cnspp-ch15-16-17安全协议.pptVIP

PKI理论与技术 (第7章 安全协议与安全接口) Instructor: Hou Mengbo Email: houmb AT Office: Information Security Research Group 第7章 安全协议与安全接口Protocols：SSL／TLS、WTLS、SETIPSEC、S/MIME、PGPSSH、SPKI、SSOAPIs: MS-CryptoAPI、CDSAGSS-API、OpenSSL …… 内容目录 （1）SSL／TLS Secure Socket Layer ／Transport Layer Security （2）IPSEC IP Security （3）SET Secure Electronic Transaction （4）S/MIME Secure/Multipurpose Internet Mail Extensions （5）PGP Pretty Good Privacy （6）WTLS＊ Wireless Transport Layer Security （7）SSH Secure SHell （8）SPKI＊ Simple Public Key Infrastructure （9）SSO Single Sign On （10）MS-CryptoAPI （11）CDSA＊ Common Data Security Architecture （12）GSS-API＊ Generic Security Services API （13）OpenSSL 第一部分 SSL/TLS协议（RFC2246、3546） 第一部分 SSL/TLS协议 SSL （Secure Socket Layer）是一种在两个端实体（End Entity）之间提供安全通道的协议。 它具有保护传输数据以及识别通信实体的功能。 安全通道是透明的 IETF 制定的TLS（Transport Layer Security）版本是对Nescape公司的SSL和Microsoft公司的PCT（Private Communication Technology）两个协议的综合和兼容。 本文重点讨论SSL协议 SSL/TLS协议设计目标 SSL V2 设计目标 为满足WEB安全通信而设计 提供客户和服务器之间传输数据的保密性 服务器认证（客户端认证可选） SSL V3设计目标 修正SSL V2中存在的多处安全问题 设计一种安全磋商多种加密算法的机制 SSL提供了什么 SSL提供了通道级别的安全: 连接的两端知道所传输的数据是保密的,而且没有被篡改 几乎总是要对服务器进行认证 可选的客户端认证 针对异常情况的安全通知 错误警示 关闭连接 所有这些依赖于某些对系统的假定 假定已经正确产生了密钥数据并且 该密钥已被安全地保管 SSL与TCP/IP SSL连接非常类似于“保密的”的TCP连接 位于TCP之上，应用层之下 几乎只能在TCP上运行，而不能在UDP或IP上运行，因而它依赖于可靠的传输协议 微软的STLP和无线应用论坛的WTLS均为意图在数据报传输层（如UDP）上正确工作的变种。 SSL变种谱系树 用于WEB的SSL 保护使用HTTP的WEB通信 新的URL https:// 在浏览器中的表现 NETSCAPE：工具条上会显示一把钥匙 IE： 右下角显示 一把锁 几乎所有的商业WEB服务器和浏览器都实现了内置的SSL协议，通过配置即可使用 在SSL上构建一切 除了HTTP 和NNTP（SNEWS）外，还可以用于SMTP、Telnet、FTP等，也可用于保护专有协议。 协议端口标准化 协议实现 OPENSSL （C语言实现） pureTLS (java 实现) ApacheSSL （针对Apache服务器的实现） Mod_ssl 两个主要的协议 SSL记录协议 建立在可靠的传输协议(如TCP)之上 它提供连接安全性，有两个特点 保密性，使用了对称加密算法 完整性，使用HMAC算法 用来封装高层的协议 SSL握手协议 客户和服务器之间相互鉴别 协商加密算法和密钥 它提供连接安全性，有三个特点 身份鉴别，至少对一方实现鉴别，也可以是双向鉴别 协商得到的共享密钥是安全的，中间人不能够知道 协商过程是可靠的 SSL的两个