SSL协议在HTTP中应用与实现.pptx

第五章安全协议技术-SSL协议应用实例：HTTPS信息与软件工程学院EMail:周世杰计算机系统与网络安全技术

HTTP协议在传输过程中没有提供足够的安全保护网景公司（Netscape）在1995年首先提出了采用SSL保护HTTP的方案（HTTPoverSSL）HTTPoverTLS具体在RFC2817和RFC2818中描述HTTPS（SecureHypertextTransferProtocol）安全超文本传输协议SSL与HTTP安全协议技术SSL协议应用实例：HTTPS

使用HTTPOverSSL的方式例如：SSL与HTTP安全协议技术SSL协议应用实例：HTTPS“锁”形符号表示启用了SSL

STEP1：客户（浏览器）向WEB服务器发起连接，执行SSL握手协议。浏览器既是WEB服务器的客户端，也是SSL的客户端，因此首先通过向SSL服务器发送ClientHello消息而发起SSL握手协议。协商所需要的所有安全参数。STEP2：通过SSL加密规约修改协议通知双方使用新的安全参数启用SSL协议。在未启用SSL之前，不会传送HTTP数据。HTTPOverSSL执行过程安全协议技术SSL协议应用实例：HTTPS

STEP3：在已建立的SSL信道上，通过SSL记录层协议来传输HTTP数据。一般是分配443端口，端口可以通过配置来更改。对于很大的web页面，可通过多个SSL记录层协议包来传送。STEP4：客户或服务器关闭SSL连接客户或服务器通过SSL报警协议发送close_notify消息通知服务器关闭SSL连接，并同时发送TPFIN关闭TCP连接。如果没有收到close_notify而直接收到了TCPFIN（称之为提前关闭连接），则可能是系统错误或攻击行为。客户端可以在任何时候关闭连接，因此服务器必须能够适应这种方式以恢复连接。HTTPOverSSL概述安全协议技术SSL协议应用实例：HTTPS

Contenttypes:SSL加密规约修改协议（ChangeCipherSpec）SSL握手协议（Handshake）SSL报警协议（Alert）应用数据（ApplicationData）MajorversionMinorversionRecordLengthEncryptedDataandMacSSLRecordHeaderHTTPDataHTTPOverSSL的消息格式安全协议技术SSL协议应用实例：HTTPSContenttype

浏览器接收到服务器的证书。浏览器通过比较所访问的主机名与服务器返回的证书中的主机名（subjectName）是否一致来认证服务器。证书的subjectAltName扩展字段可以用来支持其他认证：如果subjectAltName的类型是dNSName，则可以对域名进行认证如果subjectAltName的类型是iPAddress，则可以对URI中使用的IP地址进行认证。HTTPOverSSL中客户对服务器的认证安全协议技术SSL协议应用实例：HTTPS

HTTPOverSSL中客户对服务器的认证安全协议技术SSL协议应用实例：HTTPS如果访问的主机与证书的主机不一致：浏览器必须提示用户注意（用户可以选择是否继续建立连接）。或通过发送证书错误来终止连接。用户可以通过设置来自动处理这种证书错误（比如终止连接、忽略等），并对错误进行记录和审计。

HTTPOverSSL中服务器对客户的认证安全协议技术SSL协议应用实例：HTTPS服务器对用户没有其他信息服务器对用户的认证只能通过用户的证书如果用户的证书是不可接受的，则认证失败否则认证通过

HTTPOverSSL中证书的错误类型安全协议技术SSL协议应用实例：HTTPS错误消息含义此网站的安全证书已被吊销你不应信任此网站。此错误通常表示该网站通过欺骗的手段获取或使用安全证书。此网站的地址与安全证书中的地址不匹配此错误表示网站正使用颁发给其他Web地址的证书。如果某公司拥有若干网站，并且对多个网站使用同一个证书，则可能会出现此错误。此网站的安全证书已过期当前日期早于或晚于证书有效期时，会出现此错误。网站必须向证书颁发机构续订它们的证书，以保持证书为最新。过期的证书存在安全风险。此网站的安全证书不是来自于受信任的源如果证书由Internet?Explorer无法识别的证书颁发机构颁发，则会出现此错误。网络钓鱼网站通常使用会触发此错误的伪造证书。Internet?Explorer发现此网站的安全证书有问题当Internet?Explorer发现某个证书存在不与任何其他错误匹配的问题时，会出现此错误。其原因可能是证书已损坏、