缺点又不是能通过自身的技术可以克服的。 1 2 课题的提出背景 由于s s l 协议本身的缺陷，对客户端身份鉴别支持较弱，因而在电子商务等 方面的应用中受到了限制。为了弥补这一缺陷，一般采用的做法是附加一些鉴别 手段强化身份鉴别。鉴别的方法有多种，普遍认为采用数字证书承载鉴别信息易 f 在大规模网络环境下应用。但是由于种种原因，目j i i 国内p k i 技术的应用还得 第1 章绪论 不到广泛的发展。 针对这一问题，本文研究并实现了s s lv p n 系统中客户端身份的安全认证， 即在无须使用数字证书的情况下，解决远程v p n 的客户端身份的鉴别问题。本文 通过构建在w i n d o w s 平台上的s s lv p n 系统，实现客户端基于w e b 应用的数掘 安全传输。作者所作的工作主要是研究当前的s s l v p n 系统中身份鉴别技术，对 当前技术提出自己的鉴别方案，并初步完成了s s l v p n 系统相关模块的设汁实现。 1 3 论文的组织结构 本文共分为六个部分： 第一部分，绪论。介绍v p n 系统的发展及现状，以及它能给企业或学校带来 的好处和存在的缺陷，通过比较i p s e c v p n 和s s l v p n 这两种系统，晓明研究s s l v p n 系统的原因及其优越性。最后提出课题的研究背景和论文的组织结构。 第二部分，s s l 协议分析。简单介绍了s s l 协议的发展历史，以及s s l 协议 包含的三个协议，即：握手协议、记录协议、密码格式变换协议和警示协议。并 对o p e n s s l 开发包进行了简要的阐述。 第三部分，s s l v p n 系统身份认证改进原理和方法。首先介绍现在的针对身份 认证的攻击方式，然后对现有的主要客户端身份鉴别技术进行介绍，分析它们的 不足，然后提出自己对现有身份鉴别技术的改进方法一一采用一次性口令的方式 的鉴别方式。 第四部分，基于一次性口令的身份鉴别方法在s s lv p n 系统中的实现。首先 介绍了系统的整体结构，接着对主要模块进行阐述，重点讲述了客户端鉴别模块 的实现过程。 第五部分，对改进后的系统在性能。可用性及安全性方面进行分析。 第六部分，总结与展望。总结全文，指出作者论文期间所作的工作以及系统今 后改进之处。 s s lv p n 系统中身份鉴别的安全研究 2 1 s s l 协议概述 第2 章s s l 协议分析 2 1 18 s l 协议的含义 s sl 【”是s e c u r es o c k e tl a y e r 英文缩写，它的中文意思是安全套接层协议，指使 用公钥和私钥技术组合的在客户端和服务器端之间建立安全通道网络通讯协议。 s s l 协议是网景公司( n e t s c a p e ) 推出的基于w e b 应用的安全协议，s s l 协议指定了 一种在应用程序协议( 如h t t p 、t e l e n e t 、s m t p 和f t p 等) 和t c p i p “1 协议之间提 供数掘安全性分层的机制，它为t c p i p 连接提供数据加密、服务器认证、消息完 整性以及可选的客户机认证，主要用于提高应用程序之间数据的安全性，对传送的 数掘进行加密和隐藏，确保数掘在传送中不被改变，即确保数据的完整性。s s l 一 经提出，就在i n t e r a c t 上得到广泛的应用。s s l 最常用来保护w e b 的安全。为了 保护存有敏感信息w e b 的服务器的安全，消除用户在i n t e r a c t 上数据传输的安全 顾虑。现在已成为通用i n t e m e t 服务的安全工具，目前己被工业界认可，成为i e t f 的r f c 草案，在电子邮件、n e t s c a p en a v i g a t o r 和i e 等网络浏览器、o r a c l e a p p l i c a t i o ns e r v e r 等服务器上已广泛应用。 s s l 使用公丌密钥体制和x 5 0 9 ”数字证书技术保护信息传输的机密性和完整 性，它不能保证信息的不可抵赖性，主要适用于点对点之日j 的信息传输，可以实 现如下三个通信目标： ( 1 ) 秘密性：s s l 客户机和服务器之间传送的数据都经过了加密处理，网络中的 非法窃听者所获取的信息都将是无意义的密文信息。 ( 2 ) 完整性：s s l 利用密码算法和敞列( h a s h ”1 ) 函数，通过对传输信息特征值 的提取柬保证信息的完整性，确保要传输的信息全部到达目的地，可以避免服务器 和客户机之1 日j 的信息受到破坏。 ( 3 ) 认证性：利用证书技术和可信的第三方认证，可以让客户机和服务器相互识 别对方的身份。为了验证证书持有者是其合法用户( 而不是冒名用户) ，s s l 要求 证书持有者在握手时相互交换数字证书( 或者进行必要的双方身份验证) ，通过验 证束保证对方身份的合法性。 第2 章s s l 协议分析 2 1 2s s l 协议的发展历程 p c t ( 1 9 9 5 ) 只进行认 证的模式 再握手证书链 s t l p ( 1 9 9 6 ) 共享密钥 认证数据及一些性能 上的优 w t l s ( 1 9 9 8 ) w a p 论坛 对无线协议的支持 s s l v l ( 1 9 9 4 ) 未发布 l s s l v 2 ( 1 9 9 4 ) 第版 土 的模式d h ，d s s 关闭握 手，再握手证书链 t s l ( 1 9 9 7 - 1 9 9 9 ) i e t f 必须 支持d h ，d s s 新的m a c 算法 新的密钥扩展 图2 is s l 协议发展历科 f i g 2 1d e v e l o p m e n to fs s l 8 ，专 s s lv p n 系统中身份鉴别的安全研究 2 1 3s s l 协议支持的密码算法 s s l 协议支持的序列加密算法有r c a ；至此的分组加密算法有r c 2 ，d e s ， 3 d e s ，i d e a 和f o r t e z z a ；另外s s l 协议指定专为出口使用的4 0 位d e s 算法，称 为d e s 4 0 。s s l 协议支持的密钥交换算法有r s a ，d i f ! f i e h e l l m a n 和f o r t e z z ad m s ： 数7 签名算法有r s a 和d s a 。数字签名时，单向散列函数作为签名算法的输入。 在s s l 协议中指定的散列函数算法为m d 5 和s h a 。在r s a 签名算法中，一个 3 6 字节的两个散列函数( 一个是s h a 散列函数，一个是m d 5 9 懒列函数) 的连续 被签名。在d s a 签名算法中，一个2 0 字节的s h a 散列函数被签名。o ” 2 2s s l 协议的具体描述 s s l 协议位于t c p i p 协议模型的网络层和应用层之间，使用t c p 来提供一种 可靠的端到端的安全服务，它是客户服务器应用之间的通信不被攻击窃听，并且 始终对服务器进行认证，还可以选择对客户进行认证。s s l 协议在应用层通信之前 就已经完成加密算法、通信密钥的协商以及服务器认证工作，在此之后，应用层协 议所传送的数据都被加密。它基于可靠传输协议t c p ，服务于各种应用层协议， 如h t t p ，p o p 。t e l n e t 等，它们在s s l 协议上运行分别被称作h t r p s ，p o p s ， t e l n e t s 协议等，分别对应的端口号为4 4 3 ，9 9 5 ，9 9 2 等。 s s l 协议实际上是由共同工作的两层协议组成，其协议栈如图2 2 所示。从体 系结构图可以看出s s l 安全协议实际是s s l 握手协议、s s l 密码格式变换协议、 s s l 报警协议和s s l 记录协议组成的一个协议族。 h t t p ，p o p ，t e l n e t 等高层协议 握手协议密码格式变换协议报警协议 s s l 记录协议 t c p 协议 i p 协议 其中数掘的传输流程如下 幽2 2s s l 体系刍! i 构 f i g 2 2a r c h i t e c t u r eo fs s l 第2 章s s l 协议分析 ( 1 ) 应用程序把应用数据提交给本地的s s l ： ( 2 ) 发送端的s s l 根据需要： a 1 使用指定的压缩算法，压缩应用数掘； b ) 使用散列算法对压缩后的数据计算散列值； c ) 把散列值和压缩数据一起用加密算法加密： ( 3 ) 密文通过网络传给对方； ( 4 ) 接收方的s s l a 1 用相同的加密算法对密文解密，得到明文； b ) 用相同的散列算法对明文中的应用数据散列； c 1 计算得到的散列值与明文中的散列值比较； ( 5 ) 如果一致，则明文有效，接收方的s s l 把明文解压后得到应用数掘上交给 应用层。否则就丢弃数据，并向发送方发出警告信息。严重的错误有可能引起再 次的协商或连接中断。 2 2 1s s l 记录协议 记录协议( r e c o r dp r o t o c 0 1 ) 1 是一种相当简单的封装协议，定义了数掘传输的 格式。记录协议主要完成分组和组合，压缩和解压缩，以及消息认证和加密等功 能。它为s s l 提供两种服务：保密性和消息完整性。保密性由协议协商出得会话 密钥来实现，它主要是加密s s l 负载的数掘。消息完整性主要由计算数据的m a c 来实现的。 s s l 数据被分割成一系列的片断，数据片断的最大长度为2 “字节。数据在分 段之后要进行压缩，由于没有定义压缩方法，所以只是一个空过程，也就是不作 处理。然后计算数据片断的m a c ( 消息验证码) 值。该m a c 值涵盖了数据头信息 还包括一个用以阻止重放与再排序攻击的序号。序号是一个可以被发送和接收双 方递增的计数器。计数器有3 2 位，计数值循环使用，每发送一个记录计数值递增 一次，序号的初始值为0 。 s s l 记录层操作的具体步骤如下： 1 分片 将消息分割成不超过成2 “字节的明文记录。 s s lv p n 系统中身份鉴别的安全研究 2 压缩( 可选) 所有记录采用在“当i i 会话状态”中定义的压缩算法进行压缩，压缩算法将 s s l 明文结构翻译成s s l 压缩结构。压缩不能引起信息丢失，也不能使内容增加 超过1 0 2 4 字节。如果解压功能使解压后长度超过2 ”字节，则会产生一个错误压 缩失败报警( af a t a ld e c o m p r e s s i o n _ f a i l u r ea l e r t ) 。s s l v 3 中没有指定压缩算法。 3 m a c 计算 s s l v 3 ： m a c = h a s h ( m a c _ w r i t e s e r e t + p a d _ 2 + h a s h ( m a cw r i t e _ s e c r e t + p a d - i + s e q _ n u m + s s l c o m p r e s s e d t y p e + s s l c o m p r e s s e d 1 e n g t h + s s l c o m p r e s s e d f r a g m e n t ) ) 其中h a s h 是在握手过程中协商得到的单向散列函数，一般为m d 5 或s h a - 1 ； m a c _ w r i t e s e c r e t 是双方共享的保密密钥；s e q _ _ n u m 是该记录的序列号，通过在 m a c 数据中包含进“序列号”可以有效地阻止报文重放攻击，同时这种机制也阻 止了“延迟”、“重排序”、“删除数掘”等攻击形式；p a dl 和p a d - 2 是计算 m a c 时的填充数掘，对于不的散列函数m d 5 和s h a 1 ，填充的数据也不同。 当采用m d 5 时，p a d 一1 为0 x 3 6 重复4 8 次，p a 4 - 2 为0 x 5 c 重复4 8 次；当采用 s h a - 1 时，p a d - 1 为0 x 3 6 重复4 0 次，p 加一2 为0 x 5 c 重复4 0 次。由于在计算 m a c 时对数掘进行填充和多次散列本身并没有很大的意义，因此在s s l v 3 的后续 版本t l s l 0 中计算m a c 的公式有所改变。m a c 是在加密之前计算出来的，流加 密将包括m a c 在内的整个块一起进行加密处理，加密后数据块的长度等于实际数 掘的长度与m a c 长度之和。s s l c o m p r e s s e d t y p e 是更高层协议用于处理本分段的 类型；s s l c o m p r e s s e d 1 e n g t h 是压缩分段的长度。s s l c _ o m p r e s s e d f r a g m e n t 是压缩 的分段，没有压缩时为明文段。 4 加密 用对称加密算法给添加了m a c 的压缩消息加密。而且加密不能增加1 0 2 4 字 节以上的内容长度。 5 添加记录头信息 第2 章s s l 协议分析 记录头信息的工作就是为接收实现提供对记录进行解释所必须的信息。在实际 应用中，它是指三种信息：内容类型、压缩长度、s s l 版本。s s l 版本又包括t 版本号和次版本号。 s s l 记录协议的格式如图2 3 所示： 内容类型8 b i t s 版本1 6 b i t s长度1 6 b i t s 明文( 可选择的压缩) m a c ( 0 ，1 6 ，或2 0 字节) 图2 3s s l 记录协议格式 f i g 2 3f o r m a to fs s lr e c o r dp r o t o c o l 其中s s l 记录头信息结构为： s t m c t c o n t e n t t y p et y p e ； p r o t o c o l v e r s i o nv e r s i o n ： u n i t l 6l e n g t h ； r e c o r d h e a d e r ： 内容类型( c o n t e n t t y p e ) ：l 字节，描述产生数据的高层协议，内容类型定义为 c h a n g e _ c i p h e r _ s p e c ，a l e r t ，h a n d s h a k e 和a p p l i c a t i o n _ d a t a 。前3 种表示是s s l 特定协议的数据，a p p l i c a t i o n _ d a t a 表示传输的可能是如 r 兀p ，f 下p 等高层应 用协议的数据，其他应用协议产生的数据对于s s l 是透明的。 内容类型的取值为： e ：n u m c h a n g e _ c i p h e rs p e c ( 2 0 ) ，a l e r t ( 2 1 ) ，h a n d s h a k e ( 2 2 ) ， a p p l i c a t i o nd a t a ( 2 3 ) ，( 2 5 5 ) c o n t e n t t y p e ； 版本( p r o t o c o lv e r s i o n ) ：2 字节。 s t r u c t s s lv p n 系统中身份鉴别的安全研究 u n i t 8m a j o r ； 主版本，1 字节，对于s s l 3 0 是3 u n i t 8m i n o r ； 次版本，l 字节，对于s s l 3 0 是0 p r o t o c o l v e r s i o n ： 长度( l e n g t h ) ：2 字节，是址缩后的长度，包括数据、m a c 和可能的填充内容， 最大值为2 4 + 2 0 4 8 。 2 22s s l 密码格式变换协议 s s l 密码格式变换协议( c h a n g ec i p h e rs p e cp r o t o c 0 1 ) “”是使用s s l 记录协议服 务的s s l 高层协议的3 个特定协议之一，也是其中最简单的一个。协议由单个消息 组成，垓消息只包含一个值为l 的单个字节。该消息的唯一作用就是使未决状态拷 贝为当前状态，更新用于当前连接的密码组。为了保障s s l 传输过程的安全性，双 方应该每隔一段时间改变加密规范。 2 2 3s s l 报警协议 警示信息主要是向对方报告各种类型的错误。它的作用主要有三个： ( 1 ) 大多数警示信息用于报告握手过程中出现的问题； ( 2 ) 也有一些是用于指示在对记录试图进行解密或认证时发生的错误； ( 3 ) 还有一个指示连接即将关闭的作用； 警小 ；息的主要包括警孙内容和严重级别。严重级别分为致命和警告两种。一 h 收到致命的警示信息，则会导致当前的连接立即中断。在这种致命级别情况下， 与陔会话相关的其他连接可以继续进行。为防止再建立连接，该相关的会话将不 能再被重用。 警示信息分为错误警示和关闭警示两种： ( 1 ) 错误警不：在s s l 握手协议中错误处理很简单。当一个错误被发现后， 发现方向另一方发送一条信息。在发送或收到是致命错误信息时，双方立即关 闭连接。服务器和客户必须忘记有关这次连接的会话标识、密钥等。s s l 所定 义的警示类型除c l o s e _ n o t i f y 外，其余1 1 种均为错误报警。 ( 2 ) 关闭警示：客户端必须及时知道何时关闭连接，以防止截断攻击。截 断攻 - 芷攻一打肯祚发送肯诬没有发送完数据之静插入一条t c pf i n 消息，迫 使接收方认为接受了所有的数掘。c l o s e _ n o t i f y 警示信息主要是是防止截断攻 第2 章s s l 协议分析 击的，它用来指示发送方己经发送了所有要在该连接上发送的数掘。因此，除 非接收方收到一条c l o s en o t i f y 消息，否则就无法确定还有更多的数据要束发 送。 警示消息的结构为； s t r u c t a l e r t l e v e ll e v e l 1 字节，警告级别 a l e r t d e s c r i p t i o nd e s c r i p t i o n ：1 字节，指示特定错误或警告原因 ) a l e r t ： 警示信息的种类，见表2 1 所示。 表2 i 警示信息种类 t a b 2 1t y p e so fs s l w a r n i n gm e s s a g e s 告警号告警名称 含义 oc l o s en o t i f y 川来指示发送方已经发送了所有要台该n 接 上发送的数据。该条警示的目的足川永阻i 。他 断攻击，即攻m 者在发送方还未发送完数据之 前插入一条t c pf i n 消息迫使接受方认为 已经接受，所有的数据。除盯接收方收剑一条 c l o s en o t i f y 警示，否j j i | j 就不能确定有没有更 多的数据要来。如果盘没有接收刨 c l o s en o t i f