传输层安全协议_第1页
传输层安全协议_第2页
传输层安全协议_第3页
传输层安全协议_第4页
传输层安全协议_第5页
已阅读5页,还剩30页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、威胁后果对策完整性修改用户数据浏览器种入特洛伊木马内存修改修改传送中的消息信息丢失机器损害易受所有其他威胁的攻击加密校验和保密性网上窃听窃取服务器数据窃取客户端数据窃取网络配置信息窃取客户与服务器通话信息信息失窃秘密失窃加密、WEB代理拒绝服务破坏用户线程用假消息使机器溢出填满硬盘或内存使用DNS攻击来孤立机器中断干扰阻止正常工作难以防止认证伪装成合法用户伪造数据用户错误相信虚假信息加密技术Web安全威胁及对策Web安全的特点提供双向的服务,攻击防范能力脆弱提供双向的服务,攻击防范能力脆弱作为可视化窗口和商业交互平台,提供多种服务,事关声誉作为可视化窗口和商业交互平台,提供多种服务,事关声誉底

2、层软件庞大,如底层软件庞大,如apacheapache约约10M10M,历来是漏洞之最,攻击手段最多,历来是漏洞之最,攻击手段最多如果被攻破可能导致成为进入企业的跳板如果被攻破可能导致成为进入企业的跳板使用使用WebWeb服务的用户没有有效防范的工具和知识服务的用户没有有效防范的工具和知识Web安全的组成部分Browser 安全安全Web Server安全安全Browser 与与Web Server之间网络通信安全之间网络通信安全Web安全方案网络层:网络层:IPSec传输层:传输层:SSL/TLS应用层:应用层:SET/SHTTPSSL与TLS的关系TLS源于源于SSL,在被在被IETF(互

3、联网工程任务组互联网工程任务组)最终采纳为标准最终采纳为标准之前,都称为之前,都称为SSL,是是Netscap公司的技术。公司的技术。IETF采纳该标准采纳该标准后,称为后,称为TLS。SSLv1-SSLv2-SSLv3-TLSv1TLSv1与与SSLv3基本相同(个别细节改动)基本相同(个别细节改动)SSLv1基本没有得到应用,基本没有得到应用,SSLv2之后的版本则获得了广泛的应之后的版本则获得了广泛的应用用目前:目前:是应用最广泛的安全协议。是应用最广泛的安全协议。 (1)主要是为了主要是为了Web安全设计,所以要与安全设计,所以要与HTTP一起很好地工一起很好地工作。作。 (2)保密性

4、:在不泄露信息给攻击者的情况下,将信息从客户)保密性:在不泄露信息给攻击者的情况下,将信息从客户端传给服务器端传给服务器 (3)服务器认证)服务器认证 (4)客户端认证(可选)客户端认证(可选) (5)简化客户端操作)简化客户端操作 (6)透明性:除)透明性:除Web外,还为其它应用提供安全性,这些应用外,还为其它应用提供安全性,这些应用基于基于TCP,所以基于所以基于TCP实现,相当于一个安全的实现,相当于一个安全的TCP。 SSL/TLS的设计目标的设计目标 SSL和和TLS的基本策略:在两个通信的应用程序之间提供一条的基本策略:在两个通信的应用程序之间提供一条传递任意应用数据的安全通道。

5、传递任意应用数据的安全通道。SSL和和TLS基于基于TCP。应用:使用应用:使用SSL的连接和使用的连接和使用TCP的连接一样。的连接一样。 在协议栈中的位置:在协议栈中的位置:应用层应用层SSLTCPIPSSL/TLS与与TCP/IPSSL 功能功能 SSL 提供四个基本功能提供四个基本功能4 Authentication 4 Encryption 4 Integrity4 Key Exchange 采用两种加密技术采用两种加密技术4 非对称加密非对称加密* 认证认证* 交换加密密钥交换加密密钥4 对称加密:加密传输数据对称加密:加密传输数据SSL 功能功能1. 用于用于Web的的SSL 通

6、常的通常的HTTP过程:过程:1.建立建立TCP连接连接 2.请求请求-响应响应 3.断开连接断开连接 SSL应用应用 使用使用SSL的的HTTP过程:过程: 1.建立建立TCP连接连接 2.建立建立SSL通道通道 3.请求请求-响应响应 4.关闭关闭SSL通道通道 5.关闭关闭TCP连接连接 问题:问题:某些服务器不支持某些服务器不支持SSL解决:解决:使用使用HTTPS而不是而不是HTTP来指示使用来指示使用SSLhttps:/ HTTP、NNTP(SNEWS)、)、SMTP、FTP、TELNET都用都用SSL来来保护。保护。解决方案:解决方案:(1)分设端口:)分设端口:协议设计者为协议

7、分配一个不同的知名端口,而协议设计者为协议分配一个不同的知名端口,而服务器实现同时在原来的端口和新的安全端口上监听(服务器实现同时在原来的端口和新的安全端口上监听(HTTPS 443)。)。 (2)升级协商(升级协商(upward negotiation):):协议设计者通过修改应协议设计者通过修改应用协议来支持一种用于表示一方想升级为用协议来支持一种用于表示一方想升级为SSL的消息的消息 (基于(基于TLS的的SMTP即基于这种策略。即基于这种策略。 )在在SSL上构建应用上构建应用SSL 的结构的结构nSSL是独立于各种协议的是独立于各种协议的n常用于常用于HTTP协议,但也可用于别的协议

8、,如协议,但也可用于别的协议,如NNTP,TELNET等等SSL体系结构体系结构n建立在可靠的传输协议(如建立在可靠的传输协议(如TCP)基础上)基础上n提供连接安全性提供连接安全性4 保密性,使用了对称加密算法保密性,使用了对称加密算法4 完整性,使用完整性,使用HMAC算法算法n用来封装高层的协议用来封装高层的协议SSL 记录协议记录协议n客户和服务器之间相互认证客户和服务器之间相互认证n协商加密算法和密钥协商加密算法和密钥n提供连接安全性提供连接安全性4 身份鉴别,至少对一方实现鉴别,也可以是双身份鉴别,至少对一方实现鉴别,也可以是双 向鉴别向鉴别4 协商得到的共享密钥是安全的,中间人不

9、能知道协商得到的共享密钥是安全的,中间人不能知道4 协商过程是可靠的协商过程是可靠的SSL握手协议握手协议 TLS&SSLv3 1.1 概述概述两个阶段,两个层次,两类认证,四个协议两个阶段,两个层次,两类认证,四个协议两个阶段:两个阶段:1.握手阶段:握手阶段:对服务器(客户端)进行认证并确立用于保护数对服务器(客户端)进行认证并确立用于保护数据传输的密钥。据传输的密钥。 2.数据传输阶段:数据传输阶段:数据被分割成记录传输,在传输数据之前必数据被分割成记录传输,在传输数据之前必须完成握手。须完成握手。 两个层次:两个层次:1.记录层:记录层:数据承载层数据承载层 2.握手层:握手层

10、:协商和控制层协商和控制层 两类认证:两类认证: 1.1.服务器认证服务器认证 2.2.客户端认证客户端认证 四个协议:四个协议: 1.1.记录协议:记录协议:数据承载数据承载 2.2.握手协议:握手协议:安全参数协商安全参数协商 3.3.警告协议:警告协议:错误和控制消息错误和控制消息 4.4.更改密码规范协议:更改密码规范协议:协商完成,安全参数激活协商完成,安全参数激活 1.2 握手 一一. 目的目的 1.客户端与服务器就一组用于保护数据的算法达成一致客户端与服务器就一组用于保护数据的算法达成一致 2.需要确立与算法相关的密钥需要确立与算法相关的密钥 3.对服务器(客户端)的认证对服务器

11、(客户端)的认证二二. 过程过程 客户客户服务器服务器1. 所支持的加密算法,随机数所支持的加密算法,随机数1.客户端将自己支持的算法列表同用于生客户端将自己支持的算法列表同用于生成密钥的随机数一起发送给服务器成密钥的随机数一起发送给服务器 2. 选中的加密算法,随机数,证书选中的加密算法,随机数,证书2.服务器从列表中选择一种加密算法,并服务器从列表中选择一种加密算法,并将其连同一份包含服务器公钥的证书将其连同一份包含服务器公钥的证书发给客户端,还提供了用于生成密钥发给客户端,还提供了用于生成密钥的随机数的随机数 3. 加密后的预主密钥加密后的预主密钥3.客户端对服务器证书进行验证,并客户端

12、对服务器证书进行验证,并提取服务器公钥。然后产生预主密提取服务器公钥。然后产生预主密钥随机密码串,并使用服务器公钥钥随机密码串,并使用服务器公钥加密。最后客户端将加密后的信息加密。最后客户端将加密后的信息发送给服务器。发送给服务器。 4. 计算密钥计算密钥4. 计算密钥计算密钥4.客户端和服务器根据预主密钥以及客户端和服务器根据预主密钥以及随机数分别计算加密和随机数分别计算加密和MAC密钥密钥 5. 握手消息的握手消息的MAC值值5.客户端将所有握手消息的客户端将所有握手消息的MAC值发值发给服务器给服务器 6. 握手消息的握手消息的MAC值值6.服务器将所有握手消息的服务器将所有握手消息的M

13、AC值发值发给客户端给客户端 SSL握手协议报文格式握手协议报文格式 ClientHelloVersion 3.1Random32=38 f3 cb de 80 4c b4 79 0a 07 9f b3 51 ba b8 62 69 e3 8f bf ce c7 ff 25 3c 3b 84 16 38 b2 5e f7Cipher suites(认证算法、密钥交换算法、加密算法、摘要算法认证算法、密钥交换算法、加密算法、摘要算法)TLS_RSA_WITH_NULL_SHATLS_DH_DSS_WITH_DES_CBC_SHATLS_RSA_WITH_RC4_128_MD5TLS_RSA_WI

14、TH_RC4_128_SHATLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5TLS_RSA_WITH_IDEA_CBC_SHATLS_RSA_EXPORT_WITH_DES40_CBC_SHATLS_DH_DSS_EXPORT_WITH_DES40_CBC_SHATLS_RSA_WITH_3DES_EDE_CBC_SHACompression methods NULL三三. . 握手消息握手消息4. 计算密钥计算密钥4. 计算密钥计算密钥客户客户服务器服务器客户客户服务器服务器1. 所支持的加密算法,随机数所支持的加密算法,随机数1. 握手握手:ClientHello3.

15、加密后的预主密钥加密后的预主密钥3. 握手:握手:ClientKeyExchange5. 握手消息的握手消息的MAC值值5. 握手:握手:finished6. 握手消息的握手消息的MAC值值6. 握手:握手:finished2. 握手握手:ServerHelloDone2. 握手握手:ServerHello2. 握手握手:Certificate2. 选中的加密算法,随机数,证书选中的加密算法,随机数,证书ClientHelloServerHello:包含了服务器选择的算法包含了服务器选择的算法Certificate:包含了服务器的证书包含了服务器的证书ServerHelloDone:标志服务器

16、这一握手阶段完成标志服务器这一握手阶段完成ClientKeyExchange:发送预主密钥发送预主密钥Finished:包含握手消息包含握手消息MAC说明:省略了两条说明:省略了两条ChangeCipherSpec消息消息 SSL记录协议记录协议-SSL数据处理数据处理 记录:记录:SSLSSL处理的基本单位处理的基本单位发送方以记录为单位保护,接收方则以记录为单位检查发送方以记录为单位保护,接收方则以记录为单位检查数据数据数据分片数据分片数据分片数据分片MACMAC加密的数据和加密的数据和MAC记录头记录头加密的数据和加密的数据和MAC记录头记录头SSL数据的分片与保护数据的分片与保护一一.

17、处理步骤处理步骤1. 发送数据发送数据(1)数据分片(分片的最)数据分片(分片的最大长度:大长度:214-1) (2)可能进行数据压缩)可能进行数据压缩 (3)计算)计算MAC (4)加密)加密 (5)传输数据)传输数据 数据数据数据分片数据分片数据分片数据分片MACMAC加密的数据分片和加密的数据分片和MAC记录头记录头加密的数据分片和加密的数据分片和MAC记录头记录头2. 接收数据接收数据(1 1)解密)解密 (4 4)重组)重组 (2 2)验证)验证 (5 5)提交给高层协议)提交给高层协议(3 3)解压)解压 二二. 记录格式:记录格式: 头头 + 加密的数据块加密的数据块(数据(数据

18、 + MAC +填充填充 + 填充长度)填充长度) application_data:应用层数据应用层数据 alert:警告消息,报告各种错误信息,指示连接将要关闭警告消息,报告各种错误信息,指示连接将要关闭 handshake:握手消息握手消息 change_cipher_spec:标志使用密码规范的更改,一旦协定了一标志使用密码规范的更改,一旦协定了一组新密钥,则发送该消息指示启用新的密钥组新密钥,则发送该消息指示启用新的密钥。 By Introducing SSL and Certificates using SSLeay - Frederick J. hirschSSL记录协议操作记录

19、协议操作By Introducing SSL and Certificates using SSLeay - Frederick J. hirsch1. 分片分片142字节By Introducing SSL and Certificates using SSLeay - Frederick J. hirsch2. 压缩压缩 无损压缩无损压缩不会增加不会增加1024字节字节 以上长度的内容以上长度的内容没有默认压缩算法没有默认压缩算法3. MAC计算计算4. 加密加密可供选择的加密算法:可供选择的加密算法:AES 128 256 RC4-40 40IDEA 128 RC4-128RC2-40 40DES-40 40DES 563DES 168FORTEZZA 80

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论