支付宝安全协议分析

a
7
（二）用户认证阶段
经认证的服务器发 送一个提问给客户， 客户则返回（数字） 签名后的提问和其 公开密钥，从而向 服务器提供认证
a
8
a
9
https的安全基础是SSL，将SSL/TLS加
密和认证功能融入到HTTP协议里面,
在信息传送前先通过SSL/TLS协议加
密,收到的信息会先被浏览器解密,再显
检查未经加密的IP源和目的地址或观察网络
流量状况，就可推测会话双方的身份、正在
使用何种服务。针对SSL协议，流量分析攻
击的关键是得到密文的长度。因为SSL协议
加密体制得到的密文结果都是近似准确的。
a
14
密钥交换算法欺骗攻击
在握手过程中，服务器需要向客户发送它的 公钥信息。这个公钥信息包含在服务器的证 书消息之中。由于这个消息中的算法域没有 进行完整性保护，因此攻击者可以“合理’ 篡改算法域，使客户使用错误的加密算法对
商务初级阶段，由于运作电子商务的企业大多是信
誉较高的大公司，因此这问题还没有充分暴露出来
。但随着电子商务的发展，各中小型公司也参与进
来，这样在电子支付过程中的单一认证问题就越来
越突出。虽然在SSL3.0中通过数字签名和数字证书
可实现浏览器和Web服务器双方的身份验证，但是
SSL协议仍存在一些问题，比如，只能提供交易中
a
2
安全套接层协议：Secure Socket Layer（SSL）
身份认证、协商加密算 法、交换加密密钥等
数据封装、压缩、 加密等
a
3
（一）认证用户和服务器
确保数据发送到正确的客户机和服务器
a
4
（二）加密数据
防止数据被窃取
a
5
（三）维护数据完整性
确保数据在传输过程中不被改变
a
6
（一）服务器认证阶段
1）客户端向服务器发送一个开始信息“Hello”以 便开始一个新的会话连接； 2）服务器根据客户的信息确定是否需要生成新的 主密钥，如需要则服务器在响应客户的“Hello”信 息时将包含生成主密钥所需的信息； 3）客户根据收到的服务器响应信息，产生一个主 密钥，并用服务器的公开密钥加密后传给服务器； 4）服务器恢复该主密钥，并返回给客户一个用主 密钥认证的信息，以此让客户认证服务器。
主讲： 魏旭
组员： 杨博
王必伟
a
王鸿凯 1
源自文库
• SSL协议位于TCP/IP协议与各种应用层协 议之间，为数据通讯提供安全支持。SSL协 议可分为两层： SSL记录协议（SSL Record Protocol）：它建立在可靠的传输 协议（如TCP）之上，为高层协议提供数 据封装、压缩、加密等基本功能的支持。 SSL握手协议 SSL Handshake Protocol）： 它建立在SSL记录协议之上，用于在实际的 数据传输开始前，通讯双方进行身份认证、 协商加密算法、交换加密密钥等。
示出,从而保证了网上交易时的安全.
HTTPS广泛用在网上交易\支付\敏感信
息下载(如电子邮件)等领域
a
10
a
11
安全保护依赖浏览器的正确实现 以及服务器软件、实际加密算法 的支持
a
12
从SSL 协议所提供的服务及其工作流程可以看
出，SSL协议运行的基础是商家对消费者信息保密
的承诺，这就有利于商家而不利于消费者。在电子
参数进行加密。
a
15
伊朗互联网瘫痪事件
a
16
a
17
客户与服务器间的双方认证，在涉及多方的电子交
易中，SSL协议并不能协调各方间的安全传输和信
a
13
任关系。
●拒绝服务攻击
在SSL握手协议过程中，协议的完成取决于 最后握手完成的确认信息的正确性。由于在 发送协议完成消息之前双方都采用明文传送， 攻击者很容易制造出双方都可以接受的消息。
●通信流量分析攻击