第7讲传输层安全学案.ppt

协议的使用 https:// 与shttp:// 密钥计算过程 SSL协议安全性分析 鉴别机制 公开密钥技术和数字证书可以实现客户端和服务器端的身份鉴别。 加密机制 混合密码体制的使用提供了会话和数据传输的加密性保护。双方使用非对称密码体制协商出本次将要使用的会话密钥，并选择一种对称加密算法。 完整性机制 定义了共享的、可以用来形成报文鉴别码MAC的密钥。数据进行分片压缩后，使用单向散列函数产生一个MAC，加密后置于数据包的后部，并且再一次和数据一起被加密,然后加上SSL首部进行网络传输。 这样，如果数据被修改，其散列值就无法和原来的MAC相匹配，从而保证了数据的完整性。 SSL协议安全性分析 抗重放攻击 SSL使用序列号来保护通信方免受报文重放攻击。这个序列号被加密后作为数据包的负载。 在整个SSL握手中，都有一个唯一的随机数来标记这个SSL握手，这样重放便无机可乘。 SSL脆弱性分析 客户端假冒 因为SSL协议设计初衷是对Web站点及网上交易进行安全性保护，使消费者明白正在和谁进行交易要比使商家知道谁正在付费更为重要，为了不致于由于安全协议的使用而导致网络性能大幅下降， SSL协议并不是默认地要求进行客户鉴别，这样做虽然有悖于安全策略，但却促进了SSL的广泛应用。 针对这个问题，可在必要的时候配置SSL协议，使其选择对客户端进行认证鉴