计算机网络第六章安全套接层协议SSL77
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
n 这种信号交换导致客户和服务器同意将使用 的安全性级别,并履行连接的任何身份验证 要求。
n 通过数字签名和数字证书可实现浏览器和 Web服务器双方的身份验证。
n 在用数字证书对双方的身份验证后,双方就 可以用保密密钥进行安全的会话了。
计算机网络第六章安全套接层协议 SSL77
SSL证书保障在线服务器的安全
计算机网络第六章安全套接层协议 SSL77
协议的使用
n https:// 与shttp://
计算机网络第六章安全套接层协议 SSL77
n 在网络上传输的敏感信息(如电子商务、金融 业务中的信用卡号或PIN码等机密信息)都纷 纷采用SSL来进行安全保护。
n SSL通过加密传输来确保数据的机密性,通过 信息验证码(Message Authentication Codes ,MAC)机制来保护信息的完整性,通过数字 证书来对发送和接收者的身份进行认证。
计算机网络第六章安全 套接层协议SSL77
2020/12/8
计算机网络第六章安全套接层协议 SSL77
➢ SSL概述 ➢ SSL体系结构与协议 ➢ SSL协议的安全性分析 ➢ SSL的应用
计算机网络第六章安全套接层协议 SSL77
目前国际上流行的电子商务所采用的 协议主要有:
n 安全套接层协议(Secure Sockets Layer,SSL )
括其它参数,如散列长度。 n Master secret: 48位秘密,在client与server之间共享。 n Is resumable:一个标志,指明该会话是否能用于产生一
个新连接。
计算机网络第六章安全套接层协议 SSL77
连接状态
n Server and client random: server 和client 为每一个连接 所选择的字节序号。
……
连接n
会话
连接1 连接2 …… 连接n
图6.3 SSL的会话与连接
在任意一对通信主体之间,可以有多个安全连接。
计算机网络第六章安全套接层协议 SSL77
会话状态参数
n Session identifier: 服务器选择的一个任意字节序列,用 以标识一个活动的或可激活的会话状态。
n Peer Certificate: 标识服务器的X.509.v3证书。可为空。 n Compression method: 加密前进行数据压缩的算法。 n Cipher spec: 指明数据体加密的算法(无,或DES等) n 以及散列算法(如MD5或SHA-1)用以计算MAC。还包
SSL协议
TCP协议
IP协议
图6.2 SSL协议的分层结构
计算机网络第六章安全套接层协议 SSL77
n SSL协议定义了两个通信主体:客户( client)和服务器(server)。其中,客 户是协议的发起者。
n 在客户/服务器结构中,应用层从请求服 务和提供服务的角度定义客户和服务器 ,而SSL协议则从建立加密参数的过程中 所扮演的角色来定义客户和服务器。
服务器身份证
?卓??越服服务务器器
计算机网络第六章安全套接层协议 SSL77
SSL服务器证书工作原理介绍
第二步:发明密语规则
发明
密语规则
1、2、3
原文
规则A
5、8、9
密语
计算机网络第六章安全套接层协议 SSL77
SSL服务器证书工作原理介绍
第三步:密语规则共享
规则A
获得规则 规则A
信息保险箱
打开保险箱
SSL解决的问题(功能)
n 客户对服务器的身份认证
n SSL服务器允许客户的浏览器使用标准的公钥加密技术和 一些可靠的认证中心(CA)的证书,来确认服务器的合 法性。
n 服务器对客户的身份认证
n 也可通过公钥技术和证书进行认证,也可通过用户名, password来认证。
n 建立服务器与客户之间安全的数据通道
n SSL协议的优点在于它是与应用层协议无关的 。高层的应用协议(如HTTP、FTP、Telnet等 )能透明地建立于SSL协议之上。
n SSL协议在应用层协议之前就已经完成加密算 法、通信密钥的协商以及服务器的认证工作。 在此之后应用层协议所传送的数据都会被加密 ,从而保证通信的安全性。
计算机网络第六章安全套接层协议 SSL77
计算机网络第六章安全套接层协议 SSL77
n 随着电子商务参与方的迅速增加,认证问题 越来越突出,SSL协议的缺点完全暴露出来 。SSL协议逐渐被新的SET协议所取代。
n 目前我国开发的电子支付系统,无论是中国 银行的长城卡电子支付系统,还是上海长途 电信局的网上支付系统,均没有采用SSL协 议,主要原因就是无法保证客户资金的安全 性。
n 传输数据的完整性
n using MAC with MD5 or SHA-1
计算机网络第六章安全套接层协议 SSL77
SSL协议实现的六步骤
n ⑴接通阶段:客户机通过网络向服务器打招 呼,服务器回应;
n ⑵密码交换阶段:客户机与服务器之间交换 双方认可的密码,一般选用RSA密码算法;
n ⑶会谈密码阶段:客户机器与服务器间产生 彼此交谈的会谈密码;
n 基于信用卡交易的安全电子协议(Secure Electronic Transaction,SET)
n 安全HTTP(S-HTTP)协议 n 安全电子邮件协议(PEM、S/MIME等) n 用于公对公交易的Internet EDI等。 n 此外在Internet网上利用Ipsec标准建设虚拟专用
网,利用VPN为企业、政府提供一些基本的安 全服务,
送出服务器证书, 请求客户端证书
送出客户端证书
ChangeCipherSpec Finished
改变密码套,结束握手
Application Data
应用数据
计算机网络第六章安全套接层协议 SSL77
SSL服务器证书工作原理介绍
第一步:身份验证
身份验证
发证机构 — CA 我是卓越服务器 你 是 谁?
n 其高层是SSL握手协议层(SSL Handshake Protocol Layer),简称握手层.
计算机网络第六章安全套接层协议 SSL77
应用层协议(HTTP、Telnet、FTP、 SMTP等)
SSL握手协议(Handshake Protocol) SSL记录协议(Record Protocol)
➢ 服务器身份验证 —— 防假冒 ➢ 网络信息发送内容加密 —— 防偷窥 ➢ 网络信息发送完整性检测 —— 防删节 ➢ 网络信息发送内容修改提醒 —— 防篡改
计算机网络第六章安全套接层协议 SSL77
SSL流程
客户端证 书
SSL 安全通道
服务器证 书
浏览器 Client hello
Client Certificate ClientKeyExchange
n 版本和历史 n 1.0,不成熟 n 2.0,基本上解决了Web通讯的安全问题
n Microsoft公司发布了PCT(Private Communication Technology),并在IE中支持 n 3.0,1996年发布,增加了一些算法,修改了一些缺陷 n TLS 1.0(Transport Layer Security传输层安全协议, 也 被称为SSL 3.1),1997年IETF发布了Draft,同时, Microsoft宣布放弃PCT,与Netscape一起支持TLS 1.0 n 1999年,发布RFC 2246(The TLS Protocol v1.0)
n SSL要求客户与服务器之间的所有发送的数据都被发送端 加密、接收端解密,同时还检查 数据的完整性
计算机网络第六章安全套接层协议 SSL77
SSL提供的安全服务
n 用户和服务器的合法性认证
n using X.509v3 digital certificates
n 传输数据的机密性
n using one of DES, Triple DES, IDEA, RC2, RC4, …
n 购货时客户要输入通信地址,这样将可能使得 客户收到大量垃圾信件。
计算机网络第六章安全套接层协议 SSL77
n SSL协议运行的基点是商家对客户信息保 密的承诺。但在上述流程中SSL协议有利 于商家而不利于客户。
n 客户的信息首先传到商家,商家阅读后 再传到银行,这样,客户资料的安全性 便受到威胁。
n SSL会话(session) n 一个SSL会话是在客户与服务器之间的一个关联。会 话由Handshake Protocol创建。会话定义了一组可 供多个连接共享的密码安全参数。 n 会话用以避免为每一个连接提供新的安全参数所需昂 贵的协商代价。
计算机网络第六章安全套接层协议 SSL77
连接1 连接2
计算机网络第六章安全套接层协议 SSL77
n SSL握手协议包含四个阶段:第一个阶段 建立安全能力;第二个阶段服务器鉴别和 密钥交换;第三个阶段客户鉴别(可选的) 和密钥交换;第四个阶段完成握手协议。
计算机网络第六章安全套接层协议 SSL77
SSL的两个重要概念
n SSL连接(connection) n 一个连接是一个提供一种合适类型服务的传输(OSI 分层的定义)。 n SSL的连接是点对点的关系。 n 连接是暂时的,每一个连接和一个会话关联。
计算机网络第六章安全套接层协议 SSL77
6.1.4 SSL协议的分层结构
n SSL的设计概念是希望使用TCP来提供一个可 靠的端对端的安全性服务。SSL并不是单一个 协议,而是由二层协议来组成
n SSL协议具有两层结构:
n 其底层是SSL记录协议层(SSL Record Protocol Layer),简称记录层。
计算机网络第六章安全套接层协议 SSL77
SSL服务器证书工作原理介绍
第四步:进行安全通信
原文
1、2、3
规则A
无意义文字
5、8、9
原文
1、2、3
规则A
计算机网络第六章安全套接层协议 SSL77
SSL当初并不是为支持电子商务而设计的,所以 在电子商务系统的应用中还存在很多弊端:
n SSL是一个面向连接的协议,在涉及多方的电 子交易中,只能提供交易中客户与服务器间的 双方认证,而电子商务往往是客户、网站、银 行三家协作完成, SSL协议并不能协调各方间的 安全传输和信任关系;
计算机网络第六章安全套接层协议 SSL77
一个保证任何安装了安全套接字的客户 和服务器间事务安全的协议,它涉及所 有TCP/IP应用程序
IPSec
SSL
来自百度文库SSL
TCP
OS
TCP
IP/IPSec
IP
Lower layers
Lower layers
计算机网络第六章安全套接层协议 SSL77
n SSL协议可用于保护正常运行于TCP之上的任何 应用协议,如HTTP、FTP、SMTP或Telnet的通 信,最常见的是用SSL来保护HTTP的通信。
n SSL协议使用通信双方的客户证书以及CA根证 书,允许客户/服务器应用以一种不能被偷听 的方式通信,在通信双方间建立起了一条安全 的、可信任的通信通道。
n 该协议使用密钥对传送数据加密,许多网站都 是通过这种协议从客户端接收信用卡编号等保 密信息。它被认为是最安全的在线交易模式,
计算机网络第六章安全套接层协议 SSL77
Certificate Verify ChangeCipherSpec
Finished
Application Data
Web服务器
Server hello 建立协议版本、会话ID、交换随机数
Server Certificate Certificate Request ServerKeyExchange
计算机网络第六章安全套接层协议 SSL77
6.1 SSL概述
n SSL协议是一种国际标准的加密及身份认 证通信协议
n 目标:SSL被设计用来使用TCP提供一个 可靠的端到端安全服务,为两个通讯个 体之间提供保密性和完整性(身份鉴别)。
计算机网络第六章安全套接层协议 SSL77
SSL/TLS协议
n 1994年Netscape开发了SSL(Secure Socket Layer)安全套 接层协议,专门用于保护Web通讯
计算机网络第六章安全套接层协议 SSL77
n ⑷检验阶段:客户机检验服务器取得的 密码;
n ⑸客户认证阶段:服务器验证客户机的 可信度;
n ⑹结束阶段:客户机与服务器之间相互 交换结束的信息。
计算机网络第六章安全套接层协议 SSL77
6.1.3 SSL协议与电子商务
n SSL 提供了用于启动 TCP/IP 连接的安 全性“信号交换”。
n 通过数字签名和数字证书可实现浏览器和 Web服务器双方的身份验证。
n 在用数字证书对双方的身份验证后,双方就 可以用保密密钥进行安全的会话了。
计算机网络第六章安全套接层协议 SSL77
SSL证书保障在线服务器的安全
计算机网络第六章安全套接层协议 SSL77
协议的使用
n https:// 与shttp://
计算机网络第六章安全套接层协议 SSL77
n 在网络上传输的敏感信息(如电子商务、金融 业务中的信用卡号或PIN码等机密信息)都纷 纷采用SSL来进行安全保护。
n SSL通过加密传输来确保数据的机密性,通过 信息验证码(Message Authentication Codes ,MAC)机制来保护信息的完整性,通过数字 证书来对发送和接收者的身份进行认证。
计算机网络第六章安全 套接层协议SSL77
2020/12/8
计算机网络第六章安全套接层协议 SSL77
➢ SSL概述 ➢ SSL体系结构与协议 ➢ SSL协议的安全性分析 ➢ SSL的应用
计算机网络第六章安全套接层协议 SSL77
目前国际上流行的电子商务所采用的 协议主要有:
n 安全套接层协议(Secure Sockets Layer,SSL )
括其它参数,如散列长度。 n Master secret: 48位秘密,在client与server之间共享。 n Is resumable:一个标志,指明该会话是否能用于产生一
个新连接。
计算机网络第六章安全套接层协议 SSL77
连接状态
n Server and client random: server 和client 为每一个连接 所选择的字节序号。
……
连接n
会话
连接1 连接2 …… 连接n
图6.3 SSL的会话与连接
在任意一对通信主体之间,可以有多个安全连接。
计算机网络第六章安全套接层协议 SSL77
会话状态参数
n Session identifier: 服务器选择的一个任意字节序列,用 以标识一个活动的或可激活的会话状态。
n Peer Certificate: 标识服务器的X.509.v3证书。可为空。 n Compression method: 加密前进行数据压缩的算法。 n Cipher spec: 指明数据体加密的算法(无,或DES等) n 以及散列算法(如MD5或SHA-1)用以计算MAC。还包
SSL协议
TCP协议
IP协议
图6.2 SSL协议的分层结构
计算机网络第六章安全套接层协议 SSL77
n SSL协议定义了两个通信主体:客户( client)和服务器(server)。其中,客 户是协议的发起者。
n 在客户/服务器结构中,应用层从请求服 务和提供服务的角度定义客户和服务器 ,而SSL协议则从建立加密参数的过程中 所扮演的角色来定义客户和服务器。
服务器身份证
?卓??越服服务务器器
计算机网络第六章安全套接层协议 SSL77
SSL服务器证书工作原理介绍
第二步:发明密语规则
发明
密语规则
1、2、3
原文
规则A
5、8、9
密语
计算机网络第六章安全套接层协议 SSL77
SSL服务器证书工作原理介绍
第三步:密语规则共享
规则A
获得规则 规则A
信息保险箱
打开保险箱
SSL解决的问题(功能)
n 客户对服务器的身份认证
n SSL服务器允许客户的浏览器使用标准的公钥加密技术和 一些可靠的认证中心(CA)的证书,来确认服务器的合 法性。
n 服务器对客户的身份认证
n 也可通过公钥技术和证书进行认证,也可通过用户名, password来认证。
n 建立服务器与客户之间安全的数据通道
n SSL协议的优点在于它是与应用层协议无关的 。高层的应用协议(如HTTP、FTP、Telnet等 )能透明地建立于SSL协议之上。
n SSL协议在应用层协议之前就已经完成加密算 法、通信密钥的协商以及服务器的认证工作。 在此之后应用层协议所传送的数据都会被加密 ,从而保证通信的安全性。
计算机网络第六章安全套接层协议 SSL77
计算机网络第六章安全套接层协议 SSL77
n 随着电子商务参与方的迅速增加,认证问题 越来越突出,SSL协议的缺点完全暴露出来 。SSL协议逐渐被新的SET协议所取代。
n 目前我国开发的电子支付系统,无论是中国 银行的长城卡电子支付系统,还是上海长途 电信局的网上支付系统,均没有采用SSL协 议,主要原因就是无法保证客户资金的安全 性。
n 传输数据的完整性
n using MAC with MD5 or SHA-1
计算机网络第六章安全套接层协议 SSL77
SSL协议实现的六步骤
n ⑴接通阶段:客户机通过网络向服务器打招 呼,服务器回应;
n ⑵密码交换阶段:客户机与服务器之间交换 双方认可的密码,一般选用RSA密码算法;
n ⑶会谈密码阶段:客户机器与服务器间产生 彼此交谈的会谈密码;
n 基于信用卡交易的安全电子协议(Secure Electronic Transaction,SET)
n 安全HTTP(S-HTTP)协议 n 安全电子邮件协议(PEM、S/MIME等) n 用于公对公交易的Internet EDI等。 n 此外在Internet网上利用Ipsec标准建设虚拟专用
网,利用VPN为企业、政府提供一些基本的安 全服务,
送出服务器证书, 请求客户端证书
送出客户端证书
ChangeCipherSpec Finished
改变密码套,结束握手
Application Data
应用数据
计算机网络第六章安全套接层协议 SSL77
SSL服务器证书工作原理介绍
第一步:身份验证
身份验证
发证机构 — CA 我是卓越服务器 你 是 谁?
n 其高层是SSL握手协议层(SSL Handshake Protocol Layer),简称握手层.
计算机网络第六章安全套接层协议 SSL77
应用层协议(HTTP、Telnet、FTP、 SMTP等)
SSL握手协议(Handshake Protocol) SSL记录协议(Record Protocol)
➢ 服务器身份验证 —— 防假冒 ➢ 网络信息发送内容加密 —— 防偷窥 ➢ 网络信息发送完整性检测 —— 防删节 ➢ 网络信息发送内容修改提醒 —— 防篡改
计算机网络第六章安全套接层协议 SSL77
SSL流程
客户端证 书
SSL 安全通道
服务器证 书
浏览器 Client hello
Client Certificate ClientKeyExchange
n 版本和历史 n 1.0,不成熟 n 2.0,基本上解决了Web通讯的安全问题
n Microsoft公司发布了PCT(Private Communication Technology),并在IE中支持 n 3.0,1996年发布,增加了一些算法,修改了一些缺陷 n TLS 1.0(Transport Layer Security传输层安全协议, 也 被称为SSL 3.1),1997年IETF发布了Draft,同时, Microsoft宣布放弃PCT,与Netscape一起支持TLS 1.0 n 1999年,发布RFC 2246(The TLS Protocol v1.0)
n SSL要求客户与服务器之间的所有发送的数据都被发送端 加密、接收端解密,同时还检查 数据的完整性
计算机网络第六章安全套接层协议 SSL77
SSL提供的安全服务
n 用户和服务器的合法性认证
n using X.509v3 digital certificates
n 传输数据的机密性
n using one of DES, Triple DES, IDEA, RC2, RC4, …
n 购货时客户要输入通信地址,这样将可能使得 客户收到大量垃圾信件。
计算机网络第六章安全套接层协议 SSL77
n SSL协议运行的基点是商家对客户信息保 密的承诺。但在上述流程中SSL协议有利 于商家而不利于客户。
n 客户的信息首先传到商家,商家阅读后 再传到银行,这样,客户资料的安全性 便受到威胁。
n SSL会话(session) n 一个SSL会话是在客户与服务器之间的一个关联。会 话由Handshake Protocol创建。会话定义了一组可 供多个连接共享的密码安全参数。 n 会话用以避免为每一个连接提供新的安全参数所需昂 贵的协商代价。
计算机网络第六章安全套接层协议 SSL77
连接1 连接2
计算机网络第六章安全套接层协议 SSL77
n SSL握手协议包含四个阶段:第一个阶段 建立安全能力;第二个阶段服务器鉴别和 密钥交换;第三个阶段客户鉴别(可选的) 和密钥交换;第四个阶段完成握手协议。
计算机网络第六章安全套接层协议 SSL77
SSL的两个重要概念
n SSL连接(connection) n 一个连接是一个提供一种合适类型服务的传输(OSI 分层的定义)。 n SSL的连接是点对点的关系。 n 连接是暂时的,每一个连接和一个会话关联。
计算机网络第六章安全套接层协议 SSL77
6.1.4 SSL协议的分层结构
n SSL的设计概念是希望使用TCP来提供一个可 靠的端对端的安全性服务。SSL并不是单一个 协议,而是由二层协议来组成
n SSL协议具有两层结构:
n 其底层是SSL记录协议层(SSL Record Protocol Layer),简称记录层。
计算机网络第六章安全套接层协议 SSL77
SSL服务器证书工作原理介绍
第四步:进行安全通信
原文
1、2、3
规则A
无意义文字
5、8、9
原文
1、2、3
规则A
计算机网络第六章安全套接层协议 SSL77
SSL当初并不是为支持电子商务而设计的,所以 在电子商务系统的应用中还存在很多弊端:
n SSL是一个面向连接的协议,在涉及多方的电 子交易中,只能提供交易中客户与服务器间的 双方认证,而电子商务往往是客户、网站、银 行三家协作完成, SSL协议并不能协调各方间的 安全传输和信任关系;
计算机网络第六章安全套接层协议 SSL77
一个保证任何安装了安全套接字的客户 和服务器间事务安全的协议,它涉及所 有TCP/IP应用程序
IPSec
SSL
来自百度文库SSL
TCP
OS
TCP
IP/IPSec
IP
Lower layers
Lower layers
计算机网络第六章安全套接层协议 SSL77
n SSL协议可用于保护正常运行于TCP之上的任何 应用协议,如HTTP、FTP、SMTP或Telnet的通 信,最常见的是用SSL来保护HTTP的通信。
n SSL协议使用通信双方的客户证书以及CA根证 书,允许客户/服务器应用以一种不能被偷听 的方式通信,在通信双方间建立起了一条安全 的、可信任的通信通道。
n 该协议使用密钥对传送数据加密,许多网站都 是通过这种协议从客户端接收信用卡编号等保 密信息。它被认为是最安全的在线交易模式,
计算机网络第六章安全套接层协议 SSL77
Certificate Verify ChangeCipherSpec
Finished
Application Data
Web服务器
Server hello 建立协议版本、会话ID、交换随机数
Server Certificate Certificate Request ServerKeyExchange
计算机网络第六章安全套接层协议 SSL77
6.1 SSL概述
n SSL协议是一种国际标准的加密及身份认 证通信协议
n 目标:SSL被设计用来使用TCP提供一个 可靠的端到端安全服务,为两个通讯个 体之间提供保密性和完整性(身份鉴别)。
计算机网络第六章安全套接层协议 SSL77
SSL/TLS协议
n 1994年Netscape开发了SSL(Secure Socket Layer)安全套 接层协议,专门用于保护Web通讯
计算机网络第六章安全套接层协议 SSL77
n ⑷检验阶段:客户机检验服务器取得的 密码;
n ⑸客户认证阶段:服务器验证客户机的 可信度;
n ⑹结束阶段:客户机与服务器之间相互 交换结束的信息。
计算机网络第六章安全套接层协议 SSL77
6.1.3 SSL协议与电子商务
n SSL 提供了用于启动 TCP/IP 连接的安 全性“信号交换”。