支付宝安全协议分析
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
●拒绝服务攻击 握手协议过程中, 在SSL握手协议过程中,协议的完成取决于 握手协议过程中 最后握手完成的确认信息的正确性。 最后握手完成的确认信息的正确性。由于在 发送协议完成消息之前双方都采用明文传送, 发送协议完成消息之前双方都采用明文传送, 攻击者很容易制造出双方都可以接受的消息。 攻击者很容易制造出双方都可以接受的消息。 ●通信流量分析攻击 检查未经加密的IP源和目的地址或观察网络 检查未经加密的 源和目的地址或观察网络 流量状况,就可推测会话双方的身份、 流量状况,就可推测会话双方的身份、正在 使用何种服务。针对SSL协议,流量分析攻 协议, 使用何种服务。针对 协议 击的关键是得到密文的长度。因为SSL协议 击的关键是得到密文的长度。因为 协议 加密体制得到的密文结果都是近似准确的。 加密体制得到的密文结果都是近似准确的。
(一)服务器认证阶段
1)客户端向服务器发送一个开始信息“Hello” )客户端向服务器发送一个开始信息“ ” 以便开始一个新的会话连接; 以便开始一个新的会话连接; 2)服务器根据客户的信息确定是否需要生成新 ) 的主密钥,如需要则服务器在响应客户的“ 的主密钥,如需要则服务器在响应客户的“Hello” ” 信息时将包含生成主密钥所需的信息; 信息时将包含生成主密钥所需的信息; 3)客户根据收到的服务器响应信息,产生一个 )客户根据收到的服务器响应信息, 主密钥, 主密钥,并用服务器的公开密钥加密后传给服务 器; 4)服务器恢复该主密钥,并返回给客户一个用 )服务器恢复该主密钥, 主密钥认证的信息,以此让客户认证服务器。 主密钥认证的信息,以此让客户认证服务器。
安全保护依赖浏览器的正确实现 以及服务器软件、 以及服务器软件、实际加密算法 的支持
从SSL 协议所提供的服务及其工作流程可以看 出,SSL协议运行的基础是商家对消费者信息保密 协议运行的基础是商家对消费者信息保密 的承诺,这就有利于商家而不利于消费者。 的承诺,这就有利于商家而不利于消费者。在电子 商务初级阶段, 商务初级阶段,由于运作电子商务的企业大多是信 誉较高的大公司,因此这问题还没有充分暴露出来。 誉较高的大公司,因此这问题还没有充分暴露出来。 但随着电子商务的发展,各中小型公司也参与进来, 但随着电子商务的发展,各中小型公司也参与进来, 这样在电子支付过程中的单一认证问题就越来越突 虽然在SSL3.0中通过数字签名和数字证书可实 出。虽然在 中通过数字签名和数字证书可实 现浏览器和Web服务器双方的身份验证,但是 服务器双方的身份验证, 现浏览器和 服务器双方的身份验证 但是SSL 协议仍存在一些问题,比如, 协议仍存在一些问题,比如,只能提供交易中客户 与服务器间的双方认证,在涉及多方的电子交易中, 与服务器间的双方认证,在涉及多方的电子交易中, SSL协议并不能协调各方间的安全传输和信任关系。 协议并不能协调各方间的安全传输和信任关系。 协议并不能协调各方间的安全传输和信任关系
(
二)用户认证阶段
经认证的服务器发 送一个提问给客户, 送一个提问给客户, 客户则返回(数字) 客户则返回(数字) 签名后的提问和其 公开密钥, 公开密钥,从而向 服务器提供认证
https的安全基础是 的安全基础是SSL,将SSL/TLS 的安全基础是 , 加密和认证功能融入到HTTP协议里面 协议里面, 加密和认证功能融入到HTTP协议里面, 在信息传送前先通过SSL/TLS协议加 在信息传送前先通过 协议加 收到的信息会先被浏览器解密,再显 密,收到的信息会先被浏览器解密 再显 收到的信息会先被浏览器解密 示出,从而保证了网上交易时的安全 从而保证了网上交易时的安全. 示出 从而保证了网上交易时的安全 HTTPS广泛用在网上交易 支付 敏感信 广泛用在网上交易\支付 广泛用在网上交易 支付\敏感信 息下载(如电子邮件 如电子邮件)等领域 息下载 如电子邮件 等领域
主讲: 主讲: 魏旭 组员: 组员: 杨博 王必伟 王鸿凯
• SSL协议位于 协议位于TCP/IP协议与各种应用层协 协议位于 协议与各种应用层协 议之间,为数据通讯提供安全支持。 议之间,为数据通讯提供安全支持。SSL协 协 议可分为两层: 记录协议( 议可分为两层: SSL记录协议(SSL 记录协议 Record Protocol):它建立在可靠的传输 ):它建立在可靠的传输 ): 协议(如TCP)之上,为高层协议提供数 协议( )之上, 据封装、压缩、加密等基本功能的支持。 据封装、压缩、加密等基本功能的支持。 SSL握手协议 SSL Handshake Protocol): 握手协议 ): 它建立在SSL记录协议之上,用于在实际的 记录协议之上, 它建立在 记录协议之上 数据传输开始前,通讯双方进行身份认证、 数据传输开始前,通讯双方进行身份认证、 协商加密算法、交换加密密钥等。 协商加密算法、交换加密密钥等。
伊朗互联网瘫痪事件
安全套接层协议:Secure Socket Layer(SSL) 身份认证、 身份认证、协商加密算 法、交换加密密钥等
来自百度文库
数据封装、压缩、 数据封装、压缩、 加密等
(一)认证用户和服务器
确保数据发送到正确的客户机和服务器
(二)加密数据
防止数据被窃取
(三)维护数据完整性
确保数据在传输过程中不被改变
密钥交换算法欺骗攻击
在握手过程中, 在握手过程中,服务器需要向客户发送它的 公钥信息。 公钥信息。这个公钥信息包含在服务器的证 书消息之中。 书消息之中。由于这个消息中的算法域没有 进行完整性保护,因此攻击者可以“合理’ 进行完整性保护,因此攻击者可以“合理’ 篡改算法域, 篡改算法域,使客户使用错误的加密算法对 参数进行加密。 参数进行加密。