《可信计算课件资源》第5章分布式系统的安全选编.ppt

可信计算基础;第五讲 分布式系统的安全;1.Internet安全协议;安全的传输协议 SSL/TLS, SSH …;Internet安全性途径 网络层——IP 安全性(IPSec) 传输层—— SSL / TLS 应用层——S/MIME, PGP, PEM, SET, Kerberos,SHTTP,SSH;网络层安全;传输层安全;应用层安全;2. SSL协议(SSL,Secure Sockets Layer);历史回顾： SSL最初由网景（Netscape）公司于1996年研发 并于1996年发布了SSL 3.0版本 它是IETF RFC 2246安全传输层协议（TLS）的基础 SSL是一个协议，它处于可靠的面向连接的网络层（例TCP）和应用层（例HTTP）之间。;SSL协议;SSL被设计用来使用TCP提供一个可靠的端到端安全服务，为两个通讯个体之间提供必威体育官网网址性和完整性 SSL 提供四个基本功能: Authentication Encryption Integrity Key Exchange 采用两种加密技术 -非对称加密 认证 交换加密密钥 -对称加密：加密传输数据 ;13;SSL会话及连接;连接 会话;连接是能提供合适服务类型的传输（在OSI分层模型中的定义） 对SSL，这样的连接是对等关系 连接是暂时的，每个连接都和一个会话相关;SSL密码算法;SSL-密钥交换协议;DH协议;DH协议;SSL支持的加密算法;22;客户和服务器之间相互认证 协商加密算法和密钥 提供连接安全性 身份鉴别，至少对一方实现鉴别，也可以是双 向鉴别 协商得到的共享密钥是安全的，中间人不能知道 协商过程是可靠的;SSL握手协议报文格式;Client;Client Hello;SSL Client;Data Encryption: RC2-40 RC4-128 DES DES 40 3DES IDEA Fortezza Message Digest: MD5 SHA.;SSL Client;SSL Client;SSL Client;SSL Client;The Client Finish message is composed of The client authenticates the server with a message encrypted with the newly generated shared keys. This validates to the server that a secure connection has been created. ;建立在可靠的传输协议（如TCP）基础上 提供连接安全性 必威体育官网网址性，使用了对称加密算法 完整性，使用HMAC算法 用来封装高层的协议;SSL记录协议操作;1.分片;By Introducing SSL and Certificates using SSLeay - Frederick J. hirsch;3. MAC计算;4. 加密;5.封装;机密性：握手协议定义了共享的、可用于对SSL有效载荷进行常规加密的密钥及初始/后续的IV 完整性：握手协议还定义了共享的、可用于生成报文MAC的密钥;共享主密钥(Master Secret)由客户机和服务器共享，是通过安全密钥交换生成的临时48字节值 Master Secret 分两个步骤生成： 交换 pre_master_secret 双方计算master_secret pre_master_secret 交换方法： RSA Diffie-Hellman;主密钥的创建;pre_master_secret;密码参数的生成;关键点：SSL没有提供什么;3. Kerberos协议;什么是Kerberos?;Kerberos 概述;Kerberos的动机;间接认证;间接认证;基本的身份认证协议;改进的身份认证协议;Kerberos;Kerberos组成;Kerberos认证协议（V4）;Kerberos认证协议（V4）;Kerberos认证协议（V4）;Kerberos认证协议（V4）;Kerberos认证协议:客户/服务器交互认证;Kerberos中对称密钥总结;Kerberos认证协议:域间认证;其它网络范围请求服务;4. IPSec 安全协议;网络层安全性 需求：真实性(认证)、完整性和必威体育官网网址性。 好处：对于应用层透明可以针对链路，也可以针对最终用户可以实现在防火墙或者路由器上。 弥补IPv4在协议设计时缺乏安全性考虑的不足。 IPSec是IETF定义的一组安全IP协议集 它在IP包这一级为IP通讯业务提供保护。 IPv4中是一项可选支持的服务，在IPv6中是一项必须支持的