Presentation 电子发烧友课件_2.ppt

电子发烧友 电子技术论坛 网络安全协议 侯素玲 务。 TCP/IP协议栈中的安全 SSL协议的发展 1 SSL(Secure Socket Layer)是Netscape公司设计的主要用于web的安全传输协议。 2 IETF()将SSL作了标准化，即RFC2246,并将其称为TLS（Transport Layer Security），TLS1.0与SSL3.0差别很小。 3 在WAP的环境下，由于手机处理和存储能力有限，wap论坛（）在TLS的基础上做了简化，提出了WTLS协议（Wireless TLS），以适应无线的特殊环境。 SSL协议的位置 SSL协议要求建立在可靠的传输层协议(如：TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的。 高层的应用层协议(例如：HTTP，FTP，TELNET)能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。 SSL协议的位置 SSL协议建立在传送层和应用层之间，由记录协议和握手协议组成，其中记录协议在握手协议下端。SSL在TCP之上建立了一个加密通道。 主要功能 1、SSL服务器认证：允许用户确认服务器身份。支持SSL协议的客户机软件能使用公钥密码标准技术检查服务器证书、公用ID是否有效和是否由在客户信任的CA列表内的认证机构发放。 2、SSL客户机认证：允许服务器确认用户身份。使用应用于服务器认证同样的技术，支持SSL协议的服务器软件能检查客户证书、公用ID是否有效和是否由在服务器信任的认证机构列表内的CA发放。 主要功能 3、机密性：一个加密的SSL连接要求所有在客户机与服务器之间发送的信息由发送方软件加密和由接受方软件解密，这样提供了高度机密性。 4、完整性：所有通过加密SSL连接发送的数据都被一种检测篡改的机制所保护，这种机制自动地决定传输中的数据是否已经被更改 连接安全 SSL协议提供的连接安全有三个基本属性： 连接是保密的。对称加密法用于数据加密（如用DES和RC4等）。 对方的身份能够使用非对称或公钥密码进行认证（如用RSA和DSS等）。 连接是可靠的。消息传输包括使用消息认证码（MAC）的消息完整性检查，安全哈希函数（如SHA和MD5等）用于消息认证码计算。 SSL协议的组成 SSL协议包括两个子协议：SSL记录协议和SSL握手协议。 SSL协议的组成 记录协议定义了要传输数据的格式，它位于一些可靠的的传输协议TCP之上，用于各种更高层协议的封装。记录协议主要完成分组和组合，压缩和解压缩，以及消息认证和加密等功能。所有传输数据包括握手消息和应用数据都被封装在记录中。 握手协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。 SSL握手协议 在初次建立SSL连接时使用SSL记录协议交换一系列消息。为如下操作做准备： . 客户机对服务器的认证。 . 客户机与服务器都支持的加密算法或密码。 . 服务器对客户的认证（可选）。 .使用公钥加密技术生成共享密钥。 .建立加密SSL连接。 四个目标 加密安全性：在双方之间建立安全的连接。 协同工作能力：独立程序员能够使用SSL3.0开发应用，然后能够在不知道他人代码的情况下成功地交换加密参数。 可扩展性：SSL致力于提供一种框架，在必要时新的公钥和大批加密方法可以整合进来。 相对效率：考虑到加密操作特别是公钥操作的速度问题，SSL协议使用可选的会话缓冲方案以降低连接数量，减少网络操作行为。 支持的密码 带SHA-1消息认证、支持168位加密的3-DES，速度不如RC4快。大约有3.7 * 1050个密码。 带MD5消息认证、支持128位加密的RC4，RC4和RC2都有128位的密码，加密强度仅次于3-DES。RC4和RC2大约有3.4 * 1038 个密码可用。RC4密码是SSL支持的密码中最快的。 带SHA-1消息认证、支持56位加密的DES，大约有7.2 * 1016 个可用的密码（在SSL2.0中该密码使用的是MD5 消息认证）。 主要工作流程 ①网络连接建立； ②选择与该连接相关的加密和压缩方式； ③双方的身份识别； ④本次传输密钥的确定； ⑤加密的数据传输； ⑥网络连接的关闭。 主要工作流程 应用数据的传输过程为 : １)应用程序把应用数据提交给本地的SSL； ２)发送端的SSL根据需要 ： a)使用指定的压缩算法 ，压缩应用数据； b)使用散列算法对压缩后的数据计算散列值； c)把散列值和压缩数据一起用加密算法加密； 3) 密文通过网络传给对方； 主要工作流程 4)接收方的SSL 用相同的加密算法对密文