Giao thức bảo mật SSL
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ TP.HCM KHOA TRUNG CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỀ ÁN THIẾT BỊ MẠNG VÀ QUẢN TRỊ MẠNG Đề tài:Giao thức bảo mật SSL GVHD:Huỳnh Quốc Bảo Nhóm TP.HCM, 2011 TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng MỤC LỤC Phần trang I - Lịch sử phát triển giao thức SSL & TLS: II - Cấu trúc giao thức SSL: .3 III - SSL Record Protocol : IV - SSL Handshake Protocol: 11 V - Các thuật toán mã hoá dùng SSL: .14 1.Các mã hoá sử dụng thuật toán trao đổi khoá RSA: 2.SSL handshake: VI - Phân tích bảo mật: 17 TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng CÁC GIAO THỨC BẢO MẬT SSL VÀ TLS I - Lịch sử phát triển giao thức SSL & TLS: Như biết có hai giao thức bảo mật quan trọng lớp vận chuyển (Layer Transport) có tầm quan trọng cao bảo mật trình ứng dụng Web: hai giao thức SSL TLS Việc kết nối Web browser tới điểm mạng Internet qua nhiều hệ thống độc lập mà bảo vệ với thông tin đường truyền Không kể người sử dụng lẫn Web server có kiểm soát đường liệu hay kiểm soát liệu có thâm nhập vào thông tin đường truyền Để bảo vệ thông tin mật mạng Internet hay mạng TCP/IP nào, SSL kết hợp yếu tố sau để thiết lập giao dịch an toàn: • Xác thực: đảm bảo tính xác thực trang mà bạn làm việc đầu kết nối Cũng vậy, trang Web cần phải kiểm tra tính xác thực người sử dụng • Mã hoá: đảm bảo thông tin bị truy cập đối tượng thứ ba Để loại trừ việc nghe trộm thông tin “ nhạy cảm” truyền qua Internet, liệu phải mã hoá để bị đọc người khác người gửi người nhận • Toàn vẹn liệu: đảm bảo thông tin không bị sai lệch phải thể xác thông tin gốc gửi đến Với việc sử dụng SSL, Web site cung cấp khả bảo mật thông tin, xác thực toàn vẹn liệu đến người dùng SSL tích hợp sẵn vào browser Web server, cho phép người sử dụng làm việc với trang Web chế độ an toàn Khi Web browser sử dụng kết nối SSL tới server, biểu tượng ổ khóa xuất trạng thái cửa sổ TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng browser dòng “http” hộp nhập địa URL đổi thành “https” Một phiên giao dịch HTTPS sử dụng cổng 443 thay sử dụng cổng 80 dùng cho HTTP Nói chung, có số khả để bảo vệ mật mã lưu lượng liệu HTTP Ví dụ, vào năm 1990, tập đoàn CommerceNet đề xuất S-HTTP mà cải tiến bảo mật HTTP Một phần thực thi S-HTTP làm cho có sẵn công cộng phiên chỉnh sửa trình duyệt Mosaic NCSA mà người dùng phải mua (trái với trình duyệt Mo NCSA "chuẩn" có sẵn công cộng miễn phí Internet) Tuy nhiên, thời điểm Netscape Communication giới thiệu SSL giao thức tương ứng với phiên Netscape Navigator, Trái với tập đoàn CommerceNet, Netscape Communications không tính phí khách hàng việc thực thi giao thức bảo mật Kết quả, SSL trở thành giao thức bật để cung cấp dịch vụ bảo mật cho lưu lượng liệu HTTP 1994 S-HTTP lặng lẽ biến Cho đến bây giờ, có ba phiên SSL: SSL 1.0: sử dụng nội Netscape Communications Nó chứa số khiếm khuyết nghiêm trọng không tung bên SSL 2.0: kết nhập vào Netscape Communications 1.0 đến 2.x Nó có số điểm yếu liên quan đến thân cụ thể công đối tượng trung gian Trong nỗ lực nhằm dùng không chắn công chúng bảo mật SSL, Microsoft giới thiệu giao thức PCT (Private Communication Technology) cạnh tranh lần tung Internet Explorer vào năm 1996 Netscape Communications phản ứng lại thách thức PCT Microsoft cách giới thiệu SSL 3.0 vốn giải vấn đề SSL 2.0 thêm số tính Vào thời điểm này, Microsoft nhượng đồng ý hỗ trợ SSL tất phiên phần mềm dựa vào TCP/IP (mặc dù phiên riêng hỗ trợ PCT cho tương thích ngược) Thông số kỹ thuật SSL 3.0 tung thức vào tháng năm 1996 Nó thực thi tất trình duyệt bao gồm ví dụ Microsoft Internet Explorer 3.0 (và phiên cao hơn), Netscape Navigator 3.0 (và phiên cao hơn), Open Như thảo luận phần sau chương này, SSL 3.0 điều chỉnh IETF TLS WG Thực tế, thông số kỹ thuật giao thức TLS 1.0 dẫn xuất từ SSL 3.0 II - Cấu trúc giao thức SSL: Cấu trúc SSL giao thức SSL tương ứng minh họa hình 1.1(Cấu trúc SSL giao thức SSL) Theo hình này, SSL ám lớp (bảo mật) trung gian lớp vận chuyển (Transport Layer) lớp ứng dụng (Application Layer) SSL xếp lớp lên dịch vụ vận chuyển định hướng nối kết đáng tin cậy, chẳng hạn cung cấp TCP Về khả năng, cung cấp dịch vụ bảo mật cho giao thức ứng dụng tùy ý dựa vào TCP không HTTP Thực tế, ưu điểm giao thức bảo mật lớp vận TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng chuyển (Transport layer) nói chung giao thức SSL nói riêng chúng độc lập với ứng dụng theo nghĩa chúng sử dụng để bảo vệ giao thức ứng dụng xếp lớp lên TCP cách suốt Hình 1.1 minh họa số giao thức ứng dụng điển hình bao gồm NSIIOP, HTTP, FTP, Telnet, IMAP, IRC, POP3 Tất chúng bảo vệ cách xếp lớn chúng lên SSL (mẫu tự S thêm vào từ ghép giao thức tương ứng định việc sử dụng SSL) Tuy nhiên, ý SSL có định hướng client-server mạnh mẽ thật không đáp ứng yêu cầu giao thức ứng dụng ngang hàng hình 1.1: Cấu trúc SSL giao thức SSL SSL thiết kế giao thức riêng cho vấn đề bảo mật hỗ trợ cho nhiều ứng dụng Giao thức SSL hoạt động bên TCP/IP bên giao thức ứng dụng tầng cao HTTP (Hyper Text Transport Protocol), IMAP ( Internet Messaging Access Protocol) FTP (File Transport Protocol) Trong SSL sử dụng để hỗ trợ giao dịch an toàn cho nhiều ứng dụng khác Internet, SSL sử dụng cho giao dịch Web SSL giao thức đơn lẻ, mà tập thủ tục chuẩn hoá để thực nhiệm vụ bảo mật sau: • Xác thực server: Cho phép người sử dụng xác thực server muốn kết nối Lúc này, phía browser sử dụng kỹ thuật mã hoá công khai để chắn certificate public ID server có giá trị cấp phát CA (certificate authority) danh sách CA đáng tin cậy client Điều quan trọng người dùng Ví dụ gửi mã số credit card qua mạng người dùng thực muốn kiểm tra liệu server nhận thông tin có server mà họ định gửi đến không • Xác thực Client: Cho phép phía server xác thực người sử dụng muốn kết nối Phía server sử dụng kỹ thuật mã hoá công khai để kiểm tra xem certificate public ID server có giá trị hay không cấp phát CA (certificate TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng authority) danh sách CA đáng tin cậy server không Điều quan trọng nhà cung cấp Ví dụ ngân hàng định gửi thông tin tài mang tính bảo mật tới khách hàng họ muốn kiểm tra định danh người nhận • Mã hoá kết nối: Tất thông tin trao đổi client server mã hoá đường truyền nhằm nâng cao khả bảo mật Điều quan trọng hai bên có giao dịch mang tính riêng tư Ngoài ra, tất liệu gửi kết nối SSL mã hoá bảo vệ nhờ chế tự động phát xáo trộn, thay đổi liệu ( thuật toán băm – hash algorithm) Giao thức SSL bao gồm giao thức con: giao thức SSL record giao thức SSL handshake Giao thức SSL record xác định định dạng dùng để truyền liệu Giao thức SSL handshake (gọi giao thức bắt tay) sử dụng SSL record protocol để trao đổi số thông tin server client vào lấn thiết lập kết nối SSL Tóm lại, giao thức SSL cung cấp bảo mật truyền thông vốn có ba đặc tính bản: Các bên giao tiếp (nghĩa client server) xác thực cách sử dụng mật mã khóa chung Sự bí mật lưu lượng liệu bảo vệ nối kết mã hóa suốt sau thiết lập quan hệ ban đầu thương lượng khóa session xảy Tính xác thực tính toàn vẹn lưu lượng liệu bảo vệ thông báo xác thực kiểm tra tính toàn vẹn cách suốt cách sử dụng MAC Tuy nhiên, điều quan trọng cần lưu ý SSL không ngăn công phân tích lưu lượng Ví dụ, cách xem xét địa IP nguồn đích không mã hóa sô cổng TCP, xem xét lượng liệu truyền, người phân tích lưu lượng xác định bên tương tác, loại dịch vụ sử dụng, dành thông tin mối quan hệ doanh nghiệp cá nhân Hơn nữa, SSL không ngăn công có định hướng dựa vào phần thực thi TCP, chẳng hạn công làm tràn ngập TCP SYN cưỡng đoạt session Để sử dụng bảo vệ SSL, client lẫn server phải biết phía bên sử dụng SSL Nói chung, có ba khả để giải vấn đề này: Sử dụng số cổng chuyên dụng dành riêng Internet Asigned Numbers Authority (IANA) Trong trường hợp này, số cổng riêng biệt phải gán cho giao thức ứng dụng vốn sử dụng SSL Sử dụng số cổng chuẩn cho giao thức ứng dụng để thương lượng tùy chọn bảo mật phần giao thức ứng dụng (bây chỉnh sửa đôi chút) Sử dụng tùy chọn TCP để thương lượng việc sử dụng giao thức bảo mật, chẳng TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng hạn SSL suốt giai đoạn thiết lập nối kết TCP thông thường Sự thương lượng dành riêng cho ứng dụng tùy chọn bảo mật (nghĩa khả thứ hai) có khuyết điểm đòi hỏi giao thức ứng dụng chỉnh sửa để hiểu tiến trình thương lượng Ngoài ra, việc xác định tùy chọn TCP (nghĩa khả thứ ba) giải pháp tốt, không thảo luận nghiêm túc Thực tế, số cổng riêng biệt dành riêng gán IANA cho giao thức ứng dụng vốn chạy SSL TLS (nghĩa khả thứ nhất) Tuy nhiên, ý việc sử dụng số cổng riêng biệt có khuyết điểm đòi hỏi hai nối kết TCP client mà server hỗ trợ Trước tiên, client phải nối kết với cổng an toàn sau với cổng không an toàn hay ngược lại Rất giao thức sau hủy bỏ phương pháp tìm khả thứ hai Ví dụ, SALS (Simple Authentication Security Layer) xác định phù hợp để thêm hỗ trợ xác thực vào giao thức ứng dụng dựa vào kết nối Theo thông số kỹ thuật SALS, việc sử dụng chế xác thực thương lượng client server giao thức ứng dụng cho Các số cổng gán IANA cho giao thức ứng dụng vốn chạy SSL/TLS tóm tắt bảng 1.2 minh họa phần hình 1.1 Ngày nay, "S" định việc sử dụng SSL thêm (hậu tố) quán vào từ ghép giao thức ứng dụng tương ứng (trong số thuật ngữ ban đầu, S sử dụng thêm tiền tố cách không quán số từ ghép) Bảng1.2: Các số cổng gán cho giao thức ứng dụng chạy TLS/SSL Từ khóa Nsiiop Cổn g 261 https Smtps Nntps Ldaps Ftpsdata Ftps 443 465 563 636 989 Tenets Imaps Pop3s 992 994 995 990 Mô tả Dịch vụ tên IIOP TLS/SSL HTTP TLS/SSl SMTP TLS/SSL NNTP TLS/SSL LDAP TLS/SSL FTP (dữ liệu) TLS/SSL FTP (Điều khiển) TLS/SSL TELNET TLS/SSL IRC TLS/SSL POP3 TLS/SSL TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng Nói chung, session SSL có trạng thái giao thức SSL phải khởi tạo trì thông tin trạng thái hai phía session Các phần tử thông tin trạng thái session tương ứng bao gồm session ID, chứng nhận ngang hàng, phương pháp nén, thông số mật mã, khóa mật cờ vốn định việc session tiếp tục lại hay không, tóm tắt bảng 1.3 Một session SSL sử dụng số kết nối thành phần thông tin trạng thái nối kết tương ứng tóm tắt bảng 1.4 Chúng bao gồm tham số mật mã, chẳng hạn chuỗi byte ngẫu nhiên server client, khóa mật MAC ghi server client, khóa ghi server client, vector khởi tạo số chuỗi Ở hai trường hợp, điều quan trọng cần lưu ý phía giao tiếp phải sử dụng nhiều session SSL đồng thời session có nhiều nối kết đồng thời Bảng 1.3 Các thành phần thông tin trạng thái Session SSL Thành Phần Session ID Peer certificate Compression method Cipher spec Master secret Is resumable Mô tả Định danh chọn server để nhận dạng trạng thái session hoạt động tiếp tục lại Chứng nhân X.509 phiên thực thể ngang hàng Thuật toán dừng để nén liệu trước mã hóa Thông số thuật toán mã hóa liệu MAC Khóa mật 48-byte chia sẻ client server Cờ vốn biểu thị session sử dụng để bắt đầu nối kết hay không Bảng 1.4 Các thành phần thông tin trạng thái nối kết SSL Thành Phần Ngẫu nhiên server client Khóa mật MAC ghi server Khóa mật MAC ghi client Khóa ghi server Khóa ghi client Initialization Mô tả Các chuỗi byte chọn server client cho nối kết Khóa mật sử dụng cho hoạt động MAC liệu ghi server Khóa mật sử dụng cho hoạt động MAC liệu ghi client Khóa sử dụng cho việc mã hóa liệu server giải mã client Khóa sử dụng để mã khóa liệu client giải mã server Trạng thái khởi tạo cho mật mã khối TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng vector Số chuỗi chế độ CBC Trường khởi tạo SSL Handshake Player Sau đó, khối text mật mã sau từ ghi dành riêng để sử dụng vởi ghi sau Mỗi phía trì số chuỗi riêng biệt cho thông báo truyền nhận cho nối kết Như minh họa hình 1.1, giao thức SSL gồm hai phần chính, SSL Record Protocol số giao thức SSL xếp lớp nó: - Record OK xếp lớp dịch vụ lớp vận chuyển định hướng nối kết đáng tin cậy, chẳng hạn cung cấp TCP cung cấp xác thực nguồn gốc thông báo, bí mật liệu liệu - Các dịch vụ toàn vẹn (bao gồm thứ chống xem lại) - Các giao thức SSL xếp lớp SSL Record Protocol để cung cấp hỗ trợ cho việc quản lý session SSL thiết lập nối kết Giao thức SSL quan trọng SSL Handshake Protocol Lần lượt giao thức giao thức xác thực trao đổi khóa vốn sử dụng để thương lượng, khởi tạo đồng hóa tham số bảo mật thông tin trạng thái tương ứng đặt hai điểm cuối session nối kết SSL Sau SSL Handshake Protocol hoàn tất, liệu ứng dụng gửi nhận cách sử dụng SSL Record Protocol tham số bảo mật thương lượng thành phần thông tin trạng thái III - SSL Record Protocol: SSL Record Protocol nhận liệu từ giao thức SSL lớp cao xử lý việc phân đoạn, nén, xác thực mã hóa liệu Chính xác hơn, giao thức lấy khối liệu có kích cỡ tùy ý làm liệu nhập tọa loạt đoạn liệu SSL làm liệu xuất (hoặc gọi ghi) nhỏ 16,383 byte TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng hình 1.5: Các bước SSL Record Protocol Các bước khác SSL Record Protocol vốn từ đoạn liệu thô đến ghi SSL Plaintext (bước phân đoạn), SSL Compressed (bước nén) SSL Ciphertext (bước mã hóa) minh họa hình 1.5 Sau cùng, ghi SSL chứa trường thông tin sau đây: - Loại nội dung; - Số phiên giao thức; - Chiều dài; - Tải trọng liệu (được nén mã hóa tùy ý); - MAC Loại nội dung xác định giao thức lớp cao vốn phải sử dụng để sau xử lý tải trọng liệu ghi SSL (sau giải nén giải mã hóa thích hợp) Số phiên giao thức xác định phiên SSL sử dụng (thường version 3.0) 10 TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng 65 TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng Xin certificate Chọn Yes Vào Security -> IP Shielding / AUTH/ POP Before SMTP (Ctrl +F8) Chọn tab SMTP Authentication, đánnh dấu check vào : + Authentication is always required when mail is form local accounts + unless message is to a local account 66 TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng Kiểm tra xem SMTPS POPS active chưa tạo email mail1@dom10.com mail2@dom10.com dùng mail1 gởi thư qua mail2 xem có nhận chưa 3/ Cấu hình Client Chạy Outlook Express, Diskplay name : mail1 67 TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng Email address : mail1@dom10.com 68 TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng E-mail Server Names : My incoming mail server is a POP3 server Incoming mail (POP3) : 192.168.5.10 Outgoing mail ISMTP) : 192.168.5.10 69 TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng Internet Mail logon : Vào Tools -> account -> mail -> properties acc mail1 Tab Servers : check vào My server requires authentication 70 TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng Tab Advanced : 71 TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng Gởi mail qua lại mail1 mail2 4/ Kiểm tra kết Vào Administrative Tools -> Routing and Remote Access Click phải lên PC10 chọn Configure and Enable Routing and Remote Access Ở cữa sổ Routing and Remote Access chọn Next Configuration Chọn Custom Configuration 72 TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng 73 TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng Custom Configuration chọn NAT and basic firewall -> finish Chọn Yes xuất popup Vào routing and remote access -> PC 10 -> IP Routing -> General -> Properties Lan interface 74 TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng 75 TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng Lan Properties chọn inbound Fiters inbound Fiters -> chọn New -> add vào port 995 465 76 TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng Chọn vào Drop all packets except those that meet the criteria below 77 TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng OK -> OK -> restart lại Routing and remote access Client ping vào server không thấy trả lời server Filters 78 TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng Dùng mail1 gởi cho mail2 chạy tốt, chứng tỏ mail gởi giao thức SMTPS POPS THE END 79 [...]... vì cấu trúc SSL MAC được sử dụng trước cấu trúc HMAC trong hầu như tất cả thông số kỹ thuật giao thức bảo mật Internet Cấu trúc HMAC cũng được sử dụng cho thông số kỹ thuật giao thức TLS gần đây hơn Như được minh họa trong hình 1.5, một số giao thức con SSL được xếp lớp trên SSL Record Protocol Mỗi giao thức con có thể tham chiếu đến các loại thông báo cụ thể vốn được gửi bằng cách sử dụng SSL Record... pháp nén và thông số mật mã của session SSL hiện hành và các khóa mật mã của nối kết SSL tương ứng Mục đích của SSL Handshake Protocol là yêu cầu một client và server thiết lập và duy trì thông tin trạng thái vốn được sử dụng để bảo vệ các cuộc liên lạc Cụ thể hơn, giao thức phải yêu cầu client và server chấp thuận một phiên bản giao thức SSL chung, chọn phương thức nén và thông số mật mã, tùy ý xác thực... có thể được sữa chữa dễ dàng mà không cần tu sửa cấu trúc cơ bản của giao thức SSL, họ không tìm thấy vấn đề điểm yếu hoặc bảo mật nghiêm trọng trong việc phân tích của họ Kết quả, họ kết luận rằng giao thức SSL cung cấp sự bảo mật hoàn hảo ngăn việc nghe lén và những cuộc tấn công thụ động khác, và người thực thi giao thức này sẽ ý thức đến một số cuộc tấn công chủ động tinh vi Tuy nhiên, một vài tháng... dữ liệu ứng dụng đến SSL Record Protocol 11 TRƯỜNG CAO ĐẲNG KINH TẾ - CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH Thiết bị mạng & quản trị mạng IV - SSL Handshake Protocol: SSL Handshake Protocol là giao thức con SSL chính được xếp lớp trên SSL Record Protocol Kết quả, các thông báo thiết lập quan hệ SSL được cung cấp cho lớp bản ghi SSL nơi chúng được bao bọc trong một hoặc nhiều bản ghi SSL vốn được xử lý và... sử dụng SSL Record Protocol Thông số kỹ thuật SSL 3.0 xác định ba giao thức SSL sau đây: - Alert Protocol; - Handshake Protocol; - ChangeCipherSpec Protocol; Tóm lại, SSL Alert Protocol được sử dụng để chuyển các cảnh báo thông qua SSL Record Protocol Mỗi cảnh báo gồm 2 phần, một mức cảnh báo và một mô tả cảnh báo SSL Handshake Protocol là giao thức con SSL chính được sử dụng để hỗ trợ xác thực client... session Do đó SSL Handshake Protocol trình bày tổng quan và được thảo luận trong phần tiếp theo Sau cùng, SSL ChangeCipherSpec Protocol được sử dụng để thay đổi giữa một thông số mật mã này và một thông số mật mã khác Mặc dù thông số mật mã thường được thay đổi ở cuối một sự thiết lập quan hệ SSL, nhưng nó cũng có thể được thay đổi vào bất kỳ thời điểm sau đó Ngoài những giao thức con SSL này, một SSL Application... trị mạng Mỗi tải trọng dữ liệu bản ghi SSL được nén và được mã hóa theo phương thức nén hiện hành và thông số mật mã được xác định cho session SSL Lúc bắt đầu mỗi session SSL, phương pháp nén và thông số mật mã thường được xác định là rỗng Cả hai được xác lập trong suốt quá trình thực thi ban đầu SSL Handshake Protocol Sau cùng, MAC được thêm vào mỗi bản ghi SSL Nó cung cấp các dịch vụ xác thực nguồn... các bộ mật mã client hỗ trợ - Một danh sách các phương pháp nén mà client hỗ trợ Chú ý rằng trường session identity (định danh session) nên rỗng nếu session SSL hiện không tồn tại hoặc nếu client muốn tạo các tham số bảo mật mới Ở một trong hai trường hợp, một trường session identity không rỗng là xác định một session SSL hiện có giữa client và server (nghĩa là một session có các tham số bảo mật mà... bit nhưng chỉ có 40 bit được dùng để mã hoá 2 .SSL handshake: Giao thức SSL sử dụng kết hợp 2 loại mã hoá đối xứng và công khai Sử dụng mã hoá đối xứng nhanh hơn rất nhiều so với mã hoá công khai khi truyền dữ liệu, nhưng mã hoá công khai lại là giải pháp tốt nhất trong qúa trình xác thực Một giao dịch SSL thường bắt đầu bởi quá trình “bắt tay” giữa hai bên (SSL handshake) Các bước trong quá trình “bắt... thông số mật mã của trạng thái session hiện hành Theo mặc định, SSL Record Protocol sử dụng một cấu trúc MAC vốn tương tự nhưng vẫn khác với cấu trúc HMAC hơn Có ba điểm khác biệt chính giữa cấu trúc SSL MAC và cấu trúc HMAC: 1 Cấu trúc SSL MAC có một số chuỗi trong thông báo trước khi hash để ngăn các hình thức tấn công xem lại riêng biệt 2 Cấu trúc SSL MAC có chiều dài bản ghi 3 Cấu trúc SSL MAC sử ... SSL mã hoá bảo vệ nhờ chế tự động phát xáo trộn, thay đổi liệu ( thuật toán băm – hash algorithm) Giao thức SSL bao gồm giao thức con: giao thức SSL record giao thức SSL handshake Giao thức SSL. .. ngang hàng hình 1.1: Cấu trúc SSL giao thức SSL SSL thiết kế giao thức riêng cho vấn đề bảo mật hỗ trợ cho nhiều ứng dụng Giao thức SSL hoạt động bên TCP/IP bên giao thức ứng dụng tầng cao HTTP... sử phát triển giao thức SSL & TLS: Như biết có hai giao thức bảo mật quan trọng lớp vận chuyển (Layer Transport) có tầm quan trọng cao bảo mật trình ứng dụng Web: hai giao thức SSL TLS Việc kết