網(wǎng)絡(luò)與內(nèi)容安全互聯(lián)網(wǎng)安全協(xié)議

第七章

互聯(lián)網(wǎng)安全協(xié)議馬占宇信通院模式識(shí)別實(shí)驗(yàn)室第七章互聯(lián)網(wǎng)安全協(xié)議

1網(wǎng)絡(luò)安全協(xié)議概述IPSec協(xié)議SSL和TLS協(xié)議系統(tǒng)的安全威脅安全威脅說明竊聽攻擊者獲得敏感信息重傳攻擊者實(shí)現(xiàn)獲得信息，再發(fā)送給接收者偽造攻擊者偽造信息發(fā)給接收者篡改攻擊者修改信息，再發(fā)送給接收者拒絕服務(wù)攻擊攻擊者使系統(tǒng)響應(yīng)變緩慢或癱瘓行為否認(rèn)否認(rèn)發(fā)生的行為非授權(quán)訪問假冒、身份攻擊、非法用戶傳播病毒通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒網(wǎng)絡(luò)安全的目標(biāo)目標(biāo)內(nèi)容身份真實(shí)性對(duì)通信實(shí)體的身份進(jìn)行鑒別信息機(jī)密性機(jī)密信息不會(huì)泄漏給非授權(quán)的人信息完整性保證數(shù)據(jù)的一致性服務(wù)可用性保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)木芙^不可否認(rèn)性責(zé)任機(jī)制，防止實(shí)體否認(rèn)行為系統(tǒng)可控性控制使用資源的實(shí)體的使用方式系統(tǒng)易用性滿足安全的前提下操作簡(jiǎn)單方便可審查性對(duì)網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段目標(biāo)實(shí)現(xiàn)條件先進(jìn)的技術(shù)嚴(yán)格的管理法律約束安全教育Internet的安全風(fēng)險(xiǎn)安全問題的表現(xiàn)IPspoofingPacketsniffing……安全問題的原因缺乏安全機(jī)制如IPv4安全意識(shí)淡薄安全知識(shí)的欠缺偵聽到的數(shù)據(jù)還原的消息Internet安全協(xié)議網(wǎng)絡(luò)安全協(xié)議的目標(biāo)是提供數(shù)據(jù)的機(jī)密性、完整性及通信雙方的認(rèn)證Internet安全協(xié)議是在原有網(wǎng)絡(luò)協(xié)議的各個(gè)層面增加安全機(jī)制，或在原有網(wǎng)絡(luò)層之間加入一個(gè)中間層安全協(xié)議，如：TheIPEncapsulatingSecurityPayload(ESP)TheInternetProtocolSecurity(IPSec)TheSecureSocketsLayer(SSL)protocoltheTransportLayerSecurityprotocol(TLS)TheSecureHyperTextTransferProtocol(S-HTTP)Internet層次結(jié)構(gòu)Internet協(xié)議棧InternetProtocol:IPv4提供節(jié)點(diǎn)間可靠傳輸除了IP,還有ICMP(InternetControlMessageProtocol),IGMP(InternetGroupMembershipProtocol)Internetprotocolsuite由2個(gè)不同的傳輸協(xié)議組成：

TransmissionControlProtocol(TCP)在IP之上提供傳輸可靠.UserDatagramProtocol(UDP)組播傳輸、以及不在意可靠性的傳輸方式

用戶數(shù)據(jù)經(jīng)過協(xié)議棧的封裝Internet相關(guān)標(biāo)準(zhǔn)TheInternetEngineeringTaskForce(IETF):OpenSpecificationforPrettyGoodPrivacy(OPENPGP)AuthenticatedFirewallTraversal(AFT)CommonAuthenticationTechnology(CAT)DomainNameSystemSecurity(DNSSEC)IPSecurityProtocol(IPSEC)OneTimePasswordAuthentication(OTP)Public-KeyInfrastructure(X.509)(PKIX)S/MIMEMailSecurity(SMIME)SecureShell(SECSH)SimplePublic-KeyInfrastructure(SPKI)TransportLayerSecurity(TLS)WebTransactionSecurity(WTS)RequestforComments(RFCs):Internet-DraftsIP協(xié)議議族族常用用網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全協(xié)協(xié)議議–應(yīng)用用層層S-HTTP：SecureHTTP，保保證證Web的安安全全，，由由EIT開發(fā)發(fā)的的協(xié)協(xié)議議。。該該協(xié)協(xié)議議利利用用MIME，基基于于文文本本進(jìn)進(jìn)行行加加密密、、報(bào)報(bào)文文認(rèn)認(rèn)證證和和密密鑰鑰分分發(fā)發(fā)等等SSH：SecureSHell，是是對(duì)對(duì)BSD系列列的的UNIX的r系列列命命令令加加密密所所采采用用的的安安全全技技術(shù)術(shù)PGP：：PrettyGoodPrivacy，具具有有加加密密及及簽簽名名功功能能的的電電子子郵郵件件例:網(wǎng)上上銀銀行行httpsNetscape開發(fā)發(fā)并并內(nèi)內(nèi)置置于于其其瀏瀏覽覽器器中中，，HTTPS實(shí)際際上上應(yīng)應(yīng)用用了了Netscape的完完全全套套接接字字層層（（SSL）作作為為HTTP應(yīng)用用層層的的子子層層。。（（HTTPS使用用端端口口443，而而不不是是象象HTTP那樣使用端口口80來和TCP/IP進(jìn)行通信）常用網(wǎng)絡(luò)安全全協(xié)議–傳輸層SSL:SecureSocketLayer，是基于Web服務(wù)器和瀏覽覽器之間的具具有加密、報(bào)報(bào)文認(rèn)證、簽簽名驗(yàn)證和密密鑰分配功能能的加密協(xié)議議TLS:TransportLayerSecurity（IEEE標(biāo)準(zhǔn)），是將將SSL通用化的協(xié)議議SOCKS5是基于防火墻墻和虛擬專用用網(wǎng)（VPN）的數(shù)據(jù)加密密和認(rèn)證協(xié)議議常用網(wǎng)絡(luò)安全全協(xié)議–網(wǎng)絡(luò)層IPSec：InternetProtocolSecurity（IEEE標(biāo)準(zhǔn)），為通通信提供機(jī)密密性、完整性性等常用網(wǎng)絡(luò)安全全協(xié)議–鏈路層PPTP：PointtoPointTunnelingProtocol，點(diǎn)對(duì)點(diǎn)隧道道協(xié)議L2F：Layer2Forwarding，二層轉(zhuǎn)發(fā)/隧道協(xié)議L2TP：Layer2TunnelingProtocol，二層隧道協(xié)協(xié)議，綜合了了PPTP和L2F的協(xié)議Ethernet，WAN鏈路加密設(shè)備備網(wǎng)絡(luò)安全協(xié)議議概述IPSec協(xié)議SSL和TLS協(xié)議第七章互聯(lián)聯(lián)網(wǎng)安全協(xié)議議IPv4(v6)數(shù)據(jù)報(bào)缺乏對(duì)通信雙雙方身份真實(shí)性的鑒別別能力缺乏對(duì)傳輸數(shù)數(shù)據(jù)的完整性性和機(jī)密性保保護(hù)的機(jī)制由于IP地址可軟件配配置以及基于于源IP地址的鑒別機(jī)機(jī)制,IP層存在業(yè)務(wù)流流被監(jiān)聽和捕捕獲、IP地址欺騙、信信息泄露和數(shù)數(shù)據(jù)項(xiàng)篡改等等攻擊19202022/12/29IP包實(shí)例例偵聽可可獲取取IP包IP包解析析可還還原消消息IPSec協(xié)議綜綜述IPSec的目的的，就就是要要有效效地保保護(hù)IP數(shù)據(jù)包包的安安全。。它提提供了了一種種標(biāo)準(zhǔn)準(zhǔn)的、、強(qiáng)大大的以以及包包容廣廣泛的的機(jī)制制，為為IP及上層層協(xié)議議提供供安全全保證證；并并定義義了一一套默默認(rèn)的的、強(qiáng)強(qiáng)制實(shí)實(shí)施的的算法法，以以確保保不同同的實(shí)實(shí)施方方案相相互間間可以以共通通，而而且很很方便便擴(kuò)展展。IPSec可保障障主機(jī)機(jī)之間間、安安全網(wǎng)網(wǎng)關(guān)之之間或或主機(jī)機(jī)與安安全網(wǎng)網(wǎng)關(guān)之之間的的數(shù)據(jù)據(jù)包安安全。。由于于受IPSec保護(hù)的的數(shù)據(jù)據(jù)包本本身只只是另另一種種形式式的IP包，所所以完完全可可以嵌嵌套提提供安安全服服務(wù)，，同時(shí)時(shí)在主主機(jī)間間提供供端到到端的的驗(yàn)證證，并并通過過一個(gè)個(gè)安全全通道道，將將那些些受IPSec保護(hù)的的數(shù)據(jù)據(jù)傳送送出去去。IPSec協(xié)議綜綜述IPSec是一個(gè)個(gè)工業(yè)業(yè)標(biāo)準(zhǔn)準(zhǔn)網(wǎng)絡(luò)絡(luò)安全全協(xié)議議，它它有兩兩個(gè)基基本目目標(biāo)：：保護(hù)IP數(shù)據(jù)包包安全全為抵御御網(wǎng)絡(luò)絡(luò)攻擊擊提供供防護(hù)護(hù)措施施IPSec結(jié)合密密碼保保護(hù)服服務(wù)、、安全全協(xié)議議組和和動(dòng)態(tài)態(tài)密鑰鑰管理理，三三者共共同實(shí)實(shí)現(xiàn)這這兩個(gè)個(gè)目標(biāo)標(biāo)。IPSec協(xié)議IPSec的優(yōu)點(diǎn)點(diǎn)主要要有：：（1）IPSec比其他他同類類協(xié)議議具有有更好好的兼兼容性性。（2）比高高層安安全協(xié)協(xié)議（（如SOCKS5）性能能更好好，實(shí)實(shí)現(xiàn)更更方便便；比比低層層安全全協(xié)議議更能能適應(yīng)應(yīng)通信信介質(zhì)質(zhì)的多多樣性性。（3）系統(tǒng)統(tǒng)開銷銷小。。（4）透明明性好好。（5）管理理方便便。（6）開放放性好好。IPSec保護(hù)數(shù)數(shù)據(jù)的的形式式認(rèn)證：通過過認(rèn)證證可以以確定定所接接受的的數(shù)據(jù)據(jù)與所所發(fā)送送的數(shù)數(shù)據(jù)是是否一一致，，同時(shí)時(shí)可以以確定定申請(qǐng)請(qǐng)發(fā)送送者在在實(shí)際際上是是真實(shí)實(shí)的還還是偽偽裝的的發(fā)送送者；；數(shù)據(jù)完完整驗(yàn)驗(yàn)證：通過過驗(yàn)證證，保保證數(shù)數(shù)據(jù)在在從原原發(fā)地地到目目的地地的傳傳送過過程中中沒有有發(fā)生生任何何無法法檢測(cè)測(cè)的丟丟失與與改變變；保密：使相相應(yīng)的的接受受者能能獲取取發(fā)送送的真真正內(nèi)內(nèi)容，，而無無關(guān)的的接受受者無無法獲獲知數(shù)數(shù)據(jù)的的真正正內(nèi)容容。IPSec的體系系結(jié)構(gòu)構(gòu)兩個(gè)通通信協(xié)協(xié)議：：AHESP兩種操操作模模式：：傳輸模模式，，隧道模模式一個(gè)密密鑰交交換管管理協(xié)協(xié)議：：IKE兩個(gè)數(shù)數(shù)據(jù)庫庫：安全策策略數(shù)數(shù)據(jù)庫庫SPD，安全關(guān)關(guān)聯(lián)數(shù)數(shù)據(jù)庫庫SADIPSec的構(gòu)成成體系結(jié)結(jié)構(gòu)：包括括總體體概念念，安安全需需求，，定義義，以以及定定義IPSec技術(shù)的的機(jī)制制；ESP(EncapsulatingSecurityPayload)：：使用ESP進(jìn)行包包加密密的報(bào)報(bào)文包包格式式和一一般性性問題題，以以及可可選的的認(rèn)證證AH(AuthenticationHeader)：：使用ESP進(jìn)行包包加密密的報(bào)報(bào)文包包格式式和一一般性性問題題；加密算算法：描述述將各各種不不同加加密算算法用用于ESP的文檔檔認(rèn)證算算法：描述述將各各種不不同加加密算算法用用于AH以及ESP認(rèn)證選選項(xiàng)的的文檔檔；DOI(DomainofInterpretation)：：其它相相關(guān)文文檔，，批準(zhǔn)準(zhǔn)的加加密和和認(rèn)證證算法法標(biāo)識(shí)識(shí)，以以及運(yùn)運(yùn)行參參數(shù)等等；密鑰管管理：描述述密鑰鑰管理理模式式。IPSec的安全全目標(biāo)標(biāo)期望安安全的的用戶戶能夠夠使用用基于于密碼碼學(xué)的的安全全機(jī)制制應(yīng)能同同時(shí)適適用與與IPv4和IPv6,IPng.算法獨(dú)獨(dú)立有利于于實(shí)現(xiàn)現(xiàn)不同同安全全策略略對(duì)沒有有采用用該機(jī)機(jī)制的的的用用戶不不會(huì)有有副面面影響響上述特特征的的支持持在IPv6中是強(qiáng)強(qiáng)制的的，在在IPv4中是可可選的的。采采用在在主IP報(bào)頭后后面接接續(xù)擴(kuò)擴(kuò)展報(bào)報(bào)頭的的方法法實(shí)現(xiàn)現(xiàn)的。。IPSec在IP層提供供安全全服務(wù)務(wù)，使使得系系統(tǒng)可可以選選擇所所需要要的安安全協(xié)協(xié)議，，確定定該服服務(wù)所所用的的算法法，并并提供供安全全服務(wù)務(wù)所需需任何何加密密密鑰鑰。訪問控控制，，連接接完整整性，，數(shù)據(jù)據(jù)源認(rèn)認(rèn)證，，拒絕絕重放放數(shù)據(jù)據(jù)包，，保密密性（（加密密），，有限限27AHESP(僅加密)ESP(加密+認(rèn)證)訪問控制√√√連接完整性√√數(shù)據(jù)源認(rèn)證√√拒絕重放包√√√保密性√√有效保密性√√IPSec的工作作過程程IPSec的工作作模式式－傳傳輸模模式IPSec傳輸模模式只只對(duì)IP包的數(shù)數(shù)據(jù)部部分進(jìn)進(jìn)行加加密在數(shù)據(jù)據(jù)字段段前插插入IPSec認(rèn)證頭頭，而而對(duì)IP包頭不不進(jìn)行行任何何修改改源地址址和目目標(biāo)地地址暴暴露在在公網(wǎng)網(wǎng)中，，容易易遭到到攻擊擊通常用用于兩兩個(gè)終終端節(jié)節(jié)點(diǎn)之之間的的連接接，如如“客戶-服務(wù)器器”當(dāng)采用用AH傳輸模模式時(shí)時(shí)，主主要為為IP數(shù)據(jù)包包（IP包頭中中的可可變信信息除除外））提供供認(rèn)證證保護(hù)護(hù)采用ESP傳輸模模式時(shí)時(shí)，主主要對(duì)對(duì)IP數(shù)據(jù)包包的上上層信信息提提供加加密和和認(rèn)證證雙重重保護(hù)護(hù)IPSec的工作作模式式－－隧道道模式式對(duì)整個(gè)個(gè)IP包進(jìn)行行加密密IP包的源源地址址和目目標(biāo)地地址被被有效效地隱隱藏起起來引入IPSec認(rèn)證頭頭和新新的IP頭標(biāo)，，使IP包能夠夠安全全地在在公用用網(wǎng)絡(luò)絡(luò)上傳傳輸通常用用于兩兩個(gè)非非終端端節(jié)點(diǎn)點(diǎn)之間間的連連接，，如“防火墻墻/路由器器—防火墻墻/路由器器”采用AH隧道模模式時(shí)時(shí)，主主要為為IP數(shù)據(jù)包（IP頭中的可變變信息除外外）提供認(rèn)認(rèn)證保護(hù)；；采用ESP隧道模式時(shí)時(shí)，主要對(duì)對(duì)IP數(shù)據(jù)包提供供加密和認(rèn)認(rèn)證雙重保保護(hù)IPSec的工作模式式(續(xù))認(rèn)證頭（Authentication，AH）認(rèn)證頭是為為IP數(shù)據(jù)包提供供強(qiáng)認(rèn)證的的一種安全全機(jī)制為IP數(shù)據(jù)包提供供數(shù)據(jù)完整整性、數(shù)據(jù)據(jù)源認(rèn)證和和抗重傳攻攻擊功能認(rèn)證數(shù)據(jù)完整性性：消息認(rèn)認(rèn)證碼產(chǎn)生生的校驗(yàn)值值來保證數(shù)據(jù)源認(rèn)證證：數(shù)據(jù)保保重包含一一個(gè)將要被被認(rèn)證的共共享秘密或或密鑰來保保證抗重傳攻擊擊：在AH中使用一個(gè)個(gè)經(jīng)認(rèn)證的的序列號(hào)來來實(shí)現(xiàn)認(rèn)證頭（Authentication，AH）認(rèn)證頭格式式安全封裝載載荷（ESP）ESP主要支持IP數(shù)據(jù)包的機(jī)機(jī)密性將需要保護(hù)護(hù)的用戶數(shù)數(shù)據(jù)進(jìn)行加加密后再封封裝到新的的IP數(shù)據(jù)包中可提供認(rèn)證證：只認(rèn)認(rèn)證ESP頭之后的信信息，比AH認(rèn)證范圍小小互聯(lián)網(wǎng)密鑰鑰交換協(xié)議議（IKE）用IPSec傳輸一個(gè)IP包之前，必必須建立一一個(gè)安全關(guān)關(guān)聯(lián)，它可可以手工創(chuàng)創(chuàng)建或動(dòng)態(tài)態(tài)建立?；セヂ?lián)網(wǎng)密鑰鑰交換協(xié)議議（IKE）用于動(dòng)態(tài)態(tài)建立安全全關(guān)聯(lián)，它它以UDP方式通信，，其端口號(hào)號(hào)為500互聯(lián)網(wǎng)密鑰鑰交換協(xié)議議（IKE）實(shí)現(xiàn)上的兩兩個(gè)階段第一階段：：為建立IKE本身實(shí)用的的安全信道道而與SA協(xié)商，主要要是協(xié)商建建立“主密密鑰”第二階段：：利用第一一階段建立立的安全信信道交換IPSec通信中實(shí)用用的與SA有關(guān)的信息息，建立IPSec安全關(guān)聯(lián)IPsec與IKE的關(guān)系IKE是UDP之上的一個(gè)個(gè)應(yīng)用層協(xié)協(xié)議，是IPsec的信令協(xié)議議；IKE為IPsec協(xié)商建立SA，并把建立立的參數(shù)及及生成的密密鑰交給IPsec；IPsec使用IKE建立的SA對(duì)IP報(bào)文加密或或認(rèn)證處理理。安全關(guān)聯(lián)為了使通信信雙方的認(rèn)認(rèn)證算法或或加密算法法保持一致致，通信雙雙方相互之之間建立的的聯(lián)系稱為為安全關(guān)聯(lián)聯(lián)，即SASA是IPSec的重要組成成部分，是是與給定的的一個(gè)網(wǎng)絡(luò)絡(luò)連接或一一組網(wǎng)絡(luò)連連接相關(guān)的的安全信息息參數(shù)的集集合包含通信系系統(tǒng)執(zhí)行安安全協(xié)議AH或ESP所需要的相相關(guān)信息，，是安全協(xié)協(xié)議AH和ESP執(zhí)行的基礎(chǔ)礎(chǔ)，是發(fā)送送者和接收收者之間的的一個(gè)簡(jiǎn)單單的單向邏邏輯連接。。IPSec應(yīng)用實(shí)例:VPN虛擬專用網(wǎng)網(wǎng)絡(luò)(VPN)定義相當(dāng)廣廣泛一般使用VPN代表的是通通過公用網(wǎng)網(wǎng)絡(luò)（比如如Internet）建立專用用虛擬隧道道。通過VPN，數(shù)據(jù)被封封裝成數(shù)據(jù)據(jù)包，經(jīng)由由公用網(wǎng)絡(luò)絡(luò)安全地傳傳輸，數(shù)據(jù)據(jù)包標(biāo)頭包包含路由信信息。Windows2000/XP/Vista支持第2層（數(shù)據(jù)鏈鏈路層）隧隧道協(xié)議，，比如PPTP和L2TP，這些協(xié)議議先將數(shù)據(jù)據(jù)封裝進(jìn)PPP幀，然后再再通過線路路進(jìn)行傳輸輸。也支持第3層（網(wǎng)絡(luò)層層）隧道協(xié)協(xié)議（如IPSec）也受支持持，在這里里IP數(shù)據(jù)包在傳傳輸前先被被封裝進(jìn)IP標(biāo)頭。IPSec應(yīng)用實(shí)例:VPN412022/12/29(HypertextTransferProtocoloverSecureSocketLayer)(SecureHypertextTransferProtocol)Https內(nèi)置于其瀏覽覽器中，用于于對(duì)數(shù)據(jù)進(jìn)行行壓縮和解壓壓操作，并返返回網(wǎng)絡(luò)上傳傳送回的結(jié)果果，它應(yīng)用了了SSL作為HTTP應(yīng)用層的子層層。Https和SSL支持使用X.509數(shù)字認(rèn)證，也也就是說它的的主要作用可可以分為兩種種：一種是建建立一個(gè)信息息安全通道，，來保證數(shù)據(jù)據(jù)傳輸?shù)陌踩?；另一種就就是確認(rèn)網(wǎng)站站的真實(shí)性。。網(wǎng)絡(luò)安全協(xié)議議概述IPSec協(xié)議SSL和TLS協(xié)議第七章互聯(lián)聯(lián)網(wǎng)安全協(xié)議議SSL協(xié)議SSL（SecureSocketLayer）是由Netscape公司設(shè)計(jì)的一一種開放協(xié)議議，它指定了了一種在應(yīng)用用程序協(xié)議（（如HTTP，Telnet，F(xiàn)TP）和TCP/IP之間提供數(shù)據(jù)據(jù)安全性分層層的機(jī)制。目前已廣泛用用于Web瀏覽器與服務(wù)務(wù)器之間的身身份認(rèn)證和加加密數(shù)據(jù)傳輸輸。SSL位于TCP/IP協(xié)議與各種應(yīng)應(yīng)用層協(xié)議之之間，為數(shù)據(jù)據(jù)通信提供安安全支持HTTPLDAPIMAPSSLTCP/IP應(yīng)用層網(wǎng)絡(luò)層SSL在TCP/IP協(xié)議棧中的位位置SSL的兩個(gè)重要概概念SSL連接（connection)一個(gè)連接是一一個(gè)提供一種種合適類型服服務(wù)的傳輸（（OSI分層的定義））。SSL的連接是點(diǎn)對(duì)點(diǎn)的關(guān)關(guān)系。連接是暫時(shí)的的，每一個(gè)連連接和一個(gè)會(huì)會(huì)話關(guān)聯(lián)。SSL會(huì)話（session）一個(gè)SSL會(huì)話是在客戶戶與服務(wù)器之之間的一個(gè)關(guān)關(guān)聯(lián)。會(huì)話由由HandshakeProtocol創(chuàng)建。會(huì)話定定義了一組可可供多個(gè)連接接共享的加密密安全參數(shù)，，被多個(gè)連接接共享。會(huì)話用以避免免為每一個(gè)連連接提供新的的安全參數(shù)所所需昂貴的談?wù)勁写鷥r(jià)。SSL體系結(jié)構(gòu)SSL被設(shè)計(jì)成使用用TCP來提供一種可可靠的端到端端的安全服務(wù)務(wù)。SSL分為兩層協(xié)議議，如下所示示：SSL體系結(jié)構(gòu)SSL握手協(xié)議、修修改密文協(xié)議議、告警協(xié)議議位于上層，，SSL記錄協(xié)議為不不同的更高層層提供了基本本的安全服務(wù)務(wù)，可以看到到HTTP可以在SSL上運(yùn)行。SSL中有兩個(gè)重要要概念：SSL會(huì)話和SSL連接。SSL連接：連接時(shí)提供恰恰當(dāng)類型服務(wù)務(wù)的傳輸。SSL連接是點(diǎn)對(duì)點(diǎn)點(diǎn)的關(guān)系，每每一個(gè)連接與與一個(gè)會(huì)話相相聯(lián)系。SSL會(huì)話：SSL會(huì)話是客戶和和服務(wù)器之間間的關(guān)聯(lián)，會(huì)會(huì)話通過握手手協(xié)議來創(chuàng)建建，可以用來來避免為每個(gè)個(gè)連接進(jìn)行昂昂貴的新安全全參數(shù)的協(xié)商商。SSL記錄協(xié)議SSL記錄協(xié)議為SSL連接提供兩種種服務(wù)：機(jī)密性：握手協(xié)議定定義了共享的的、可用于對(duì)對(duì)SSL有效載荷進(jìn)行行常規(guī)加密的的密鑰；報(bào)文完整性：握手協(xié)議定定義了共享的的、可用于形形成報(bào)文的MAC碼和密鑰。SSL記錄協(xié)議SSL記錄協(xié)議的操操作步驟：分片：每個(gè)上層報(bào)報(bào)文被分成≤16KB的數(shù)據(jù)塊；壓縮：為可選應(yīng)用用；增加MAC碼：需用到共享享密鑰；加密：使用同步加加密算法對(duì)壓壓縮報(bào)文和MAC碼加密，且加加密增加長(zhǎng)度度≤1024字節(jié)；增加SSL首部。上層報(bào)文分片1分片2分片壓縮增加MAC加密增加SSL記錄首部SSL記錄協(xié)議的操操作SSL修改密文規(guī)約約協(xié)議SSL修改密文規(guī)約約協(xié)議是SSL協(xié)議體系中最最簡(jiǎn)單的一個(gè)個(gè)，它由單個(gè)個(gè)報(bào)文構(gòu)成，，該報(bào)文由值值為1的單單個(gè)個(gè)字字節(jié)節(jié)組組成成。。這這個(gè)個(gè)報(bào)報(bào)文文的的惟惟一一目目的的就就是是使使得得掛掛起起狀狀態(tài)態(tài)被被復(fù)復(fù)制制到到當(dāng)當(dāng)前前狀狀態(tài)態(tài)，，從從而而改改變變這這個(gè)個(gè)連連接接將將要要使使用用的的密密文文族族。。SSL告警警協(xié)協(xié)議議告警警協(xié)協(xié)議議用用來來將將SSL有關(guān)關(guān)的的警警告告?zhèn)鱾魉退徒o給對(duì)對(duì)方方實(shí)實(shí)體體。。告警警協(xié)協(xié)議議由由兩兩個(gè)個(gè)字字節(jié)節(jié)組組成成：：第一一個(gè)個(gè)字字節(jié)節(jié)的的值值用用來來表表明明警告告的的嚴(yán)嚴(yán)重重級(jí)級(jí)別別；第二二個(gè)個(gè)字字節(jié)節(jié)表表示示特定定告告警警的的代代碼碼。SSL握手手協(xié)協(xié)議議SSL握手手協(xié)協(xié)議議使得得服服務(wù)務(wù)器器和和客客戶戶能能相相互互鑒鑒別別對(duì)對(duì)方方的的身身份份、、協(xié)協(xié)商商加加密密和和MAC算法法以以及及用用來來保保護(hù)護(hù)在在SSL記錄錄中中發(fā)發(fā)送送數(shù)數(shù)據(jù)據(jù)的的加加密密密密鑰鑰。。在傳傳輸輸任任何何應(yīng)應(yīng)用用數(shù)數(shù)據(jù)據(jù)前前，，都都必必須須使使用用握握手手協(xié)協(xié)議議。握手手協(xié)協(xié)議議的的動(dòng)動(dòng)作作可可分分為為4個(gè)階階段段：(1)建立立安安全全能能力力，，包包括括協(xié)協(xié)議議版版本本、、會(huì)會(huì)話話ID、密密文文族族、、壓壓縮縮方方法法和和初初始始隨隨機(jī)機(jī)數(shù)數(shù)。。這這個(gè)個(gè)階階段段將將開開始始邏邏輯輯連連接接并并且且建建立立和和這這個(gè)個(gè)鏈鏈接接相相關(guān)關(guān)聯(lián)聯(lián)的的安安全全能能力力；；(2)服務(wù)務(wù)器器鑒鑒別別和和密密鑰鑰交交換換；；(3)客戶戶鑒鑒別別和和密密鑰鑰交交換換；；(4)結(jié)束束，，這這個(gè)個(gè)階階段段完完成成安安全全連連接接的的建建立立。。SSL握手手協(xié)協(xié)議議1-2:建立立安安全全能能力力；；3-6:服務(wù)務(wù)器器可可以以發(fā)發(fā)送送證證書書、、密密鑰鑰交交換換和和證證書書請(qǐng)請(qǐng)求求。。服服務(wù)務(wù)器器發(fā)發(fā)出出結(jié)結(jié)束束-hello報(bào)文文階階段段的的信信號(hào)號(hào)；；7-9:如果果請(qǐng)請(qǐng)求求的的話話，，客客戶戶發(fā)發(fā)送送證證書書、、發(fā)發(fā)送送密密鑰鑰交交換換，，客客戶戶可可以以發(fā)發(fā)送送證證書書驗(yàn)驗(yàn)證證報(bào)報(bào)文文；；10-14:修改改密密文文族族并并結(jié)結(jié)束束握握手手協(xié)協(xié)議議。。TLS協(xié)議議傳輸輸層層安安全全性性（（TLS）協(xié)協(xié)議議是是IETF標(biāo)準(zhǔn)準(zhǔn)草草案案建立立在在Netscape公司司所所提提出出的的SSL3.0協(xié)議議規(guī)規(guī)范范基基礎(chǔ)礎(chǔ)之之上上在兩兩個(gè)個(gè)正正在在通通信信的的應(yīng)應(yīng)用用程程序序之之間間提提供供保保密密性性和和數(shù)數(shù)據(jù)據(jù)完完整整性性安全全協(xié)協(xié)議議的的應(yīng)應(yīng)用用基于于安安全全協(xié)協(xié)議議的的產(chǎn)產(chǎn)品品和和應(yīng)應(yīng)用用：：如如基基于于IPSec的VPN(虛擬擬專專用用網(wǎng)網(wǎng))技術(shù)術(shù)，，在在Windows2000/XP下也也內(nèi)內(nèi)置置了了IPSec的實(shí)實(shí)現(xiàn)現(xiàn)；；SSL得到到廣廣泛泛應(yīng)應(yīng)用用：：Web瀏覽覽器器通通過過使使用用SSL來達(dá)達(dá)到到網(wǎng)網(wǎng)頁頁傳傳輸輸?shù)牡陌舶踩孕裕?；許多多安安全全產(chǎn)產(chǎn)品品(如防防火火墻墻)也采采用用了了網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全協(xié)協(xié)議議，，為為保保障障安安全全產(chǎn)產(chǎn)品品的的互互通通互互聯(lián)聯(lián)，，必必須須采采用用統(tǒng)統(tǒng)一一的的協(xié)協(xié)議議規(guī)規(guī)范范。。SSL應(yīng)用用實(shí)實(shí)例例,CuteFTPSSL應(yīng)用用實(shí)實(shí)例例,E-mail實(shí)例例分分析析SSL應(yīng)用用方方式式HTTPS(SecureHypertextTransferProtocol)安全全超超文文本本傳傳輸輸協(xié)協(xié)議議它它是是一一個(gè)個(gè)安安全全通通信信通通道道，，它它基基于于HTTP開發(fā)發(fā)，，用用于于在在客客戶戶計(jì)計(jì)算算機(jī)機(jī)和和服服務(wù)務(wù)器器之之間間交交換換信信息息。。它它使使用用安安全全套套接接字字層層(SSL)進(jìn)行行信信息息交交換換，，簡(jiǎn)簡(jiǎn)單單來來說說它它是是HTTP的安安全全版版Http到Https的切換換絕大數(shù)數(shù)認(rèn)證證場(chǎng)合合，其其系統(tǒng)統(tǒng)主頁頁是HTTP頁面，，只在在跳轉(zhuǎn)轉(zhuǎn)至登登錄頁頁面的的鏈接接或者者輸入入登錄錄信息息后的的“登登錄””按鈕鈕鏈接接中才才進(jìn)入入到