网络协议的安全.ppt

图8.12 SSL协议栈与HTTP的结合 SSL协议提供的安全信道有以下3个特性。 ① 私密性：由于在握手协议中定义了会话密钥后，所有的消息都被加密。 ② 确认性：因为尽管会话的客户端认证是可选的，但是服务器端始终是被认证的。 ③ 可靠性：因为传送的消息包括消息完整性检查（使用MAC）。 SSL的两个重要概念是SSL会话和SSL连接。 ① 连接 ② 会话 2．SSL记录协议 SSL记录协议为SSL连接提供了以下两种服务。 ① 机密性 ② 消息完整性 3．更改密码规格协议 图8.14 SSL记录协议的有效载荷 4．警告协议 警告协议用于对等实体之间传递SSL的相关警告。 5．SSL握手协议 SSL中最复杂的协议就是握手协议。该协议允许服务器和客户机相互验证，协商加密和MAC算法以及保密密钥，用来保护在SSL记录中发送的数据。握手协议是在任何应用程序的数据传输之前使用的。 表8.2 SSL握手协议的消息类型 消 息 类 型 参 数 Hello_request Null Client_hello 版本，随机数，会话id，密码组，压缩模式 Server_hello 版本，随机数，会话id，密码组，压缩模式 certificate X．509v3的证书系列 Server_key_exchange 参数，签名 Certificate_request 类型，授权 Server_done Null Certificate_key_exchange 签名 Client_key_exchange 参数，签名 finished 哈希值 握手协议分为两个阶段：第一个阶段用于建立私密性通信信道；第二个阶段用于客户认证。 7．SSL协议特点 SSL协议存在一些问题，比如SSL提供的保密连接有很大的漏洞。 另外，SSL对应用层不透明，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系 8.2.2 TLS协议 1．协议概述 TLS协议主要由两层组成：TLS记录协议和TLS握手协议。 （1）专用的连接（2）可靠的连接 2．TLS协议的目标 根据优先级顺序排列，TLS协议实现的目标如下。 （1）数据安全 （2）互操作性 （3）可扩展性 （4）高效性 3．TLS记录协议 TLS记录协议是一个可相对独立工作的协议，记录协议完成的工作包括信息的传输、数据的分段、可选择的数据压缩、提供信息鉴别码MAC和对信息进行加密等。 4．TLS握手协议 TLS握手协议由一系列子协议构成，使通信的双方协商建立记录层所需的安全参数，并认证对方身份，为双方报告出错信息。 图8.15 完整的握手协议信息流 图8.16 建立可恢复的新的会话连接 * * 第8章 网络协议的安全 8.1 IP 的 安 全 8.2 传输协议的安全 8.3 应用协议的安全 8.1 IP 的 安 全 IP级安全问题涉及3个功能领域：身份验证、机密性和密钥管理。 IP层的安全性应达到以下几个目标： （1）期望安全的用户能够使用基于密码学的安全机制； （2）应能同时适用于IPv4和IPv6； （3）算法独立； （4）有利于实现不同的安全策略； （5）对没有采用该机制的用户不会有负面的影响。 8.1.1 IPSec协议簇 1．IPSec基本原理 （1）IPSec工作原理 IPSec（IP Security）首先协商建立安全关联（Security Association，SA），IPSec通过查询安全策略数据库决定对接收到的IP数据包的处理方式. ① 封装安全载荷（Encapsulating Security payload，ESP） ESP协议主要用来处理对IP数据包的加密，此外对认证也提供某种程度的支持。 ② 认证头（Authentication Header，AH） AH协议只涉及到认证，不涉及到加密。AH协议虽然在功能上和ESP有些重复，但AH协议除了可以对IP的有效负载进行认证外，还可以对IP头部实施认证。 ③ IKE（Internet Key Exchange） IKE协议主要是对密钥交换进行管理. 2．IPSec提供的功能 （1）IPSec的功能 IPSec的基本功能包括在IP层提供安全服务，选择需要的安全协议，决定服务使用的算法和保存加密使用的密钥等。 （2）IPSec提供的服务和应用 ① 保护Internet上的区域连通性 ② 可以保护Internet上的远程访问 ③ 可以与合作伙伴之间建