计算机系统安全 第十三章 TLS(SL)协议
1 计算机系统安全 第十三章 TLS(SSL)协议
SSL协议的概述 TCPP协议栈中的安全 Http FTP SMTP S/MIME PGP SET HttpftPsmTp SSL or tls Kerberos SMTP Http TCP UDP TCP IP/IPSec IP (a)Network Level b)Transport Level (c)Application Level Figure 14.1 Relative Location of Security Facilities in the TCP/lP Protocol Stack
2 TCP/IP协议栈中的安全 一、SSL协议的概述
SSL协议的概述 SSL协议的发展 1SSL( Secure Socket layer)是 Netscape公 司设计的主要用于web的安全传输协议。 2IETF(ww.ietf.org)将SSL作了标准化,即 RFC2246,并将其称为TS( Transport Layer Security),TS1.0与SSL3.0差别很小。 在WAP的环境下,由于手机处理和存储能力 有限,wap论坛(ww. wapforum.org)在TS的 基础上做了简化,提出了WTLS协议( Wireless 仉LS),以适应无线的特殊环境
3 SSL协议的发展 一、SSL协议的概述 1 SSL(Secure Socket Layer)是Netscape公 司设计的主要用于web的安全传输协议。 2 IETF(www.ietf.org)将SSL作了标准化,即 RFC2246,并将其称为TLS(Transport Layer Security),TLS1.0与SSL3.0差别很小。 3 在WAP的环境下,由于手机处理和存储能力 有限,wap论坛(www.wapforum.org)在TLS的 基础上做了简化,提出了WTLS协议(Wireless TLS),以适应无线的特殊环境
SSL协议的概述 SSL协议的位置 SSL协议要求建立在可靠的传输层协议 (如:TCP)之上。SSL协议的优势在于它是与 应用层协议独立无关的 高层的应用层协议(例如:HTTP,FTP, TELNET)能透明的建立于SL协议之上。SSL协 议在应用层协议通信之前就已经完成加密算 法、通信密钥的协商以及服务器认证工作。 在此之后应用层协议所传送的数据都会被加 密,从而保证通信的私密性
4 SSL协议的位置 一、SSL协议的概述 SSL协议要求建立在可靠的传输层协议 (如:TCP)之上。SSL协议的优势在于它是与 应用层协议独立无关的。 高层的应用层协议 ( 例如: HTTP,FTP, TELNET)能透明的建立于SSL协议之上。SSL协 议在应用层协议通信之前就已经完成加密算 法、通信密钥的协商以及服务器认证工作。 在此之后应用层协议所传送的数据都会被加 密,从而保证通信的私密性
SSL协议的概述 SSL协议的位置 SSL协议建立在传送层和应用层之间,由记录协 议和握手协议组成,其中记录协议在握手协议 下端。SSL在TCP之上建立了一个加密通道。 Http/s-htTp Ftp SMTP SSL or TLS TCP
5 SSL协议的位置 一、SSL协议的概述 SSL协议建立在传送层和应用层之间,由记录协 议和握手协议组成,其中记录协议在握手协议 下端。SSL在TCP之上建立了一个加密通道。 IP HTTP/ S- HTTP FTP SMTP TCP SSL or TLS
SSL协议的概述 主要功能 1、SSL服务器认证:允许用户确认服务器身 份。支持SSL协议的客户机软件能使用公钥密 码标准技术检查服务器证书、公用ID是否有 效和是否由在客户信任的CA列表内的认证机 构发放 2、SSL客户机认证:允许服务器确认用户身 份。使用应用于服务器认证同样的技术,支 持SSL协议的服务器软件能检查客户证书、公 用ID是否有效和是否由在服务器信任的认证 机构列表内的CA发放
6 主要功能 一、SSL协议的概述 1、SSL服务器认证:允许用户确认服务器身 份。支持SSL协议的客户机软件能使用公钥密 码标准技术检查服务器证书、公用ID是否有 效和是否由在客户信任的CA列表内的认证机 构发放。 2、SSL客户机认证:允许服务器确认用户身 份。使用应用于服务器认证同样的技术,支 持SSL协议的服务器软件能检查客户证书、公 用ID是否有效和是否由在服务器信任的认证 机构列表内的CA发放
SSL协议的概述 主要功能 3、机密性:一个加密的SSL连接要求所有在 客户机与服务器之间发送的信息由发送方软 件加密和由接受方软件解密,这样提供了高 度机密性。 4、完整性:所有通过加密SSL连接发送的数 据都被一种检测篡改的机制所保护,这种机 制自动地决定传输中的数据是否已经被更改
7 主要功能 一、SSL协议的概述 3、机密性:一个加密的SSL连接要求所有在 客户机与服务器之间发送的信息由发送方软 件加密和由接受方软件解密,这样提供了高 度机密性。 4、完整性:所有通过加密SSL连接发送的数 据都被一种检测篡改的机制所保护,这种机 制自动地决定传输中的数据是否已经被更改
SSL协议的概述 连接安全 SSL协议提供的连接安全有三个基本属性: 连接是保密的。对称加密法用于数据加密 (如用DES和RC4等)。 对方的身份能够使用非对称或公钥密码进行 认证(如用RSA和DSS等)。 连接是可靠的。消息传输包括使用消息认证 码(MAC)的消息完整性检查,安全哈希函 数(如SHA和MD5等)用于消息认证码计算
8 连接安全 一、SSL协议的概述 SSL协议提供的连接安全有三个基本属性: 连接是保密的。对称加密法用于数据加密 (如用DES和RC4等)。 对方的身份能够使用非对称或公钥密码进行 认证(如用RSA和DSS等)。 连接是可靠的。消息传输包括使用消息认证 码(MAC)的消息完整性检查,安全哈希函 数(如SHA和MD5等)用于消息认证码计算
SSL协议的概述 SSL协议的组成 SSL协议包括两个子协议:SSL记录协议和 SSL握手协议 SSL SSL SSL Alert Http Handshake Change Protocol FTP Protocol Cipher Spec Protocol SSL Record Protocol TCP IP
9 SSL协议的组成 一、SSL协议的概述 SSL协议包括两个子协议:SSL记录协议和 SSL握手协议。 SSL Handshake Protocol SSL Change Cipher Spec Protocol SSL Alert Protocol HTTP, FTP… SSL Record Protocol TCP IP
SSL协议的概述 SSL协议的组成 记录协议定义了要传输数据的格式,它位于 些可靠的的传输协议TCP之上,用于各种 更高层协议的封装。记录协议主要完成分组 和组合,压缩和解压缩,以及消息认证和加 密等功能。所有传输数据包括握手消息和应 用数据都被封装在记录中。 握手协议允许服务器与客户机在应用程序传 输和接收数据之前互相认证、协商加密算法 和密钥
10 SSL协议的组成 一、SSL协议的概述 记录协议定义了要传输数据的格式,它位于 一些可靠的的传输协议TCP之上,用于各种 更高层协议的封装。记录协议主要完成分组 和组合,压缩和解压缩,以及消息认证和加 密等功能。所有传输数据包括握手消息和应 用数据都被封装在记录中。 握手协议允许服务器与客户机在应用程序传 输和接收数据之前互相认证、协商加密算法 和密钥