- Brain Informatics 腦資訊學
- Go Programming Language
- Python
- Web 攻防技術
- 0. Google Hacking
- 1. Network Security
- 1.1 密碼學: PKI, RSA
- 1.2 Message Integrity/Authentication(訊息完整性/訊息認證)
- 1.3 End-point Authentication (端點認證)
- 1.4 Key Distribution: KDC, Certification, CA
- 1.5 PGP (Pretty Good Privacy)
- 1.6 安全的TCP連結: SSL
- 1.7 網路層安全: IPsec
- 1.8 無線區網安全: WEP, IEEE802.11i(WPA)
- 1.90 Firewall(防火牆)
- 1.91 IDS (Intrusion Detection System, 入侵偵測系統)
- 1.92 緩衝區溢位(Buffer Overflow)
- 1.93 軟體安全(Software Security)
- 1.95 Onion Routing (洋蔥路由)
- 1.96 Anonymous Authentication (匿名認證)
- 2. Web2.0 安全衝擊與評估
- 3. Footpringting, Discovery, Profiling, and Crawling
- 4. XSS and CSRF
- 5. RSS, Meshup, Widget安全, 掃描方法
- 6. SOA安全與攻擊向量(Attack Vector)
- 7. 防禦方法
- 8 PHP駭客攻防
- 9 Botnet (殭屍網路)
- A. Web2.0 安全工具與參考資料
- Web基本原理與技術
- Web新興技術
- XML技術與應用
- 1. XML 基本語法(Syntax)
- 2. W3C XML Schema
- 3. XPath
- 4. XSLT
- 5. XML應用標準
- 5.0 Business: BPEL, ebXML
- 5.1 Context-aware: iCalendar, iCard, GML, KML
- 5.2 Document: ODF, OOXML
- 5.3 Feed: Atom, RSS
- 5.4 Medical: HL7/CD, TMT
- 5.5 Multimedia: MusicXML, SMIL, SVG, VoiceXML, X3D
- 5.6 Security: SAML, XACML
- 5.7 Semantic Web (Ontology): RDF, OWL
- 5.8 Web View: MXML, XAXML
- 5.9 Misc: JSON, MathML, SyncML, XMPP
- 健康宅急便(SHS)
- 分散式系統
- 深網(Deep Web)智慧
- 無線行動軟體技術
- 第二人生 (Second Life)
- 1. Hello! Second Life
- 2. 使用者觀點 (User's Perspectives)
- 3. 經營者觀點 (Business's Perspective)
- 4. 發展者觀點 (Developer's Perspective)
- 4.0 內容製作(Content Creation)
- 4.1 LSL 語法
- 4.2 Communication (Dialogs, Messsging, HTTP, XML-RPC)
- 4.3 Object Rezzing and Moving
- 4.4 Sensing (Sensor, Collision, Greeter)
- 4.5 Physics and Vehicles
- 4.6 Special Effects (Particle, Texture animation, Light)
- 4.7 Environment (Time, Air, Earth, Water, Weather)
- 4.8 Multimedia (Sound, Streaming media)
- 4.9 Money (Transaction, Tip jar, Vendor)
- 5. IT系統觀點 (System Perspectives)
- 6. 知識庫(Knowledge Base)
- 網路技術
- 1. 網路基本介紹
- 2. Application Layer (應用層)
- 3. Transport Layer(傳輸層)
- 4. Network Layer(網路層)
- 5. Link Layer (鏈結層) and LAN (區域網路)
- 6. 無線行動網路
- 6.1 Wireless Characteristics: Link, Network
- 6.2 Wireless LAN: WiFi (IEEE 802.11)
- 6.3 Wireless MAN: WiMax (802.16)
- 6.4 Wirelss WAN (Cellular Intenet Access): 2G(GSM), 2.5G(GPRS), 3G(CDMA), 3.5G(HSPDA)
- 6.5 Wireless PAN (WPAN): Bluetooth, NFC, Zigbee
- 6.6 Mobility management: Handoff
- 6.7 Mobile IP
- 6.8 Cellullar Network Mobility
- 6.9 TCP over Wireless Link
- 7. 多媒體網路
- 9. 網路管理
- 雲端運算(Cloud Computing)
- 筆記撰寫規格範例
1.6 安全的TCP連結: SSL
四, 2008-07-17 23:46 — superrona
SSL(安全線上編碼協定) Secure Socket Layer
SSL是一項由網景公司所發展出來的網路安全傳輸協定。由於網景公司所發展的瀏覽器與伺服器十分風行,SSL已成為最為廣泛使用的網路安全協定。在網路輸協定層級中,SSL層屬於TCP與應用程式層中間的一個層級,它提供網路傳遞資料的安全保護,避免資料在傳輸過程中被截取或竄改,其在網路協定層級中的位置較為低階。
由於SSL是位於傳輸層之下的通訊協定,高層網路應用程式都屬於SSL 的範圍,可透過SSL達到下列的安全機能:
- 私密性
- 完整性
- 身份認證性
SSL的基本運作方式如下:當使用者使用Netscape或IE瀏覽器存取資料時,瀏覽器利用HTTP協定與Wed Server 溝通。
1. SSL(Secure Socket Layer)/TLS(Transport Layer Security)
安全套接層(Secure Sockets Layer,SSL)及其繼任者傳輸層安全(Transport Layer Security,TLS)是在網際網路上提供安全保密的通訊協議,為諸如網站、電子郵件、網上傳真等等數據傳輸進行保密。
2. SSL Handshake
以下簡要介紹SSL協議的工作方式。客戶端要收發幾個握手信號:
發送一個ClientHello消息,說明它支持的密碼演算法列表、壓縮方法及最高協議版本,也發送稍後將被使用的隨機數。
然後收到一個ServerHello消息,包含伺服器選擇的連接參數,源自客戶端初期所提供的ClientHello。
當雙方知道了連接參數,客戶端與伺服器交換證書(依靠被選擇的公鑰系統)。這些證書通常基於X.509,不過已有草案支持以OpenPGP為基礎的證書。
伺服器請求客戶端公鑰。客戶端有證書即雙向身份認證,沒證書時隨機生成公鑰。
為SSL協商處理協定,用來協商伺服器和用戶端之間資料加密的演算法和身份識別的模式,主要的目的是讓通訊雙方進行交談協商,決定採用何種資料加密演算法與辨識通訊對方身份的模式,目前SSL有三種身份辨識模式如下:
- 全匿名式
- 經認證的伺服主機與未經認證的使用者
- 通訊雙方均獲身份認證
SSL Handshake協定是執行SSL加密機制的前置步驟,其過程猶如初見面的兩人會互相打招呼,自我介紹一番後再進行對話協商一樣。
3. SSL Key Derivation
客戶端與伺服器通過公鑰保密協商共同的主私鑰(雙方隨機協商),這通過精心謹慎設計的偽隨機數功能實現。結果可能使用Diffie-Hellman交換,或簡化的公鑰加密,雙方各自用私鑰解密。所有其他關鍵數據的加密均使用這個「主密鑰」。
4. SSL Data Transfer
透過TCP連線,SSL即時進行資料加密,然後再把加密後的資料轉交TCP。
而完整性檢查的MAC,SSL會將資料串流切割為記錄(record),然後將MAC附加在每一筆記錄上進行檢查,再將秘密紀錄+MAC。
5. SSL Record
數據傳輸中記錄層(Record layer)用於封裝更高層的HTTP等協議。記錄層數據可以被隨意壓縮、加密,與消息驗證碼壓縮在一起。每個記錄層包都有一個Content-Type段用以記錄更上層用的協議。
用來定義SSL內部資料的格式,並對資料進行解加密的服務。
由於SSL協定是介於應用層與網路層之間,因此它會接受來自上層應用層的訊息加以包裝成為一定的格式的記錄,再交由下層的網路層來傳送。
一個SSL記錄格式主要分為表頭與資料兩部份:
- 表頭:包含了訊息的種類。訊息的時間與記錄的長度對資訊。
- 資料:為傳送的資料,又包含了三部分:訊息驗認碼、實際傳輸資料、附加資料
6. Connection Closure
