第34卷第11期 2017年l1月 计算机应用与软件 Computer Applications and Software Vo1.34 No.1 1 NOV.2017 TLS1.3协议更新发展及其攻击与防御研究 沈若愚 卢盛祺 赵运磊 (复旦大学软件学院上海201203) (上海财经大学信息管理与工程学院上海200433) 摘要 SSL/TLS(Secure Sockets Layer/Transport Layer Security)协议旨在为网络通信提供安全的信道,为通 信双方提供认证、机密性和完整性。由于协议的复杂及其设计和实现上的漏洞导致许多安全隐患,新版本TLS 1.3的制定引起信息安全学术界和产业界广泛的关注。概述TLS1.3的协议结构。在此基础上,对TLS1.3几个革 新性的改变:密钥编排表、PSK和0-RTr进行了系统性地分析与梳理。对近1O年协议受到的攻击按照协议的层 次分类进行概述,提炼出每种攻击的原理以及TLS1.3针对这些攻击作出的应对措施。对TLS协议的未来发展作 出预测并提出建议。 关键词中图分类号TLS1.3 SSL/TLS攻击TP3 0-RTT PSK 密钥生成表 A DO1:10.3969/j.issn.1000—386x.2017.1 1.049 文献标识码THE DEVELoPMENTS oF TLS1-3 AND ITS ATTACK AND DEFENSE Shen Ruoyu Lu Shengqi Zhao Yunlei (School 0厂Software,Fudan University,Shanghai 201203,China) (School D,Information Management and Engineering,Shanghai University Finace and Economics,Shanghai 200433,China) Abstract Secure Sockets Layer/Transport Layer Security(SSL/TLS)is intended to provide a secure channel for network communications,providing authentication,confidentiality and integrity.Due to the complexity and loopholes in the design and implementation of protocol leading to many security risks,the development of the new version of TLS1.3 caused widespread concern in the information security academia and industry.We outlined the protocol structure of TLS1.3.On this basis,several innovative changes of TLS1.3 were systematically analysed and combed,such as key schedule.PSK and 0一R IYI、.We reviewed the attacks received by the protocols for the last 10 years,and extracted the principle of each attack and TLS1.3 response to these attacks.And we made some predictions about the future development of TLS and make some recommendations. Keywords TLS1.3 SSL/TLS attack 0.RTF PSK Key schedule 展、变体、工作模式、参数算法协商复杂多变。 0 引 言 SSL/TLS协议是应用范围非常广泛的密码协议之 一由于SSL/TLS本身的复杂性,版本更新的缓慢以 及实现维护过程的不重视,协议的设计与实现过程存 在许多漏洞。此外,因其保护数据安全的特殊性使得 ,其主要的目的是为网络中通信的双方建立一个安 协议存在很大的攻击价值,针对SSL/TLS出现的攻击 与13剧增:降级攻击 、重协商攻击 、Lucky Thitreen 攻击 j、POODLE攻击 j、BEAST攻击 、Heartbleed 攻击 ]、时问差分攻击 J、因代码实现问题产生的攻 全的通信信道。而这个信道需要为通信双方提供认 证、机密性和完整性。该协议也是实际应用中的最复 杂的密码协议之一,拥有高度的复杂性,版本众多,扩 收稿日期:2017—02—20。国家自然科学基金项目(61472084);上海市科委项目(16DZ1100200)。沈若愚,硕士生,主研领域 密码与信息安全。卢盛祺,博士生。赵运磊,教授。 第11期 沈若愚等:TLS1.3协议更新发展及其攻击与防御研究 265 击 。 等。这些攻击造成的危害与影响面的广泛为当下 的网络安全敲响一记警钟。而TLS1.2版本的发布距 今已有8年,从近lO年针对协议的攻击数量的增长来 看,亟需重新制定TLS协议的1.3版本。TLS1.3协议 当客户端和服务器端双方第一次建立连接时可通 过握手协议协商协议版本,选择密码算法,认证通信双 方,协商算法所需参数,且能防篡改。握手协议完成 后,记录协议用握手协议协商好的算法和参数对消息 流进行分块加密。 1.2.1握手协议 的更新与发展过程值得信息安全学术界和产业界的广 泛关注。 1 SSL/TLS协议简介 SSL起源于Netscape,SSL3.0_9 于1996年发布, 如图2所示,握手协议有三个阶段: 1)密钥交换:选择协议版本和密码算法,协商算 法所需参数,为明文传输。 2)服务器参数:建立其他的握手协议参数,如是 否需要认证客户端,消息由握手层流密钥(handshake traffic secret)加密传输。 对后续TLS的发展有着基本的指导作用。其确定了协 议目标,整体的层次结构(主要由记录协议和握手协 议组成)以及消息流的顺序。目前的最高版本为 TLS1.2 1 。由于之前版本过于陈旧,存在许多的漏 洞,协议遭受的攻击越来越多,严重危及互联网安全。 互联网工程任务组开始筹划制定新的版本 TLS1.3[11]。 3)认证:认证通信双方(客户端认证可选),并保 证握手消息的完整性,消息由握手层流密钥加密传输。 这三个阶段完成后,便可进行应用层数据的传输, 应用层数据由流密钥(trafic secret)加密后传输。f 客户端 客户端Hello(协议版本+隧机数+会活、 ID+密码套件+压缩算法十扩展消息) +密钥共享 f群+密钥交换信息) 1.1 SSL3.0一TLS1.3发展历程 SSL/TLS的更新发展过程如表1所示。协议的具 服务器端 体内容,详见参考文献[9—12]。RFC(Request For Comments)文档是由互联网工程任务组发布的一系列 备忘录,是用以记录互联网规范、协议及过程等的标准 文件。 表1 SSL/TLS历史版本 TLS协议版本 SSL3.0 E ] +预共事秘钥模式 (秘钥交换模式) +预共享密钥 (IDs+绑定值) ; 密钥交换1 【{ f l服务器端Hello(协【义版本+随机 }f数+密码套件+扩展消息) 鬲 +预共享密钥 lID) RFC文档 RFC61Ol 时间 1996 I务器参数I {加密扩展J d广展消 ,{f证书请求} 滞俅内容+签名算 认Il 法+认征中心+扩展消息) 证{ 函丽 面 TLS1.0 (SSL3.1) RFC2246 RFC4346 1999 2006 (证书验证l (签名算法+签名) f握手完成}饿证数t ̄MAC) [应用数据 TLS1.1 TLS1.21‘ ] RFC5246 2008 {证书J (请求内容十证书列表: {证书验证} (签名算法+签名) TLS1.3 2014年4月开始制定,现未正式发布 f握手完成J(验证数据MAC) 【应用数据l 1.2 TLS1.3协议结构 TLS1.3由三部分组成,握手协议、警告协议和记 注:+:上一消息的扩展消息; :可选发送; 录协议。如图1灰色方框所示。其在TCP/IP协议中 介于应用层协议和可靠的传输层协议之间,且于 应用层协议,因此可以置于很多不同的协议之下,如 Hr丌P、FrP、SMTP、XMTP等。 {}:用握手层流密钥加密;[]:用流密钥加密 图2 TLS握手协议消息流 1.2.2记录协议 记录协议位于握手协议下层,发送方从高层接受 任意长度的非空数据,对其进行合并或分块处理,然后 利用带有辅助数据的认证加密AEAD(authenticated encryption with associated data)进行加密传输。接收方 HTTP I FTP I SMTP 握手协议f警告协议 应用层 记录协议 传输层 网络层 TCP IP 接收数据后对其进行解密和验证,重组后再传送给高 层用户。记录协议得到要发送的消息之后,进行如图 3所示的两个步骤的处理。 链路层 ARP 图1 TLS协议所处位置 266 计算机应用与软件 2017丘 上层数据 I I TLSN ̄ 分 呛并 数据类型 协议版本l消息长度l消息片段 AEADJJ ̄I密 f数据类型l协议版本f消息长度 息片段+数据类型+填充字符l 图3记录协议流程 分片:把上层数据分片或合并成易于处理的数据 分组,大小不超过2H字节。记录协议的数据类型有三 种:握手消息,应用数据,警告消息。警告消息的级别 有两种:一种是预警错误,用来指示连接的正常有序关 闭或者0-RTI'早期数据发送结束,对通信过程没有影 响;一种是致命错误,用来指示连接的非正常关闭,收 到这类警告消息后通信双方应立即中断会话,不再收 发消息。注意:对记录层消息进行分片处理时不能对 警告消息进行分块处理。此外,握手消息和警告消息 的消息长度不能为0,应用数据的消息长度可以为0, 用来防范针对流量分析的攻击。 载荷保护:将明文数据通过AEAD认证加密算法 加密为密文,密文数据的长度略大于明文数据长度。 明文数据结构由消息片段,数据类型和任意长度的填 充0值这三个部分组成,作为AEAD的一个输入值计 算得到加密内容。TLS密文数据结构包括四个部分: 数据类型、协议版本、消息长度和加密内容。其中数据 类型字段一直都被设置为应用数据,真实的数据类型 可以从明文的数据类型获取,该字段是为了兼容之前 版本而存在。协议版本与明文消息的协议版本功能一 模一样,一直被设置为0x0301(TLS1.0),真实的协议 版本可以从客户端和服务器端的Hello消息获取。因 此,TLS密文中的数据类型和协议版本这两个字段在 后续版本中可能会被除去。 0值填充主要是为发送方隐藏真实数据长度而设 计。接收方解密密文后,从后往前读取数据,直到遇到 非0的值,即明文的数据类型这一字段。 2 TLSI.3主要改变 TLS1.3从2014年4月17日起开始更新,至今更 新到TLS1.3 Draftl8 l13]版本。本节将深入梳理并讨论 TLS1.3相对于TLS1.2的几个革新性的改变。 2.1 握手层消息结构的改变 从图2握手协议的消息流可以看出,相较TLS1.2, 握手协议的结构发生了较大改变:移除“改变密码规 范”和“密钥交换”消息;为通信双方新增了几个Hello 扩展消息且新增“请求重新握手”消息;“握手完成”消 息对握手层的所有消息进行哈希,进一步保证了消息 的完整性。握手协议从之前的四个交互步骤简化为三 个步骤。 2.2算法的移除与更新 计算机的软硬件各方面性能都得到了极大的提 升,计算速度以惊人的速度在增长,攻击方法也一直在 涌现。因此,之前认为安全的算法于近期及将来都不 能确保数据安全,亟需选择可靠性、安全性更高的算法 来替换易被攻击的算法。TLS1.3移除的算法主要有: DH、RC4、记录层压缩算法、重协商、一些不安全的利 用率不高的椭圆曲线算法,以及哈希算法(如MD5、 SHA.1、SI-IA.-224等)。新引入的算法有:AEAD算法, 以及从RFC4492(ECC Cipher Suites for TLS)中引入 CFRG曲线和签名算法等。 2.3密钥生成表 TLS握手协议协商生成一个或多个密钥,如图4 所示,以这些密钥作为输入通过哈希密钥推导提取函 数和哈希密钥推导扩展函数推导出多个记录层所需的 密钥。哈希密钥推导提取函数按照箭头方向从上接收 参数做加盐操作,从右边接收因特网密钥管理参数。 密钥扩展函数有三个输入值:密钥、标签和握手消息。 按照图4箭头方向所示从上端接收参数作为第一个密 钥参数。 』 哈希密钥推导提取函数 一PSK Jr 荜jlII辩铂 } 挂;l手密铂 ——————'.密钥拓脯培r]端握手流密锐+“客,、端H l0服务器lle ̄t ̄’)=客户端妊手流密销 卜_—————— 密钥拓展(卅&务器握手流密销+“客户端Hcll0・服务器He ’)=服务措握手流密饲 ■ 哈希密钳推导提取函数●一t) —————— 密销拓展(+客户端流密钊+‘客户端Hel1o服务器握手完成”)=客户端流密纠 L—一—— 密钥拓展(+服务器流密销+“客户端}kIl0服务器握手完成”)=服务器流密铜 L—————十密钥拓展(+会谮院复圭密诮+“窬,-端№lio¨客, 端握手完成”)=含i舌恢复密钢 图4密钥生成表 由于不同的密码方案存在不同的安全性,需 要为不同的密码算法设置各自的密钥更新时间限度。 可结合握手层的“密钥更新”消息告知通信双方及时 更新密钥。 2.4 PSK PSK预共享密钥交换模式主要是为了简化频繁通 信的双方握手协议的认证过程:如图5所示,共享有效 268 计算机应用与软件 2017丘 主要是为了防止中问人攻击。握手消息从“客户端 Hello消息”开始到“预共享密钥的”ID字段为止,但不 包含绑定值本身。例如:客户端发送一个Hellol消 息,绑定值的HMAC计算将只包含这个Hellol消息; 如果客户端发送一个Hellol消息,服务器回了一个 “请求重新握手”消息,客户端再发送一个Hello2消 息,绑定值的HMAC计算将包含:Hellol+请求重新 握手+Hello2。 2.5 0.RTT TLS1.3支持“0一R1Tr(RoundTripTime)”模式,客 户端在发送“客户端HeHo”等消息时可一并发送应用 层的数据,因此减少了握手延迟。0.R1Tr模式必须和 PSK模式一起使用,0.Rr兀1数据由PSK导出的早期流 密钥加密传输。0.RTT的消息交互过程如图10所示。 客户端HeⅡ0(协议版本+随机数+会话、 ID+密码套件+压缩算法+扩展消 +早期数据 +密钥共享 (群+密钥交换信息) +预共享秘钥模式 (秘钥交换模式) 密钥交换 +预共享密钥 (IDs+绑定值) (应用数据) +早期数据结束(预警警告) 服务器端Hello(协议版本+随机 , 数栩§码套件+扩展消息) +早期数据 密钥交换 +密钥共享 (群+密钥交换信息) +预共享密钥 (ID) 服务器参数 f加密扩展) 展消息) (握手完鼬(验证数据MAc) 『应用数据】 l{握手完成】【验证数据MAc)J : l……L…. I. . l [应用数据P 注:+:上一个消息的扩展消息; :消息可选发送;():用客户端 早期流密钥加密;{}:用握手层流密钥加密;[]:用流密钥加密 图10 O一Ⅳn握手协议消息流 这种模式没有完整版的TLS握手协议安全:1)0- R 数据不能保证前向安全,因为是用PSK导出的早 期流密钥加密;2)不能保证不受重放攻击,除非服务 器采取协议外的防范措施。因此,各方针对0一RTT的 讨论较为激烈。反对方认为:1)0一Rrrr存在上述两个 威胁,影响协议的安全性;2)1一RTT模式已经能满足 要求,没必要引入隐患;3)协议的实现者不一定精通 密码学知识,盲目相信标准文档的安全性,且为了追求 效率使用0.RrITr,忽略了需要采取协议外的安全策略 这一需求。支持方则坚持:1)可以为了效率,对安全 性做出适当让步,且谷歌公司已经在使用这一方案且 效果良好;2)不宜直接反对并废除这一机制,应该给 通信双方选择的权利;3)可以把0.RTT模式作为一个 扩展文档,与TLS1.3标准文档区分,需要使用的时候 即可作为扩展包添加使用。 当客户端选择PSK模式进行认证的时候,客户端 在发送“客户端Hello”消息时必须发送“早期数据”、 “预共享密钥模式”和“预共享密钥”消息。客户端可 以一直发送0-RTT应用数据直到收到服务器的“握手 完成”消息,这时客户端需要发送“早期数据结束”预 警警告。服务器收到客户端的“早期数据”消息以后 有三种表现形式: 1)忽略这个消息,不做任何应答,也即回归正常 的1一RTT握手。 2)发送“请求重新握手”消息,让客户端重新发送 Hello消息,该消息将不再包含“早期数据”消息。 3)返回与之相应的“早期数据”扩展消息,接受0一 RTT的早期数据。 3 SSL/TLS攻击以及TLS1.3防御措施 今年来,随着互联网的使用越加广泛和方便,越来 越多的数据和信息通过互联网进行传输。与此同时针 对SSL/TLS协议的攻击方法与日俱增,安全问题也逐 渐浮出水面。本节主要从协议的两层结构以及代码实 现这三个方面对近几年出现的攻击进行分类概述,并 讨论TLS1.3针对这些攻击做出的改进方式。 3.1针对握手层的攻击 1)降级攻击 降级攻击包括针对协议版本和针对密码中可用加 密方式的回滚攻击。由于TLS1.2及之前的握手协议 中通信双方以明文传输的方式协商密码算法,中问人 攻击者可能通过冒充通信的某一方,诱使另一方修改 密码算法列表,将协议版本或加密算法降低到不安全 的却仍被双方都支持的版本,使得双方通信时使用安 全性较低的协议版本和较弱的加密算法。 2)重协商攻击 其攻击原理主要是因为通信双方的身份不是和安 全信道绑定的,因此攻击者伪装成客户端与服务器进 行握手;建立了通信信道之后再将原客户端要发送的 握手信息接入这个安全信道中,完成再次握手,而通信 双方并不知情。 3)防御措施 针对降级攻击,TLS1.3移除了许多不安全的算 法,并且在服务器Hello消息的随机数字段中内嵌一 个降级攻击保护机制。另外,在握手结束消息中对整 个握手协议消息流内容进行哈希计算出消息认证码, 防止消息被中间人篡改。针对重协商攻击,TLS1.3移 除了重协商这一功能。 第11期 沈若愚等:TLS1.3协议更新发展及其攻击与防御研究 3)防御措施 269 3.2针对记录层的攻击 1 1 Lucky Thirteen攻击 TLS1.3采用AEAD算法,该算法会对待加密的明 文进行填充,隐藏真实数据长度,混淆了加解密过程与 时间的关联性。此外,TLS1.3丰富了证书链表这一部 其攻击原理是HMAC验证计算时,去掉填充信息 之后消息的长度不同会导致计算时间上的区别。攻击 者对密文进行针对性的修改之后,根据HMAC验证的 处理时间长短可以获取关于密文的信息。 2)POODLE攻击 其攻击原理主要是利用SSI_3.0协议中CBC加密 算法零值填充无规律且填充字符的完整性在解密时不 能进行验证的缺陷。 3)BEAST攻击 主要利用CBC加密模式的链式结构,即除了第一 条记录之外,之后每条记录进行加密时的初始向量都 是前一条记录的最后一个加密块。攻击者通过某种方 式够获取密文一个块的信息,然后逐块破解一段密文。 4)防御措施 TLS1.3采用的AEAD算法可以避免Lucky Thir- teen攻击。TLS1.3不允许将版本回退到SSL3.0,且将 密文分组链接(CBC)加密模式更换为计数器模式 (CTR),避免了后两种攻击。 3.3代码实现方面的攻击 在实现TLS协议的时候,应用程序接口设计得较 差,且由于标准文档存在部分令人混淆的设置和选项, 开发者通常会误用、误解相关参数和选项的使用以及 返回值,造成程序实现错误。 1)Heartbleed攻击 主要是程序员在调用memcpy()函数时没有对缓 冲区边界进行检查而造成的信息泄露。 2)防御措施 TLS1.3在附录B中增加了许多代码实现方面的 注意事项,如:伪随机数生成器的选取,握手协议某些 字段需要留意的特殊取值,如何预防计时攻击等。 TLS1.3主要涉及协议标准的设计,代码的实现主要还 是依靠工程师,双方都需引起重视。比如,为TLS库提 供模糊测试和敌手测试,设计一个简洁稳定的错误汇 报机制等。 3.4其他攻击手段 1)时间差分攻击 针对对称算法和非对称算法都有计时攻击。其本 质是通过观察不同数据的加解密时间差实现密钥 破解。 2)公钥证书验证缺失 ] 另一个常见的攻击来源是公钥证书及其信任链验 证的缺失(尤其是基于移动终端的SSL/TTL实现)。 分的说明。 4 TLS1.3发展趋势 rLS1.3目前一直处于更新状态,还有许多工作未 完成,专家学者正从多方面对协议的制定进行激烈的 讨论:小到算法的选取、参数长度的范围确定,大到新 机制的引入、协议安全性证明。 纵观当前讨论热点可总结出以下几个发展趋势: 1)密码算法的选取、移除与更新;2)密码算法密钥的 长度以及相关参数范围的设置(最大值,最小值);3) 0.R1Tr和PSK模式的进一步优化;4)TLS协议扩展文 件的更新;5)商讨、解决TLS 1.3 draft文档中的open issues;6)握手层协议安全性证明_l刮以及安全性分 析【】 这一方向的研究较难,但非常重要。 实际应用中,协议的安全与否主要由两个方面决 定:协议的设计与实现。目前针对协议设计的讨论众 多,但代码实现的安全性部分的考虑欠缺。本文作者 希望互联网工程任务组在制定新的标准的同时可以为 协议的代码实现人员提供一份说明文档,详尽说明协 议实现过程中可能会遇到的问题。比如,提供一份详 细的消息状态图和协议应用程序编程接口。标注标准 文档中安全性较弱的部分。除了对协议的结构的安全 性分析与证明,也希望相关学者以及互联网开发人员 重视协议代码安全实现这一方面的工作。 5 结 语 近年来,互联网安全性问题频发,SSL/TLS的安全 性研究引起广泛关注。本文从跟进TLS协议新版本的 制定出发,对TLS1.3几个革新性的改变:密钥编排表、 PSK和0.R1T进行了分析与梳理,详细地描绘了协议 的结构以及握手层消息的交互过程。同时对近十年协 议受到的攻击按照协议的层次分类进行概述,提炼出 每种攻击的原理以及TLS1.3针对这些攻击做出的应 对措施。最后对TLS协议的更新发展趋势进行总结和 预测。伴随着TLS1.3的制订,预计未来5年将迎来 TLS研究的新机遇期。在未来的研究中将继续关注新 的密码协议的设计、安全性建模与分析、安全实现和形 式化验证、新型漏洞和攻击发展等。 (下转第329页) 第11期 马晓凯等:基于安卓系统的代码隐藏类规避技术检测框架 329 [4] Dalvik Execuatble Format[OL].2016.https://source.an— droid.com/devices/tech/dalvik/dex—format.htm1. [5] Strazzere T.Dex education:Practicing safe dex[M].Black Hat,USA,2012. [6] Strazzere T.Dex education 201:anti—emulation[M].HIT. CON,2013. [7] Vidas T,Christin N.Evading android runtime analysis via sandbox detection[C]//Proceedings of the 9th ACM sympo— sium on Information,computer and communications security. ACM.2014:447—458. [8] Rowland Yu.Android Packers:Facing the challenges, Building solutions[C]//Proc.of the 24th Virus Bulletin In— ternational Conference,2014. [9]Strazzere T,Sawyer J.Android Hacker Protection Level 0 DEF CON 22【z].2014. [1 0]Zhang Y,Luo X,Yin H.Dexhunter:toward extracting hid— den code from packed android applications[M]//European Symposium on Research in Computer Security.Springer In・ ternational Publishing,2015:293—311. [11]Yang W B,Zhang Y Y,Li J R,et a1.AppSpear:Bytecode Decrypting and DEX Reassembling for Packed Android Mal— warefM1//Research in Attacks,Intrusions,and Defenses. Springer International Publishing,2015. [12]Rasthofer S,Arzt S,Miltenberger M,et a1.Harvesting runt— ime values in android applications that feature anti—analysis techniques[C]//Proceedings of the Annual Symposium on Network and Distributed System Security(NDSS).2016. [1 3]Rastogi V,Chen Y,Enck W.App ̄Playground:automatic security analysis of smartphone applications[C]//Proceed— ings of the third ACM conference on Data and application se— curity and privacy.ACM,2013:209—220. [14]Monkey Runner[OL].2016.https://developer.android. com/studio/test/monkeyrunner/index.htm1. [15]Smali and baksmali:Dalvik bytecode toolkit[OL].2016. https://github.com/JesusFreke/smali. [16]Afonso V,Bianchi A,Fratantonio Y,et a1.Going native: Using a large—scale analysis of android apps to create a prac— tical native—code sandboxing policy[OL]//Proceedings of the Annual Symposium on Network and Distributed System Security(NDSS),2016. (上接第269页) 参考文献 [1]Wagner D,Schneier B.Analysis of the ssl 3[J].Proceed— ings of the Second Unix Workshop on Electronic Commerce, 1996,28(28):29—40. [2]Giesen F,Kohlar F,Stebila D.On the security of TLS rene— gotiation[C]//Proceedings of the 2013 ACM SIGSAC con— ference on Computer&communications security.ACM. 2013:387—398. [3]Fardan N J A,Paterson K G.Lucky Thirteen:Breaking the TLS and DTLS Record Protocols[C]//IEEE Symposium on Security and Privacy.IEEE Computer Society,2013:526 —540. [4]MSller B,Duong T,Kotowicz K.This POODLE bites:ex— ploiting the SSL 3.0 fallback[OL].2014.https://www. openss1.or#~bodo/ssl—poodle.pdf. [5]Duong T,Rizzo J.Here Come The①Ninjas[J].Unpub— lished Manuscript,201 1. [6]强小辉,陈波,陈国凯,等.OpenssLHeanBleed漏洞分析 及检测技术研究[J].计算机工程与应用,2016,52(9): 88—95. [7]Brumley D,Dan B.Remote timing attacks are practical[J]. Computer Networks,2005,48(5):701—716. [8]Georgiev M,Iyengar S,Jana S,et a1.The most dangerous code in the world:validating SSL certiifcates in nob—browser software[C]//Proceedings of the 2012 ACM conference on Computer and communications security.ACM,2012:38 —49. [9]Freier A,Karlton P,Kocher P.The SSL 3.0 Protocol[Z]. November 1996. [10]Allen C,Dierks T.The TLS protocol version 1.0 [Z].1999. [1 1]Dierks T,Rescorla E.The Transport Layer Security(TLS) Protoco1 Version 1.1『R].RFC 4346,DOI 10.17487/ RFC4346,April 2006. [12]Dierks T,Rescorla E.The Transport Layer Security(TLS) Protocol Version 1.2[R].RFC 5246,DOI 10.17487/ RFC5246,August 2008. [1 3]Rescorla E.The Transpo ̄Layer Security(TLS)Protocol Version 1.3[R].drfat—ietf-tls—tlsl3—18,2016. [14]Salowey J.Transport Layer Security(TLS)Session Resump— tion without Server—Side State[Z].Transport,2006. [15]Clark J,Oorschot P C V.SoK:SSL and HTTPS:Revisiting Past Challenges and Evaluating Certificate Trust Model En- hancements[C]//Security and Privacy.IEEE,2013:511— 525. / [16] Bhargavan K,Fournet C,Kohlweiss M,et a1.,/Proving the TLS Handshake Secure(as it is)[J].Lecture Notes in Computer Science,2014,8617:235—255. [17]Dowling B,Fischlin M,Nther F,et a1.A Cryptographic A‘ nalysis of the TLS 1.3 Handshake Protocol Candidates[C]// The.ACM Sigsac Conference.ACM,2015:1 197—1210.
