WEB安全威胁与SSL

一 web安全威胁有哪些?

二 解决方案

  • 基于应用层实现web安全,其原理为为特定应用定制特定安全服务,将安全服务直接嵌入到应用程序中。
  • 基于传输层实现web安全,原理为 SSL/TLS可作为基础协议栈的组成部分,对应用透明。
    • 也可直接嵌入到浏览器中使用。
    • 使用SSL/TLS后,传送的应用层数据会被加密,保证了数据通信安全。
  • 基于网络层实现web安全,IPSec提供端到端(主机到主机)的安全机制---安全通道
    • 通用解决方案。
    • 各种应用程序均可以使用IPSec提供的安全机制。

三 SSL(安全套接字层)

  • 需要发送字节流以及数据交换。
  • 需要一组密钥用于整个连接
  • 需要证书交换作为协议的一部分:握手阶段

SSL原理--当tcp握手成功后

简单ssl交换过程:

SSL协议栈

ssl密码组:

  • 公开密钥算法
  • 对称加密算法
  • MAC算法

ssl支持多个密码组。

协商:客户端和服务器端沟通协商使用何种密码组。

  • 客户端提供选项。
  • 服务端其中选一。

SSL更改密码规格协议

SSL警告协议

SSL握手协议

SSL记录协议

四 SSL握手过程

最后步骤5,6的意义?----保护握手过程免遭篡改。

  • 客户端提供的算法,安全性有强有弱。
  • 中间人攻击(删除安全性强的算法)。

为什么需要交换2个一次性随机数?

  1. 防止重放攻击:每次 SSL/TLS 连接都需要使用新的随机数,这样即使攻击者截获了某次连接的密文,也不能在后续的会话中重用这些数据,从而避免重放攻击。

  2. 生成会话密钥:SSL/TLS 协议使用这些随机数来帮助生成会话密钥。客户端和服务器各自生成一个随机数,然后结合彼此的随机数和一些加密算法(例如 Diffie-Hellman 密钥交换或 RSA),来生成一个会话密钥。这个密钥将在当前会话中用于加密和解密数据传输。

  3. 增强密钥的随机性:通过交换两个独立的随机数,确保生成的密钥具备足够的随机性和复杂性,降低密钥被猜测或攻击的风险。

  4. 确保每次连接独特性:即使客户端和服务器在不同的会话中使用相同的密码算法和密钥交换机制,由于每次连接交换的随机数不同,会话密钥也会不同,确保每次连接的加密效果是唯一且不可预测的。

SSL握手消息及参数

握手过程:

SSL记录协议-操作步骤

  • 将数据分段为可操作的数据块
  • 对分块数据进行数据压缩
  • 计算MAC值

密钥派生

相关推荐
Chockmans24 分钟前
春秋云境CVE-2023-51385(保姆级教学)
大数据·web安全·elasticsearch·搜索引擎·网络安全·春秋云境·cve-2023-51385
长风2301 小时前
Day 17: 突破 AOB 框架霸权 —— 插件界面重构与大屏呈现
人工智能·安全
chenyulin45452 小时前
企业微信API:海量会话存档数据的高性能检索与Elasticsearch索引设计
大数据·人工智能·安全·企业微信
启雀AI11 小时前
生物医疗行业如何建设合规、安全、可复用的知识库?
人工智能·安全·软件构建·知识图谱·知识库
Sirius Wu12 小时前
OpenClaw Skill:Matplotlib 可视化技能 + 沙箱双层隔离完整详解
服务器·网络·人工智能·安全·ai·架构·aigc
冬奇Lab13 小时前
每日一个开源项目(第160篇):Destructive Command Guard - 在 AI Agent 运行 rm -rf 之前拦截它
人工智能·安全·开源
ChainSafeAI00214 小时前
Summer.fi 遭600万美元漏洞攻击,安全警报拉响
安全
一勺菠萝丶16 小时前
生产环境平滑升级实战-Nginx维护页数据库迁移与安全回滚
数据库·nginx·安全
味悲17 小时前
搭建WAF+宝塔反向代理
安全
BenSmith19 小时前
RTOS漏洞分析:CVE-2026-10641和CVE-2026-9263
安全