SSL-VPN原理.ppt

,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,SSL VPN原理,随着,VPN,技术的发展，,L2TP,和,IPSEC,的缺陷日益突出，急需一种新型的,VPN,代替，,SSL VPN,就是在这样的条件下诞生！,引入,了解,SSL,原理和体系结构,掌握,SSL,记录和握手协议,课程目标,学习完本课程，您应该能够：,SSL,简介,SSL,体系结构,SSL,记录协议,SSL,握手协议,目录,SSL,概述,SSL,（,Secure Socket Layer,）安全套接层是一种运行在两台机器之间的安全通道协议；也可以运行在,SSL,代理和,PC,之间；,功能：保护传输数据（加密），识别通信机器（认证）；,SSL,提供的安全通道是透明的，几乎所有基于,TCP,的协议稍加改动就可以直接运行于,SSL,之上；,目前，,IETF,将,SSL,作了标准化，推出,TLS,传输层安全协议（,RFC 2246,）整合取代，它工作在,TCP,之上。,TLS1.0,与,SSL3.0,的差别非常微小。,SSL,在协议栈的位置,TCP,UDP,IP,SSL,Application,TCP,UDP,IP,SSL,Application,SSL,协议组成,握手协议：,对服务器进行认证；,确立用于保护数据传输的加密密钥；,记录协议：,传输数据；,SSL,连接分为两个阶段，即握手和数据传输阶段；传输任何应用数据之前必须先完成握手。,大家应该也有点累了，稍作休息,大家有疑问的，可以询问和交流,SSL,简介,SSL,体系结构,SSL,记录协议,SSL,握手协议,目录,SSL,体系结构,密钥改变协议,记录层协议,握手协议,告警协议,SSL API,握手层,记录层,Application,TCP,SSL,层,SSL,简介,SSL,体系结构,SSL,记录协议,SSL,握手协议,目录,SSL,记录层的功能,保护传输数据的私密性，对数据进行加密和解密,验证传输数据的完整性，计算报文的摘要,提高传输数据的效率，对报文进行压缩,保证数据传输的可靠和有序,SSL,记录层的工作流程,应用模块,TCP,分片,压缩,加密,记录层,应用模块,TCP,解压,解密,记录层,SSL,记录层的报文格式,加密数据,报文类型,版本,长度,长度（字节）,1,字节,2,字节,2,字节,记录层报文：,SSL,简介,SSL,体系结构,SSL,记录协议,SSL,握手协议,目录,SSL,握手协议的功能,协商,SSL,协议的版本,协商加密套件,协商密钥参数,验证通讯双方的身份,(,可选,),建立,SSL,连接,SSL,握手协议的握手过程,无客户端认证的全握手过程,会话恢复过程,有客户端认证的全握手过程,无客户端认证的全握手过程,Internet,client,server,ClientHello,ServerHello,ServerCertificate*,ServerKeyExchange*,ServerHelloDone*,ClientKeyExchange,ChangeCipherSpec,Finished,ChangeCipherSpec,Finished,Application Data,Application Data,客户端支持的最高版本，加密套件列表，压缩算法列表,客户端随机数，会话,ID=0,服务器同意的版本，加密套件，压缩算法,会话,ID,服务器端随机数,服务器的证书,服务器端密钥交换的附加信息,通知对方服务器端握手消息发完,客户端产生的,PreMasterKey,密钥参数,通知对方本端开始启用加密参数,通知对方本端开始启用加密参数,发送自己计算握手过程验证报文,发送自己计算握手过程验证报文,传送应用层数据,会话恢复过程,Internet,client,server,ClientHello,ServerHello,ChangeCipherSpec,Finished,ChangeCipherSpec,Finished,Application Data,Application Data,上次协商的版本、加密套件、压缩算法、客户端随机数，上次,SSL,连接的会话,ID,服务器同意的版本，加密套件，压缩算法,会话,ID,服务器端随机数,通知对方本端开始启用加密参数,通知对方本端开始启用加密参数,发送自己计算握手过程验证报文,发送自己计算握手过程验证报文,传送应用层数据,有客户端认证的全握手过程,Internet,client,server,ClientHello,ServerHello,ServerCertificate*,ServerKeyExchange*,ServerHelloDone*,ClientKeyExchange,ChangeCipherSpec,Finished,ChangeCipherSpec,Finished,Application Data,Application Data,客户端的证书,前面所有握手消息的数字签名,传送应用层数据,CertificateRequest*,向客户端索要证书,Certificate*,CertificateVerify*,介绍,SSL,概念和体系结构,介绍,SSL,记录层和握手层的协议,本章总结,