前文:
osi堆疊安全:第1層——物理層安全威脅
osi堆疊安全:第2層——理解arp的作用
osi堆疊安全:第3層——icmp的作用
osi堆疊安全:第4層——指紋識別
osi堆疊安全:第5層——會話劫持
【techtarget中國原創】osi模式的第6層是表示層。表示層是osi模型唯一負責資訊表現的。它是作為乙個資料轉換器使用的,它將資料從乙個格式轉換到另乙個格式。如果你知道這些格式,如ascii、ebcdic 或jpeg,那麼就對了;但是,同時表達層還可以用於加密。其中乙個例子就是安全套接字層(secure sockets layer,ssl)。這個協議是乙個加密解決方案,它保護傳輸中的資料的安全。ssl是位於傳輸層之上,應用層之下的。由於ssl在資料安全方面扮演了很重要的角色,所以本章將對其進行重點闡述。
我們先了解一些背景知識。netscape在1994開發了ssl並將其作為一種網路通訊安全方法。其中,ssl是專門用於保護web瀏覽器和web伺服器之間的資料安全的。ssl為應用提供安全的電子商務手段。但是,ssl並不是乙個工業標準——它是netscape所開發的——而傳輸層安全(transport layer security,tls)才是。tls是由網際網路工程推動小組(internet engineering task force,ietf)開發的。目前tls的版本是1.1,它在rfc4346中描述。使用tls的程式跟使用ssl的程式執行非常相似。大體上,ssl和tls是可以互通的。這兩個服務都使用乙個標準的握手過程來建立通訊:
1. 使用者使用乙個web 瀏覽器來連線乙個有安全url的web伺服器。
2. web伺服器響應客戶端的請求並向將伺服器的數字證書傳送到web瀏覽器上。其中x.509是最常用的證書型別。
3. 然後客戶端驗證該證書是有效的和正確的。證書是有知名的權威機構發布的,如thawte 和verisign。這一步很重要,因為證書證明了web伺服器所在組織是合法的。
4. 一旦證書被確認有效,客戶端便生成乙個一次性的會話金鑰,它將用於加密與web伺服器的所有通訊。
5. 然後客戶端用web伺服器的公共金鑰加密會話金鑰,並將它與數字證書一起傳輸。使用web 伺服器的會話金鑰確保了只有web伺服器才可以解密資料。
6. 此時,乙個安全的會話就建立了,並且雙方可以通過安全的通道進行通訊。
這個握手程式允許雙方進行可信的通訊。事實上,客戶端和web伺服器仍舊像往常一樣使用tcp來回傳輸資料,其中不同的是傳輸的資料流是加密的。另外也有一些控制被包含進來,以保證資訊的完整性。這樣就保證了雙方的互信,以及在傳輸中資訊並沒有被改變。
表示層威脅
雖然ssl和tls有著很高的可信度,但是威脅還是存在的。其中有兩種最可能的威脅,它們是:偽證書攻擊和中間人攻擊。偽證書攻擊指的是攻擊者向客戶端提供乙個假證書。客戶端應該會注意到這種攻擊——他們將收到乙個關於證書問題的彈出對話視窗警告。這個證書會跟真實證書非常相似,但它不是由可信任認證機構所頒發的。中間人攻擊難度比較大,因為攻擊者必須攔截客戶端和伺服器之間的通訊。然後,攻擊者再用自己的金鑰取代合法的金鑰。
OSI堆疊安全 第5層 會話劫持
techtarget中國原創 osi模式的第5層是會話層。會話層負責建立 管理 終止資料交換和會話。由於第5層是處理會話和連線協調,這個文章主要 的內容是會話劫持。會話劫持發生在攻擊者試圖接管兩台計算機間所建立的tcp會話的時候。會話劫持的基本步驟包括 尋找會話 猜測序號 迫使使用者掉線 接管會話 ...
第6章 安全性
6.1 general security issues 6.2 access control and account management 6.3 using encrypted connections 6.4 security components and plugins 6.5 mysql en...
《IPv6安全》 第1章 IPv6安全引言
ipv6安全 本章講解如下主題。重溫ipv6 ipv6的簡短回顧。ipv6知識更新 描述ipv6的當前應用狀態。ipv6弱點 描述ipv6中的弱點,這是本書關注的重點。黑客經驗 講解攻擊工具和技能的當前狀態。ipv6安全遷移技術 介紹保障ipv6安全的高階方法。第1章 ipv6安全引言 intern...