- 1、本文档共68页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
lesson-06信息安全讲义OpenSSL讲述
7/15/2003 Internet安全协议及标准 Internet安全协议与标准第6课 唐礼勇 博士 tly@ SSL协议及OpenSSL Agenda SSL协议基础 OpenSSL简介 SSL是什么? SSL: Secure Socket Layer (安全套接层) 一种在两台机器间提供安全通道的协议,两项功能 保护传输数据 识别通信机器 安全通道是透明的 对传输的数据内容上不加变更,仅作了加密 透明性使得几乎所有基于TCP的协议稍加改动就可以在SSL上运行 为什么叫这个名字? 比较Berkeley sockets API SSL在协议栈中的位置 SSL谱系树 SSL协议的使用 用于Web的SSL 在SSL上构建一切 ftps-data(989), ftps(990) nntps (563) pop3s(995) telnets(992) SSL体系结构(1)还记得TSP吗? SSL体系结构(2) SSL基本概念 连接 会话 由握手协议创建 定义了一组可以被多个连接共用的密码安全参数 连接 vs 会话 在任意一对的双方之间,也许会有多个安全连接 理论上,双方可以存在多个同时会话,但在实践中并未用到这个特性 会话状态参数 连接状态参数 各种密钥 SSL握手协议报文格式 Cipher Suite Alternatives Data Encryption: AES RC2-40 RC4-128 DES DES 40 3DES IDEA Fortezza Message Digest: MD5 SHA Key Exchange. RSA Fixed Diffie-Hellman Ephemeral Diffie-Hellman Anonymous Diffie-Hellman Fortezza Data Compression: PKZip WinZip gzip StuffIt 密钥导出 重用SSL会话 SSL - ChangeCipherSpec及Alert Change Cipher Spec Protocol 指示在此之后的所有消息都将使用刚刚商定的密码进行加密 单个报文,报文值为1 Alert Protocol 允许一方向另一方报告异常情况 close_nitify警示用来指示发送方已经发送了所有要在该连接上发送的数据 一次真实的连接 各种消息协同工作 SSL记录协议如何操作(1) SSL记录协议如何操作(2) SSL记录协议如何操作(3) SSL记录协议MAC计算 SSL记录协议加密 SSL记录协议封装 SSL的安全(1) SSL提供了什么 SSL提供了通道级别的安全: 连接的两端知道所传输的数据是保密的,而且没有被篡改 几乎总是要对服务器进行认证 可选的客户端认证 针对异常情况的安全通知 错误警示 关闭连接 所有这些依赖于某些对系统的假定 假定已经正确产生了密钥数据并且 该密钥已被安全地保管 SSL的安全(2) 保护master_secret 几乎协议的所有安全都依赖于master_secret的保密 在内存中保护秘密 保护服务器的私有密钥 最常被违反的规则,很难保证做到 要求安全地存储私有密钥 多数实现都对磁盘上的私有密钥进行加密,而且提供口令保护 其他实现在受保护的硬件中存储密钥 上述两种方案在启动服务器时都要求管理员的介入,从而使得在系统崩溃或电力故障恢复时无法实现无人看管的重新启动 使用良好的随机数生成器 使用SSL进行设计(1)不同应用结合,SSL本身毫无用处 了解要保证什么样的安全 没有必要让SSL来提供所有的安全服务!! 保密性 在大多数应用中保密性都是有用的 消息完整性 对是否使用本项功能应不存在疑问 消息完整性不是可有可无的 服务器认证 惟一不需要服务器认证的SSL模式为匿名DH模式 几乎所有的SSL应用都要求服务器证书 客户端认证 使用SSL往往将用户锁定在使用基于证书的服务器模式 许多应用协议均集成了自己的客户端认证机制 使用SSL进行设计(2)客户端认证 用户名/口令 SSL可以阻止线路嗅探 但不能防止反复猜测口令 用户名/口令的变种 S/Key, SecureID 在使用SSL的环境中没有什么优势 在既有非安全连接又有安全连接的环境中,还是有用的 SSL客户端认证 可操作性方面比服务器认证困难,操作负担大 另一个附加问题是将证书映射为用户标识 经验法则 在大多数情况下,提供用户名/口令认证更容易一些 口令更易于与其他基础设施集成在一起,也易于被用户理解 使用SSL进行设计(3)引用完整性 服务器身份 要确保SSL安全连接的安全就必须验证服务器的身份 不仅要对服务器的证书进行验证,还要验证这个服务器就是你期望与之交互的服务器 需要
您可能关注的文档
- 人教版二年级上册第34课-农业的变化真大概要.ppt
- 人教版五年级《品德与社会》上册全册教案概要.doc
- 人教版五年级上下册语文1-8单元词语盘点、日积月累概要.doc
- 人教版五年级上册小数乘法《分段计费》概要.ppt
- 人教版五上语文ppt4仓颉造字概要.ppt
- 人教版五年级上册除数是整数的小数除法概要.ppt
- 人教版五年级上册《可能性复习》概要.ppt
- 人教版五年级上册第一单元 1.《窃读记》PPT课件概要.ppt
- 人教版五年级下册习作一概要.ppt
- 人教版五年级下册分数的意义和性质《真分数与假分数练习课》概要.ppt
- 2023年河北省保定市高碑店市卫生健康局公务员考试《行政职业能力测验》历年真题及详解.docx
- 2023年河北省保定市安国市信访局公务员考试《行政职业能力测验》历年真题及详解.docx
- 信息必刷卷03(广东省专用)(解析版).docx
- 信息必刷卷02(天津专用)(原卷版).docx
- 信息必刷卷03(安徽专用)(原卷版).docx
- 热点08 工艺流程题 -2024年中考化学【热点·重点·难点】专练(江苏专用)(解析版).docx
- 专题06 比较异同类选择题(含答题技巧,题型专练60题)(解析版).docx
- 专题09 推断题、工业流程题、溶解度曲线题(解析版).docx
- 信息必刷卷04(湖南专用)(解析版).docx
- 信息必刷卷01(福建专用)(原卷版).docx
最近下载
- (完整版)数学英文词汇大全.docx VIP
- 完整版本圣三国蜀汉传攻略.docx
- 第4课用联系的观点看问题2024-2025学年中职高教版2023哲学与人生.pptx VIP
- 高中化学_电化学复习专题教学设计学情分析教材分析课后反思 .pdf
- 广告标识牌采购投标方案(技术标360页).docx
- 测绘地理信息安全保障措施通用标准审查细则(试行).doc VIP
- 语文课程实践技能智慧树知到期末考试答案章节答案2024年广州大学.docx
- 现代汉语词性辨析练习及答案.doc
- 广东省安装工程综合定额2010.pdf VIP
- 外研社高中英语必修一 Unit 5 The monarch’s journey 教学设计.docx
文档评论(0)