g第八周 安全通信与交易协议（第10章）.pptVIP

1 * 优点： 可提供高强度的安全性（数据加密和身份验证） 对上层应用完全透明 支持网络与网络、用户与用户、网络与用户多种应用模式 缺点： 只支持IP协议 目前防火墙产品中集成的VPN多为使用IPSec 协议 ，在中国其发展处于蓬勃状态。 IPSec VPN 1 * MPLS VPN 优点： 运行在IP+ATM或者IP环境下，对应用完全透明 缺点： MPLS VPN 并未提供加密、认证等安全机制 当信息的安全性是VPN 网络设计考虑的首要因素时，应当采用IPSec VPN。 * 欢迎辞 * * SSL握手协议层 SSL HandShake Protocol layer。 用于SSL管理信息的交换，允许应用协议传送数据之前相互验证，协商加密算法和生成密钥等。 包括： SSL握手协议（SSL HandShake Protocol）； SSL密码参数修改协议（SSL Change Cipher Spec Protocol）； 应用数据协议（Application Data Protocol）； SSL告警协议（SSL Alert Protocol）。 * 握手协议定义的消息类型(1) 消息类型 说明 参数 hello_request 握手请求，服务器可在任何时候向客户端发送该消息。若客户端正在进行握手过程就可忽略该消息。否则客户端发送cleint_hello消息，启动握手过程。 无 client_hello 客户启动握手请求，该消息时当客户第一次连接服务器时向服务器发送的第一条消息。该消息中包括了客户端支持的各种算法。若服务器端不能支持，则本次会话可能失败。 版本、随机数、会话ID、密文族、压缩方法 server_hello 其结构与client_hello消息，该消息是服务器对客户端client_hello消息的恢复。 版本、随机数、会话ID、密文族、压缩方法 server_certificate 服务器提供的证书。如果客户要求对服务器进行认证，则服务器在发送server_hello消息后，向客户端发送该消息。证书的类型一般是X.509v3。 X．509v3证书链 server_key_exchange 服务器密钥交换。当服务器不使用证书，或其证书中仅提供签名而不提供密钥时，需要使用本消息来交换密钥。 参数、签名 * 握手协议定义的消息类型(2) 消息类型 说明 参数 certificate_request 用于服务器向客户端要求一个客户证书。 类型、授权 server_hello_done 该消息表明服务器端的握手请求报文已经发送完毕，正在等待客户端的响应。客户端在收到该消息时，将检查服务器提供的证书及其他参数是否是有效、可以接受的。 无 client_certificate 客户端对服务器certificate_request消息的响应，只有在服务器端要求客户证书的时候使用。一般该消息是客户端收到server_hello_done消息后所发送的第一条消息。若客户端没有合适的证书，则向服务器端发送no_certificate的告警消息（无证书可能导致握手失败） X．509v3证书链 client_key_exchange 客户密钥交换。当客户不使用证书，或其证书中仅提供签名而不提供密钥时，需要使用本消息来交换密钥。 参数、签名 certificate_verify 该消息用于向服务器提供对客户证书的验证。 签名 finished 该消息在“加密规约修改”（Change Cipher Spec）消息之后发送，以证实握手过程已经成功完成。本消息发送后，发送方开始使用协商的新参数来执行操作。该消息需要在两个方向上传送。 散列值 * 完整SSL会话握手协议 交换Hello消息，对于算法、交换随机值等协商一致 交换必要的密码参数，以便双方得到统一的premaster secret 交换证书和相应的密码信息，以便进行身份认证 产生master secret 把安全参数提供给SSL记录层 检验双方是否已经获得同样的安全参数 * 第一阶段：建立起安全协商 客户发送一个client_hello消息，包括以下参数：版本、随机数(32位时间戳+28字节随机序列)、会话ID、客户支持的密码算法列表(CipherSuite)、客户支持的压缩方法列表.然后，客户等待服务器的server_hello消息 服务器发送server_hello消息，参数：客户建议的低版本以及服务器支持的最高版本、服务器产生的随机数、会话ID、服务器从客户建议的密码算法和压缩方法中确定一套本次连接使用的确定方法. * CipherSuite 指定了密钥交换的方法，SSL支持以下一些方法： RSA，要求服务器提供一个RSA证书 DH(D