第7讲 ssl协议.ppt

安全协议与标准 第五章 SSL协议和TLS协议 第五章 SSL协议和TLS协议 概述 SSL协议规范 TLS协议规范 TLS/SSL的应用 安全性分析 上节课回顾 ssl协议提供的服务? 握手协议的作用及工作过程? SSL记录协议的功能及操作过程? 5.3 TLS协议规范 5.3.1 协议综述 TLS体系结构与SSL相同 TLS记录协议利用两种基本方式提供安全的连接 连接的机密性 连接的可靠性 TLS握手协议使用3种基本方式提供安全的连接: (1)对等实体的认证使用不对称的或公钥密码体制 (2)共享密码协商的安全性 (3)密码协商的可靠性 5.3 TLS协议规范 5.3.2 TLS中的改进部分 1.版本号：主要版本是3，次要版本是1 2.消息验证码：实际算法和MAC计算范围 3.伪随机函数：使用了PRF伪随机函数以扩展密码为数据块 4.警告码：还定义了许多附加码 5.密码组：在密钥交换和对称加密算法中，不支持Fortezza 5.3 TLS协议规范 5.3.2 TLS中的改进部分 6.客户机证书类型：TLS不包括Fortezza方案 7. Certicate_Very和结束消息： Certicate_Very消息中，MD5和SHA-1只在handshake_message中计算； 8.结束消息的哈希计算不同 9.密码计算：master_secret的计算方法不同 10. 填充：填充字节可以是最大到255字节的任意数量。 消息验证码 在TLS中采用了 RFC2104定义的 HMAC算法。 伪随机函数 数据扩展函数 伪随机函数 数据扩展函数 5.4 TLS/SSL的应用 5.4.1 TLS/SSL与电子商务 SSL安全协议是国际上最早应用于电子商务的一种网络安全协议. 被认为是WEB浏览器和服务器的标准安全性措施 SSL在网上商店和电子交易中都有很多的应用,但存在很多弊端 在涉及多方交易时,只能提供客户与服务器的双方认证,不能协调多方的安全传输和信任关系 SSL协议有利于商家而不利于客户 5.4 TLS/SSL的应用 5.4.1 TLS/SSL与电子商务 3-D secure 技术 5.4 TLS/SSL的应用 5.4.1 TLS/SSL与电子商务 3-D secure 技术 在线付款体系结构 3-D Secure （表示三域安全性） 是 Visa 和 MasterCard 于 2001 年推出的。 它基于 SSL 和 TLS ， 可提供由第三方进行的身份验证。 三个域中的每个域都对应于一种用户类型： 发卡行域， 包含持卡人身份验证功能 银行间域， 允许其他两个域通过 Internet 进行通信 收单行域 5.4 TLS/SSL的应用 5.4.1 TLS/SSL与电子商务 3-D secure 技术 3-D Secure 在三个域之间传送信息以完成信用卡支付的过程， 并在三个域之间平均分配责任： 持卡人的银行验证其客户身份 商户的银行验证其商户身份 银行间域允许商户开始以相同方式验证买方的身份， 而无论买方使用的是什么方法 ? 5.4 TLS/SSL的应用 5.4.2 利用TLS/SSL保证HTTP的安全性 目前已成为IETF的RFC草案的TLS应用有两种: HTTP Upgrade to TLS(RFC2817) HTTP over TLS(RFC2818) TLS/SSL能以两种形式实现 将TLS/SSL嵌入到操作系统内核 在应用层以库形式实现 将TLS/SSL应用于HTTP之中时,采用层无关技术可简化复杂性,增加可移植性. 5.4 TLS/SSL的应用 5.4.2 利用TLS/SSL保证HTTP的安全性 1. HTTPS 1998年IETF开始考虑将这类应用标准化, HTTPS由RFC2818所定义 HTTPS是在互联网上利用TLS保证HTTP连接的安全性的第一个方案 HTTPS使得用户在TLS之上使用HTTP HTTPS与传统HTTP使用不同的端口 为区别与普通HTTP, 使用”https”协议标识. 5.4 TLS/SSL的应用 5.4.2 利用TLS/SSL保证HTTP的安全性 1. HTTPS (1) 建立HTTPS连接 HTTP客户的代理也可以作为TLS客户的代理. 建立TLS连接后,客户可以开始HTTP请求 所有HTTP数据必须作为TLS的应用数据发送 (2) 连接的关闭 TLS规定通信的双方在关闭连接时,必须先交换关闭警告 当应用层不再有数据发送时,可以产生一个”不完全关闭” 5.4 TLS/SSL的应用 5.4.2 利用TLS/SSL