SecCorse-07 安全基础 (四).ppt

网络与信息安全安全基础 (四) 潘爱民，北京大学计算机研究所 /InfoSecCourse 内容 SSL/TLS协议 授权和访问控制 安全基础部分小结 SSL/TLS协议 1994年Netscape开发了SSL(Secure Socket Layer)协议，专门用于保护Web通讯 版本和历史 1.0，不成熟 2.0，基本上解决了Web通讯的安全问题 Microsoft公司发布了PCT(Private Communication Technology)，并在IE中支持 3.0，1996年发布，增加了一些算法，修改了一些缺陷 TLS 1.0(Transport Layer Security, 也被称为SSL 3.1)，1997年IETF发布了Draft，同时，Microsoft宣布放弃PCT，与Netscape一起支持TLS 1.0 1999年，发布RFC 2246(The TLS Protocol v1.0) SSL/TLS协议 协议的设计目标 为两个通讯个体之间提供保密性和完整性(身份认证) 互操作性、可扩展性、相对效率 协议的使用 SSL/TLS概况 协议分为两层 底层：TLS记录协议 上层：TLS握手协议、TLS密码变化协议、TLS警告协议 TLS记录协议 建立在可靠的传输协议(如TCP)之上 它提供连接安全性，有两个特点 保密性，使用了对称加密算法 完整性，使用HMAC算法 用来封装高层的协议 TLS握手协议 客户和服务器之间相互认证 协商加密算法和密钥 它提供连接安全性，有三个特点 身份认证，至少对一方实现认证，也可以是双向认证 协商得到的共享密钥是安全的，中间人不能够知道 协商过程是可靠的 SSL/TLS协议栈 为上层协议提供安全性 保密性 身份认证和数据完整性 TLS会话 (TLS Session)定义： 指客户和服务器之间的一个关联关系。通过TLS握手协议创建session，它确定了一组密码算法的参数。Session可以被多个连接共享，从而可以避免为每个连接协商新的安全参数而带来 昂贵的开销。 TLS Session都有一个当前状态 TLS connection 与底层协议的点对点连接相关联 每个connection都与一个session相关联 连接是短暂的 TLS会话状态 实际上是一组参数，包括 Session identifier，字节序列，由服务器产生，用来标识一个会话状态 Peer certificate(可以为NULL)，对方的X.509 v3证书 Compression method，压缩数据的算法 Cipher spec，指定数据加密算法和用于HMAC的散列算法，以及算法的有关参数 Master secret, 客户和服务器之间共享的48字节的数据 Is resumable，标记是否这个会话可以被用来初始化一个新的连接 TLS连接的状态 连接状态也包含一组参数 Server and client random，客户和服务器为每个连接选择的字节序列 Server write MAC secret，服务器在发送数据的时候，用于MAC运算的key Client write MAC secret ，客户在发送数据的时候，用于MAC运算的key Server write key，服务器加密数据的密钥，以及客户解密数据的密钥 Client write key，客户加密数据的密钥，以及服务器解密数据的密钥 Initialization vectors，在CBC模式中用到的IV，最初由握手协议初始化，以后，每一个记录的最后一个密文块被用作下一个记录的IV Sequence numbers，每一个连接都需要维护一个序 列号，当密码参数变化时，重置为0 TLS记录协议 TLS Record Protocol 操作过程示意图 TLS记录协议中的操作 第一步，fragmentation 上层消息的数据被分片成214字节大小的块，或者更小 第二步，compression(可选) 必须是无损压缩，如果数据增加的话，则增加部分的长度不超过1024字节 第三步，计算消息认证码(MAC) 计算公式：HMAC_hash(MAC_write_secret,  seq_num  || TLSCompressed.type  || TLSCompressed.version  || TLSCompressed.length  || TLSCompressed.fragment) TLS记录协议中的操作(续) 第四步，encryption 采用CBC，算法由cipher spec指定 数据长度不超过214+2048字节，包括 加密之后的数据内容 HMAC padding, 共padding_length