网络通信安全管理员认证－中级 ssl跟set.ppt

第6章 安全协议 6.1 SSL协议及其应用 6.2 安全电子交易系统 6.1 SSL协议及其应用 6.1.1 引言 安全套接字层协议( Security Socket Layer,SSL)是用于Internet上进行保密通信的一个安全协议，它的主要目的是保证两台机器之间的通信安全，提供网络上可信赖的服务。 SSL协议已成为Web安全方面的工业标准。目前广泛采用的是SSLv3。 6.1.2 SSL协议概述 SSL使用保密密钥对将要通过SSL连接传送的数据进行加密，它是对两台机器之间的整个会话进行加密的协议。 SSL的设计目标如下： 加密安全。 互用性。 可扩展性。 关联功能。 1. SSL 协议的结构 由两层组成，分别是握手协议层和记录协议层。 SSL协议可以独立于应用层协议，因此可以保证一个建立在SSL协议之上的应用协议能透明地传输数据。SSL协议在网络协议栈的位置如图6.1所示。 图6.1 SSL协议层与TCP/IP 协议的关系图 SSL握手协议的作用是在正式的秘密通信之前，让服务器和客户之间互相鉴别对方的身份并协商一种会话的加密算法和加密密钥。 （1） 客户端和服务器之间互相验证身份 （2） 客户端和服务器之间协商安全参数 SSL协议提供安全连接时有以下基本属性： 通信内容是保密的。 双方的验证是使用非对称密钥。 连接是可靠的。 2． SSL协议中的状态 一个SSL会话是有状态的。 （1） 待定状态和当前状态 待定状态，包含当前握手协议协商好的压缩、加密、计算MAC以及密钥等。 当前状态，包含记录层正在实施的压缩、加密、计算MAC以及密钥等。 （2） 会话状态和连接状态 每个会话状态包含以下元素： 会话标识符 压缩算法 加密规格说明 主密钥 是否可回复的一个标志 每个连接状态包含下列元素： 服务器和客户端随机数 服务器消息验证码密钥 客户端消息验证码密钥 服务器写密钥 客户端写密钥 初始化向量 序号服务器和客户端 3. SSL协议规范表示语言 SSL协议有自己的一套规范语言，使用规范语言可以提供一种没有歧义的、精简的协议描述。SSL的规范语言和C语言有点相似。 （1） 基本类型 所有的数据表示都是严格规定的。基本的数据大小是一个字节（8个位）。多字节的数据是八字节串联起来，从左到右，从上到下。 （2） 混合 注释用“/*”开始 ，用“*/”结束， 可选的组件放在“[[ ]]”里。 （3） 数值型 基本的数值型是uint8。所有大数值型都是uint8固定组成。 uint8 uint16[2]; uint8 uint24[3]; uint8 uint32[4]; uint8 uint64[8] （4） 向量 一个向量（单维的数组）是一个同构的数据元素流，它是给定类型的元素序列。向量有定长和变长。定长用[ ]表示，变长用〈 〉表示。 （5） 枚举 枚举就是只有一系列特定的字段，且每个值都有名字。 （6） 结构 结构类型按需要从原始类型组合而成。语法和C很相似。 struct { T1 f1; T2 f2; ... Tn fn; } [[T]]; 这里可以用结构名加上字段名指定一个项，如T.f2 就指定义的第二个字段。 6.1.3 记录层协议 记录层SSL常用的数据加密算法有下列几种。（1） No encryption Stream ciphers （2） RC4 with 40 bit key （3） RC4 with 128 bit key CBC Block Ciphers （4） RC2 with 40 bit key （5） DES with 40 bit key （6） DES with 56 bit key （7） Triple-DES with 168 bit key （8） Idea (128 bit key) （9） Fortezza (96 bit key) 1． 帧 帧是记录层从上层接收到的任意长度、非空的、不可分的数据。 2． 记录的压缩和解压 3． 记录有效负荷保护和密码规范 6.1.4 change_cipher_spec协议 change_cipher_spec消息有着特殊的用途，它表示记录加密及认证的改变，一旦握手商定了一