安全套接字層（SSL）協議，是對計算機之間整個會話進行加密的協議，它能提供Internet上通信的保密性。該協議允許客戶∕服務器應用程序在通信時，能夠阻止竊聽、報文偽造等安全攻擊。

下面，我們將從通信量分析、主動攻擊、重放攻擊、密碼組回滾攻擊以及中間人攻擊這五種常見的安全攻擊入手，初步分析SSL的抵御攻擊能力。

1．通信量分析

如果常規的攻擊失敗，密碼破譯專家會轉向使用更復雜的攻擊。通信量分析是另外一種被動攻擊，但它經常是惡意攻擊，因此值得一提。通信量分析的目標在于，通過檢查包中未加密的域及屬性，以獲得受保護會話的機密信息。例如，通過檢查未加密的源和目標的IP地址（甚至TCP端口號），或者檢查網絡通信流，一個通信量分析專家可以確定通信各方的通信內容，使用的服務類型，有時甚至還可以獲得有關商業或個兒關系的信息。實際上，用戶大都認為通信量分析的威脅相對來說是無害的，因此SSL不會試圖阻止這種攻擊。忽略通信量分析看來是一種可行的設計方案。

然而在SSL體系結構中，通信量分析仍會造成一些巧妙的威脅。Bennet Yee已經指出，檢查密文的長度會暴露出有關SSL或被SSL加密的網站通信中用到的URL請求的信息。當一個Web瀏覽器通過加密傳輸（如SSL）連接到一臺Web服務器時，包含有URL信息的GET請求會以加密方式進行傳輸。嚴格來說，瀏覽器要下載哪一個頁面，這種信息是保密的——顯然，具有URL方面的知識，對于一個想下載整個網站的人來說，這已經足夠了——而且，通信量分析可以獲得Web服務器的身份信息，請求的URL長度，以及從Web服務器所返回的html數據的長度。這個漏洞往往使得竊聽者能夠發現用戶訪問了哪些Web頁面。

上述弱點之所以出現，是因為密文長度暴露了明文的長度。SSL在塊加密模式中支持隨機填充，而在流加密模式中卻不支持。我們相信，對于所有的加密模式，SSL將會在最小程度上支持任意長度填充的使用，而且會仔細地考慮它在特定應用程序中的需求。

2．主動攻擊

SSL能抵御主動攻擊以安全地保護機密數據，這一點非常重要。當然，所使用的加密算法應該在被選擇明文∕被選擇密文攻擊下是安全的，但這對于加密算法來說還不夠。IETF的IPSEC工作組的最近研究表明，即使所使用的密碼強度足夠，在記錄層上精明的主動攻擊仍能打破系統的保密性。SSL 3.0的記錄層能抵御這些強有力的攻擊：更進一步，為何這些攻擊會被阻止，值得我們討論。

IPSEC中的一個重要的主動攻擊是Bellovin的剪貼攻擊。回想起來，要獲得保密性，光對鏈接進行加密是不夠的——接收端也必須防止敏感數據在無意中被泄露出來。剪貼攻擊的攻擊方式就是謀求接收端的信任，使之對敏感數據進行解密并將這些數據泄露給它們。

SSL 3.0能夠阻止剪貼攻擊。阻止這種攻擊的一種局部性防御策略是為每一個不同的上下文使用獨立的會話密鑰，這樣便能在不同的連接之間，以及連接的不同方向之間阻止剪貼操作。SSL已經為每個連接方向使用了獨立的密鑰。但是，這種機制無法阻止傳輸中一個方向上的剪貼操作。應用最廣泛的防御策略是在所有加密包上使用強大的認證機制，以阻止敵方對密文數據的修改。SSL記錄層確實采用了這種防御策略，因此剪貼操作被完全阻止住了。

另一種主動攻擊是短塊攻擊，它主要針對IPSEC。這種攻擊適用于最后的報文塊包含一個一字節長的明文并且報文塊剩余部分由隨機數填充的情況。在SSL上并沒有明顯的短塊攻擊。SSL記錄層格式與以前的IPSEC格式相當類似，這種格式容易遭到攻擊，因此可以想象，修改性攻擊會對SSL產生威脅。但是，無論如何，由標準SSL加密的Web服務器基本上不會受到短塊攻擊的威脅，因為這些服務器不會經常對短塊進行加密。（但要注意，由SSL加密的telnet客戶端必須得到特殊的保護，以防止短塊攻擊，因為每一次按鍵在傳送時都是一字節長的數據包。）

3．重放攻擊

光靠使用報文鑒別碼（MAC）不能防止對方重復發送過時的信息包。SSL通過在生成MAC的數據中加入隱藏的序列號，來防止重放攻擊。這種機制也可以防止被耽擱的，被重新排序的，或者是被刪除數據的干擾。序列號的長度是64bit，因此打包不會有問題。另外，序列號由每個連接方向分別維護，而且在每一次新的密鑰交換時進行更新，所以不會有明顯的弱點。

4．密碼組回滾攻擊（CipherSuite Rollback attack）

SSL 2.0密鑰交換協議中有一個嚴重的缺陷：主動攻擊者能夠在暗地里迫使一個家庭用戶使用功能被削弱的出口加密算法，即使通信雙方都支持并首選了較高等級的算法。這就是人們所說的密碼組回滾攻擊（CipherSuite Rollback attack），它通過編輯在hello報文中發送的所支持密碼組的明文列表來達到自身的目的。SSL 3.0修正了這個缺陷，它使用一個master_secret來對所有的握手協議報文進行鑒別，這樣一來，便可在握手結束時檢查出敵方的上述行為，如果有必要，還可結束會話。

接著，我們來詳細描述一下SSL 3.0中防止修改握手協議報文的機制。在SSL握手協議中，有幾個常見的弱點，我們將依次進行介紹。

所有初始的握手協議報文在傳送時都是未保護的，此時密鑰交換協議會將當前會話狀態改為未決的會話狀態，而不是修改當前使用中的各個參數。在協商完成之后，通信的每一方都發送一個短的更改密碼規格報文（change cipher spec message），該報文僅僅是警告對方將當前狀態升級為未決的會話狀態。雖然change_cipher_spec報文未受保護，但是新的會話狀態還是將以下一個報文為開始。緊跟在change_cipher_spec報文之后的是結束（finished）報文，它包含了一個報文鑒別碼（MAC），此MAC由被master_secret加密過的所有握手協議報文計算得出。（基于特殊的非安全性因素，change_cipher_spec報文和alert報文在finished報文中沒有進行鑒別。）48字節長的master_secret從未被泄露出去，而且會話密鑰由它產生。這就保證了即使會話密鑰被人截獲，master_secret仍可安然無恙，所以握手協議報文能夠安全的得到鑒別。Finished報文使用新建的密碼組（ciphersuite）對自身進行保護。通信各方只有在收到對方的finished報文并對其進行核實后，才會接收應用層的數據。

5．中間人攻擊（man_in_the_middle attack）

SSL 3.0中包含了對Diffie-Hellman密鑰交換進行短暫加密的支持。Diffie-Hellman是一種公開密鑰算法，它能有效地提供完善的保密功能，對于SSL來說是一個有益的補充。在SSL 3.0 Diffie-Hellman密鑰交換系統中，服務器必須指定模數和原始根（這兩個數均為素數），以及Diffie-Hellman的指數。為了防止服務器端產生的陷門，客戶端應該對模數和原始根進行仔細的檢查，看它們是否為固定公共列表上的可靠數值。在SSL 3.0中，通過對服務器端的Diffie-Hellman指數的鑒別，可以抵御眾所周知的中間人（man-in-the-middle）攻擊。（匿名客戶不必擁有證書。）另外，在SSL 3.0中并不支持具有較高性能的Diffie-Hellman變量，如較小的指數變量（160bit）或橢圓曲線變量。