15SSLVPN解读.ppt

* 杭州华三通信技术有限公司 * SSL VPN 构建安全优化的广域网 1.0 杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播 随着接入技术和移动技术的发展，人们迫切要求随时随地以多种方式接入公司的信息系统 远程主机的安全性现状、远程终端的多样性迫切要求VPN的客户端具有跨平台、易于升级和维护等特点 接入内部网络的客户越来越复杂，要求能够根据客户身份、客户使用的远程主机的安全情况分配不同的访问权限 引入 了解SSL协议基本原理 叙述SSL VPN架构组成及主要特点 掌握SSL VPN主要功能及实现方式 掌握SSL VPN主要部署模式 课程目标 学习完本课程，您应该能够： SSL协议简介 SSL VPN概述 SSL VPN功能与实现 部署SSL VPN 目录 SSL协议简介—工作模型 SSL是工作在TCP层之上的加密协议。 SSL协议采用C/S架构。 SSL服务器端使用TCP协议的443号端口提供SSL服务。 TCP UDP IP SSL Client Application TCP UDP IP SSL Server Application SSL协议 TCP协议 应用层协议 SSL协议简介—协议架构 握手层：负责建立SSL连接 记录层：负责对报文进行加解密 记录层协议 握手层 记录层 Application TCP SSL层 SSL API 密钥改变协议 握手协议 告警协议 SSL协议简介—记录层 应用模块 TCP 分片 压缩 加密 记录层 应用模块 TCP 解压 解密 记录层 保护传输数据的私密性，对数据进行加密和解密。 验证传输数据的完整性，计算报文的摘要。 提高传输数据的效率，对报文进行压缩。 保证数据传输的可靠和有序。 记录层报文格式 加密数据 报文类型 版本 长度 长度（字节） 1字节 2字节 2字节 MAC 报文类型： 密钥改变协议(20)，告警协议(21)，握手协议(22)， 应用层数据(23) 版本：TLS1.0(3,1)，SSL3.0(3,0) 长度：记录层报文的长度，包括加密数据和MAC值的字节数。 MAC：整个记录报文的消息验证码，包括从报文类型开始的所有字段。 握手层 协商加密能力 协商密钥参数 验证对方身份 建立并维护SSL会话 client server Client Hello Server Hello Server Certificate Server Key Exchange Certificate Request Server Hello Done Client Certificate Client Key Exchange Certificate Verification Change Cipher Spec Finished Change Cipher Spec Finished Application Data SSL协议简介—握手过程 SSL握手协议提供了三种握手过程： 无客户端身份认证的全握手过程 有客户端身份认证的全握手过程 会话恢复过程 SSL协议简介—无客户端认证的全握手过程 ClientHello ServerHello ServerCertificate* ServerKeyExchange* ServerHelloDone* [ChangeCipherSpec] Finished Application Data 客户端支持的最高版本，加密套件列表，压缩算法列表，客户端随机数，会话ID=0 服务器同意的版本，加密套件，压缩算法、会话ID、服务器端随机数 服务器的证书 服务器端密钥交换的附加信息 通知对方服务器端握手消息发完 客户端产生的PreMasterKey密钥参数 通知对方本端开始启用加密参数 通知对方本端开始启用加密参数 发送客户端计算握手过程的验证报文 发送自己计算握手过程验证报文 传送应用层数据 ClientKeyExchange Finished Application Data [ChangeCipherSpec] SSL协议简介—有客户端认证的全握手过程 ClientHello ServerHello ServerCertificate* ServerKeyExchange* ServerHelloDone* [ChangeCipherSpec] Finished Application Data 前面所有握手消息的数字签名 传送应用层数据 ClientKeyExchange Finished Application Data CertificateRequest* Certificate* CertificateVerify* [ChangeCipherSpec] 向客户端索要证书 客户端的证书 SSL协议简介—会话恢复过程 Cli