零、
百科:網(wǎng)絡(luò)安全包含網(wǎng)絡(luò)設(shè)備投慈、信息安全承耿、軟件安全
網(wǎng)絡(luò)系統(tǒng)的硬件軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)冠骄,不因偶然的或者惡意的原因而遭受到破壞、更改加袋、泄露凛辣,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷职烧。
一扁誓、HTTP的安全性考慮
1.首部篡改
具有一定保護(hù)級別的首部只有www-Authenticate和Authorization
2.重放攻擊
指有人將從某個事務(wù)中竊取的認(rèn)證證書用于另一個事務(wù)
緩解問題的方法之一:讓服務(wù)器產(chǎn)生的隨機(jī)數(shù)包含根據(jù)客戶端IP地址、時間戳蚀之、資源Etag和私有服務(wù)器密鑰算出的摘要蝗敢。(缺陷:用客戶端的IP地址來創(chuàng)建隨機(jī)數(shù)會破壞經(jīng)過代理集群的傳輸)
完全避免的方法:為每個事務(wù)使用一個唯一的隨機(jī)數(shù)
3.多重認(rèn)證機(jī)制
避免方法:讓客戶端去選擇可用認(rèn)證方案中功能最強(qiáng)的一個。若無法實(shí)現(xiàn)恬总,使用一個只維護(hù)最強(qiáng)認(rèn)證方案的代理服務(wù)器(在已知所有客戶端都支持所選認(rèn)證方案的區(qū)域中才能采用這種方式)
4.詞典攻擊
是典型的密碼猜測型攻擊方式
解決:使用復(fù)雜的相對難破譯的密碼和合適的密碼過期策略
5.選擇明文攻擊
使用已知密鑰來計(jì)算響應(yīng)可以簡化響應(yīng)的密碼分析過程前普。
變體形式:
預(yù)先計(jì)算的詞典攻擊
批量暴力型攻擊
防止方法:配置客戶端使用可選的cnonce指令,這樣響應(yīng)就是基于客戶端的判斷產(chǎn)生的壹堰,而不是用服務(wù)器提供的隨機(jī)數(shù)拭卿。
6.存儲密碼
消除方法:像密碼文件中包含的明文密碼一樣來保護(hù)它
確保域名在所在域中是唯一的。
7.惡意代理攻擊和中間人攻擊
代理為惡意的或容易被入侵
解決方案:由客戶端提供和認(rèn)證功能有關(guān)的可見線索贱纠;對客戶端進(jìn)行配置使其總是使用可用認(rèn)證策略中功能最強(qiáng)的一種峻厚。但即使使用最強(qiáng)大的認(rèn)證策略,客戶端仍很容易被竊聽谆焊。防止這些攻擊唯一簡便的方式就是SSL惠桃。
對于這種攻擊,以下開始介紹HTTPS怎么維護(hù)安全
二辖试、HTTPS(安全HTTP)
1.原理
HTTPS比HTTP多了一個傳輸層的密碼安全層(SSL/TLS)
大部分困難的編碼和解碼工作是在SSL庫中完成的辜王,所以在Web客戶端和服務(wù)器在使用安全HTTP時無需過多地修改其協(xié)議處理邏輯
2.數(shù)字加密
- 密碼:對文本進(jìn)行編碼,使偷窺者無法識別的算法
- 密鑰:改變密碼行為的數(shù)字化參數(shù)
- 對稱密鑰加密系統(tǒng):編碼解碼使用相同的密鑰的算法
- 不對稱密鑰加密系統(tǒng):編碼解碼使用不同的密鑰的算法
- 公開密鑰加密系統(tǒng):一種能夠使數(shù)百萬計(jì)算機(jī)便捷地發(fā)送機(jī)密報(bào)文的系統(tǒng)
- 數(shù)字簽名:用來驗(yàn)證報(bào)文未被偽造或篡改的校驗(yàn)和
- 數(shù)字證書:由一個可信的組織和簽發(fā)的識別信息
3.HTTPS細(xì)節(jié)
若URL是HTTP罐孝,客戶端就會打開一條到服務(wù)器端口(80默認(rèn))的連接呐馆,并向其發(fā)送老的HTTP命令
若URL是HTTPS,客戶端就會打開一條到服務(wù)器端口(443默認(rèn))的連接莲兢,然后與服務(wù)器“握手”汹来,以二進(jìn)制格式與服務(wù)器交換一些SSL安全參數(shù),附上加密的HTTP命令改艇。
(SSL是個二進(jìn)制協(xié)議)
在HTTPS中收班,客戶端首先打開一條道Web服務(wù)器端口443的連接,一旦建立了TCP連接谒兄,客戶端和服務(wù)器就會初始化SSL層摔桦,對加密參數(shù)進(jìn)行溝通,并交換密鑰承疲。握手完成后酣溃,SSL初始化也完成了瘦穆,客戶端就可將請求報(bào)文發(fā)送給安全層了。在將這些報(bào)文發(fā)送給TCP之前赊豌,要先對其進(jìn)行加密扛或。
服務(wù)器證書:安全HTTPS事務(wù)總是要求服務(wù)器證書的。大部分現(xiàn)代瀏覽器會對證書進(jìn)行簡單的完整性檢查碘饼,并為用戶提供進(jìn)一步徹查的手段熙兔。(日期檢查、簽名頒發(fā)者可信度檢測艾恼、簽名檢測住涉、站點(diǎn)身份檢測)
