資源描述:
《ssl中間人攻擊對策的建設(shè)》由會(huì)員上傳分享��,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫��。
1���、SSL中間人攻擊對策的建設(shè) Inter的飛速發(fā)展給人們交換信息帶來了極大的便利,信息安全問題也隨之而來�。為了解決X絡(luò)中的信息安全問題�����,SSL協(xié)議應(yīng)運(yùn)而生�����。SSL協(xié)議為TCP/IP鏈接提供數(shù)據(jù)加密和認(rèn)證等功能�����,從而為數(shù)據(jù)通信建立了一條安全通道��?��! ? SSL協(xié)議的安全性分析 SSL協(xié)議通過數(shù)據(jù)密鑰進(jìn)行加密,利用數(shù)字簽名進(jìn)行身份認(rèn)證��,這種數(shù)據(jù)加密和身份認(rèn)證的安全機(jī)制能保證通信內(nèi)容安全和完整�����,但是在實(shí)際應(yīng)用中���,例如在點(diǎn)對點(diǎn)數(shù)據(jù)過程中仍存在漏洞��,會(huì)受到攻擊���。 1.1 SSL協(xié)議介紹 SSL是Netscape公司于1996年推出的安全協(xié)議��,它利用數(shù)據(jù)加密和認(rèn)證技術(shù)保證數(shù)據(jù)傳輸安
2����、全,當(dāng)前版本為SSL3.0����。SLL協(xié)議分為上下兩層,下層協(xié)議是記錄協(xié)議����,它的作用是對上層傳輸來的數(shù)據(jù)進(jìn)行封裝、壓縮和加密等��;下層協(xié)議是握手協(xié)議����,它的作用是為通信雙方提供相互認(rèn)證、協(xié)商參數(shù)和交換密鑰等功能��。SSL記錄協(xié)議為數(shù)據(jù)提供加密服務(wù),能夠保證通信信道的安全�����,在一定程度上能防止數(shù)據(jù)被竊聽�、篡改等安全攻擊,那么SSL的安全是通過握手協(xié)議來進(jìn)行保證的��。SSL工作流程大致如下: 1)客戶端向服務(wù)器發(fā)送開始信息Client-hello消息����,包含加密參數(shù)和加密算法,開始一個(gè)新的會(huì)話連接����; 2)服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰,向客戶端發(fā)送Server-hello消
3���、息��、Server-certificate消息�、Server-exchange消息�、Server-hello-done消息,若服務(wù)器對客戶端有認(rèn)證請求���,還會(huì)發(fā)出Certificate-request消息����; 3)客戶端根據(jù)Server-certificate消息對服務(wù)器證書進(jìn)行認(rèn)證���,證書通過客戶端驗(yàn)證后���,以三個(gè)消息進(jìn)行回應(yīng),即Client-key-exchange�、Change-cipher-spec消息和Client-verify-msg消息,如果接收到服務(wù)器發(fā)出的Certificate-request消息����,客戶端也會(huì)發(fā)出Client-certificate消息; 4)服
4����、務(wù)器收到Client-verify-msg消息消息,就會(huì)發(fā)送自己的Change-cipher-spec消息和Server-verify-msg消息讓客戶端認(rèn)證服務(wù)器��?! ≈链耍械膮f(xié)商工作均已經(jīng)完成����,會(huì)話開始應(yīng)用數(shù)據(jù)的發(fā)送���,而且所有會(huì)話內(nèi)容都經(jīng)過加密保護(hù)?���! ?.2 中間人攻擊分析 中間人攻擊(MITM攻擊)是一種間接的入侵攻擊,就是通過攔截正常的X絡(luò)通信數(shù)據(jù)�,并進(jìn)行數(shù)據(jù)篡改和嗅探,而通信的雙方卻毫不知情����。這種攻擊模式是通過各種技術(shù)手段將受控的一臺(tái)計(jì)算機(jī)虛擬放置在X絡(luò)連接中的兩臺(tái)通信計(jì)算機(jī)之間,這臺(tái)受控的計(jì)算機(jī)就稱為中間人���。它負(fù)責(zé)轉(zhuǎn)發(fā)兩臺(tái)計(jì)算機(jī)之間的通信�����,這種攻擊方式很
5�����、難被發(fā)現(xiàn)����。實(shí)施中間人攻擊時(shí),攻擊者?��?紤]的方式是ARP欺騙或DNS欺騙等����?����! SL協(xié)議是C/S結(jié)構(gòu)���,使用公鑰技術(shù)作為服務(wù)器認(rèn)證的基礎(chǔ)。SSL協(xié)議的安全是通過握手協(xié)議進(jìn)行保證����,而中間人攻擊就是通過截獲客戶端和服務(wù)器握手過程中相互傳遞的消息,通過偽造證書從而獲得主密鑰���,這樣中間人攔截所有客戶端的連接請求���,利用它得到的SSL服務(wù)器證書��,假冒服務(wù)器與客戶端進(jìn)行身份鑒別并建立SSL安全通道進(jìn)行數(shù)據(jù)傳輸����; 同時(shí)中間人又假冒客戶端和服務(wù)器SSL連接��,這樣中間人就可以輕易地截獲���、轉(zhuǎn)發(fā)客戶端和服務(wù)器之間傳送的數(shù)據(jù)并同時(shí)竊取敏感信息而不被發(fā)覺�����?���! ? 對策研究 SSL協(xié)議雖然提供了有效的認(rèn)
6�、證機(jī)制,但還是無法阻止中間人攻擊�。在SSL握手協(xié)議中,由于SSL證書密鑰的泄密���,中間人就可以通過一定的技術(shù)手段���,偽造出一個(gè)合法有效的SSL證書����,通過數(shù)字簽名得到服務(wù)器的認(rèn)證��?��! SL易遭受到中間人攻擊的根本原因不在于服務(wù)器對用戶的認(rèn)證機(jī)制��,而是用戶對缺乏服務(wù)器的認(rèn)證���,這使得服務(wù)器認(rèn)證機(jī)制沒有被很好的實(shí)施�。失效的服務(wù)器認(rèn)證導(dǎo)致了用戶向中間人泄露自己的身份標(biāo)識(shí),因此防范中間人攻擊的有效方法是強(qiáng)制執(zhí)行有效的合法的服務(wù)器認(rèn)證機(jī)制��?! ?.1 雙因素動(dòng)態(tài)身份認(rèn)證增強(qiáng)服務(wù)器認(rèn)證 簡單來說,雙因素動(dòng)態(tài)身份認(rèn)證就是通過你所知道再加上你所能擁有的這二個(gè)要素組合到一起才能發(fā)揮作用的身份認(rèn)證
7��、系統(tǒng)����,它屬于帶外認(rèn)證。所謂帶外身份驗(yàn)證是指由第三方值得信賴的媒體(Email或短消息驗(yàn)證)或者認(rèn)證設(shè)備(認(rèn)證令牌或動(dòng)態(tài)口令卡)發(fā)行服務(wù)器主機(jī)密鑰簽名。它的最大優(yōu)點(diǎn)在于用戶每次使用的密碼都不相同��,使得不法分子無法冒充合法用戶的身份��,而且加密算法的安全性極高�����,在通信和會(huì)話的發(fā)起與傳輸過程中不怕被中間人替換或截獲����,從而來確認(rèn)服務(wù)器證書的真實(shí)性和用戶的真實(shí)性,而中間人攻擊者卻無法獲得相關(guān)信息��,以便它無法通過雙方驗(yàn)證�����,再所難免的攻擊失敗��。當(dāng)然��,這種方式比較麻煩��,要求用戶和服務(wù)器有其他的互動(dòng)方式����?��! ‰p因素動(dòng)態(tài)身份驗(yàn)證,有效的
