网络安全协议的漏洞风险及优化对策

在网络金融活动中，交易双方往往需要借助安全协议来保证交易的安全性，如Open SSL就是最常见的一种安全协议。但是，安全协议如果存在诸如漏洞这样的隐患，则交易安全问题立刻就会暴露。

(一) 网络安全协议的漏洞及其发生机制

网络服务一般都是通过各种各样的协议完成的，因此网络协议的安全性是网络安全的一个重要方面。如果网络通信协议存在安全上的缺陷，那么攻击者就有可能不必攻破密码体制即可获得所需要的信息或服务。值得注意的是，网络协议的安全性是很难得到绝对保证的。

目前协议安全性的保证通常有两种方法:一种是用形式化方法来证明一个协议是安全的;另一种是设计者用经验来分析协议的安全性。形式化证明的方法是人们所希望的，但一般的协议安全性也是不可判定的，所以对复杂的通信协议的安全性，现在主要采用漏洞分析的方法。无疑，这种方法有很大的局限性。实践证明，目前因特网上提供的一些常用服务所使用的协议，如Telnet、FTP和HTTP协议，在安全方面都存在一定的缺陷。许多黑客攻击都是利用了这些协议的安全漏洞才得逞的。(www.xing528.com)

Open SSL就是实现了SSL的程序包，open代表采取了开源模式，当程序内出现错误和漏洞会及时公布，别人提交的修改代码经过审核通过，则会当做补丁或者在下一版本发布。当用户使用QQ聊天和发送Gmail邮件时，Open SSL这个加密程序包，负责为所传输的数据加密，使得这些数据在传输过程中即使被截获，看起来也是错乱而无序的。为了证实加密连接一直存在，用户可以发送一个“心跳(heartbeat)”包给服务器进行试探，作为回应，服务器会返回一小段数据。如果用户发送一段精心组织的试探代码过去，能够诱使服务器送回来一大段内存里的内容，这样就产生了致命的“心脏出血”(heartbleed)漏洞。每次返回的数据是64K，即6万多字节，而一般的用户名、密码、注册信息、密码保护问题、信用卡号等，都不超过几百字节。当服务器支持被人快速地采用“心跳试探”，就可一次又一次返回内存数据，于是大量重要信息就源源不断地泄露。如果其中包含比较核心的数据，比如用来解密数据的私钥，那么黑客可以在用户向网站传输加密数据的过程中，利用该私钥将数据提前解密，从而盗取用户密码。

(二) 网络安全协议漏洞的影响

网络上应用最多的一款安全协议Open SSL在2014年4月8日出现了一次罕见的漏洞暴露。国际知名安全公司CodeNomicon和谷歌的安全工程师首先发现了这个漏洞。由于国际上应用此安全协议的网站和服务器数量巨大，包括一些知名电子商务网站纷纷被曝出现了安全协议漏洞。当用户使用https的网站时就有可能被黑客利用漏洞盗取用户登录账号、密码等安全信息。用户登陆的时候、黑客同时在攻击漏洞，就有可能把用户的数据取走。像国内用户众多的电商网站如天猫和淘宝、京东商城、一号店，以及支付宝、财付通、各大网银、微信还有众多的社交网站，都是用的Open SSL协议，都会存在风险。英国网络咨询公司Netcraft调查了将近10亿个网站，发现其中的66%包含了Open SSL软件包。而“心脏出血”事件发生后，国内一家安全监测公司的使用Zoom Eye扫描的数据表明，全国160万个443端口中，有3.3万个受本次Open SSL漏洞影响。国内著名的网络公司纷纷中招，连夜进行修补。美国密歇根大学的一个安全研究团队利用开源网络扫描工具ZMap搜索存在“心脏出血”漏洞的网站，完整扫描了地址空间，发现截至2014年4月10日凌晨2时，Alexa排名前一百万的网站有40.9%中招，网易、微信、QQ邮箱、陌陌、雅虎、比特币中国、支付宝、知乎、淘宝网、12306、京东……从消费到通讯、社交，知名网站几乎无一幸免。一位安全行业人士曾经在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，成功地登录了该网站。以工行为首的银行系经过第一时间技术排查，完全排除了网银系统存在这一漏洞的可能性，该漏洞对银行网上支付、银行U盾使用及银联的影响为零。以阿里为首的国内电子商务企业都宣布进行了安全核查，但是这些安全漏洞确实给网络金融安全敲响了警钟。