IETF保证应用协议的独立性安全(TLS)(组图)

阅读:118时间:7 月前

最佳回答

来往不逢人

回答于:7 月前

SSL (Layer) 协议最初由一家知名公司开发,现在广泛用于 Web 服务器和客户端浏览器之间的身份验证和安全数据通信。

制定 SSL 协议的目的是为通信双方提供安全可靠的通信协议服务,并在通信双方之间建立传输层安全通道。SSL 使用对称加密来保持通信的机密性,并使用消息验证码 (MAC) 来确保数据完整性。SSL 在建立连接时主要使用 PKI 来验证通信双方的身份。IETF 的传输层安全 (TLS) 协议 (RFC 2246 1999) 和无线接入协议 (WAP) 论坛的无线传输层安全 (WTIS) 是 SSI 的后续发展。协议包括两个层次: 下层 SSL记录层协议位于传输协议 TCP/IP 之上。SSL记录协议用于封装上层协议。握手协议是这些封装的上层协议之一,它允许客户端和服务器相互验证。; 并在应用协议发送或接收第一数据之前协商加密算法和加密密钥。这样做的原因是为了保证应用协议的独立性,使低层协议对高层协议透明。

目前已经针对7层网络模型的每一层提出了相应的加密协议。在所有这些协议中,会话层的SSL和应用层的SET与电子商务的应用关系最为密切。

因此,SSL 已成为用户之间安全通信的事实标准,并且 SSL 支持已成为每个浏览器的内置功能。SSL 包括两个子协议,握手和记录。这两个子协议都可以提供与应用程序的连接,尤其是与 HTTP 的连接。此连接经过身份验证和保密,以防止篡改。

SSL 可以嵌入到处理堆栈中,在 TCP/IP 之上和应用层之下,而不会过多影响其他协议层。SSL 还可以与其他应用程序一起使用,例如访问、应用程序安全、无线应用程序和 Web 服务。SSL 通过对离开浏览器的数据进行加密并在进入数据中心后对其进行解密来保护数据通信。

SSL 对话由连接和应用程序组成。在连接会话期间,客户端和服务器交换证书并协商安全参数。如果客户端接受服务器的证书,则会建立一个主密钥,用于加密后续通信。

在应用程序对话期间,诸如信用卡号、股票交易数据、个人医疗数据和其他敏感数据等信息可以在客户端和服务器之间安全地传递。SSL 提供了以下三种机制来保证安全性: 身份验证,可以在连接的每一端对服务器或客户端和服务器进行身份验证;机密性,它可以对信息进行加密,以便只有信息通信双方才能访问和理解加密信息;完整性,可以通过防止邮件内容在未经检测的情况下被修改,收件人可以确信他们正在接收无法修改的邮件。

安全通信过程中的一个关键步骤是验证双方的身份。SSL 握手子协议有一个功能。服务器和客户端之间的以下动作可以使认证动作更快:客户端对服务器进行认证;让客户端和服务器选择所需的加密算法和安全级别;服务器选择性地验证客户端;使用公钥密码生成可共享的密钥,然后用于传输真正机密的数据;建立 SSL 连接。

SSL 记录子协议负责传输加密数据。以下动作可以使数据传输更快:将数据分解成小的可用块,称为片段;数据不会被完整的“包装”修改;数据加密后,可粘贴“包装纸”。

过去,电子商务的许多应用程序都没有进行客户端认证。然而,公司现在正在使用 SSL 作为数据中心中新应用程序的协议。客户端身份验证正在成为基于 SSL 的 VPN 和需要对最终用户进行额外身份验证的应用程序的趋势。

客户端验证允许服务器使用允许客户端验证服务器的相同技术在协议内确认用户的身份。尽管身份验证的信息流非常不同,但从概念上讲,该过程与服务器身份验证相同。这个过程也发生在 SSL 握手子协议中。在这种情况下,客户端必须向服务器提供有效的证书。服务器可以通过使用公钥密码学的标准技术来验证最终用户的有效性。

SSL 的灵活性和活力使其无处不在。可以预见,虽然 SSL 已成为企业应用程序、无线接入设备、Web 服务和安全访问管理的关键协议,但 SSL 的使用将继续显着增长。下面讨论SSL的原理和工作过程。

1 SSL 协议概述

一、SSL协议的作用

SSL 是一种提供通信隐私的安全协议。该协议允许客户端/服务器应用程序之间的安全通信,即防窃听、防消息篡改和防消息伪造。

TCP/IP是整个数据传输和通信中使用的最基本的控制协议。在它之上,还有应用层传输协议,例如 HTTP ( )、LDAP ( ) 和 IMAP ( )。SSL 是一种介于 TCP/IP 和各种应用层协议之间的数据安全协议(如图 1l-8 所示)。SSL协议可以有效避免网络信息被窃听、篡改和伪造。

图 11-8 SSL 协议的位置

SSL标准的关键在于解决以下问题。

(1)客户端对服务器的身份确认:SSL服务器允许客户端的浏览器使用标准的公钥加密技术和一些可靠的证书颁发机构(CA)证书来确认服务器的合法性(验证服务器的证书) . 和 ID 的有效性)。确认用户服务器的身份非常重要,因为客户端可能会将他的信用卡密码发送给服务器。

(2)-to-身份确认:允许SSL服务器确认客户端的身份,SSL协议允许客户端-服务器软件通过公钥技术和可信证书来确认客户端的身份(客户端的证书)。对于服务器来说,客户身份的确认非常重要,因为网上银行可能会向客户发送机密的财务信息。

(3)在服务端和客户端之间建立安全的数据通道:SSL要求客户端和服务端之间发送的所有数据都由发送方加密,所有接收到的数据都由接收方解密,从而提供高水平的安全保证。同时,SSL协议会在传输过程中检查数据是否被修改。

2. SSL 协议的目标

SSL 协议的目标如下,按优先级排列。

(1)使用加密的 SSL 消息在通信双方之间建立安全连接。

(2)互操作性。通信双方的程序是独立的,即一方可以在不知道对方程序编码的情况下,使用SSL成功交换加密参数。

注意:并非所有 SSL 实例(即使在同一个应用程序中)都能成功连接。例如,如果服务器支持特定的硬件令牌(token),而客户端无权访问此令牌,则连接不会成功。

(3)可扩展性。SSL 旨在提供一个框架,在该框架中可以根据需要添加新的公钥和单密钥算法,而无需对协议进行重大修改。这样做还实现了两个子目标:

避免需要新的协议,从而进一步避免出现新缺陷的可能性;

避免了实施完整的安全协议的需要。

与高效的加密操作安全套参数,尤其是公钥加密相比,它对 CPU 来说是一项耗时的任务,因此 SSL 协议引入了可选的会话缓存(Cache)来从头减少连接数。同时,它还注重减少网络活动。

三、SSL的主要组成部分

SSL 协议由两层组成,握手协议层和记录协议层。握手协议建立在记录协议之上安全套参数,还有对话协议和管理支持的子协议,如警报协议、更改密码规范协议、应用数据协议等。SSL 协议的组成及其在 TCP/IP 中的位置如图 11-9 所示。

图 11-9 SSL 协议的组成及其在 TCP/IP 中的位置

在图 11-9 中的每一层,都可以包括长度、描述和内容字段。SSL 发送消息是将数据分成可管理的块、对其进行压缩、使用 MAC 并加密并发送加密结果的结果。接受消息需要解密、验证、解压和重组,并将结果发送给更高级别的客户端。

(1)录制协议

它具体实现了压缩/解压、加密/解密、计算机MAC等与安全相关的操作。还建立在:

:该协议由一个消息组成,可以由客户端或服务器发送,通知接收者后面的记录将受到新协商的密码规范和密钥的保护;接收者得到这个消息后,立即指示记录层将读取状态变为当前读取状态;发送方发送此消息后,应立即指示记录层将即将写入状态更改为当前写入状态。

警告协议:警告消息传达消息的严重性并描述警告。致命警告将立即终止连接。与其他消息一样,警告消息在其当前状态下被加密和压缩。警告消息有以下类型:

禁用通知消息、意外消息、错误记录 MAC 消息、解压缩失败消息、握手失败消息、无证书消息、错误证书消息、不支持的证书消息、证书吊销消息、证书过期消息、证书未知和参数无效消息等。

应用程序数据协议:将应用程序数据直接传递给记录协议。

(2)握手协议

SSL 握手协议是为在客户端和服务器之间传输应用程序数据而建立的一种安全通信机制。

算法协商:第一次通信时,双方通过握手协议协商密钥加密算法、数据加密算法和摘要算法。

认证:密钥协商完成后,客户端和服务器通过证书相互认证对方的身份。

确定密钥:最后,协商密钥交换算法用于生成只有双方知道的秘密信息。客户端和服务器根据秘密信息确定数据加密算法的参数(通常是密钥)。可见,SSL协议是一种端到端的通信安全协议。


相关问答