网络安全协议北京大学计算机系信息安全研究室

《网络安全协议北京大学计算机系信息安全研究室》由会员分享，可在线阅读，更多相关《网络安全协议北京大学计算机系信息安全研究室（77页珍藏版）》请在装配图网上搜索。

1、电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处信息安全原理与应用信息安全原理与应用第十一章第十一章 网络安全协议网络安全协议本章由王昭主写本章由王昭主写1电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处内容提要内容提要网络协议安全简介网络协议安全简介网络层安全网络层安全传输层安全传输层安全2电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明

2、出处引用请注明出处TCP/IP协议栈协议栈3电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处Internet安全性途径安全性途径网络层网络层IP 安全性安全性(IPsec)传输层传输层 SSL/TLS应用层应用层S/MIME,PGP,PEM,SET,Kerberos,SHTTP,SSH4电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处应用层安全应用层安全应用层安全必须在终端主机上实施，应用层安全必须在终端主机上实

3、施，优点优点以用户为背景执行，更容易访问用户凭据以用户为背景执行，更容易访问用户凭据对用户想保护的数据具有完整的访问权对用户想保护的数据具有完整的访问权应用可以自由扩展应用可以自由扩展应用程序对数据有着充分的理解应用程序对数据有着充分的理解缺点缺点针对每个应用须设计一套安全机制针对每个应用须设计一套安全机制5电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处传输层安全传输层安全优点优点不会强制要求每个应用都在安全方面作出相应改进不会强制要求每个应用都在安全方面作出相应改进缺点缺点由于要取得用户背景，通常假

4、定只有一名用户使用由于要取得用户背景，通常假定只有一名用户使用系统，与应用级安全类似，只能在端系统实现系统，与应用级安全类似，只能在端系统实现应用程序仍需要修改，才能要求传输层提供安全服应用程序仍需要修改，才能要求传输层提供安全服务务6电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处网络层安全网络层安全优点优点密钥协商的开销被大大削减了密钥协商的开销被大大削减了需要改动的应用程序要少得多需要改动的应用程序要少得多能很容易构建能很容易构建VPN缺点缺点很难解决很难解决“抗抵赖抗抵赖”之类的问题之类的问题7

5、电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处数据链路层数据链路层最大的好处在于速度最大的好处在于速度不易扩展不易扩展在在ATM上得到广泛应用上得到广泛应用8电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处网络层安全网络层安全9电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处传输层安全传输层安全10电子工业出版社电子工业

6、出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处应用层安全应用层安全11电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处内容提要内容提要TCP/IP基础基础网络层安全网络层安全传输层安全传输层安全12电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处用户数据经过协议栈的封装过程用户数据经过协议栈的封装过程13电子工业出版社电子工业出版社，信息安全

7、原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处IPv4数据报数据报14电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处IPv6分组分组15电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处IPv6基本头基本头16电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处IP协议协

8、议IP是是TCP/IP协议族中至关重要的组成部分协议族中至关重要的组成部分，但它提供但它提供的是一种不可靠、无连接的的数据报传输服务。的是一种不可靠、无连接的的数据报传输服务。不可靠不可靠（unreliable)：不能保证一个：不能保证一个IP数据报成功地到数据报成功地到达其目的地。达其目的地。无连接无连接（connectionless)：IP并不维护关于连续发送的并不维护关于连续发送的数据报的任何状态信息。数据报的任何状态信息。17电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处IPv4的缺陷的缺陷缺

9、乏对通信双方身份真实性的鉴别能力缺乏对通信双方身份真实性的鉴别能力缺乏对传输数据的完整性和机密性保护的机制缺乏对传输数据的完整性和机密性保护的机制IP的分组和重组机制不完善的分组和重组机制不完善由于由于IP地址可软件配置，地址可软件配置，IP地址的表示不需要真实并地址的表示不需要真实并确认真假，以及基于源确认真假，以及基于源IP地址的鉴别机制，地址的鉴别机制，IP层存在：层存在：业务流被监听和捕获、业务流被监听和捕获、IP地址欺骗、信息泄露和数据地址欺骗、信息泄露和数据项篡改等攻击、项篡改等攻击、IP碎片攻击，源路由攻击，碎片攻击，源路由攻击，IP包伪造，包伪造，Ping Flooding和和

10、Ping of Death等大量的攻击等大量的攻击18电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处IPsec网络层安全性网络层安全性需求：身份鉴别、数据完整性和保密性需求：身份鉴别、数据完整性和保密性好处：对于应用层透明好处：对于应用层透明弥补弥补IPv4在协议设计时缺乏安全性考虑的不足在协议设计时缺乏安全性考虑的不足19电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处IPsec的历史的历史1994年年IET

11、F专门成立专门成立IP安全协议安全协议工作组工作组，来，来制定和推制定和推动一套称为动一套称为IPsec的的IP安全协议标准。安全协议标准。1995年年8月公布了一系列关于月公布了一系列关于IPSec的建议标准的建议标准1996年，年，IETF公布下一代公布下一代IP的标准的标准IPv6，把鉴别和加，把鉴别和加密作为必要的特征，密作为必要的特征，IPsec成为其必要的组成部分成为其必要的组成部分1999年底，年底，IETF安全工作组完成了安全工作组完成了IPsec的扩展，在的扩展，在IPSec协议中加上协议中加上ISAKMP(Internet Security Association and

12、Key Management Protocol)协议，密钥协议，密钥分配协议分配协议IKE、Oakley。ISAKMP/IKE/Oakley支持自支持自动建立加密、鉴别信道，以及密钥的自动安全分发和动建立加密、鉴别信道，以及密钥的自动安全分发和更新。更新。2005年底，对年底，对IPsec所采用和支持的算法等特性又进行所采用和支持的算法等特性又进行了新的修订，公布了一系列新的了新的修订，公布了一系列新的IPsec标准。标准。20电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处IPsec的应用方式的应用方

13、式端到端（端到端（end-end）：）：主机到主机的安全通信主机到主机的安全通信端到路由（端到路由（end-router）：）：主机到路由设备之主机到路由设备之间的安全通信间的安全通信路由到路由（路由到路由（router-router）：）：路由设备之间路由设备之间的安全通信，常用于在两个网络之间建立虚拟的安全通信，常用于在两个网络之间建立虚拟私有网（私有网（VPN）。）。21电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处IPsec的文档的文档IPsec包含三个系列的文档包含三个系列的文档：第一系列的

14、文档重要的有第一系列的文档重要的有1995年发布的年发布的RFC 1825、RFC 1826、RFC 1827、RFC 1827、RFC 1829。第二系列的文档包括第二系列的文档包括1998年发布的年发布的RFC2401RFC2412，重要的有，重要的有RFC2401、RFC2402、RFC2406和和RFC2408。最新系列的文档发布于最新系列的文档发布于2005年，包括年，包括RFC4301RFC4309。22电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处最新系列最新系列IPsec文档的组成文档

15、的组成23电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处IPsec的内容的内容协议部分，分为协议部分，分为AH:Authentication HeaderESP:Encapsulating Security Payload密钥管理密钥管理(Key Management)SA(Security Association)IKEv2是目前正式确定用于是目前正式确定用于IPsec的密钥交换协议的密钥交换协议24电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所

16、有版权所有,引用请注明出处引用请注明出处说明说明IPSec在在IPv6中是强制的，在中是强制的，在IPv4中是可选的中是可选的,这两种情况下都是采用在主这两种情况下都是采用在主IP报头后面接续扩报头后面接续扩展报头的方法实现的。展报头的方法实现的。AH(Authentication Header)是鉴别的扩展报头是鉴别的扩展报头ESP header(Encapsulating Security Payload)是实现加密和鉴别是实现加密和鉴别(可选可选)的扩展报头的扩展报头25电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请

17、注明出处引用请注明出处安全关联安全关联SA(Security Association)SA是是IP鉴别和保密机制中最关键的概念。鉴别和保密机制中最关键的概念。一个关联就是发送与接收者之间的一个单向关系一个关联就是发送与接收者之间的一个单向关系，是，是与给定的一个网络连接或一组网络连接相关联的安全与给定的一个网络连接或一组网络连接相关联的安全信息参数集合信息参数集合如果需要一个对等关系，即双向安全交换，则需要两如果需要一个对等关系，即双向安全交换，则需要两个个SA。每个每个SA通过三个参数来标识通过三个参数来标识 安全参数索引安全参数索引SPI(Security Parameters Index

18、)对方对方IP地址地址安全协议标识安全协议标识:AH or ESP26电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处SAD定义了定义了SA参数参数序号计数器：一个序号计数器：一个64位值，用于生成位值，用于生成AH或或ESP头中的序号字头中的序号字段；段；计数器溢出位：一个标志位表明该序数计数器是否溢出，如计数器溢出位：一个标志位表明该序数计数器是否溢出，如果是，将生成一个审计事件，并禁止本果是，将生成一个审计事件，并禁止本SA的的分组继续传送。的的分组继续传送。抗重放窗口：用于确定一个入站的抗重放窗

19、口：用于确定一个入站的AH或或ESP包是否是重放包是否是重放AH信息：鉴别算法、密钥、密钥生存期以及相关参数信息：鉴别算法、密钥、密钥生存期以及相关参数ESP信息：加密和鉴别算法、密钥、初始值、密钥生存期、信息：加密和鉴别算法、密钥、初始值、密钥生存期、以及以及相关相关参数参数SA的生存期：一个时间间隔或字节计数，到时间后的生存期：一个时间间隔或字节计数，到时间后，一个，一个SA必须用一个新的必须用一个新的SA替换或终止，并指示哪个操作发生的指示。替换或终止，并指示哪个操作发生的指示。IPSec协议模式：隧道、协议模式：隧道、传输传输路径路径MTU：不经分片可传送的分组最大长度和老化变量：不经

20、分片可传送的分组最大长度和老化变量27电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处AH(Authentication Header)为为IP包提供数据完整性和鉴别功能包提供数据完整性和鉴别功能利用利用MAC码实现鉴别，双方必须共享一个密钥码实现鉴别，双方必须共享一个密钥鉴别算法由鉴别算法由SA指定指定鉴别的范围：整个包鉴别的范围：整个包两种鉴别模式：两种鉴别模式：传输模式：不改变传输模式：不改变IP地址，插入一个地址，插入一个AH隧道模式：生成一个新的隧道模式：生成一个新的IP头，把头，把AH和原来

21、的和原来的整个整个IP包放到新包放到新IP包的净荷数据中包的净荷数据中28电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处IPsec Authentication Header29电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处AH处理过程处理过程(1)AH定位定位在在IP头之后，在上层协议数据之前头之后，在上层协议数据之前鉴别算法鉴别算法计算计算ICV或者或者MAC对于发出去的包对于发出去的包(Outbound

22、 Packet)的处理，构造的处理，构造AH查找查找SA产生序列号产生序列号计算计算ICV(Integrity Check Value)内容包括：内容包括：IP头中部分域、头中部分域、AH自身、上层协议数据自身、上层协议数据分片分片30电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处AH处理过程处理过程(2)对于接收到的包对于接收到的包(Inbound Packet)的处理的处理分片装配分片装配查找查找SA依据：目标依据：目标IP地址、地址、AH协议、协议、SPI检查序列号检查序列号(可选，针对重放攻击

23、可选，针对重放攻击)使用一个滑动窗口来检查序列号的重放使用一个滑动窗口来检查序列号的重放ICV检查检查31电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处ICV/MAC计算计算MAC计算所有变化的字段填计算所有变化的字段填0后参与运算后参与运算源和目的地址都是受保护的，可防地址欺骗源和目的地址都是受保护的，可防地址欺骗32电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处ICV/MAC算法算法RFC4305规定必须

24、实现的完整性算法是规定必须实现的完整性算法是 HMAC-SHA1-96 RFC2404，应该实现的完整性算法是，应该实现的完整性算法是AES-XCBC-MAC-96 RFC3566，可以实现，可以实现HMAC-MD5-96RFC2403。HMAC-SHA1-96和和 HMAC-MD5-96都使用了基于都使用了基于SHA-1或者或者MD5的的HMAC算法，计算全部算法，计算全部HMAC值，值，然后取前然后取前96位。位。AES-XCBC-MAC-96算法是使用算法是使用1个个1和多个和多个0填充的基填充的基本本CBC-MAC的变体，的变体，AES-XCBC-MAC-96 的计算使的计算使用用12

25、8位密钥长度的位密钥长度的AES。33电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处AH两种模式示意图两种模式示意图IPv434电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处AH两种模式示意图两种模式示意图IPv635电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处ESP(Encapsulating Security

26、Payload)提供保密功能，包括报文内容的机密性和有限的提供保密功能，包括报文内容的机密性和有限的通信量的机密性，也可以提供鉴别服务（可选）通信量的机密性，也可以提供鉴别服务（可选）将需要保密的用户数据进行加密后再封装到一个将需要保密的用户数据进行加密后再封装到一个新的新的IP包中，包中，ESP只鉴别只鉴别ESP头之后的信息头之后的信息加密算法和鉴别算法由加密算法和鉴别算法由SA指定指定也有两种模式：传输模式和隧道模式也有两种模式：传输模式和隧道模式36电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处

27、IPsec ESP格式格式37电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处 ESP的算法和实现要求的算法和实现要求38电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处ESP的传输模式的传输模式39电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处ESP隧道模式隧道模式40电子工业出版社电子工业出版社，信息安全原理与应用信

28、息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处ESP处理过程处理过程(1)ESP头定位头定位加密算法和鉴别算法由加密算法和鉴别算法由SA确定确定对于发出去的包对于发出去的包(Outbound Packet)的处理的处理查找查找SA加密加密封装必要的数据，放到封装必要的数据，放到payload data域中域中不同的模式，封装数据的范围不同不同的模式，封装数据的范围不同增加必要的增加必要的padding数据数据加密操作加密操作产生序列号产生序列号计算计算ICV，注意，针对加密后的数据进行计算，注意，针对加密后的数据进行计算分片分片41电子工业出版社电子

29、工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处ESP处理过程处理过程(2)对于接收到的包对于接收到的包(Inbound Packet)的处理的处理分片装配分片装配查找查找SA依据：目标依据：目标IP地址、地址、ESP协议、协议、SPI检查序列号检查序列号(可选，针对重放攻击可选，针对重放攻击)使用一个滑动窗口来检查序列号的重放使用一个滑动窗口来检查序列号的重放ICV检查检查解密解密根据根据SA中指定的算法和密钥、参数，对于被加密部中指定的算法和密钥、参数，对于被加密部分的数据进行解密分的数据进行解密去掉去掉paddin

30、g重构原始的重构原始的IP包包42电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处SA的组合的组合（1）特定的通信量需要同时调用）特定的通信量需要同时调用AH和和ESP服务服务（2）特定的通信量需要主机之间和防火墙之间）特定的通信量需要主机之间和防火墙之间的服务的服务传输邻接：同一分组应用多种协议，不形成隧传输邻接：同一分组应用多种协议，不形成隧道道循环嵌套：通过隧道实现多级安全协议的应用循环嵌套：通过隧道实现多级安全协议的应用43电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，20

31、10.12010.1 版权所有版权所有,引用请注明出处引用请注明出处鉴别与机密性的组合鉴别与机密性的组合带有鉴别选项的带有鉴别选项的ESP传输邻接传输邻接 使用两个捆绑的传输使用两个捆绑的传输SA，内部是，内部是ESP SA（没（没有鉴别选项），外部是有鉴别选项），外部是AH SA传输隧道束传输隧道束 加密之前进行鉴别更可取加密之前进行鉴别更可取 内部的内部的AH传输传输SA+外部的外部的ESP隧道隧道SA44电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处IPsec密钥管理密钥管理包括密钥的确定和分配

32、。包括密钥的确定和分配。两种方式：两种方式：手工的手工的自动的：自动的：Internet 密钥交换密钥交换IKE（非（非IPSec专用）专用）作用：在作用：在IPsec通信双方之间，建立起共享安全通信双方之间，建立起共享安全参数及验证过的密钥（建立参数及验证过的密钥（建立“安全关联安全关联”），IKE代表代表IPsec对对SA进行协商，并对进行协商，并对SAD数据库数据库进行填充进行填充45电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处IPsec小结小结IPsec在网络层上提供安全服务在网络层上提供安

33、全服务定义了两个协议定义了两个协议AH和和ESPIKE提供了密钥交换功能提供了密钥交换功能通过通过SA把两部分连接起来把两部分连接起来已经发展成为已经发展成为Internet标准标准一些困难一些困难IPsec太复杂太复杂协议复杂性，导致很难达到真正的安全性协议复杂性，导致很难达到真正的安全性管理和配置复杂，使得安全性下降管理和配置复杂，使得安全性下降实现上的兼容性实现上的兼容性攻击：攻击：DOS，网络层之下的协议、之上的协议的弱点，网络层之下的协议、之上的协议的弱点还在进一步完善还在进一步完善46电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权

34、所有版权所有,引用请注明出处引用请注明出处内容提要内容提要TCP/IP基础基础网络层安全网络层安全传输层安全传输层安全47电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处传输层安全传输层安全传输层介绍传输层介绍传输层的安全性传输层的安全性48电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处传输层介绍传输层介绍传输层存在两个协议，传输控制协议传输层存在两个协议，传输控制协议(TCP)和和用户数据报协议用户数据报协议

35、(UDP)TCP 是一个面向连接的协议是一个面向连接的协议UDP是一个非面向连接的协议是一个非面向连接的协议49电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处TCP数据包格式数据包格式50电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处TCP包头包头TCP包头的标记区建立和中断一个基本的包头的标记区建立和中断一个基本的TCP连接连接有三个标记来完成这些过程有三个标记来完成这些过程SYN：同步序列号：同步序列号F

36、IN：发送端没有更多的数据要传输的信号：发送端没有更多的数据要传输的信号ACK：识别数据包中的确认信息：识别数据包中的确认信息 51电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处建立一个建立一个TCP连接连接52电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处结束一个结束一个TCP连接连接53电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注

37、明出处引用请注明出处用户数据报协议用户数据报协议(UDP)传输层协议，为无确认的数据报服务，只是简传输层协议，为无确认的数据报服务，只是简单地接收和传输数据单地接收和传输数据UDP比比TCP传输数据快传输数据快54电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处TCP和和UDP的公认端口的公认端口55电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处传输层安全传输层安全传输层介绍传输层介绍传输层的安全性传输层的安全

38、性56电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处传输层安全措施传输层安全措施依赖于应用依赖于应用(程序程序)对安全保密的需求，以及用对安全保密的需求，以及用户自己的需要户自己的需要.必须的安全服务必须的安全服务:密钥管理密钥管理机密性机密性抗抵赖抗抵赖完整性完整性/身份验证身份验证授权授权57电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处SSL/TLS协议协议1994年年Netscape开发了开发了SSL

39、(Secure Socket Layer)安全套接层协议，专门用于保护安全套接层协议，专门用于保护Web通讯通讯在互联网上访问某些网站时也许你会注意到在浏在互联网上访问某些网站时也许你会注意到在浏览器窗口的下方会显示一个锁的小图标。这个小览器窗口的下方会显示一个锁的小图标。这个小锁表示什么意思呢？它表示该网页被锁表示什么意思呢？它表示该网页被SSL/TLS保保护着。护着。SSL/TLS被设计用来使用被设计用来使用TCP提供一个可靠的端提供一个可靠的端到端安全服务。为两个通讯个体之间提供保密性到端安全服务。为两个通讯个体之间提供保密性和完整性和完整性(身份鉴别身份鉴别)58电子工业出版社电子工业

40、出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处版本和历史版本和历史1.0，不成熟，不成熟2.0，基本上解决了，基本上解决了Web通讯的安全问题通讯的安全问题Microsoft公司发布了公司发布了PCT(Private Communication Technology)，并在，并在IE中支持中支持3.0，1996年发布，增加了一些算法，修改了一些缺陷年发布，增加了一些算法，修改了一些缺陷TLS 1.0(Transport Layer Security传输层安全协议传输层安全协议,也也被称为被称为SSL 3.1)，1997年年

41、IETF发布了发布了Draft，同时，同时，Microsoft宣布放弃宣布放弃PCT，与，与Netscape一起支持一起支持TLS 1.01999年，发布年，发布RFC 2246(The TLS Protocol v1.0)2006年，发布了年，发布了RFC4346（The TLS Protocol v1.1）和）和RFC4366（TLS Extensions）以取代）以取代RFC2246。2008年年8月发布了月发布了RFC5246（The TLS Protocol v1.2）取代取代RFC3268、RFC 4346和和RFC 4366。59电子工业出版社电子工业出版社，信息安全原理与应用信

42、息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处TLS体系结构体系结构60电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处两个主要的协议两个主要的协议TLS记录协议记录协议建立在可靠的传输协议建立在可靠的传输协议(如如TCP)之上之上它提供连接安全性，有两个特点它提供连接安全性，有两个特点保密性，使用了对称加密算法保密性，使用了对称加密算法完整性，使用完整性，使用HMAC算法算法用来封装高层的协议用来封装高层的协议TLS握手协议握手协议客户和服务器之间相互鉴别客

43、户和服务器之间相互鉴别协商加密算法和密钥协商加密算法和密钥它提供连接安全性，有三个特点它提供连接安全性，有三个特点身份鉴别，至少对一方实现鉴别，也可以是双向鉴别身份鉴别，至少对一方实现鉴别，也可以是双向鉴别协商得到的共享密钥是安全的，中间人不能够知道协商得到的共享密钥是安全的，中间人不能够知道协商过程是可靠的协商过程是可靠的61电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处TLS的两个重要概念的两个重要概念TLS连接（连接（connection）一个连接是一个提供一种合适类型服务的传输（一个连接是一个

44、提供一种合适类型服务的传输（OSI分层的定义）。分层的定义）。TLS的连接的连接是点对点的关系。是点对点的关系。连接是暂时的，每一个连接和一个会话关联。连接是暂时的，每一个连接和一个会话关联。TLS会话（会话（session）一个一个TLS会话是在客户与服务器之间的一个关联。会会话是在客户与服务器之间的一个关联。会话由话由Handshake Protocol创建。会话定义了一组可供创建。会话定义了一组可供多个连接共享的密码安全参数。多个连接共享的密码安全参数。会话用以避免为每一个连接提供新的安全参数所需昂会话用以避免为每一个连接提供新的安全参数所需昂贵的协商代价。贵的协商代价。62电子工业出版

45、社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处会话状态会话状态有多个状态与每一个会话相关联有多个状态与每一个会话相关联一旦一个会话建立，就存在一个读或写的当前一旦一个会话建立，就存在一个读或写的当前状态状态在握手协议中，创建了挂起的读写状态在握手协议中，创建了挂起的读写状态成功的握手协议，将挂起状态转变为当前状态成功的握手协议，将挂起状态转变为当前状态63电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处会话状态参数会话状态

46、参数连接端点（连接端点（connection end）：一个连接中的客户端或者服务器端。）：一个连接中的客户端或者服务器端。PRF 算法：用于从主密钥推导密钥的算法。算法：用于从主密钥推导密钥的算法。总体加密算法（总体加密算法（bulk encryption algorithm）：用于加密的算法，）：用于加密的算法，须说明算法的密钥长度、是分组还是流密码，分组密码的分组大须说明算法的密钥长度、是分组还是流密码，分组密码的分组大小。小。MAC算法：用于消息鉴别的算法，须说明算法：用于消息鉴别的算法，须说明MAC算法输出的消息算法输出的消息鉴别码的长度。鉴别码的长度。压缩算法（压缩算法（compr

47、ession algorithm）：用于数据压缩的算法。）：用于数据压缩的算法。主密钥（主密钥（master secret）：连接双方共享的）：连接双方共享的48字节秘密值。字节秘密值。客户端随机数（客户端随机数（client random），客户端提供的），客户端提供的32字节数值。字节数值。服务器端随机数（服务器端随机数（server random），服务器端提供的），服务器端提供的32字节数值。字节数值。64电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处安全参数安全参数客户端写客户端写MAC秘密

48、值（秘密值（client write MAC key）：一个密）：一个密钥，用来对钥，用来对client发送的数据进行发送的数据进行MAC操作。操作。服务器端写服务器端写MAC秘密值（秘密值（server write MAC key）：一个）：一个密钥，用来对密钥，用来对server 发送的数据进行发送的数据进行MAC操作。操作。客户端写密钥（客户端写密钥（client write encryption key）：用于）：用于client 进行数据加密，进行数据加密，server进行数据解密的对称保密密钥。进行数据解密的对称保密密钥。服务器端写密钥（服务器端写密钥（server write e

49、ncryption key）：用于）：用于server 进行数据加密，进行数据加密，client进行数据解密的对称保密密钥。进行数据解密的对称保密密钥。客户端写初始向量（客户端写初始向量（client write IV）。）。服务器端写初始向量（服务器端写初始向量（server write IV）。）。65电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处TLS Record Protocol 具体操作具体操作66电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1

50、 版权所有版权所有,引用请注明出处引用请注明出处TLS记录协议中的操作记录协议中的操作第一步，第一步，fragmentation上层消息的数据被分片成上层消息的数据被分片成214(16384)字节大小的块，字节大小的块，或者更小或者更小第二步，第二步，compression(可选可选)必须是无损压缩，如果数据增加的话，则增加部分必须是无损压缩，如果数据增加的话，则增加部分的长度不超过的长度不超过1024字节字节67电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处 第三步，第三步，MAC 计算：计算：使用

51、共享的密钥使用共享的密钥MAC_write_secret MAC(MAC_write_key，seq_num+TLSCompressed.type+TLSCompressed.version+TLSCompressed.length+TLSCompressed.fragment)；其中：其中：MAC_write_secret:共享的保密密钥共享的保密密钥seq_num:该消息的序列号该消息的序列号TLSCompressed.type:更高层协议用于处理本分段更高层协议用于处理本分段TLSCompressed.length :压缩分段的长度压缩分段的长度TLSCompressed.fragmen

52、t:压缩的分段压缩的分段(无压缩时为明文段无压缩时为明文段)可供选择的可供选择的MAC算法有算法有HMAC-MD5、HMAC-SHA1、HMAC-SHA-256、HMAC-SHA-384和和HMAC-SHA-512。68电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处 第四步第四步,加密加密,可供选择的加密算法：可供选择的加密算法：Block CipherStream Cipher128位的流密码位的流密码RC4和分组密码和分组密码3DES_EDE、128位和位和256位密钥的位密钥的AES。分组密码采

53、用。分组密码采用CBC模式进行计算。模式进行计算。采用采用CBC，算法由，算法由cipher spec指定指定 说明：如果是流密码算法，则不需要说明：如果是流密码算法，则不需要padding69电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处TLS记录格式记录格式内容类型（内容类型（Content Type）：一个）：一个8位字节，封装上层协议的位字节，封装上层协议的类型。类型。协议主从版本号：两个协议主从版本号：两个8位字节，如位字节，如TLS的版本号为的版本号为3，3压缩长度：压缩长度：16位，明文

54、段的长度。位，明文段的长度。70电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处TLS的其他协议的其他协议修改密码规范协议修改密码规范协议警报协议警报协议握手协议握手协议71电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处握手消息的处理过程握手消息的处理过程72电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处TLS握手协议

55、步骤握手协议步骤交换交换Hello消息，商定算法，交换随机数，对会话的重消息，商定算法，交换随机数，对会话的重用进行检查。用进行检查。交换必要的密码参数，允许客户和服务器商定预主密交换必要的密码参数，允许客户和服务器商定预主密钥（钥（premaster secret）。）。交换证书和密码信息，允许客户和服务器相互鉴别。交换证书和密码信息，允许客户和服务器相互鉴别。从预主密钥产生一个主密钥，交换随机数。从预主密钥产生一个主密钥，交换随机数。为记录层提供安全参数。为记录层提供安全参数。允许客户与服务器验证对方得到了同样的安全参数，允许客户与服务器验证对方得到了同样的安全参数，握手协议没有遭到攻击者

56、的攻击。握手协议没有遭到攻击者的攻击。73电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处密钥的产生密钥的产生为了产生记录协议所需要的密钥，使用下面的计算公为了产生记录协议所需要的密钥，使用下面的计算公式：式：key_block=PRF(SecurityParameters.master_secret，“key expansion”，SecurityParameters.server_random+SecurityParameters.client_random)；直到产生足够长的输出。然后从直到产生足

57、够长的输出。然后从key_block中按以下顺中按以下顺序依次取得相应长度的密钥：客户端写序依次取得相应长度的密钥：客户端写MAC密钥、客密钥、客户端读户端读MAC密钥、客户端加密密钥、服务器端加密密密钥、客户端加密密钥、服务器端加密密钥、客户端写钥、客户端写IV和服务器端写和服务器端写IV。74电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处伪随机函数伪随机函数PRF P_hash(secret,seed)=+HMAC_hash(secret,A(1)+seed)+HMAC_hash(secret,A

58、(2)+seed)+HMAC_hash(secret,A(3)+seed)+.这里这里A()定义如下：定义如下：A(0)=seed A(i)=HMAC_hash(secret,A(i-1)伪随机函数伪随机函数PRF(secret,label,seed)=P_(secret,label+seed)这里这里label 是一个是一个ASCII串。串。75电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处TLS安全性安全性目前，几乎所有操作平台上的目前，几乎所有操作平台上的Web浏览器（浏览器（IE、Netsca

59、pe）以及流行的）以及流行的Web服务器（服务器（IIS、Netscape Enterprise Server等）都支持等）都支持TLS协议。协议。使用该协议便宜且开发成本小。使用该协议便宜且开发成本小。76电子工业出版社电子工业出版社，信息安全原理与应用信息安全原理与应用，2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处参考文献参考文献王昭，袁春编著，信息安全原理与应用，电子工业出版王昭，袁春编著，信息安全原理与应用，电子工业出版社，北京，社，北京，2010，1William Stallings,Cryptography and network security:principles and practice,Second Edition冯登国，计算机通信网络安全，清华大学出版社，冯登国，计算机通信网络安全，清华大学出版社，2001京京工作室译京京工作室译，IPSec:新一代因特网安全标准新一代因特网安全标准/(美美)Doraswamy N.,Harkins D.,机械工业出版社机械工业出版社，2000.1“SSL v3 spec”,Openssl,77