支付宝安全协议分析ppt课件

即SSL协议分析,主讲：魏旭组员：杨博王必伟王鸿凯,支付宝安全协议分析,1,SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：SSL记录协议（SSLRecordProtocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议SSLHandshakeProtocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。,支付宝所使用的安全协议,2,支付宝所使用的安全协议,安全套接层协议：SecureSocketLayer（SSL）,数据封装、压缩、加密等,身份认证、协商加密算法、交换加密密钥等,3,SSL协议提供的服务,（一）认证用户和服务器,确保数据发送到正确的客户机和服务器,4,SSL协议提供的服务,（二）加密数据,防止数据被窃取,5,SSL协议提供的服务,（三）维护数据完整性,确保数据在传输过程中不被改变,6,SSL协议的工作流程,（一）服务器认证阶段,1）客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；4）服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。,7,SSL协议的工作流程,（二）用户认证阶段,经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证,8,9,SSL协议的实现,https的安全基础是SSL，将SSL/TLS加密和认证功能融入到HTTP协议里面,在信息传送前先通过SSL/TLS协议加密,收到的信息会先被浏览器解密,再显示出,从而保证了网上交易时的安全.HTTPS广泛用在网上交易支付敏感信息下载(如电子邮件)等领域,10,SSL协议没有不足的地方吗？,11,SSL协议的限制,安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持,12,SSL协议的弊端,从SSL协议所提供的服务及其工作流程可以看出，SSL协议运行的基础是商家对消费者信息保密的承诺，这就有利于商家而不利于消费者。在电子商务初级阶段，由于运作电子商务的企业大多是信誉较高的大公司，因此这问题还没有充分暴露出来。但随着电子商务的发展，各中小型公司也参与进来，这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但是SSL协议仍存在一些问题，比如，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系。,13,拒绝服务攻击在SSL握手协议过程中，协议的完成取决于最后握手完成的确认信息的正确性。由于在发送协议完成消息之前双方都采用明文传送，攻击者很容易制造出双方都可以接受的消息。通信流量分析攻击检查未经加密的IP源和目的地址或观察网络流量状况，就可推测会话双方的身份、正在使用何种服务。针对SSL协议，流量分析攻击的关键是得到密文的长度。因为SSL协议加密体制得到的密文结果都是近似准确的。,SSL协议存在的隐患,14,密钥交换算法欺骗攻击在握手过程中，服务器需要向客户发送它的公钥信息。这个公钥信息包含在服务器的证书消息之中。由于这个消息中的算法域没有进行完整性保护，因此攻击