1、第五章傳輸層安全通信協(xié)議，本章內(nèi)容摘要，傳輸層安全協(xié)議概述安全套接字協(xié)議SSL傳輸層安全協(xié)議TLSPSSL/TLS協(xié)議應(yīng)用程序SSL/TLS協(xié)議分析，傳輸層安全通信協(xié)議在TCP/IP協(xié)議系統(tǒng)中的位置，傳輸層安全協(xié)議概述，特征：基于兩個(gè)傳輸進(jìn)程之間的端到端安全服務(wù)，兩個(gè)應(yīng)用程序之間的web瀏覽器在電子商務(wù)中也很簡(jiǎn)單，所以它是http和SSL的組合。通用協(xié)議：SP4 TLSP SSH SSLSP4: NSA和NIST開(kāi)發(fā)的安全數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)SDNS中的安全數(shù)據(jù)加密安全登錄安全傳輸tlsp: iso開(kāi)發(fā)和標(biāo)準(zhǔn)化協(xié)議：通信加密完整性驗(yàn)證SSL:安全套接字層(securessocketslayer)web

2、通信安全，協(xié)議版本：Netscape開(kāi)發(fā)。SSL1.0(未公開(kāi))SSL2.0(作為行業(yè)標(biāo)準(zhǔn))SSL3.0(升級(jí))與TLS關(guān)系：類似功能，互兼容SSL配置：SSL握手協(xié)議SSL日志記錄協(xié)議，SSL協(xié)議簡(jiǎn)要?dú)v史記錄，Netscape 1994年etc提供的訪問(wèn)控制OpenClosedSSL設(shè)計(jì)為使用TCP提供可靠的端到端安全服務(wù)。兩個(gè)通信對(duì)象之間的機(jī)密性和完整性(驗(yàn)證)、SSL協(xié)議服務(wù)、用戶和服務(wù)器的雙向合法性驗(yàn)證服務(wù)：客戶機(jī)和服務(wù)器都具有唯一的標(biāo)識(shí)號(hào)并在握手交換中相互驗(yàn)證身份的數(shù)據(jù)加密隱藏傳輸?shù)臄?shù)據(jù)：在握手交換中協(xié)商證書(shū)驗(yàn)證的加密技術(shù)。 可以使用對(duì)稱和不對(duì)稱加密。數(shù)字證書(shū)的應(yīng)用防止非法用戶解密。

3、數(shù)據(jù)傳輸完整性驗(yàn)證：散列函數(shù)機(jī)密共享密鑰交換服務(wù)、SSL加密服務(wù)、使用兩種加密技術(shù)的不對(duì)稱加密驗(yàn)證交換加密密鑰對(duì)稱加密：加密傳輸數(shù)據(jù)、SSL協(xié)議服務(wù)功能和優(yōu)點(diǎn)；安全服務(wù)特性：SSL旨在使用TCP提供可靠的端到端安全維護(hù)，以確保兩個(gè)應(yīng)用程序之間通信的機(jī)密性和可靠性。SSL協(xié)議應(yīng)建立在可靠的傳輸層協(xié)議(如TCP)之上。SSL協(xié)議的優(yōu)點(diǎn)：獨(dú)立于應(yīng)用層協(xié)議。配置為SSL協(xié)議，雙層協(xié)議：握手協(xié)議記錄兩個(gè)實(shí)體，即協(xié)議?？蛻舳朔?wù)器這兩個(gè)概念：會(huì)話連接握手協(xié)議服務(wù)：相互認(rèn)證協(xié)商(算法密鑰secrets初始矢量等)日志記錄協(xié)議服務(wù)：數(shù)據(jù)封裝安全通信()SSL協(xié)議體系結(jié)構(gòu)，鄭州輕工業(yè)學(xué)院計(jì)算機(jī)和通信，SSL協(xié)議

4、實(shí)現(xiàn)層，SSL協(xié)議使用，SSL協(xié)議概念，連接理論上可以存在多個(gè)并發(fā)會(huì)話，但實(shí)際上不使用此功能。SSL協(xié)議中的會(huì)話和連接，連接：連接是提供相應(yīng)服務(wù)類型的傳輸，對(duì)于SSL，是對(duì)等關(guān)系。連接是臨時(shí)的，每個(gè)連接都與一個(gè)會(huì)話相關(guān)。會(huì)話：SSL會(huì)話是客戶機(jī)和服務(wù)器之間的關(guān)聯(lián)。SSL會(huì)話定義了握手協(xié)議創(chuàng)建的一組可為多個(gè)連接公用的口令安全參數(shù)。對(duì)于每個(gè)連接，可以利用會(huì)話避免對(duì)新安全參數(shù)進(jìn)行昂貴的協(xié)商。SSL會(huì)話、會(huì)話狀態(tài)：每個(gè)SSL會(huì)話都有許多相關(guān)狀態(tài)。建立會(huì)話后，當(dāng)前作業(yè)狀態(tài)為讀寫(xiě)(例如接收和發(fā)送)。握手協(xié)議還會(huì)生成暫停的讀寫(xiě)狀態(tài)。成功握手協(xié)議結(jié)束后，暫停狀態(tài)變?yōu)楫?dāng)前狀態(tài)。會(huì)話參數(shù)：與會(huì)話ID等價(jià)的物理證書(shū)

5、壓縮算法加密規(guī)范主密碼可恢復(fù)標(biāo)志、與鄭州輕工業(yè)學(xué)院計(jì)算機(jī)通信、SSL會(huì)話參數(shù)、與鄭州輕工業(yè)學(xué)院計(jì)算機(jī)通信、SSL連接參數(shù)、SSL協(xié)議安全通道屬性、隱私：所有消息都將加密，因?yàn)闀?huì)話密鑰是在握手協(xié)議中定義的。驗(yàn)證：會(huì)話的客戶機(jī)驗(yàn)證是可選的，但始終執(zhí)行服務(wù)器端驗(yàn)證。可靠性：因?yàn)閭鬟f的消息包含消息完整性檢查(使用MAC)。SSL握手協(xié)議概述，SSL中最復(fù)雜的協(xié)議是握手協(xié)議。此協(xié)議允許服務(wù)器和客戶端相互驗(yàn)證，并與加密和MAC算法協(xié)商安全密鑰以保護(hù)從SSL記錄發(fā)送的數(shù)據(jù)。握手協(xié)議在應(yīng)用程序傳輸數(shù)據(jù)之前使用。握手協(xié)議分為兩個(gè)階段。第一步用于建立個(gè)人通信信道。第二階段用于客戶認(rèn)證。SSL握手協(xié)議數(shù)據(jù)報(bào)，鄭州輕

6、工業(yè)學(xué)院計(jì)算機(jī)和通信，握手進(jìn)程，客戶端，服務(wù)器，一，安全建立，SSL客戶端，SSL服務(wù)器，二。server hello，Theserverhellomessageiscsomposedfsslversion(highest)thathatsundstoodbytheclient . tlsv 1b . keyexchangetoning，keyexchange . rsafixeddiffie-hellman nanonymousdiffie-hellmannfortezzadatacompression : pkzipwinzipgzipsuffit，2theclienticatereque

7、stmessageiscsomposecertificatetypetoindicacatethetypeofpublickeytheertificateauthorityisaperofdistinguishededthisservrdonemessagehasmenoparameters . thenwaitforclientsponse .2 .serversendserver-key-exchange message，it including :a。anonymous diffie-hellmnb。short-lived diffie-hellmnc . rsakey exchange

8、，server-key-exchange，第三，客戶機(jī)驗(yàn)證和密鑰交換，SSL客戶機(jī)，SSL服務(wù)器，客戶機(jī)證書(shū)，tsl，2 .theclientauthenticatetheserverwithetheca . a . extracthepublickeyoftherootsignesdcertificatethat cameinstalledwiththetandcutemuteca，密鑰交換結(jié)果，SSL客戶端，SSL服務(wù)器，cs，sc，encryption，MAC，iv，Encryption，MAC，IV，Encryption、SSL會(huì)話恢復(fù)、密碼規(guī)范協(xié)議更改、掛起狀態(tài)：在協(xié)商完成后進(jìn)行數(shù)據(jù)

9、通信之前，SSL進(jìn)入待定狀態(tài)(也稱為掛起狀態(tài)、等待狀態(tài))。協(xié)議特性：使用SSL日志記錄協(xié)議的SSL的三種特定協(xié)議之一，其中最簡(jiǎn)單。協(xié)議消息：由僅包含值為1的單個(gè)字節(jié)的單個(gè)消息Change_Cipher_Spec組成。協(xié)議角色：將暫停狀態(tài)復(fù)制到當(dāng)前狀態(tài)，并更新當(dāng)前連接使用的密碼組。SSL預(yù)警協(xié)議、根據(jù)當(dāng)前狀態(tài)說(shuō)明進(jìn)行壓縮和加密以發(fā)送其他實(shí)體的SSL相關(guān)預(yù)警的其他警告消息、教材p124、SSL日志記錄協(xié)議、協(xié)議簡(jiǎn)介：從SSL協(xié)議發(fā)送的所有數(shù)據(jù)都封裝在記錄中。消息格式：消息由消息標(biāo)頭和非零長(zhǎng)度的消息數(shù)據(jù)組成。所有SSL通信(包括握手消息、安全空白消息和應(yīng)用程序數(shù)據(jù))均使用SSL日志記錄協(xié)議封裝。協(xié)議

10、內(nèi)容：SSL事件記錄協(xié)議包含消息頭和消息數(shù)據(jù)格式的規(guī)定。協(xié)議服務(wù)：機(jī)密性消息完整性機(jī)密性：握手協(xié)議定義了SSL有效負(fù)載的一般密碼的共享密鑰。消息完整性：握手協(xié)議包括用于生成消息驗(yàn)證代碼的共享安全密鑰、SSL日志記錄協(xié)議操作、computemessageauthenticationcode、productaslrecordhead、SSL日志記錄協(xié)議操作(2)，日志記錄協(xié)議發(fā)出傳輸請(qǐng)求消息并操作數(shù)據(jù)接收的數(shù)據(jù)必須解密、認(rèn)證、解壓縮和重新配置，然后才能傳遞給高級(jí)用戶。SSL記錄協(xié)議拆分，SSL記錄協(xié)議壓縮，與鄭州輕工業(yè)學(xué)院計(jì)算機(jī)通信，無(wú)損耗壓縮不增加1024字節(jié)以上的內(nèi)容基本壓縮算法，SSL記錄協(xié)

11、議MAC計(jì)算，與鄭州輕工業(yè)學(xué)院計(jì)算機(jī)通信，SSL記錄協(xié)議加密，與鄭州輕工業(yè)學(xué)院計(jì)算機(jī)通信，SSL協(xié)議包，鄭州輕工學(xué)院計(jì)算機(jī)通信包括消息標(biāo)頭的長(zhǎng)度、消息數(shù)據(jù)的長(zhǎng)度以及消息數(shù)據(jù)是否包含填充的數(shù)據(jù)。數(shù)據(jù)頭長(zhǎng)度為3B，子高度為1時(shí)，傳輸消息為普通數(shù)據(jù)消息。傳輸消息是安全空白消息(保留為將來(lái)協(xié)議的擴(kuò)展)SSL消息數(shù)據(jù)：MAC數(shù)據(jù)實(shí)際數(shù)據(jù)填充數(shù)據(jù)、SSL協(xié)議消息格式、鄭州輕工業(yè)學(xué)院計(jì)算機(jī)和通信、SSL記錄協(xié)議有效負(fù)載、鄭州輕工業(yè)學(xué)院計(jì)算機(jī)和通信、SSL協(xié)議：加密算法和會(huì)話密鑰、鄭州輕工業(yè)學(xué)院計(jì)算機(jī)和通信、加密現(xiàn)有SSL版本中使用的加密算法包括RC4、RC2、IDEA和DES。加密算法中使用的密鑰由消息散列函數(shù)MD5生成，主密鑰共享，鄭州輕工業(yè)學(xué)院計(jì)算機(jī)和通信，共享主密鑰：客戶機(jī)和服務(wù)器共享，安全密鑰交換生成的臨時(shí)48字節(jié)值主密鑰分兩步生成。1.交換pre _ master _ secret pre _ master _ secret交換方法：1。RSA2.Diffie-Hellman，主密鑰生成，鄭州輕工業(yè)學(xué)院計(jì)算機(jī)和通信，主密鑰參數(shù)，鄭