【网络安全基础】第六章---Web安全需求

本章主要内容是计算机网络中的安全协议

一、各层安全协议

安全协议和网络协议都是协议，但不要弄混了
1）HTTP、TCP、UDP这些是网络协议，其核心目标是实现网络设备之间的通信交互，解决数据传输的格式、顺序、差错控制等基础问题
2）SSL、TLS这些是安全协议，其核心目标是通过加密、认证、授权等机制，防止数据被窃取、篡改或恶意攻击

二、传输层安全（TLS）

传输层安全TLS是一种通用服务，是依赖TCP实现的一组协议
TLS是由安全套接字层SSL的商业协议发展而来

TLS的两种实现方式：
（1）TLS作为底层协议套件的一部分被提供，对应用程序是透明的
（2）TLS嵌入到特定的包中：浏览器——配备了TLS；Web服务器——实现了TLS协议

三、TLS体系结构（重点）

TLS不是单个协议，由两层协议组成：
（1）较高层协议：
握手协议——相互认证，密钥交换（≥4字节）
修改密码规范协议——挂起状态（1字节）
警报协议——级别+警告（2字节）

（2）较底层协议：
TLS记录协议——机密性（加密）、完整性（MAC）

TLS协议中的两个重要概念：TLS会话、TLS连接

3.1 TLS记录协议

TLS记录协议为TLS连接提供两种服务：
（1）机密性
握手协议定义一个可以用于加密TLS载荷的传统加密共享密钥

（2）消息完整性
握手协议还定义一个用于产生消息认证码（MAC）的共享密钥

3.2 修改密码规格协议

本协议只包含一条信息，由一个值为 1 的字节组成。这条信息的唯一功能是使得挂起状态改变为当前状态

3.3 警报协议

警报协议用于将与TLS相关警报传达给对等实体

这一协议过程中的每一条消息都由两个字节组成；第一个字节取值为警告或者致命以表示消息的严重程度；第二个字节指明具体的警告

3.4 握手协议

握手协议由客户端和服务器之间的一系列信息交换组成
这一协议允许客户端和服务器相互认证，并协商加密和MAC算法，以及用于保护数据使用的密钥通过TLS记录传送
每一条信息都包含三个域：

四个核心阶段：
第一阶段——客户端发起建立连接请求：
客户端发送客户端请求信息（client_hello），包含版本、会话ID、密码套件、压缩方式等
服务器接收后，会发送服务器响应信息（server_hello）

第二阶段——服务器认证和密钥交换：
如果需要认证，服务器会发送证书信息，包括一个X.509证书或一个X.509证书链
如果还有需要，服务器可以发送一个服务器密钥交换消息（server_key_exchange），或者向客户端请求证书
最后一条消息服务器结束消息（server_done）

第三阶段——客户端认证和密钥交换：
如果服务器请求证书，客户端会发送证书消息（certificate）
客户端发送客户端密钥交换消息（client_key_exchange）
最后阶段发送证书验证消息（certificate_vertify）

第四阶段——完成
这一阶段完成安全连接的建立

四、心跳协议（重点）

心跳：网络中由硬件或软件产生的周期性信号

重点掌握：
1）心跳协议的作用：用于监视协议实体的可用性
2）心跳协议运行在TLS记录协议之上，由两种消息类型组成：心跳请求、心跳响应
3）心跳协议的使用是在握手协议的第一个阶段中建立的

五、SSL/TLS攻击

攻击握手协议、攻击记录和应用数据协议、攻击PKI、其他攻击

六、HTTPS

重点掌握：
1）HTTPS是指HTTP和TLS的结合
2）HTTPS的作用：实现网络浏览器和服务器之间的安全通信

七、SSH

SSH的作用：致力于提供一个安全的远程登录装置

SSH协议由三个协议组成，运行于TCP之上
1）SSH用户身份认证协议——用户证明自己的身份
2）SSH连接协议——虚拟出多条逻辑信道
3）SSH传输层协议——密钥交换

八、习题训练

简述TLS协议的组成及其每个成份的功能

体系结构分为较高层协议和较低层协议

较高层协议：TLS握手协议、TLS修改密码规范协议、警报协议
较低层协议：TLS记录协议

功能：
TLS握手协议：允许服务器和客户端相互认证，协商加密和MAC算法，协商用于对称加密中使用的共享密钥
TLS修改密码规范协议：使得挂起状态改变为当前状态，用于更新连接使用的密码套件
警报协议：将与TLS相关的警报传给对等实体
TLS记录协议
利用共享密钥加密TLS载荷的对称加密以保证机密性
利用共享密钥计算压缩消息的消息认证码MAC（保证消息完整性）