安全套接层协议

第7章

安全套接层协议

（SSL）第7章安全套接层协议（SSL）【本章提要】SSL协议概述SSL握手协议、记录协议SSL协议的加密和认证算法SSL协议分析及应用第7章安全套接层协议（SSL）7.1SSL协议概述7.2SSL原理7.3SSL协议的加密和认证算法7.4SSL协议分析7.5SSL协议的应用7.1SSL协议概述Internet上对应的七层网络模型的每一层都已经提出了相应的加密协议。SSL是工作于网络会话层（SocketLayer）的网络安全协议7.1.1SSL协议SSL协议在整个网络协议中的位置7.1.2SSL协议的安全交易过程7.1.3SSL协议的安全通道SSL提供的安全通道具有3个特征：（1）具有私密性（2）具有确认性（3）具有可靠性7.1.4SSL协议的基本安全服务（1）提供认证服务（2）提供加密服务（3）保证数据的完整性7.2SSL原理SSL提供的安全通道会将双方传输的数据全部加密，这样就保证了数据在传输的过程中不能被恶意的窃取和更改。SSL协议是由SSL握手协议（SSLHANDSHAKEPROTOCOL）和SSL记录协议（SSLRECORDPROTOCOL）两个子协议构成的7.2.1SSL握手手协议握手过程一般般是由五个阶阶段构成的：：1.接通阶段段（Hello阶段）2.密钥交换换阶段3.会话密钥钥（会话-钥钥匙）生成阶阶段4.认证阶段段5.结束阶段段7.2.2SSL记录录协议SSL的记录录层协议是为为信息的交流流提供通信和和认证功能的的，并且它的的保护是建立立在一个面向向连接的可靠靠传输协议（（例如TCP／IP）之之上的。在SSL中，所所有传输的数数据都是存放放在记录当中中被传送的，，SSL握手手层协议的报报文也要求必必须是放在一一个SSL记记录层的记录录里来传送的的。只有应用用层协议的报报文允许放在在多个SSL记录层的记记录来传送7.3SSL协议的加加密和认证算算法SSL协议在在工作的过程程中,涉及到到安全的技术术基本上可以以分为两类，，即用来保护护数据安全的的加密算法和和用来鉴定用用户身份的认认证技术。这这些算法和技技术在整个交交易过程中起起着至关重要要的作用7.3.1加加密算法SSL协议支支持很多的加加密算法，比比如说对称加加密体制（DES加密算算法）、RC2、RC4和IDEA7.3.2身身份认证SSL协议采采用的是X.509电子子证书标准，，通过RSA算法来实现现数字签名1.服务器器认证2.客户端端认证阶段如果在连接中中服务器端也也要求客户端端的认证的话话，则服务器器端就会要求求客户端出示示自己的证书书。7.3.3会会话层的密密钥分配协议议现在主要使用用的是三个协协议：(1)SKEIP（SimpleKeyExchangeforInternetProtocol））(2)Photuris(3)ISAKMP（Internet安全协协会的密钥管管理协议）7.4SSL协议分析析SSL运行在在一种可靠的的通信协议之之上，比如说说TCP。SSL的上层层是HTTP等应用层，，SSL为其其提供安全通通信。SSL协议使用X.509来来认证，RSA作为公钥钥算法，可选选用RC4-128、RC-128、DES或或IDES作作为数据加密密算法。SSL分为两层层：记录层和和握手层，每每层使用下层层服务，并为为上层服务，，介于ISO模型的应用用层和传输层层之间。7.4.1对对协议安全全性的分析1．“监听””和“中间人人”式攻击2．“流量数数据分析”式式攻击3．截取再拼拼接式攻击4．报文重发发式攻击7.4.2SSL与SET协议的的比较1.功能比较较1）SET是是一个提供多多方通讯的报报文协议，而而SSL则只只能在客户端端和服务器端端两者之间建建立一条安全全的连接。2）SSL协协议在进行报报文交换的时时候需要实时时通信，也就就是需要双方方都要在线。。而SET协协议允许交易易各方在交换换报文的时候候不是实时的的。3）SET协协议不仅可以以在Internet上上使用，而且且也可以在公公共网络和银银行内部网络络等其他网络络使用。而建建立在SSL协议上的支支付系统只能能和Web浏浏览器捆绑使使用。7.4.2SSL与SET协议的的比较4）SSL和和SET都为为客户提供了了商家的认证证，保证商家家的合法性，，但是SET协议更能保保证用户的信信用卡号不会会在通信的时时候被窃取，，它替客户保保守了更多的的机密信息，，使用户可以以放心地在网网络上进行有有关银行卡的的交易。5）SET协协议是由VISA、MasterCard推出出的安全协议议，而这两个个公司是信用用卡方面的权权威机构，这这样就使得SET协议能能够比较容易易地被广泛应应用。6）SET协协议对于参与与信用卡交易易的各方定义义了互操作接接口，每个交交易系统可以以使用不同厂厂商的产品来来构造自己的的服务器。7）SET协协议的安全性性需求比较高高7.4.2SSL与SET协议的的比较2.性能比较较使用SSL协协议的缺点是是：1）客户不得得不信任服务务器端能够安安全地保护它它的信用卡2）客户不能能保证商家是是自己支付卡卡的特约商家家3）商家在交交易当中要承承担一定的风风险4）由于SSL在传输信信息的时候，，需要对信息息加密，所以以如果被传输输的页面很复复杂得话，显显示起来就会会很慢7.4.2SSL与SET协议的的比较3.费用比较较（1）小型和和中型电子商商务应用，差差别不大（2）大型服服务器电子商商务应用需需要进行大大量的数据处处理和密钥计计算，所以要要使用SET协议，那么么就需要购买买额外的设备备来进行硬件件加速，而SSL协议就就没有这个需需要（3）小型网网关的应用小小型网关关的运算要求求要比服务器器更加严格，，都需要设备备对其进行硬硬件加速。对对一样的处理理速度，SET协议要比比SSL协议议使用更加昂昂贵的硬件加加速设备（4）大型支支付网关的应应用使使用的都是双双机群系统，，所以对于SET协议和和SSL协议议的费用主要要是在双机群群上的投资7.5SSL协议的应应用利用IIS申申请服务器证证书的时候，，IIS本身身先产生公私私密钥对，并并产生相应的的证书申请信信息，最后把把这个信息交交给CA（该该CA只能为为Windows2000企业CA或其他商业业CA，Windows2000独独立CA不能能签发服务器器证书），由由CA签发以以后形成证书书。其具体步步骤如下：1）首先在操操作系统2000中找到到有关设置，，方法有两种种。第一种，，从控制面板板中找到“管管理工具”，，从这个文件件夹中找到““Internet服务务管理”并执执行。第二种种，从“开始始”菜单的““程序”菜单单中执行“管管理工具”／／“Internet管管理工具”。。这样就可以以将IIS的的管理界面打打开7.5SSL协议的应应用2）选取本机机下的“默认认Web站点点”，并用鼠鼠标右击。在在弹出的菜单单中选择“属属性”命令。。选择“目录录安全性”标标签7.5SSL协议的应应用3）单击该标标签上“安全全通信”栏目目中的“服务务器证书”按按钮。这时会会弹出“Web服务器证证书向导对话话框”4）单击“下下一步”按钮钮，会进入到到IIS证书书安装向导界界面，并且要要求你选择对对证书动作的的方式5）选择“创创建一个新证证书”，并单单击“下一步步”按钮7.5SSL协议的应应用7.5SSL协议的应应用6）选择好发发送方式后单单击“下一步步”按钮，会会进入到“密密钥”对话框框。这里要求求用户输入申申请证书的名名称和密钥的的长度7.5SSL协议的应应用7）弹出的界面要要求输入申请请该证书的机机构或组织的的有关信息，，包括组织的的名称和组织织部门等8）单击“下下一步”按钮钮，在弹出的的对话框中输输入拥有这个个证书的Web站点的公公用名称9）输入相应应的信息后单单击“下一步步”按钮。进进入的下一个个界面需要输输入的是有关关服务器的地地理信息，包包括国家、省省份和城市名名称10）单击““下一步”按按钮，这里要要求输入的是是处理证书申申请的证书颁颁发机构11）填好机机构以后单击击“下一步””按钮。最后后对整个设置置做一个检查查9、静夜四四无邻，，荒居旧旧业贫。。。12月-2212月-22Thursday,December29,202210、雨中黄叶树树，灯下白头头人。。12:32:1212:32:1212:3212/29/202212:32:12PM11、以我独沈沈久，愧君君相见频。。。12月-2212:32:1212:32Dec-2229-Dec-2212、故故人人江江海海别别，，几几度度隔隔山山川川。。。。12:32:1212:32:1212:32Thursday,December29,202213、乍乍见见翻翻疑疑梦梦，，相相悲悲各各问问年年。。。。12月月-2212月月-2212:32:1212:32:12December29,202214、他乡生生白发，，旧国见见青山。。。29十十二月202212:32:12下下午12:32:1212月-2215、比不了了得就不不比，得得不到的的就不要要。。。十二月2212:32下下午12月-2212:32December29,202216、行行动动出出成成果果，，工工作作出出财财富富。。。。2022/12/2912:32:1312:32:1329December202217、做前，能够够环视四周；；做时，你只只能或者最好好沿着以脚为为起点的射线线向前。。12:32:13下午午12:32下下午12:32:1312月-229、没没有有失失败败，，只只有有暂暂时时停停止止成成功功！！。。12月月-2212月月-22Thursday,December29,202210、很很多多事事情情努努力力了了未未必必有有结结果果，，但但是是不不努努力力却却什什么么改改变变也也没没有有。。。。12:32:1312:32:1312:3212/29/202212:32:13PM11、成功就就是日复复一日那那一点点点小小努努力的积积累。。。12月-2212:32:1312:32Dec-2229-Dec-2212、世世间间成成事事，，不不求求其其绝绝对对圆圆满满，，留留一一份份不不足足，，可可得得无无限限完完美美。。。。12:32:1312:32:1312:32Thursday,December29,202213、不不知知香香积积寺寺，，数数里里入入云云峰峰。。。。12月月-2212月月-2212:32:1312:32:13December29,202214、意志坚强强的人能把把世界放在在手中像泥泥块一样任任意揉捏。。29十二二月202212:32:13下下午12:32:1312月-2215、楚楚塞塞三三湘湘接接，，荆荆门门九九派派通通。。。。。十二二月月2212:32下下午午12月月-2212:32December29,202216、少年十十五二十十时，步步行夺得得胡马骑骑。。2022/12/2912:32:1312:32:1329December202217、空山新雨雨后，天气气晚来秋。。。12:32:13下下午12:32下午12:32:1312月-229、杨柳散和风风，青山澹吾吾虑。。12月-2212月-22Thursday,December29,202210、阅阅读读一一切切好好书书如如同同和和过过去去最最杰杰出出的的人人谈谈话话。。12:32:1312:32:1312:3212/29/202212:32:13PM11、越是是没有有本领领的就就越加加自命命不凡凡。12月月-2212:32:1312:32