传输层安全协议PPT课件.ppt

第五章传输层安全通信协议 本章内容提要 传输层安全协议概述安全套接字协议SSL传输层安全协议TLSPSSL TLS协议应用SSL TLS协议分析 传输层安全通信协议在TCP IP协议体系中的位置 传输层安全协议概述 特点 基于两个传输进程间的端到端安全服务 保证两个应用之间的保密性和安全性 为应用层提供安全服务 Web浏览器是将http和ssl相结合 因为简单在电子商务也应用 常用协议 SP4 TLSP SSH SSLSP4 从属于安全数据网络系统SDNS 由NSA与NIST开发SSH 强制认证 数据加密 安全登陆 安全传输TLSP ISO开发和标准化的协议 通信加密 完整性验证SSL 安全套接层 securesocketslayer Web通信安全 SSL协议概述 IPsec缺陷 IPSec可以提供端到端的网络层安全传输 但是它无法处理位于同一端系统之中的不同的用户安全需求 因此需要在传输层和更高层提供网络安全传输服务 来满足这些要求 协议版本 netscape开发 SSL1 0 未公开发行 SSL2 0 作为工业标准 SSL3 0 升级 与TLS关系 功能类似 相互兼容SSL构成 SSL握手协议 SSL记录协议 SSL协议简史 Netscape公司于1994开发SSLv2releasedin1995SSLv3alsoreleasedin1995duetobugsinv21996年IETF成立TransportLayerSecurity TLS committeeTLSv1wasbaseduponSSLv3Netscape Microsoft都支持TLSv1 SSL协议设计目标 在Browser和WebServer之间提供敏感信息传输通道SocialSecurityNumber SSN CreditCard etc提供访问控制OpenClosedSSL被设计使用TCP提供一个可靠的端到端安全服务 为两个通讯个体之间提供保密性和完整性 身份鉴别 SSL协议服务 用户和服务器双向合法性认证服务 客户机和服务器都有各自的识别号 握手交换中认证彼此身份加密数据隐藏传输的数据 握手交换中协商证书认证的加密技术 可以使用对称加密和非对称加密 数字证书的应用防止非法用户的破译 数据传输完整性验证 散列函数 机密共享密钥交换服务 SSL加密服务 采用两种加密技术非对称加密认证交换加密密钥对称加密 加密传输数据 SSL协议服务特点与优势 安全服务特点 设计SSL是为了利用TCP提供可靠的端对端的安全维护 利用它可以保证两个应用间通信的保密性和可靠性 可在服务器和客户机两端同时实现支持 SSL协议要求建立在可靠的传输层协议 例如TCP 之上 SSL协议的优势 与应用层协议独立无关的 SSL协议构成 两层协议 握手协议 记录协议两个实体 客户机 服务器两个概念 会话 连接握手协议服务 相互认证 协商 算法 密钥 secrets 初始向量等 记录协议服务 数据封装 安全通信 SSL协议架构 可编辑 SSL协议实现层次 SSL协议使用 SSL协议概念 连接 在任意一对的双方之间 也许会有多个安全连接会话 理论上 双方可以存在多个同时会话 但在实践中并未用到这个特性 SSL协议的会话与连接 连接 连接是能提供合适服务类型的传输 对于SSL 这样的连接是对等的关系 连接是暂时的 每个连接都和一个会话相关 会话 SSL会话是客户机和服务器间的关联 由握手协议创建 定义了一组可以被多个连接公用的密码安全参数 对于每个连接 可以利用会话来避免对新的安全参数进行代价昂贵的协商 SSL会话 会话状态 每个SSL会话都有许多相关的状态 建立了会话 就有一个读和写 例如 接收和发送 的当前操作状态 另外 在握手协议中 还创建了挂起的读写状态 在成功的握手协议结束后 挂起状态就会变成当前状态 会话参数 会话ID 同等实体证书 压缩算法 加密规范 主控密码 可恢复标志 可编辑 SSL会话参数 可编辑 SSL连接参数 SSL协议安全信道特性 私密性 由于在握手协议中定义了会话密钥后 所有的消息都被加密 确认性 因为尽管会话的客户端认证是可选的 但是服务器端始终是被认证的 可靠性 因为传送的消息包括消息完整性检查 使用MAC SSL握手协议概述 SSL中最复杂的协议就是握手协议 该协议允许服务器和客户机相互验证 协商加密和MAC算法以及保密密钥 用来保护在SSL记录中发送的数据 握手协议是在应用程序的数据传输之前使用的 握手协议分为两个阶段 第一个阶段用于建立私密性通信信道 第二个阶段用于客户认证 SSL握手协议数据报 可编辑 握手过程 Client Server 一 安全建立 SSLClient SSLServer 2 ServerHello TheServerHellomessageiscomposedofSSLVersion highest thatisunderstoodbytheclient TLSv1b KeyExchangetoidentifythemethodofexchangingkeys RSA c DataEncryptiontoidentifytheencryptionmethodsavailabletotheClient DESd MessageDigestfordataintegrity MD5e DataCompressionmethodformessageexchangePKZipf ARandomnumbertocomputethesecretkeyproducebyserver un dependstheclient srandom 1 ClientHello CipherSuiteAlternatives DataEncryption RC2 40RC4 128DESDES403DESIDEAFortezzaMessageDigest MD5SHA KeyExchange RSAFixedDiffie HellmanEphemeralDiffie HellmanAnonymousDiffie HellmanFortezzaDataCompression PKZipWinZipgzipStuffIt 二 服务器认证与密钥交换 SSLClient SSLServer ServerCertificate TheServerCertificatemessageiscomposedofTheserverIdentifierinformationADigitalCertificateoftheseverinformationencryptedwiththeCAsPrivateKey Thiscontainstheserver sPublicKey ClientCertificateRequest 3 TheClientCertificateRequestmessageiscomposedofTheCertificatetypetoindicatethetypeofpublickeyTheCertificateAuthorityisalistofdistinguishednamesofCertificateAuthoritiesacceptabletotheServer ServerDoneMessage 4 ThisServerDonemessagehasnoparameters thenwaitforclientresponse 2 ServersendServer Key Exchangemessage itincluding a anonymousDiffie hellmanb short livedDiffie hellmanc RSAkeyexchange Server key exchange 三 客户机验证和密钥交换 SSLClient SSLServer ClientCertificate TheClientCertificatemessageiscomposedofTheserverIdentifierinformationADigitalCertificateoftheclientinformationencryptedwiththeCAsPrivateKeyIfithavenotcertificatethensendawarnmessagethatno certificate 2 TheClientAuthenticatestheServerwiththeCA a ExtractsthepublickeyoftherootsignedcertificatethatcameinstalledwiththeclientandComputesaMDoftheservercertificateinformation b Decryptstheservercertificate thatwasissuedbytherootCA thatcontainsthehashcomputedbytheCAPrivateKeyc ComparesthecomputedhashwiththehashcontainedintheserverDigitalCertificate 3 Generatesasessionkey psuedo randomnumber touseasaPre MasterKeythenEncryptsthesessionkeywiththeserver spublickey 密钥交换结果 SSLClient SSLServer C S S C C S S C Encryption MAC IV Encryption MAC IV 四 握手完成 Change Cipher SpecmessageiscomposedofTheclientauthenticatestheserverwithamessageencryptedwiththenewlygeneratedsharedkeys Thisvalidatestotheserverthatasecureconnectionhasbeencreated SSLClient SSLServer Change Cipher Spec ServerFinish TheChange Cipher SpecmessageiscomposedofTheserverauthenticatestheclientwithamessageencryptedwiththenewlygeneratedsharedkeys Thisvalidatestotheclientthatasecureconnectionhasbeencreated SSL会话恢复 更改密码规格协议 待定状态 协商完成之后数据通信之前 SSL进入待定状态 也叫挂起状态 等待状态 协议特点 是使用SSL记录协议的SSL的3个特定协议之一 同时也是其中最简单的一个 协议消息 由单个消息Change Cipher Spec组成 该消息只含有一个值为1的单个字节 协议作用 就是将挂起状态拷贝为当前状态 更新用于当前连接的密码组 SSL告警协议 用于将SSL有关的告警传输给对方实体传输时按照当前状态说明被压缩和加密 其他警告信息 参见教材p124 SSL记录协议 协议简介 在SSL协议中 所有传输数据都被封装在记录中 消息格式 消息由消息头和长度不为0的消息数据组成 所有的SSL通信包括握手消息 安全空白消息和应用数据都使用SSL记录协议封装 协议内容 SSL记录协议包括消息头和消息数据格式的规定 协议服务 机密性 消息完整性机密性 握手协议为SSL有效载荷的常规密码定义共享的保密密钥 消息完整性 握手协议为生成消息验证码定义了共享保密密钥 SSL记录协议操作 ComputeMessageAuthenticationCode ProduceaSSLrecordhead SSL记录协议操作 2 记录协议发出传输请求消息 把数据分段成可以操作的数据块 还可以选择压缩数据 加入MAC信息 加密 加入文件头 在TCP段中传输结果单元 接收的数据需要解密 身份验证 解压与重组 然后才能交付给高层用户 SSL记录协议分片 SSL记录协议压缩 可编辑 无损压缩不会增加1024字节以上长度的内容没有默认压缩算法 SSL记录协议MAC计算 可编辑 SSL记录协议加密 可编辑 SSL协议封装 可编辑 SSL消息头可以是两个或三个字节长的编码 包括消息头的长度 消息数据的长度与消息数据中是否有填充数据 数据头长度是3B时 次高位为1时 传输消息是普通数据消息 次高位为0时 传输消息是安全空白消息 被保留用作将来协议的扩展 SSL消息数据 MAC数据 实际数据 填充数据 SSL协议消息格式 可编辑 SSL记录协议有效载荷 可编辑 SSL协议 加密算法与会话密钥 可编辑 加密算法和会话密钥是在握手协议中协商并有CIPHER CHOICE指定的 现有的SSL版本中所用到的加密算法包括 RC4 RC2 IDEA和DES 而加密算法所用的密钥由消息散列函数MD5产生 共享主密钥 可编辑 共享主密钥 由客户机和服务器共享 是通过安全密钥交换生成的临时48字节值主密钥分两个步骤生成 1 交换pre master secret2 双方计算master secretpre master secret交换方法 1 RSA2 Diffie Hellman 主密钥创建 可编辑 主密钥参数 可编辑 SSL协议 认证算法 可编辑 认证算法采用X 509电子证书标准 通过使用RSA算法进行数字签名来实现的 SSL协议问题 可编辑 SSL协议存在一些问题 比如SSL提供的保密连接有很大的漏洞 另外 SSL对应用层不透明 只能提供交易中客户与服务器间的双方认证 在涉及多方的电子交易中 SSL协议并不能协调各方间的安全传输和信任关系 对SSL 包括TLS 常见攻击 可编辑 TLS的主要目的也是为了提供通信的机密性和数据的完整性 分为两层 TLS记录协议层和TLS握手协议层 其中握手协议层包括 握手协议 改变密码规格协议 警告协议等 TLS利用两种基本方式提供的安全的连接 连接的机密性 对称密码机制加密 每次连接使用不同的密钥 连接的可靠性 使用消息认证码来保证消息的完整性 MAC的计算采用散列函数 TLS协议 概述 TLS协议 概述 可编辑 TLS握手协议提供的安全连接有以下3个特点 使用对称密钥加密算法或公开密钥加密算法来鉴别对等实体的身份 鉴别的方式是可选的 但是必须至少有一方要鉴别另一方的身份 协商共享安全信息的方法是安全的 协商的秘密不能够被窃听 而且即使攻击者能够接触连接的路径 也不能获得任何有关连接鉴别的秘密 协商是可靠的 没有攻击者能够在不被双方察觉的情况下修改通信信息 TLS协议 目标 可编辑 优先级顺序排列 协议实现的目标 数据安全互操作性可扩展性实现高效 TLS协议 记录协议 可编辑 TLS记录协议是一个可相对独立工作的协议 记录协议完成的工作包括信息的传输 数据的分段 可选择的数据压缩 提供信息鉴别码MAC和对信息进行加密等 TLS记录协议 连接状态 可编辑 它是指TLS记录协议的操作环境 它规定了协议所采用的加密算法 压缩算法和MAC算法 以及与这些算法相关的参数 如MAC保密数值与加密密钥 在逻辑上 TLS有四个连接状态 当前的读和写状态 挂起的读和写状态 TLS记录协议 记录层 可编辑 从上层接收任意长的用户数据 然后进行合适的分段 使每块小于214个字节 TLS协议中定义了这种分块的数据结构 包括类型 版本与长度等信息 之后再使用压缩状态信息来压缩和解压缩记录 TLS协议定义了压缩信息的数据结构 同时 TLS协议也支持不压缩的空操作 TLS记录协议 密钥计算 可编辑 记录层协议要用某种算法来从握手协议协商的安全参数中产生密钥 IV和MAC保密数值 所有这些密钥都是从主保密数值中派生出来的 TLS握手协议 概述 可编辑 TLS握手协议由一系列子协议构成 使通信的双方协商建立记录层所需的安全参数 并认证对方身份 为双方报告出错信息 TLS握手协议 过程 可编辑 TLS握手协议 过程 2 可编辑 实际的密钥交换过程包括四条消息 服务器证书 服务器密钥 客户证书和客户密钥 过程如下 交换Hello消息协商算法 交换随机数 检查会话是否可重用 交换密码参数 服务器和客户机产生共享的预备 主保密数值 交换证书和密码参数 认证双方的身份 从预备 主保密数值 和随机数中产生主保密数值 为记录层提供所需的安全参数 允许客户机和服务器检验所计算出的安全参数是否一致 并检查是否有对握手协议的攻击 TLS握手协议 可恢复新会话连接 可编辑 TLS安全性分析 认证 可编辑 TLS支持三种认证方式 相互认证 仅认证服务器而不认证客户和完全匿名 前两种能防止中间人的攻击 而后一种不能 匿名服务器不能认证客户 被认证的服务器要向客户提供一个合法的证书链 被认证的客户也要向服务器提供一个合法的证书链 TLS安全性分析 应用数据保护 可编辑 主保密数值包括对ClientHello random和ServerHello random的散列摘要 因此对于不同的连接和连接的不同方向 数据的加密和MAC密钥都是不同的 TLS安全性分析 低版本攻击 可编辑 由于TLS向下兼容于SSL2 0 攻击者可能通过迫使客户采用TLS协议 而服务器采用SSL2 0协议来破坏通信的安全性 SSL2 0协议存在许多漏洞 SSL3 0有了很大的改进 TLS协议又是SSL3 0的后继版本 因此建议客户和服务器尽量采用同样的协议版本 TLS安全性分析 握手攻击检测 可编辑 攻击者可通过影响握手协议来迫使通信双方采用安全级别尽可能低的算法 或促使双方采用不同级别的算法 对于这种攻击 攻击者必须主动修改收到两个握手消息 这时 客户和服务器会计算出不同的握手消息哈希值 因此 通信双方都不能接收对方的 结束消息 由于攻击者无法得到主保密数值 因此他无法伪造 结束消息 这样 通信双方就能检测出这种攻击 TLS安全性分析 握手攻击检测 可编辑 攻击者可通过影响握手协议来迫使通信双方采用安全级别尽可能低的算法 或促使双方采用不同级别的算法 对于这种攻击 攻击者必须主动修改收到两个握手消息 这时 客户和服务器会计算出不同的握手消息哈希值 因此 通信双方都不能接收对方的 结束消息 由于攻击者无法得到主保密数值 因此他无法伪造 结束消息 这样 通信双方就能检测出这种攻击 TLS SSL比较 版本号 SSL3 0 3 0 TLS1 0 3 1MAC方案 算法改进 MAC计算范