做app的网站有哪些功能,广东建设信息网站塔吊查询,深圳建科技有限公司网站首页,江苏网站seo平台1、SSL/TLS
SSL安全套接字层#xff1a;是一种加密协议#xff0c;用于在网络通信中建立安全连接。它在应用层和传输层#xff08;TCP/IP#xff09;之间提供数据加密、服务器身份验证以及信息完整性验证 SSL只保护TCP流量#xff0c;不保护UDP协议 TLS#xff1a;传输层…1、SSL/TLS
SSL安全套接字层是一种加密协议用于在网络通信中建立安全连接。它在应用层和传输层TCP/IP之间提供数据加密、服务器身份验证以及信息完整性验证 SSL只保护TCP流量不保护UDP协议 TLS传输层安全协议 在SSH3.0版本后更名为TLS SSL协议中包含多个子协议它们协同工作以确保通信的安全性 SSL握手协议允许服务器和客户端相互认证并在应用层协议传输数据之前协商出加密算法哈希算法和会话密钥等然后通过这些参数去构建SSL会话
SSL密码变化协议只有changecipherspec这一个信息客户端和服务器都可以发送目的是通知对端后续的报文都将使用新协商后的加密套件和密钥进行保护和传输
SSL告警协议告警机制用于在SSL通信过程中传递与安全性相关的告警信息
SSL记录协议用于封装高层协议的数据对应用层数据加密之后放置在记录层中 这四个协议并不一定同时会出现握手协议密码变化协议和告警协议可能在建立SSL会话时按照顺序出现在数据传输过程中主要出现的是记录协议 1SSL工作流程 第一步TCP三次握手建立网络连接会话
第二步Client Hello 客户端的随机数是生成会话密钥的一个参数该会话密钥需要三个参数共同计算出来 加密套件将加密算法、鉴别算法常用的组合搭配在一起用于进行选择 第三步Server HelloSSL服务器回复消息 注意一般情况下server hello和服务器的证书是分开发送的当然也可以在一个数据包中发送 服务器证书是由CA机构颁布的是通过CA机构的私钥将服务器的公钥以及一些证书相关的信息进行加密之后的产物。客户端本身具有信任CA的公钥则可以使用CA机构的公钥对服务器证书进行解密之后得到服务器的公钥。注意服务器的身份认证是强制要求的必须提供证书证书如果不合法则会提供一个选择给客户可以选择继续访问。但是客户端的认证是可选的如果需要认证则服务器会发送请求证书的报文之后需要客户端提供自己的证书 Server key exchange用于提示密钥变更Server hello done一条空信息用于通知客户端服务器已经做好协商最终密钥的准备 也可以通过一个数据包来发送server hello以及证书等信息。 第四步客户端回应
Pre-master-key预主密钥本质也是一个随机数用于计算最终的会话密钥但是这个参数可以被服务器的公钥进行加密传输电脑生成的随机数是伪随机数所以使用三个伪随机数计算最终的密钥会更加安全一些。 第五步服务器回应 在客户端中可以携带这个会话复用票据用于省略会话建立过程中身份认证的环节仅协商算法和密钥即可 会话票据客户端在下次与服务器通信时可以携带这个Session Ticket以告知服务器自己希望复用之前的会话密钥。 如果服务器验证通过Session Ticket的有效性就可以直接使用其中的会话密钥而无需再次进行完整的TLS握手过程 1、无客户端认证的握手过程 2、有客户端认证 3、会话复用场景 SSL工作流程总结在TCP三次握手建立网络连接后客户端向服务器发送Client Hello与服务器协商参数服务端回复Server Hello确认参数并发送证书。客户端验证服务器证书生成并使用服务器公钥加密发送预主密钥。服务器解密预主密钥并生成会话密钥使用会话密钥进行数据传输
2SSL协议数据传输流程 1. 分片FragmentationSSL协议会将较大的应用数据分成较小的数据块进行传输以避免单个过大的数据包可能造成的网络拥塞或处理不当的问题
2. 压缩CompressionSSL 3.0及其后续版本支持数据压缩功能以减少通过网络传输的数据量从而加快数据传输速度并节约带宽
3. 增加HMACHashingHMAC是一种数据完整性检验方法用于确保数据的完整性不被破坏。SSL协议使用HMAC来确保消息的完整性防止数据在传输过程中被篡改。
4. 加密EncryptionSSL协议通过使用对称密钥加密算法如AES、DES、3DES等对应用层数据进行加密以确保数据的保密性。
5. 增加SSL记录首部Record HeaderSSL协议的记录层负责将应用层数据转换为SSL记录并为每个记录添加首部信息包括版本号、SSL记录类型、序列号、以及是否包含压缩选项等信息。首部信息之后是对称密钥加密后的应用层数据。SSL记录首部提供了SSL记录的元信息帮助后续的解密过程正确地组装和解密记录层的数据。
SSL协议脆弱性分析
无法保护UDP应用客户端假冒SSL协议不能对抗流量分析
2、SSL VPN
IPSEC在Client to LAN场景下比较吃力的表现
在用户认证方面比较薄弱因为需要进行参数协商所以IPSEC VPN需要客户端安装对应的应用程序因为需要进行感兴趣流的抓取所以策略需要进行调整不太方便因为IPSEC VPN是基于网络层和传输层进行权限管理但也仅能深入到服务层面如果我们需要一款可以针对应用层面进行更细细颗粒管理的VPN技术就不能选择IPSEC VPN
SSL VPN的优势
因为SSL协议封装在传输层和应用层之间仅针对应用层的数据进行保护这样在进行组网时任何场景下都不会影响到网络传输SSL VPN采用的是一种基于B/S架构的模式所以只要客户拥有浏览器就可以访问方便快捷最主要的是和IPSEC VPN针对网络层的控制相比SSL VPN可以基于应用层做更细颗粒度的控制。 SSL VPN虚拟网关技术是一种基于SSL加密技术的虚拟私人网络。可以理解为是用户的一个接入的接口用户可以通过在浏览去中输入虚拟网关的IP地址或者域名访问到虚拟网关这个过程需要进行用户认证划分用户的权限。用户认证通过后虚拟网关会向远程用户提供可也访问的内网资源列表远程用户通过点击或者触发便可访问到内网的资源。 一台防火墙可以创建多个虚拟网关每个虚拟网关相互独立互不影响不同的虚拟网关可以 配置各自的用户和资源进行单独管理。
SSL VPN的总体流程 1认证 本地认证本地认证就是用户名和密码信息在防火墙本地存储登陆时在防火墙本地进行比对验证由防火墙进行判断服务器认证用户名和密码信息存储在服务器上防火墙需要将登录信息发送给服务器由服务器进行判断之后将结果返回给防火墙做出对应的动作 证书匿名认证需要客户端提交证书防火墙通过验证客户端的证书来认证用户 要求
客户端证书和防火墙上导入的客户端CA证书由同一个CA机构颁发客户端证书必须在有效期内客户端证书中用户过滤字段必须是防火墙上配置已有的用户。例如用户过滤字段的结果CNuser00019
证书挑战认证比证书匿名认证多增加了用户名密码校验可以理解为双因子验证
2资源发布
1、Web代理 2、文件共享 3、端口转发 可以针对所有TCP协议的资源进行发布
使用ActiveX控件 4、网络扩展
需要在用户客户端上安装一张虚拟网卡会下发一个私网的IP地址和路由 可靠传输模式 快速传输模式
