SSL协议介绍ppt课件

.,SSL协议介绍,.,什么是SSL,SSL在Internet上得到广泛的应用。SSL最常用来保护Web的安全。为了保护存有敏感信息Web的服务器的安全，消除用户在Internet上数据传输的安全顾虑。SSL(SecuresocketLayer)安全套接层协议网景（Netscape）公司提出的基于WEB应用的安全协议一种在客户端和服务器端之间建立安全通道的协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性主要适用于点对点之间的信息传输,.,SSL历史,SSL1.0?SSL2.01995.Apr第一个公布版本SSL3.01996.Oct安全套接层协议（SSL，SecuritySocketLayer）包括：服务器认证客户认证（可选）SSL链路上的数据完整性和SSL链路上的数据保密性。,.,SSL协议目标,SSL是指使用公钥和私钥技术组合的安全网络通讯协议。SSL以对称密码技术和公开密码技术相结合，可以实现如下三个通信目标：(1)秘密性:SSL客户机和服务器之间传送的数据都经过了加密处理,网络中的非法窃听者所获取的信息都将是无意义的密文信息。(2)完整性:SSL利用密码算法和散列(HASH)函数,通过对传输信息特征值的提取来保证信息的完整性,确保要传输的信息全部到达目的地,可以避免服务器和客户机之间的信息受到破坏。(3)认证性:利用证书技术和可信的第三方认证,可以让客户机和服务器相互识别对方的身份。为了验证证书持有者是其合法用户(而不是冒名用户),SSL要求证书持有者在握手时相互交换数字证书,通过验证来保证对方身份的合法性。,.,SSL协议的体系结构,SSL协议第4层(传输层）的上部,是一个2层协议TCP提供了可靠的消息传输在应用层通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作,在此之后,应用层协议所传送的数据都被加密。SSL安全协议实际是SSL握手协议、SSL修改密文协议、SSL警告协议和SSL记录协议组成的一个协议族。,.,SSL记录协议,提供两种服务:一是机密性,二是消息完整性。SSL记录协议接收传输的应用报文,将数据分片成可管理的块,进行数据压缩(可选),应用MAC,接着利用IDEA、DES、3DES或其他加密算法进行数据加密,最后增加由内容类型、主要版本、次要版本和压缩长度组成的首部。被接收的数据刚好与接收数据工作过程相反,依次被解密、验证、解压缩和重新装配,然后交给更高级用户。每个SSL记录包括下面的信息：内容类型；协议版本号；长度；数据有效载荷；MAC。,.,SSL记录协议,SSL记录协议操作,.,SSL记录协议,SSL记录格式,SSL记录格式,内容类型主版本次版本压缩的长度,明文（可选压缩）,加密,.,SSL修改密文协议,最简单的一个。协议由单个消息组成,该消息只包含一个值为1的单个字节。该消息的唯一作用就是使未决状态拷贝为当前状态,更新用于当前连接的密码组。为了保障SSL传输过程的安全性,双方应该每隔一段时间改变加密规范。,.,SSL告警协议,为对等实体传递SSL的相关警告。如果在通信过程中某一方发现任何异常,就需要给对方发送一条警示消息通告。警示消息有两种:一种是Fatal错误,如传递数据过程中,发现错误的MAC,双方就需要立即中断会话,同时消除自己缓冲区相应的会话记录;第二种是Warning消息,这种情况,通信双方通常都只是记录日志,而对通信过程不造成任何影响。,.,SSL握手协议,使得服务器和客户能够相互鉴别对方,协商具体的加密算法和MAC算法以及保密密钥,用来保护在SSL记录中发送的数据SSL握手协议允许通信实体在交换应用数据之前协商密钥的算法、加密密钥和对客户端进行认证（可选）的协议，为下一步记录协议要使用的密钥信息进行协商，使客户端和服务器建立并保持安全通信的状态信息。SSL握手协议是在任何应用程序数据传输之前使用的。,.,SSL握手协议,握手过程一般是由五个阶段构成的：客户端验证服务器客户段与服务器选择彼此支持的算法服务器验证客户端（可选）使用公开密钥算法产生共享的密钥SSL连接建立,.,SSL握手过程,客户机,服务器,建立安全能力，包括协议版本、会话ID、密码组、压缩方法和初始随机数字。,服务器可以发送证书、密钥交换和请求证书。服务器信号以hello消息段结束,客户机可以发送证书。客户机发送密钥交换。客户机可以发送证书验证。,更改密码组合并完成握手协议,注意：加阴影的传送是可选的，或是与情况相关的消息，并不是总是发送。,时间,client_hello,server_hello,证书,server_key_exchange,certificate_request,server_hello_done,证书,client_key_exchange,certificate_verify,change_cipher_spec,完成,change_cipher_spec,完成,.,SSL握手过程中的RSA运算,服务器认证过程中，客户端使用服务器公钥加密,私钥解密，这就确保了服务器证书关联,确实是建立通信相关的，否则会话将会被终止。客户端认证过程中，客户端使用私钥加密随机数据，做一个数字签名,只有正确私钥的签名，才能够被证书中的公钥验证，否则的话，会话终止。,.,SSL协议分析,SSL运行在一种可靠的通信协议之上，比如说TCP。SSL的上层是HTTP等应用层，SSL为其提供安全通信。SSL协议使用X.509来认证，RSA作为公钥算法，可选用RC4-128、RC-128、DES或IDES作为数据加密算法。SSL的应用降低了与HTTPS服务器和浏览器相互作用的速度。,.,SSL与SET协议的比较,1.功能比较1）SET是一个提供多方通讯的报文协议，而SSL则只能在客户端和服务器端两者之间建立一条安全的连接。2）SET协议不仅可以在Internet上使用，而且也可以在公共网络和银行内部网络等其他网络使用。而建立在SSL协议上的支付系统只能和Web浏览器捆绑使用。2.费用比较（1）小型和中型电子商务应用，差别不大（2）大型服务器电子商务应用需要进行大量的数据处理和密钥计算，所以要使用SET协议，那么就需要购买额外的设备来进行硬件加速，而SSL协议就没有这个需要（3）小型网关的应用小型网关的运算要求要比服务器更加严格，都需要设备对其进行硬件加速。对一样的处理速度，SET协议要比SSL协议使用更加昂贵的硬件加速设备,.,SSL协议的应用,利用IIS申请服务器证书的时候，IIS本身先产生公私密钥对，并产生相应的证书申请信息，最后把这个信息交给CA，由CA签发以后形成证书。其具体步骤如下：1）首先在操作系统2000中找到有关设置，方法有两种。第一种，从控制面板中找到“管理工具”，从这个文件夹中找到“Internet服务管理”并执行。第二种，从“开始”菜单的“程序”菜单中执行“管理工具”“Internet管理工具”。这样就可以将IIS的管理界面打开,.,SSL协议的应用,2）选取本机下的“默认Web站点”，并用鼠标右击。在弹出的菜单中选择“属性”命令。选择“目录安全性”标签,.,SSL协议的应用,3）单击该标签上“安全通信”栏目中的“服务器证书”按钮。这时会弹出“Web服务器证书向导对话框”4）单击“下一步”按钮，会进入到IIS证书安装向导界面，并且要求你选择对证书动作的方式5）选择“创建一个新证书”，并单击“下一步”按钮,.,SSL协议的应用,.,SSL协议的应用,6）选择好发送方式后单击“下一步”按钮，会进入到“密钥”对话框。这里要求用户输入申请证书的名称和密钥的长度,.,SSL协议的应用,7）弹出的界面要求输入申请该证书的机构或组织的有关信息，包括组织的名称和组织部门等8）单击“下一步”按钮，在弹出的对话框中输入拥有这个证书的Web站点的公用名称9）输入相应的信息后单击“下一步”按钮。进入的下一个界面需要输入的是有关服务器的地理信息，包括国家、省份和城市名称10）单击“下一步”按钮，这里要求输入的是处理证书申请的证书颁发机构11）填好机构以后单击“下一步”按钮。最后对整个设置做一个检查,.,身份认证,SSL协议采用的是X.509电子证书标准，通过RSA算法来实现数字签名1.服务器认证2.客户端认证阶段如果在连接中服务器端也要求客户端的认证的话，则服务器端就会要求客户端出示自己的证书。,.,1、SSL协议运行的基点是商家对客户信息保密的承诺。因此有利于商家而不利于客户，客户的资料不容易得到保护。2、该协议只能保证资料传递过程的安全性，由于没有核对，在传递过程中是否被人截获、篡改就无法保证了，因此，无法真正实现电子支付所要求的保密性、完整性。3、SSL主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用WebServ