返回
网络安全 第五章 VPN技术(二)

网络安全 第五章 VPN技术(二)

ID:38527289

大小:691.00 KB

页数:46页

时间:2019-06-14

网络安全 第五章 VPN技术(二)_第1页
网络安全 第五章 VPN技术(二)_第2页
网络安全 第五章 VPN技术(二)_第3页
网络安全 第五章 VPN技术(二)_第4页
网络安全 第五章 VPN技术(二)_第5页
资源描述:

《网络安全 第五章 VPN技术(二)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第10讲VPN技术(二)一、SSL/TLS基本情况1、SSL/TLS协议背景2、SSL/TLS协议功能目的3、SSL/TLS概况4、SSL/TLS协议栈1、SSL/TLS协议背景1994年Netscape开发了SSL(SecureSocketLayer)协议,专门用于保护Web通讯版本和历史1.0,不成熟2.0,基本上解决了Web通讯的安全问题同时,Microsoft公司发布了PCT(PrivateCommunicationTechnology),并在IE中支持3.0,1996年发布,增加了一些算法,修改了一些缺陷TLS1.0(Transport

2、LayerSecurity,也被称为SSL3.1),1997年IETF发布了Draft,同时,Microsoft宣布放弃PCT,与Netscape一起支持TLS1.01999年,发布RFC2246(TheTLSProtocolv1.0)2、SSL/TLS协议功能目的(1)协议的设计目标为两个通讯个体之间提供保密性和完整性(身份认证)互操作性、可扩展性、相对效率2、SSL/TLS协议功能目的(2)协议的使用3、SSL/TLS概况协议分为两层底层:TLS记录协议上层:TLS握手协议、TLS密码变化协议、TLS警告协议TLS记录协议建立在可靠的传输协议

3、(如TCP)之上它提供连接安全性,有两个特点保密性,使用了对称加密算法完整性,使用HMAC算法用来封装高层的协议TLS握手协议客户和服务器之间相互认证协商加密算法和密钥它提供连接安全性,有三个特点身份认证,至少对一方实现认证,也可以是双向认证协商得到的共享密钥是安全的,中间人不能够知道协商过程是可靠的4、SSL/TLS协议栈为上层协议提供安全性保密性身份认证和数据完整性二、SSL协议体系1、SSL体系结构2、SSL的两个重要概念3、TLS会话4、TLS连接的状态5、TLS记录协议1、SSL体系结构(1)SSL被设计用来使用TCP提供一个可靠的端到

4、端安全服务。SSLRecordProtocol为更高层提供基本安全服务。特别是HTTP,它提供了Web的client/server交互的传输服务,可以构造在SSL之上。SSLHandshakeProtocol,SSLChangeCipherSpecProtocol,SSLAlertProtocol是SSL的高层协议,用于管理SSL交换。IPSSLChangeCipherSpecProtocolSSLAlertProtocolHTTPTCPSSLRecordProtocolSSLHandshakeProtocolSSLProtocolStack1、

5、SSL体系结构(2)2、SSL的两个重要概念SSL连接(connection)一个连接是一个提供一种合适类型服务的传输(OSI分层的定义)。SSL的连接是点对点的关系。连接是暂时的,每一个连接和一个会话关联。SSL会话(session)一个SSL会话是在客户与服务器之间的一个关联。会话由HandshakeProtocol创建。会话定义了一组可供多个连接共享的加密安全参数。会话用以避免为每一个连接提供新的安全参数所需昂贵的谈判代价。3、TLS会话状态(TLSSession)定义:指客户和服务器之间的一个关联关系。通过TLS握手协议创建session

6、,它确定了一组密码算法的参数。Session可以被多个连接共享,从而可以避免为每个连接协商新的安全参数而带来昂贵的开销。TLSSession都有一个当前状态TLSconnection与底层协议的点对点连接相关联每个connection都与一个session相关联连接是短暂的4、TLS连接的状态连接状态也包含一组参数Serverandclientrandom,客户和服务器为每个连接选择的字节序列ServerwriteMACsecret,服务器在发送数据的时候,用于MAC运算的keyClientwriteMACsecret,客户在发送数据的时候,用于

7、MAC运算的keyServerwritekey,服务器加密数据的密钥,以及客户解密数据的密钥Clientwritekey,客户加密数据的密钥,以及服务器解密数据的密钥Initializationvectors,在CBC模式中用到的IV,最初由握手协议初始化,以后,每一个记录的最后一个密文块被用作下一个记录的IVSequencenumbers,每一个连接都需要维护一个序列号,当密码参数变化时,重置为05、TLS记录协议(1)TLSRecordProtocol操作过程示意图6、TLS记录协议(2)操作第一步,fragmentation上层消息的数据被

8、分片成214字节大小的块,或者更小第二步,compression(可选)必须是无损压缩,如果数据增加的话,则增加部分的长度不超过1024

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。