安全协议IPSec、SSL、SSH

IPSec(网络层):

         IPSec在数据包三层头部(IP头部)和四层头部之间插入一个预定义的IPSec头部,对OSI上层协议数据提供保护。IPSec没有定义具体加密算法和散列函数,仅提供一种框架结构。有ESP(IP协议50)和AH(IP协议51)两种封装协议。


         ESP为数据提供加密、完整性和源认证三个方面的保护,能够抵御重放攻击。不对原始IP头部进行安全防护。

         AH为数据提供完整性和源认证,能够抵御重放攻击。AH对数据完整性验证的范围更广,包含原始IP头部。

         IPSec有两种数据封装模式:传输模式和隧道模式。

         传输模式将在原始IP头部和IP负载之间插入一个ESP头部,追加ESP尾部和ESP验证数据部分,对IP负载和ESP尾部进行加密和验证处理,原始IP头部被保留。当加密点等于通信点,通信设备地址是可路由的情况。


         隧道模式将把整个原始IP数据包封装到一个新的IP数据包中,并在新IP头和原始IP头中插入ESP头部,以对整个原始IP数据包进行加密和验证。当加密点不等于通信点,或者说IP地址不可路由(IP数据包的源和目的地址为私有地址)时使用隧道模式。

 

SSL协议:(传输层)

         SSL协议栈位置介于TCP和应用层之间,分为SSL记录协议层和SSL握手协议层。其中SSL握手协议层又分为SSL握手协议、SSL密钥更改协议和SSL警告协议。SSL握手协议作用是在通信双方之间协商出密钥,SSL记录层的作用是定义如何对上层的协议进行封装。SSL记录协议将数据块进行拆分压缩,计算消息验证码,加密,封装记录头然后进行传输。

 

SSL握手:

1、  初始化阶段。客户端创建随机数,发送ClientHello 将随机数连同自己支持的协议版本、加密算法和压缩算法发送给服务器。服务器回复ServerHello将自己生成的随机数连同选择的协议版本、加密算法和压缩算法给客户端。

2、  认证阶段。服务器发送ServerHello的同时可能将包含自己公钥的证书发送给客户端(Certificate),并请求客户端的证书(Certificate Request)。

3、  密钥协商阶段。客户端验证证书,如果收到Certificate Request则发送包含自己公钥的证书,同时对此前所有握手消息进行散列运算,并使用加密算法进行加密发送给服务器。同时,创建随机数pre-master-secret并使用服务器公钥进行加密发送。服务器收到这个ClientKeyExchange之后解密得到pre-master-secret。服务器和客户端利用1阶段的随机数,能够计算得出master-secret。

4、  握手终止。服务器和客户端分别通过ChangeCipherSpec消息告知伺候使用master-secret对连接进行加密和解密,并向对方发送终止消息(Finished)。



HTTPS(Hypertext TransferProtocol over Secure Socket Layer,基于SSL的HTTP协议),端口443,需要向CA申请证书,通过SSL握手建立安全通道,利用协商密钥对数据进行对称加密通信。


SSH协议(会话层)

         SSH协议由下到上分为SSH传输层协议、SSH用户认证协议、SSH连接协议。


         传输层协议:在通信双方之间建立一条安全的加密通道。包括版本协商和算法协商与密钥交换。

         用户认证协议:用户发送请求认证,服务器对用户进行认证。

         连接协议:客户端完成认证后可以发起请求建立会话通道。


阅读更多
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/u010726042/article/details/52769242
文章标签: 安全
想对作者说点什么? 我来说一句

IPSec 协议详解

2008年09月12日 3.24MB 下载

没有更多推荐了,返回首页

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭