安全协议IPSec、SSL、SSH
2016-10-09 18:23
351 查看
IPSec(网络层):
IPSec在数据包三层头部(IP头部)和四层头部之间插入一个预定义的IPSec头部,对OSI上层协议数据提供保护。IPSec没有定义具体加密算法和散列函数,仅提供一种框架结构。有ESP(IP协议50)和AH(IP协议51)两种封装协议。ESP为数据提供加密、完整性和源认证三个方面的保护,能够抵御重放攻击。不对原始IP头部进行安全防护。
AH为数据提供完整性和源认证,能够抵御重放攻击。AH对数据完整性验证的范围更广,包含原始IP头部。
IPSec有两种数据封装模式:传输模式和隧道模式。
传输模式将在原始IP头部和IP负载之间插入一个ESP头部,追加ESP尾部和ESP验证数据部分,对IP负载和ESP尾部进行加密和验证处理,原始IP头部被保留。当加密点等于通信点,通信设备地址是可路由的情况。
隧道模式将把整个原始IP数据包封装到一个新的IP数据包中,并在新IP头和原始IP头中插入ESP头部,以对整个原始IP数据包进行加密和验证。当加密点不等于通信点,或者说IP地址不可路由(IP数据包的源和目的地址为私有地址)时使用隧道模式。
SSL协议:(传输层)
SSL协议栈位置介于TCP和应用层之间,分为SSL记录协议层和SSL握手协议层。其中SSL握手协议层又分为SSL握手协议、SSL密钥更改协议和SSL警告协议。SSL握手协议作用是在通信双方之间协商出密钥,SSL记录层的作用是定义如何对上层的协议进行封装。SSL记录协议将数据块进行拆分压缩,计算消息验证码,加密,封装记录头然后进行传输。SSL握手:
1、 初始化阶段。客户端创建随机数,发送ClientHello 将随机数连同自己支持的协议版本、加密算法和压缩算法发送给服务器。服务器回复ServerHello将自己生成的随机数连同选择的协议版本、加密算法和压缩算法给客户端。
2、 认证阶段。服务器发送ServerHello的同时可能将包含自己公钥的证书发送给客户端(Certificate),并请求客户端的证书(Certificate Request)。
3、 密钥协商阶段。客户端验证证书,如果收到Certificate Request则发送包含自己公钥的证书,同时对此前所有握手消息进行散列运算,并使用加密算法进行加密发送给服务器。同时,创建随机数pre-master-secret并使用服务器公钥进行加密发送。服务器收到这个ClientKeyExchange之后解密得到pre-master-secret。服务器和客户端利用1阶段的随机数,能够计算得出master-secret。
4、 握手终止。服务器和客户端分别通过ChangeCipherSpec消息告知伺候使用master-secret对连接进行加密和解密,并向对方发送终止消息(Finished)。
HTTPS(Hypertext TransferProtocol over Secure Socket Layer,基于SSL的HTTP协议),端口443,需要向CA申请证书,通过SSL握手建立安全通道,利用协商密钥对数据进行对称加密通信。
SSH协议(会话层)
SSH协议由下到上分为SSH传输层协议、SSH用户认证协议、SSH连接协议。传输层协议:在通信双方之间建立一条安全的加密通道。包括版本协商和算法协商与密钥交换。
用户认证协议:用户发送请求认证,服务器对用户进行认证。
连接协议:客户端完成认证后可以发起请求建立会话通道。
相关文章推荐
- 常见互联网安全协议-ssh,ssl
- 安全传输协议SSL和TLS及WTLS的原理
- java安全(八)终极装备——HTTPS协议之SSL/TLS协议
- CA加密,网络安全HTTPS SSL-安全传输协议SSL和TLS及WTLS的原理
- 利用openssl实现SSL安全通讯协议(一)
- 安全外壳协议(SSH)--网络大典
- 安全外壳协议 ssh
- TLS/SSL 协议详解(3) 运用密码学原理构建安全信道1
- 用HTTPS:超文本安全传输协议访问时的SSL/TSL的认证过程
- TLS/SSL 协议详解 (4) 运用密码学原理构建安全信道2
- SSL ***与IPSec ***之安全区别
- 【安全牛学习笔记】SSH远程端口转发和动态端口转发以及X协议转发
- SSL和SSH协议简单介绍。
- 利用openssl实现SSL安全通讯协议(二)
- TLS/SSL 协议详解 (5) 运用密码学原理构建安全信道3
- IP层协议安全结构(IPsec)--网络大典
- Java SSL/TLS 安全通讯协议(SSLSocket)
- 安全传输协议SSL和TLS及WTLS的原理