WEB安全教學(xué)講解課件

《WEB安全教學(xué)講解課件》由會(huì)員分享，可在線閱讀，更多相關(guān)《WEB安全教學(xué)講解課件（40頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,*,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,*,3.6 WEB,安全,WEB,安全體系結(jié)構(gòu)：,客戶端軟件（,WEB,瀏覽器）的安全；,運(yùn)行瀏覽器的計(jì)算機(jī)及操作系統(tǒng)的安全（主機(jī)系統(tǒng)的安全）；,客戶端的局域網(wǎng)的安全；,服務(wù)器端的局域網(wǎng)的安全；,服務(wù)器端的計(jì)算機(jī)及操作系統(tǒng)的安全；,服務(wù)器上的,WEB,服務(wù)器的安全。,返回本章首頁(yè),WEB,安全協(xié)議,IPSec,協(xié)議集合,SSL,協(xié)議,3.,6.1 IPSec,協(xié)議族,IPsec,是一種協(xié)議集合，范圍較小，是,PKI,的一種應(yīng)用。,Ip

2、sec,可以幫助,Internet,實(shí)現(xiàn),VPN.,IPSec,與,PKI,IPsec,是一種協(xié)議集合，范圍較小，也是,PKI,的一種應(yīng)用，需要,數(shù)字證書(shū),的支持。,ipsec,使用范圍較窄，主要應(yīng)用于分支機(jī)構(gòu)和總公司之間的加密通訊，一般不直接面對(duì)普通用戶。而且它的實(shí)現(xiàn)主要也依賴于數(shù)字證書(shū)提供的加解密。,PKI,，是,基于公私鑰密鑰,的一整套體系，主要圍繞數(shù)字證書(shū)的管理和應(yīng)用。,PKI,的應(yīng)用相當(dāng)廣泛，比如你使用網(wǎng)銀、支付寶等，使用,https,加密登錄，使用數(shù)字證書(shū)等，都屬于,pki,的范疇。,IPSec,協(xié)議族的體系結(jié)構(gòu),IPSec,協(xié)議族,IKE,（,internet key excha

3、nge,）,密匙交換協(xié)議,協(xié),商,雙方使用的算法，密匙，協(xié)商在兩個(gè)對(duì)等體之間建立一條遂道的參數(shù)，協(xié)商完成再用,ESP,或,AH,封裝數(shù)據(jù)。,IKE,動(dòng)態(tài),地,，周期性,地,在兩個(gè),PEER,之間更新密鑰,。,ESP,（,encapsulating security payload,）,封裝安全負(fù)載,可以對(duì)數(shù)據(jù)包認(rèn)證，加密,封裝，,IP,中協(xié)議號(hào),：,50,，通常使用,3DES,來(lái)進(jìn)行加密,。,AH,(authentication header),只提供認(rèn)證，封裝，不提供加密，明文傳送,，,IP,中協(xié)議號(hào),：,51,。,安全聯(lián)盟,SA,IPSec,工作時(shí)，首先兩端的網(wǎng)絡(luò)設(shè)備必須就,SA(secu

4、rity association),達(dá)成一致，這是兩者之間的一項(xiàng)安全策略協(xié)定。,SA,是通信對(duì)等體間對(duì)某些要素的約定，例如使用哪種協(xié)議、協(xié)議的操作模式、加密算法（,DES,、,3DES,、,AES-128,、,AES-192,和,AES-256,）、特定流中保護(hù)數(shù)據(jù)的共享密鑰以及,SA,的生存周期等。,SA,是單向的，在兩個(gè)對(duì)等體之間的雙向通信，最少需要兩個(gè),SA,來(lái)分別對(duì)兩個(gè)方向的數(shù)據(jù)流進(jìn)行安全保護(hù)。,SA,（安全聯(lián)盟）的建立方法,手工方式,配置方法復(fù)雜,IKE,自動(dòng)協(xié)商（,ISAKMP,）方式,只需要配置好,IKE,協(xié)商安全策略的信息，由,IKE,自動(dòng)協(xié)商來(lái)創(chuàng)建和維護(hù)安全聯(lián)盟。,該方式適用

5、于中、大型的動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境中。,IKE,自動(dòng)協(xié)商（,ISAKMP,）方式,該方式建立,SA,的過(guò)程分兩個(gè)階段。,第一階段,，協(xié)商創(chuàng)建一個(gè)通信信道（,ISAKMP SA,），并對(duì)該信道進(jìn)行認(rèn)證，為雙方進(jìn)一步的,IKE,通信提供機(jī)密性、數(shù)據(jù)完整性以及數(shù)據(jù)源認(rèn)證服務(wù)；,第二階段,，使用已建立的,ISAKMP SA,建立,IPsec SA,。,分兩個(gè)階段來(lái)完成這些服務(wù)有助于提高密鑰交換的速度。,IKE,的第一階段的交換過(guò)程,SA,交換,密鑰交換,ID,交換及驗(yàn)證,發(fā)送本地,IKE,策略,身份驗(yàn)證和,交換過(guò)程驗(yàn)證,密鑰生成,密鑰生成,接受對(duì)端,確認(rèn)的策略,查找匹配,的策略,身份驗(yàn)證和,交換過(guò)程驗(yàn)證,確認(rèn)對(duì)

6、方使用的算法,產(chǎn)生密鑰,驗(yàn)證對(duì)方身份,發(fā)起方策略,接收方確認(rèn)的策略,發(fā)起方的密鑰生成信息,接收方的密鑰生成信息,發(fā)起方身份和驗(yàn)證數(shù)據(jù),接收方的身份和驗(yàn)證數(shù)據(jù),Peer1,Peer2,IKE,自動(dòng)協(xié)商的第一階段,作用：,通信各方彼此間建立一個(gè)已通過(guò)身份認(rèn)證和安全保護(hù)的通道，即建立一個(gè),ISAKMP SA,。,DH,算法,DH,（,Diffie-Hellman,，交換及密鑰分發(fā)）算法是一種,公共密鑰算法,。,通信雙方在不傳輸密鑰的情況下通過(guò)交換一些數(shù)據(jù)，,計(jì)算出共享的密鑰,。即使第三者（如黑客）截獲了雙方用于計(jì)算密鑰的所有交換數(shù)據(jù)，由于其復(fù)雜度很高，不足以計(jì)算出真正的密鑰。所以，,DH,交換技術(shù)可

7、以保證雙方能夠安全地獲得公有信息。,IKE,自動(dòng)協(xié)商的第二階段,建立,IPsec SA,協(xié)商的是以下信息：,雙方使用哪種,封裝技術(shù),，,AH,還是,ESP,雙方使用哪種,加密算法,雙方使用哪種,HASH,算法,，是,MD5,還是,SHA,使用哪種,傳輸模式,，是隧道模式還是傳輸模式,還要協(xié)商,SA,的生存期,IPsec,與,IKE,的關(guān)系,AH,協(xié)議,數(shù)據(jù),IP,包頭,數(shù)據(jù),IP,包頭,AH,數(shù)據(jù),原,IP,包頭,AH,新,IP,包頭,傳輸模式,隧道模式,下一個(gè)頭,負(fù)載長(zhǎng)度,保留域,安全參數(shù)索引,(SPI),序列號(hào),驗(yàn)證數(shù)據(jù),AH,頭結(jié)構(gòu),0,8,16,31,ESP,協(xié)議,數(shù)據(jù),IP,包頭,加

8、密后的數(shù)據(jù),IP,包頭,ESP,頭部,ESP,頭,新,IP,包頭,傳輸模式,隧道模式,ESP,尾部,ESP,驗(yàn)證,ESP,尾部,ESP,驗(yàn)證,0,8,16,24,安全參數(shù)索引,(SPI),序列號(hào),有效載荷數(shù)據(jù)（可變）,填充字段,(0-255,字節(jié)）,填充字段長(zhǎng)度,下一個(gè)頭,驗(yàn)證數(shù)據(jù),ESP,協(xié)議包結(jié)構(gòu),數(shù)據(jù),原,IP,包頭,加密部分,IPSec,的認(rèn)證算法,IPsec,使用兩種認(rèn)證算法：,MD5,：,MD5,通過(guò)輸入任意長(zhǎng)度的消息，產(chǎn)生,128bit,的消息摘要。,SHA-1,：,SHA-1,通過(guò)輸入長(zhǎng)度小于,2,的,64,次方,bit,的消息，產(chǎn)生,160bit,的消息摘要。,MD5,算法的

9、計(jì)算速度比,SHA-1,算法快，而,SHA-1,算法的安全強(qiáng)度比,MD5,算法高。,IPSec,的加密算法,目前設(shè)備的,IPsec,實(shí)現(xiàn)三種加密算法：,DES,（,Data Encryption Standard,）：使用,56bit,的密鑰對(duì)一個(gè),64bit,的明文塊進(jìn)行加密。,3DES,（,Triple DES,）：使用三個(gè),56bit,的,DES,密鑰（共,168bit,密鑰）對(duì)明文進(jìn)行加密。,AES,（,Advanced Encryption Standard,）：使用,128bit,、,192bit,或,256bit,密鑰長(zhǎng)度的,AES,算法對(duì)明文進(jìn)行加密。,這三個(gè)加密算法的安全性由

10、高到低依次是：,AES,、,3DES,、,DES,，安全性高的加密算法實(shí)現(xiàn)機(jī)制復(fù)雜，運(yùn)算速度慢。,對(duì)于普通的安全要求，,DES,算法就可以滿足需要。,IPSec,的安全服務(wù),數(shù)據(jù)機(jī)密性（,Confidentiality,）：,IPsec,發(fā)送方在通過(guò)網(wǎng)絡(luò)傳輸包前對(duì)包進(jìn)行加密。,數(shù)據(jù)完整性（,Data Integrity,）：,IPsec,接收方對(duì)發(fā)送方發(fā)送來(lái)的包進(jìn)行認(rèn)證，以確保數(shù)據(jù)在傳,輸過(guò)程中沒(méi)有被篡改。,數(shù)據(jù)來(lái)源認(rèn)證（,Data Authentication,）：,IPsec,在接收端可以認(rèn)證發(fā)送,IPsec,報(bào)文的發(fā)送端是,否合法。,防重放（,Anti-Replay,）：,IPsec,接

11、收方可檢測(cè)并拒絕接收過(guò)時(shí)或重復(fù)的報(bào)文。,3,.6.2,SSL協(xié)議,Security Socket Layer,安全套接字層協(xié)議,SSL,由,Netscape,公司在,1995,年開(kāi)發(fā)。,SSL,協(xié)議是在,Internet,基礎(chǔ)上提供的一種保證私密性的安全協(xié)議。,是目前網(wǎng)上購(gòu)物網(wǎng)站常使用的一種安全協(xié)議。,SSL協(xié)議,的功能,客戶對(duì)服務(wù)器的身份認(rèn)證,SSL,服務(wù)器允許客戶的瀏覽器使用標(biāo)準(zhǔn)的,公鑰技術(shù),和一些可靠的認(rèn)證中心（,CA,）的,證書(shū),來(lái)確認(rèn)服務(wù)器的合法性。,服務(wù)器對(duì)客戶的身份認(rèn)證,可通過(guò),公鑰技術(shù),和,證書(shū),進(jìn)行認(rèn)證，也可以通過(guò)用戶名,password,來(lái)認(rèn)證。,建立服務(wù)器與客戶之間的安全

12、數(shù)據(jù)通道,客戶與服務(wù)器之間的所有數(shù)據(jù)在傳送過(guò)程中都被加密，并進(jìn)行數(shù)據(jù)的完整性檢查。,SSL協(xié)議,的優(yōu)勢(shì),SSL,協(xié)議建立在可靠的傳輸層協(xié)議（,TCP,）之上。,SSL,協(xié)議的優(yōu)勢(shì)：與應(yīng)用層協(xié)議無(wú)關(guān)的。,高層的應(yīng)用層協(xié)議（如,HTTP,、,FTP,、,TELNET),能透明地建立于,SSL,協(xié)議之上。,SSL,協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成,加密算法,、,通信密鑰的協(xié)商,以及,服務(wù)器認(rèn)證,工作。此后，應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會(huì)被加密，從而保證通信的私密性。,SSL,的工作過(guò)程,握手協(xié)議,負(fù)責(zé)確定用于客戶機(jī)和服務(wù)器之間的會(huì)話加密參數(shù)；,記錄協(xié)議,用于交換應(yīng)用數(shù)據(jù)；,警告協(xié)議,用于在發(fā)生錯(cuò)誤時(shí)終

13、止兩個(gè)主機(jī)之間的會(huì)話。,SSL協(xié)議,的組成,SSL,握手協(xié)議包含兩個(gè)階段，,第一個(gè)階段：建立私密性通信信道，,第二個(gè)階段：客戶認(rèn)證。,SSL,握手協(xié)議,是通信的初始化階段，通信雙方都發(fā)出,HELLO,消息。當(dāng)雙方都接收到,HELLO,消息時(shí)，就有足夠的信息確定是否需要一個(gè)新的密鑰。,若不需要新的密鑰，雙方立即進(jìn)入握手協(xié)議的第二階段。,否則，服務(wù)器方的,SERVER,HELLO,消息將包含足夠的信息（服務(wù)器所持有的,X.509,證書(shū)、加密規(guī)約和連接標(biāo)識(shí)）使客戶方產(chǎn)生一個(gè)新的密鑰。,SSL,握手協(xié)議的第一個(gè)階段（,1/2,）,若密鑰產(chǎn)生成功，客戶方發(fā)出,CLIENT-MASTER-KEY,消息，否

14、則發(fā)出錯(cuò)誤消息。,最終當(dāng)密鑰確定以后，服務(wù)器方向客戶方發(fā)出,SERVER-VERIFY,消息。,SSL,握手協(xié)議的第一個(gè)階段（,2/2,）,SSL,第一階段握手流程,主要任務(wù)：對(duì)客戶進(jìn)行認(rèn)證，此時(shí)服務(wù)器已經(jīng)被認(rèn)證了。,服務(wù)器方向客戶發(fā)出認(rèn)證請(qǐng)求消息,REQUEST-CERTIFICATE,。,當(dāng)客戶收到服務(wù)器方的認(rèn)證請(qǐng)求消息后，發(fā)出自己的證書(shū)，并且監(jiān)聽(tīng)對(duì)方回送的認(rèn)證結(jié)果。,當(dāng)服務(wù)器收到客戶的認(rèn)證，認(rèn)證成功返回,SERVER-FINISH,消息，否則返回錯(cuò)誤消息。到此為止，握手協(xié)議全部結(jié)束。,SSL,握手協(xié)議的第二個(gè)階段,保證所有的傳輸數(shù)據(jù)都被封裝在記錄中。,SSL,記錄協(xié)議為,SSL,連接提供

15、兩種服務(wù)：,機(jī)密性,握手協(xié)議定義一個(gè)可以用于,SSL,負(fù)載的,加密共享密鑰,。,消息完整性,握手協(xié)議定義了一個(gè)用于產(chǎn)生消息認(rèn)證碼（,MAC,Message Authentication Code,）的共享密鑰。,SSL,記錄協(xié)議,SSL,記錄 由記錄頭和長(zhǎng)度不為,0,的記錄數(shù)據(jù)組成的。,SSL,記錄協(xié)議 包括了記錄頭和記錄數(shù)據(jù)格式的規(guī)定。,SSL,記錄協(xié)議,SSL,記錄協(xié)議的操作,分段,：每個(gè)上層應(yīng)用數(shù)據(jù)被分成,214,字節(jié)或更小的數(shù)據(jù)塊。記錄中包含類(lèi)型、版本號(hào)、長(zhǎng)度和數(shù)據(jù)字段；,壓縮,：可選項(xiàng)，并且是無(wú)損壓縮，壓縮后內(nèi)容長(zhǎng)度的增加不能超過(guò),1024,字節(jié)；,計(jì)算,MAC,：在壓縮數(shù)據(jù)上計(jì)算消

16、息認(rèn)證,MAC,；,加密,：對(duì)壓縮數(shù)據(jù)及,MAC,進(jìn)行加密；,增加,SSL,記錄頭。,SSL,記錄協(xié)議的操作步驟,SSL,記錄協(xié)議字段,加密是對(duì),明文字段,和,MAC,字段,實(shí)施,內(nèi)容類(lèi)型,（,8,位）封裝的高層協(xié)議；,主要版本,（,8,位）使用的,SSL,主要版本號(hào)，對(duì)于,SSLv3.0,，值為,3,；,次要版本,（,8,位）使用的,SSL,次要版本號(hào)，對(duì)于,SSLv3.0,，值為,0,；,壓縮長(zhǎng)度,（,16,位），,明文數(shù)據(jù),（如果選用壓縮則是壓縮數(shù)據(jù)）以字節(jié)為單位的長(zhǎng)度。,警告協(xié)議 用于指示在什么時(shí)候發(fā)生了錯(cuò)誤或兩個(gè)主機(jī)之間的會(huì)話在什么時(shí)候終止。,警告協(xié)議,加密算法,和,會(huì)話密鑰,是在握手協(xié)議中協(xié)商并由,CIPHER-CHOICE,指定的。,現(xiàn)有的,SSL,版本中所用到的,加密算法,包括,RC4,RC2,IDEA,DES,加密算法所用的密鑰由消息散列函數(shù),MD5,產(chǎn)生。,RC4,、,RC2,是由,RSA,定義的，其中,RC2,適用于塊加密，,RC4,適用于流加密。,SSL,中的加密算法和會(huì)話密鑰,認(rèn)證算法采用,X.509,電子證書(shū)標(biāo)準(zhǔn)，通過(guò)使用,RSA,算法,進(jìn)行數(shù)字簽名來(lái)實(shí)現(xiàn)的