透析SSL协议安全性，选择合适的网络加密产品

SSL协议提供的安全信道有以下三个特性。

1）私密性：从应用层经过SSL协议的数据，所有的消息都是被加密后才到传输层的。

2）确认性：服务器端是被认证的。

3）可靠性：所有传输的消息都是经过完整性检查的。

SSL安全性分析   

• 算法安全性。

SSL协议v2/v3均支持的算法有rc2、rc4、idea、des、3des等。认证算法采用x.509电子证书标准，使用rsa算法进行数字签名。SSL协议通过使用数字证书来完成客户端和服务器端之间的身份验证。通过SSL握手，双方使用非对称密码体制协商并确定本次对话所要使用的加密算法和会话密钥。这样不仅保证了会话密钥协商过程的安全性，而且又克服了非对称密码加密速度慢的缺陷。SSL协议所提供的混合密码体制，可使SSL使用的加密算法和会话密钥适时的变更。此外，协议还提供完整性的检查，保证数据不被篡改。

• 抵抗重放攻击。

SSL协议使用了序列号，序列号经加密后传输。在每一次握手都使用了一个随机数来标示本次握手，从而阻止了重放攻击。

SSL安全优势

（1）监听和中间人式攻击

SSL使用一个经过通信双方协商确定的加密算法和密钥，对不同的安全级别应用都可找到不同的加密算法，从而用于数据加密。它的密钥管理处理比较好，在每次连接时通过产生一个密码杂凑函数生成一个临时使用的会话密钥，除了不同连接使用不同密钥外，在一次连接的两个传输方向上也使用各自的密钥。尽管SSL协议为监听者提供了很多明文，但由于采用RSA交换密钥具有较好的密钥保护性能，以及频繁更换密钥的特点，因此对监听和中间人式攻击而言，具有较高的防范性。

（2）流量数据分析式攻击

流量数据分析式攻击的核心是通过检查数据包的未加密字段或未加保护的数据包属性，试图进行攻击。在一般情况下该攻击是无害的，SSL无法阻止这种攻击。

（3）截取再拼接式攻击

对需要较强的连接加密，需要考虑这种安全性。SSL V3.0基本上可阻止这种攻击。

（4）报文重发式攻击

报文重发式攻击比较容易阻止，SSL通过在MAC数据中包含“系列号”来防止该攻击。

SSL协议存在的问题

密钥管理问题

设计一个安全秘密的密钥交换协议是很复杂的，因此，SSL的握手协议也存在一些密钥管理问题。SSL的问题表现在：

— 客户机和服务器在互相发送自己能够支持的加密算法时，是以明文传送的，存在被攻击修改的可能。

—  SSL V3.0为了兼容以前的版本，可能降低安全性。

— 所有的会话密钥中都将生成MASTER-KEY，握手协议的安全完全依赖于对MASTER-KEY的保护，因此在通信中要尽可能少地使用MASTER-KEY。

GDCA（数安时代）拥有国内自主签发信鉴易 TrustAUTH  SSL证书以及是国际知名品牌：GlobalSign、Symantec、GeoTrust SSL证书国内金牌代理商，满足各种用户对SSL的各种要求，广大用户可根据自身的需求向GDCA申请合适的SSL证书，GDCA的专业团队将会为您提供最佳的HTTPS解决方案。