Web安全.ppt

Web安全 Web安全概述 Web安全威胁及对策 Web安全的特点 提供双向的服务，攻击防范能力脆弱 作为可视化窗口和商业交互平台，提供多种服务，事关声誉 底层软件庞大，如apache约10M，历来是漏洞之最，攻击手段最多 如果被攻破可能导致成为进入企业的跳板 配置比较复杂 Web安全的组成部分 Browser 安全 Web Server安全 Browser 与Web Server之间网络通信安全 Web安全方案 网络层：IPSec 传输层：SSL/TLS 应用层：SET/SHTTP Secure Sockets Layer (SSL) SSL是独立于各种协议的 常用于HTTP协议，但也可用于别的协议，如NNTP，TELNET等 建立在可靠的传输协议（如TCP）基础上 提供连接安全性 保密性，使用了对称加密算法 完整性，使用HMAC算法 用来封装高层的协议 客户和服务器之间相互鉴别 协商加密算法和密钥 提供连接安全性 身份鉴别，至少对一方实现鉴别，也可以是双 向鉴别 协商得到的共享密钥是安全的，中间人不能知道 协商过程是可靠的 连接 会话 连接是能提供合适服务类型的传输（在OSI分层模型中的定义） 对SSL，这样的连接是对等关系 连接是暂时的，每个连接都和一个会话相关 SSL会话是指在客户机和服务器之间的关联 会话由握手协议创建 会话定义了一组可以被多个连接共用的密码安全参数 对于每个连接，可以利用会话来避免对新的安全参数进行代价昂贵的协商 在任意一对的双方之间，也许会有多个安全连接 理论上，双方可以存在多个同时会话，但在实践中并未用到这个特性 会话状态参数 session identifier An arbitrary byte sequence chosen by the server to identify an active or resumable session state peer certificate X509.v3[X509] certificate of the peer. This element of the state may be null. compression method The algorithm used to compress data prior to encryption. cipher spec Specifies the bulk data encryption algorithm (such as null, DES, etc.) and a MAC algorithm (such as MD5 or SHA). It also defines cryptographic attributes such as the hash_size. master secret 48-byte secret shared between the client and server. is resumable A flag indicating whether the session can be used to initiate new connections. 连接状态各种参数 server and client random Byte sequences that are chosen by the server and client for each connection. server write MAC secret The secret used in MAC operations on data written by the server. client write MAC secret The secret used in MAC operations on data written by the client. server write key The bulk cipher key for data encrypted by the server and decrypted by the client. client write key The bulk cipher key for data encrypted by the client and decrypted by the server. initialization vectors When a block cipher in CBC mode is used, an initialization vector (IV) is maintained for each key. This field is first initialized b