《《HTTPS协议分析》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《HTTPS协议分析》PPT课件.ppt(20页珍藏版)》请在装配图网上搜索。
1、HTTPS简介 2012-02-10 第一节 HTTPS简介 引入 : 随着网络通信和电子商务等服务和资源进入人们的日常生 活,人们在享受网络带来的各种便利的同时, 面临各种各 样的安全隐患 。 我们经常接触到的就有邮箱登录,网上购物,电子银行等 等。这很多是基于 HTTP 协议的。 但 HTTPRFC2616最初是在 INTERNET上不用密码的应用。 因此随着人们对安全性的要求增加。 HTTPS协议 ,为我们 提供了面向通道的安全性。 目录 目录 HTTPS简介 SSL协议介绍 SSL记录协议 SSL握手协议 HTTPS简介 HTTPS (全称: Hypertext Transfer Pr
2、otocol over Secure Socket Layer) 是 HTTP的安全版 HTTPS默认使用 TCP端口 443,也可以指定其他的 TCP 端口。 URI格式 https/:URL 一个 URI例子: SSL协议介绍 HTTPS中 S,实际上是 SSL(Secure Sockets Layer)协议。 SSL是 Netscape公司发明的一种 用于 WEB的安全传输协议 。 随着时间的推移由于 Netscape失去了市场份额,它将 SSL 的维护工作移交给因特网工程任务组( IETF)。第一个后 Netscape版本被重新命名为安全传输层协议( TLS), TLS (Transp
3、ort Layer Security :RFC 2246)是基于 SSL上 研发的,但是与 SSLv3.0有细微的差别。 因此, SSL协议有时也称为 TLS协议。目前常用的是 TLSv1.0的协议。 SSL协议介绍 SSL协议的功能 1)保证传输数据的 保密性 2)保证传输数据的 完整性 3)实现通信双方的互相 身份认证 SSL协议介绍 SSL协议在协议栈的位置 IP协议 TCP协议 HTTP、 TELNET、 FTP等应用层协议 SSL记录协议 应用数据 告警 握手 ChangeCipherSpec SSL协议介绍 SSL 协议是一个分层的协议, 共有两层组成 。 高层协议包括 : SSL
4、 握手协议 (SSL HandshakeProtocol) 、 改变加密约定协议 (Change Cipher Spec Protocol) 、 报警协议 (AlertProtocol) 处于 SSL 协议的底层的是: SSL记录层协议 (SSL Record Protocol) SSL记录协议 SSL的记录协议 记录层协议实际上是一个简单的 封装 或者说是 “打包”协 议 。记录可能是明文传送的,也可能是被加密传送的, 纪录协议的功能 保证消息的 完整性 机密性 SSL记录协议 SSL记录的结构示意图 : 类型 版本 长度 明文数据 /加密数据 1字节 2字节 2字节 (长度 )字节 类型
5、:有握手协议、报警协议、改变加密约定协议、应用数据等四种 加密数据 可分解为 数据 HMAC 填充 * 填充长度 * 注 :HMAC: Keyed-Hash Message Authentication Code(消息验证码) SSL记录协议 MAC(Message Authentication Code)消息验证码 消息验证码也称为消息摘要,是 实现数据完整性 的主要手 段。 主要目的是认证消息、检验数据 是否被篡改 。 目前常用的消息摘要算法有 MD5(Message-Digest Algorithm 5 ) 和 SHA( Secure Hash Algorithm )。 SSL中的摘要算
6、法是 :HMAC 即 Keyed-Hash Message Authentication Code。 HMAC 是在使用消息摘要函数(例如 MD5 等)的同时, 增加了一个“密钥” 作为输入。 SSL记录协议 SSL记录协议封装过程 类型 版本 长度 数据 HMAC* 填充 * 填充长度 * 1、填写”记录头信息” 中的” 版本 ”和” 类型 ” *2、如果协商了压缩 算法则 压缩 “ 数据 ” 3、计算并附加 MAC *4、计算“ 填充长度 ”,填 写“ 填充 字段”并“ 加密 ” 5、填写记录头信息中 的“ 长度 ” SSL记录协议 SSL记录协议解封装过程 类型 版本 长度 数据 HMA
7、C* 填充 * 填充长度 * 1、读取”记录头信息” 中的” 版本 ” 2、根据 长度 读入记 录“数据”部分 3、去掉“ 填充长度 ”和 “ 填充 “字段 *4、检查并去掉 MAC 5、如果协商了压缩算 法则解压“ 数据 ” SSL握手协议 SSL 握手协议 是 SSL 协议中最重要同时也是最复杂的协议。 SSL 握手协议主要负责如下工作 : 算法协商 身份验证 确定密钥 SSL握手协议 SSL握手过程分为四种 : Full Handshake : 全流程握手, C/S双方从无到有建立 SSL连接; Resum session Handshake : C/S双方曾经建立过连接,但中途断了,
8、SSL会话信息还有保留,只需要执行部分握手流程就可建立 SSL连接; Server Re-negotiation Handshake : 已经建立了 SSL连接,但 server 端为了某些原因 (比如安全性 )要求重新对密钥进行协商,也只需要执 行部分握手流程; Client Re-negotiation Handshake : 已经建立 SSL连接,但 client端 为了某些原因要求重新协商,只需执行部分握手流程。 全流程握手 (Full Handshake) 携带客户的 SSL版本号,加密套件列表,压缩算法列表,客户端随机数, sessionid = 0;传送给服务器 Server H
9、ello Server Certificate* Client Certificate Requst* Server Hello done *Client Certificate Client Key Exchang *Certificate verify Change Cipher Spec Client finished Message Client hello Change Cipher Spec Server finished Message Application Data Application Data 服务器选择版本,确定要用的加密套件、压缩算法,计算 sessionid,以及
10、随 机数发给客户端 服务器将自己的证书发送给客户端 服务端向客户端索要证书 服务端通知客户端握手消息发送完成 客户端向服务器端发送自己的证书 客户端密钥交换 (产生预主密钥 (preMasterKey) 客户端证书验证,让服务器验证发消息的客户端和客户端证书的真实所 有者 改变加密约定消息,通知服务端,之后的消息开始启用加密参数 客户端的 SSL 协商成功结束,发送握手验证报文确保消息的完整性 服务器端的 SSL 协商成功结束,发送握手验证报文确保消息的完整性 改变加密约定消息,通知客户端,之后的消息开始启用加密参数 应用数据传送 下一页 SSL握手协议 加密套件列表 : 列表中包含了 Cli
11、ent端支持的所有密钥套件。 一个密钥套件定义了一个密钥规格,其中描述如下 内容: 密钥交换算法 (非对称加密算法 ), 是否出口 对称加密算法 支持的 最高对称密钥位数 MAC (Message Authentication Code) 算法 (或摘要算法 )。 例 :SSL_RSA_WITH_RC4_128_MD5 = 0 x0004 /* 非对称加密算法或 密钥交换算法为 RSA,采用高强度 128位对称加密算法 RC4,摘要或 MAC算法为 MD5,不支持出口 */ SSL握手协议 非对称加密算法 和 对称加密算法 明文 :ABCDEF 密文 :* 加密 运算 密钥 A 密文 :* 发送报文 接受报文 明文 :ABCDEF 密钥 B 解密 运算 图 非对称加密 明文 :ABCDEF 密文 :* 加密 运算 密钥 A 密文 :* 发送报文 接受报文 明文 :ABCDEF 密钥 A 解密 运算 图 对称加密 总结 总结 : 介绍了 HTTPS协议 介绍了 SSL协议的历史和体系结构 介绍了 SSL的记录协议的结构,封装和解封装流程 介绍了 SSL握手流程 谢谢
《HTTPS协议分析》PPT课件.ppt
