零、
百科:网络安全包含网络设备、信息安全、软件安全
网络系统的硬件软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
一、HTTP的安全性考虑
1.首部篡改
具有一定保护级别的首部只有www-Authenticate和Authorization
2.重放攻击
指有人将从某个事务中窃取的认证证书用于另一个事务
缓解问题的方法之一:让服务器产生的随机数包含根据客户端IP地址、时间戳、资源Etag和私有服务器密钥算出的摘要。(缺陷:用客户端的IP地址来创建随机数会破坏经过代理集群的传输)
完全避免的方法:为每个事务使用一个唯一的随机数
3.多重认证机制
避免方法:让客户端去选择可用认证方案中功能最强的一个。若无法实现,使用一个只维护最强认证方案的代理服务器(在已知所有客户端都支持所选认证方案的区域中才能采用这种方式)
4.词典攻击
是典型的密码猜测型攻击方式
解决:使用复杂的相对难破译的密码和合适的密码过期策略
5.选择明文攻击
使用已知密钥来计算响应可以简化响应的密码分析过程。
变体形式:
预先计算的词典攻击
批量暴力型攻击
防止方法:配置客户端使用可选的cnonce指令,这样响应就是基于客户端的判断产生的,而不是用服务器提供的随机数。
6.存储密码
消除方法:像密码文件中包含的明文密码一样来保护它
确保域名在所在域中是唯一的。
7.恶意代理攻击和中间人攻击
代理为恶意的或容易被入侵
解决方案:由客户端提供和认证功能有关的可见线索;对客户端进行配置使其总是使用可用认证策略中功能最强的一种。但即使使用最强大的认证策略,客户端仍很容易被窃听。防止这些攻击唯一简便的方式就是SSL。
对于这种攻击,以下开始介绍HTTPS怎么维护安全
二、HTTPS(安全HTTP)
1.原理
HTTP和HTTPSHTTPS比HTTP多了一个传输层的密码安全层(SSL/TLS)
大部分困难的编码和解码工作是在SSL库中完成的,所以在Web客户端和服务器在使用安全HTTP时无需过多地修改其协议处理逻辑
2.数字加密
- 密码:对文本进行编码,使偷窥者无法识别的算法
- 密钥:改变密码行为的数字化参数
- 对称密钥加密系统:编码解码使用相同的密钥的算法
- 不对称密钥加密系统:编码解码使用不同的密钥的算法
- 公开密钥加密系统:一种能够使数百万计算机便捷地发送机密报文的系统
- 数字签名:用来验证报文未被伪造或篡改的校验和
- 数字证书:由一个可信的组织和签发的识别信息
3.HTTPS细节
若URL是HTTP,客户端就会打开一条到服务器端口(80默认)的连接,并向其发送老的HTTP命令
若URL是HTTPS,客户端就会打开一条到服务器端口(443默认)的连接,然后与服务器“握手”,以二进制格式与服务器交换一些SSL安全参数,附上加密的HTTP命令。
(SSL是个二进制协议)
在HTTPS中,客户端首先打开一条道Web服务器端口443的连接,一旦建立了TCP连接,客户端和服务器就会初始化SSL层,对加密参数进行沟通,并交换密钥。握手完成后,SSL初始化也完成了,客户端就可将请求报文发送给安全层了。在将这些报文发送给TCP之前,要先对其进行加密。
服务器证书:安全HTTPS事务总是要求服务器证书的。大部分现代浏览器会对证书进行简单的完整性检查,并为用户提供进一步彻查的手段。(日期检查、签名颁发者可信度检测、签名检测、站点身份检测)
网友评论