SSLTLS体系结构与协议SSLTLS协议的安全性分析.pptVIP

不同的是，服务器通过发送Certifiate消息向用户索取公钥证书，并通过发送CertificateVerify消息向服务器证明这个消息的发送端是先前与服务器交互的一方，其中包含以前双方所发送随机数等数据的数字签名。适用于对安全性能要求较高的场合。 * 如上所述，这种方式的SSL劫持根本无法从服务器端检测出来，因为在服务器开来，这只是与客户端的正常通信，它无法辨识是从代理来与客户端通信。不过我们还是可以从客户端的角度来检测和抵御这种类型的攻击。 使用HTTPS确保安全连接- 当你执行上诉描述的攻击时，攻击破坏了连接的安全性，这种安全性在浏览器中有所反映。这意味着如果你登录网上银行时，发现只是标准的HTTP连接，那么很有可能正受到攻击。不管你使用何种浏览器，你都要确保你知道如何识别安全连接与不安全连接。 将网上银行保存为主页-攻击者拦截家庭网络比拦截工作网络的可能性更低，这并不是因为家庭电脑更加安全(实际上，家庭电脑更加不安全)，而是因为家庭网络中往往只有一两台电脑，除非家庭成员发动内部攻击。在公司网络中，你无法知晓网络情况或者分公司网络情况，所以潜在攻击源更多。会话劫持最大的目标之一就是网上银行，但是其他任何个人信息都有可能被劫持。 确保内部机器的安全 - 这种类型的攻击大多数都是从网络内部发动攻击的，如果你的网络设备很安全，那么那些被感染主机被利用发动会话劫持攻击的可能性就很小。 * * SSL/TLS协议 姓名：张启明 内容 SSL/TLS概述 SSL/TLS体系结构与协议 SSL/TLS协议的安全性分析 SSL/TLS协议的应用 SSL/TLS协议概况 1994年Netscape开发了SSL(Secure Socket Layer)协议，专门用于保护Web通讯 版本和历史 1.0，不成熟 2.0，基本上解决了Web通讯的安全问题 3.0，1996年发布，增加了一些算法，修改了一些缺陷 TLS 1.0(Transport Layer Security, 也被称为SSL 3.1)，1997年IETF发布了Draft 1999年，发布RFC 2246(The TLS Protocol v1.0) SSL/TLS协议概况 协议的设计目标 为两个通讯个体之间提供必威体育官网网址性和完整性(身份认证) 互操作性、可扩展性、相对效率 协议的使用 SSL/TLS协议概况 凡是支持TLS协议的网页，都以https://作URL的开头 SSL/TLS结构 协议分为两层 底层：TLS记录协议 上层：TLS握手协议、TLS更改密码说明协议、TLS警告协议 SSL/TLS工作原理 采用握手协议建立客户与服务器之间的安全通道，该协议包括双方的相互认证，交换密钥参数 采用警告协议向对端指示其安全错误 采用更改密码说明协议改变密码参数 采用记录协议封装以上三种协议或应用层数据（记录类型20=改变密码规格，21=警告，22=握手，23=应用层数据） SSL/TLS协议功能 客户对服务器的身份认证 TLS服务器允许客户的浏览器使用标准的公钥加密技术和一些可靠的认证中心（CA）的证书，来确认服务器的合法性。 服务器对客户的身份认证 也可通过公钥技术和证书进行认证，也可通过用户名，password来认证。 建立服务器与客户之间安全的数据通道 TLS要求客户与服务器之间的所有发送的数据都被发送端加密、接收端解密，同时还检查 数据的完整性 SSL/TLS提供的安全服务 用户和服务器的合法性认证 遵照X.509协议 传输数据的机密性 采用DES, Triple DES, IDEA, RC2, RC4, … 传输数据的完整性 使用 MD5 或SHA-1 TLS记录协议 TLS记录协议特点 建立在可靠的传输协议(如TCP)之上 它提供连接安全性，有两方面 必威体育官网网址性，使用了对称加密算法 完整性，使用HMAC(keyed-Hash Message Authentication Code,密钥相关的哈希运算消息认证码)算法 用来封装高层的协议 TLS记录协议 TLS记录协议处理发送数据的基本过程 TLS记录协议 协议的处理结果: struct { ContentType type; —— 8位，上层协议类型 ProtocolVersion version; —— 16位，主次版本 uint16 length; —— 加密后数据的长度 EncryptedData fragment; —— 密文数据 } TLSCiphertext; TLS改变密码规格协议 它位于TLS记录协议之上 所以，它用到了TLS记录协议的处理过程 ContentType = 20 协议只包含一