SSL-VPN原理.ppt

《SSL-VPN原理.ppt》由会员分享，可在线阅读，更多相关《SSL-VPN原理.ppt（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、SSL VPNSSL VPN原理原理ISSUE 2.0日期：杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播n随着随着VPN技术的发展，技术的发展，L2TP和和IPSEC的缺陷日益突的缺陷日益突出，急需一种新型的出，急需一种新型的VPN代替，代替，SSL VPN就是在这就是在这样的条件下诞生！样的条件下诞生！引入引入n了解了解SSL原理和体系结构原理和体系结构n掌握掌握SSL记录和握手协议记录和握手协议课程目标课程目标学习完本课程，您应该能够：学习完本课程，您应该能够：nSSL简介简介nSSL体系结构体系结构nSSL记录协议记录协议nSSL握手协议握手协议目录目录4SSL 概述概述l

2、SSL（Secure Socket Layer）安全套接层是一种）安全套接层是一种运行在两台机器之间的安全通道协议；也可以运行运行在两台机器之间的安全通道协议；也可以运行在在SSL代理和代理和PC之间；之间；l功能：保护传输数据（加密），识别通信机器（认功能：保护传输数据（加密），识别通信机器（认证）；证）；lSSL提供的安全通道是透明的，几乎所有基于提供的安全通道是透明的，几乎所有基于TCP的协议稍加改动就可以直接运行于的协议稍加改动就可以直接运行于SSL之上；之上；l目前，目前，IETF将将SSL作了标准化作了标准化，推出，推出TLS传输层安传输层安全协议（全协议（RFC 2246）整合取

3、代，它工作在）整合取代，它工作在TCP之上。之上。TLS1.0与与SSL3.0的差别非常微小。的差别非常微小。5SSL在协议栈的位置在协议栈的位置TCPUDPIPSSLApplicationTCPUDPIPSSLA6SSL协议组成协议组成l握手协议：握手协议：对服务器进行认证；确立用于保护数据传输的加密密钥；l记录协议：记录协议：传输数据；lSSL连接分为两个阶段，即握手和数据传输阶段；连接分为两个阶段，即握手和数据传输阶段；传输任何应用数据之前必须先完成握手。传输任何应用数据之前必须先完成握手。nSSL简介简介nSSL体系结构体系结构nSSL记录协议记录协议nSSL握手协议握手协议目录目录8

4、SSL体系结构体系结构密密钥钥改改变变协协议议记录层协议记录层协议握握手手协协议议告告警警协协议议SSL API握握 手手层层记记 录录层层ApplicationTCPSSL层层nSSL简介简介nSSL体系结构体系结构nSSL记录协议记录协议nSSL握手协议握手协议目录目录10SSL记录层的功能记录层的功能l保护传输数据的私密性，对数据进行加密和保护传输数据的私密性，对数据进行加密和解密解密l验证传输数据的完整性，计算报文的摘要验证传输数据的完整性，计算报文的摘要l提高传输数据的效率，对报文进行压缩提高传输数据的效率，对报文进行压缩l保证数据传输的可靠和有序保证数据传输的可靠和有序11SSL记

5、录层的工作流程记录层的工作流程应用模块TCP分片压缩加密记录层应用模块TCP解压解密记录层12SSL记录层的报文格式记录层的报文格式加密数据加密数据加密数据加密数据报文类型报文类型报文类型报文类型版本版本版本版本长度长度长度长度长度（字节）1字节2字节2字节记录层报文：nSSL简介简介nSSL体系结构体系结构nSSL记录协议记录协议nSSL握手协议握手协议目录目录14SSL握手协议的功能握手协议的功能l协商协商SSL协议的版本协议的版本l协商加密套件协商加密套件l协商密钥参数协商密钥参数l验证通讯双方的身份验证通讯双方的身份(可选可选)l建立建立SSL连接连接15SSL握手协议的握手过程握手协

6、议的握手过程l无客户端认证的全握手过程无客户端认证的全握手过程l会话恢复过程会话恢复过程l有客户端认证的全握手过程有客户端认证的全握手过程16无客户端认证的全握手过程无客户端认证的全握手过程InternetclientserverClientHelloServerHelloServerCertificate*ServerKeyExchange*ServerHelloDone*ClientKeyExchangeChangeCipherSpecFinishedChangeCipherSpecFinishedApplication DataApplication Data客户端支持的最高版本，加密套

7、件列表，压缩算法列表客户端支持的最高版本，加密套件列表，压缩算法列表,客户端随机数，客户端随机数，会话会话ID=0服务器同意的版本，加密套件，压缩算法服务器同意的版本，加密套件，压缩算法,会话会话ID,服务器端随机数服务器端随机数服务器的证书服务器的证书服务器端密钥交换的附加信息服务器端密钥交换的附加信息通知对方服务器端握手消息发完通知对方服务器端握手消息发完客户端产生的客户端产生的PreMasterKey密钥参数密钥参数通知对方本端开始启用加密参数通知对方本端开始启用加密参数通知对方本端开始启用加密参数通知对方本端开始启用加密参数发送自己计算握手过程验证报文发送自己计算握手过程验证报文发送自

8、己计算握手过程验证报文发送自己计算握手过程验证报文传送应用层数据传送应用层数据17会话恢复过程会话恢复过程InternetclientserverClientHelloServerHelloChangeCipherSpecFinishedChangeCipherSpecFinishedApplication DataApplication Data上次协商的版本、加密套件、压缩算法、上次协商的版本、加密套件、压缩算法、客户端随机数，上次客户端随机数，上次SSL连连接的会话接的会话ID服务器同意的版本，加密套件，压缩算法服务器同意的版本，加密套件，压缩算法,会话会话ID,服务器端随机数服务器端随

9、机数通知对方本端开始启用加密参数通知对方本端开始启用加密参数通知对方本端开始启用加密参数通知对方本端开始启用加密参数发送自己计算握手过程验证报文发送自己计算握手过程验证报文发送自己计算握手过程验证报文发送自己计算握手过程验证报文传送应用层数据传送应用层数据18有客户端认证的全握手过程有客户端认证的全握手过程InternetclientserverClientHelloServerHelloServerCertificate*ServerKeyExchange*ServerHelloDone*ClientKeyExchangeChangeCipherSpecFinishedChangeCipherSpecFinishedApplication DataApplication Data客户端的证书客户端的证书前面所有握手消息的数字签名前面所有握手消息的数字签名传送应用层数据CertificateRequest*向客户端索要证书向客户端索要证书Certificate*CertificateVerify*n介绍介绍SSLSSL概念和体系结构概念和体系结构n介绍介绍SSLSSL记录层和握手层的协议记录层和握手层的协议本章总结本章总结杭州华三通信技术有限公司