传输层安全协议PPT课件下载推荐.ppt
《传输层安全协议PPT课件下载推荐.ppt》由会员分享,可在线阅读,更多相关《传输层安全协议PPT课件下载推荐.ppt(35页珍藏版)》请在冰豆网上搜索。
目前:
是应用最广泛的安全协议。
(1)主主要要是是为为了了Web安安全全设设计计,所所以以要要与与HTTP一一起起很很好好地地工工作。
作。
(2)保保密密性性:
在在不不泄泄露露信信息息给给攻攻击击者者的的情情况况下下,将将信信息息从从客客户户端传给服务器端传给服务器(3)服务器认证)服务器认证(4)客户端认证(可选)客户端认证(可选)(5)简化客户端操作)简化客户端操作(6)透透明明性性:
除除Web外外,还还为为其其它它应应用用提提供供安安全全性性,这这些些应应用用基于基于TCP,所以基于所以基于TCP实现,相当于一个安全的实现,相当于一个安全的TCP。
SSL/TLS的设计目标的设计目标SSL和和TLS的的基基本本策策略略:
在在两两个个通通信信的的应应用用程程序序之之间间提提供供一一条条传传递任意应用数据的安全通道。
递任意应用数据的安全通道。
SSL和和TLS基于基于TCP。
应用:
使用应用:
使用SSL的连接和使用的连接和使用TCP的连接一样。
的连接一样。
在协议栈中的位置:
应用层应用层SSLTCPIPSSL/TLS与与TCP/IPSSL功能功能SSL提供四个基本功能提供四个基本功能4Authentication4Encryption4Integrity4KeyExchange采用两种加密技术采用两种加密技术4非对称加密非对称加密*认证认证*交换加密密钥交换加密密钥4对称加密:
加密传输数据对称加密:
加密传输数据SSL功能功能1.用于用于Web的的SSL通常的通常的HTTP过程:
过程:
1.建立建立TCP连接连接2.请求请求-响应响应3.断开连接断开连接SSL应用应用使用使用SSL的的HTTP过程:
1.建立建立TCP连接连接2.建立建立SSL通道通道3.请求请求-响应响应4.关闭关闭SSL通道通道5.关闭关闭TCP连接连接问题:
问题:
某些服务器不支持某些服务器不支持SSL解决:
解决:
使用使用HTTPS而不是而不是HTTP来指示使用来指示使用SSLhttps:
/HTTP、NNTP(SNEWS)、SMTP、FTP、TELNET都都用用SSL来来保护。
保护。
解决方案:
(1)分设端口:
)分设端口:
协议设计者为协议分配一个不同的知名端口,而协议设计者为协议分配一个不同的知名端口,而服务器实现同时在原来的端口和新的安全端口上监听(服务器实现同时在原来的端口和新的安全端口上监听(HTTPS443)。
)。
(2)升级协商(升级协商(upwardnegotiation):
):
协议设计者通过修改应协议设计者通过修改应用协议来支持一种用于表示一方想升级为用协议来支持一种用于表示一方想升级为SSL的消息的消息(基于(基于TLS的的SMTP即基于这种策略。
即基于这种策略。
)在在SSL上构建应用上构建应用SSL的结构的结构nSSL是独立于各种协议的是独立于各种协议的n常用于常用于HTTP协议,但也可用于别的协议,如协议,但也可用于别的协议,如NNTP,TELNET等等SSL体系结构体系结构n建立在可靠的传输协议(如建立在可靠的传输协议(如TCP)基础上)基础上n提供连接安全性提供连接安全性4保密性,使用了对称加密算法保密性,使用了对称加密算法4完整性,使用完整性,使用HMAC算法算法n用来封装高层的协议用来封装高层的协议SSL记录协议记录协议n客户和服务器之间相互认证客户和服务器之间相互认证n协商加密算法和密钥协商加密算法和密钥n提供连接安全性提供连接安全性4身份鉴别,至少对一方实现鉴别,也可以是双身份鉴别,至少对一方实现鉴别,也可以是双向鉴别向鉴别4协商得到的共享密钥是安全的,中间人不能知道协商得到的共享密钥是安全的,中间人不能知道4协商过程是可靠的协商过程是可靠的SSL握手协议握手协议TLS&
SSLv31.1概述概述两个阶段,两个层次,两类认证,四个协议两个阶段,两个层次,两类认证,四个协议两个阶段:
两个阶段:
1.握握手手阶阶段段:
对对服服务务器器(客客户户端端)进进行行认认证证并并确确立立用用于于保保护护数数据据传输的密钥。
传输的密钥。
2.数数据据传传输输阶阶段段:
数数据据被被分分割割成成记记录录传传输输,在在传传输输数数据据之之前前必必须须完成握手。
完成握手。
两个层次:
1.记录层:
记录层:
数据承载层数据承载层2.握手层:
握手层:
协商和控制层协商和控制层两类认证:
两类认证:
1.1.服务器认证服务器认证2.2.客户端认证客户端认证四个协议:
四个协议:
1.1.记录协议:
记录协议:
数据承载数据承载2.2.握手协议:
握手协议:
安全参数协商安全参数协商3.3.警告协议:
警告协议:
错误和控制消息错误和控制消息4.4.更改密码规范协议:
更改密码规范协议:
协商完成,安全参数激活协商完成,安全参数激活1.2握手一一.目的目的1.客户端与服务器就一组用于保护数据的算法达成一致客户端与服务器就一组用于保护数据的算法达成一致2.需要确立与算法相关的密钥需要确立与算法相关的密钥3.对服务器(客户端)的认证对服务器(客户端)的认证二二.过程过程客户客户服务器服务器1.所支持的加密算法,随机数所支持的加密算法,随机数1.客客户户端端将将自自己己支支持持的的算算法法列列表表同同用用于于生生成密钥的随机数一起发送给服务器成密钥的随机数一起发送给服务器2.选中的加密算法,随机数,证书选中的加密算法,随机数,证书2.服服务务器器从从列列表表中中选选择择一一种种加加密密算算法法,并并将将其其连连同同一一份份包包含含服服务务器器公公钥钥的的证证书书发发给给客客户户端端,还还提提供供了了用用于于生生成成密密钥钥的随机数的随机数3.加密后的预主密钥加密后的预主密钥3.客客户户端端对对服服务务器器证证书书进进行行验验证证,并并提提取取服服务务器器公公钥钥。
然然后后产产生生预预主主密密钥钥随随机机密密码码串串,并并使使用用服服务务器器公公钥钥加加密密。
最最后后客客户户端端将将加加密密后后的的信信息息发送给服务器。
发送给服务器。
4.计算密钥计算密钥4.计算密钥计算密钥4.客客户户端端和和服服务务器器根根据据预预主主密密钥钥以以及及随机数分别计算加密和随机数分别计算加密和MAC密钥密钥5.握手消息的握手消息的MAC值值5.客客户户端端将将所所有有握握手手消消息息的的MAC值值发发给服务器给服务器6.握手消息的握手消息的MAC值值6.服服务务器器将将所所有有握握手手消消息息的的MAC值值发发给客户端给客户端分析分析SSL握手协议报文格式握手协议报文格式ClientHelloVersion3.1Random32=38f3cbde804cb4790a079fb351bab86269e38fbfcec7ff253c3b841638b25ef7Ciphersuites(认证算法、密钥交换算法、加密算法、摘要算法认证算法、密钥交换算法、加密算法、摘要算法)TLS_RSA_WITH_NULL_SHATLS_DH_DSS_WITH_DES_CBC_SHATLS_RSA_WITH_RC4_128_MD5TLS_RSA_WITH_RC4_128_SHATLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5TLS_RSA_WITH_IDEA_CBC_SHATLS_RSA_EXPORT_WITH_DES40_CBC_SHATLS_DH_DSS_EXPORT_WITH_DES40_CBC_SHATLS_RSA_WITH_3DES_EDE_CBC_SHACompressionmethodsNULL三三.握手消息握手消息4.计算密钥计算密钥4.计算密钥计算密钥客户客户服务器服务器客户客户服务器服务器1.所支持的加密算法,随机数所支持的加密算法,随机数1.握手握手:
ClientHello3.加密后的预主密钥加密后的预主密钥3.握手:
握手:
ClientKeyExchange5.握手消息的握手消息的MAC值值5.握手:
finished6.握手消息的握手消息的MAC值值6.握手:
finished2.握手握手:
ServerHelloDone2.握手握手:
ServerHello2.握手握手:
Certificate2.选中的加密算法,随机数,证书选中的加密算法,随机数,证书ClientHelloServerHello:
包含了服务器选择的算法包含了服务器选择的算法Certificate:
包含了服务器的证书包含了服务器的证书ServerHelloDone:
标志服务器这一握手阶段完成标志服务器这一握手阶段完成ClientKeyExchange:
发送预主密钥发送预主密钥Finished:
包含握手消息包含握手消息MAC说明:
省略了两条说明:
省略了两条ChangeCipherSpec消息消息SSL记录协议记录协议-SSL数据处理数据处理记录:
记录:
SSLSSL处理的基本单位处理的基本单位发送方以记录为单位保护,接收方则以记录为单位检查发送方以记录为单位保护,接收方则以记录为单位检查数据数据数据分片数据分片数据分片数据分片MACMAC加密的数据和加密的数据和MAC记录头记录头加密的数据和加密的数据和MAC记录头记录头SSL数据的分片与保护数据的分片与保护一一.处理步骤处理步骤1.发送数据发送数据
(1)数数据据分分片片(分分片片的的最最大大长度:
长度:
214-1)
(2)可能进行数据压缩)可能进行数据压缩(3)计算)计算MAC(4)加密)加密(5)传输数据)传输数据数据数据数据分片数据分片数据分片数据分片MACMAC加密的数据分片和加密的数据分片和MAC记录头记录头加密的数据分片和加密的数据分片和MAC记录头记录头2.接收数据接收数据(11)解密)解密(44)重组)重组(22)验证)验证(55)提交给高层协议)提交给高层协议(33)解压)解压二二.记录格式:
记录格式:
升级会员 