WEB安全威胁与SSL

一 web安全威胁有哪些?

二 解决方案

  • 基于应用层实现web安全,其原理为为特定应用定制特定安全服务,将安全服务直接嵌入到应用程序中。
  • 基于传输层实现web安全,原理为 SSL/TLS可作为基础协议栈的组成部分,对应用透明。
    • 也可直接嵌入到浏览器中使用。
    • 使用SSL/TLS后,传送的应用层数据会被加密,保证了数据通信安全。
  • 基于网络层实现web安全,IPSec提供端到端(主机到主机)的安全机制---安全通道
    • 通用解决方案。
    • 各种应用程序均可以使用IPSec提供的安全机制。

三 SSL(安全套接字层)

  • 需要发送字节流以及数据交换。
  • 需要一组密钥用于整个连接
  • 需要证书交换作为协议的一部分:握手阶段

SSL原理--当tcp握手成功后

简单ssl交换过程:

SSL协议栈

ssl密码组:

  • 公开密钥算法
  • 对称加密算法
  • MAC算法

ssl支持多个密码组。

协商:客户端和服务器端沟通协商使用何种密码组。

  • 客户端提供选项。
  • 服务端其中选一。

SSL更改密码规格协议

SSL警告协议

SSL握手协议

SSL记录协议

四 SSL握手过程

最后步骤5,6的意义?----保护握手过程免遭篡改。

  • 客户端提供的算法,安全性有强有弱。
  • 中间人攻击(删除安全性强的算法)。

为什么需要交换2个一次性随机数?

  1. 防止重放攻击:每次 SSL/TLS 连接都需要使用新的随机数,这样即使攻击者截获了某次连接的密文,也不能在后续的会话中重用这些数据,从而避免重放攻击。

  2. 生成会话密钥:SSL/TLS 协议使用这些随机数来帮助生成会话密钥。客户端和服务器各自生成一个随机数,然后结合彼此的随机数和一些加密算法(例如 Diffie-Hellman 密钥交换或 RSA),来生成一个会话密钥。这个密钥将在当前会话中用于加密和解密数据传输。

  3. 增强密钥的随机性:通过交换两个独立的随机数,确保生成的密钥具备足够的随机性和复杂性,降低密钥被猜测或攻击的风险。

  4. 确保每次连接独特性:即使客户端和服务器在不同的会话中使用相同的密码算法和密钥交换机制,由于每次连接交换的随机数不同,会话密钥也会不同,确保每次连接的加密效果是唯一且不可预测的。

SSL握手消息及参数

握手过程:

SSL记录协议-操作步骤

  • 将数据分段为可操作的数据块
  • 对分块数据进行数据压缩
  • 计算MAC值

密钥派生

相关推荐
ALe要立志成为web糕手5 分钟前
TCP/IP
安全·web安全·网络安全·渗透测试
浅夏入秋^_^1 小时前
网络安全运维面试准备
运维·安全·web安全
开开心心就好2 小时前
Excel批量加密工具,一键保护多个文件
java·javascript·人工智能·安全·excel·音视频·语音识别
ALe要立志成为web糕手4 小时前
HTTP 与 HTTPS 的区别
网络·安全·web安全·网络安全
格发许可优化管理系统4 小时前
GTSuite许可证性能优化建议
大数据·运维·数据库·安全·性能优化·数据分析
明月看潮生5 小时前
编程与数学 03-002 计算机网络 12_网络安全基础
计算机网络·安全·web安全·青少年编程·编程与数学
fen_fen6 小时前
ZAP漏洞扫描系列05:扫描策略说明
安全
mooyuan天天6 小时前
sqli-labs通关笔记-第20关 字符型Header-Cookie SQL注入(单引号闭合 手工注入+脚本注入两种方法)
web安全·sql注入·sqlmap·sql注入漏洞·header注入·sqli-labs靶场
聚铭网络7 小时前
聚铭安全管家平台2.0实战解码 | 安服篇(三):配置保障 自动核查
安全
ALe要立志成为web糕手8 小时前
计算机网络基础
网络·安全·web安全·网络安全