第5章 网络安全协议.ppt

5.1 网络安全协议的概念及作用 协议是指通信双方关于如何进行通信而做的一个约定。 网络安全协议就是在协议中采用了若干密码算法协议——加密技术、认证技术、以保证信息安全交换的网络协议。 它运行在计算机通信网或分布式系统中，为有安全需求的各方提供一系列保障。 安全协议具有以下三种特点 1、必威体育官网网址性：即通信的内容不向他人泄漏。为了维护个人权利，必须确保通信内容发给所指定的人，同时还必须防止某些怀有特殊目的的人的“窃听”。 2、完整性：把通信的内容按照某种算法加密，生成密码文件即密文进行传输。在接收端对通信内容进行破译，必须保证破译后的内容与发出前的内容完全一致。 3、认证性：防止非法的通信者进入。进行通信时，必须先确认通信双方的真实身份。甲乙双方进行通信，必须确认甲乙是真正的通信双方，防止除甲已以外的人冒充甲或乙的身份进行通信。为了保证计算机网络环境中信息传递的安全性，促进网络交易的繁荣和发展，各种信息安全标准应运而生。SSL、SET、IPSec等都是常用的安全协议，为网络信息交换提供了强大的安全保护。 5.2 网络安全协议的类型 常用的安全协议有SSH（安全外壳协议）、SSL（安全套接字层协议）、SET（安全电子交易）、IPSec（网络协议安全）。 SSH是Secure Shell Protocol的缩写。 通过它可以加密所有传输的数据，攻击者想通过DNS欺骗和IP欺骗的方法就无法达成。 并且SSH可以将要传输的数据在传输之前进行压缩，从而加快传输的速度。 SSL是Secure Socket Layer的缩写。 它工作在网络传输层之上，最早应用于电子商务的网络安全协议。 SSL使客户服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，并选择性的对客户进行认证。 目前，SSL协议已被广泛用于Web浏览器与服务器之间的身份认证和加密数据传输，成为Internet上必威体育官网网址通讯的工业标准。 现行的web浏览器将HTTP和SSL相结合，从而实现安全通信。 SET是Secure Electronic Transaction的缩写，即安全电子交易。 电子商务迅速发展的今天，遇到了一个瓶颈，即保证用户在网上安全的使用银行卡进行交易。 为此，VISA和MasterCard两大信用卡公司于1997年5月联合推出此规范，它可以保证消费者信用卡数据不会被泄露或窃取。 因此，SET协议已经成为公认的信用卡网上交易的国际安全标准。 IPSec是IP Security的缩写。由于Internet是全球最大的、开放的计算机网络，TCP/IP协议族是实现网络连接和互操作性的关键，但在最初设计IP协议时并没有充分考虑其安全性。 为了加强Internet的安全性，Internet安全协议工程任务组研究制定了一套用于保护IP层通信的安全协议。 5.3 SSL协议 SSL协议建立在运输层和应用层之间，提供客户和服务器双方网络应用安全通信的开放式协议。 它由记录协议和握手协议组成，其中记录协议在握手协议的下端。 SSL协议是一个分层协议，由两层组成：SSL握手协议和SSL记录协议。 基本结构如图5．1所示。 SSL协议的特性 必威体育官网网址性：握手之后，采用单钥体制进行数据加密、采用双钥体制进行身份鉴别 可靠性：采用消息摘要算法进行完整性检查 确认性：尽管会话的客户端认证是可选的，但是服务器端始终是被认证的 灵活性：通信双方可选择密码算法；允许多种形式各种级别的身份鉴别 SSL/TLS协议栈 为上层协议提供安全性 必威体育官网网址性 身份认证和数据完整性 SSL体系结构 SSL协议分为两层 底层：记录协议 上层：握手协议、密码变化协议、警告协议、用户数据 握手协议：用于在客户与服务器之间建立安全连接之前交换安全信息 客户和服务器之间相互认证 协商加密算法和密钥 它提供连接安全性，有三个特点 身份认证，至少对一方实现认证，也可以是双向认证 协商得到的共享密钥是安全的，中间人不能够知道 协商过程本身是可靠的 记录协议 建立在可靠的传输层协议(TCP)之上 它提供连接安全性，有两个特点 必威体育官网网址性，使用了对称加密算法 完整性，使用HMAC算法 用来封装高层的协议 5.3.1 握手协议 SSL握手协议包含两个阶段，第一阶段用于交换密钥等信息；通信双方通过相互发送HELLO消息进行初始化。 通过HELLO消息，就有足够的信息确定是否需要一个新的密钥。 如果本次会话是建立在一个已有的连接上，双方则进入握手协议的第二阶段；如果本次会话是一个新会话，则需要产生新的密钥，双方需要进入密钥交换过程。 此时服务器方的SERVER—HELLO消息将包含足够的信息使客户方产生一个新的密钥。 第二阶段用于用户身份认证。 通常服务器方向客户方发出认证请求消息，客户方在收到该请求后，发出自己的