版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、第五章 SSL安全套節(jié)層協(xié)議5.1 SSL體系結(jié)構(gòu) TCP/IP沒有提供任何安全防護能力,用HTTP在客戶和服務(wù)器之間的通信可以被監(jiān)聽、篡改和欺騙。安全套節(jié)層協(xié)議用于Internet通信的安全協(xié)議,廣泛用于WWW的認證和加密通信。( RefC_p142_SSL的位置) SSL包括兩個子協(xié)議: SSL記錄協(xié)議:規(guī)范數(shù)據(jù)傳輸格式。 SSL握手協(xié)議:相互的身份認證,加密算法,保護加密密鑰。兩個主要概念: SSL會話:提供合適服務(wù)類型的傳輸。 SSL連接:由握手協(xié)議創(chuàng)建,定義一組可以被多個連接共用的密碼安全參數(shù)。在握手階段,客戶和服務(wù)器交換信息: 服務(wù)器身份認證。 客戶身份認證。 公鑰加密生成密文。
2、建立加密SSL連接。 5.2 SSL記錄協(xié)議 為SSL底層協(xié)議,在客戶和服務(wù)器之間傳輸應(yīng)用數(shù)據(jù)和SSL控制數(shù)據(jù),其間有可能對數(shù)據(jù)進行分段,或者多個高層數(shù)據(jù)組合成單個數(shù)據(jù)單元。分段和單個數(shù)據(jù)單元不超過16,284字節(jié)。SSL記錄協(xié)議操作過程:1 分段/組合:將高層消息進行分段,其長度不超過214字節(jié)。2 選擇是否無損壓縮,壓縮后不會增加210字節(jié)的內(nèi)容。3 給壓縮后數(shù)據(jù)計算消息驗證碼(生成消息的數(shù)字簽名以保證其完整性)。用下列公式計算:Hash( MAC_write_secret + pad_2 +Hash(MAC_write_secret + pad_1 +seq_num + SSLCompr
3、essed.type + SSLCompressed.length + SSLCompressed.fragment ) )其中:MAC_write_secret:客戶和服務(wù)器的共享秘密。pad_1:字符0x36重復(fù)MD5的48次計算或SHA的40次計算。pad_2:字符0x5c重復(fù)MD5的48次計算或SHA的40次計算。seq_num: 消息序列號。Hash: 哈希算法。SSLCompressed.type:處理分段的高層協(xié)議類型。SSLCompressed.length:壓縮分段長度。 SSLCompressed.fragment:壓縮分段。4 使用對稱加密算法給添加了消息摘要的壓縮消息進
4、行加密。注:不能增加1024字節(jié)。5 添加報頭。報頭包括以下字段:內(nèi)容類型:8比特,封裝分段的高層協(xié)議類型。主版本:8比特,SS L的主要版本。次版本:8比特,SS L的次要版本。壓縮長度:16比特,分段字節(jié)長度,不能超過214210字節(jié)。5.3 SSL改變密碼規(guī)范協(xié)議 用于從一種加密算法轉(zhuǎn)變?yōu)榱硗庖环N加密算法。5.4 告警協(xié)議 通過SSL記錄協(xié)議進行傳輸?shù)奶囟愋拖ⅰS蓛蓚€部分組成:級別和說明。告警消息也被壓縮。5.5 握手協(xié)議握手協(xié)議允許客戶和服務(wù)器相互認證、協(xié)商加密算法、MAC算法以及保密密鑰。握手協(xié)議由一系列客戶和服務(wù)器之間交換消息來實現(xiàn)??蛻艉头?wù)器的握手協(xié)議由以下四部分組成:1)
5、 協(xié)商數(shù)據(jù)傳送期間使用的密碼組(cipher suite)2) 建立和共享會話密鑰。3) 客戶認證服務(wù)器。4) 服務(wù)器認證客戶。 握手步驟:第1步:客戶發(fā)起hello消息,與服務(wù)器初始消息交換。其功能為建立下列安全參數(shù): 協(xié)議版本(version):客戶能實現(xiàn)的最高版本。 會話ID (session ID):可變長度的會話標(biāo)識。 密碼組(cipher suite): 客戶支持的加密算法列表,按優(yōu)先權(quán)降序排列。 壓縮方法(compression method):客戶支持的壓縮模式列表。 其中:密碼組協(xié)商允許客戶和服務(wù)器選擇它們都支持的某個密碼組。密碼組包括:i) 密鑰交換方法(key excha
6、nge method)。SSL3.0支持使用數(shù)字證書的RSA密鑰交換以及無數(shù)字證書的Diffie-Hellman密鑰交換。ii) 數(shù)據(jù)傳輸加密算法(cipher for data transfer)。iii) 計算消息認證碼的消息摘要算法(message digest for creating the MAC)。SSL使用傳統(tǒng)的對稱加密算法來加密消息。目前有三種選擇:i) 無加密(no encryption)ii) 流密碼(stream cipher)iii) CBC分組密碼(CBC block cipher) SSL 支持的消息摘要函數(shù):i) 無消息摘要(null choice)ii) MD
7、5,128bit的hash算法iii) 安全hash算法(SHA)第2步:密鑰交換,由以下4條消息來實現(xiàn):i) server certificate 消息:在hello消息之后發(fā)送,用于服務(wù)器身份認證。ii) server key exchange 消息: 若服務(wù)器沒有證書,將發(fā)送一個服務(wù)器密鑰交換消息。iii) client certificate 消息:若服務(wù)器有要求,客戶發(fā)證書。若沒有,則客戶發(fā)送無證書告警。iv) client key exchange 消息: 第3步:客戶發(fā)送change_cipher_spec消息。后續(xù)消息都使用新的密碼組規(guī)范進行操作,并用新的密碼組規(guī)范發(fā)送finished消息。服務(wù)器發(fā)送自身的change_cipher_spec消息,然后拷貝未決狀態(tài)(握手期間的狀態(tài))密碼組到當(dāng)前密碼組,并
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024園林苗木購銷合同范本
- 2024土地流轉(zhuǎn)規(guī)范合同書
- 2.1位置(拔尖作業(yè))2024-2025學(xué)年五年級上冊數(shù)學(xué)人教版(含解析)
- 質(zhì)量課件下載教學(xué)課件
- 3.3.2 海陸的變遷(教學(xué)設(shè)計)七年級地理上冊同步高效備課課件(人教版2024)
- Unit 1 How can we become good learners-解析版-單元測試卷九年級英語上冊單元速記·巧練(貴州專用人教版)
- 05 正確使用詞語(知識梳理+考點精講精練+實戰(zhàn)訓(xùn)練)-【學(xué)考復(fù)習(xí)】2024年高中語文學(xué)業(yè)水平考試考點歸納與測試(新教材專用)(原卷版 )
- 部編版一年級下冊語文期末考試試題及答案
- 一氧化碳中毒課件
- 橋梁板相關(guān)項目投資計劃書
- 《版畫基礎(chǔ)》教學(xué)大綱
- 中國石油天然氣集團公司標(biāo)準化管理辦法
- 牛津英語4A__The_Lion_and_the_mouse(課堂PPT)
- 220kV廣青變電站運維方案
- 兒科纖維支氣管鏡術(shù).ppt
- 已完成工程量清單月報表樣本
- 電力設(shè)備結(jié)構(gòu)及原理
- 墨西哥簽證申請表
- 試論大宗商品貿(mào)易風(fēng)險及管控措施
- 績效計劃書(共10頁)
- 固體物理作業(yè)1
評論
0/150
提交評論