安全套接層協(xié)議PPT通用課件

1、安全套接層協(xié)議第7章 安全套接層協(xié)議（SSL）【本章提要】SSL協(xié)議概述SSL握手協(xié)議、記錄協(xié)議SSL協(xié)議的加密和認(rèn)證算法SSL協(xié)議分析及應(yīng)用 第7章 安全套接層協(xié)議（SSL）7.1 SSL協(xié)議概述7.2 SSL原理7.3 SSL協(xié)議的加密和認(rèn)證算法7.4 SSL協(xié)議分析7.5 SSL協(xié)議的應(yīng)用7.1 SSL協(xié)議概述 Internet上對應(yīng)的七層網(wǎng)絡(luò)模型的每一層都已經(jīng)提出了相應(yīng)的加密協(xié)議。SSL是工作于網(wǎng)絡(luò)會話層（Socket Layer）的網(wǎng)絡(luò)安全協(xié)議 7.1.1 SSL協(xié)議 SSL協(xié)議在整個網(wǎng)絡(luò)協(xié)議中的位置 7.1.2 SSL協(xié)議的安全交易過程7.1.3 SSL協(xié)議的安全通道SSL提供的安

2、全通道具有3個特征：（1）具有私密性 （2）具有確認(rèn)性 （3）具有可靠性 7.1.4 SSL協(xié)議的基本安全服務(wù)（1）提供認(rèn)證服務(wù)（2）提供加密服務(wù)（3）保證數(shù)據(jù)的完整性7.2 SSL原理SSL提供的安全通道會將雙方傳輸?shù)臄?shù)據(jù)全部加密，這樣就保證了數(shù)據(jù)在傳輸?shù)倪^程中不能被惡意的竊取和更改。SSL協(xié)議是由SSL握手協(xié)議（SSL HAND SHAKE PROTOCOL）和SSL記錄協(xié)議（SSL RECORD PROTOCOL）兩個子協(xié)議構(gòu)成的 7.2.1 SSL握手協(xié)議握手過程一般是由五個階段構(gòu)成的： 1.接通階段（Hello階段）2.密鑰交換階段 3.會話密鑰（會話-鑰匙）生成階段4.認(rèn)證階段 5

3、.結(jié)束階段 7.2.2 SSL記錄協(xié)議SSL的記錄層協(xié)議是為信息的交流提供通信和認(rèn)證功能的，并且它的保護(hù)是建立在一個面向連接的可靠傳輸協(xié)議（例如TCPIP）之上的。在SSL中，所有傳輸?shù)臄?shù)據(jù)都是存放在記錄當(dāng)中被傳送的，SSL握手層協(xié)議的報文也要求必須是放在一個SSL記錄層的記錄里來傳送的。只有應(yīng)用層協(xié)議的報文允許放在多個SSL記錄層的記錄來傳送 7.3 SSL協(xié)議的加密和認(rèn)證算法SSL協(xié)議在工作的過程中,涉及到安全的技術(shù)基本上可以分為兩類，即用來保護(hù)數(shù)據(jù)安全的加密算法和用來鑒定用戶身份的認(rèn)證技術(shù)。這些算法和技術(shù)在整個交易過程中起著至關(guān)重要的作用 7.3.1 加密算法SSL協(xié)議支持很多的加密算法

4、，比如說對稱加密體制（DES加密算法）、RC2、RC4和IDEA 7.3.2 身份認(rèn)證SSL協(xié)議采用的是X.509電子證書標(biāo)準(zhǔn)，通過RSA算法來實(shí)現(xiàn)數(shù)字簽名 1. 服務(wù)器認(rèn)證 2. 客戶端認(rèn)證階段如果在連接中服務(wù)器端也要求客戶端的認(rèn)證的話，則服務(wù)器端就會要求客戶端出示自己的證書。 7.3.3 會話層的密鑰分配協(xié)議現(xiàn)在主要使用的是三個協(xié)議：(1)SKEIP（Simple Key Exchange for Internet Protocol） (2)Photuris (3)ISAKMP（Internet安全協(xié)會的密鑰管理協(xié)議） 7.4 SSL協(xié)議分析SSL運(yùn)行在一種可靠的通信協(xié)議之上，比如說TCP

5、。SSL的上層是HTTP等應(yīng)用層，SSL為其提供安全通信。SSL協(xié)議使用X.509來認(rèn)證，RSA作為公鑰算法，可選用RC4-128、RC-128、DES或IDES作為數(shù)據(jù)加密算法。SSL分為兩層：記錄層和握手層，每層使用下層服務(wù)，并為上層服務(wù)，介于ISO模型的應(yīng)用層和傳輸層之間。 7.4.1 對協(xié)議安全性的分析1“監(jiān)聽”和“中間人”式攻擊 2“流量數(shù)據(jù)分析”式攻擊3截取再拼接式攻擊4報文重發(fā)式攻擊7.4.2 SSL與SET協(xié)議的比較1.功能比較1）SET是一個提供多方通訊的報文協(xié)議，而SSL則只能在客戶端和服務(wù)器端兩者之間建立一條安全的連接。2）SSL協(xié)議在進(jìn)行報文交換的時候需要實(shí)時通信，也就

6、是需要雙方都要在線。而SET協(xié)議允許交易各方在交換報文的時候不是實(shí)時的。3）SET協(xié)議不僅可以在Internet上使用，而且也可以在公共網(wǎng)絡(luò)和銀行內(nèi)部網(wǎng)絡(luò)等其他網(wǎng)絡(luò)使用。而建立在SSL協(xié)議上的支付系統(tǒng)只能和Web瀏覽器捆綁使用。7.4.2 SSL與SET協(xié)議的比較4）SSL和SET都為客戶提供了商家的認(rèn)證，保證商家的合法性，但是SET協(xié)議更能保證用戶的信用卡號不會在通信的時候被竊取，它替客戶保守了更多的機(jī)密信息，使用戶可以放心地在網(wǎng)絡(luò)上進(jìn)行有關(guān)銀行卡的交易。5）SET協(xié)議是由VISA、MasterCard推出的安全協(xié)議，而這兩個公司是信用卡方面的權(quán)威機(jī)構(gòu)，這樣就使得SET協(xié)議能夠比較容易地被廣

7、泛應(yīng)用。6）SET協(xié)議對于參與信用卡交易的各方定義了互操作接口，每個交易系統(tǒng)可以使用不同廠商的產(chǎn)品來構(gòu)造自己的服務(wù)器。7）SET協(xié)議的安全性需求比較高 7.4.2 SSL與SET協(xié)議的比較2.性能比較使用SSL協(xié)議的缺點(diǎn)是：1）客戶不得不信任服務(wù)器端能夠安全地保護(hù)它的信用卡2）客戶不能保證商家是自己支付卡的特約商家3）商家在交易當(dāng)中要承擔(dān)一定的風(fēng)險4）由于SSL在傳輸信息的時候，需要對信息加密，所以如果被傳輸?shù)捻撁婧軓?fù)雜得話，顯示起來就會很慢 7.4.2 SSL與SET協(xié)議的比較3.費(fèi)用比較（1）小型和中型電子商務(wù)應(yīng)用，差別不大（2）大型服務(wù)器電子商務(wù)應(yīng)用 需要進(jìn)行大量的數(shù)據(jù)處理和密鑰計算，所

8、以要使用SET協(xié)議，那么就需要購買額外的設(shè)備來進(jìn)行硬件加速，而SSL協(xié)議就沒有這個需要（3）小型網(wǎng)關(guān)的應(yīng)用 小型網(wǎng)關(guān)的運(yùn)算要求要比服務(wù)器更加嚴(yán)格，都需要設(shè)備對其進(jìn)行硬件加速。對一樣的處理速度，SET協(xié)議要比SSL協(xié)議使用更加昂貴的硬件加速設(shè)備（4）大型支付網(wǎng)關(guān)的應(yīng)用 使用的都是雙機(jī)群系統(tǒng)，所以對于SET協(xié)議和SSL協(xié)議的費(fèi)用主要是在雙機(jī)群上的投資 7.5 SSL協(xié)議的應(yīng)用 利用IIS申請服務(wù)器證書的時候，IIS本身先產(chǎn)生公私密鑰對，并產(chǎn)生相應(yīng)的證書申請信息，最后把這個信息交給CA（該CA只能為Windows2000企業(yè)CA或其他商業(yè)CA，Windows2000獨(dú)立CA不能簽發(fā)服務(wù)器證書），由CA簽發(fā)以后形成證書。其具體步驟如下： 1）首先在操作系統(tǒng)2000中找到有關(guān)設(shè)置，方法有兩種。第一種，從控制面板中找到“管理工具”，從這個文件夾中找到“Internet服務(wù)管理”并執(zhí)行。第二種，從“開始”菜單的“程序”菜單中執(zhí)行“管理工具”“Internet管理工具”。這樣就可以將IIS的管理界面打開 7.5 SSL協(xié)議的應(yīng)用 2）選取本機(jī)下的“默認(rèn)Web站點(diǎn)”，并用鼠標(biāo)右擊。在彈出的菜單中選擇“屬性”命令。選擇“目錄安全性”標(biāo)簽 7.5 SSL協(xié)議的應(yīng)用 3）單擊該標(biāo)簽上“安全通信”欄目中的“服務(wù)器證書”按鈕。這時會彈出“Web服務(wù)器證書向?qū)υ捒颉?4）單擊“