网络服务器配置与管理课件项目10使用SSLTLS安全连接网站.pptx

服务器配置与管理项目10使用SSLTLS安全连接网站

服务器配置与管理任务1了解SSL/TLS服务?任务描述随着网络技术的发展，互联网已渐渐融入人们生活中衣食住行等各个方面。网上金融、电子商务、在线购物的发展，使得网络安全隐患层出不穷，高科技犯罪、信息窃取、黑客入侵案例也逐渐增多，如何保证敏感数据的安全传输已经成为社会讨论的热点。?任务分析网络管理员要控制端到端的通信就要调用传输层协议，利用TLS与SSL安全协议在传输层可以对网络连接进行加密。SSL提供的安全通信具有数据保密性、数据完整性和身份认证等特性。项目10使用SSLTLS安全连接网站

服务器配置与管理1．SSL/TLS的基本概念应用层HTTPSMTPFTPOthersSSL/TLS握手协议应用层数据传输协议SSL/TLS协议握手协议修改密文规约协议告警协议SSL/TLS记录协议传输层TCP网络层IP网络接口图10-1SSL/TLS协议整体架构项目10使用SSLTLS安全连接网站

服务器配置与管理1．SSL/TLS的基本概念（1）SSL/TLS记录协议：整个SSL/TLS协议的载体，定义了协议整体的数据封装方法，内部包含通讯初始化时的握手数据，或者加密和压缩过的应用层数据，它可以说是应用层数据在整个SSL/TLS消息中的信封。其格式如图10-1所示。从中可以看出，SSL/TLS记录协议在整体结构上提供了一些有效的明文信息，根据此信息，可以正确地对SSL/TLS协议进行识别。（2）应用层数据传输协议：为SSL/TLS记录协议提供原始的应用层数据。项目10使用SSLTLS安全连接网站

服务器配置与管理1．SSL/TLS的基本概念（3）握手协议：起到协商SSL/TLS会话过程中各项参数的作用。客户端和服务器端协商双方所使用的的SSL/TLS版本，相互验证对方，确定整个会话使用的加密和压缩算法，并产生通讯过程中使用的共享密钥。（4）修改密文规约协议：用于更改加密策略的信号。客户端和服务器端的任意一方可以通过发起该协议的一系列消息来告知另一方，本次会话后续的数据将使用新的加密算法和密钥来进行传输。（5）告警协议：当会话遇到错误或会话状态改变时，由客户端和服务器端的任意一方发起，告知另一方。此时应立即停止本次会话。项目10使用SSLTLS安全连接网站

服务器配置与管理2．SSL/TLS的工作流程SSL的工作分为两个阶段：握手阶段和数据传输阶段，若握手阶段发现存在安全风险，比如握手时发现另一端不能支持选择的协议或加密组件，或者发现数据被篡改，这时通信另一端会发送告警消息，如果安全风险较大，两端之间的通信就会终止，同时重新协商建立新的SSL握手。SSL握手协议分成五个子协议：HandShake（握手）、ChangeCipherSpec（更改密钥规格）、Alert（告警）、ApplicationData（应用数据）、Heartbeat（心跳）。SSL握手有三个目的。第一，客户与服务器需要协商一套用于加密传输数据的加密算法。第二，他们需要通过SSL握手获得这组加密算法所需要的公钥和私钥。第三，握手过程还可以选择对客户或者服务端进行身份认证。项目10使用SSLTLS安全连接网站

服务器配置与管理2．SSL/TLS的工作流程（1）ClientHello不同的客户端支持的加密组件不一样，在SSL握手过程中，必须使用同一套加密组件对数据进行加解密。客户端需要为服务端提供这些信息：客户端支持的加密组件的种类，客户端生成的随机数，该随机数在生成会话密钥中有重要的作用，它将与服务端随机数一起作为主密钥的材料，主密钥的生成过程与具体用途将在后面详细介绍。不仅客户端需要本地保存这个随机数，服务端也需要该数据。所以ClientHello消息中传递的最重要参数就是加密组件列表与客户端随机数。项目10使用SSLTLS安全连接网站

服务器配置与管理2．SSL/TLS的工作流程（3）ClientKeyExchange客户端接收ServerHello消息之后，会向服务端发送客户端证书。在此之前，所有SSL握手信息都是明文传输。客户端在接收ServerHelloDone消息后，会使用之前协商好的不对称加密算法生成长度为48的密钥作为握手过程中的预主密钥，该密钥在生成主密码以及到最后加解密应用数据的会话密钥（sessionkey）扮演重要的角色。接着，客户端需要检查服务器的证书是否完整，是否是经过CA颁发，证书上域名与服务器地址是否吻合。客户端发送完ChangeCipherSpec消息之后，会使用加密套件中的密钥交换算法以及之前协商好的公钥加密之前所有的握手摘要消息传输至服务端。项目10使用SSLTLS安全连接网站

服务器配置与管理2．SSL/TLS的工作流程（4）Server