网络安全——传输层安全协议(3)

news2024/11/15 4:59:36

  • 作者简介:一名云计算网络运维人员、每天分享网络与运维的技术与干货。 

  •  座右铭:低头赶路,敬事如仪

  • 个人主页:网络豆的主页​​​​​​

目录

前言

一.SSL密钥更改协议

二.SSL告警协议

 关闭报警

错误报警

三.SSL协议安全性分析

四.SSL协议依赖的加密和认证算法

1.加密算法和会话密钥

2.认证算法

五.SSL安全优势 

六.SSL协议存在的问题

1.密钥管理问题

2.加密强度问题

3.数字签名问题


前言

通过之前文章对SSL握手协议与SSL记录协议有了一定的了解网络安全——传输层安全协议(2)

本章将会继续讲解SSL的其他协议


一.SSL密钥更改协议

SSL密钥更改协议用以通知参与各方加密策略的改变。SSL密钥更改协议只包含一个使用当前(不是未决的)加密方法(Cipher Spec)加密并压缩过的消息。此消息包含一个字节,其值为1。

更改Cipher Spee的消息可以由客户端或服务器发出,通知对方随后的记录将由刚协商好的加密方法(Cipher Spee)和密钥来保护。 


二.SSL告警协议

由SSL记录层所支持的一种内容类型(Content Types)即为报警类型,报警消息包含报警级别和对报警的描述。最严重一级的报警消息将立即终止连接,在这种情况下,本次会话的其他连接还可以继续进行,但对话标识符失效,以防止此失败的会话重新建立新的连接。与其他消息一样,报警消息是利用由当前连接状态所指定的算法加密和压缩的。


 关闭报警

客户端和服务器为避免截断攻击,必须共享连接已关闭这一信息,通信双方均可发起关闭报警信息,通信双方通过发送发起关闭报警(Close_notify Alert),之后的任何数据都将被丢弃。任何一方在关闭处于写状态的连接时,需要发送关闭报警(Closc_notifyAlert).另一方以立即关闭连接作出响应,丢弃所有挂起的写操作。关闭处于读状态的连接时,不需要等待响应关闭报警。


错误报警

SSL握手协议中的错误处理相对简单。当发现一个错误后,发现方将向对方发一个消息。当传输或收到严重错误报警消息时,连接双方均立即终止此连接。服务器和客户端均丢弃错误会话使用的标识符、密钥及秘密信息。

SSL中定义了下列错误报警

unexpected_message:收到意外的消息,此报警属于严重错误报警,不应在正常的连接中被观察到。

bad_record_mac:当收到带有不正确的MAC记录时,将返回此报警。此报警属于严重错误报警。

decompression_failure:解压缩函数收到不合法的输入(如数据太长等),此报警属于严重错误报警。

handshake_failure:收到handshake_failure报警消息,表明发出者不能接受现有的选项所提供的安全参数集合,此报警属于严重错误报警。

no_certificate:当被要求给出证书面没有合法的证书时,将发出no_certificate 报警消息。

bad_certificate:当一证书被破坏或者证书中签名无法被正确认证时,发出此报警。

unsupported_certificate:证书类型不支持。

certificate_revoked:证书被签发者撤销。

certificate_expired:证书过期或失效。

certificate_unknown:未知因素导致的证书不可接受性。

illegal_parameter;握手消息中域值溢出或一致,此报警属于严重错误报警。

三.SSL协议安全性分析

SSL协议的安全性由采用的加密算法和认证算法所保证。实践证明,现有的加密和认证算法是安全有效的,但随着计算机技术和信息对抗技术的发展,一些新的问题和挑战随即产生。

特别值得注意的是,最近以王小云为代表的一群中国密码学家进行的研究表明,MD5和SHA-l并不是无冲突的,而且他们找到了比暴力方式更快找到冲突的算法。这些发现促使产业界不得不发展更安全的散列算法,同时也使开发下一代更安全的SSL.协议提上了日程。


四.SSL协议依赖的加密和认证算法

1.加密算法和会话密钥

SSL.v2.0协议和SSL.v3.0协议支持的加密算法包括RC4、RC2、IDEA和DES.而加密算法所用的密钥由消息散列函数MD5产生。RC4、RC2是由RSA定义的,其中RC2适用于块加密,RC4适用于流加密。

2.认证算法

SSL协议认证算法采用IEEEx.509电子证书标准,是通过RSA算法进行数字签名来实现的。典型的认证过程包括服务器认证和客户认证。

  • (1)服务器的认证。服务器方的写密钥和客户方的读密钥、客户方的写密钥和服务器方的读密钥分别是一对私有、公有密钥。对服务器进行认证时只有用正确的服务器方写密钥加密,ClientHello消息形成的数字签名才能被客户正确地解密,从而验证服务器的身份。
  • (2)客户的认证。同上,只有用正确的客户方写密钥加密的内容,才能被服务器方用其读密钥正确地解开。

五.SSL安全优势 

  • 1.监听和中间人攻击     2.流量数据分析式攻击
  • 3.版本重放攻击           4.检测对握手协议的攻击
  • 5.会话恢复伪造           6.短包攻击
  • 7.截取再拼接式攻击    8.报文重发式攻击

六.SSL协议存在的问题

1.密钥管理问题

  • (1)客户机和服务器在互相发送自己能够支持的加密算法时,是以明文传送的,存在被攻击修改的可能性。
  • (2)SSLv3.0为了兼容以前的版本,可能降低安全性。所有的会话密钥中都将生成MASTER-KEY,握手协议的安全完全依赖于对MASTER-KEY的保护,因此,在通信中要尽可能少地使用MASTER·KEY。

2.加密强度问题

Netscape依照美国内政部的规定,在它的国际版浏览器及服务器上使用40位的密钥。这是因为,依据美国法律,其所使用的RC4加密算法对多于40位长的加密密钥产品的出口加以限制。而较短的密钥长度意味着较高的破译可能。

3.数字签名问题

基于SSL.协议没有数字签名功能,即没有抗否认服务。若要增加数字签名功能,则需要在协议中打补丁。这样做,在用于加密密钥的同时又用于数字签名,在安全上存在漏洞。PKI体系完善了这种措施,即双密钥机制,将加密密钥和数字签名密钥二者分开,成为双证书机制,从而构成了PK1完整的安全服务体系。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/439569.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

软件测试测试开发技能

从事软件测试许多年,想必很多人都有感到迷茫不知所措的时候,人生的十字路口有很多,该如何抉择呢?有人成功转型,QA、项目管理、配置管理。当然还有技术型,性能测试、自动化测试、测试开发,而想要…

爬虫JS逆向思路-hook钩子

网络上几千块都学不到的JS逆向思路这里全都有👏🏻👏🏻👏🏻 本系列持续更新中,三连关注不迷路👌🏻 干货满满不看后悔👍👍👍 &…

连续3天3场分享,KubeVela@KubeCon EU 2023 抢鲜看!

自从 2019 年 Open Application Model 诞生以来,KubeVela 已经经历了几十个版本的变化,并向现代应用程序交付先进功能的方向不断发展。最近,KubeVela 完成了向 CNCF 孵化项目的晋升,标志着社区的发展来到一个新的里程碑。今天&…

有了MySQL,为什么还要有NoSQL

🏆今日学习目标: 🍀MySQL和NoSQL的区别 ✅创作者:林在闪闪发光 ⏰预计时间:30分钟 🎉个人主页:林在闪闪发光的个人主页 🍁林在闪闪发光的个人社区,欢迎你的加入: 林在闪闪…

PYQT5学习笔记02——程序基本结构之面向对象版本

我们之前写的代码耦合性比较高,复用性不高,这是面向过程编程的缺点。我们可以把程序基本结构设计成面向对象的版本,把 设置控件这部分内容封装到一个类中。 比如这个是我们的窗口,红色的矩形是相同的菜单控件,既然是一…

研报精选230420

目录 【行业230420浙商证券】卫浴行业深度报告:智能卫浴新变局,国货崛起正当时 【行业230420平安证券】氢能全景图(上)制氢篇:商业模式起步,绿氢初试锋芒 【行业230420天风证券】建筑装饰行业深度研究&…

InstructGPT:Training language models to follow instrcutions with human feedback

InstructGPT:Training language models to follow instrcutions with human feedback 介绍模型数据集TaskHuman data collectionmodel 实验结果参考 介绍 现在LLM可以被prompt来完成一系列的下游任务,然而这些模型也总会产生一些用户不想要的结果&#…

ESP32 WiFi扫描、WiFi通道查询

ESP32WiFi扫描程序 代码解决什么问题? 扫描周围WiFi并识别指定WiFi名称的WiFi通道(为了ESP32的esp-now协议正常通信)。 这跟ESP32 now有什么关系? ESP32使用NOW协议进行通信时,要求参与通信的设备必须处于同一物理…

ASEMI代理ADI亚德诺AD8603AUJZ-REEL7车规级芯片

编辑-Z AD8603AUJZ-REEL7芯片参数: 型号:AD8603AUJZ-REEL7 偏移电压:12μV 偏移电压漂移:1μV/C 输入偏置电流:0.2 pA 输入失调电流:0.1 pA 输入电压范围:–0.3 to 5.2V 输入电容&#…

Win10+VS2019安装vcpkg

vcpkg是一个C的包管理器。类似Python中的pip。安装后可以直接通过命令下载一些C的包,省的自己编译配路径。安装后的包都被vcpkg统一保存,统一配置路径。VS中哪个项目需要,就将其配置到某个项目中,当然也可以全局配置。 1、下载vc…

Node 04-http模块

HTTP 协议 概念 HTTP(hypertext transport protocol)协议;中文叫 超文本传输协议 是一种基于TCP/IP的应用层通信协议 这个协议详细规定了 浏览器 和 万维网 服务器 之间互相通信的规则 协议中主要规定了两个方面的内容: 客户端&#xff1…

Coovally再升级!基于CV大模型的智能标注解放你的双手

近日,随着SAM大模型的横空出世,“分割一切”成为可能,基于CV大模型的标注技术受到瞩目。 SAM分割示例 SAM大模型 Meta 在论文中发布了名为 Segment Anything Model (SAM)的新模型,“SAM 已经学会了关于物体的一般概念&#xff0c…

Hbase1.1:HBase官网、HBase定义、HBase结构、HBase依赖框架、HBase整合框架

这里写自定义目录标题 HBase官网HBase特点:大HBase定义HBase结构HBase依赖框架hadoop HBase整合框架PhoenixHive HBase官网 Hbase官网地址 HBase是Hadoop database,一个分布式、可扩展的大数据存储。 当您需要对大数据进行随机、实时读/写访问时&…

Activiti学习03

这里写目录标题 一、开发环境1.1 Java环境1.2 数据库1.3 开发工具 二、Activiti入门体验2.1 新建项目2.2 pom.xml文件2.3 activiti.cfg.xml文件2.4 添加日志配置文件 三、创建数据库3.1 创建数据库3.2 执行代码3.2.1 通过代码实现创建表格3.2.2 简化代码 四、绘制流程4.1 新建b…

香港金银业贸易场十大会员名单排行榜

在种类丰富全面的国际投资市场中,黄金拥有者良好的受众基础,黄金投资产品有着悠久的历史记录和蓬勃旺盛的生命力,数百年以来无数炒金者在黄金投资中实现了投资理财的梦想,但是在黄金投资的过程中,投资中需要面对无数考…

162.网络安全渗透测试—[Cobalt Strike系列]—[Veil免杀]

文章目录 1 Veil的使用2 生成有效载荷payload3 Veil免杀过程4 测试免杀 1 Veil的使用 (1)Veil主要用于生成:免杀payload (2)下载地址:https://github.com/Veil-Framework/Veil (3&#xff09…

Unity 工具控件 之 Text 文本字间距调整(老版本的Unity编写工具控件/新版本Unity使用TMP)

Unity 工具控件 之 Text 文本字间距调整(老版本的Unity编写工具控件/新版本Unity使用TMP) 目录 Unity 工具控件 之 Text 文本字间距调整(老版本的Unity编写工具控件/新版本Unity使用TMP) 一、简单介绍 二、老版本 Unity Text 使用工具控件调整行间距 三、新版本 Unity Text…

mysql性能调优开篇介绍、错误代码总结(处理方法)和参数文件详解(持续更新中ing)

前言 MySQL是一个关系型数据库管理系统,由瑞典MySQL AB 公司开发,属于 Oracle 旗下产品。MySQL是最流行的关系型数据库管理系统之一,在 WEB 应用方面,MySQL是最好的 RDBMS (Relational Database Management System,关系…

园区路线地图指引图怎么画?园区地图三维图怎么画?

目前在园区信息化应用形式中,广泛缺乏专业电子地图的使用,因此,使这种高效的信息化工具的应用受到了很大限制。有些仅以图片代替,但图片没有空间计算、检索、路径设计的能力,在地图应用形式中,使用价值很低…

一文!解决恒定磁场的基本方程(有介质)

目录 引言 磁化过程 磁偶极矩 磁化强度 方程的化简 磁场强度 磁化率 磁导率 相对磁导率 现实生活中的应用 引言 为什么介质在磁场中会被磁化呢? 首先因为电子绕着原子核转动,所以就可以形成一个环形电流,,环形电流就可以产生磁场。…