- 1、本文档共5页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
SSL 应用分析与监控
寇亚洲,刘吉强**
(北京交通大学计算机与信息技术学院,北京 100044)
5
10
15
20
25
30
35
40
摘要:SSL(Secure Socket Layer)可以为 HTTP 提供安全链接,从而加强了 Web 应用的安全
性,但是,在上网行为审计系统中,获取可审计的明文数据是前提条件。本文重点根据 SSL
密文会话的安全机制,结合 SSL 在 Web 应用中的实际实现,分析安全标准与具体实现间的差
别,得出了 SSL 安全协议监控的可行性方案。进而结合 sslstrip 网络工具,实现了客户端
网关设备上的 SSL 密文会话的明文数据监控。
关键词:信息安全;SSL;密文解析;明文获取;网络代理
中图分类号:TN915.08
SSL Session Analysis and Monitoring
Kou Yazhou, Liu Jiqiang
(Computer and Information Technology School, Beijing Jiaotong University, Beijing 100044)
Abstract: SSL(Secure Socket Layer) provides a secure link for HTTP, thereby strengthening the
security of Web applications. As plaintext is required in the online behavior auditing system, this
paper compared the SSL security mechanisms with the implementation of SSL in Web application,
and it realized the monitoring of SSL protocol. It achieved to gain the plaintext of SSL session on
the client gateway device within sslstrip.
Keywords: Information Security; SSL; Ciphertext; Plaintext; Proxy
0 引言
伴随着互联网接入应用的普及和访问带宽的增加,一方面企业局域网员工的上网条件得
到了改善,但是,另一方面也给企业带来潜在的互联网访问的危险性和复杂性。因此,作为
近些年来中国网络安全领域市场增幅最大的产品,上网行为审计类产品受到了业界的广泛关
注。上网行为审计产品针对局域网用户的互联网访问的内容进行记录,以便于在发现问题后
的追查工作[1][2]。传统的万维网访问协议 HTTP 默认不具备任何安全机制——采用明文的形
式进行数据的传输、不能验证通信对等双方的身份、无法防止传输中的数据被篡改等,导致
HTTP 无法满足部分实际应用的高安全性要求。Netscape 公司提出的安全协议 SSL(安全套
接字层),利用数据加密、身份验证和消息完整性验证机制,为网络上数据的传输提供安全
性保证。SSL 可以为 HTTP 提供安全的链接,从而很大程度上改善了万维网应用的安全性问
题[3] [4]。与此同时,在企业中,对于需要进行局域网用户上网行为分析与监控的网络部门来
说,获取网络传输的真实明文的需求是合理的需求,对于 HTTP 流量,实现这一点相对容易,
但是,对于 HTTPS/SSL 流量,SSL 协议一系列的安全机制对这一合理需求构成了障碍。为
了达到针对 SSL 协议保护的数据进行监控的目的,本文根据 SSL 协议的安全机制,针对 SSL
的 Web 应用进行了监控可行性的理论分析,得出了 Web 应用中 SSL 密文会话监控方案,同
时验证了方案的可行性。
1 SSL 安全机制
SSL 密文会话的安全机制包括[5]:
数据加密:数据需要加密后再进行传输,加密解密算法为对称密钥算法;
作者简介:寇亚洲,(1986-),男,硕士研究生,信息安全。
通信联系人:刘吉强, 1973-),可信计算,教授,可信计算,应用密码学,安全协议。 E-mail: jqliu@
-1-
身份验证:建立链接时需要对各通信端进行身份验证,身份验证利用证书和数字签
名技术,其中客户端的验证是可选的[6]。
消息完整性验证:消息接收端使用哈希算法来进行消息完整性验证。
45
50
55
数据加密、身份验证、公钥真实性、密钥安全和消息完整性构成了 SSL 密文会话的安
全机制,它们的组合运用提供了安全性保障。
SSL 密文会话的分层结构[7] [8][1]:
图 1 SSL 安全协议分层
文档评论(0)