SSL协议的安全性研究

1 引言

随着计算机网络技术的飞速发展，信息时代的人们对Internet的依赖性越来越大。当今时代，电子商务和电子政务的应用越来越广泛，然而网络安全问题严重束缚了计算机网络的进一步应用。安全套接层SSL(Secure Sockets Layer)协议是由Netscape公司设计开发的安全协议，主要用于加强应用程序之间的数据的安全性。SSL协议是基于Web应用的安全协议，它采用了RSA算法、RC4—128、RC一128、三重DES算法和MD5等加密技术实现两个应用层之间的机密性、可靠性和数据完整性，并采用X．509数字证书实现鉴别，其加密的目的是建立一个安全的通讯通道，而且该通道可在服务器和客户机两端同时实现支持。

2 SSL协议简述及相关概念

SSL协议用来建立一个在客户和服务器之间安全的TCP连接，尤其可被用来认证服务器，可选地认证客户，执行密钥交换，提供消息认证，而且还可以完成在TCP协议之上的任意应用协议数据的完整性和隐蔽性服务。SSL为在Internet上安全地传送数据提供了一介加密通道，建立一个安全连接，主要实现以下工作：加密网络上客户端和服务器相互发送的信息；验证信息在传送过程是否安全完整：运用非对称密钥算法验证服务器；验证客户身份；交换应用层数据。

2.1 SSL---安全套接层协议。

是由Netscape设计的一种开放性协议，它提供了一种介于应用层和传输层之间的数据安全套接层协议机制。SSL位于TCP/IP协议与各种应用层协议之间，为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。其目的是为客户端（浏览器）到服务端之间的信息传输构建一个加密通道，此协议是与操作系统和Web服务器无关的。

2.2 SSL协议可分两层：

2.2.1 SSL记录协议：

它建立在可靠的传输协议（如TCP）之上，位于SSL协议的底层，为高层协议提供数据封装、压缩、加密等基本功能的支持。在SSL中，所有数据被封装在记录中，SSL握手协议中的报文，要求必须放在一个SSL记录协议层的记录里，但应用层协议的报文，允许占用多个SSL记录来传送

(1) SSL记录头格式

SSL记录头可以是2个或3个字节长的编码。SSL记录头包含的信息有记录头的长度、记录数据的长度，以及记录数据中是否有填充数据，其中填充数据是在使用块加密（blocken-cryption）算法时，填充实际数据，使其长度恰好是块的整数倍。最高位为1时，不含有填充数据，记录头的长度为2个字节，记录数据的最大长度为32767个字节；最高位为0时，含有填充数据，记录头的长度为3个字节，记录数据的最大长度为16383个字节。

SSL记录层结构如图1所示。

 

图1  SSL记录层结构

当数据头长度是3个字节时，次高位有特殊的含义。次高位为1时，表示所传输的记录是普通的数据记录；次高位为0时，表示所传输的记录是安全空白记录（被保留用于将来协议的扩展）。

记录头中数据长度编码不包括数据头所占用的字节长度。记录头长度为2个字节时，记录长度的计算公式为：记录长度=（（Byte[0]&0x7f）<<8）|Byte[1]。其中Byte[0]、Byte[1]分别表示传输的第一个、第二个字节。

记录头长度为3个字节时，记录长度的计算公式是：记录长度=（（Byte[0]&0x3f<<8））

Byte[1]。其中Byte[0]、Byte[1]的含义同上。判断是否是安全空白记录的计算公式是：（Byte[0]&0x40）！=0。填充数据的长度为传输的第三个字节。

(2) SSL记录数据格式

SSL记录数据部分有3个分量：MAC-DATA、ACTUAL-DATA和PADDING-DATA。

MAC数据用于数据完整性检查。计算MAC所用的散列函数由握手协议中的CIPHER-CHOICE消息确定。若使用MD2和MD5算法，则MAC数据长度是16个字节。MAC的计算公式为：MAC数据=Hash[密钥, 实际数据, 填充数据, 序号]。

当会话的客户端发送数据时，密钥是客户的写密钥（服务器用读密钥来验证MAC数据）；而当会话的客户端接收数据时，密钥是客户的读密钥（服务器用写密钥来产生MAC数据）。序号是一个可以被发送和接收双方递增的计数器，每个通信方向都会建立一对计数器，分别被发送者和接收者拥有。计数器有32位，计数值循环使用，每发送一个记录，计数值递增一次，序号的初始值为0。

ACTUAL-DATA是被传送的应用数据，PADDING-DATA是当采用分组码时所需要的填充数据，在明文传送下只有第二项。

(3) 记录协议的作用

记录协议层封装了高层协议的数据，协议数据采用SSL握手协议中协商好的加密算法及MAC算法来保护。记录协议传送的数据包括一个序列号，这样就可以检测消息的丢失、改动或重放。如果协商好了压缩算法，那么SSL记录协议还可以执行压缩功能。

SSL V3版的高层由记录传递的消息组成，这包括改变密码规范协议、警报协议和握手协议。改变密码规范协议指明对使用的密码规范的改变，协议中还包括了一个用当前密码规范加密的单独消息。客户和服务器都要发送改变密码规范消息来表明它们准备使用一个新的密码规范和密钥。警报协议传送与事件相关的消息，包括事件严重性及事件描述。这里的事件主要是指错误情形，如错误的MAC码、证书过期或是非法参数。警报协议也用于共享有关预计连接终止的信息。

2.2.2 SSL握手协议：

SSL中最复杂的部分，它建立在SSL记录协议之上，用于在实际的数据传输开始前，在会话状态下产生所需要的各种安全参数，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

2.3 SSL协议的作用

SSL是提供Internet上的通信隐私性的安全协议。该协议允许客户端/服务器应用之间进行防窃听、防消息篡改及防消息伪造的安全的通信。TCP/IP是整个Internet数据传输和通信所使用的最基本的控制协议，在它之上还有HTTP（Hypertext Transfer Protocol）、LDAP（Lightweight Directory Access Protoco1）、IMAP（Internet Messaging Access Protocol）等应用层传输协议。而SSL是位于TCP/IP和各种应用层协议之间的一种数据安全协议（如图2所示）。SSL协议可以有效地避免网上信息的偷听、篡改及信息的伪造。

图2  SSL协议的位置

SSL标准的关键是要解决以下几个问题。

（1）客户对服务器的身份确认：SSL服务器允许客户的浏览器使用标准的公钥加密技术和一些可靠的认证中心（CA）的证书，来确认服务器的合法性（检验服务器的证书和ID的合法性）。对于用户服务器身份的确认与否是非常重要的，因为客户可能向服务器发送自己的信用卡密码。

（2）服务器对客户的身份确认：允许SSL服务器确认客户的身份，SSL协议允许客户服务器的软件通过公钥技术和可信赖的证书来确认客户的身份（客户的证书）。对于服务器客户身份的确认与否是非常重要的，因为网上银行可能要向客户发送机密的金融信息。

（3）建立起服务器和客户之间安全的数据通道：SSL要求客户和服务器之间所有的发送数据都被发送端加密，所有的接收数据都被接收端解密，这样才能提供一个高水平的安全保证。同时SSL协议会在传输过程中检查数据是否被中途修改。

2.4 SSL协议的目标

按它们的优先级，SSL协议的目标如下。

（1）在通信双方之间利用加密的SSL消息建立安全的连接。

（2）互操作性。通信双方的程序是独立的，即一方可以在不知道对方程序编码的情况下，利用SSL成功地交换加密参数。

 注意：并不是所有的SSL实例（甚至在同一应用程序内）都可以成功地连接。例如，如果服务器支持一特定的硬件令牌（token），而客户端不能访问此令牌，则连接不会成功。

（3）可扩展性。SSL寻求提供一种框架结构，在此框架结构中，在不对协议进行大的修改的情况下，可以在必要时加入新的公钥算法和单钥算法。这样做还可以实现两个子目标：

— 避免产生新协议的需要，因而进一步避免了产生新的不足的可能性；

— 避免了实现一完整的安全协议的需要。

相对于有效性加密操作，尤其是公钥加密，对CPU来说是一种很耗时的事，因此SSL协议引入一个可选的对话缓存（Cache）来减少从头开始的连接数目。同时，它还注意减少网络的活动。

3 SSL协议工作原理

SSL协议用来建立一个在客户和服务器之间安全的TCP连接，尤其可被用来认证服务器，可选地认证客户，执行密钥交换，提供消息认证，而且还可以完成在TCP协议之上的任意应用协议数据的完整性和隐蔽性服务。SSL为在Internet上安全地传送数据提供了一介加密通道，建立一个安全连接，主要实现以下工作：加密网络上客户端和服务器相互发送的信息；验证信息在传送过程是否安全完整：运用非对称密钥算法验证服务器；验证客户身份；交换应用层数据。基本步骤如下：

   （1）客户端服务器发送一个开始信息以便开始一个新的会话连接，协商传送加密算法。例如：告知服务端，客户端自己的对称加密算法有DES、RC5，自己的密钥交换算法有RSA和DH，摘要算法有MD5和SHA。

   （2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的信息时将包含生成主密钥所需的信息，并发送服务器数字证书。例如：告知客户端，服务器就使用DES-RSA-MD5这对组合进行通讯，为了证明“我”确实是服务器，现在就发送“我”的数字证书给客户端，以便于验证服务器的身份。

（3）客户端根据收到的服务器响应信息，检查服务器的数字证书是否正确，通过CA机构颁发的证书及CA的公钥对服务器证书进行解密，获得服务器公钥，然后产生一个主密钥，并用服务器的公钥加密后传给服务器。例如：服务器，“我”已经确认了你的身份，现在把我们本次通讯中的密钥发送给你。

（4）服务器使用自己的私钥解密该消息，然后生成会话密钥，接着使用服务器公钥加密，再发送给客户端。这样，服务器和客户端都拥有了会话密钥。例如：客户端，“我”已经获取了密钥，我们可以开始通信了。

服务器和客户端使用会话密钥来加密和解密传输的数据。它们之问的数据传输的是对称加密。

一般情况下，当客户端是保密信息的传递者时，不需要数字证书验证自己身份的真实性，如电子银行的应用，客户需要将自己的账号和密码发送给银行，因此银行的服务器需要安装数字证书来表明自己身份的有效性。但在某些B2B应用中，服务器端也需要对客户端的身份进行验证，这时客户端也需要安装数字证书以保证通讯时服务器可以辨别出客户端的身份，验证过程类似于服务器身份的验证过程。

4 SSL握手过程

SSL用公钥加密算法使服务器端在客户端得到验证，并传递对称密钥。然后再用对称密钥来更快速地加密、解密数据。

以下为具体过程：

（1）客户端向Server端发送客户端SSL版本号、加密算法设置、随机产生的数据和其他服务器需要用于根客户端通信的数据。

（2）服务器向客户端发送服务器的SSL版本号、加密算法设置、随机产生的数据和其他客户端需要用于根服务器通信的数据。另外，服务器还有发送自己的证书，如果客户端正在请求需要认证的信息，那么服务器同时也要请求获得客户端的证书。

（3）客户端用服务器发送的信息验证服务器身份。如果认证不成功，用户就将得到一个警告，然后加密数据连接将无法建立。如果成功，则继续下一步。

（4）用户用握手过程至今产生的所有数据，创建连接所用的密钥，用服务器的公钥加密，传送给服务器。

（5）如果服务器也请求客户端验证，那么客户端将对另外一份不同于上次用于建立加密连接使用的数据进行签名。在这种情况下，客户端会把这次产生的加密数据和自己的证书同时传送给服务器用来产生Premaster Secret。

（6）如果服务器也请求客户端验证，服务器将试图验证客户端身份。如果客户端不能获得认证，连接将被中止。如果被成功认证，服务器用自己的私钥加密建立连接所用的密钥，然后执行一系列步骤产生主密钥。

（7）服务器和客户端同时产生会话密钥，之后的所用数据传输都用对称密钥算法来交流数据。

（8）客户端向服务器发送信息说明以后的所有信息都将用会话密钥加密。至此，它会传送一个单独的信息标示客户端的握手部分已经宣告结束。

（9）服务器也向客户端发送信息说明以后的所用信息都将用会话密钥加密。至此，它会传送一个单独的信息标示服务器端得握手部分已经宣告结束。

（10）SSL握手过程结束，一个SSL数据传送过程建立。客户端和服务器开始用会话密钥加密、解密双方交互的所用数据。

5 SSL的安全威胁及解决方案

SSL协议在服务器与客户之间建立了一条安全通道，保证了在互联网上通信的保密性，但它也不是绝对安全的，SSL协议存在一定的缺陷和漏洞。

5.1通信业务流攻击

5.1.1攻击原理

通信业务流攻击试图通过检查未保护的包的某些域或会话属性，发现有价值的信息。例如，通过检查没有经过加密的IP包的源地址、目标地址、TCP端口等内容，能够获得有关通信双方的IP地址、正在使用的网络服务等信息，在某些特定情况下，甚至可以获得有关商业或个人关系方面的信息，当然这些信息是有价值的。而在SSL协议中记录头中如记录长度等信息没有被保护，这是潜在的隐患。攻击者通过检查通信业务流中密文信息的长度，有可能发现Web通信中URL请求的相关信息，当浏览器连接到Web服务器时，浏览器发送的包含URL的G盯请求数据包是加密的，Web服务器返回的Web页也是加密的，但是通信业务流攻击，攻击者可以得到Web服务器的IP地址、URL请求的长度和返回的Web页面长度等信息，这些信息足以使攻击者发现用户访问的是什么Web页面。因为，目前高级的Web搜索引擎技术能够在可以公开访问的Web服务器上，搜索到给定URL长度和Web页面长度的页面。这种攻击能够成立的原因是密文长度揭露了明文信息的长度。由于SSL协议只对分组密码算法有填充机制，而对于流密码算法该协议是不支持的，所以这种潜在的可能性攻击还需要引起我们的重视。

5.1.2解决策略

该攻击仅仅是描述了一种潜在的可能性，能够攻击成功还需要许多前提条件。但是，这种潜在的可能性应当引起注意，在具体应用过程中尽量避免。SSL协议无法抵抗通信业务流攻击，而且以SSL协议为基础的传输层安全协议TL S协议仍然不能抵抗这种攻击，这是由于协议的设计目标和其所处的网络层次结构决定的。在TL S协议中也没有作出改进，只是在文档中强调了协议的设计目标和这种攻击的危险性，告诫协议的应用者不能在未保护的通信业务流中暴露机密信息。对于通信业务流攻击，只能通过应用者的谨慎，尽量避免泄漏有关重要信息。

5.2密钥交换算法欺骗

5.2.1攻击原理

在有些情况下，服务器用Server Key exchange消息来交换密钥，并用自己的长期有效的证书为临时的公开参数签名，同时发给客户，客户使用这些公开参数和服务器交换密钥，获得共享的主密钥。SSL协议规定可以使用RSA算法和Diffie-Hellman等多种密钥交换算法，但KeyExchange Algorithm这个域并不包含在服务器对公开参数的签名内容中，这样攻击者可以滥用服务器对DH参数的签名来欺骗客户，使之认为服务器发送了对RSA参数的签名，攻击者使用Cipher Suite回转攻击(在交换finished消息之前攻击者就能够通过后继的攻击获得所有秘密，所以能够伪造finished消息，则该攻击是能够获得成功的)，使服务器使用临时的DH密钥交换，而客户使用临时的RSA密钥交换，这样，DH的素数模p(dh—p)和生成因子g(dh—g)将被客户理解为RsA的模p(rsa—modulus)和指数g(rsa—exponent)。那么，客户将使用假的RSA参数加密主密钥发送给服务器。攻击者截获RsA加密的值gkmod p，因为p是素数，所以可以容易地求出其第g个根，从而恢复出主密钥的PKCS编码k。在消息交换的最后，客户的主密钥值为k，服务器的值为gxy mod p，这里的x是攻击者任意选择的。这样，主密钥就被泄露给攻击者了，则以后的所有消息交换过程都可以被攻击者伪造，协议不再有任何安全性可言。

5.2.2解决策略

这种安全缺陷也可以通过协议实现者的特殊处理加以避免，协议应用者需要在接收到key exchange消息时仔细检查公开参数域的长度，就能够区分所使用的密钥交换算法，如DES算法密钥长度为40bit从而避免这种攻击。

5.3 Change Cipher Spec消息丢弃

5.3.1攻击原理

SSL握手协议中有一个小的漏洞，那就是在finished消息中没有对change cipher spec消息的认证保护。从而存在一种潜在的攻击方法——丢弃change cipher spec消息。在正常的通信情况下，双方的通信流程如下：

(1)C->S：[change cipher spec]

(2)C->S：[finished]{a}k

(3)S->C：[change cipher spec]

(4)S->C：[finished]{a}k

(5)C->S：{m}k

但存在一种特殊的情况，在这种情况下，中间人M(man—in—the—middle—attack)采取change cipher spec消息丢失攻击，这种攻击的前提是当前的Cipher Suite不作MAC保护；未决的Cipher Suite不作加密，作MAC保护，那么攻击的消息流如下：

(1)C->M：[Change Cipher Spec]

(2)C->M：[finished]{a}k

(3)M->S：[finished]a

(4)S—>M：[change cipher spec]

(5)S—>M：[finished]a

(6)M->C：[finished]a

(7)C->M：{m}k

(8)M->S：m

其中{*}k表示记录层协议对数据进行加密保护；m表示明文的应用数据；n表示finished消息中的认证码，是对所有握手消息进行MAC计算结果(但不包括Change Cipher Spec消息的认证)。从以上过程可以看出，在接收到Change Cipher Spec消息之前，当前的Cipher Suite不加密，不作Mac保护，直到收到Change Cipher spec消息之后，记录层才开始对通信数据进行加密和完整性保护。假如只对密码族进行认证而从不加密，这样中间人攻击者将窃取并删除Change Cipher Spec消息，致使通信双方将不再更新当前的密码族(Cipher Suite)，即不再对传递的数据作MAC认证和加密。由于商定的密码族不起作用，这样协议失去了对数据的认证能力，从而中间人攻击者在通信双方不知道的情况下，可以任意修改会话数据。

5.3.2解决策略

将Change Cipher Spec假如到Finished消息的消息认证计算中，这样才符合认证协议的上下文原则。当然，也可以不修改协议的基本框架，在发送Finished消息之前要求收到Change Cipher Spec的消息，否则引起协议的致命错误并会中断连接，这实际上是协议实现者对SSL协议缺陷的弥补工作。

5.4 证书攻击和窃取

5.4.1攻击原理

公共CA机构并不总是很可靠的，因为对于用户的证书，公共CA机构可能不像对网站数字证书那样重视和关心其准确性。由于微软公司的¨S服务器提供了“客户端证书映像”功能，用于将客户端提交证书的名字映射到NT系统的用户帐号，在这种情况下，攻击者就有可能获得该主机的系统管理员的权限；当然，如果攻击者不能利用上面的非法的证书突破服务器的话，他们还可以尝试运用暴力攻击获取访问的权限，运用暴力攻击客户端认证的方法是：攻击者编辑一个可能的用户名字列表，然后为每一个名字向CA机构申请证书。每一个证书都用于尝试获取访问权限。用户名的选择越好，其中一个证书被认可的可能性就越高。暴力攻击证书的方便之处在于它仅需要猜测～个有效的用户名，而不是猜测用户名和口令。

攻击者还可能窃取有效的证书及相应的私有密钥，其最简单的方法是特洛依木马病毒，这种攻击几乎可使客户端证书形同虚设，它攻击的是证书的一个根本性弱点：私有密钥——整个安全系统的核心——经常保存在不安全的地方，对付这种攻击的唯一有效方法是将证书保存到智能卡或令牌之类的设备中。

图3 客户端SSL通信安全代理工作原理示意图

5.4.2解决策略

证书的安全可以采用IDs(Intrusion Detection System)，它是一种用于监测攻击服务器企图的技术和方法。典型的IDS监视到网络信息与保存在数据库中的已知攻击“特征”或方法进行比较，如果发现攻击，IDS可以提醒系统管理员切断连接或甚至实施反攻击等。但是，如果网络通信是加密的，IDS将无法监视攻击者，而且反而可能会使攻击者更为轻松的实施攻击。解决的方法是通过Proxy代理服务器的SSL，可以在一个SSL proxy代理服务器程序上使用这项资料审查技术。SSL proxy是一个连接在80端口上接受纯文字的HTTP通信请求的软件，它会将这些请求通过经由SSL加密过的连接，转寄到目标网站。在连接端口80开一个听取S0cket(侦听)，通过0pen SSL0．9．6指令，将所有进入这个Proxy的数据传送出去。通过这个SSL Pro)(y机制，只要将安全扫描软件指向Proxy的IP地址，就可以用来审查SSL服务器，从而满足信息传输安全的需求，其使用proxy代理服务器的工作原理如图3。

5.5 SSL不能提供交易的不可否认性

    SSL协议是基于Web应用的安全协议，它只能提供安全认证，SSL链路上的数据完整性和保密性。对于电子商务的交易应用层的信息不进行数据签名，因此，不能提供交易的不可否认性，这是SSL在电子商务中使用的最大缺欠

5.6 密钥管理问题
    客户机和服务器在连接初期互相发送自己能支持的加密算法时，以明文返回选定的加密算法和主密钥，主密钥前40位不加密，其余位加密，此时可能会被攻击者修改为强度最弱的加密算法，导致以后传输的加密数据包被攻击者破解。另外，所有的会话密钥中都将生成主密钥master-key，实际的密钥并不是主密钥，而是由它生成的两个密钥client-write-key (server -read-key)和client - read-key( server-write-key)，并且当客户机和服务器再次握手时，不再协商加密算法和主密钥，因此握手协议的安全完全依赖于对主密钥的保护，如果主密钥管理不妥被泄露，则通讯传输中的加密数据包极可能被破译。

5.7 加密算法的强度限制

通过互联网传输敏感数据的一个问题是传输过程会经过许多中间环节，这一路由过程是所有互联网传输的基础,而在路由线路上的任何一台计算机都可能完全获得传输的信息，这样就使得别人有可能截获并破译你的秘密信息。美国政府规定，加密技术属于军用品受军火国际贸易法规的制约，其产品出口必须取得出口许可证。因此密钥长度超过512bit的RSA算法不能用于SSL的密钥交换算法，密钥长度超过40bit的对称加密算法如RC4，DES等不能用于SSL的数据加密，故美国出口的SSL协议产品的加密算法的安全性不足，不能用于安全性要求高的网络服务。

5.8 版本回滚攻击

SSL 3.0不包含任何重大缺陷,通过SSL 2.0协议得到了一些改进,这就是为什么我们不希望一个攻击者尝试版本回滚的攻击。对于攻击者使版本3.0的各部分回到2.0版本，是非常有用的基于SSL3.0的改进。这种攻击只会发生在两个3.0版本兼容使用的是2.0版情况下。这允许中间人让客户选择一个较弱的cipher suite来进行攻击。例如选择DES对称加密算法。如果发生这种情况,一个攻击者可能暴力途径获得这两个部分之间交换的数据。这个攻击者也获得如密码和身份cookie等信息。不幸的是，如今，SSL2.0在服务器端依然是默认的。

有一个主要预防的手段在SSL3.0上,但它留下了一些情况下成功进行版本回滚的攻击。这种预防是向RSA填充位添加版本号。在任何敏感数据被发送之前，两个使用2.0版本的被骗部分将检测到错误。显然，这仅适用于一个RSA已经被选择的情况下。如果攻击者把字段替代为2.0版hello消息和Diffie-Hellman,攻击也奏效。也可能在session回复期间获得数据。因为某种原因服务器允许一个客户端来恢复一个3.0版本session到2.0 版本hello报文,因为它在恢复期,主密钥没有重新共享。因此没有RSA填充检测到错误的版本号。幸运的是,这些漏洞可以通过执行禁用 3.0版本到2.0版本的恢复进行控制,并通过只允许RSA运行在2.0版本的兼容性模式。最好的行动当然是禁用2.0版本兼容性模式。

参考文献:

[1] 刘春荣. 基于SSL协议的电子商务安全性分析[J]. 信息与电脑. P10-12, 2010.3.

[2] 王伟. SSL、SET协议及其安全技术[J]. 郑州航空工业管理学院学报(社会科学版). 23(1), P122-123, 2004.2.

[3] 苏金国. SSL安全协议[J]. 上海微型计算机. 2001.1.

[4] 戴英侠, 左英男, 许剑卓. SSL协议的安全缺陷与改进[J]. 中国科学院研究生院学报. 17(1),P86—92, 2004.2.

[5] 任静，李涛. 客户端SSL安全代理的设计与实现[J]. 计算机应用研究. P80-81, 2003.6.

[6] 胡国华，袁树杰. SSL协议安全缺陷分析[J].计算机系统应用. P25-50, 2006.8.

[7] 郭正荣，周城. SSL协议工作过程及其应用[J]. 网络安全技术与应用. P7-21, 2004.10.

[8] Veronika Heimsbakk, Andre Boganskij Amundsen. SSL Security Threats[J]. P8-9, 2012,5.