網(wǎng)絡(luò)基礎(chǔ)：精解傳輸層安全協(xié)議

第第頁(yè)網(wǎng)絡(luò)基礎(chǔ)：精解傳輸層安全協(xié)議網(wǎng)絡(luò)基礎(chǔ)：精解傳輸層安全協(xié)議

發(fā)表于：2023-06-23來(lái)源：：點(diǎn)擊數(shù)：標(biāo)簽：

傳輸層安全協(xié)議的目的是為了保護(hù)傳輸層的安全，并在傳輸層上提供實(shí)現(xiàn)保密、認(rèn)證和完整性的方法。1．SSL（安全套接字層協(xié)議）SSL(SecureSocketLayer)是由Netscape設(shè)計(jì)的一種開放協(xié)議；它指定了一種在應(yīng)用程序協(xié)議(例如http、te.net、NNTP、FTP)和TCP/

傳輸層安全協(xié)議的目的是為了保護(hù)傳輸層的安全，并在傳輸層上提供實(shí)現(xiàn)保密、認(rèn)證和完整性的方法。

1．SSL（安全套接字層協(xié)議）

SSL(SecureSocketLayer)是由Netscape設(shè)計(jì)的一種開放協(xié)議；它指定了一種在應(yīng)用程序協(xié)議(例如http、、NNTP、FTP)和TCP/IP之間提供數(shù)據(jù)安全性分層的機(jī)制。它為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶機(jī)認(rèn)證。

SSL的主要目的是在兩個(gè)通信應(yīng)用程序之間提供私密信和可靠性。這個(gè)過(guò)程通過(guò)3個(gè)元素來(lái)

完成：

握手協(xié)議。這個(gè)協(xié)議負(fù)責(zé)協(xié)商被用于客戶機(jī)和服務(wù)器之間會(huì)話的加密參數(shù)。當(dāng)一個(gè)SSL客戶機(jī)和服務(wù)器第一次開始通信時(shí)，它們?cè)谝粋€(gè)協(xié)議版本上達(dá)成一致，選擇加密算法，選擇相互認(rèn)證，并使用公鑰技術(shù)來(lái)生成共享密鑰。

記錄協(xié)議。這個(gè)協(xié)議用于交換應(yīng)用層數(shù)據(jù)。應(yīng)用程序消息被分割成可管理的數(shù)據(jù)塊，還可以壓縮，并應(yīng)用一個(gè)MAC（消息認(rèn)證代碼）；然后結(jié)果被加密并傳輸。接受方接受數(shù)據(jù)并對(duì)它解密，校驗(yàn)MAC，解壓縮并重新組合它，并把結(jié)果提交給應(yīng)用程序協(xié)議。

警告協(xié)議。這個(gè)協(xié)議用于指示在什么時(shí)候發(fā)生了錯(cuò)誤或兩個(gè)主機(jī)之間的會(huì)話在什么時(shí)候終止。

下面我們來(lái)看一個(gè)使用WEB客戶機(jī)和服務(wù)器的范例。WEB客戶機(jī)通過(guò)連接到一個(gè)支持SSL的服務(wù)器，啟動(dòng)一次SSL會(huì)話。支持SSL的典型WEB服務(wù)器在一個(gè)與標(biāo)準(zhǔn)HTTP請(qǐng)求（默認(rèn)為端口80）不同的端口（默認(rèn)為443）上接受SSL連接請(qǐng)求。當(dāng)客戶機(jī)連接到這個(gè)端口上時(shí)，它將啟動(dòng)一次建立SSL會(huì)話的握手。當(dāng)握手完成之后，通信內(nèi)容被加密，并且執(zhí)行消息完整性檢查，知道SSL會(huì)話過(guò)期。SSL創(chuàng)建一個(gè)會(huì)話，在此期間，握手必須只發(fā)生過(guò)一次。

SSL握手過(guò)程步驟：

步驟1：SSL客戶機(jī)連接到SSL服務(wù)器，并要求服務(wù)器驗(yàn)證它自身的身份。

步驟2：服務(wù)器通過(guò)發(fā)送它的數(shù)字證書證明其身份。這個(gè)交換還可以包括整個(gè)證書鏈，直到某個(gè)根證書權(quán)威機(jī)構(gòu)(CA)。通過(guò)檢查有效日期并確認(rèn)證書包含有可信任CA的數(shù)字簽名，來(lái)驗(yàn)證證書。

步驟3：然后，服務(wù)器發(fā)出一個(gè)請(qǐng)求，對(duì)客戶端的證書進(jìn)行驗(yàn)證。但是，因?yàn)槿狈€體系結(jié)構(gòu)，當(dāng)今的大多數(shù)服務(wù)器不進(jìn)行客戶端認(rèn)證。

步驟4：協(xié)商用于加密的消息加密算法和用于完整性檢查的哈希函數(shù)。通常由客戶機(jī)提供它支持的所有算法列表，然后由服務(wù)器選擇最強(qiáng)健的加密算法。

步驟5：客戶機(jī)和服務(wù)器通過(guò)下列步驟生成會(huì)話密鑰：

a.客戶機(jī)生成一個(gè)隨機(jī)數(shù)，并使用服務(wù)器的公鑰（從服務(wù)器的證書中獲得）對(duì)它加密，發(fā)送到服務(wù)器上。

b.服務(wù)器用更加隨機(jī)的數(shù)據(jù)（從客戶機(jī)的密鑰可用時(shí)則使用客戶機(jī)密鑰；否則以明文方式發(fā)送數(shù)據(jù)）響應(yīng)。

c.使用哈希函數(shù)，從隨機(jī)數(shù)據(jù)生成密鑰。

SSL協(xié)議的優(yōu)點(diǎn)是它提供了連接安全，具有3個(gè)基本屬性：

l連接是私有的。在初始握手定義了一個(gè)密鑰之后，將使用加密算法。對(duì)于數(shù)據(jù)加密使用了對(duì)稱加密（例如DES和RC4）。

2可以使用非對(duì)稱加密或公鑰加密（例如RSA和DSS）來(lái)驗(yàn)證對(duì)等實(shí)體的身份。

3連接時(shí)可靠的。消息傳輸使用一個(gè)密鑰的MAC，包括了消息完整性檢查。其中使用了安全哈希函數(shù)（例如SHA和MD5）來(lái)進(jìn)行MAC計(jì)算。

對(duì)于SSL的接受程度僅僅限于HTTP內(nèi)。它在其他協(xié)議中已被表明可以使用，但還沒(méi)有被廣泛應(yīng)用。

注意：

IETF正在定義一種新的協(xié)議，叫做“傳輸層安全”(TransportLayerSecurity,TLS)。它建立在Netscape所提出的SSL3.0協(xié)議規(guī)范基礎(chǔ)上；對(duì)于用于傳輸層安全性的標(biāo)準(zhǔn)協(xié)議，整個(gè)行業(yè)好像都正在朝著TLS的方向發(fā)展。但是，在TLS和SSL3.0之間存在著顯著的差別（主要是它們所支持的加密算法不同），這樣，TLS1.0和SSL3.0不能互操作。

2．SSH（安全外殼協(xié)議）

SSH是一種在不安全網(wǎng)絡(luò)上用于安全遠(yuǎn)程登錄和其他安全網(wǎng)絡(luò)服務(wù)的協(xié)議。它提供了對(duì)安全遠(yuǎn)程登錄、安全文件傳輸和安全TCP/IP和X-Window系統(tǒng)通信量進(jìn)行轉(zhuǎn)發(fā)的支持。它可以自動(dòng)加密、認(rèn)證并壓縮所傳輸?shù)臄?shù)據(jù)。正在進(jìn)行的定義SSH協(xié)議的工作確保SSH協(xié)議可以提供強(qiáng)健的安全性，防止密碼分析和協(xié)議攻擊，可以在沒(méi)有全球密鑰管理或證書基礎(chǔ)設(shè)施的情況下工作的非常好，并且在可用時(shí)可以使用自己已有的證書基礎(chǔ)設(shè)施（例如DNSSEC和X.509）。

SSH協(xié)議由3個(gè)主要組件組成：

l傳輸層協(xié)議，它提供服務(wù)器認(rèn)證、保密性和完整性，并具有完美的轉(zhuǎn)發(fā)保密性。有時(shí)，它還可能提供壓縮功能。

2用戶認(rèn)證協(xié)議，它負(fù)責(zé)從服務(wù)器對(duì)客戶機(jī)的身份認(rèn)證。

3連接協(xié)議，它把加密通道多路復(fù)用組成幾個(gè)邏輯通道。

SSH傳輸層是一種安全的低層傳輸協(xié)議。它提供了強(qiáng)健的加密、加密主機(jī)認(rèn)證和完整性保護(hù)。SSH中的認(rèn)證是基于主機(jī)的；這種協(xié)議不執(zhí)行用戶認(rèn)證。可以在SSH的上層為用戶認(rèn)證設(shè)計(jì)一種高級(jí)協(xié)議。

這種協(xié)議被設(shè)計(jì)成相當(dāng)簡(jiǎn)單而靈活，以允許參數(shù)協(xié)商并最小化來(lái)回傳輸?shù)拇螖?shù)。密鑰交互方法、公鑰算法、對(duì)稱加密算法、消息認(rèn)證算法以及哈希算法等都需要協(xié)商。

數(shù)據(jù)完整性是通過(guò)在每個(gè)包中包括一個(gè)消息認(rèn)證代碼(MAC)來(lái)保護(hù)的，這個(gè)MAC是根據(jù)一個(gè)共享密鑰、包序列號(hào)和包的內(nèi)容計(jì)算得到的。

在UNIX、Windows和Macintosh系統(tǒng)上都可以找到SSH實(shí)現(xiàn)。它是一種廣為接受的協(xié)議，使用眾所周知的建立良好的加密、完整性和公鑰算法。

3．SOCKS協(xié)議

“套接字安全性”(socketsecurity,SOCKS)是一種基于傳輸層的網(wǎng)絡(luò)代理協(xié)議。它設(shè)計(jì)用于在TCP和UDP領(lǐng)域?yàn)榭蛻魴C(jī)/服務(wù)器應(yīng)用程序提供一個(gè)框架，以方便而安全的使用網(wǎng)絡(luò)防火墻的服務(wù)。

SOCKS最初是由David和MichelleKoblas開發(fā)的；其代碼在Internet上可以免費(fèi)得到。自那之后經(jīng)歷了幾次主要的修改，但該軟件仍然可以免費(fèi)得到。SOCKS版本4為基于TCP的客戶機(jī)/服務(wù)器應(yīng)用程序（包括telnet、FTP,以及流行的信息發(fā)現(xiàn)協(xié)議如http、WAIS和Gopher）提供了不安全的防火墻傳輸。SOCKS版本5在RFC1928中定義，它擴(kuò)展了SOCKS版本

4，包括了UDP；擴(kuò)展了其框架，包括了對(duì)通用健壯的認(rèn)證方案的提供；并擴(kuò)展了尋址方案，包括了域名和IPV6地址。

當(dāng)前存在一種提議，就是創(chuàng)建一種機(jī)制,通過(guò)防火墻來(lái)管理IP多點(diǎn)傳送的入口和出口。這是通過(guò)對(duì)已有的SOCKS版本5協(xié)議定義擴(kuò)展來(lái)完成的，它提供單點(diǎn)傳送TCP和UDP流量的用戶級(jí)認(rèn)證防火墻傳輸提供了一個(gè)框架。但是，因?yàn)镾OCKS版本5中當(dāng)前的UDP支持存在著可升級(jí)性問(wèn)題以及其他缺陷（必須解決之后才能實(shí)現(xiàn)多點(diǎn)傳送），這些擴(kuò)展分兩部分定義。

1基本級(jí)別UDP擴(kuò)展。

2多點(diǎn)傳送UDP擴(kuò)展。

SOCKS是通過(guò)在應(yīng)用程序中用特殊版本替代標(biāo)準(zhǔn)網(wǎng)絡(luò)系統(tǒng)調(diào)用來(lái)工作的（這是為什么SOCKS有時(shí)候也叫做應(yīng)用程序級(jí)代理的原因）。這些新的系統(tǒng)調(diào)用在已知端口上（通常為1080/TCP）打開到一個(gè)SOCKS代理服務(wù)器（由用戶在應(yīng)用程序中配置，或在系統(tǒng)配置文件中指定）的連接。如果連接請(qǐng)求成功，則客戶機(jī)進(jìn)入一個(gè)使用認(rèn)證方法的協(xié)商，用選定的方法認(rèn)證，然后發(fā)送一個(gè)中繼請(qǐng)求。SOCKS服務(wù)器評(píng)價(jià)該請(qǐng)求，并建立適當(dāng)?shù)倪B接或拒絕它。當(dāng)建立了與SOCKS服務(wù)器的連接之后，客戶機(jī)應(yīng)用程序把用戶想要連接的機(jī)器名和端口號(hào)發(fā)送給服務(wù)器。由SOCKS服務(wù)器實(shí)際連接遠(yuǎn)程主機(jī)，然后透明地在客戶機(jī)和遠(yuǎn)程主機(jī)之間來(lái)回移動(dòng)數(shù)據(jù)。用戶甚至都不知道SOCKS服務(wù)器位于該循環(huán)中。

使用SOCKS的困難在于，人們必須用SOCKS版本替代網(wǎng)絡(luò)