第五章 SSL安全套節(jié)層協(xié)議_第1頁
第五章 SSL安全套節(jié)層協(xié)議_第2頁
第五章 SSL安全套節(jié)層協(xié)議_第3頁
第五章 SSL安全套節(jié)層協(xié)議_第4頁
第五章 SSL安全套節(jié)層協(xié)議_第5頁
已閱讀5頁,還剩14頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、第五章 SSL安全套節(jié)層協(xié)議5.1 SSL體系結(jié)構(gòu) TCP/IP沒有提供任何安全防護能力,用HTTP在客戶和服務(wù)器之間的通信可以被監(jiān)聽、篡改和欺騙。安全套節(jié)層協(xié)議用于Internet通信的安全協(xié)議,廣泛用于WWW的認(rèn)證和加密通信。( RefC_p142_SSL的位置) SSL包括兩個子協(xié)議: SSL記錄協(xié)議:規(guī)范數(shù)據(jù)傳輸格式。 SSL握手協(xié)議:相互的身份認(rèn)證,加密算法,保護加密密鑰。兩個主要概念: SSL會話:提供合適服務(wù)類型的傳輸。 SSL連接:由握手協(xié)議創(chuàng)建,定義一組可以被多個連接共用的密碼安全參數(shù)。在握手階段,客戶和服務(wù)器交換信息: 服務(wù)器身份認(rèn)證。 客戶身份認(rèn)證。 公鑰加密生成密文。

2、建立加密SSL連接。 5.2 SSL記錄協(xié)議 為SSL底層協(xié)議,在客戶和服務(wù)器之間傳輸應(yīng)用數(shù)據(jù)和SSL控制數(shù)據(jù),其間有可能對數(shù)據(jù)進行分段,或者多個高層數(shù)據(jù)組合成單個數(shù)據(jù)單元。分段和單個數(shù)據(jù)單元不超過16,284字節(jié)。SSL記錄協(xié)議操作過程:1 分段/組合:將高層消息進行分段,其長度不超過214字節(jié)。2 選擇是否無損壓縮,壓縮后不會增加210字節(jié)的內(nèi)容。3 給壓縮后數(shù)據(jù)計算消息驗證碼(生成消息的數(shù)字簽名以保證其完整性)。用下列公式計算:Hash( MAC_write_secret + pad_2 +Hash(MAC_write_secret + pad_1 +seq_num + SSLCompr

3、essed.type + SSLCompressed.length + SSLCompressed.fragment ) )其中:MAC_write_secret:客戶和服務(wù)器的共享秘密。pad_1:字符0x36重復(fù)MD5的48次計算或SHA的40次計算。pad_2:字符0x5c重復(fù)MD5的48次計算或SHA的40次計算。seq_num: 消息序列號。Hash: 哈希算法。SSLCompressed.type:處理分段的高層協(xié)議類型。SSLCompressed.length:壓縮分段長度。 SSLCompressed.fragment:壓縮分段。4 使用對稱加密算法給添加了消息摘要的壓縮消息進

4、行加密。注:不能增加1024字節(jié)。5 添加報頭。報頭包括以下字段:內(nèi)容類型:8比特,封裝分段的高層協(xié)議類型。主版本:8比特,SS L的主要版本。次版本:8比特,SS L的次要版本。壓縮長度:16比特,分段字節(jié)長度,不能超過214210字節(jié)。5.3 SSL改變密碼規(guī)范協(xié)議 用于從一種加密算法轉(zhuǎn)變?yōu)榱硗庖环N加密算法。5.4 告警協(xié)議 通過SSL記錄協(xié)議進行傳輸?shù)奶囟愋拖ⅰS蓛蓚€部分組成:級別和說明。告警消息也被壓縮。5.5 握手協(xié)議握手協(xié)議允許客戶和服務(wù)器相互認(rèn)證、協(xié)商加密算法、MAC算法以及保密密鑰。握手協(xié)議由一系列客戶和服務(wù)器之間交換消息來實現(xiàn)??蛻艉头?wù)器的握手協(xié)議由以下四部分組成:1)

5、 協(xié)商數(shù)據(jù)傳送期間使用的密碼組(cipher suite)2) 建立和共享會話密鑰。3) 客戶認(rèn)證服務(wù)器。4) 服務(wù)器認(rèn)證客戶。 握手步驟:第1步:客戶發(fā)起hello消息,與服務(wù)器初始消息交換。其功能為建立下列安全參數(shù): 協(xié)議版本(version):客戶能實現(xiàn)的最高版本。 會話ID (session ID):可變長度的會話標(biāo)識。 密碼組(cipher suite): 客戶支持的加密算法列表,按優(yōu)先權(quán)降序排列。 壓縮方法(compression method):客戶支持的壓縮模式列表。 其中:密碼組協(xié)商允許客戶和服務(wù)器選擇它們都支持的某個密碼組。密碼組包括:i) 密鑰交換方法(key excha

6、nge method)。SSL3.0支持使用數(shù)字證書的RSA密鑰交換以及無數(shù)字證書的Diffie-Hellman密鑰交換。ii) 數(shù)據(jù)傳輸加密算法(cipher for data transfer)。iii) 計算消息認(rèn)證碼的消息摘要算法(message digest for creating the MAC)。SSL使用傳統(tǒng)的對稱加密算法來加密消息。目前有三種選擇:i) 無加密(no encryption)ii) 流密碼(stream cipher)iii) CBC分組密碼(CBC block cipher) SSL 支持的消息摘要函數(shù):i) 無消息摘要(null choice)ii) MD

7、5,128bit的hash算法iii) 安全hash算法(SHA)第2步:密鑰交換,由以下4條消息來實現(xiàn):i) server certificate 消息:在hello消息之后發(fā)送,用于服務(wù)器身份認(rèn)證。ii) server key exchange 消息: 若服務(wù)器沒有證書,將發(fā)送一個服務(wù)器密鑰交換消息。iii) client certificate 消息:若服務(wù)器有要求,客戶發(fā)證書。若沒有,則客戶發(fā)送無證書告警。iv) client key exchange 消息: 第3步:客戶發(fā)送change_cipher_spec消息。后續(xù)消息都使用新的密碼組規(guī)范進行操作,并用新的密碼組規(guī)范發(fā)送finished消息。服務(wù)器發(fā)送自身的change_cipher_spec消息,然后拷貝未決狀態(tài)(握手期間的狀態(tài))密碼組到當(dāng)前密碼組,并

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論