網(wǎng)絡(luò)與內(nèi)容安全互聯(lián)網(wǎng)安全協(xié)議

第七章

互聯(lián)網(wǎng)安全協(xié)議馬占宇信通院模式識別實驗室第七章互聯(lián)網(wǎng)安全協(xié)議

1網(wǎng)絡(luò)安全協(xié)議概述IPSec協(xié)議SSL和TLS協(xié)議系統(tǒng)的安全威脅安全威脅說明竊聽攻擊者獲得敏感信息重傳攻擊者實現(xiàn)獲得信息，再發(fā)送給接收者偽造攻擊者偽造信息發(fā)給接收者篡改攻擊者修改信息，再發(fā)送給接收者拒絕服務(wù)攻擊攻擊者使系統(tǒng)響應(yīng)變緩慢或癱瘓行為否認否認發(fā)生的行為非授權(quán)訪問假冒、身份攻擊、非法用戶傳播病毒通過網(wǎng)絡(luò)傳播計算機病毒網(wǎng)絡(luò)安全的目標(biāo)目標(biāo)內(nèi)容身份真實性對通信實體的身份進行鑒別信息機密性機密信息不會泄漏給非授權(quán)的人信息完整性保證數(shù)據(jù)的一致性服務(wù)可用性保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)木芙^不可否認性責(zé)任機制，防止實體否認行為系統(tǒng)可控性控制使用資源的實體的使用方式系統(tǒng)易用性滿足安全的前提下操作簡單方便可審查性對網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段目標(biāo)實現(xiàn)條件先進的技術(shù)嚴(yán)格的管理法律約束安全教育Internet的安全風(fēng)險安全問題的表現(xiàn)IPspoofingPacketsniffing……安全問題的原因缺乏安全機制如IPv4安全意識淡薄安全知識的欠缺偵聽到的數(shù)據(jù)還原的消息Internet安全協(xié)議網(wǎng)絡(luò)安全協(xié)議的目標(biāo)是提供數(shù)據(jù)的機密性、完整性及通信雙方的認證Internet安全協(xié)議是在原有網(wǎng)絡(luò)協(xié)議的各個層面增加安全機制，或在原有網(wǎng)絡(luò)層之間加入一個中間層安全協(xié)議，如：TheIPEncapsulatingSecurityPayload(ESP)TheInternetProtocolSecurity(IPSec)TheSecureSocketsLayer(SSL)protocoltheTransportLayerSecurityprotocol(TLS)TheSecureHyperTextTransferProtocol(S-HTTP)Internet層次結(jié)構(gòu)Internet協(xié)議棧InternetProtocol:IPv4提供節(jié)點間可靠傳輸除了IP,還有ICMP(InternetControlMessageProtocol),IGMP(InternetGroupMembershipProtocol)Internetprotocolsuite由2個不同的傳輸協(xié)議組成：

TransmissionControlProtocol(TCP)在IP之上提供傳輸可靠.UserDatagramProtocol(UDP)組播傳輸、以及不在意可靠性的傳輸方式

用戶數(shù)據(jù)經(jīng)過協(xié)議棧的封裝Internet相關(guān)標(biāo)準(zhǔn)TheInternetEngineeringTaskForce(IETF):OpenSpecificationforPrettyGoodPrivacy(OPENPGP)AuthenticatedFirewallTraversal(AFT)CommonAuthenticationTechnology(CAT)DomainNameSystemSecurity(DNSSEC)IPSecurityProtocol(IPSEC)OneTimePasswordAuthentication(OTP)Public-KeyInfrastructure(X.509)(PKIX)S/MIMEMailSecurity(SMIME)SecureShell(SECSH)SimplePublic-KeyInfrastructure(SPKI)TransportLayerSecurity(TLS)WebTransactionSecurity(WTS)RequestforComments(RFCs):Internet-DraftsIP協(xié)議議族族常用用網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全協(xié)協(xié)議議–應(yīng)用用層層S-HTTP：SecureHTTP，保保證證Web的安安全全，，由由EIT開發(fā)發(fā)的的協(xié)協(xié)議議。。該該協(xié)協(xié)議議利利用用MIME，基基于于文文本本進進行行加加密密、、報報文文認認證證和和密密鑰鑰分分發(fā)發(fā)等等SSH：SecureSHell，是是對對BSD系列列的的UNIX的r系列列命命令令加加密密所所采采用用的的安安全全技技術(shù)術(shù)PGP：：PrettyGoodPrivacy，具具有有加加密密及及簽簽名名功功能能的的電電子子郵郵件件例:網(wǎng)上上銀銀行行httpsNetscape開發(fā)發(fā)并并內(nèi)內(nèi)置置于于其其瀏瀏覽覽器器中中，，HTTPS實際際上上應(yīng)應(yīng)用用了了Netscape的完完全全套套接接字字層層（（SSL）作作為為HTTP應(yīng)用用層層的的子子層層。。（（HTTPS使用用端端口口443，而而不不是是象象HTTP那樣使用端口口80來和TCP/IP進行通信）常用網(wǎng)絡(luò)安全全協(xié)議–傳輸層SSL:SecureSocketLayer，是基于Web服務(wù)器和瀏覽覽器之間的具具有加密、報報文認證、簽簽名驗證和密密鑰分配功能能的加密協(xié)議議TLS:TransportLayerSecurity（IEEE標(biāo)準(zhǔn)），是將將SSL通用化的協(xié)議議SOCKS5是基于防火墻墻和虛擬專用用網(wǎng)（VPN）的數(shù)據(jù)加密密和認證協(xié)議議常用網(wǎng)絡(luò)安全全協(xié)議–網(wǎng)絡(luò)層IPSec：InternetProtocolSecurity（IEEE標(biāo)準(zhǔn)），為通通信提供機密密性、完整性性等常用網(wǎng)絡(luò)安全全協(xié)議–鏈路層PPTP：PointtoPointTunnelingProtocol，點對點隧道道協(xié)議L2F：Layer2Forwarding，二層轉(zhuǎn)發(fā)/隧道協(xié)議L2TP：Layer2TunnelingProtocol，二層隧道協(xié)協(xié)議，綜合了了PPTP和L2F的協(xié)議Ethernet，WAN鏈路加密設(shè)備備網(wǎng)絡(luò)安全協(xié)議議概述IPSec協(xié)議SSL和TLS協(xié)議第七章互聯(lián)聯(lián)網(wǎng)安全協(xié)議議IPv4(v6)數(shù)據(jù)報缺乏對通信雙雙方身份真實性的鑒別別能力缺乏對傳輸數(shù)數(shù)據(jù)的完整性性和機密性保保護的機制由于IP地址可軟件配配置以及基于于源IP地址的鑒別機機制,IP層存在業(yè)務(wù)流流被監(jiān)聽和捕捕獲、IP地址欺騙、信信息泄露和數(shù)數(shù)據(jù)項篡改等等攻擊19202022/12/29IP包實例例偵聽可可獲取取IP包IP包解析析可還還原消消息IPSec協(xié)議綜綜述IPSec的目的的，就就是要要有效效地保保護IP數(shù)據(jù)包包的安安全。。它提提供了了一種種標(biāo)準(zhǔn)準(zhǔn)的、、強大大的以以及包包容廣廣泛的的機制制，為為IP及上層層協(xié)議議提供供安全全保證證；并并定義義了一一套默默認的的、強強制實實施的的算法法，以以確保保不同同的實實施方方案相相互間間可以以共通通，而而且很很方便便擴展展。IPSec可保障障主機機之間間、安安全網(wǎng)網(wǎng)關(guān)之之間或或主機機與安安全網(wǎng)網(wǎng)關(guān)之之間的的數(shù)據(jù)據(jù)包安安全。。由于于受IPSec保護的的數(shù)據(jù)據(jù)包本本身只只是另另一種種形式式的IP包，所所以完完全可可以嵌嵌套提提供安安全服服務(wù)，，同時時在主主機間間提供供端到到端的的驗證證，并并通過過一個個安全全通道道，將將那些些受IPSec保護的的數(shù)據(jù)據(jù)傳送送出去去。IPSec協(xié)議綜綜述IPSec是一個個工業(yè)業(yè)標(biāo)準(zhǔn)準(zhǔn)網(wǎng)絡(luò)絡(luò)安全全協(xié)議議，它它有兩兩個基基本目目標(biāo)：：保護IP數(shù)據(jù)包包安全全為抵御御網(wǎng)絡(luò)絡(luò)攻擊擊提供供防護護措施施IPSec結(jié)合密密碼保保護服服務(wù)、、安全全協(xié)議議組和和動態(tài)態(tài)密鑰鑰管理理，三三者共共同實實現(xiàn)這這兩個個目標(biāo)標(biāo)。IPSec協(xié)議IPSec的優(yōu)點點主要要有：：（1）IPSec比其他他同類類協(xié)議議具有有更好好的兼兼容性性。（2）比高高層安安全協(xié)協(xié)議（（如SOCKS5）性能能更好好，實實現(xiàn)更更方便便；比比低層層安全全協(xié)議議更能能適應(yīng)應(yīng)通信信介質(zhì)質(zhì)的多多樣性性。（3）系統(tǒng)統(tǒng)開銷銷小。。（4）透明明性好好。（5）管理理方便便。（6）開放放性好好。IPSec保護數(shù)數(shù)據(jù)的的形式式認證：通過過認證證可以以確定定所接接受的的數(shù)據(jù)據(jù)與所所發(fā)送送的數(shù)數(shù)據(jù)是是否一一致，，同時時可以以確定定申請請發(fā)送送者在在實際際上是是真實實的還還是偽偽裝的的發(fā)送送者；；數(shù)據(jù)完完整驗驗證：通過過驗證證，保保證數(shù)數(shù)據(jù)在在從原原發(fā)地地到目目的地地的傳傳送過過程中中沒有有發(fā)生生任何何無法法檢測測的丟丟失與與改變變；保密：使相相應(yīng)的的接受受者能能獲取取發(fā)送送的真真正內(nèi)內(nèi)容，，而無無關(guān)的的接受受者無無法獲獲知數(shù)數(shù)據(jù)的的真正正內(nèi)容容。IPSec的體系系結(jié)構(gòu)構(gòu)兩個通通信協(xié)協(xié)議：：AHESP兩種操操作模模式：：傳輸模模式，，隧道模模式一個密密鑰交交換管管理協(xié)協(xié)議：：IKE兩個數(shù)數(shù)據(jù)庫庫：安全策策略數(shù)數(shù)據(jù)庫庫SPD，安全關(guān)關(guān)聯(lián)數(shù)數(shù)據(jù)庫庫SADIPSec的構(gòu)成成體系結(jié)結(jié)構(gòu)：包括括總體體概念念，安安全需需求，，定義義，以以及定定義IPSec技術(shù)的的機制制；ESP(EncapsulatingSecurityPayload)：：使用ESP進行包包加密密的報報文包包格式式和一一般性性問題題，以以及可可選的的認證證AH(AuthenticationHeader)：：使用ESP進行包包加密密的報報文包包格式式和一一般性性問題題；加密算算法：描述述將各各種不不同加加密算算法用用于ESP的文檔檔認證算算法：描述述將各各種不不同加加密算算法用用于AH以及ESP認證選選項的的文檔檔；DOI(DomainofInterpretation)：：其它相相關(guān)文文檔，，批準(zhǔn)準(zhǔn)的加加密和和認證證算法法標(biāo)識識，以以及運運行參參數(shù)等等；密鑰管管理：描述述密鑰鑰管理理模式式。IPSec的安全全目標(biāo)標(biāo)期望安安全的的用戶戶能夠夠使用用基于于密碼碼學(xué)的的安全全機制制應(yīng)能同同時適適用與與IPv4和IPv6,IPng.算法獨獨立有利于于實現(xiàn)現(xiàn)不同同安全全策略略對沒有有采用用該機機制的的的用用戶不不會有有副面面影響響上述特特征的的支持持在IPv6中是強強制的的，在在IPv4中是可可選的的。采采用在在主IP報頭后后面接接續(xù)擴擴展報報頭的的方法法實現(xiàn)現(xiàn)的。。IPSec在IP層提供供安全全服務(wù)務(wù)，使使得系系統(tǒng)可可以選選擇所所需要要的安安全協(xié)協(xié)議，，確定定該服服務(wù)所所用的的算法法，并并提供供安全全服務(wù)務(wù)所需需任何何加密密密鑰鑰。訪問控控制，，連接接完整整性，，數(shù)據(jù)據(jù)源認認證，，拒絕絕重放放數(shù)據(jù)據(jù)包，，保密密性（（加密密），，有限限27AHESP(僅加密)ESP(加密+認證)訪問控制√√√連接完整性√√數(shù)據(jù)源認證√√拒絕重放包√√√保密性√√有效保密性√√IPSec的工作作過程程IPSec的工作作模式式－傳傳輸模模式IPSec傳輸模模式只只對IP包的數(shù)數(shù)據(jù)部部分進進行加加密在數(shù)據(jù)據(jù)字段段前插插入IPSec認證頭頭，而而對IP包頭不不進行行任何何修改改源地址址和目目標(biāo)地地址暴暴露在在公網(wǎng)網(wǎng)中，，容易易遭到到攻擊擊通常用用于兩兩個終終端節(jié)節(jié)點之之間的的連接接，如如“客戶-服務(wù)器器”當(dāng)采用用AH傳輸模模式時時，主主要為為IP數(shù)據(jù)包包（IP包頭中中的可可變信信息除除外））提供供認證證保護護采用ESP傳輸模模式時時，主主要對對IP數(shù)據(jù)包包的上上層信信息提提供加加密和和認證證雙重重保護護IPSec的工作作模式式－－隧道道模式式對整個個IP包進行行加密密IP包的源源地址址和目目標(biāo)地地址被被有效效地隱隱藏起起來引入IPSec認證頭頭和新新的IP頭標(biāo)，，使IP包能夠夠安全全地在在公用用網(wǎng)絡(luò)絡(luò)上傳傳輸通常用用于兩兩個非非終端端節(jié)點點之間間的連連接，，如“防火墻墻/路由器器—防火墻墻/路由器器”采用AH隧道模模式時時，主主要為為IP數(shù)據(jù)包（IP頭中的可變變信息除外外）提供認認證保護；；采用ESP隧道模式時時，主要對對IP數(shù)據(jù)包提供供加密和認認證雙重保保護IPSec的工作模式式(續(xù))認證頭（Authentication，AH）認證頭是為為IP數(shù)據(jù)包提供供強認證的的一種安全全機制為IP數(shù)據(jù)包提供供數(shù)據(jù)完整整性、數(shù)據(jù)據(jù)源認證和和抗重傳攻攻擊功能認證數(shù)據(jù)完整性性：消息認認證碼產(chǎn)生生的校驗值值來保證數(shù)據(jù)源認證證：數(shù)據(jù)保保重包含一一個將要被被認證的共共享秘密或或密鑰來保保證抗重傳攻擊擊：在AH中使用一個個經(jīng)認證的的序列號來來實現(xiàn)認證頭（Authentication，AH）認證頭格式式安全封裝載載荷（ESP）ESP主要支持IP數(shù)據(jù)包的機機密性將需要保護護的用戶數(shù)數(shù)據(jù)進行加加密后再封封裝到新的的IP數(shù)據(jù)包中可提供認證證：只認認證ESP頭之后的信信息，比AH認證范圍小小互聯(lián)網(wǎng)密鑰鑰交換協(xié)議議（IKE）用IPSec傳輸一個IP包之前，必必須建立一一個安全關(guān)關(guān)聯(lián)，它可可以手工創(chuàng)創(chuàng)建或動態(tài)態(tài)建立。互互聯(lián)網(wǎng)密鑰鑰交換協(xié)議議（IKE）用于動態(tài)態(tài)建立安全全關(guān)聯(lián)，它它以UDP方式通信，，其端口號號為500互聯(lián)網(wǎng)密鑰鑰交換協(xié)議議（IKE）實現(xiàn)上的兩兩個階段第一階段：：為建立IKE本身實用的的安全信道道而與SA協(xié)商，主要要是協(xié)商建建立“主密密鑰”第二階段：：利用第一一階段建立立的安全信信道交換IPSec通信中實用用的與SA有關(guān)的信息息，建立IPSec安全關(guān)聯(lián)IPsec與IKE的關(guān)系IKE是UDP之上的一個個應(yīng)用層協(xié)協(xié)議，是IPsec的信令協(xié)議議；IKE為IPsec協(xié)商建立SA，并把建立立的參數(shù)及及生成的密密鑰交給IPsec；IPsec使用IKE建立的SA對IP報文加密或或認證處理理。安全關(guān)聯(lián)為了使通信信雙方的認認證算法或或加密算法法保持一致致，通信雙雙方相互之之間建立的的聯(lián)系稱為為安全關(guān)聯(lián)聯(lián)，即SASA是IPSec的重要組成成部分，是是與給定的的一個網(wǎng)絡(luò)絡(luò)連接或一一組網(wǎng)絡(luò)連連接相關(guān)的的安全信息息參數(shù)的集集合包含通信系系統(tǒng)執(zhí)行安安全協(xié)議AH或ESP所需要的相相關(guān)信息，，是安全協(xié)協(xié)議AH和ESP執(zhí)行的基礎(chǔ)礎(chǔ)，是發(fā)送送者和接收收者之間的的一個簡單單的單向邏邏輯連接。。IPSec應(yīng)用實例:VPN虛擬專用網(wǎng)網(wǎng)絡(luò)(VPN)定義相當(dāng)廣廣泛一般使用VPN代表的是通通過公用網(wǎng)網(wǎng)絡(luò)（比如如Internet）建立專用用虛擬隧道道。通過VPN，數(shù)據(jù)被封封裝成數(shù)據(jù)據(jù)包，經(jīng)由由公用網(wǎng)絡(luò)絡(luò)安全地傳傳輸，數(shù)據(jù)據(jù)包標(biāo)頭包包含路由信信息。Windows2000/XP/Vista支持第2層（數(shù)據(jù)鏈鏈路層）隧隧道協(xié)議，，比如PPTP和L2TP，這些協(xié)議議先將數(shù)據(jù)據(jù)封裝進PPP幀，然后再再通過線路路進行傳輸輸。也支持第3層（網(wǎng)絡(luò)層層）隧道協(xié)協(xié)議（如IPSec）也受支持持，在這里里IP數(shù)據(jù)包在傳傳輸前先被被封裝進IP標(biāo)頭。IPSec應(yīng)用實例:VPN412022/12/29(HypertextTransferProtocoloverSecureSocketLayer)(SecureHypertextTransferProtocol)Https內(nèi)置于其瀏覽覽器中，用于于對數(shù)據(jù)進行行壓縮和解壓壓操作，并返返回網(wǎng)絡(luò)上傳傳送回的結(jié)果果，它應(yīng)用了了SSL作為HTTP應(yīng)用層的子層層。Https和SSL支持使用X.509數(shù)字認證，也也就是說它的的主要作用可可以分為兩種種：一種是建建立一個信息息安全通道，，來保證數(shù)據(jù)據(jù)傳輸?shù)陌踩?；另一種就就是確認網(wǎng)站站的真實性。。網(wǎng)絡(luò)安全協(xié)議議概述IPSec協(xié)議SSL和TLS協(xié)議第七章互聯(lián)聯(lián)網(wǎng)安全協(xié)議議SSL協(xié)議SSL（SecureSocketLayer）是由Netscape公司設(shè)計的一一種開放協(xié)議議，它指定了了一種在應(yīng)用用程序協(xié)議（（如HTTP，Telnet，F(xiàn)TP）和TCP/IP之間提供數(shù)據(jù)據(jù)安全性分層層的機制。目前已廣泛用用于Web瀏覽器與服務(wù)務(wù)器之間的身身份認證和加加密數(shù)據(jù)傳輸輸。SSL位于TCP/IP協(xié)議與各種應(yīng)應(yīng)用層協(xié)議之之間，為數(shù)據(jù)據(jù)通信提供安安全支持HTTPLDAPIMAPSSLTCP/IP應(yīng)用層網(wǎng)絡(luò)層SSL在TCP/IP協(xié)議棧中的位位置SSL的兩個重要概概念SSL連接（connection)一個連接是一一個提供一種種合適類型服服務(wù)的傳輸（（OSI分層的定義））。SSL的連接是點對點的關(guān)關(guān)系。連接是暫時的的，每一個連連接和一個會會話關(guān)聯(lián)。SSL會話（session）一個SSL會話是在客戶戶與服務(wù)器之之間的一個關(guān)關(guān)聯(lián)。會話由由HandshakeProtocol創(chuàng)建。會話定定義了一組可可供多個連接接共享的加密密安全參數(shù)，，被多個連接接共享。會話用以避免免為每一個連連接提供新的的安全參數(shù)所所需昂貴的談?wù)勁写鷥r。SSL體系結(jié)構(gòu)SSL被設(shè)計成使用用TCP來提供一種可可靠的端到端端的安全服務(wù)務(wù)。SSL分為兩層協(xié)議議，如下所示示：SSL體系結(jié)構(gòu)SSL握手協(xié)議、修修改密文協(xié)議議、告警協(xié)議議位于上層，，SSL記錄協(xié)議為不不同的更高層層提供了基本本的安全服務(wù)務(wù)，可以看到到HTTP可以在SSL上運行。SSL中有兩個重要要概念：SSL會話和SSL連接。SSL連接：連接時提供恰恰當(dāng)類型服務(wù)務(wù)的傳輸。SSL連接是點對點點的關(guān)系，每每一個連接與與一個會話相相聯(lián)系。SSL會話：SSL會話是客戶和和服務(wù)器之間間的關(guān)聯(lián)，會會話通過握手手協(xié)議來創(chuàng)建建，可以用來來避免為每個個連接進行昂昂貴的新安全全參數(shù)的協(xié)商商。SSL記錄協(xié)議SSL記錄協(xié)議為SSL連接提供兩種種服務(wù)：機密性：握手協(xié)議定定義了共享的的、可用于對對SSL有效載荷進行行常規(guī)加密的的密鑰；報文完整性：握手協(xié)議定定義了共享的的、可用于形形成報文的MAC碼和密鑰。SSL記錄協(xié)議SSL記錄協(xié)議的操操作步驟：分片：每個上層報報文被分成≤16KB的數(shù)據(jù)塊；壓縮：為可選應(yīng)用用；增加MAC碼：需用到共享享密鑰；加密：使用同步加加密算法對壓壓縮報文和MAC碼加密，且加加密增加長度度≤1024字節(jié)；增加SSL首部。上層報文分片1分片2分片壓縮增加MAC加密增加SSL記錄首部SSL記錄協(xié)議的操操作SSL修改密文規(guī)約約協(xié)議SSL修改密文規(guī)約約協(xié)議是SSL協(xié)議體系中最最簡單的一個個，它由單個個報文構(gòu)成，，該報文由值值為1的單單個個字字節(jié)節(jié)組組成成。。這這個個報報文文的的惟惟一一目目的的就就是是使使得得掛掛起起狀狀態(tài)態(tài)被被復(fù)復(fù)制制到到當(dāng)當(dāng)前前狀狀態(tài)態(tài)，，從從而而改改變變這這個個連連接接將將要要使使用用的的密密文文族族。。SSL告警警協(xié)協(xié)議議告警警協(xié)協(xié)議議用用來來將將SSL有關(guān)關(guān)的的警警告告?zhèn)鱾魉退徒o給對對方方實實體體。。告警警協(xié)協(xié)議議由由兩兩個個字字節(jié)節(jié)組組成成：：第一一個個字字節(jié)節(jié)的的值值用用來來表表明明警告告的的嚴(yán)嚴(yán)重重級級別別；第二二個個字字節(jié)節(jié)表表示示特定定告告警警的的代代碼碼。SSL握手手協(xié)協(xié)議議SSL握手手協(xié)協(xié)議議使得得服服務(wù)務(wù)器器和和客客戶戶能能相相互互鑒鑒別別對對方方的的身身份份、、協(xié)協(xié)商商加加密密和和MAC算法法以以及及用用來來保保護護在在SSL記錄錄中中發(fā)發(fā)送送數(shù)數(shù)據(jù)據(jù)的的加加密密密密鑰鑰。。在傳傳輸輸任任何何應(yīng)應(yīng)用用數(shù)數(shù)據(jù)據(jù)前前，，都都必必須須使使用用握握手手協(xié)協(xié)議議。握手手協(xié)協(xié)議議的的動動作作可可分分為為4個階階段段：(1)建立立安安全全能能力力，，包包括括協(xié)協(xié)議議版版本本、、會會話話ID、密密文文族族、、壓壓縮縮方方法法和和初初始始隨隨機機數(shù)數(shù)。。這這個個階階段段將將開開始始邏邏輯輯連連接接并并且且建建立立和和這這個個鏈鏈接接相相關(guān)關(guān)聯(lián)聯(lián)的的安安全全能能力力；；(2)服務(wù)務(wù)器器鑒鑒別別和和密密鑰鑰交交換換；；(3)客戶戶鑒鑒別別和和密密鑰鑰交交換換；；(4)結(jié)束束，，這這個個階階段段完完成成安安全全連連接接的的建建立立。。SSL握手手協(xié)協(xié)議議1-2:建立立安安全全能能力力；；3-6:服務(wù)務(wù)器器可可以以發(fā)發(fā)送送證證書書、、密密鑰鑰交交換換和和證證書書請請求求。。服服務(wù)務(wù)器器發(fā)發(fā)出出結(jié)結(jié)束束-hello報文文階階段段的的信信號號；；7-9:如果果請請求求的的話話，，客客戶戶發(fā)發(fā)送送證證書書、、發(fā)發(fā)送送密密鑰鑰交交換換，，客客戶戶可可以以發(fā)發(fā)送送證證書書驗驗證證報報文文；；10-14:修改改密密文文族族并并結(jié)結(jié)束束握握手手協(xié)協(xié)議議。。TLS協(xié)議議傳輸輸層層安安全全性性（（TLS）協(xié)協(xié)議議是是IETF標(biāo)準(zhǔn)準(zhǔn)草草案案建立立在在Netscape公司司所所提提出出的的SSL3.0協(xié)議議規(guī)規(guī)范范基基礎(chǔ)礎(chǔ)之之上上在兩兩個個正正在在通通信信的的應(yīng)應(yīng)用用程程序序之之間間提提供供保保密密性性和和數(shù)數(shù)據(jù)據(jù)完完整整性性安全全協(xié)協(xié)議議的的應(yīng)應(yīng)用用基于于安安全全協(xié)協(xié)議議的的產(chǎn)產(chǎn)品品和和應(yīng)應(yīng)用用：：如如基基于于IPSec的VPN(虛擬擬專專用用網(wǎng)網(wǎng))技術(shù)術(shù)，，在在Windows2000/XP下也也內(nèi)內(nèi)置置了了IPSec的實實現(xiàn)現(xiàn)；；SSL得到到廣廣泛泛應(yīng)應(yīng)用用：：Web瀏覽覽器器通通過過使使用用SSL來達達到到網(wǎng)網(wǎng)頁頁傳傳輸輸?shù)牡陌舶踩孕?；；許多多安安全全產(chǎn)產(chǎn)品品(如防防火火墻墻)也采采用用了了網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全協(xié)協(xié)議議，，為為保保障障安安全全產(chǎn)產(chǎn)品品的的互互通通互互聯(lián)聯(lián)，，必必須須采采用用統(tǒng)統(tǒng)一一的的協(xié)協(xié)議議規(guī)規(guī)范范。。SSL應(yīng)用用實實例例,CuteFTPSSL應(yīng)用用實實例例,E-mail實例例分分析析SSL應(yīng)用用方方式式HTTPS(SecureHypertextTransferProtocol)安全全超超文文本本傳傳輸輸協(xié)協(xié)議議它它是是一一個個安安全全通通信信通通道道，，它它基基于于HTTP開發(fā)發(fā)，，用用于于在在客客戶戶計計算算機機和和服服務(wù)務(wù)器器之之間間交交換換信信息息。。它它使使用用安安全全套套接接字字層層(SSL)進行行信信息息交交換換，，簡簡單單來來說說它它是是HTTP的安安全全版版Http到Https的切換換絕大數(shù)數(shù)認證證場合合，其其系統(tǒng)統(tǒng)主頁頁是HTTP頁面，，只在在跳轉(zhuǎn)轉(zhuǎn)至登登錄頁頁面的的鏈接接或者者輸入入登錄錄信息息后的的“登登錄””按鈕鈕鏈接接中才才進入入到