- 1、本文档共119页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
《可信计算课件资源》第5章分布式系统的安全选编
可信计算基础;第五讲 分布式系统的安全;1.Internet安全协议;安全的传输协议
SSL/TLS, SSH …;Internet安全性途径
网络层——IP 安全性(IPSec)
传输层—— SSL / TLS
应用层——S/MIME, PGP, PEM, SET,
Kerberos,SHTTP,SSH;网络层安全;传输层安全;应用层安全;2. SSL协议(SSL,Secure Sockets Layer);历史回顾:
SSL最初由网景(Netscape)公司于1996年研发
并于1996年发布了SSL 3.0版本
它是IETF RFC 2246安全传输层协议(TLS)的基础
SSL是一个协议,它处于可靠的面向连接的网络层(例TCP)和应用层(例HTTP)之间。;SSL协议;SSL被设计用来使用TCP提供一个可靠的端到端安全服务,为两个通讯个体之间提供必威体育官网网址性和完整性
SSL 提供四个基本功能:
Authentication
Encryption
Integrity
Key Exchange
采用两种加密技术
-非对称加密
认证
交换加密密钥
-对称加密:加密传输数据
;13;SSL会话及连接;连接
会话;连接是能提供合适服务类型的传输(在OSI分层模型中的定义)
对SSL,这样的连接是对等关系
连接是暂时的,每个连接都和一个会话相关;SSL密码算法;SSL-密钥交换协议;DH协议;DH协议;SSL支持的加密算法;22;客户和服务器之间相互认证
协商加密算法和密钥
提供连接安全性
身份鉴别,至少对一方实现鉴别,也可以是双 向鉴别
协商得到的共享密钥是安全的,中间人不能知道
协商过程是可靠的;SSL握手协议报文格式;Client;Client Hello;SSL Client;Data Encryption:
RC2-40
RC4-128
DES
DES 40
3DES
IDEA
Fortezza
Message Digest:
MD5
SHA.;SSL Client;SSL Client;SSL Client;SSL Client;The Client Finish message is composed of
The client authenticates the server with a message encrypted with the newly generated shared keys.
This validates to the server that a secure connection has been created. ;建立在可靠的传输协议(如TCP)基础上
提供连接安全性
必威体育官网网址性,使用了对称加密算法
完整性,使用HMAC算法
用来封装高层的协议;SSL记录协议操作;1.分片;By Introducing SSL and Certificates using SSLeay - Frederick J. hirsch;3. MAC计算;4. 加密;5.封装;机密性:握手协议定义了共享的、可用于对SSL有效载荷进行常规加密的密钥及初始/后续的IV
完整性:握手协议还定义了共享的、可用于生成报文MAC的密钥;共享主密钥(Master Secret)由客户机和服务器共享,是通过安全密钥交换生成的临时48字节值
Master Secret 分两个步骤生成:
交换 pre_master_secret
双方计算master_secret
pre_master_secret 交换方法:
RSA
Diffie-Hellman;主密钥的创建;pre_master_secret;密码参数的生成;关键点:SSL没有提供什么;3. Kerberos协议;什么是Kerberos?;Kerberos 概述;Kerberos的动机;间接认证;间接认证;基本的身份认证协议;改进的身份认证协议;Kerberos;Kerberos组成;Kerberos认证协议(V4);Kerberos认证协议(V4);Kerberos认证协议(V4);Kerberos认证协议(V4);Kerberos认证协议:客户/服务器交互认证;Kerberos中对称密钥总结;Kerberos认证协议:域间认证;其它网络范围请求服务;4. IPSec 安全协议;网络层安全性
需求:真实性(认证)、完整性和必威体育官网网址性。
好处:对于应用层透明可以针对链路,也可以针对最终用户可以实现在防火墙或者路由器上。
弥补IPv4在协议设计时缺乏安全性考虑的不足。
IPSec是IETF定义的一组安全IP协议集
它在IP包这一级为IP通讯业务提供保护。
IPv4中是一项可选支持的服务,在IPv6中是一项必须支持的
文档评论(0)