网络安全Web安全.pptVIP

临时RSA 因受出口限制，为配合客户端，服务器会产生一个临时的低强度密钥，并用高强度密钥签名，客户端将验证临时密钥上的服务器签名，并使用它来打包pre_master_Secret. 服务器向客户端发送消息 ServerKeyExchange /sundae_meng 再握手 是在当前受保护的连接上进行的一次新的SSL握手，因而传输过程中的握手消息是经过加密的 一旦新的握手完成，将使用新的会话状态来保护数据 客户端可以简单的通过发送一条ClientHello消息来初始化一次新的握手 服务器端可以通过HelloRequest消息来初始化一次新的握手 /sundae_meng SSL的安全性 保护master_secret 保护服务器的私钥 使用良好的随机数 证书链检查 算法选择（强度） /sundae_meng SSL实现 OpenSSL, 最新0.9.8, 实现了SSLv2,SSLv3, TLSv1.0 Openssl ——a command line tool. ssl(3) —— the OpenSSL SSL/TLS library. crypto(3)—— the OpenSSL Crypto library. URL: SSLeay .au/~ftp/Crypto/ Internet号码分配当局已经为具备SSL功能的应用分配了固定的端口号 例如带SSL的HTTP(https)被分配以端口号443 带SSL的SMTP(ssmtp)被分配以端口号465 带SSL的NNTP(snntp)被分配以端口号563 /sundae_meng SET /sundae_meng * 网络安全—Web安全 /sundae_meng 学习目标 掌握SSL的基本体系结构 掌握SET的基本体系结构 /sundae_meng 第一部分 SSL/TLS协议 SSL （Secure Socket Layer）是一种在两个端实体（End Entity）之间提供安全通道的协议。 它具有保护传输数据以及识别通信实体的功能 安全通道是透明的 IETF 制定的TLS（Transport Layer Security）版本是对Nescape公司的SSL和Microsoft公司的PCT（Private Communication Technology）两个协议的综合和兼容。 这里重点讨论SSL协议 /sundae_meng SSL/TLS协议设计目标 SSL V2 设计目标 为满足WEB安全通信而设计 提供客户和服务器之间传输数据的保密性 服务器认证（客户端认证可选） SSL V3设计目标 修正SSL V2中存在的多处安全问题 设计一种安全磋商多种加密算法的机制 /sundae_meng SSL提供了什么? SSL提供了通道级别的安全: 连接的两端知道所传输的数据是保密的,而且没有被篡改 几乎总是要对服务器进行认证 可选的客户端认证 针对异常情况的安全通知 错误警示 关闭连接 所有这些依赖于某些对系统的假定 假定已经正确产生了密钥数据并且 该密钥已被安全地保管 /sundae_meng SSL与TCP/IP SSL连接非常类似于“保密的”的TCP连接 位于TCP之上，应用层之下 几乎只能在TCP上运行，而不能在UDP或IP上运行，因而它依赖于可靠的传输协议 微软的STLP和无线应用论坛的WTLS均为意图在数据报传输层（如UDP）上正确工作的变种。 /sundae_meng SSL变种谱系树 SSL V1（1994） 未发布 SSL V2（1994） 第一版 SSL V3（1995） TLS（1997－1999） PCT（1995） STLP（1996） WTLS（1998） /sundae_meng 用于WEB的SSL 保护使用HTTP的WEB通信 新的URL https:// 在浏览器中的表现 NETSCAPE：工具条上会显示一把钥匙 IE： 右下角显示 一把锁 几乎所有的商业WEB服务器和浏览器都实现了内置的SSL协议，通过配置即可使用 /sundae_meng 在SSL上构建一切 除了HTTP 和NNTP（SNEWS）外，还可以用于SMTP、Telnet、FTP等，也可用于保护专有协议。 协议端口标准化 协议实现 OPENSSL （C语言实现） pureTLS (java 实现) ApacheSSL （针对Apache服务器的实现） Mod_ssl /sundae_meng 一次真实的SSL连接 客户 服务器 握手：ClientHello 握手：ServerHello 握手：Certificate 握手：ServerHelloDone 握手：ClientKeyExchange ChangeCipherS