传输层安全.
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SSL使用TCP提供一种可靠地端到端的安全服务。 下面讲述SSL3.0的工作原理。
1、SSL体系结构
SSL不是wenku.baidu.com个协议
SSL握手 协议 SSL密码变 更规格协议 SSL报警 协议
SSL记录协议
2、SSL记录协议
SSL记录协议为SSL连接提供两种服务: 机密性:握手协议定义一个可以用于SSL负载的 传统加密共享密钥。
SSL/TLS使用对称加密提供消息的机密性服务,使
用消息认证码提供消息的完整性服务。
HTTPS是指HTTP和SSL的组合,实现Web浏览器
和Web服务器之间的安全通信。
安全盾SSH提供远程安全登录和其他安全的客户/服
务器服务。
一、Web安全需求
互联网是双向的。
日益成为信息或产品的主要出口,以及处理商务的 平台。
案 例
Web安全威胁分类
主动攻击 被动攻击
服务器 系统安全 浏览器 服务器和浏览器之间的流量
网络安全
Web流量安全方法
二、安全套接字层SSL
SSL: Secure Socket Layer 。
1994年, Netscape公司开发了SSL协议,专门用于 保护Web通讯,目前已经有 SSL1.0 、SSL2.0、 SSL3.0。
建立安全连接请求,包括协议 版本、会话ID、密码构件、压 缩方法、初始随机数
SSL Handshake Protocol
服务器发送证书,密钥交换数据 和证书请求,最后发送hello消息 阶段的结束信号
如果有证书请求,客户端发送 证书,之后客户端发送密钥交换 数据,也可以发送证书验证消息
变更密码构件和结束握手协议
案 例
百度“被黑” 大致攻击过程解剖如下:
1、2010年1月12日上午约6点起,百度域名DNS服务器被劫持更 换,同时主域名已经被解析到一个荷兰的IP; 2、域名被更换后,访问百度时页面自动跳转到一租用雅虎服务 器的空间;该 IP的网站实际使用英文雅虎下的租用空间,因 此访问百度旗下网站时,会出现英文雅虎的出错信息页面。 3、由于页面请求数量过于庞大导致雅虎服务器瘫痪或者流量超 限,服务器瘫痪; 4、服务器瘫痪后,访问百度的网民页面自动跳转到雅虎的提示 页面; 5、在超限之前,部分网民访问伊朗网军的黑客页面,攻击者在 百度首页自称是“Iranian Cyber Army” (伊朗网军)的组织 承认篡改了百度主页,并留下阿拉伯文字; 6、2010年1月12日上午,国内大部分城市用户和海外用户只能通 过未被劫持的百度备用域名访问; 7、2010年1月12日上午约11点起,陆续恢复正常访问;
消息完整性:握手协议还定义了一个用于产生消
息认证码(MAC)的共享密钥
2、SSL记录协议
SSL记录协议的运行过程
2、SSL记录协议
内容 类型 主 版本 副 版本 压缩后的长度
明文 (压缩可选)
SSL记录协议的格式
2、SSL记录协议
内容类型(8bit):用于处理封闭分段的更高层协议, 包括密码变更规格、报警、握手和应用数据四种。 主版本(8bit):表明应用的SSL协议的主版本号。对 于SSLv3.0,该值为3。 副版本(8bit):表明应用的SSL协议的副版本号。对 于SSLv3.0,该值为0。 压缩后的长度(8bit):以字节为单位的明文块的长度。
案 例
2000年2月,著名的Yahoo、eBay等高利润站点遭到持 续两天的拒绝服务攻击,商业损失巨大。 2002年6月,日本2002年世界杯组委会的官方网站由于 黑客成功侵入并在该网站上发布侮辱性内容而被迫关闭。
2006年2月,为抗议丹麦发行伊斯兰教先知穆罕默德的 卡通漫画,已有数百家该国的网站遭到了黑客的攻击, 在上面写满了赞美伊斯兰教和谴责这些卡通画的语言, 其中一些还被放置了被焚的丹麦国旗的照片。
底层软件复杂,相应的可能会隐藏很多潜在的安全 缺陷。 Web服务器可以作为进入公司或机构的整个计算机 联合体的跳板使用。 用户多是临时的和未经培训的,缺乏警觉感,也没 有对安全风险给予有效防范的工具和知识。
案 例
96年8月17日,美国司法部的网络服务器遭到黑客入侵,并 将“美国司法部”的主页改为“美国不公正部”,将司法部 部长的照片换成了希特勒,将司法部徽章换成了纳粹党徽, 并加上一幅色情女郎的图片作为所谓司法部部长的助手,此 外,还留下了很多攻击美国司法政策的文字。 96年9月18日,黑客光顾美国中情局的网络服务器,将其主 页由“中央情报局”改为I“中央愚蠢局”。 96年12月29日,黑客入侵美国空军的全球网网址并将其主页 肆意改动,其中有关空军介绍、新闻发布等内容被替换成一 段简短的黄色录像,且声称美国政府所说的一切都是谎言。 迫使美国国防部一度关闭了其他80多个官方网址。
第2部分 网络安全应用
第4章 密钥分配和用户认证
第5章 传输层安全
第6章 无线网络安全 第7章 电子邮件安全
第8章 IP安全
第5章
传输层安全
提纲
Web安全需求 安全套接字层SSL 传输层安全TLS
HTTPS
安全盾SSH
提要
安全套接字层SSL提供TCP和使用TCP的应用之间
的安全服务。互联网标准称为传输层安全TLS
注意:阴影的传输时可选的, 或者是与情况相关的消息,并 非总是被发送
5、握手协议
第一阶段:客户端发起建立连接请求。主要是发起 逻辑连接,并建立与之关联的安全能力。
客户端
服务器端
5、握手协议
第二阶段:服务器认证和密钥交换。
客户端 服务器端
server_hello_done:服务器的hello结束,发送完这个消息,服 务器要等待客户端的响应。
3、密码变更规格协议
由一个仅一个字节的值为1的消息组成
功能:使读/写的延迟状态改为当前状态。
4、报警协议
报警协议用于将与SSL相关的报警传达给对等实体。 两个字节组成,第一个字节值1表示警报,值2表 示致命错误。第二个字节包含描述特定警报信息的 代码。
5、握手协议
握手协议是SSL中最复杂的部分。 握手协议允许客户端和服务器端相互认证,并协商 加密和MAC算法,以及用于保护SSL记录中所发送 数据的加密密钥。 在任何应用数据被传输之前使用。