传输层安全协议汇编.ppt

4. 加密 可供选择的加密算法： AES 128 256 RC4-40 40 IDEA 128 RC4-128 RC2-40 40 DES-40 40 DES 56 3DES 168 FORTEZZA 80 5. 封装 * 作业： 1、SSL包含哪些协议？ 2、SSL握手协议的作用 3、SSL记录协议提供哪些服务？SSL记录协议传输有哪些步骤？ 4、HTTPS的目的是什么？ 5、考虑以下web安全性威胁，并描述SSL是如何防止这些威胁的 （1）穷举密码分析攻击 （2）重放攻击：重放先前的SSL握手消息 （3）中间人攻击：在密钥交换时，攻击者向服务器假扮客户端，向客户端假扮服务器 （4）密码窃听：HTTP或其他应用流量的密码被窃听 （5）IP欺诈：使用伪造的IP地址使主机接收伪造的数据 （6）IP劫持：中断两个主机间活动的，经过认证的连接，攻击者代替一方的主机进行通信 （7）SYN洪：攻击者发送TCP SYN消息请求连接，但不回答建立连接的最后一条消息。被攻击的TCP模块通常为此预留几分钟的“半开连接”，重复SYN消息可以阻塞TCP模块。 威胁 后果 对策 完整性 修改用户数据 浏览器种入特洛伊木马 内存修改 修改传送中的消息 信息丢失 机器损害 易受所有其他威胁的攻击 加密校验和 保密性 网上窃听 窃取服务器数据 窃取客户端数据 窃取网络配置信息 窃取客户与服务器通话信息 信息失窃 秘密失窃 加密、WEB代理 拒绝服务 破坏用户线程 用假消息使机器溢出 填满硬盘或内存 使用DNS攻击来孤立机器 中断 干扰 阻止正常工作 难以防止 认证 伪装成合法用户 伪造数据 用户错误 相信虚假信息 加密技术 Web安全威胁及对策 Web安全的特点 提供双向的服务，攻击防范能力脆弱 作为可视化窗口和商业交互平台，提供多种服务，事关声誉 底层软件庞大，如apache约10M，历来是漏洞之最，攻击手段最多 如果被攻破可能导致成为进入企业的跳板 使用Web服务的用户没有有效防范的工具和知识 Web安全的组成部分 Browser 安全 Web Server安全 Browser 与Web Server之间网络通信安全 Web安全方案 网络层：IPSec 传输层：SSL/TLS 应用层：SET/SHTTP SSL与TLS的关系 TLS源于SSL，在被IETF(互联网工程任务组)最终采纳为标准之前，都称为SSL，是Netscap公司的技术。IETF采纳该标准后，称为TLS。 SSLv1-SSLv2-SSLv3-TLSv1 TLSv1与SSLv3基本相同（个别细节改动） SSLv1基本没有得到应用，SSLv2之后的版本则获得了广泛的应用 目前：是应用最广泛的安全协议。 （1）主要是为了Web安全设计，所以要与HTTP一起很好地工作。 （2）保密性：在不泄露信息给攻击者的情况下，将信息从客户端传给服务器 （3）服务器认证 （4）客户端认证（可选） （5）简化客户端操作 （6）透明性：除Web外，还为其它应用提供安全性，这些应用基于TCP，所以基于TCP实现，相当于一个安全的TCP。 SSL/TLS的设计目标 SSL和TLS的基本策略：在两个通信的应用程序之间提供一条传递任意应用数据的安全通道。 SSL和TLS基于TCP。 应用：使用SSL的连接和使用TCP的连接一样。 在协议栈中的位置： 应用层 SSL TCP IP SSL/TLS与TCP/IP SSL 功能 SSL 提供四个基本功能 Authentication Encryption Integrity Key Exchange 采用两种加密技术 非对称加密 认证 交换加密密钥 对称加密：加密传输数据 SSL 功能 1. 用于Web的SSL 通常的HTTP过程： 1.建立TCP连接 2.请求-响应 3.断开连接 SSL应用 使用SSL的HTTP过程： 1.建立TCP连接 2.建立SSL通道 3.请求-响应 4.关闭SSL通道 5.关闭TCP连接 问题：某些服务器不支持SSL 解决：使用HTTPS而不是HTTP来指示使用SSL HTTP、NNTP（SNEWS）、SMTP、FTP、TELNET都用SSL来保护。 解决方案： （1）分设端口：协议设计者为协议分配一个不同的知名端口，而服务器实现同时在原来的端口和新的安全端口上监听（HTTPS 443）。 （2）升级协商（upw