第七章 Web安全.docx
《第七章 Web安全.docx》由会员分享,可在线阅读,更多相关《第七章 Web安全.docx(12页珍藏版)》请在冰豆网上搜索。
第七章Web安全
第七章Web安全
【教学目的要求】熟悉各名词、术语的含义,掌握基本概念,特别是WWW安全问题、SSL与TLS。
【重点】SSL与TLS
【难点】SSL与TLS
【教学方法】多媒体教学和传统教学相结合。
【课时安排】2课时
【教学过程】
【导入】
Web安全问题的提出
Web应用的简单性使其迅速普及
本质是基于TCP/IP的C/S应用,无安全性
服务器信息是双向的,可被主动攻击
复杂的软件系统存在隐患:
浏览器一般只能理解基本的数据格式如HTML、JPEG和GIF格式。
对其它的数据格式,浏览器要通过外部程序来观察。
客户的多样性,缺乏安全意识
【讲解】
Web安全问题的提出
Web服务器记录的如下信息,会对用户构成威胁。
(1)IP地址。
(2)服务器/宿主名字。
(3)卸载时间。
(4)用户名(可通过用户授权来了解,或在Unix中通过标识协议获得)。
(5)URL要求。
(6)以用户在会话期间常用的形式及出现的可变数据。
(7)要求的状态。
(8)数据传输尺寸。
Web安全问题的提出
Web服务器可能的安全漏洞:
(l)客户可能永远得不到要求的信息,因为服务器伪造了域名。
客户可能无法获得授权访问的信息。
(2)服务器可能向另一用户发送信息,因为伪造了域名。
(3)误认闯入者是合法用户,服务器可能允许闯入者访问。
Web安全威胁
♦被动攻击:
偷听浏览器和服务器之间的网络通信量,获得对站点受限信息的访问权
♦主动攻击:
假扮另一用户.修改客户与服务器之间传输的信息,或修改站点的信息
Web安全威胁
Web通信安全的实现
♦网络层——IP安全性(IPSec)
♦传输层——SSL/STL
♦应用层——S/MIME,PGP,PEM,SET,Kerberos,S-HTTP,SSH
ØWWW安全问题
ØSSL与TLS
ØSET
SSL协议简介
♦1994年Netscape开发了SSL(SecureSocketLayer)协议,专门用于保护Web通讯
♦版本和历史
–1.0,不成熟
–2.0,基本上解决了Web通讯的安全问题
Microsoft公司发布了PCT(PrivateCommunicationTechnology),并在IE中支持
–3.0,1996年发布,增加了一些算法,修改了一些缺陷
–TLS1.0(TransportLayerSecurity,也被称为SSL3.1),1997年IETF发布了Draft,同时,Microsoft宣布放弃PCT,与Netscape一起支持TLS1.0
–1999年,发布RFC2246(TheTLSProtocolv1.0)
–协议的设计目标
–为两个通讯个体之间提供保密性和完整性(身份认证)
–互操作性、可扩展性、相对效率
–协议的使用:
SSL缺省只进行server端的认证,客户端的认证是可选的。
HTTPS工作过程:
HTTP层:
将用户需求翻译成HTTP请求,如
GET/index.htmHTTP/1.1
Host
SSL层:
借助下层协议的的信道安全的协商出一份加密密钥,并用此密钥来加密HTTP请求。
TCP层:
与webserver的443端口建立连接,传递SSL处理后的数据。
接收端与此过程相反。
SSL体系结构
协议实现分为两层:
♦底层:
SSL记录协议:
用于为高层协议提供保密包装服务
♦上层:
为服务器和客户端之间提供在收发数据之前协商加密算法、密钥服务
SSL提供的安全性
♦通信数据是保密的:
在初始化握手协议协商加密密钥之后传输的消息均为加密的消息。
加密的算法为单钥加密算法如DES、RC4、IDEA等。
♦通信的对方可以验证:
通信双方身份通过公钥加密算法如RSA、DSS等签名来验证
♦提供数据完整性服务:
HASH函数例如SHA、MD5等被用来产生消息摘要MAC。
所传输的消息均包含数字签名,以保证消息的完整性。
♦因此,通信连接是可靠的
SSL的两个重要概念
1.SSL连接(connection)
一个连接是一个提供一种合适类型服务的传输(OSI分层的定义)。
SSL的连接是点对点的关系。
连接是暂时的,每一个连接和一个会话关联。
1.SSL会话(session)
一个SSL会话是在客户与服务器之间的一个关联。
会话由HandshakeProtocol创建。
会话定义了一组可供多个连接共享的密码安全参数。
会话用以避免为每一个连接提供新的安全参数所需昂贵的协商代价。
SSL握手协议
♦该协议允许服务器和客户机相互验证,协商加密和MAC算法以及保密密钥,用来保护在SSL记录中发送的数据。
握手协议是在任何应用程序数据传输之前使用的。
♦SSL握手协议包含四个阶段:
第一阶段:
建立起安全协商
第二阶段:
服务器鉴别和密钥交换
第三阶段:
客户鉴别和密钥交换
第四阶段:
结束
握手协议使用的消息
A:
【通过手头早已有的CA的证书验证B证书的真实性,如果其中一项有误,发出警告并断开连接,这一步保证了B的公钥的真实性】;
A:
【产生一份秘密消息,处理后将用作加密初始化向量和hmac的密钥。
将这份秘密消息用协议中称为per_master_secret-用B的公钥加密,封装成称作ClientKeyExchange的消息。
由于用了B的公钥,保证了第三方无法窃听】
含义:
我生成了一份秘密消息,并用你的公钥加密了,给你(把ClientKeyExchange发给B)注意,下面我就要用加密的办法给你发消息了!
A:
【将秘密消息进行处理,生成加密密钥,加密初始化向量和hmac的密钥】【若B需要验证A的身份则发给A的证书】我说完了
A是SSL客户端,B是SSL服务器端
A:
我想和你安全的通话,我这里的对称加密算法有DES,RC5,密钥交换算法有RSA和DH,摘要算法有MD5和SHA。
B:
我们用DES-RSA-SHA这对组合好了。
【这是我的证书,里面有我的名字和公钥,你拿去验证一下我的身份(把证书发给A)。
】
目前没有别的可说的了。
CipherSuite:
【作业布置】思考题P18的1.1、1.2。
【教学后记】通过本章教学,学生掌握了Web安全的有关基本概念,了解了Web安全两个协议等知识,扩充了学生的专业知识的视野,为后面的网络安全学习打下了基础。
【教学目的要求】熟悉各名词、术语的含义,掌握基本概念,特别是SSL握手协议、SSL记录协议等知识。
【重点】SSL握手协议、SSL记录协议
【难点】SSL握手协议、SSL记录协议
【教学方法】多媒体教学和传统教学相结合。
【课时安排】2课时
【教学过程】
【导入】
【讲解】
SSL握手协议
SSL握手协议
SSL记录协议
♦SSL记录协议为SSL连接提供了两种服务:
机密性:
握手协议为SSL有效载荷的常规密码定义共享的保密密钥。
消息完整性:
握手协议为生成MAC(messageauthenticationcode,消息身份认证码)定义共享的保密密钥。
SSL记录协议
SSL记录协议
SSL记录协议
3.改变密码规格协议
♦改变密码规格协议是使用SSL记录协议的SSL的3个特定协议之一,也是其中最简单的一个。
协议由单个消息组成,该消息只包含一个值为1的单个字节。
该消息的唯一作用就是使未决状态拷贝为当前状态,更新用于当前连接的密码组。
4.警告协议
♦警告协议用来为对等实体传递SSL的相关警告。
当其他应用程序使用SSL时,根据当前状态的确定,警告消息同时被压缩和加密。
新型智能防火墙——“门神”GateGod
网络门神GateGod作为保护网络安全的第一道防线,用于隔离组织的私有网络,保护私有网络不受来自外部网络的侵害。
GateGod支持先进的状态包过滤技术、地址伪装、端口映射、安全路由,同时将IDS(入侵检测系统)作为标准配置,能在线检测1290多种黑客攻击,并随时自行升级,增加新的攻击检测手段,与国际最新IDS完全同步。
安全Web服务器
安全Web服务器在提供常规的Web服务的同时,还具有以下特点:
ØWEB页面加密存储方法,确保存储在WEB服务器上的页面文件的安全性;
ØWEB页面的原始性鉴别技术;
Ø分密级访问控制,确保不被非法访问;
Ø严格的传输加密技术,确保信息不被监听;
Ø数字水印日志,确保日志文件不可更改,为计算机取证提供支持;
及时雨紧急救援中心
♦该系统基于Internet廉价资源构建了安全WEB服务器的远程备份中心。
正常情况下,由本地服务器提供服务。
“及时雨”的另外一层意思是当本地服务器发生灾难时,远程服务器自动切换对外提供服务,使外界觉察不到服务的中断;当本地服务器故障排除后,系统自动从远程服务器取得历史数据后,重新切换为由本地服务器提供服务,从而提供了系统的可靠性和强壮性。
高强度达到军用绝密级的、基于PKI规范的加密机制(对称密钥256位,RSA密钥可达2048位)保障远程数据交换的安全性和可靠性。
客户端高强度SSL安全代理
安全WEB客户端高强度SSL安全代理程序采用国内外先进的网络安全技术,严格遵循SSLv3.0标准,为通讯双方提供严格的身份认证、数据加密、数据完整性验证以及不可抵赖性服务等。
提供比MicrosoftInternetExplorer(IE)和NetscapeNavigator更高的加密强度,支持长达2048位的密钥,且每次会话密钥均不相同。
可满足高级别秘密数据的传输需要。
【作业布置】思考题P18的1.1、1.2。
【教学后记】通过本章教学,学生掌握了Web安全的有关基本概念,了解了SSL握手协议、SSL记录协议。
升级会员 