信息安全之安全协议和认证服务
2016-04-23 11:19
417 查看
信息安全之安全协议和认证服务
安全协议的概念
HTTPS概念
https 全称Hypertext Transfer Protocol over Secure Socket Layer 是位于应用层的基于 SSL/TLS 的HTTP协议。应用层的HTTP协议➕传输层的SSL/TLS协议。SSL/TLS概念
本身是带有加密信息的传输层协议SSL:为网络通信提供安全及数据完整性的安全协议
TLS:基于SSL之上的通用化协议,为SSL协议的ji继任者
传输过程中都是密文传输
TLS协议的内容
TLS协议的层次TLS记录协议(TLS record protocol):负责消息的压缩,加密及数据的认证。(原始的消息 被分割成数个较小的片段 分别对片段进行 压缩 处理,被压缩过的消息片段分别加上 消息验证码,压缩片段和消息验证码会一起经过对称密码进行加密,加密时使用的对称密码算法和共享的秘钥是在通信双方在通信前通过 握手协议生成的)
TLS握手协议(TLS handshake protocol):除加密的其他操作
握手协议:负责生成共享秘钥和交换证书
密码规格变更协议:负责密码切换的同步
警告协议:发生错误时通知通信对象
应用数据协议:用于和通信对象之间传送应用数据(承载http协议里的数据)
TSL通信模型
第一步 协商算法通过2和4选择双方都支持的算法。
第二步 验证证书
客户端验证服务器端证书
服务器验证客户端证书(只有双向认证时才需要)(电子商务必须使用双向认证确保安全)
第三步 构建主秘钥 Master Sector
PMS(Prepare Master Sector 预备主秘钥), 服务器的公钥是在握手时候通过证书带给客户端的.
第四步 构建会话秘钥
第四步之后终止握手协议,正式进入会话
第五步 正式加密交互
以上过程中,有任何一端发生错误,就会重新进入到协商算法的阶段,保证安全性。
相关文章推荐
- Collabtive系统SQL注入实验
- PHP版CMS爆破工具
- 国家信息安全技术水平考试(NCSE)三级教学大纲
- 转自CISPS《十年安全售前的经验与大家分享》
- 网络与信息安全监控内容
- metasploit
- [转]为什么你要懂点信息安全
- 信息安全不可低估的30个细节
- 透视信息安全类专业 选择未来发展方向
- 第六届内网安全战略与技术论坛召开
- SOC 2.0:通向下一代安全运营的关键
- SOC 2.0:下一代安全运营中心先睹为快【转载】
- 安全基础信息安全不可低估的30个细节
- (摘录)信息安全
- 关于开展保险业信息系统安全检查工作的通知
- 2009年证券期货业网络与信息安全事件应急演练
- 奥运期间证券期货业网络与信息安全突发事件应急预案(二)
- 信息安全国家标准列表
- 员工信息安全守则
- 信息安全制度实施指南