SSL VPN原理 ISSUE 2 0 日期 杭州华三通信技术有限公司 版权所有 未经授权不得使用与传播 n 随着VPN技术的发展 L2TP和IPSEC的缺陷日益突 出 急需一种新型的VPN代替 SSL VPN就是在这 样的条件下诞生 引入 n 了解SSL原理和体系结构 n 掌握SSL记录和握手协议 课程目标 学习完本课程 您应该能够 n SSL简介 n SSL体系结构 n SSL记录协议 n SSL握手协议 目录 5 SSL 概述 l SSL Secure Socket Layer 安全套接层是一种 运行在两台机器之间的安全通道协议 也可以运行 在SSL代理和PC之间 l 功能 保护传输数据 加密 识别通信机器 认 证 l SSL提供的安全通道是透明的 几乎所有基于TCP 的协议稍加改动就可以直接运行于SSL之上 l 目前 IETF将SSL作了标准化 推出TLS传输层安 全协议 RFC 2246 整合取代 它工作在TCP之上 TLS1 0与SSL3 0的差别非常微小 6 SSL在协议栈的位置 TCPUDP IP SSL Application TCPUDP IP SSL Application 7 SSL协议组成 l 握手协议 对服务器进行认证 确立用于保护数据传输的加密密钥 l 记录协议 传输数据 l SSL连接分为两个阶段 即握手和数据传输阶段 传输任何应用数据之前必须先完成握手 n SSL简介 n SSL体系结构 n SSL记录协议 n SSL握手协议 目录 9 SSL体系结构 密钥改变协议 记录层协议 握手协议 告警协议 SSL API 握手 层 记录层 Application TCP SSL 层 n SSL简介 n SSL体系结构 n SSL记录协议 n SSL握手协议 目录 11 SSL记录层的功能 l 保护传输数据的私密性 对数据进行加密 和解密 l 验证传输数据的完整性 计算报文的摘要 l 提高传输数据的效率 对报文进行压缩 l 保证数据传输的可靠和有序 12 SSL记录层的工作流程 应用模块 TCP 分片压缩加密 记录层 应用模块 TCP 解压解密 记录层 13 SSL记录层的报文格式 加密数据加密数据报文类型 报文类型版本版本长度长度 长度 字节 1字节2字节2字节 记录层报文 n SSL简介 n SSL体系结构 n SSL记录协议 n SSL握手协议 目录 15 SSL握手协议的功能 l 协商SSL协议的版本 l 协商加密套件 l 协商密钥参数 l 验证通讯双方的身份 可选 l 建立SSL连接 16 SSL握手协议的握手过程 l 无客户端认证的全握手过程 l 会话恢复过程 l 有客户端认证的全握手过程 17 无客户端认证的全握手过程 Internet client server ClientHello ServerHello ServerCertificate ServerKeyExchange ServerHelloDone ClientKeyExchange ChangeCipherSpec Finished ChangeCipherSpec Finished Application Data Application Data 客户端支持的最高版本 加密套件列表 压缩算法列表 客户端随机数 会话ID 0 服务器同意的版本 加密套件 压缩算法 会话ID 服务器端随机数 服务器的证书 服务器端密钥交换的附加信息 通知对方服务器端握手消息发完 客户端产生的PreMasterKey密钥参数 通知对方本端开始启用加密参数 通知对方本端开始启用加密参数 发送自己计算握手过程验证报文 发送自己计算握手过程验证报文 传送应用层数据 18 会话恢复过程 Internet client server ClientHello ServerHello ChangeCipherSpec Finished ChangeCipherSpec Finished Application Data Application Data 上次协商的版本 加密套件 压缩算法 客户端随机数 上次SSL连 接的会话ID 服务器同意的版本 加密套件 压缩算法 会话ID 服务器端随机数 通知对方本端开始启用加密参数 通知对方本端开始启用加密参数 发送自己计算握手过程验证报文 发送自己计算握手过程验证报文 传送应用层数据 19 有客户端认证的全握手过程 Internet client server ClientHello ServerHello ServerCertificate ServerKeyExchange ServerHelloDone ClientKeyExchange ChangeCipherSpec Finished ChangeCipherSpec Finished Application Data Application Data 客户端的证书 前面所有握手消息的数字签名 传送应用层数据 CertificateRequest 向客户端索要证书 Certificate CertificateVerify n 介绍SSL概念和体系结构 n 介绍SSL记录层和握手层的协议 本章总结 杭州华三通信技术有限公司