SSL安全协议的初级应用及防御测试

2023年11月28日发(作者：)

１５４ 福 建 电脑 ２０１２年第１期

ＳＳＬ安全协议的初级应用及防御测试

陈晓芬

（中国移动宁德分公司福建宁德３５２１００）

【摘 要】：本文详细说明了基于Ｗｉｎｄｏｗｓ Ｓｅｒｖｅｒ ２００３环境下ＳＳＬ安全协议的配置方法，并通过对站

点进行简单的攻击测试来说明ＳＳＬ的安全防护性能。

【关键词】：ＳＳＬ协议配置安全

不久前．各大论坛的泄密事件让人们再次将注意

ＣＡ中心的配置利用了ＷｉｎｄｏＷｓ Ｓｅｎｒｅｒ ２ｏｏ３自带

力集中到了用户信息安全上。当我们畅享网络带给我

的ＩＩＳ进行配置

１安装独立根ＣＡ ２．１．

们便捷生活的同时．我们的网站也面临着前所未有的

安全问题 当前，大部分商业网站都将ＳＳＬ作为保障站

在Ｗｉｎｄｏｗｓ Ｓｅｒｖｅｒ ２００３系统下

点信息安全一项关键技术。

安装ＩＩＳ．同时必须选择安装ＡＳＰ．ＮＥＴ和Ｆｒｏｎｔ—

１、ＳＳＬ简介

Ｐａｇｅｓ Ｓｅｒｖｅｒ Ｅｘｔｅｎｓｉｏｎ

安全套接层（Ｓｅｃｕｒｅ Ｓｏｃｋｅｔ Ｌａｙｅｒ。ＳＳＬ）是目前应用

开始 控制面板－÷添加／删除程序＿÷添加／删除

最广的实现Ｗｅｂ服务器和客户端之间加密通信的安

Ｗｉｎｄｏｗｓ组件

全技术。ＳＳＬ对应用层而言是独立的．因此对应用程序

一【证书服务】

有良好的兼容性。ＳＳＬ采用公钥加密体制和对称加密

出现提示信息界面“安装证书服务后．计算机名

体制的组合进行加密。在正式通话前．使用通信双方数 称和域成员身份将不可再改变”．选择“是 ’。因为ＣＡ

字证书中的公钥进行身份认证．同时确定在会话中使

中心要在Ｉｎｔｅｒｎｅｔ上使用因此不安装域及活动目录．使

用的对称密钥。通信过程中．ＳＳＬ将数据包压缩后加上

用独立ＣＡ

ＭＡＣ尾部．然后进行整体的加密，最后安上相应的ＩＰ

择安装【证书服务ＣＡ】和【证书服务Ｗｅｂ注册支

头进行传输［１１。ＳＳＬ在通信前通过第三方（ＣＡ中心）发 持】，以便客户机通过Ｗｅｂ页面提交数字证书申请

放的证书对服务器和用户的身份进行认证．确认通信

一在四种ＣＡ中心中，选择【独立根ＣＡ】

双方的身份．在通信过程中使用对称密钥．同时兼顾加

一进入公钥／私钥对界面．可以进行的设置包括有

密强度和加密速度。现有ＳＳＬ常用的加密算法包括 加密服务提供程序（ＣＳＰ），散列算法，允许此ＣＳＰ与桌

ＲＣ４、ＲＣ２、ＤＥＡ和ＤＥＳ。加密算法中所需要的密钥则 面交互。密钥长度。使用现有密钥的选项

使用ＭＤ５加密算法产生［２１。 ＣＡ识别界面。要求输入此ＣＡ的公用名称。公用

２、ＳＳＬ的初级应用

名称是申请者查找ＣＡ中心的最有效途径．如福建省

当前，主流的Ｗｅｂ服务器解决方案有三种．分别为

数字安全证书管理有限公司下的福建省ＣＡ中心．负

ＩＩＳ服务器＋ＡＳＰ技术．Ａｐａｃｈｅ服务器系列＋ＰＨＰ技术

责了福建省电子商务活动证书的颁发。在试验中使用

及Ｔｏｍｃａｔ服务器系列＋ＪＳＰ。由于ＩＩＳ（Ｉｎｔｅｒｎｅｔ Ｉｎｆｏｒ－

了公用名称“ｔｈｅｎ”

ｍａｔｉｏｎ Ｓｅｌ＂ｖｅｒ）集成了ＷＷＷ服务器、ＦＴＰ服务器和

Ｇｏｐｈｅｒ服务器．使用ＡＳＰ开发数据库．整体应用较简 ＿＋提示暂停ＩＩＳ服务．选择“是” 完成独立根ＣＡ

单，在企事业单位中使用较多。因此，在这里详细说明

的安装

在Ｗｉｎｄｏｗｓ Ｓｅｒｖｅｒ ２００３环境下，ＳＳＬ的配置方法 安装完成的ＣＡ后．可以通过控制面板 管理工

为了更好的进行试验本文采取虚拟机的方式进行

具／服务，进入服务界面来查看是否正常启动ＣＡ。数字

安装。在真实的服务器（ＩＰ地址为２１１．８０．２０３．２５）中．建 证书服务对应的后台服务名为“Ｃｅｒｔｉｆｉｃａｔｅ Ｓｅｒｖｉｃｅｓ”．

立虚拟机作为实验用服务器 设置虚拟机ＣＡ（ＩＰ地址

如果它在【状态】栏中出现“已启动”，则表示数字证书

为２１１．８Ｏ．２０３．８１）作为颁发数字证书的ＣＡ中心 另外 服务已经正常启动了

在虚拟机Ｗｉｎ２００３（ＩＰ地址为２１１．８０．２０３．８）上安装

确认ＣＡ服务启动后．开始 程序叶管理工具 证

Ｗｅｂ服务器和ＤＮＳ服务器。并新建一个站点．设置站

书颁发机构

点域名为ＷＷＷ．ｍｙｎｅｔ．ＣＯｍ．端１：３号为８０。

一管理目标导航树下就会出现名为“ｃｈｅｎ”的独立

２．１配置独立根ＣＡ

一进入证书数据库设置界面．可选用默认设置

根ＣＡ一下面就出现了４类管理目标：吊销的证书．颁

２０１２年第１期 福建 电脑 １５５

发的证书。挂起的申请，失败的申请。右击“ｃｈｅｎ”的独

完成安装［３１

立根ＣＡ一十属性．就可以对ＣＡ进行各项参数设置。 ２．５浏览器证书的申请与安装

２．２ Ｗｅｂ站点申请数字证书 浏览器证书主要标识了用户个人的身份。申请浏

览器证书的方法如下：

服务器申请证书．需要先在服务器端产生申请文

在浏览器上输入ｈｔｔｐ：／／２１ １．８０．２０３．８１／ｃｅｒｔｓｒｖ，即

件，再提请ＣＡ中心审核。

打开ＩＩＳ＿＋右击ＷＷＷ．属性

ＣＡ中心的申请页面 申请一个证书—Ｗｅｂ浏览器证

书 根据实际情况填写信息．中国的国际代码为ＣＮ．

选择【日录安全性】选项卡，在【安全通信】下选

择【服务器证书】，进入【欢迎使用Ｗｅｂ服务器证书向

如果此时选择下面的【更多选项】，是对浏览器证书的

安全性做一个设置

‘ 导】

＿＋可以选择一个加密服务程序．默认的ＣＳＰ为

在【服务器证书】界面中选择【新建证书】

在【名称和安全性设置】中，选择密钥长度，输入

Ｍｉｃｒｏｓｏｆｔ Ｅｎｈａｎｃｅｄ Ｃｒｙｐｔｏｇｒａｐｈｉｃ Ｐｒｏｖｉｄｅｒ ｖ１．０．建议启

站点名称．这里必须要注意。证书上的名称必须和该站 用强私钥保护。选择该项后，可以配置证书的安全级

点的域名相一致．即如果站点的ＵＲＬ为ｈｔｔｐ：／／ｗｗｗ．

别一在【潜在的脚本冲突】中，选择“是”

ｍｙｎｅｔ．ｅｏｍ。则输入的名称必须为ｗｗｗ．ｍｙｎｅｔ．ｃｏＩｎ。站点

的公用名称只能是站点域名。

一进入【正在创建新的ＲＳＡ交换密钥】页面，选择

【设置安全级别】一如果将默认的安全级别为“中”，改

－＋在【单位信息】中填写单位和部门信息 输入站

为“高”就会弹出【口令设置窗口】，输入密码，这样要使

点的地域信息 选择申请信息的名称和存储路径．默

用这个证书就必须有密码．否则证书无法提交．这样可

认名为ｃｅｒｔｒｅｑ．ｔ）【ｐ确认信息后．完成

以保证自己的证书不会被他人盗用＿÷确定。完成申请。

进入ＣＡ中心，按照刚才的方法。颁发浏览器证书。

内的全部内容 进入ＣＡ中心的证书申请页面：ｈｔｔｐ：Ｈ

ＣＡ颁发证书后。进入ｈｔｔｐ：／／２１１．８０．２０３．８１／ｃｅｒｔｓｒｖ．

２ １ １．８０．２０３．８ １／ｃｅｒｔｓｒｖ

选择【查看挂起的证书申请状态】一【下载相应的Ｗｅｂ

打开生成的ｃｅｒｔｒｅｑ．ｔｘｔ文件．复制包括“——”在

＿＋选择【申请一个证书】一选择【高级证书申请】 浏览器证书】一÷【安装此证书】一在【潜在的脚本冲突】

一【使用ｂａｓｅ６４编码的ＣＭＣ或ＰＫＣＳ＃１０文件提

中，选择“是”．信任这个ＣＡ机构＿完成。

交一个证书申请．或使用ｂａｓｅ６４编码的ＰＫＣＳ＃７文件

右击浏览器一工具－－－＋Ｉｎｔｅｒｎｅｔ选项－÷内容 证

续订一个证书申请】

书－÷个人，可以看到刚才安装的证书，并且可以导出。

一在【保存的申请】中，粘贴上刚才复制的申请信

３、配置过程中的注意事项

息，点击确认提交。这样申请就被挂起。当申请被批准

依照文中的步骤进行配置的过程中。有一些需要

后．只能使用申请证书的计算机和浏览器在１Ｏ天内下

特别注意的地方。

载，如果超过时间，就不能下载申请到的证书了。系统

（１）在服务器端申请证书时，必须注意的是证书必

会提示“您没有挂起的申请”。 须要使用域名进行认证。公用名称必须与站点的域名

２．３ ＣＡ中心颁发数字证书

，

相一致．否则无法申请到可用的证书。下载了错误的证

进入ＣＡ虚拟机．进入证书颁发机构 在＂ｃｈｅｎ”的

书会出现服务器证书无法进行安装的情况 即便强制

独立根ＣＡ下，选择【挂起的申请卜＋在右边的对话框

安装了．那么用户在进入该站点的时候浏览器就会给

中．可以看到刚才挂起的申请 右击申请 出访问提示，提示证书是不安全的。申请正确的证书，

一所有任务 颁发。证书即颁发成功。

２．４在Ｗｅｂ服务器上配置ＳＳＬ

在安装过程是顺利的

（２）如果正常申请到了证书，但计算机找不到下载

当ＣＡ中心颁发证书后．需在申请证书的电脑上用 后的证书，即在进入【欢迎使用Ｗｅｂ服务器证书向导】

同一个浏览器来下载证书 后．不是显示安装挂起证书．而是出现新申请证书时的

进入ｈｔｔｐ：Ｈ２１１．８Ｏ．２０３．８１／ｅｅｒｔｓｒｖ 下载一个ＣＡ

提示。遇到这种情况表示证书没有安装到计算机存储

证书或证书链或ＣＲＬ 器中。可以采取下面的方法．先将证书存储在计算机存

一＋【下载ＣＡ证书】下载自己申请的证书即可，默认

储区中，再执行安装操作。

证书文件名为ｅｅｒｔｎｅｗ．ｃｅｒ

在ＩＩＳ服务器上．选择开始一运行 输入ｍｍｃ。确

安装证书服务器证书先进人ＩＩＳ．右击网站 属

定

性＿＋选择【目录安全性】选项卡，在【安全通信】下选择

一在文件菜单上，选择【添加／删除管理单元卜＋在

对话框中选择【添加】

【服务器证书】，进入【欢迎使用Ｗｅｂ服务器证书向导】

＿÷处理挂起的证书请求并安装证书 在路径和文

在【添加独立管理单元】对话框中，选择【证书】，

件名框内输入证书的存储位置 输入使用的ＳＳＬ端

然后选【添加】

１２１，默认为４４３ 核对证书信息。无误后选择下一步．

在【证书管理单元】对话框中，选择【计算机帐

１５６ 福建 电脑 ２０１２年第１期

户】

一选择【本地计算机：（运行此控制台的计算机）】

完成

左边部分是Ｓｎｉｆｆｅｒ自动生成的译文．右边的抓取到的

十六进制原文。

一关闭【添加独立管理单元】＿÷【添加／删除管理单

元】选择确定

一在控制台的左窗格中，双击【证书（本地计算机）】

３ 冀 琵

ｍ 目 １ ｜＿ ，

笈汀聃髓Ｈ格讨牡Ｈ 静∞垃∞：，

艄 篇嚣霞昭 托＂谨 ∞耱鸽冀∞

翦翦鞠辑督靠“绉盯辑辅盯秘ＩＩ缸硅

＂蓝Ｉ‘嚣髓嚣铬碍”晦 打和挺

稽５ｌ醚薯嚣ｔ，柚６ｌ缱∞付！Ｉ前啦格

ｉ奉 Ｅｔ瑚埘枞 ・酏 Ｉ』晡 ．巍竹，－， 灿：

“： ８－‘，＞ ｎ

枷ｉ ‘ｄ”：ｈｔ ｌｍｌｌ 啪ｌ ． 啦

警 嚣虢《 ＾。 “

ｑｔｔ￣ｔｔ） 稚越诂Ｈ伯瞄萜冀置髓＂辑奸ｎ

＾ｊ．●。Ｉ．０ ． Ｊ 笛瓤抽岛嚣嚣鸷椎∞ 髓 甚Ｗ 特

琦站稳卵 盯住姓嚣嚣嚣箝 ∞∞笃

＊瞽让 订碍姆甜啦“ 艟 茁Ｈ

强控疆∞ ∞ 尊协≈５ｌ醒强譬 鸭

一右键单击【个人】，指向【所有任务】，单击【导入】

一进入“欢迎使用证书导入向导”页 【浏览】，找到相

应的证书文件

如果证书有密码．在“密码”页上键入密码 接下来对网站启用ＳＳＬ，并使用１２８位加密。设定

鼢 蓝 蕊 许穗Ｈ强汀诏ｔ抽∞舒。 ｎ辑取 辞缱“皓健’５ｌ耻 譬射∞辑科嚣盘＂ 篮麓虻抖盯错蜢‘ 托 辑饵

瓣 ： 意 ｒ 晦Ｈ 嚣《“Ｔ｜罅 馨粥蹲住３ 船鞠｝ｇ∞罅 辞 酷甘 ｎ投挑藿 他靶

图２ ＨＴｒＰ协议下截获的用户名和密码

ｆｆｅｒ的抓包条件为ＩＰ地址设置为２ｌ１．８０．２０３．８．端 Ｓｎｉ

一在【证书存储】中，选择【将所有的证书放入下列

存储】 完成。这样再执行上面的安装操作就可以进入 口为４４３，忽略广播包，执行登录过程，可以看到，虽然

正常安装界面了。右击ＩＥ一属性一证书下．就可以在

可以抓取到数据包．但是大部分数据包都只是在确认

相应的存储区域看到我们导入的证书。 通信还在正常进行。包含通信数据的数据包都是经过

４、简单的防御攻击测试 加密。如图３所示。Ｓｎｉｆｆｅｒ已经无法进行初步破解。

在Ｗｅｂ站点中启用ＳＳＬ安全协议就是为用户数据

建立一条安全通道。保护用户数据安全。本文使用嗅探

器对Ｗｅｂ站点进行抓包攻击，来验证其安全性。嗅探

器可以抓到所在网络的所有数据包．并进行简要的分

析。首先。设置抓取条件为只关注ＩＰ为２ｌ１．８０．２０３．８，

璐≈∞∞ ‘≈ｔ日 Ｈ蕾＊＊

酶口《ａ ０ｔ 甘ｅ＝ ＊＊对∞∞∞＊

Ｈ砷 口■ｔ＃●＾ 曩 骨“■＊

毗 啦麓蹦—旃钠 ｌ隐嬲 哩疆 辩堕霁挚｜鳖舡 孵糍嗍 ■博帮珏 抽ｑ 冀＃女鲁 盆Ⅱ 嚣翻ｐ辩蓐琚＃￡“拈口＃口４ｎ ≈■ ＃＊雎 ■■口耳｛ａ，￡ ｎ ∞ｒｔｎｍ口 口ｔ

辩砑ａ４∞＃ ＊ ，，目ｔ ，

麓∞辟＃ｇｔ≈ｎ ∞ＨⅡＥｉ口ｎ

譬 锋∞ｈ■Ｕｑ日＊“６ 蕈

鍪 ％ 嚣ｔ砖 ｎＨ墨 “

船 ＊口ａ辑 褂 堪 ｔ ≈ｔ

船Ｂ≈∞ ， 采尊犯ａ ＃￡

珏 ｊｌＨｎ＃Ｈｎ麓＃璋碡 蕾缸尊

ａ嚣窜Ｈ ｌ＾＊，曲Ｈｔ： ∞霉■

设置端ｌＺｌ为８Ｏ的ＴＣＰ包，忽略广播包。在Ｈ，Ｉ，Ｉ’Ｐ协议

图３ ＳＳＬ协议下获取到的通信数据包

下。对站点执行用户登录功能。从通信的数据包中，我

们可以很快找到网页的相关信息。如版本，协议，Ｃｏｏｋ．

５、总结

ＳＳＬ协议通过第三方认证来确认通信双方的身份．

ｉｅ等。这些内容都使用明文显示．如图ｌ所示

，簟●■Ｉｔ，－ｌ ，＿Ｉ■刊峨．｜ 藿ｔ重瓤耵Ｔｒ，｛ ｌ

墨 口口蛙 ＊ ＊Ｈ¨Ｈ∞ ■

鼢：； ｊ 滟。 络 盘：． ｊ’－‘

＾≈罐●聱ｔ Ｌ ●ｊ ｔＩ 啼

Ｃ 鼻矗

蓐 窖｛ ＿ ｒ—ｌ＾ ｔ 曩・＃ｔ ｌ＾，‘ ａ ．＇＿峰★¨ ＿； ；ｌ：蓐毒 ｏ； ｊ旆 ■村

会话过程中使用会话密钥加密．使得整个通信过程较

为安全。同时又兼具良好的适应性，使得这项技术得到

了广泛应用。ＳＳＬ作为一种应用广泛的安全协议，未来

的发展前景广阔。

参考文献：

【１］雷震甲．网络工程师教程（第三版）【Ｍ】．北京：清华大学出版社．

２００９：Ｉ－２，２５０－２７６．

督ｌｉｃｉｔ・ 气・ｌ －Ｉ事：‘枉 ４，ｌ＇ｆｔｌ，￣ｏ

ｌ 期瞄Ｃｔ囊ｌ ｌ雄 ＇

《 ‘■ｈ：嚣■■’ ＾ ｔ ● Ｃ州

辩●■ｔ：聋ｌｌ，曲 ：Ｉ∞ 尊

搴■ 幅 缸 ｔ蕾 ．１

Ｃ＇ ｔ ：

＾霉辑‘糊 嘲尊‘掌，黼麟鞫ｃＩ哺嘲” Ｉ１ ｌ軎尊ａ０辨扫 露豫ｌ铀睁 辅婚鳅¨蝴 Ｉｌｌ２簪《

罅善焖帕罐｝辩Ｍ端拳ａ脯 剥ｒＪ艄ｌ＇嚣 ｔＩ ｌＩｌ釉 ■ ｒ｜ 韩．ｊｌ晴露 喇翻辅ｌ，肇ｌ一

＾＾ ｌ， 器

图１针对Ｈ１］ 协议的抓包攻击结果

２］董智鹏．ＳＳＬ协议的初步研究和应用Ⅱ】．仪器仪表与分析监测， 【

在网页登录用户的用户名和密码也都可见．Ｓｎｉｆ－

ｆｅｒ本身解码功能不全面，无法正确读出，但也已经为

［３］Ｄａｖｉｄ Ｇｅｅｒ．Ｔａｋｉｎｇ Ｓｔｅｐｓ ｔｏ Ｓｅｃｕｒｅ Ｗｅｂ Ｓｅｒｖｉｃｅｓ．Ｔｅｃｈｎｏｌｏｇｙ

我们准确定位了用户名和密码的位置．及其对应的十

２０１０。２：１５－２０． ’

六进制原文，使用解码工具就可以读出密文。如图２，

ｆ上接第１７１页１

育．２００３（０３）：５４—５６．７９．

科学版）．２００４，３１（Ｓ１）：７８－８０．

程教育杂志．２００７（０５）：４２－４４．

Ｎｅｗｓ［Ｊ】，２００３，１０：１４—１６．

【１０］Ｈｅｒｒｅｒａ Ｆ，Ｍａｒｔｉｎｅｚ Ｌ．Ａ ２－ｔｕｐｌｅ ｆｕｚｚｙ ｌｉｎｇｕｉｓｉｔｃ ｒｅｐｒｅｓｅｎｔａｔｉｏｎ

ｔｉｏｎｓ ｏｎ．２０００，８（６）：７４６—７５２．

【４】卫颖．高中信息技术课学习评价研究Ｕ】．山西师大学报（社会

ｍｏｄｅｌ ｆｏｒ ｃｏｍｐｕｔｉｎｇ ｗｉｔｈ ｗｏｒｄｓ［￣］．Ｆｕｚｚｙ Ｓｙｓｔｅｍｓ．ＩＥＥＥ Ｔｒａｍａｃ—

ｆ５１乔维德．基于ＡＨＰ的信息技术与课程整合教学能力评价Ｈ１．远

【１１］－￣雁冰．课程评价论［Ｍ】．上海教育出版社，２００２．４０—５６．

【１２】陈玉琨．课程改革与课程评价【Ｍ】．教育科学出版社。２００１．

１０２－１１０．

『６丁霁明，王家庆．基于灰关联度的信息技术与课程整合的教学 ６１

Ｍ１．教育科学出版 ｎ３１闫寒冰．信息化教学评价：量规实用工具ｆ

过程评价的研究［Ｊ１．安徽职业技术学院学报．２００７，６０４）：６６—７０．

ｒ７１杨仙锋．电子档案袋评价在高中信息技术课中的应用与研究

社。２００３．９０－９８．

Ｕ】．山西师范大学学报（自然科学版）．２００８，２２（Ｓ１）：１１２—１１３．

［１４】姜艳萍，樊治平．基于二元语义符号运算的群决策方法Ⅱ］．系

『８刘象超。张义兵，８１郭振．ＡＨＰ在信息技术与课程整合教学评价 统工程与电子技术．２００３，２５（０１１）：１３７３－１３７６．

中的应用【ｌ１．继续教育研究．２００８，４０—４２（１２）．

模型ｍ．中国电化教育．２００９（０５）：４２～４７．

【１５】姜艳萍，樊治平．二元语义信息集结算子的性质分析Ｕ】．控制

『９１谢忠新．基于系统视角的学校信息技术与课程整合ＥＩＰＯ评价 与决策．２００３．１８（００６）：７５４－７５７．