一、Web应用安全
1.1、Web的安全威胁
1.2、掩护Web安全的本领
掩护Web安全的本领紧张分为3类:应用层实现、传输层实现、网络层实现
- 应用层实现的Web安全工具有,Kerberos、S/MIME、PGP、SET、SSH
- 传输层实现的Web安全工具有,SSL、TLS
- 网络层实现的Web安全工具有,IP/IPSec
二、SSL协议
SSL(Secure Socket Layer)安全套接层是Netscape公司率先接纳的网络安全协议。它是在传输通讯协议(TCP/IP)上实现的一种安全协议,接纳公开密钥技能。SSL广泛支持各种范例的网络,同时提供三种根本的安全服务,它们都利用公开密钥技能。 ——百度百科
SSL可用于全部基于TCP的网络应用,TLS是SSL的标准化(RFC2246)。SSL应用在应用层和TCP协议之间,详细如下:
2.1、简化的SSL传输(抽象出来的SSL协议)
以上过程包罗以下3个紧张点:
①、握手,Alice和Bob利用他们的证书、私钥认证(辨别)相互,以及互换共享密钥
②、①中的主密钥不直接用在数据的加密过程中,而是用主密钥派生出来的密钥加密数据
③、为了办理数据校验过程中的完备性认证,必要将发送报文的字节省分割为一系列记录(假如不分割,则无法对报文的全部内容做完备性校验),然后在每个记录的末了携带一个MAC(Message Authentication Code),吸收方可以对每个记录举行完备性查验,MAC(Message Authentication Code)一样寻常用散列算法(MD5,SHA-1等)盘算得到。每个记录为了包罗全部信息,通常都会设置为变长长度,每个记录的格式详细如下:
- MAC中包罗了整个记录唯一的序列号(可以防止回放攻击);
- 为了克制攻击者回放全部记录,利用了一次性随机数来克制回放攻击;
- 利用一个范例的记录字段type来防止截断攻击。
2.2、实际的SSL传输
实际的SSL传输是创建在TCP毗连的底子上的,只有TCP毗连创建好之后才华创建SSL毗连,同样,只有SSL毗连断开之后,才华断开TCP毗连。
SSL协议不是一个单独的协议,而是两层四个协议,详细如下:
SSL协议支持多个暗码组,客户与服务器商定暗码组,客户端提供选项,服务器挑选暗码,常见的SSL对称暗码算法和公开秘钥暗码算法如下:
- SSL更改暗码规格协议
- SSL告诫协议
- SSL握手协议
- SSL记录协议
2.2.1、SSL协议的握手过程
5,6步可以包管握手过程中的信息不被窜改
利用两个一次随机数可以克制回放攻击
2.2.2、SSL握手协议的消息及参数
2.2.3、握手协议工作过程
2.2.4、SSL记录协议的利用步调,协议内容,记录格式
SSL记录协议的利用步调:
①、将数据分段成可利用的数据块;
②、对分块数据举行数据压缩;
③、盘算MAC值;
④、对压缩数据及MAC值加密;
⑤、加入SSL记录头;
⑥、在TCP中传输。
实际的SSL记录协议内容:
实际的SSL记录协议的格式:
2.2.5、SSL协议的密钥派生
免责声明:如果侵犯了您的权益,请联系站长及时删除侵权内容,谢谢合作!qidao123.com:ToB企服之家,中国第一个企服评测及软件市场,开放入驻,技术点评得现金. |
发表于 
