如今,人们依靠的手机和计算机通信、支付、信息交流等都是互联网的一部分。众所周知,在最初设计互联网时,其主要目标是增强通信能力,没有过多考虑安全问题。因此,目前互联网的核心通信协议TCP/IP,在本质上是不安全的。为了解决数据在TCP上的安全传输问题,Netscape公司在1994年提出了Secure Socket Layer(SSL)协议,又称套接字安全协议,之后IETF成立Transport Layer Security(TLS)工作组,基于SSL3设计了TLS。SSL/TLS在协议设计方面,存在一些可以被利用的弱点。本文综合介绍SSL/TLS使用CBC及RC4加密模式时,可能产生的攻击。

• 单位
  清华大学